小编Sig*_*num的帖子

在我们的团队中，我们有三位经验丰富的 Linux 系统管理员，他们必须管理几十台 Debian 服务器。以前我们都使用 SSH 公钥认证作为 root 工作。但是我们就该场景的最佳实践进行了讨论，但未能达成任何一致。

大家的SSH公钥放在~root/.ssh/authorized_keys2

• 优点：使用方便，SSH代理转发容易，开销小
• 缺点：缺少审计（你永远不知道哪个“根”做了更改），更容易发生事故

使用个性化帐户和sudo

这样我们就可以使用 SSH 公钥使用个性化帐户登录，并使用sudo以root权限执行单个任务。此外，我们可以给自己一个允许我们查看日志文件的“adm”组。

• 优点：良好的审计，sudo防止我们太容易做白痴的事情
• 缺点：SSH 代理转发中断，这很麻烦，因为非 root 用户几乎无法完成任何操作

使用多个 UID 0 用户

这是一位系统管理员提出的非常独特的建议。他建议在 /etc/passwd 中创建三个用户，所有用户的 UID 为 0，但登录名不同。他声称这实际上并没有被禁止，并且允许每个人都是 UID 0 但仍然能够进行审计。

• 优点：SSH 代理转发工作，审计可能工作（未经测试），没有sudo麻烦
• 缺点：感觉很脏 - 无法在任何地方找到它作为允许的方式记录

你有什么建议？

我们在 Debian 服务器上广泛使用逻辑卷管理器 (LVM)。但是我发现很难很好地了解我在何处安装了哪些分区（LVM 和本机），从哪个 LV（逻辑卷）从哪个 VG（卷组）和从哪个 PV（物理卷）。有像“lvdisplay -v”和“lvs”这样的控制台工具，但那些总是让我对所有东西都有一个局部的看法。我想要的是像这样的文本表示：

卷组“vgmain”
========================
由物理卷组成：
- /dev/sda1（300 GB，50 GB 未使用）
- /dev/sdb1（300 GB，120 GB 未使用）
- /dev/sdc1（300 GB，没有未使用的）

提供逻辑卷：
- lvroot（EXT3 安装在 /，4 GB，0.5 GB 免费）
- lvmysql（安装在 /var/lib/mysql 上的 XFS，已使用 8 GB，可用 2 GB）

卷组“vghuge”
========================
由物理卷组成：
- /dev/sdc2（800 GB，250 GB 未使用）

提供逻辑卷：
- lvhome（安装在 /home 上的 XFS，300 GB，90 GB 免费）
- lvbackup（安装在 /mnt/backup 上的 XFS，300 GB，20 GB 免费）

就像一个想法一样。有这样的工具吗？如果还没有这样的东西存在，我想我必须自己编写一些脚本来查询“df”、“lvdisplay”、“vgdisplay”和“pvdisplay”并创建这样的概述。

提前致谢。

我们正在为我们的内部网络使用“.intranet.local”域。多年来，“.local”域似乎是在私有 (RFC 1918) IP 地址上运行的本地网络的明智选择。今天我们了解到“.local”现在用于 zeroconf 网络服务。我们的第一个在这里崩溃的软件是“Psi”（Jabber 客户端），它只发送多播 DNS (mDNS) 查询来查找给定的 Jabber 服务器并且失败，因为没有服务/服务器在 224.0.0.251 上侦听。它不使用常规（单播）DNS 的回退，因此失败。

将我们公司的网络移动到另一个内部域会相当复杂。我们还有别的选择吗？就像在我们的本地 DNS 服务器上运行将 mDNS 请求转换为单播 DNS 请求的网络服务一样。

我在我们的 (Linux) 网关上尝试了“avahi-daemon”，但找不到 mDNS 将被转发/转换为单播 DNS 的配置。此外，Avahi 文档警告：

"如果您遇到 .local 是单播 DNS 域的网络，请联系本地管理员并要求他将他的 DNS 区域移动到不同的域。如果这不可能，我们建议不要在这样的网络中使用 Avahi根本没有。 ”

接下来我希望我们的绑定名称服务器可以响应 mDNS 请求，但显然它不能。

在我们的情况下，最好的选择是什么？提前致谢。

我正在尝试为我们的用户提供一个 Apache WebDav 空间，他们可以在其中存储他们的日历 (.ics) 文件。我已经运行了 Dav 和 LDAP 身份验证。但是我没有将用户监禁到某些子目录中。毕竟我不希望他们访问彼此的日历文件。

示例：假设用户johndoe登录。然后我想将他的“ / ”路径映射到磁盘上的/var/www/users/johndoe。这样每个用户都有自己的目录。

到目前为止我尝试过的：

1. 用户目录 /var/www/users/*/

   但似乎这个目录只是设置了 /~johndoe/ 请求的路径，这不是我想要的。

2. 重写规则 ^/ /users/%{REMOTE_USER} [R]

   失败。它可能只是重写了不是我想要的路径。

3. AliasMatch ^/ /var/www/users/%{REMOTE_USER}/

   这应该将路径映射到磁盘上的目录，但 %{REMOTE_USER} 不会扩展。

是否可以将登录用户监禁到某个子目录？提前致谢。