当你创建一些像 ext3 这样的 Linux 文件系统时,会创建一个“lost+found”目录。如果文件因某种系统崩溃而损坏,则根据此文件将放置在那里。
如果删除此目录,系统会崩溃,会发生什么情况。如果文件夹被删除,我可以使用mkdir lost+found创建一个新目录,或者是否有只能在创建文件系统时设置的属性。
我有一台运行 Debian 6.0 且安装了 logcheck 的服务器。昨天,我收到了这样一条消息:
Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).
我不知道这是谁,我怀疑他是偶然出现的。
现在,我该怎么办?
我做的第一件事是禁用 ssh 密码身份验证并切换到公钥/私钥。我还检查了authorized_keys 文件,只看到了我的公钥
接下来是什么?
我怎么知道其他人在我的机器上做了什么?
我想在我们公司的网络上使用我的 linux 工作站,但我遇到了一些问题,特别是 802.1xi。
我是我的机器上的 root 用户和 Windows 域管理员,所以我应该能够访问我需要的任何东西才能工作。目前我的 linux 机器连接受限,这让我相信它已被放入非 802.1x 客户端的默认 vlan。
我想我的总体问题是:如何让我的 linux 机器在有线 Windows 网络上使用 802.1x?网络是典型的 Windows 域,使用机器帐户和用户帐户。
这是我所知道的并且到目前为止已经尝试过:
我相信我将需要为机器获取有效的客户端机器证书、域的 CA 证书以及客户端的私钥
想法 1,从 Windows 机器/域 ca 机器上获取一个有效密钥我在 linux 机器上运行了一个 Windows VM,并将其加入域,认为这会产生一个我可以为 linux 机器获取的有效客户端证书。- 为此,我然后从 windows ca 服务器导出客户端证书和 ca 证书,然后将它们转换为 PEM 格式,为 linux 上的网络管理器做好准备(假设需要 PEM 而不是 DER)。- 然后我尝试使用 certmgr 在 Windows VM 本身上导出私钥,但它被标记为不可导出:-(
想法 2 是 powerbroker... - 我使用 powerbroker open(正式同样)将 linux 机器加入域,getent passwd 现在显示所有域用户。- 我的想法是这会将客户端证书和私钥放在系统上的某个地方(/etc/ssl/certs ?),但我什么也找不到
想法 3,问一个知道他们实际在做什么的人。
我应该指出,最初这台 linux 机器上有 Windows(我在 linux …
我在我的 Debian 6 机器上破坏了我的窗口管理器,所以我现在坚持使用恢复模式。也就是说,我得到了一个普通的 root shell。现在这是我的问题:我如何获得互联网连接,以便我可以提取新源并编译我的窗口管理器?
ifconfig eth0 up
/etc/init.d/network-manager restart
不起作用。eth0 已启动,但我无法访问互联网。怎么了?
请参阅下面的编辑,因为事实证明问题出在 uid/gid 到 sid 的映射上,并显示了一个有助于更快理解问题的解决方法。
我们有一台 Ubuntu 11.04 服务器机器(我们称之为数据),使用由likewise-open提供的工具加入了 Windows 域 到目前为止一切顺利,因为我能够:
因此,计算机本身了解我属于哪些域组并可以正确处理权限。
但问题是当我想从 samba 共享访问文件时。Windows 似乎不明白我们在谈论相同的“域管理员”或任何其他域用户/组。
主文件夹已启用 acl
我在 smb.conf 中的分享:
[home]
path = /home/local/MYDOMAIN
browsable = yes
guest ok = no
read only = no
writeable = yes
valid users = MYDOMAIN\Administrator, @MYDOMAIN\"Domain Users", @MYDOMAIN\"Domain Admins"
write list = @MYDOMAIN\"Domain Users", @MYDOMAIN\"Domain Admins"
nt acl support = yes
create mask = 700
directory mask = 700
hide …我发现有关 ipa 服务器备份和恢复的文档可悲地缺乏,而且非常重要,这并不是我很高兴在黑暗中拍摄的东西 - 有没有更了解此事的好心人请尝试提供一个白痴备份和恢复 IPA 服务器的证明指南 ? 特别是主服务器(证书签名服务器)。
...我们希望在两台服务器设置(1 个主服务器,1 个副本)中推出 ipa。我正在使用 dns srv 记录来处理故障转移,因此丢失副本并不是什么大问题,因为我可以制作一个新副本并强制重新同步发生 - 它正在丢失困扰我的主人。
我真正在努力寻找备份和恢复主服务器的分步过程。我知道整个 VM 快照是进行 IPA 服务器备份的推荐方式,但目前这不是我们的选择。
我也知道 freeipa 3.2.0 包含某种内置的备份命令,但这不在 centos 的 ipa 版本中,我不希望它会在一段时间内出现。
我一直在尝试许多不同的方法,但似乎没有一种方法可以完全恢复,除此之外,我尝试过;
类似于 db2ldif.pl -D "cn=directory manager" -w - -n userroot -a /root/userroot.ldif 的命令
此处的脚本生成三个 ldif 文件——一个用于域 ({domain}-userroot),两个用于 ipa 服务器(ipa-ipaca 和 ipa-userroot):
我尝试过的大多数恢复都类似于以下形式:ldif2db.pl -D "cn=directory manager" -w - -n userroot -i userroot.ldif
这似乎可以工作并且没有报告错误,但是完全使机器上的 ipa 安装失败,我无法再使用备份服务器上的管理员密码登录,或者在尝试 ldif2db 命令之前我在安装时设置的密码(我正在安装 ipa-server 并运行 ipa-server-install,然后尝试恢复)。
我并不太担心丢失 CA、不得不重新加入域、丢失复制等(尽管如果可以避免这种情况会很棒)但是在主服务器掉线的情况下,我真的很想避免必须重新输入所有用户/组信息。
我想在丢失主服务器的情况下,我可以提升另一个服务器并在另一个方向复制,但我也没有尝试过。有没有人这样做过?
