xpt's questions

Antes de adicionar ssl_certificate, nginx.confé muito simples:

server {
    listen 80 default_server;

    index index.php index.html index.htm;

    location ~ [^/]\.php(/|$) {
        fastcgi_split_path_info  ^(.+\.php)(/.+)$;
        fastcgi_index            index.php;
        fastcgi_pass             php:9000;
        include                  fastcgi_params;
        fastcgi_read_timeout     1200s;
        fastcgi_param   PATH_INFO       $fastcgi_path_info;
        fastcgi_param   SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }
}

Então segui aqui para configurar o letsencrypt com Nginx (substituindo [domain-name]por completo), e agora nginx.confparece:

server {
    listen 80 default_server;

    server_name [domain-name] www.[domain-name];
    server_tokens off;

    location /.well-known/acme-challenge/ {
        root /var/www/certbot;
    }

    location / {
        return 301 https://[domain-name]$request_uri;
    }
}

server {
    listen 443 default_server ssl http2;
    listen [::]:443 ssl http2;

    server_name [domain-name];

    ssl_certificate /etc/nginx/ssl/live/[domain-name]/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/live/[domain-name]/privkey.pem;
    
    location / {
        proxy_pass http://[domain-name];
    }

    index index.php index.html index.htm;

    location ~ [^/]\.php(/|$) {
        fastcgi_split_path_info  ^(.+\.php)(/.+)$;
        fastcgi_index            index.php;
        fastcgi_pass             php:9000;
        include                  fastcgi_params;
        fastcgi_read_timeout     1200s;
        fastcgi_param   PATH_INFO       $fastcgi_path_info;
        fastcgi_param   SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }
}

Veja as mudanças aqui – https://www.diffchecker.com/bAfVjewE/ ,

o que considero muito simples, direto e razoável.

No entanto, meu site php está completamente quebrado - meu navegador Chrome diz que entra em redirecionamento infinito ( "redirecionou você muitas vezes" ), consulte as Notas 2.

Qual pode ser a causa e correção?

Notas,

1. A adição de ssl_certificate é adequada, mas o redirecionamento infinito existe mesmo quando testei com um site vazio.
2. Quando ocorre um redirecionamento interminável, os logs do nginx continuaram imprimindo nada além de ...[08/Aug/2024:15:xx:yy +0000] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64)..., mesmo tendo visto que o protocolo no meu navegador mudou de httppara https.

Se eu visitá-lo com curl, estou recebendo:

$ curl -i https://my.site.name:443/
HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Thu, 08 Aug 2024 15:42:45 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive
Location: https://my.site.name/

<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>

e o log do servidor é:

[08/Aug/2024:15:42:45 +0000] "GET / HTTP/1.1" 301 162 "-" "curl/8.5.0" "my.ip"
[08/Aug/2024:15:42:45 +0000] "GET / HTTP/1.1" 301 162 "-" "curl/8.5.0" "-"

E o log de erros está vazio, pois é assim que meu log ngix está configurado:

cd /var/log/nginx/

root@5b6a9033cb31:/var/log/nginx# ls -l
total 0
lrwxrwxrwx 1 root root 11 Jul 23 07:14 access.log -> /dev/stdout
lrwxrwxrwx 1 root root 11 Jul 23 07:14 error.log -> /dev/stderr

Estou fazendo o Let's Encrypt pela primeira vez e esta pergunta 101 pode ter sido respondida em algum lugar, mas de qualquer forma, em https://eff-certbot.readthedocs.io/en/latest/using.html#setting-up -renovação automatizada

A maioria das instalações do Certbot vem com renovações automáticas pré-configuradas. Isso é feito por meio de uma tarefa agendada que é executada certbot renewperiodicamente.

Então, para simplificar, estou usando o contêiner docker Certbot para obter o certificado, e esse contêiner não vem com renovações automáticas pré-configuradas, portanto, preciso habilitar essa funcionalidade sozinho.

