我创建了一个用户kafka,我试图给他一个只运行/etc/init.d/kafka命令的 sudo 访问权限。
我/etc/sudoers.d/kafka通过 Ansible添加了以下条目:
kafka ALL = NOPASSWD: /etc/init.d/kafka
但是,这完全破坏了 sudo 并出现以下错误:
/etc/sudoers.d/kafka:近线1语法错误
须藤:在/etc/sudoers.d/kafka靠近1号线分析错误
须藤:没有有效的sudoers的来源发现,戒烟
须藤:无法初始化政策插件
这是完整的 Ansible 片段:
- name: Create kafka user's group
group:
name: "{{ kafka_group }}"
state: present
- name: Create kafka user
user:
name: "{{ kafka_user }}"
state: present
group: "{{ kafka_group }}"
shell: /bin/bash
- name: Set up password-less sudo for kafka user
copy:
content: "{{ kafka_user }} ALL = NOPASSWD: /etc/init.d/{{ kafka_service_name }}"
dest: "/etc/sudoers.d/{{ kafka_user …我们的安全部门最近要求我们升级我们的服务器,以避免可能由http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6214引起的攻击
现在,我们有很多这样的服务器,但所有请求都通过一个 NGINX 代理。那么问题来了,只升级这个就够了吗?
据我了解,如果 TCP 包包含特殊的 URG 标志,则该漏洞存在于 TCP 级别。我是否理解正确,NGINX 作为代理工作的方式如下:
iptables(和/或后续工具nftables)是用户空间实用程序,允许系统管理员配置 Linux 内核防火墙的 IP 数据包过滤规则,该规则作为不同的Netfilter 模块实现。(摘自维基百科)
由于iptables和nftables是旨在由人们、系统管理员使用的用户空间实用程序,并且人们并不总是完全熟悉底层数字,因此它们接受 IP 协议(tcp、icmp、udp 等)的人类可读描述, IP 地址(主机名)和端口号(服务名称)。
从 UI 方面来看,使用人类可读的名称似乎是一件好事:
iptables --protocol udpiptables --protocol 17和类似的含义的人。gateway.example.net通常比 IP 地址更有意义,例如192.0.2.1这样做安全吗?
或者你应该远离它?
有什么注意事项?
背景
我们的一位客户的 Internet 遇到间歇性问题,当用户下载大文件时会丢包(他们的 IT 正在调查问题)。
我有一个应用程序,它由一个运行 Windows 2008 R2 IIS7.5 的 Web 服务器和一个运行 Windows 7 的客户端组成,Chrome 使用长时间运行的 XMlHttpRequest 将“消息”从服务器传输到客户端。
问题。
我的应用程序应该完全不受这些数据包丢失的影响,但实际上并非如此。
我想在各种不同的网络问题场景下测试应用程序,例如随机 1% 丢包率和突发丢包率 - 比如说 4000 毫秒的数据包完全丢失,等等。
我正在寻找一种解决方案,可以让我“重现”场景并测试我的应用程序。我可以使用3G,或者拔掉和拔掉网线,但效果不是很好。
问题。
有没有可以在我的机器上安装的应用程序/驱动程序来模仿“狡猾的”互联网连接?或者我可以在网络中使用设备或代理服务器来模拟这些场景?
我猜在现代计算机上做这件事不是很容易,因为我希望大部分 TCP 堆栈都卸载到网卡上,但我认为这是一个相当受欢迎的尝试和做的事情,但是我没有在谷歌上有任何运气。我更精通 Windows,但欢迎使用 Linux 作为客户端或代理的解决方案。
我在 Debian 7 机器上运行网络服务器 (Apache),并在同一台机器上运行 iptables。iptables 规则由 ConfigServer Firewall (CSF) 脚本生成。那里托管的网站对我来说没有问题,但是我看到端口 80 上的入站流量大量下降。
以下是日志的摘录(网络服务器 IP:11.22.33.44):
Jan 27 15:21:36 [hostname] kernel: [1229124.817624] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=199.30.24.209 DST=11.22.33.44 LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=3144 DF PROTO=TCP SPT=36879 DPT=80 WINDOW=510 RES=0x00 ACK FIN URGP=0
Jan 27 15:21:36 [hostname] kernel: [1229124.872795] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=199.30.24.209 DST=11.22.33.44 LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=3183 DF PROTO=TCP SPT=36684 DPT=80 WINDOW=513 RES=0x00 ACK FIN URGP=0
Jan 27 16:03:36 [hostname] kernel: [1231642.223513] Firewall: …我有从StartSSL颁发的证书,它是一个可信的证书权威机构,我的网站使用它的证书没有问题,所有浏览器也没有关于任何信任问题的投诉。
现在我想在 Dovecot 中进行相同的编程,以便通过认证的 SSL 接收我的电子邮件。所以我使用 IMAP 来获取我的邮件,比如通过地址 mail.myweb.com。我去了 StartSSL,并为该子域颁发了一个证书(这是我通过 Apache 服务器获取任何我想要使用 SSL 的子域时总是这样做的)。
现在我拿到了那个证书,并将它定义为我想在 Dovecot 上用于该域名(使用 SNI)的证书,方法是将以下内容添加到 dovecot.conf
local_name mail.myweb.com {
ssl_cert = </path/to/certificate/ssl.crt
ssl_key = </path/to/privatekey/priv.key
}
虽然这个过程在 Apache 服务器上运行得非常好,而且我的浏览器对绿色挂锁很满意,我的证书没有签名问题,但雷鸟坚持我确认这个证书是一个例外。
我通过查看证书的详细信息确认了 Thunderbird 收到的证书是正确的。
原因可能是什么?雷鸟只是偏执,我必须购买证书吗?
