server

Usando o Rocky 9.4 e o OpenSSH 8.7p1, tenho um par de chaves RSA que não é aceito, a menos que o sshd esteja em modo de depuração. (Felizmente, tenho um par antigo que funciona).

Desativei o SSH_AUTH_SOCK e verifiquei que nenhum agente está envolvido. Movi o ~/.ssh/config para evitar essa complicação. Verifiquei que o ~/.ssh/ está no modo 0700, id_rsa e authorized_keys estão em 0400 e known_hosts está em 0600. Confirmei que a chave pública correta está em authorized_keys e verifiquei usando 'ssh-keygen -l'.

Quando o sshd está sendo executado como um serviço e eu executo 'ssh -avv -i ~/.ssh/id_rsa localhost', vejo:

Offering public key:  (with the correct filename and SHA256 fingerprint)
we sent a publickey packet, wait for reply
Authentications that can continue:  publickey, ...
we did not send a packet, disable method
Next authentication method: keyboard-interactive

... e sou solicitada minha senha normal.

/var/log/secure mostra:

Connection from 127.0.0.1 ...
Failed publickey for (user) and shows the same correct SHA256 code.

Encontrei o conselho de que eu deveria interromper o serviço sshd e executá-lo manualmente em modo de depuração. Abri uma segunda sessão como root e executei:

systemctl stop sshd
/usr/sbin/sshd -D -ddd -e

Quando repito o comando 'ssh -avv -i ~/.ssh/id_rsa localhost' na janela do usuário original, vejo:

Offering public key:  (with the correct filename and SHA256 fingerprint)
we sent a publickey packet, wait for reply
Server accepts key:   (with the correct filename and SHA256 fingerprint)
Enter passphrase for key '(filename)':  (I type passphrase)
Authenticated to 127.0.0.1 (via proxy) using "publickey".

... e consegui fazer login usando a mesma chave.

Eu esperava que sshd -D -ddd me ajudasse a descobrir o problema, mas ele aceita minha chave com prazer.

Atualização 2024-04-30

Seguindo a sugestão de @mircea-vutcovici , a configuração LogLevel: DEBUGgerou sshdsequências diferentes de mensagens ao tentar chaves diferentes: a tentativa com falha incluiu uma mensagem que authorized_keysnão era legível, apesar de todas as chaves estarem no mesmo arquivo e na mesma sshdinstância!

Meu diretório home é um compartilhamento NFS e o SELinux está sendo aplicado, então pesquisei mais usando a sugestão do @grawity : ls -LZproduziu system_u:object_r:nfs_t:s0um rótulo genérico do SELinux. Aparentemente, isso é um problema se a montagem NFS preceder o patchwork de carregamento da política SELinux: selinux: faça o NFS rotulado funcionar quando montado antes do carregamento da política . Esse problema foi corrigido em 2023 e deveria ter sido incluído no Rocky 9.4 (meados de 2024). Dito isso, /homeé montado com NFS, vers=3a propósito.

Finalmente, encontrei um encantamento útil serverfault: Rótulos SELinux errados em casas NFS? : setsebool -P use_nfs_home_dirs on. Agora posso usar ambas as chaves, mas ainda não consigo entender por que elas foram tratadas de forma diferente, já que ambas as chaves públicas estão no mesmo arquivo e ambas as chaves privadas têm as mesmas permissões na mesma pasta.

Acabei de me deparar com uma pergunta semelhante de 13 anos atrás: a autenticação de chave pública falha SOMENTE quando sshd é daemon . Aparentemente, o SELinux é sempre o problema :-) Vou dar os créditos ao @grawity por uma resposta que me fez cair em uma grande enrascada.

Tenho uma conexão SSL com um servidor (owner-api.teslamotors.com) que trava com wget, curl ou openssl s_client. Estou mostrando a versão curl, pois ela fornece a maioria das mensagens de depuração:

# curl -iv https://owner-api.teslamotors.com 
*   Trying 18.203.70.200:443...
* Connected to owner-api.teslamotors.com (18.203.70.200) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs

Lá ele trava depois de ClientHello. Conexão TCP estabelecida com sucesso (também confirmada com telnet/nc). Outra conexão de rede, incluindo qualquer conexão SSL que eu tentei, funciona. Exceto owner-api.teslamotors.com:443.