A tarefa cron agendada é bastante simples:

0 0,12 * * * root sleep $SLEEPTIME && certbot renew -q

Minha pergunta é: os certificados Let's Encrypt são válidos por três meses , mas esta recomendação oficial do documento Certbot diz que precisamos tentar a renovação a cada 12 horas .

Isso parece realmente excessivo para mim. Alguém sabe quando poderemos fazer a renovação? (A partir da atualização do certificado "vamos criptografar" na linha de comando, sei que não há --force-renewalopção)

Eu quis dizer, se a renovação puder acontecer com 10 dias de antecedência, então meu cron job poderá ser definido a cada 5 dias; se for com 6 dias de antecedência, usarei 3.

Além disso, alguém sabe se certbot renewo código de retorno de pode ser usado para notificar meu script para acionar o recarregamento da configuração do nginx após a renovação realmente acontecer?

Obrigado

Percebi que para o valor SSH_AUTH_SOCK, sua pasta é inacessível para qualquer outra pessoa, mas o arquivo em si pode ser lido por qualquer pessoa. Qual é a razão por trás desse design?

Se eu colocar um link simbólico legível /tmpapontando para meu arquivo SSH_AUTH_SOCK privado, que tipo de risco de segurança isso imporia?

Seguindo em Usando loop while para ssh para vários servidores , ou seja, para

while IFS= read -r -u9 HOST ; do ssh "$HOST" "uname -a" ; done 9< servers.txt

que lê um descritor de arquivo diferente ( 9),

Como fazê-lo ler a partir de um canal de um descritor de arquivo diferente?

Se meu comando pipe for grep, qual é a maneira mais fácil de grepgravar no nono descritor de arquivo e qual é a sintaxe de canalizar o nono descritor de arquivo?

Dado,

touch /tmp/abc
ln -vs abc /tmp/def

$ ls -l /tmp/???
-rw-rw-r-- 1 ubuntu ubuntu 0 Apr 10 22:10 /tmp/abc
lrwxrwxrwx 1 ubuntu ubuntu 3 Apr 10 22:10 /tmp/def -> abc

Por que estou recebendo:

$ sudo chown syslog: /tmp/def
chown: cannot dereference '/tmp/def': Permission denied

$ sudo chown --dereference syslog: /tmp/def
chown: cannot dereference '/tmp/def': Permission denied

Ref:
chown (1) :

--dereference

afeta o referente de cada link simbólico (este é o padrão), em vez do link simbólico em si

$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 20.04.6 LTS
Release:        20.04
Codename:       focal

Como desabilitar a criptografia ChaCha20-Poly1305 do ssh no Debian?

Eu tentei (como root):

echo 'Ciphers [email protected]' > /etc/ssh/sshd_config.d/anti-terrapin-attack
echo 'Ciphers [email protected]' > /etc/ssh/ssh_config.d/anti-terrapin-attack

systemctl restart sshd

Mas o meu ssh -Q cipherainda está aparecendo [email protected].

ATUALIZAR:

Como as respostas para resolver totalmente minha pergunta estão se espalhando por diferentes respostas, deixe-me resumi-las em um só lugar.

• Por que? qual é o problema? - confira Ataque descoberto contra SSH , e openssha versão estável do Debian está gerações atrás da correção oficial. Portanto, preciso consertar isso sozinho agora .

• Por que o OP não está funcionando? -- dois pontos:

  • ssh -Qcipher sempre mostra todas as cifras compiladas no binário
  • todos os arquivos de configuração no /etc/ssh/sshd_config.ddiretório " " devem terminar com " .conf".

• Como desabilitar o ataque? -- Veja a solução prática da Floresta https://unix.stackexchange.com/a/767135/374303

• Como verificar se o ataque está desabilitado? - com base na solução prática do gogoud:

nmap --script ssh2-enum-algos -sV -p 22 localhost | grep chacha20 | wc
      0       0       0

Melhor executá-lo antes e depois de aplicar as correções do Floresta.

