All perguntas(server)

Eu estava configurando um conjunto de réplicas locais do MongoDB que usa x.509 para autenticar membros do cluster, seguindo este guia .

As opções do arquivo de configuração incluíam dois parâmetros:

certificateKeyFile: <path to its TLS/SSL certificate and key file>
clusterFile: <path to its certificate key file for membership authentication>

Parece que o mongoDB (e, presumo, outros serviços semelhantes) oferece a opção de usar certificados/chaves diferentes para comunicação de servidor para cliente e de servidor para servidor (ou seja, interna).

Isso é comum em administração de rede? Se sim, por quê? Quais seriam as armadilhas (se houver) de usar o mesmo certificado para comunicação interna e de cliente ?

Tenho um servidor Apache HTTPS voltado para a Internet current.example.com. Quero renomear o servidor web para nextname.example.com. Também preciso que current.example.com continue funcionando durante a transição. Esta é apenas uma mudança de nome, e o mesmo conteúdo do mesmo local será servido.

Comecei adicionando um ServerAlias ​​às minhas configurações de virtualhost (HTTP e HTTPS). Isso resultou na mensagem "sua conexão não é privada" ao acessar nextname.example.com. Eu esperava que isso ocorresse.

Eu sei que uma (talvez a única?) solução é criar um novo certificado para nextname e criar uma nova configuração VirtualHost.

Mas espero outra solução.

Além disso, percebo que uma nova chave privada não é obrigatória, mas provavelmente é aconselhável, pois já precisaremos de um novo certificado.

Existe uma maneira de configurar para que o certificado possa ser usado/compartilhado por ambos os servidores virtuais ou é necessário um novo certificado para manter o nome antigo?

O que as contagens de token representam na aba de métricas no Azure OpenAI? Eu entendo o que é um token, e que uma contagem de token conta quantos tokens o LLM recebeu (tokens de entrada) e emitiu (tokens de saída), mas não entendo o que o valor no gráfico significa. Por exemplo, é o número de tokens usados ​​em um minuto?

Pessoal... Fiz essa pergunta no site StackExchange e me sugeriram que aqui seria melhor...

Tenho um site nginx que está recebendo muitos acessos para um arquivo inexistente "mydata.html". Esses acessos são registrados no log de acesso do site com códigos de status 301 (ou 302). Gostaria de saber como configurar uma jail Fail2ban que capturará esses acessos e banirá o IP se forem excessivos.

Aqui está um exemplo de registro do arquivo de log:

1.2.3.4 - - [02/Mar/2025:00:00:06 -0700] "GET /MyData.html HTTP/1.1" 301 185 "http://xxx.MySite.com/MyData.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/125.0.0.0 Safari/537.36"

E minha tentativa de um regex para selecionar a entrada ^.*MyData.*HTTP.* 301. Esse regex pode ser modificado para também obter os códigos 302 ou outros?

Alguém pode me dar alguma orientação, sou pior que um iniciante com expressões regex. Obrigado....RDK

Implantei um cluster ceph com quatro nós, e há 4 nós, mas quero apenas 3. Se eu excluir o 4º nó, ele retorna automaticamente após a reinicialização.

como faço para removê-lo para que não volte, estou usando o cephadm para implantar o ceph

esta é a ceph mon dumpsaída

epoch 14
fsid 383f1e64-f5a6-11ef-93f3-112a7d71c1d4
last_changed 2025-02-28T11:18:59.890169+0000
created 2025-02-28T07:34:26.733991+0000
min_mon_release 17 (quincy)
election_strategy: 1
0: [v2:10.10.20.4:3300/0,v1:10.10.20.4:6789/0] mon.ceph1
1: [v2:10.10.20.6:3300/0,v1:10.10.20.6:6789/0] mon.ceph2
2: [v2:10.10.20.5:3300/0,v1:10.10.20.5:6789/0] mon.ceph3
3: [v2:10.10.20.7:3300/0,v1:10.10.20.7:6789/0] mon.ceph4
dumped monmap epoch 14

Tenho um host virtual que redireciona não-www para www via SSL:

<VirtualHost *:443>
  ServerName example.com
  Redirect / https://www.example.com/
  # Do I need to include SSL configuration here?
</VirtualHost >

# Main Site
<VirtualHost *:443>
  ServerName www.example.com
  Redirect / https://www.example.com/
  # Rest of the configurations including SSL
</VirtualHost >

Preciso incluir a configuração SSL e os certificados no primeiro bloco vhost que só faz redirecionamento? Se eu omitir a configuração SSL no primeiro bloco vhost, o redirecionamento e o site ainda funcionam bem, então por que preciso colocar os certificados SSL no primeiro bloco vhost?