如果您需要任何其他信息,请告诉我。
谢谢你。
ssl dovecot thunderbird ssl-certificate certificate-authority
我认为这是放置此内容的正确位置,而不是放在 StackOverflow 中
不管怎样,我们都有一个 CentOS 6.6 服务器。SElinux 不允许我们启用 httpd_can_sendmail
我试过这个....
sudo setsebool -P httpd_can_sendmail on
然后我得到这个
/usr/sbin/getsebool httpd_can_sendmail
httpd_can_sendmail --> off
我也尝试过这个
sudo setsebool -P httpd_can_sendmail 1
sudo setsebool -P httpd_can_sendmail true
sudo setsebool -P httpd_can_sendmail on
有没有办法删除或替换 RPM 上现有的 GPG 签名?
我将一些晦涩的 RPM 放在我们用于补充 rhel/centos 包的内部存储库中。其中一些 RPM 已经签署。我想删除这些签名并使用我们用于本地存储库的 GPG 签名重新签名。
我的一台 sendmail 服务器出现问题。用户通知我注册电子邮件没有到达。日志文件声称消息已排队,但队列为空:
sudo cat /var/log/mail.log | grep email
(在此示例中使用混淆的电子邮件和服务器地址):
Jan 6 23:33:57 fx1 sendmail[9292]: u06MXvuk009292: to=email, ctladdr=sender-email (1001/100), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=38128, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (u06MXv7o009293 消息接受发送)
1 月 6 日 23:34:00 fx1 sm-mta[9295]:u06MXv7o009293:to=,delay=00:00:03,xdelay=00:00:03,mailer=esmtp,pri=128308,relay=mx3.hotmail。 com。[65.55.37.120], dsn=2.0.0, stat=Sent ( <70001a6bb8ff80254895632a2c4367fb@myhost> 排队等待投递的邮件)
$ mailq
> MSP Queue status...
/var/spool/mqueue-client is empty
Total requests: 0
MTA Queue status...
/var/spool/mqueue (1 request)
-----Q-ID----- --Size-- -----Q-Time----- ------------Sender/Recipient-----------
u04ALref018750* 184 Mon Jan 4 11:21 <services@globosapiens.net>
(Deferred: Connection timed out with mail.vtmail.com.)
<nicolaitan@vtmail.com>
Total requests: …更新:我在域的 DNS 中的 SPF 记录mailinglist.com:
mailinglist.com. 3600 IN TXT "v=spf1 mx ptr include:gateway.com ?all"
UPDATE2:在From:,Reply-To:,Sender:并Return-Path:从失败的消息头:
...
From: "bob" <bob@somewhere.org>
Reply-To: <list1@my.mailinglist.com>
Sender: <list1-request@my.mailinglist.com>
List-Post: <mailto:list1@my.mailinglist.com>
Return-Path: list1-owner@my.mailinglist.com
...
我从以前的管理员那里继承了一个Sympa邮件列表服务器,对整个过程不是很熟悉。最近,我们接到一些用户的电话,称他们在各种邮件列表中的帖子被标记为欺诈检测检查失败。
我一直在阅读SPF并怀疑发生的事情是当用户 (bob@somewhere.org) 发布到列表 ( my.mailinglist.com) 时,来自列表服务器的出站消息将信封发件人设置为“bob@somewhere.组织”。然后,我们的列表服务器将传出消息中继mail.gateway.com,然后通过 Internet 将其传送到该消息。当某个mail.gateway.comwhere.org (或其他域)的 SMTP 服务器收到该帖子时,它会看到它是由我们的中继(13.14.15.16)发送的,该中继在某个where.org 的 SPF 记录中没有它的 IP 地址。
在从 发送的出站邮件的邮件标头中mail.gateway.com,我有一个 SPF 行,内容如下:
Received-SPF: SoftFail (mail.gateway.com: domain of
transitioning …