小编mil*_*dos的帖子

是否可以禁用对用户的 PASSWORD SSH 访问，但允许基于每个用户的密钥身份验证？我的意思是，我有一个 userA，我不想给他提供基于密码的访问权限，但我不想他只使用密钥身份验证来访问服务器。谢谢

当我尝试访问不存在的 URL 时，我正用头撞在一张桌子上，试图找出是什么导致了我的 nginx 配置中的重定向循环配置如下：

server {
        listen       127.0.0.1:8080;
        server_name  .somedomain.com;
    root  /var/www/somedomain.com;

        access_log /var/log/nginx/somedomain.com-access.nginx.log;
    error_log  /var/log/nginx/somedomain.com-error.nginx.log debug;

        location ~* \.php.$ {
        # Proxy all requests with an URI ending with .php*
        # (includes PHP, PHP3, PHP4, PHP5...)
        include /etc/nginx/fastcgi.conf;
        }

        # all other files
        location / {
            root  /var/www/somedomain.com;
        try_files $uri $uri/ ;
        }

    error_page 404 /errors/404.html;
        location /errors/ {
                alias /var/www/errors/;
        }       

        #this loads custom logging configuration which disables favicon error logging
        include /etc/nginx/drop.conf;
}

此域是一个简单的 STATIC HTML …

在过去的几天里，我一直试图了解我们的基础设施中发生的怪事，但我一直无法弄清楚我们的情况，所以我求助于你们给我一些提示。

我一直在 Graphite 中注意到，load_avg 的峰值大约每 2 小时发生一次，具有致命的规律性 - 不完全是 2 小时，但非常规律。我附上了一张我从 Graphite 中截取的截图

我一直在研究这个问题——这种规律性让我认为这是某种 cron 作业或类似的东西，但这些服务器上没有运行 cronjobs——实际上这些是在 Rackspace 云中运行的虚拟机。我正在寻找的是某种可能导致这些问题的迹象以及如何进一步调查。

服务器相当空闲 - 这是一个临时环境，因此几乎没有流量进入/应该没有负载。这些都是 4 个虚拟核心 VM。我可以肯定的是，我们大约每 10 秒采集一次 Graphite 样本，但如果这是造成负载的原因，那么我希望它会一直很高，而不是每 2 小时在不同服务器上的波次中发生一次。

任何有关如何调查此问题的帮助将不胜感激！

以下是来自 sar 的 app01 的一些数据——这是上图中的第一个蓝色尖峰——我无法从数据中得出任何结论。也不是您看到的每半小时（不是每 2 小时）发生的字节写入峰值是由于厨师客户端每 30 分钟运行一次。我会尝试收集更多数据，即使我已经这样做了，但也无法真正从这些数据中得出任何结论。

加载

09:55:01 PM   runq-sz  plist-sz   ldavg-1   ldavg-5  ldavg-15   blocked
10:05:01 PM         0       125      1.28      1.26      0.86         0
10:15:01 PM         0       125      0.71      1.08      0.98         0
10:25:01 PM         0       125      4.10      3.59      2.23         0
10:35:01 PM         0       125      0.43      0.94 …

我在 /etc/nginx/drop.conf 中有以下 drop.conf 文件

# if you don't like seeing all the errors for missing favicon.ico requests
# sent by a lot of browsers in root we dont need to log these - they mean extra IO
location = /favicon.ico { access_log off; log_not_found off; }

# if you don't like seeing errors for a missing robots.txt in root
# same reason as above - extra IO
location = /robots.txt { allow all; access_log off; log_not_found off; }

location …

有什么方法可以清理主服务器上的 postgres WAL 文件 - SLAVE 是可以的，但是 master 将 wal keep 段设置为 2000，这导致磁盘空间使用量增加。我正在寻找一种如何在不破坏任何东西的情况下清理 MASTER 上的磁盘空间的方法。我知道将保留段设置为 2000 是疯狂的，但这不是我设置的。

当我创建一个虚拟网络接口然后将其启动时，它显示处于 UNKNOWN 状态：

root@5b8dd2855a9c:# ip l a boom type dummy
root@5b8dd2855a9c:# ip l show boom
58: boom: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN mode DEFAULT
    link/ether 1e:f6:4b:60:ff:1a brd ff:ff:ff:ff:ff:ff
root@5b8dd2855a9c:# ip l set boom up
root@5b8dd2855a9c:# ip l show boom
58: boom: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state **UNKNOWN** mode DEFAULT
    link/ether 1e:f6:4b:60:ff:1a brd ff:ff:ff:ff:ff:ff
root@5b8dd2855a9c:#

有谁知道为什么？我尝试为其分配 IP 地址，但这并没有解决问题。

我在以下机器上对此进行了测试：

root@5b8dd2855a9c:# uname -a
Linux 5b8dd2855a9c 3.16.1-tinycore64 #1 SMP Fri Aug 22 05:53:09 UTC 2014 x86_64 GNU/Linux
root@5b8dd2855a9c:#

更新：

所以看起来这并没有使接口无法操作。经过一些奴隶谷歌搜索后，我发现了 …

我们已经设置了 3 个运行keepalived 的服务器。我们开始注意到一些我们无法解释的随机连任发生，所以我来到这里寻求建议。

这是我们的配置：

掌握：

global_defs {
  notification_email {
    webops@example.com
  }
  notification_email_from keepalived@hostname
  smtp_server example.com:587
  smtp_connect_timeout 30
  router_id some_rate
}


vrrp_script chk_nginx {
  script "killall -0 nginx"
  interval 2
  weight 2
}

vrrp_instance VIP_61 {
  interface bond0
  virtual_router_id 61
  state MASTER
  priority 100
  advert_int 1
  authentication {
    auth_type PASS
    auth_pass PASSWORD
  }
  virtual_ipaddress {
    X.X.X.X
    X.X.X.X
    X.X.X.X
  }
  track_script {
    chk_nginx
  }
}

备份1：

global_defs {
  notification_email {
    webops@example.com
  }
  notification_email_from keepalived@hostname
  smtp_server example.com:587
  smtp_connect_timeout 30
  router_id …

我在我们的一个开发环境中继承了一台服务器，并立即发现在发现心脏出血时它没有打补丁。

现在，我已经升级了它 - 包括所有 SSL 库并且我重新生成了自签名证书，但即使在整个服务器重新启动后，它仍然显示为容易受到各种 Heartbleed 检查器的攻击。

这就是事物的状态。Ubuntu/内核版本：

root@server:~# uname -a
Linux server.domain.com 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
root@server:~#

OpenSSL 库版本：

root@server:~# dpkg -l|grep ssl
ii  libio-socket-ssl-perl            1.53-1                            Perl module implementing object oriented interface to SSL sockets
ii  libnet-ssleay-perl               1.42-1build1                      Perl module for Secure Sockets Layer (SSL)
ii  libssl1.0.0                      1.0.1-4ubuntu5.13                 SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.13                 Secure Socket Layer (SSL) binary and related cryptographic tools
ii  python-openssl                   0.12-1ubuntu2.1                   Python wrapper around …