小编sa2*_*289的帖子

当我在 Linux 中时，我可以从lsblk（从输出中删除不相关的驱动器）获取以下信息：

NAME  MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda     8:0    0   298G  0 disk 
sdb     8:16   0   2.7T  0 disk

当我手动将驱动器从服务器中拉出时，我可以看出我实际使用了以下驱动器：

0  Seagate 320GB
1  Seagate 320GB
2  Hitachi 1TB
3  Hitachi 1TB
4  Hitachi 1TB
5  Hitachi 1TB
6  [empty]
7  [empty]

因为服务器中的物理存储空间多于 Linux 中的可用空间，这意味着我显然在使用某种形式的 RAID 系统。通过一些数学运算，我通常可以弄清楚正在使用哪种类型的 RAID 系统。

有没有办法让我检测我是否在 Linux 内部使用硬件 RAID ，并找出有关它的所有信息（例如 RAID 类型、可用驱动器），而无需关闭服务器、物理拔出驱动器，并阅读他们的标签？

这些信息可以从 Linux 内部收集，还是硬件 RAID 的目的是使底层系统对操作系统“不可见”？

维基百科说“RAID 2 是唯一的标准 RAID 级别，除了 RAID 6 的一些实现，它可以从数据的单个位损坏中自动恢复准确的数据。”

有谁知道 Linux 中的 RAID 6 mdadm 实现是否是这样一种实现，它可以自动检测单比特数据损坏并从中恢复。如果 CentOS / Red Hat 6 与其他版本不同，则这适用于 CentOS / Red Hat 6。我尝试在网上搜索，但运气不佳。

由于 SATA 错误率为 1/1E14 位，以及包含 1.6E13 位的 2TB SATA 磁盘，这对于防止数据损坏尤其重要。

编辑 2015 年 6 月 17 日

我相信这不是我最初认为的问题 - 请参阅硬盘 / SSD - 错误的检测和处理 - 是否可靠地防止了静默数据损坏？更多细节

有谁知道 Apache 2.2.x 的生命周期结束日期是什么时候？从历史规律来看，我猜测是2016年或者2017年（1.3和2.0都是11到12年之间，2.2是2005年出来的）。

我希望找到一些权威的东西，例如计划的生命周期结束日期或最小承诺生命周期结束日期（即 Apache 软件基金会保证它至少会得到支持，直到至少 20##），但我在网上找不到任何东西除了历史上发生的事情。

有关历史发布和 EOL 日期，请参阅https://en.wikipedia.org/?title=Apache_HTTP_Server#Development 上的表格。

编辑 #2 2015 年 7 月 23 日：寻找一个新的答案，以识别以下设置中遗漏的重要安全项目，或者可以让我们有理由相信一切都已涵盖。

编辑 #3 2015 年 7 月 29 日：我特别在寻找可能的错误配置，例如无意中允许可能被利用来规避安全限制的东西，或者更糟的是却留下了一些大的漏洞。

这是多站点/共享主机设置，我们希望使用共享 Apache 实例（即在一个用户帐户下运行），但 PHP/CGI 以每个网站的用户身份运行，以确保没有站点可以访问另一个站点的文件，我们希望确保没有遗漏任何内容（例如，如果我们不知道符号链接攻击预防）。

这是我到目前为止所拥有的：

• 确保 PHP 脚本作为网站的 Linux 用户帐户和组运行，并且被监禁（例如使用 CageFS）或至少使用 Linux 文件系统权限进行适当限制。
• 使用 suexec 确保 CGI 脚本不能以 Apache 用户身份运行。
• 如果需要服务器端包含支持（例如在 shtml 文件中），请使用Options IncludesNOEXEC以防止 CGI 在您不希望它运行时能够运行（尽管如果使用 suexec，这应该不是什么大问题）。
• 具有符号链接攻击保护，以便黑客无法欺骗 Apache 以纯文本形式提供另一个网站的文件并披露可利用的信息，例如数据库密码。
• 将AllowOverride/配置AllowOverrideList为仅允许黑客无法利用的任何指令。我认为如果上述项目做得正确，这就不那么重要了。