Achei esta postagem falando sobre MTU e parecia absurdo. Mas reduzi o MTU do servidor e funcionou! Funciona com qualquer MTU <= 1420.

O servidor se conecta usando Ethernet (MTU 1500) a um roteador Mikrotik e de lá a conexão passa por um túnel WireGuard (MTU 1420). Estou ciente de que isso pode não ser o ideal, pois qualquer pacote IP do servidor >1420 precisará ser fragmentado. No entanto, isso é agnóstico de qualquer protocolo L4. SSL sobre TCP não deve se importar com fragmentação e MTU. No entanto, este host se importa.

Executei uma captura de pacotes na caixa Mikrotik e o tráfego não lista nada de anormal para mim:

O típico handshake TCP Num 1-3, depois ClientHello (Num 4-5) e ServerHello (Num 6-7). Nenhum tamanho de pacote chega perto do MTU e nenhuma outra mensagem ICMP que indicaria problemas com fragmentação etc.

Por comentário, aqui está a saída do tracepath:

# tracepath owner-api.teslamotors.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  XX.XX.56.210                                          0.410ms 
 1:  XX.XX.56.210                                          0.198ms 
 2:  XX.XX.56.210                                          0.138ms pmtu 1420
 2:  XX.XX.56.185                                        151.394ms 
 3:  no reply
 4:  100.100.200.1                                       157.220ms 
 5:  10.75.0.193                                         154.068ms 
 6:  10.75.2.53                                          161.950ms asymm  7 
 7:  decix1.amazon.com                                   152.107ms asymm  8 
 8:  decix2.amazon.com                                   153.068ms 
 9:  no reply
 [...]

Estou realmente perdido, o que diabos está acontecendo aqui?

Por que essa conexão SSL falha?

Estou tentando configurar o MD RAID1 (usando o mdadm) com a --write-mostlyopção para que um volume de rede (EBS) e uma unidade local sejam espelhos um do outro (a ideia é que a unidade local seja efêmera para minha instância, mas tenha melhor desempenho).

Para testar essa ideia, obtenho uma estimativa de desempenho básica da minha unidade usando os dois scripts a seguir.

fio -name=RandWrite -group_reporting -allow_file_create=0 \
  -direct=1 -iodepth=128 -rw=randwrite -ioengine=io_uring -bs=32k \
  -time_based=1 -ramp_time=10 -runtime 10 -numjobs=8 \
  -randrepeat=0 -norandommap=1 -filename=$BENCHMARK_TARGET

# Read performance
fio -name=RandRead -group_reporting -allow_file_create=0 \
  -direct=1 -iodepth=128 -rw=randread -ioengine=io_uring -bs=32k \
  -time_based=1 -ramp_time=10 -runtime 10 -numjobs=8 \
  -randrepeat=0 -norandommap=1 -filename=$BENCHMARK_TARGET

Resultados:

• Unidade de rede: 117 MiB/s de gravação, 117 MiB/s de leitura
• Unidade local: 862 MiB/s de gravação, 665 MiB/s de leitura

O problema surge quando introduzo o mdadm. Mesmo ao usar um trivial no-mirror "RAID1", o desempenho de gravação é severamente pior ao usar a unidade de rede.

mdadm --build /dev/md0 --verbose --level=1 --force --raid-devices=1 "$TARGET"
# mdadm --detail /dev/md0
/dev/md0:
           Version :
     Creation Time : Mon Sep 30 14:22:41 2024
        Raid Level : raid1
        Array Size : 10485760 (10.00 GiB 10.74 GB)
     Used Dev Size : 10485760 (10.00 GiB 10.74 GB)
      Raid Devices : 1
     Total Devices : 1

             State : clean
    Active Devices : 1
   Working Devices : 1
    Failed Devices : 0
     Spare Devices : 0

Consistency Policy : resync

    Number   Major   Minor   RaidDevice State
       0       8       16        0      active sync   /dev/sdb

• Matriz RAID1 de 0 espelhos apoiada por unidade de rede: 69,9 MiB/s de gravação, 118 MiB/s de leitura
• Matriz RAID1 de 0 espelhos apoiada por unidade local: 868 MiB/s de gravação, 665 MiB/s de leitura

Como podemos ver aqui, o desempenho de gravação não mudou muito para a unidade local (MD-raid vs. acesso raw), mas é severamente prejudicado ao usar a unidade de rede via MD-raid. Por que isso acontece?