tl;dr:有人可以提供一个白痴指南,以足够清晰的方式备份和恢复IPA …
我试图以一种可以回答的方式提出这个问题,但问题的一部分是了解我当前情况的影响,以及是否存在问题或技术债务会进一步困扰我。
我已经在主副本设置中设置了一些 IPA 服务器。
server1:dns A 记录(和 fqdn 主机名):srv1.mydomain.com
server2:dns A 记录(和 fqdn 主机名):srv2.mydomain.com
server3:dns A 记录(和 fqdn 主机名):srv3.mydomain.com
服务器的 cname 分别为 auth-a、auth-b、auth-c,并按照正常的 IPA 安装使用自签名证书。
对于 ssh 连接和 sssd 等,这可以正常工作数月。当尝试挂接只允许指定一个 ldap 服务器的应用程序时,问题就出现了。有用于故障转移的 SRV dns 记录设置,但为了让这些应用程序正常工作,我还放入了 dns 循环记录。
问题是这个循环只适用于普通的 ldap 查找,而不适用于 ldap ssl。但是,如果我禁用对 ssl 证书的检查,我可以使 ssl 工作。
所以……问题!
a) 实际上,禁用对内部服务的证书检查有多糟糕?将始终从 LAN 查询此 ldap 服务器。我相信我对可能的 MITM 攻击持开放态度,但我不确定我需要对此有多担心。我的意思是,现在我的另一个选择是不使用 ssl,这太可怕了。要执行 MITM 攻击,他们已经需要在我的网络上并控制 DNS,不是吗?任何可以将这种担忧量化为实际情况的建议都会有所帮助。
b)据我所知,要实际解决此问题,我需要在服务器的自签名证书上将 RR dns 条目作为主题 alt 名称。这意味着重新键入服务器,对吗?在 IPA 的情况下,这意味着将每个客户端重新加入IPA 以获得新证书。我认为这是一个非首发。
c) 考虑到 (a) 和 (b) 的当前情况和结果,您会推荐什么作为允许仅允许指定一个 ldap 服务器的应用程序的最佳行动方案(并且不要在任何情况下使用 SRV dns …
我正在尝试使用 SCP 传输大型(1.5 GB)文本文件。虽然传输正常完成,但只传输了 1.4 GB。这种不完整的转移是否有任何原因。我在 Ubuntu 10.04
我希望将 openvpn 部署为 linux RAS 服务器(而不是站点到站点),并且我想使用两因素身份验证,特别是使用绑定到 ntlm 域或 ldap 服务器的 ssl 证书和密码。
这甚至可能吗?我真的很难挖掘关于做这种事情的信息,所以我开始有点怀疑了。如果有人这样做了,最好知道(或知道做这种事情的开源方式),或者更好的是需要 openvpn 服务器配置来实现这一点。
编辑:我知道 ssl 证书不是理想的因素。:)
尝试在 fujitsu S100R5 服务器(两个驱动器托架)上安装 vmware esxi 5。
我将驱动器作为硬件 RAID 1 阵列,但 vmware 在安装时显示两个物理驱动器。
如果我安装到这些驱动器之一,阵列会降级,并且在启动时显示“无操作系统”,即使在重建之后也是如此。
据我了解(这是我的第一个裸机 vmware 安装)vmware 旨在将逻辑阵列显示为驱动器,您应该在其上安装。
我有点想法,有没有其他人经历过这个?
我一直在尝试锁定我服务器上的一些安全漏洞,并且我找到了 tmp 文件夹。它们都将存储被其他资源使用的文件,但多读一点我发现 /tmp 可以保存一些涉及服务器本身而不是 /var/tmp 的数据。
我的问题是,保护对 /tmp 和 /var/tmp 的写访问有什么含义。我已经尝试保护 /var/tmp ,直到现在没有发生任何不好的事情。
阻止 /tmp 并拒绝保存可能损坏我的服务器的文件是否安全,或者是否存在某种类型的垃圾邮件或类似的东西会影响我的安全?如果我允许在我的服务器上访问这些文件夹,那么漏洞是什么,比如具有 777 权限的可写(就像默认情况下一样)
谢谢