小编Bel*_*dez的帖子

我在我的 SMTP 服务器上为我的域和 DKIM 消息签名配置了硬故障 SPF。由于这是唯一应该用于从我的域发出邮件的 SMTP 服务器，因此我没有预见到任何复杂情况。

但是，请考虑以下情况：我通过我的 SMTP 服务器向我同事的大学电子邮件发送了一封电子邮件。问题是我的同事将他的大学电子邮件转发到他的 GMail 帐户。这些是邮件到达他的 GMail 邮箱后的标题：

Received-SPF: fail (google.com: domain of me@example.com 没有指定 192.168.128.100 作为允许的发件人) client-ip=192.168.128.100;
身份验证结果：mx.google.com；spf=hardfail（google.com：me@example.com 的域未将 192.168.128.100 指定为允许的发件人）smtp.mail=me@example.com；dkim=hardfail（测试模式）header.i=@example.com

（标题已被清理以保护非 Google 方的域和 IP 地址）

GMail 根据我的 SPF 和 DKIM 记录检查传送链中的最后一个 SMTP 服务器（理所当然）。由于交付链中的最后一个 STMP 服务器是大学的服务器而不是我的服务器，因此检查会导致 SPF 硬故障和 DKIM 故障。幸运的是，GMail 没有将邮件标记为垃圾邮件，但我担心这可能会在将来引起问题。

我对 SPF hardfail 的实施可能太严格了吗？我应该注意的任何其他建议或潜在问题？或者也许有更理想的大学电子邮件转发程序的配置？我知道转发服务器可能会更改信封发件人，但我看到这变得很混乱。

这似乎是一个愚蠢的问题，但我可以认为这是令人困惑的。例如：

“进入根目录”

可以解释为：

1. 去 /

2. 去~root（通常/root/）

我认为类似的东西是super为了更好的默认管理员用户名。这将避免目录结构的歧义。

再次：愚蠢的问题，但我真的很好奇。

当我加入时，我们所有的 SA 都必须记住系统的 root 密码。我觉得这很麻烦（当有人从公司离职时，我们必须接触每台服务器并更改密码）且不安全。

终于有足够的拉力来推送具有sudo访问权限的个人帐户。我想平稳过渡，所以这是我的初步计划：

1. 允许 SA 执行“已批准”的命令而无需输入密码。
2. 每次使用sudo. 如果认为有必要，我将审核此命令并将它们定义为“已批准”，或者如果它们构成安全风险，则阻止它们被执行。

我们的用户规范如下所示：

%sysadmins      ALL =  PASSWD: ALL, NOPASSWD: SERVICES, FILE_READING, !/bin/su

问题：sudo当执行配置PASSWD为的命令时，我如何进行审计（最好通过电子邮件，但日志可以）？

背景

我已经在大学担任兼职初级系统管理员 5 年了。我现在正在寻找 Linux 系统管理员的全职职位。我相信我非常有能力，并且已经参加了几次第二——甚至第三轮——面试。然而，我一直因为“缺乏经验”而被拒绝。

假设如何获得或弥补这种“经验”？

我知道 SF 上也有类似的问题，但它们没有解决我的问题。

以前的问题

获得系统管理员技能

我参加了招聘经理对我进行的技术测试，并且表现相当不错。事实上，上周，管理考试的人说我在几个问题上是正确的，以前的考生和大多数已经就业的团队都没有正确回答。然而，今天，我接到经理的电话，说他们和更有经验的人一起去了。所以这不是技能的问题。

获得系统管理员经验

我在家里运行一个小型网络，其中包括从自定义 iptables 防火墙到 Samba 共享的所有内容。尽管过去只是兼职初级系统管理员，但我在无数项目中扮演了重要角色；旁边的高级系统管理员。我可以自信地说我已经拥有了自己。

所以我的问题...

• 我如何获得这种“经验”？也许获得认证？

• 也许初级系统管理员不是合适的入门级工作？

• 我应该寻找其他东西吗？

• 这些只是不雇用我的蹩脚借口，也许我太看重它了吗？

任何想要加入的招聘经理：请这样做。

加油我的SF人。给我希望，让我在这里振作起来。我已经听过 3 次“缺乏经验”的原因，这无疑削弱了我的信心。

我们经常需要弄清楚以下问题：

1. 如果我们关闭 a 会影响哪些服务server x？
2. 什么时候license x到期？
3. 有哪些 KVM 来宾host x？
4. 我们的 VMWare 许可证可以支持feature x吗？

大家是怎么处理这些问题的？是否有工具或软件可以帮助准确记录所有或大部分这些项目？

我和一位同事都认为这是一个明确的“不”，但不可否认，我们的网络知识是有限的。

甚至有可能在事先不了解网络配置的情况下（即没有 DHCP 或静态 IP 配置方便），您可以找出网络的网关吗？如果确实可能，如何实现？

我们有大约 9-10 个设备，我们希望将日志记录定向到我们的 rsyslog 服务器。但是，只有 8 个本地设施（0-7）。我们怎样才能绕过这个限制？

我们在共享存储 (NFS) 上的 VMWare 集群中有 4 台 ESXi 5.0 主机，启用了 DRS 和 HA。

我们想在其中一台主机上执行内存升级。我们将该主机置于维护模式，但 DRS 不会自动实时迁移 VM。

我认为这与我们的设置有关：

诚然，我对 VMWare 的 DRS 不太熟悉。有人可以为我们提供一些指导吗？

对于主要的 Ansible 用户来说，似乎只有两种合理的方法：

• 使用 root
• 使用ansible具有NOPASSWD sudo访问权限的其他用户（例如）

第一个选择是不可行的，因为我对继续下去的想法感到畏缩PermitRootLogin。因此，默认情况下，第二个选项似乎是要走的路。

我在想，至少，在/etc/ssh/sshd_config：

Match User ansible
    PasswordAuthentication No

并通过使用以下from选项限制 Ansible 主机的密钥使用authorized_keys：

from="192.168.100/24"

到目前为止，我的想法还有其他想法或问题/疑虑吗？

根据VMWare 的 VM 定制矩阵，我正在 vSphere 5.5 Update 2d 上对此进行测试。我使用 RHEL 7.1 DVD 创建模板并将 anaconda 指向如下所示的 kickstart：

#version=RHEL7
# Ref: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Installation_Guide/sect-kickstart-syntax.html

# System authorization information
auth --enableshadow --passalgo=sha512

# Installation
cdrom
text
poweroff

# Run the Setup Agent on first boot
firstboot --disable
ignoredisk --only-use=sda

# Localization
keyboard --vckeymap=us --xlayouts='us'
lang en_US.UTF-8
timezone America/New_York --isUtc

# Network information
network  --bootproto=static --ip=192.168.3.10 --netmask=255.255.255.0 --gateway=192.168.3.1 --nameserver=192.168.3.1 --hostname=rhel-template.example.com

# Root password
rootpw --iscrypted $6$SNIP

# Storage
bootloader --append=" crashkernel=auto" --location=mbr --boot-drive=sda
clearpart …