Pergunta

Existe uma regra geral sobre se a inserção de hardware conectado ao PCIe (e não a remoção) de uma placa-mãe em execução (ou apenas alimentada, se relevante) pode ser perigosa para o hardware, especialmente para a placa-mãe? Já vi uma infinidade de perguntas sobre remoção, mas não adição.

Se não houver uma regra geral, estou procurando uma certificação específica ou capacidade nomeada no hardware e/ou placa-mãe a ser conectado?

Justificativa

Estou avaliando um bug com uma NIC PCIe - um TP-LINK AXE5400 que causa BSoD no Windows 11 se conectado durante a instalação do sistema operacional via USB - o que envolve uma quantidade significativa de conexão e desconexão. Costumo desabilitar o UEFI Fast Boot para garantir e não quero ter que reativá-lo e desligá-lo e reinicializá-lo manualmente sempre que quiser avaliá-lo (des/re-)conectado.

(Falta de) duplicatas

1. Isso é o oposto de Posso retirar uma placa do barramento PCI-x sem desligar?

   Eu acidentalmente esqueci de desconectar a energia de um servidor ao puxar uma placa, mesmo que o sistema estivesse desligado no nível do sistema operacional.

   Infelizmente, isso parece ter corrompido o BIOS do sistema e o BIOS IPMI/BMC. Também parece ter frito o vídeo on-board.

   Isso ocorreu em uma placa-mãe Supermicro e é por isso que tentei atualizar novamente o BIOS principal e o BIOS IPMI. A atualização do BIOS principal ocorreu sem problemas e nenhum erro é mostrado em nenhum registro do BIOS.

   Achei que a tecnologia hotplug deveria significar que eu poderia puxar fisicamente uma placa enquanto ela estava em execução. Pesquisas na internet parecem implicar isso.

   ... porque posso imaginar que a árvore de dispositivos seria afetada de forma significativamente menos problemática se ocorresse uma adição, já que não é como remover uma GPU durante a operação (o que causaria todos os tipos de problemas previsíveis).

2. https://serverfault.com/search?q=insert+pcie+running+machine retornou 0 resultados (em 05/08/2024).

Uma interrupção global foi causada quando Crowdstrike enviou um arquivo de conteúdo inválido. Isso é bem abordado em muitos outros lugares, então não vou entrar em detalhes sobre isso.

O que me interessa é se as políticas da empresa para atrasar as atualizações automáticas teriam contido a interrupção.

Crowdstrike tem uma maneira de definir políticas para limitar a versão do sensor Falcon a n-1, n-2 ou até mesmo uma construção específica. Assim, você pode atribuir um grupo de teste para obter a versão mais recente do sensor e seus grupos de produção para obter uma versão um pouco anterior.

Essa é uma prática comum usada para outros tipos de patches, como atualizações do Windows. Entendo que o ritmo seja necessariamente mais rápido para produtos de segurança da informação, mas talvez alguma forma de verificação pudesse ter sido possível.

O arquivo que causou o problema é classificado como “arquivo de conteúdo” e, portanto, é possível que não tenha sido evitado pelas políticas de atualização do sensor.

Por outro lado, o vídeo de Dave Plummer no YouTube sugeriu que Crowdstrike estava usando atualizações de conteúdo para corrigir o código do sensor sem ter que passar sempre pelo processo de aprovação de driver da Microsoft. E os números das versões dos sensores parecem aumentar bastante rapidamente. Portanto, também é possível que as políticas também controlem as atualizações de conteúdo.

Então, podemos dizer que se um cliente da Crowdstrike tivesse configurado um procedimento para testar máquinas em relação a atualizações de sensores antes de aprová-las para lançamento geral em sua empresa, que a interrupção poderia ter sido contida no(s) grupo(s) de teste?

mirrorlist.centos.orgnão está mais online?