Parece que isso deveria ser fácil, mas não estou lembrando como fazer isso. Cada cliente sempre recebeu acesso a diferentes recursos (geralmente sub-redes) no servidor por meio do arquivo CCD que corresponde ao nome da conexão. Eu geralmente crio túneis "divididos" - especificando que apenas certas sub-redes privadas ou servidores sejam acessados ​​por meio do túnel por meio dos comandos push "route ..."

Em um computador, assumindo que eu tenha privilégios de administrador, eu manipulo as coisas adicionando uma rota específica para o endpoint através do gateway local, então excluindo a rota padrão, então adicionando uma rota padrão através do túnel. Tudo, EXCETO o endpoint (e quaisquer outras rotas específicas no cliente) é roteado através do túnel.

Existe um comando push de arquivo CCD que eu possa usar para fazer isso? Talvez onde as palavras-chave sejam substituídas pelos valores reais, como:

push "route <VPN_Endpoint> 255.255.255.255 <current_default_gateway>"
push "route 0.0.0.0 0.0.0.0"  

Como eu disse, estou acostumado a enviar rotas de sub-rede específicas usando o push no arquivo ccd, mas está sendo difícil descobrir como configurar para se tornar o gateway padrão.

Estou executando um projeto de migração de domínio (vários domínios de site único mesclados em um AD global) na minha empresa.

Migrei usuários, computadores e grupos (usando a ferramenta de migração on-demand Quest) e verifiquei se o histórico do SID está sendo gravado corretamente nas contas de usuário+grupo. Posso ver o atributo SIDHistory preenchido para usuários e grupos com valores corretos.

A conta do usuário que é migrada para o novo domínio tenta acessar um servidor de arquivos no domínio antigo, no log do old-domain-fileserver, vejo:

Um objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber o acesso desejado.

Subject:
    Security ID:        NEWDOMAIN\admig2
    Account Name:       admig2
    Account Domain:     NEWDOMAIN
    Logon ID:       0x1B7Dxxxx

Network Information:    
    Object Type:        File
    Source Address:     10.ab.cd.ef
    Source Port:        49782
    
Share Information:
    Share Name:     \\*\SHARE
    Share Path:     \??\D:\SHARE
    Relative Target Name:   \

Access Request Information:
    Access Mask:        0x80
    Accesses:       ReadAttributes
                
Access Check Results:
    ReadAttributes: Not granted
                

Executei os seguintes comandos em domínios antigos e novos:

domínio antigo

netdom trust <old domain fqdn> /domain:<new domain FQDN> /enablesidhistory:yes
netdom trust <old domain fqdn> /domain:<new domain FQDN> /quarantine:no

novo domínio

netdom trust <new domain FQDN> /domain:<old domain fqdn> /enablesidhistory:yes
netdom trust <new domain FQDN> /domain:<old domain fqdn> /quarantine:no

Já se passaram algumas horas, então tudo deve ser replicado em todos os lugares. Ainda assim, estou recebendo o mesmo erro ao tentar acessar o compartilhamento de arquivos com a credencial do usuário migrado: acesso negado, pergunte ao seu administrador

Além de desligar o SIDfiltering e migrar grupos de usuários também, há alguma outra área que eu preciso verificar e que esqueci no meu post acima? Obrigado.

Resultado de um dos testes: Acredito que descartei o culpado NTLM - não é ele. Quando compartilho uma nova pasta para R/W para todos e na ACL de segurança, dou permissão ao OLDDOMAIN\admig2 para esse novo compartilhamento, o NEWDOMAIN\admig2 pode acessar esse compartilhamento. Ele ainda é o servidor de arquivos unido ao OLDDOMAIN. Estou confuso com esses sintomas. Sim, OLDDOMAIN\Domain users é um grupo local de domínio e NEWDOMAIN\admig2 não é membro dele, mas é aqui que o SidHistory deve entrar em ação e, devido ao antigo SID ser membro do OLDDOMAIN\Domain Users, acredito que isso ainda deve funcionar, mas não funciona. Ou...?