如果 MPM ITK 不是那么慢并且不是以 root 身份运行，我会选择它，但我们特别想使用共享的 Apache，但要确保它安全地完成。

我找到了http://httpd.apache.org/docs/2.4/misc/security_tips.html，但它在这个主题上并不全面。

如果有帮助的话，我们计划将 CloudLinux 与 CageFS 和 mod_lsapi 一起使用。

还有什么需要确保做或知道的吗？

编辑 2015 年 7 月 20 日：人们提交了一些很好的替代解决方案，这些解决方案通常很有价值，但请注意，此问题仅针对共享 Apache …

当 yum 有时安装更新时，它会给出一些消息，例如：

warning: /etc/ssh/sshd_config created as /etc/ssh/sshd_config.rpmnew

我的想法是对这些采取行动是明智的，因为可能偶尔会对出于安全原因执行的重要配置文件进行一些调整；但是，我想知道我是不是太谨慎了，这只是理论上的问题，在实践中并不是真正的问题。

我想我想问的是，在过去几年中，任何人都知道不合并 .rpmnew 文件会产生一些值得注意的不良影响——尤其是安全方面，但其他角度，如稳定性或配置的可取性可能是值得一提。

有时，如果剪贴板上的文本被粘贴到 shell 中并且它包含一个返回字符，即使这不是意图，它也会执行。有时甚至可能会错误地粘贴多行，然后可能会运行意外的命令。

我明白在一个完美的世界里，这些错误永远不会发生，但有没有办法防止这种情况发生，以避免人为错误的风险？

使用 mdadm 的 3 路 RAID1 是否是一个很好的解决方案，能够承受任何两个驱动器故障而不会出现 RAID 故障？我知道这在只能使用 1/3 的磁盘空间（3 个驱动器中的 1 个）的意义上来说是额外的，但除此之外呢？

有没有人有在 Linux 网络服务器上运行杀毒软件的经验，尤其是 CentOS，你有什么推荐？我有兴趣将它放在我们拥有的 Web 服务器上，作为检测和防止网站入侵的另一种方法（比整个服务器受损更重要，尽管这也很好）。虽然理想情况下所有网站都具有完美的安全性，但最好再采取一项安全措施，因为事情很少是完美的。

过去，我曾看到卡巴斯基在 Windows 机器上运行时捕获恶意 JavaScript 文件，这使我走向了它，因为他们有一个支持 CentOS 的 Linux 产品，但如果有更好的东西我也会感兴趣，或者如果有人有不好的经历有了它，请分享。

我更喜欢有商业支持的大牌，所以他们有资源和时间来应对最大的威胁，但是如果有人尝试过 ClamAV 和一个或多个商业的，并认为 ClamAV 更好（或有其他理由说 ClamAV 更好），我肯定有兴趣知道。

谢谢！

将 APC 配置为 PHP 的操作码缓存时，有一个名为 apc.mmap_file_mask 的配置设置。从我读过的内容来看，您可以通过三种方式对其进行配置，但我并不真正了解每种方式的含义。

1. /tmp/apc.XXXXXX -（默认）“文件支持的 mmap”
2. /tmp/apc.shm.XXXXXX - 使用“POSIX 风格的 shm_open/mmap”
3. /dev/zero - “使用内核的 /dev/zero 接口访问匿名 mmap'ed 内存”

来源：http : //php.net/manual/en/apc.configuration.php#ini.apc.mmap-file-mask

任何人都可以评论这些以及他们会推荐什么吗？我猜会有内存使用和性能方面的影响，也许还有安全方面的影响，但我不知道是不是这样？根据我完成的阅读，我假设 #2 和 #3 更快，但我认为 APC 已经在使用共享内存（由 apc.shm_size 设置），所以我不明白。

当驱动器发生错误时，假设它总是会被检测到并将其报告给操作系统（如果是软件 RAID，例如 mdadm）或 RAID 控制器（如果是硬件 RAID）作为读取失败（即不会静默返回损坏的数据），然后 RAID 软件/控制器将采用该事实并使用 RAID 中的其他驱动器来读取数据（假设它是具有冗余的 RAID 类型）？

据我了解，现代企业级驱动器具有到位的错误检测方案，所以我假设情况确实如此，但很难在网上找到任何结论。我想这个答案在一定程度上取决于驱动器内置的错误检测的质量，所以如果重要的话，我对英特尔 DC S3500 系列固态硬盘最感兴趣。

编辑 5-Jun-2015 - 澄清：

具体来说，我想知道今天用于检测错误的算法是否防弹。在一个简单的例子中，如果错误检测只是对扇区中的所有位进行异或，那么如果两个位被翻转，则不会检测到错误。我想它们比这更先进，但我想知道错误未被发现的几率是多少，如果它低到我们甚至不必担心它，以及是否有一些权威来源或值得信赖的文章可以在某个地方被引用。

编辑 2015 年 6 月 10 日

更新了问题标题和问题正文，使其更符合磁盘错误的概念（不像原来那样以 mdadm 为中心）。