Sou usuário de Linux há mais de 20 anos, mas recentemente preciso trabalhar muito mais no Mac do que no Linux. Quanto menos preciso trabalhar no Linux, mais quero que meu desktop Linux funcione como o Mac.

Eu fiz algumas pesquisas,

• há uma mais recente "5 distribuições Linux inspiradas na aparência do macOS" aqui e "7 etapas para fazer o Linux se parecer com o macOS" aqui , mas todas as distros descritas são um tanto baseadas no GNOME, o que eu não faço tipo (mesmo sendo usuário do GNOME há mais de 10 anos).
• há também um "Transform Your KDE Plasma Look Like macOS" aqui , no entanto, cobre quase exclusivamente a parte da aparência , a aparência, os ícones, as fontes/cursores, etc.

No entanto, essa é a parte que menos me importa. Eu me importo principalmente com a parte comportamental

• os ícones fechar/minimizar/maximizar estão no canto UL das janelas, não no UR.
• deslizar com quatro/três dedos para a esquerda e para a direita, gestos para cima e para baixo na área de trabalho do MacOS, etc.

Existem alguns artigos aqui e ali, mas nenhum enfoca a parte que me interessa e nenhum descreve tudo em um só lugar, e eles também podem estar desatualizados. Daí a pergunta.

Continuando em Como instalar o docker-engine no macOS sem docker desktop? , que mencionou quepodman machine init

configure uma máquina com Fedora CoreOS por padrão.

Mesmo assim, quero preparar uma máquina Debian e quando tentei:

$ podman machine init debian
Extracting compressed file: debian_fedora-coreos-39.20231204.2.1-qemu.aarch64.q…
Image resized.
Machine init complete
To start your machine run:

    podman machine start debian

A saída simplesmente não parece correta.

A VM preparada é Debian ou Fedora CoreOS?

Como preparar uma VM Debian ( debian:stable-backportconforme docker) por podmanfavor?

O editor dte é um editor de texto de console pequeno e fácil de usar.

No leia-me ou no documento on-line, ambos dizem:

• Pesquisar e substituir Regex

(são os principais recursos). No entanto, ainda não descobri como fazer isso replaceem qualquer lugar.

Even man dtenão menciona nada sobre a replaceoperação, ou como entrar no modo de comando para usá-la.

Encontrei um excelente uso de sedpara substituir e usar seu estado bem-sucedido como condição para imprimir a linha:

$ seq 3 | sed -n 's/2/B/ p'
B

Eu estou querendo saber se este formulário curto pode ser estendido para fazer mais ações. Como,

• imprimir a linha somente se a substituição for bem-sucedida, mas
• antes de imprimir, preciso fazer mais substituições

Isso seria possível? Eu tentei o seguinte, mas falhei:

$ seq 3 | sed -n 's/2/B/ {p}'
sed: -e expression #1, char 8: unknown option to `s'

Como excluir todos os arquivos, exceto arquivos específicos com rsync?

Estou tentando fazer backup apenas de arquivos específicos com rsync, para excluir todos os arquivos , exceto alguns arquivos específicos, ou seja, os .mdarquivos, e as soluções de todas essas páginas não funcionaram para mim:

• https://velenux.wordpress.com/2017/01/09/how-to-exclude-everything-except-a-specific-pattern-with-rsync/
• https://superuser.com/questions/1637543/how-to-specify-no-files-except-these-extensions-in-rsync
• https://serverfault.com/questions/1063730/rsync-exclude-all-files-in-dir-except-specific-files

$ rsync -vua --exclude="*" --include="*.md" ../log ./
sending incremental file list

sent 19 bytes  received 12 bytes  62.00 bytes/sec
total size is 0  speedup is 0.00

$ rsync -vua --include="*.md" --exclude="*" ../log ./
sending incremental file list

sent 19 bytes  received 12 bytes  62.00 bytes/sec
total size is 0  speedup is 0.00