Continuarei com os testes amanhã.

Tenho o Virtualbox com quatro adaptadores de rede.

1. adaptador somente host
2. adaptador interno
3. adaptador somente host
4. adaptador NAT

NAT na primeira interface:

route -n

0.0.0.0         10.0.2.2        0.0.0.0         UG    100    0        0 enp0s3
10.0.2.0        0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
10.0.2.2        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s3
10.0.2.3        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s3
10.10.0.0       0.0.0.0         255.255.255.0   U     100    0        0 enp0s8
203.0.133.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s9


1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:46:e4:90 brd ff:ff:ff:ff:ff:ff
    inet 10.0.2.15/24 metric 100 brd 10.0.2.255 scope global dynamic enp0s3
       valid_lft 86198sec preferred_lft 86198sec
    inet6 fd00::a00:27ff:fe46:e490/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 86201sec preferred_lft 14201sec
    inet6 fe80::a00:27ff:fe46:e490/64 scope link
       valid_lft forever preferred_lft forever
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fc:34:9c brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.6/24 metric 100 brd 10.10.0.255 scope global dynamic enp0s8
       valid_lft 398sec preferred_lft 398sec
    inet6 fe80::a00:27ff:fefc:349c/64 scope link
       valid_lft forever preferred_lft forever
4: enp0s9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fb:36:58 brd ff:ff:ff:ff:ff:ff
    inet 203.0.133.5/24 metric 100 brd 203.0.133.255 scope global dynamic enp0s9
       valid_lft 398sec preferred_lft 398sec
    inet6 fe80::a00:27ff:fefb:3658/64 scope link
       valid_lft forever preferred_lft forever
5: enp0s10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:82:93:6b brd ff:ff:ff:ff:ff:ff
    inet6 fe80::a00:27ff:fe82:936b/64 scope link
       valid_lft forever preferred_lft forever

Host Only na primeira interface e NAT na segunda interface:

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.2.2        0.0.0.0         UG    100    0        0 enp0s8
10.0.2.0        0.0.0.0         255.255.255.0   U     100    0        0 enp0s8
10.0.2.2        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s8
10.0.2.3        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s8
10.10.0.0       0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
203.0.133.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s9

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:46:e4:90 brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.5/24 metric 100 brd 10.10.0.255 scope global dynamic enp0s3
       valid_lft 462sec preferred_lft 462sec
    inet6 fe80::a00:27ff:fe46:e490/64 scope link
       valid_lft forever preferred_lft forever
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fc:34:9c brd ff:ff:ff:ff:ff:ff
    inet 10.0.2.15/24 metric 100 brd 10.0.2.255 scope global dynamic enp0s8
       valid_lft 85962sec preferred_lft 85962sec
    inet6 fd00::a00:27ff:fefc:349c/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 85964sec preferred_lft 13964sec
    inet6 fe80::a00:27ff:fefc:349c/64 scope link
       valid_lft forever preferred_lft forever
4: enp0s9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fb:36:58 brd ff:ff:ff:ff:ff:ff
    inet 203.0.133.5/24 metric 100 brd 203.0.133.255 scope global dynamic enp0s9
       valid_lft 462sec preferred_lft 462sec
    inet6 fe80::a00:27ff:fefb:3658/64 scope link
       valid_lft forever preferred_lft forever
5: enp0s10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:82:93:6b brd ff:ff:ff:ff:ff:ff
    inet6 fe80::a00:27ff:fe82:936b/64 scope link
       valid_lft forever preferred_lft forever

Não consigo me conectar à minha VM usando NAT e encaminhamento de porta quando o NAT está na segunda, terceira ou última posição na interface de rede.

Deve estar sempre na primeira posição.

Alguém pode explicar o porquê?

Obrigado

Alguns certificados da AWS têm este emissor:

issuer=C=US, O=Amazon, CN=Amazon RSA 2048 M02

Outros têm isto:

issuer=C=US, O=Amazon, CN=Amazon RSA 2048 M03

Qual é a diferença entre eles?