All perguntas(server)

Como posso adicionar uma chave de host ao known_hostsarquivo SSH com segurança?

Estou configurando uma máquina de desenvolvimento e quero (p.ex.) evitar o gitprompt ao clonar um repositório github.comusando SSH.

Eu sei que posso usar StrictHostKeyChecking=no(por exemplo , esta resposta ), mas isso não é seguro.

Até agora, encontrei...

1. O GitHub publica suas impressões digitais de chave SSH nas impressões digitais de chave SSH do GitHub

2. Eu posso usar ssh-keyscanpara obter a chave do host para arquivos github.com.

Como combino esses fatos? Dada uma lista pré-preenchida de impressões digitais, como verifico se a saída de ssh-keyscanpode ser adicionada ao known_hostsarquivo?

Acho que estou perguntando o seguinte:

Como obtenho a impressão digital de uma chave retornada por ssh-keyscan?

Vamos supor que eu já tenha sido MITM-ed para SSH, mas que posso confiar na página HTTPS do GitHub (porque ela tem uma cadeia de certificados válida).

Isso significa que tenho algumas chaves de host SSH (suspeitas) (de ssh-keyscan) e algumas impressões digitais de chaves (confiáveis). Como verifico um contra o outro?

Relacionado: como faço o hash da parte do host da saída de ssh-keyscan? Ou posso misturar hosts com hash/sem hash em known_hosts?

Este é o meu cenário: sou um desenvolvedor que herdou (sem que eu soubesse) três servidores localizados em meu escritório. Eu também herdei o trabalho de ser o administrador dos servidores com uma clara falta de conhecimento de administração de servidores e google / ServerFault como ponto de referência. Felizmente, nunca tive que entrar em contato físico com as máquinas ou resolver qualquer problema, pois elas sempre "simplesmente funcionaram".

Todas as três máquinas estão localizadas na mesma sala de dados e atendem à seguinte finalidade:

Machine1- IIS 8.0 hospedando vários aplicativos internos
Machine2- Armazenamento de dados do SQL Server 2008 R2 para aplicativos internos
Machine3- Armazenamento espelhado do SQL Server 2008 R2 deMachine2

Todos os três têm discos rígidos externos conectados que fazem backups com frequência.

Fui informado de que todos os três precisam passar de uma sala de dados para outra dentro das mesmas instalações. Não estarei concluindo a movimentação física do hardware, isso será feito por um transportador competente.

Além de concluir um backup completo de cada um, que considerações preciso fazer antes de hipoteticamente apertar o botão liga / desliga e observar meu mundo se mover?

^{Estou ciente de que está longe de ser ideal ter todos os três localizados na mesma sala / local, mas isso está além do escopo desta questão.}

Estou realmente me debatendo na AWS tentando descobrir o que estou perdendo aqui. Eu gostaria de fazer com que um usuário do IAM pudesse baixar arquivos de um bucket do S3 - sem apenas tornar os arquivos totalmente públicos - mas estou tendo acesso negado. Se alguém puder identificar o que está acontecendo, ficarei feliz.

O que eu fiz até agora:

• Criou um usuário chamado my-user (por exemplo)
• Chaves de acesso geradas para o usuário e colocadas em ~/.aws em uma instância do EC2
• Criou uma política de bucket que eu esperava conceder acesso para my-user
• Executou o comandoaws s3 cp --profile my-user s3://my-bucket/thing.zip .

Política do intervalo:

{
  "Id": "Policy1384791162970",
  "Statement": [
    {
      "Sid": "Stmt1384791151633",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-bucket/*",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/my-user"
      }
    }
  ]
}

O resultado é A client error (AccessDenied) occurred: Access Deniedque eu posso baixar usando o mesmo comando e as chaves de acesso padrão (conta root?)

Eu tentei adicionar uma política de usuário também. Embora eu não saiba por que seria necessário, pensei que não faria mal, então anexei isso ao my-user.

{
  "Statement": [
    {
      "Sid": "Stmt1384889624746",
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-bucket/*"
    }
  ]
}

Mesmos resultados.

Gostaria de saber como remover com segurança um perfil de usuário de domínio de um computador que faz parte de um domínio. Não quero excluir a conta do próprio domínio, só preciso remover o perfil deste computador, para fazer uma limpeza.