$ du -sh ../log
1016M   ../log

$ apt-cache policy rsync
rsync:
  Installed: 3.2.7-0ubuntu0.22.04.2
  Candidate: 3.2.7-0ubuntu0.22.04.2
  Version table:
 *** 3.2.7-0ubuntu0.22.04.2 500
        500 http://ca-toronto-1-ad-1.clouds.archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages
        100 /var/lib/dpkg/status
     3.2.3-8ubuntu3 500
        500 http://ca-toronto-1-ad-1.clouds.archive.ubuntu.com/ubuntu jammy/main amd64 Packages

Eu quero um script para tornar o awk uma calculadora matemática interativa, para avaliar expressões matemáticas dadas em cada linha.

Ou seja, ao invés de construir comandos awk para calcular expressões como as seguintes:

$ awk 'BEGIN{print 180/1149}'
0.156658

$ awk 'BEGIN{print (150+141)/1149}'
0.253264

Quero que meu script receba minhas expressões matemáticas como entrada e faça o cálculo de forma interativa. Então a sessão ficará assim (alternativa de entrada e saída):

180/1149
0.156658
(150+141)/1149
0.253264
1 + 2
3
2 * 3 - 5
1

No entanto, não consigo fazer isso sozinho:

$ awk '{print}'
180/1149
180/1149
^C

$ awk '{print $0}'
180/1149
180/1149
1 + 2
1 + 2
^C

Se não houver uma solução simples para o awk, o que mais, como o perl?

• Como Detectar padrão no final de uma linha com grep , mas para arquivos DOS de terminadores de linha CRLF.
• Como em https://unix.stackexchange.com/a/462633/374303 , uma maneira é usar dos2unix, mas não tenho no meu servidor remoto.

Ou seja, \rnão está funcionando grepno modo Expressão Regular Estendida?:

$ printf 'abcd\r\n' | grep -Ec 'd\r$'
0

$ printf 'abcd\r\n' | grep -c 'd.$'
1

$ printf 'abcd\r\n' | grep -Pc 'd\r$'
1

Eu pensei que \rfaz parte das Expressões Regulares Estendidas, como em https://valelab4.ucsf.edu/svn/3rdpartypublic/boost/libs/regex/doc/html/boost_regex/syntax/basic_extended.html . Não?
Ou é realmente uma limitação de grep?

Pergunta hipotética muito simples,

Cheguei à limitação sede preciso mudar meu sedscript para perl. Então, para sedsubstituição condicional de

sed '/condition/ s/xx/yy/'

Como fazer isso em perl?

Por exemplo, como fazer o seguinte em perl?

seq 6 > /tmp/tf

$ paste -d '' /tmp/tf /tmp/tf | sed -E '/[135]/s/^(.)(.)$/\1.\2-/'
1.1-
22
3.3-
44
5.5-
66

$ paste -d '' /tmp/tf /tmp/tf | perl -pe 's/$&/$1.$2-/ if /^([135])(.)$/'
.-
22
.-
44
.-
66

Isso já pode ser respondido, mas é difícil procurar - basicamente,

Quando patchencontrar um bloco/pedaço incapaz de aplicar, ele rejeitará o bloco alterado no arquivo rejeitado.

Como não colocar os conflitos no arquivo de rejeição, mas incluir na saída final, assim como quando gitencontrar os conflitos e incluir as duas versões na saída final :

$ cat merge.txt
<<<<<<< HEAD
this is some content to mess with
content to append
=======
totally different content to merge later
>>>>>>> new_branch_to_merge_later

estou seguindo

Acelerando a velocidade de reprodução
https://trac.ffmpeg.org/wiki/How%20to%20speed%20up%20/%20slow%20down%20a%20video

No entanto, quando acelero minha velocidade de reprodução em 1,5, prevejo uma redução do tamanho do vídeo no mesmo nível, mas foi isso que obtive:

-rwxrwxr-x 1 me me 10000000 2021-10-10 16:56 original_video.mp4*
-rwxrwxr-x 1 me me 10060896 2022-01-02 16:27 speed_up_output.mkv*

Ou seja, o tamanho do arquivo é ainda maior.