Posso resolver centos.org, mas nãomirrorlist.centos.org

Aqui está o resultado do meu resolv.conf, dige nslookupse alguém estiver interessado.

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ nslookup mirrorlist.centos.org
Server:         1.1.1.1
Address:        1.1.1.1#53

** server can't find mirrorlist.centos.org: NXDOMAIN

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ nslookup centos.org
Server:         1.1.1.1
Address:        1.1.1.1#53

Non-authoritative answer:
Name:   centos.org
Address: 52.56.83.118
Name:   centos.org
Address: 81.171.33.201
Name:   centos.org
Address: 81.171.33.202
Name:   centos.org
Address: 2001:4de0:aaae::202
Name:   centos.org
Address: 2a05:d01c:c6a:cc02:225e:ab54:d58c:8b14
Name:   centos.org
Address: 2001:4de0:aaae::201

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ cat /etc/resolv.conf
nameserver 1.1.1.1
nameserver 8.8.8.8

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ dig mirrorlist.centos.org

; <<>> DiG 9.18.24-0ubuntu5-Ubuntu <<>> mirrorlist.centos.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 61636
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;mirrorlist.centos.org.         IN      A

;; AUTHORITY SECTION:
centos.org.             2795    IN      SOA     ns1.centos.org. hostmaster.centos.org. 2024070102 28800 7200 2400000 3600

;; Query time: 70 msec
;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
;; WHEN: Mon Jul 01 16:31:41 +08 2024
;; MSG SIZE  rcvd: 101

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ nslookup mirrorlist.centos.org
Server:         1.1.1.1
Address:        1.1.1.1#53

** server can't find mirrorlist.centos.org: NXDOMAIN

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$

mxtoolbox também mostrando a mesma coisa.

Meu entendimento da conexão TCP é que uma PORTA de origem permanece exclusiva para uma conexão, não importa o destino, portanto o número de conexões da porta local 12345, por exemplo, nunca pode exceder 1.

Li recentemente que uma conexão TCP é identificada por <src IP, src PORT, dst IP, dst PORT>

O TCP permite o compartilhamento da porta de origem entre vários processos, mas cada processo requer uma porta livre para vincular sua conexão

então fui validar esse "compartilhamento de porta entre processos": isso deve significar que a mesma porta de origem pode ser usada para conectar-se a destinos diferentes.

No entanto, ao experimentar isso, tentei estes dois comandos:

nc -v -p 12345 google.com 80

que funciona bem (-v para verboso e -p para especificar a porta de origem como 12345, para meu propósito de aprendizado)

Agora, executando simultaneamente este comando em um shell diferente

nc -v -p 12345 github.com 80

falha com esta mensagem de erro:

nc: falha na conexão x à porta 80 do github.com (tcp): endereço já em uso

o motivo pelo qual especifiquei a mesma porta de origem com -p é para validar que uma porta de origem pode ser compartilhada. Na prática, não há necessidade disso, no cenário do mundo real eu nem me preocuparia com a porta de origem. De acordo com isso, é verdade que uma porta de origem será usada apenas uma vez?

Temos 8 servidores Cisco com 12 discos giratórios para dados e 2 SSDs para sistema operacional. Os 2 SSDs estão no software Linux RAID 1. Todos os SSDs têm seu indicador de desgaste em um dígito e alguns daqueles que atingiram o valor 1 falharam. Estou trocando todos eles pelas peças sobressalentes (um processo longo e cansativo), mas notei que o indicador de desgaste está caindo 1 ou 2% por semana (não fiz medições exatas). Há um único aplicativo em execução nesses servidores e o fornecedor me deu algumas ideias vagas, mas eu realmente preciso encontrar os diretórios nos quais ele está gravando. Dessa forma, posso realmente destacar o problema e pressionar o fornecedor para uma solução. Pesquisei um pouco, mas não consegui encontrar muito. iotop, por exemplo, mostra a taxa de transferência completa do disco, incluindo os 12 discos giratórios. O SO é Redhat 7.9