Atualmente, estou em um computador Vista Business, mas também temos o Win XP Pro e o Win 7 Pro.

No Ubuntu, não consigo converter o certificado usando openssl com sucesso.

vagrant@dev:/vagrant/keys$ openssl pkcs7 -print_certs -in a.p7b -out a.cer 
unable to load PKCS7 object <blah blah>:PEM
routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: PKCS7

Você já viu esse erro antes?

Estou recebendo um erro de memória em um php cron job:

Fatal error: Allowed memory size of 67108864 bytes exhausted (tried to allocate 71 bytes) in /opt/matrix/core/lib/DAL/DAL.inc on line 830

As partes aplicáveis ​​do crontab são:

$ sudo crontab -u www-data -l
MAILTO=root
# m h  dom mon dow   command
*/15 * * * * php /opt/matrix/core/cron/run.php /opt/matrix

Estou rodando no Debian Squeeze, totalmente atualizado.

A solução óbvia seria que o cli tenha um limite de memória baixo (de 64 MB). No entanto, /etc/php5/cli/php.ini diz que é ilimitado.

$ cat /etc/php5/cli/php.ini | grep memory_limit
memory_limit = -1

Li em algum lugar que poderia ser diferente para usuários diferentes e, como o processo está sendo executado como www-data, executei:

$ sudo -u www-data -s
$ php -i | grep memory_limit
memory_limit => -1 => -1
suhosin.memory_limit => 0 => 0

Mesmo o apache/php.ini tem um limite maior do que o erro está reivindicando:

$ sudo cat /etc/php5/apache2/php.ini | grep memory_limit
memory_limit = 128M

o que estou perdendo? Onde está esse limite de memória?

Eu tenho um crontab como este em uma configuração LAMP:

0 0 * * * /some/path/to/a/file.php > $HOME/cron.log 2>&1

Isso grava a saída do arquivo em cron.log . No entanto, quando ele é executado novamente, ele substitui o que estava anteriormente no arquivo.

Como posso obter a saída do cron para um arquivo com um carimbo de data/hora em seu nome de arquivo?

Um exemplo de nome de arquivo seria algo assim: 2010-02-26-000000-cron.log

Eu realmente não me importo com o formato, desde que tenha algum tipo de timestamp.

Desde já, obrigado.

Qual é o postfix equivalente a sendmail -bp?

Existe alguma maneira de criar uma máquina virtual que você possa usar no VirtualBox a partir de uma instalação física que você possui? Por exemplo, se eu tiver o Windows XP instalado em um computador físico e quiser ter uma versão virtual dessa máquina em um computador diferente. Isso economizaria muito tempo por não precisar reinstalar e reconfigurar todo o sistema operacional.

Eu acho que haveria problemas com o licenciamento da Microsoft. Mas mesmo que não seja possível com o Windows, seria possível pegar uma máquina Linux física e criar uma versão VirtualBox disso? Algum outro software de virtualização de desktop oferece esse recurso?

Tenho um servidor Linux que sempre que conecto me mostra a mensagem que alterou a chave do host SSH:

$ ssh root@host1 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@ @ AVISO: A IDENTIFICAÇÃO DO HOST REMOTO MUDOU! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@ É POSSÍVEL QUE ALGUÉM ESTÁ FAZENDO ALGO DESAGRADÁVEL! Alguém pode estar espionando você agora (ataque man-in-the-middle)! Também é possível que a chave do host RSA tenha acabado de ser alterada. A impressão digital da chave RSA enviada pelo host remoto é 93:a2:1b:1c:5f:3e:68:47:bf:79:56:52:f0:ec:03:6b. Entre em contato com o administrador do sistema. Adicione a chave de host correta em /home/emerson/.ssh/known_hosts para se livrar desta mensagem. Chave incorreta em /home/emerson/.ssh/known_hosts:377

A chave de host RSA para host1 foi alterada e você solicitou uma verificação rigorosa. Falha na verificação da chave do host.

Ele me mantém por alguns segundos logado e depois fecha a conexão.

host1:~/.ssh # Leitura do host remoto host1: Conexão redefinida pelo peer Conexão com host1 fechada.

Alguém sabe o que está acontecendo e o que posso fazer para resolver esse problema?