É possível acelerar a reprodução e reduzir o tamanho do vídeo para o mesmo grau?

Eu tentei Converter o Fiddler.CERcertificado para o .CRTformato:

$ openssl x509 -in FiddlerRoot.cer -out FiddlerRoot.crt
unable to load certificate
139962232211264:error:0909006C:PEM routines:get_name:no start line:../crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE

$ strings FiddlerRoot.cer
0g1+0)
"Created by http://www.fiddler2.com1
DO_NOT_TRUST1!0
DO_NOT_TRUST_FiddlerRoot0
201116174559Z
240215174559Z0g1+0)
"Created by http://www.fiddler2.com1
DO_NOT_TRUST1!0
DO_NOT_TRUST_FiddlerRoot0
Z0X0
hG1)0v1
]0qf
_H.^K
r?XxY

Talvez seja um problema especificamente para FiddlerRoot.cer, mas aqui está a parte estranha, citando daqui :

Percebi que o certificado FiddlerRoot que eu estava tentando adicionar ao sistema não se parecia com o que eu importei para o Firefox (o do Firefox contém as informações da chave). Exportei o certificado que tinha no FireFox e atualizei os certificados do sistema com esse arquivo

Descobri que é exatamente o meu caso também. Eis por que é estranho.

• O FiddlerRoot.cerarquivo foi baixado de http://ipv4.fiddler:8888/FiddlerRoot.cer
• Tentando converter com opensslcomo acima falhou.
• No entanto, se eu importar o próprio arquivo para o Firefox e exportá-lo .crtmanualmente, meu sistema Unbuntu reconhecerá esse .crtarquivo (mas não o .cerarquivo)

Então o FiddlerRoot.ceré bom, só não encontrei uma boa maneira de convertê-lo para o .crtuso do comando.

Qual é a maneira genérica de silenciar/reativar a saída de som padrão do meu sistema?

$ amixer set Master mute
amixer: Unable to find simple control 'Master',0

$ amixer scontrols
Simple mixer control 'IEC958',0
Simple mixer control 'IEC958',1
Simple mixer control 'IEC958',2
Simple mixer control 'IEC958',3
Simple mixer control 'IEC958',4
Simple mixer control 'IEC958',5

Eu sei que o controle de som estava se afastando do amixer para o Pulseaudio, no entanto, ainda posso usar o controle ALSA "Master" no meu Debian 10, mas não no meu Ubuntu 21.10, veja acima.

Existe pactl set-sink-mute 0 1em https://superuser.com/questions/805525/ , mas eu tentei, mas isso não funciona para o meu Ubuntu 21.10 acima.

Em suma , eu só preciso de uma maneira genérica de silenciar / ativar a saída de som padrão do meu sistema que seja boa em todas as minhas máquinas e todos os meus Linux, assim como o controle ALSA "Master".

Igual ao postado em redhat bugzilla -- kcompacd0 usando 100% cpu , que foi fechado para INSUFFICIENT_DATA.

Também igual a

• VMware no host Linux causa congelamentos regulares
• Arch Linux deixa de responder a partir do khugepage

Reabrindo porque a solução não funciona para mim.

Segue minha situação:

• Host Ubuntu 21.10 e cliente Windows 10 Enterprise, com VMware Workstation 16 v 16.2.0 build-18760230
• Não estou fazendo nada extravagante ou carga pesada, logo após um dia de uso regular do Windows 10 (de carga leve), as coisas começam a ficar loucas.
• O processo kcompactd0está constantemente usando 100% de CPU em um núcleo e vmware-vmx100% de CPU em oito núcleos.
• Quando isso acontecer, normalmente durará vários minutos. Em seguida, entra em ação novamente após um ou dois minutos.
• "kcompactd0 desaparece apenas com drop_caches. quando atinge 100%, o convidado da máquina virtual vmware não responde (windows 10 ltsc vm)" Então, tentei apenas drop_caches uma vez e confirmei o comportamento.