Em resposta a algumas das perguntas:

• os discos são "SSD SATA de 480 GB e 2,5 polegadas Enterprise Value 6 Gb"
• o ID do produto é "UCS-SD480GBKS4-EB"
• os discos foram fornecidos como padrão com os servidores em 2018
• O desgaste parece ter acelerado recentemente (agora estou registrando o desgaste, então terei uma resposta melhor sobre isso em alguns dias)
• Substituí a maioria dos discos por discos idênticos adquiridos talvez alguns anos depois.
• iotop está mostrando uma gravação constante de 8 MB/s.
• o sistema está executando o hadoop em 8 servidores. O sistema de arquivos hadoop está em discos giratórios, portanto não deve tocar nos SSDs
• Reduzi consideravelmente o IO do disco por sugestão do fornecedor, embora ainda pareça alto (8 MB/s)

Recentemente obtive um novo HDD 16To para meu servidor Debian. Eu primeiro criei uma partição (gpt) nele através do meu desktop semelhante ao Ubuntu, formatei-o (ext4) e sincronizei novamente os dados antigos nele. O disco agora está utilizável, eu o insiro no meu servidor. Agora começa uma E/S estranha que não consigo identificar.

• iotop -aorelata 3 MB/s Current DISK WRITE sem qualquer indicação de quem está fazendo isso
• fatrace -c -trelata não ter escrito ou lido, mas denuncie se eu mesmo tiver touchum arquivo, por exemplo.
• dstat -tdD /dev/sdx --top-iotambém relata uma gravação constante de 3072k a cada segundo, consistente com iotop, mas também não tem culpado, apenas um espaço em branco i/o processonde deveria haver um nome, mas confirma que a ação de E/S está no referido disco, que inicialmente deduzi de o barulho que ela emitia...

Agora eu sei que pode haver inconsistências entre o que o cabeçalho iotop mostra e a soma das gravações e/ou leituras de E/S dos processos, conforme explicado aqui . Mas ao contrário do post anterior, naquele momento:

• o servidor foi cortado da internet
• rede local era apenas o servidor
• Eu não estava realizando nenhuma ação no disco
• Saí manualmente de todos os programas que poderiam usar esse disco

Algumas horas depois (pelo menos 10, não mais que 20) o ruído desapareceu e não houve mais entrada de 3 MB/s no disco.

Minha pergunta é: poderia ser um comportamento normal (embora eu nunca tenha observado isso antes) (talvez do kernel?) Escrever algum sistema de cache, tabelas de inicialização ou algo semelhante que possa explicar essa gravação constante de 3 MB/s por 10-20 horas ?

Inicialmente pensei em um vírus criptografado/aleatório, mas mesmo 20 horas a 3MB/s não poderiam cobrir os 12To escritos nos 16 disponíveis.

Existe alguma explicação lógica para isso? Agradecemos antecipadamente por qualquer ajuda.

Temos alguns testes que precisamos executar em um servidor com 32 Gb de RAM.

Todos os servidores aos quais temos acesso têm 64 GB e não podemos alterar isso fisicamente.

Existe alguma maneira de dizer ao RHEL para usar apenas uma quantidade fixa de RAM, menos do que a instalada?

Estou administrando um servidor RedHat onde os usuários fazem login através de SSH com autenticação baseada em chave privada/pub.

Eu gostaria de evitar que eles alterem/excluam/chmoding acidentalmente o conteúdo de suas pastas ~/.ssh . Alguns deles já modificaram recursivamente 777-chmode toda a sua própria pasta pessoal porque “era mais fácil compartilhar arquivos com colegas dessa maneira” e se esfaquearam no pé.

Alguma ideia de como posso conseguir isso? De preferência com sistema de permissão Linux padrão.

Um cliente tem o Windows Server 2016 Essentials. Ele instalou 128 GB de RAM em seu servidor. Mas o Windows relata que usa apenas 64 GB, mesmo que veja todos os 128 GB instalados

Por que? O que pode ser feito para usar toda a RAM disponível?

