小编Tom*_*nal的帖子

我正在将老化的共享托管系统迁移到更现代的技术。目前，老式的不安全 FTP 是客户访问其文件的唯一方式。

我打算用 SFTP 替换它，但我需要一种方法来创建与一个 UNIX 帐户相对应的多个 SFTP 用户。客户在机器上有一个帐户（例如customer），其主目录类似于/home/customer/.

我们的客户习惯于能够为其域创建任意数量的 FTP 帐户（分发给不同的人）。我们需要与 SFTP 相同的功能。

我的第一个想法是使用 SSH 密钥并将每个新“用户”添加到authorized_keys，但这让我们的客户感到困惑，他们中的许多人在技术上并不感兴趣，并且更愿意坚持使用密码。

SSH 不是问题，只有 SFTP 可用。我们如何创建多个 SFTP 帐户（customer、customer_developer1、customer_developer2等），它们都具有等效功能并且不会干扰文件权限（理想情况下，所有文件都应保留customer为其所有者）？

我最初的想法是某种 PAM 模块，但我不清楚如何在我们的限制范围内完成它。如果 OpenSSH 不适合我们的情况，我们愿意使用替代的 SSH 守护程序；同样，它只需要支持 SFTP 而不是 SSH。

目前我们的 SSH 配置已经附加了这个，以便将用户关在他们自己的目录中：

# 所有客户都有“客户”组
匹配组客户
    ChrootDirectory /home/%u # 在主目录下监狱
    AllowTcpForwarding 否
    X11转发无
    ForceCommand internal-sftp # 强制 SFTP
    PasswordAuthentication yes # 对于非客户帐户，我们使用密钥代替

我们的服务器运行的是 Ubuntu 12.04 LTS。

我已经设置了一个有效的 postfix 服务器，只是所有传入的邮件都被拒绝了。

当我尝试通过 telnet 发送邮件时：

MAIL FROM: <tom@valid.domain.com>
250 2.1.0 Ok
RCPT TO: <tom@mydomain.com>
554 5.7.1 <my.host.name[1.2.3.4]>: Client host rejected: Access denied

我的 postconf -n

alias_database = hash:/etc/postfix/aliases
alias_maps = hash:/etc/postfix/aliases
append_dot_mydomain = 否
比夫 = 否
broken_sasl_auth_clients = 否
config_directory = /etc/postfix
延迟警告时间 = 4 小时
inet_interfaces = 全部
邮箱大小限制 = 0
masquerade_domains = mail.mydomain.com www.mydomain.com
maximal_backoff_time = 8000s
maximal_queue_lifetime = 7d
minimum_backoff_time = 1000s
我的目的地 = 
我的网络 = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = techxonline.net
readme_directory = 否 …

远程加密虚拟服务器（VPS、EC2等云服务器）的硬盘是否可行？这将有助于保护硬盘驱动器的内容不被主机窥探或由于安全漏洞而导致，但存在一些问题：

• 密码必须在启动时输入。远程，这甚至可能吗？
• 主机可以在输入密码时简单地窥探密码吗？
• VPS 提供对机器的块级访问，还是仅提供文件级访问？加密甚至可能吗？
• 主持人（或法官/警察/持枪男子告诉他们该做什么）最终控制硬件；他们是否可以在机器运行时简单地检查内存（类似于不关闭机器电源的冷启动攻击）？

考虑到这些问题，用敏感数据加密服务器只是安全剧院，还是可以通过未加密的驱动器提供真正的安全性？

现在我有一个小型服务器处理一些事情——DNS、HTTP 服务、电子邮件等——并将我的所有数据存储在/data/我在我管理的所有服务器上创建的目录中。

我喜欢将数据存储在其中的原因/data/是，我可以通过对整个目录进行 tar-ing 来轻松备份重要数据。如果我要备份整个系统，我会有很多我不需要的额外数据（目前，我每周备份一次系统，/data/每晚备份一次目录）。

由于我打算一个比较大的设置，现在（10+机），我不知道是否有任何理由，我应该存储在数据/var/或其他目录，而不是/data/。

感谢您的建议。

如果我去某个大型组织的工作站并尝试从 USB 驱动器运行可执行文件，它不会让我这样做。

这是组策略中的什么设置或执行此操作的其他任何地方？

如果我有两个 shell 打开每个 ping 同一台主机，这两个 shell 如何区分每个 shell 返回的 ICMP 响应？

在Reddit 上阅读了一个类似的问题后，我想听听 serverfault 社区关于让维护人员在没有监督的情况下进入服务器机房的做法。

存在明显的危险，例如：

• 盗窃（物理服务器和数据）
• 打破东西（引入水，跳闸等）

维护人员通常可以进入服务器机房吗？

我负责托管一个又大又慢但易于扩展的 PHP 应用程序。该应用程序是完全静态的，需要可写磁盘存储。我们已经分析了应用程序，主要瓶颈似乎来自加载应用程序而不是应用程序所做的工作。该应用程序不是 CPU 密集型的，尽管它确实使用了相当数量的内存（想想 Magento）。

目前，我们通过在硬盘驱动器上具有相同 PHP 文件的一系列服务器和在它们前面的负载平衡器来分发它。容易但昂贵。

我一直在阅读有关RAM 磁盘及其提供的 IO 优势的信息，并想知道它们是否非常适合 PHP 应用程序。

由于 PHP 应用程序是针对每个请求从磁盘加载的，并且通常涉及许多不同的文件（而不是像 Java 应用程序那样保存在内存中），我认为磁盘性能可能是一个严重的瓶颈。

将 PHP 文件放在 RAM 磁盘上并使用挂载点作为 Apache 的文档根目录会提供性能优势吗？启动脚本可以创建 RAM 驱动器，然后将文件（纯文本和小文件）从永久位置复制到临时 RAM 驱动器。

这是否有意义，还是我应该相信 linux 内核自己将适当的文件缓存在内存中？