小编Ser*_*gei的帖子

我们在 DMZ 中很少有面向客户的服务器也有用户帐户，所有帐户都在影子密码文件中。我正在尝试整合用户登录并考虑让 LAN 用户针对 Active Directory 进行身份验证。需要身份验证的服务是 Apache、Proftpd 和 ssh。在咨询安全团队后，我设置了具有 LDAPS 代理的身份验证 DMZ，该 DMZ 又与 LAN 中的另一个 LDAPS 代理（proxy2）联系，这个代理通过 LDAP（作为 LDAP 绑定）将身份验证信息传递给 AD 控制器。第二个 LDAP 代理只需要因为 AD 服务器拒绝使用我们的安全 LDAP 实现使用 TLS。这适用于使用适当模块的 Apache。在稍后阶段，我可能会尝试将客户帐户从服务器移动到 LDAP 代理，这样它们就不会分散在服务器周围。

对于 SSH，我将 proxy2 加入了 Windows 域，以便用户可以使用他们的 Windows 凭据登录。然后我创建了 ssh 密钥并使用 ssh-copy 将它们复制到 DMZ 服务器，以便在用户通过身份验证后启用无密码登录。

这是实现这种 SSO 的好方法吗？我是否错过了这里的任何安全问题，或者可能有更好的方法来实现我的目标？

我们有以下设置：

1. mountserver - debian linux
2. fileserver1 - Windows 2008 R2 存储服务器
3. fileserver2 - Celerra NS20 导出 CIFS 共享
4. 工作站 - 带有映射驱动器的 Windows 7 在 fileserver2 上共享

我们在做什么：

• 从挂载服务器上的 fileserver1 挂载共享，例如 /shared/fileserver1
• 从挂载服务器上的 fileserver2 挂载共享，例如 /shared/fileserver2
• 在 mountserver 上运行 rsync 以将数据从 fileserver1 同步到 fileserver2。使用 atime 作为参数同步不早于 X 的数据
• 一段时间后，尝试删除 /shared/fileserver2 上比 Y 更旧的数据。

从我所见，mountserver 上的 linux stat 命令在查询 /shared/fileserver2 上的文件时返回以下内容：

同时，当我使用连接到 fileserver2 的映射驱动器打开同一个文件的属性时，我看到同一个文件的以下内容：

如您所见，使用 stat 命令无法看到 Windows 资源管理器中显示的 8 月 12 日的创建日期

我在这里错过了什么吗？

我有一个简单的设置：

• 内部 USB 拇指驱动器上的 Ubuntu 13.04
• 带有一些卷 /tank/vol1、/tank/vol2 的raidz spool 中的4xSATA 驱动器

zfs 将其配置数据存储在哪里 - 是否在 zpool 的成员驱动器上？如果 USB 拇指驱动器坏了，我需要重新安装它并访问 zpool 上的数据会发生什么？

了解其他系统管理员如何自我教育会很有趣。我发现自己需要不断学习新事物。我更愿意花更多的时间在这个主题上，并彻底了解它，因为我知道不这样做会在将来让我退缩。这有时会令人沮丧，因为我觉得我移动得太慢了。我们公司在 safari.oreilly.com 上有帐户，我随时都在读一两本书。我还阅读了与 sysadmin 相关的博客以获取想法和技巧，并让自己与趋势保持一致。

我不能在家里做任何学习，因为我宁愿把我的工作时间和家人一起度过，而且我发现由于无法在家集中注意力而很难/不可能在家学习。所以我主要在火车上学习，幸运的是我每天的通勤时间最多需要 2 个小时。

我也在工作中阅读了很多书，并且不会为此感到内疚。要修复/实施/计划，我需要有扎实的知识，如果需要时间，那么这是我作为系统管理员的工作的一部分。有一个笑话说“系统管理员是一个对一切都了解很多的人，因此一无所知”-我认为这里有一定的道理......

将 Linux 主机加入 Windows AD 已被广泛记录。但是，我很难找到有关如何加入已经是域成员的 Linux 克隆的任何指南或最佳实践。
由于相同的 SID，事情自然开始破裂。我不能使用“网络广告取消加入”，因为这会从域中删除原始 SID...

我的一个客户在曾经是公司总部的主要城市有一个小办公室。由于组织变革，总部搬到了不同的国家，但所有设备和办公空间都还在原地。现在 CEO 正在尝试为了从这个办公室获得价值，他们的 IT 人员建议将其用作在线存储。
所以你有一个想法，这就是他们所拥有的（列出给我的）：

• 100Mb/100Mb光纤专用上网
• ADSL备份线
• 一个现场机架
• x5 ProLiant DL360 G5 各有 6 GB 和 250 GB 阵列 SAS
• x2 NAS 4TB LACIE QUAD 硬盘
• QNAP 8TB ISCSI Array - 主文件存储池
• 1GB 托管网络设备交换机
• 光纤转码器（路由器）

IT 人员编写了内部 php/mysql webapp，允许基于 SFTP/WinSCP 为客户上传的安全在线备份。没有进行营销，也没有制定商业计划。
CEO 只是想降低几乎空无一人的办公室的成本，并希望将此基础设施用作收入来源。在我看来，考虑到现有的安全在线备份存储产品和成熟的公司已经提供了很多，这是浪费金钱的正确方式。
要使其正常工作，需要在异地存储复制、消除单点故障、认证、营销等方面进行大量投资。
是否有更好的方法来重用此设备/办公室？

我们有许多 Debian 服务器需要修补，随着它们数量的增加，手动修补成为一个问题。我正在研究的是一种将补丁从中央位置推送到服务器并对其运行情况进行某种报告的方法。我相信应该有一种相对简单的方法来做到这一点，而无需购买第三方工具。Puppet 出现在我的脑海中，但也许还有其他想法可以更好地服务于这个目的？

在 Windwos 2k3 中在整个驱动器上设置共享时，我收到一条消息“出于安全原因，您已选择共享整个驱动器，不建议这样做”。我做了一个快速的谷歌搜索，但找不到这些神秘的安全原因。有谁知道它们是什么？

前段时间我在 USB 硬盘上创建了文件系统，昨天我的同事试图安装它。根据我的文档，他所要做的就是运行：

mount -t ext3 /dev/sdX /mnt/usb

这确实有效，但是他坚持认为这是错误的并且不应该起作用，因为我应该只能挂载 /dev/sdXnn分区号在哪里。他的论点是你不能挂载整个设备。

我相信答案可能很简单？

我们正在转向 dataceneter 并计划在 EVA4400 上拥有分层存储 - 用于 SQL 数据库的 FC RAID 10 和跨 24 个 FATA 1TB 磁盘的 RAID5 来自 VMware ESX 来宾。HP 将 FATA 磁盘描述为适合近乎在线存储，但我不相信24 个心轴不足以为 3 个 ESX 服务器运行 VMWare。
有没有人对为什么这可能是一个糟糕的主意有意见？