Hoje, o clamAV escaneou minhas instâncias da AWS e detectou 24 arquivos infectados em cada uma. Parece falso positivo devido a vários motivos:

1. Todos esses arquivos são criados em outubro de 2022 (por que só foram detectados agora?)
2. A porta SSH para cada instância é protegida por MFA + senha + VPN.

Então, minha pergunta, quais devem ser meus próximos passos neste caso? Devo remover esses arquivos, pelo que entendi, podem ser arquivos do sistema que outros aplicativos podem usar.

2023-06-07T13:03:41.658+03:00   /snap/amazon-ssm-agent/6563/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:42.909+03:00   /snap/amazon-ssm-agent/6563/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:44.659+03:00   /snap/amazon-ssm-agent/6563/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:45.660+03:00   /snap/amazon-ssm-agent/6563/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:46.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:47.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:49.411+03:00   /snap/amazon-ssm-agent/6312/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:50.662+03:00   /snap/amazon-ssm-agent/6312/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:51.912+03:00   /snap/amazon-ssm-agent/6312/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:52.912+03:00   /snap/amazon-ssm-agent/6312/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:53.913+03:00   /snap/amazon-ssm-agent/6312/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:55.413+03:00   /snap/amazon-ssm-agent/6312/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:56.695+03:00   /snap/lxd/24061/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:57.414+03:00   /snap/lxd/24061/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.164+03:00   /snap/lxd/24061/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.915+03:00   /snap/lxd/24061/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:01.666+03:00   /snap/lxd/24061/bin/lxd-migrate: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:06.073+03:00   /snap/lxd/24061/bin/snap-query: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:12.420+03:00   /snap/lxd/23991/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:13.170+03:00   /snap/lxd/23991/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:13.920+03:00   /snap/lxd/23991/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:14.671+03:00   /snap/lxd/23991/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:16.171+03:00   /snap/lxd/23991/bin/lxd-migrate: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:21.073+03:00   /snap/lxd/23991/bin/snap-query: Unix.Malware.Kaiji-10003916-0 FOUND

Eu tenho um grupo de volumes em meu sistema, criado com um único volume físico.

Estou criando dois volumes lógicos - um com tamanho de 100M e outro com tamanho de 512M.

Qualquer arquivo criado no LV com tamanho de 100M não exibe o atributo de horário de nascimento. LV com tamanho 512M não tem esse problema.

Alguma pista sobre por que isso acontece?

Volume físico e grupo de volumes:

# pvdisplay
  --- Physical volume ---
  PV Name               /dev/sda4
  VG Name               VG_System
  PV Size               400.00 GiB / not usable 4.00 MiB
  Allocatable           yes
  PE Size               4.00 MiB
  Total PE              102399
  Free PE               38099
  Allocated PE          64300
  PV UUID               Awnq0n-24v1-Z53P-MC09-3Fvv-dc0r-6QvAyX


# vgdisplay VG_System
  --- Volume group ---
  VG Name               VG_System
  System ID
  Format                lvm2
  Metadata Areas        1
  Metadata Sequence No  25
  VG Access             read/write
  VG Status             resizable
  MAX LV                0
  Cur LV                24
  Open LV               22
  Max PV                0
  Cur PV                1
  Act PV                1
  VG Size               <400.00 GiB
  PE Size               4.00 MiB
  Total PE              102399
  Alloc PE / Size       64300 / 251.17 GiB
  Free  PE / Size       38099 / 148.82 GiB
  VG UUID               Zg53rH-kuCI-dWKa-Uo3H-Mr2i-G2As-Wflm0d

Primeiro VL:

# lvcreate --stripes 1 -n testing -L 100M VG_System
  Logical volume "testing" created.

# mkfs.ext4 /dev/VG_System/testing
mke2fs 1.45.6 (20-Mar-2020)
Discarding device blocks: done
Creating filesystem with 102400 1k blocks and 25688 inodes
Filesystem UUID: ac9c1782-7770-4031-bad8-9b76f7577467
Superblock backups stored on blocks:
        8193, 24577, 40961, 57345, 73729

Allocating group tables: done
Writing inode tables: done
Creating journal (4096 blocks): done
Writing superblocks and filesystem accounting information: done