Conforme solicitado a montante, aqui estão mais informações:

$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 21.10
Release:        21.10
Codename:       impish


$ grep -r . /sys/kernel/mm/transparent_hugepage/*
/sys/kernel/mm/transparent_hugepage/defrag:always defer defer+madvise [madvise] never
/sys/kernel/mm/transparent_hugepage/enabled:always [madvise] never
/sys/kernel/mm/transparent_hugepage/hpage_pmd_size:2097152
/sys/kernel/mm/transparent_hugepage/khugepaged/defrag:1
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_shared:256
/sys/kernel/mm/transparent_hugepage/khugepaged/scan_sleep_millisecs:10000
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_none:511
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_to_scan:4096
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_swap:64
/sys/kernel/mm/transparent_hugepage/khugepaged/alloc_sleep_millisecs:60000
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_collapsed:0
/sys/kernel/mm/transparent_hugepage/khugepaged/full_scans:19
/sys/kernel/mm/transparent_hugepage/shmem_enabled:always within_size advise [never] deny force
/sys/kernel/mm/transparent_hugepage/use_zero_page:1

$ cat /proc/90/stack | wc
      0       0       0

echo never > /sys/kernel/mm/transparent_hugepage/defrag
echo 0 > /sys/kernel/mm/transparent_hugepage/khugepaged/defrag
echo never > /sys/kernel/mm/transparent_hugepage/enabled

$ grep -r . /sys/kernel/mm/transparent_hugepage/*
/sys/kernel/mm/transparent_hugepage/defrag:always defer defer+madvise madvise [never]
/sys/kernel/mm/transparent_hugepage/enabled:always madvise [never]
/sys/kernel/mm/transparent_hugepage/hpage_pmd_size:2097152
/sys/kernel/mm/transparent_hugepage/khugepaged/defrag:0
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_shared:256
/sys/kernel/mm/transparent_hugepage/khugepaged/scan_sleep_millisecs:10000
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_none:511
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_to_scan:4096
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_swap:64
/sys/kernel/mm/transparent_hugepage/khugepaged/alloc_sleep_millisecs:60000
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_collapsed:0
/sys/kernel/mm/transparent_hugepage/khugepaged/full_scans:19
/sys/kernel/mm/transparent_hugepage/shmem_enabled:always within_size advise [never] deny force
/sys/kernel/mm/transparent_hugepage/use_zero_page:1

Basicamente, a fonte da solução alternativa está em um relatório de bug do Fedora “khugepaged comendo 100% da CPU” . O bug nunca foi corrigido, e a "solução" foi feita para o Fedora 17 no ano de 2013, e

com as últimas 3, talvez 4-5 versões do Fedora Kernels, não encontrei esse problema novamente.

Mas está acontecendo de novo agora.

Estou republicando uma versão ligeiramente editada desta Ask Ubuntu question SCP com duas portas diferentes , pois a resposta que funciona apenas com opções de linha de comando (sem modificar ssh_config) não funciona mais para mim.

Como posso usar scpo comando para copiar arquivos entre dois servidores remotos que usam portas diferentes do meu PC local?

Configurar

• servidor remoto 1: IP=67.12.21.133 & porta=6774
• servidor remoto 2: IP=67.129.242.40 & porta=6775

Problema

• Se eu usar

  scp -rp -P 6774 [email protected]:/home/denny/testapp1.txt  [email protected]:
  

  dá um erro:

  ssh: connect to host 67.12.21.133 port 22: Connection refused
  

• Se eu usar

  scp -rp -P 6774 [email protected]:/home/denny/testapp1.txt -P 6775 [email protected]:
  

  me dá esse erro:

  ssh: connect to host 67.129.242.133 port 6775: Connection refused  
  ssh: connect to host 67.129.242.40 port 6774: Connection refused  
  lost connection