# blkid /dev/VG_System/testing
/dev/VG_System/testing: UUID="ac9c1782-7770-4031-bad8-9b76f7577467" BLOCK_SIZE="1024" TYPE="ext4"

# mount /dev/VG_System/testing /mnt/test
# mount | grep test
/dev/mapper/VG_System-testing on /mnt/test type ext4 (rw,relatime,stripe=4)

# touch /mnt/test/a
# stat /mnt/test/a
  File: /mnt/test/a
  Size: 0               Blocks: 0          IO Block: 1024   regular empty file
Device: 252,23  Inode: 12          Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2023-04-13 22:13:43.000000000 +0530
Modify: 2023-04-13 22:13:43.000000000 +0530
Change: 2023-04-13 22:13:43.000000000 +0530
 Birth: -

Aqui o Birthcampo está vazio.

Segundo VL:

# lvcreate  -n testing2 -L 512M VG_System
  Logical volume "testing2" created.

# mkfs.ext4 /dev/VG_System/testing2
mke2fs 1.45.6 (20-Mar-2020)
Discarding device blocks: done
Creating filesystem with 131072 4k blocks and 32768 inodes
Filesystem UUID: 0b5e24a9-cdf1-4749-9089-bf0cf1495185
Superblock backups stored on blocks:
        32768, 98304

Allocating group tables: done
Writing inode tables: done
Creating journal (4096 blocks): done
Writing superblocks and filesystem accounting information: done


# blkid /dev/VG_System/testing2
/dev/VG_System/testing2: UUID="0b5e24a9-cdf1-4749-9089-bf0cf1495185" BLOCK_SIZE="4096" TYPE="ext4"

# mount /dev/VG_System/testing2 /mnt/test2
# mount | grep test
/dev/mapper/VG_System-testing2 on /mnt/test2 type ext4 (rw,relatime)

# touch /mnt/test2/a
# stat /mnt/test2/a
  File: /mnt/test2/a
  Size: 0               Blocks: 0          IO Block: 4096   regular empty file
Device: 252,24  Inode: 12          Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2023-04-13 22:19:01.873047858 +0530
Modify: 2023-04-13 22:19:01.873047858 +0530
Change: 2023-04-13 22:19:01.873047858 +0530
 Birth: 2023-04-13 22:19:01.873047858 +0530

Observe se é relevante, mas as opções de montagem do primeiro LV têm stripe=4, enquanto o segundo não tem isso. Fora isso, ambos os LVs são semelhantes.

# lvdisplay VG_System/testing
  --- Logical volume ---
  LV Path                /dev/VG_System/testing
  LV Name                testing
  VG Name                VG_System
  LV UUID                n19sRr-SqHW-znjI-0fEW-MkQX-JRUn-MTmZHF
  LV Write Access        read/write
  LV Creation host, time controller, 2023-04-13 22:12:45 +0530
  LV Status              available
  # open                 0
  LV Size                100.00 MiB
  Current LE             25
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           252:23


# lvdisplay VG_System/testing2
  --- Logical volume ---
  LV Path                /dev/VG_System/testing2
  LV Name                testing2
  VG Name                VG_System
  LV UUID                94oJKP-r2Ob-ReHr-sDSO-t3HY-isJB-ZtEPsq
  LV Write Access        read/write
  LV Creation host, time controller, 2023-04-13 22:18:01 +0530
  LV Status              available
  # open                 1
  LV Size                512.00 MiB
  Current LE             128
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           252:24

Eu possuo um site que usa um certificado Let's Encrypt. Não está atrás da Cloudflare, está hospedado na OVH e estou aceitando tráfego direto dela.

Agora, configurei um servidor web apache2 e usei o certbot para gerar automaticamente um certificado. O problema aqui é que, quando vejo as informações do certificado no Firefox, vejo na parte inferior da página que ele contém referências a "Cloudflare Nimbus2023", apesar de não usar seus serviços.

A imagem anexada abaixo é o que mostra ... (por algum motivo, não me permite anexar fotos)

Alguém pode me explicar o que é isso? O que Cloudflare está acessando aqui??

Temos um certificado curinga emitido pela GoDaddy prestes a ser renovado e gostaria de usar uma empresa diferente (que ainda não foi escolhida). O certificado curinga está em uso em uma dúzia de sites em alguns servidores. Haverá um intervalo de algumas horas entre a emissão do certificado na nova autoridade e a instalação do certificado em todos esses sites e servidores. Durante esse intervalo, nossos usuários perceberão alguma coisa, por exemplo,

1. Tipo de aviso "O site é inseguro"
2. Falha total do site para funcionar (são sites Windows/IIS).

Estou me perguntando se, por exemplo, a nova autoridade emite algo para GoDaddy que faça GoDaddy revogar nosso certificado que eles têm em arquivo. Ou será que um navegador da Web encontrará o certificado instalado que não corresponde ao certificado recém-emitido e causará um problema?

A documentação do chrony adverte

ATENÇÃO: Certos softwares serão seriamente afetados por tais saltos no horário do sistema. (Essa é a razão pela qual o chronyd usa o giro normalmente.) Documentação

Mas a documentação não dá exemplos. Quais são os exemplos de software que serão seriamente afetados? O sistema operacional ou algum processo em segundo plano está em risco?

Eu tenho um site onde os usuários podem depositar arquivos. Não quero que esses arquivos sejam acessíveis a ninguém.

Eu vi que algumas pessoas criam uma pasta (digamos my_secret_folder) no mesmo nível do wwwdiretório. Em seguida, eles carregam arquivos (com script PHP) usando:

$destination = $_SERVER['DOCUMENT_ROOT']."/../my_secret_folder/".$filename

onde $destinationé o caminho completo do arquivo carregado.

Então, apenas um script PHP (de dentro da pasta www) permite acessar o arquivo.

Esta é uma boa prática?

Temos um servidor com 64 GB de RAM total, os aplicativos estão usando normalmente no máximo 30 GB dessa RAM disponível. Um desses aplicativos lida com muitos arquivos simples e estamos tendo problemas de taxa de transferência, ou seja, aguardando a E/S do disco. Ao explorar possíveis soluções, surgiu a ideia de um disco RAM. O problema que tenho com um disco RAM é a volatilidade inerente.

Encontrei documentação separada sobre discos RAM, configuração RAID 1 e volumes espelhados lógicos para agrupar discos físicos , mas não consigo encontrar nenhuma documentação que sugira se qualquer uma dessas soluções de replicação de disco pode ser usada com um disco RAM. Mais importante, já que a ideia é ter o disco RAM disponível para leitura/gravação e ter o disco físico "sombreando" o disco RAM, alcançando as gravações, gostaríamos que o disco RAM fosse o disco "primário" para todos lê/escreve.

Para observar, gostaríamos de evitar apenas o cache de arquivos da RAM com o sistema operacional, mas se pudermos obter o mesmo desempenho de um disco RAM autônomo, isso pode funcionar. Inicialmente, evitamos isso, pois muitas vezes determinados arquivos não são acessados ​​por longos períodos de tempo, mas ainda precisam da velocidade de leitura/gravação sob demanda.

Se eu tiver várias instâncias do AWS EC2 e do Azure em execução em regiões separadas. Estou usando o rabbitmq para trocar mensagens entre eles. Devo me preocupar em adicionar TLS e criptografar essas conexões?

Em outras palavras, se o servidor A estiver na AWS us-east, por exemplo, e o servidor B estiver no azure, quão ruim será se eles trocarem informações sem que sejam criptografadas? Somente o provedor de serviços de Internet e a Amazon/Microsoft poderão ver esses dados não criptografados corretos?

Obviamente, vou criptografar qualquer coisa que lide com o cliente. Estou apenas curioso sobre 2 servidores back-end conversando entre si.

Editar

Obrigado pela ajuda pessoal. Eu sei como criptografar a conexão e também como configurar uma VPN. Desculpe eu formulei a pergunta incorretamente.

Eu só queria saber quem poderá ver esse tráfego entre esses servidores. Por que será arriscado? Eu sei que vai ser arriscado eu acredito em você lol. Eu só quero saber o porquê. Além disso, quão ruim será gerar meus próprios certificados SSL e confiar neles em cada servidor.