Como superar/forçar a correção do seguinte problema:
$ sudo /usr/sbin/tmpreaper 15d /tmp
error: run time exceeded!
This may be indicative of an attack to use tmpreaper to remove critical files;
or the directories to clean up are excessive large and/or messed up.
Please investigate.
Um dos meus servidores fica constantemente sem espaço em disco, então eu instalei o tmpreaper, pensando que o problema acabaria, mas não acabou. Hoje eu acabei de perceber onde está o problema.
Antes de adicionar ssl_certificate, nginx.confé muito simples:
server {
listen 80 default_server;
index index.php index.html index.htm;
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_index index.php;
fastcgi_pass php:9000;
include fastcgi_params;
fastcgi_read_timeout 1200s;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}
Então segui aqui para configurar o letsencrypt com Nginx (substituindo [domain-name]por completo), e agora nginx.confparece:
server {
listen 80 default_server;
server_name [domain-name] www.[domain-name];
server_tokens off;
location /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://[domain-name]$request_uri;
}
}
server {
listen 443 default_server ssl http2;
listen [::]:443 ssl http2;
server_name [domain-name];
ssl_certificate /etc/nginx/ssl/live/[domain-name]/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/live/[domain-name]/privkey.pem;
location / {
proxy_pass http://[domain-name];
}
index index.php index.html index.htm;
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_index index.php;
fastcgi_pass php:9000;
include fastcgi_params;
fastcgi_read_timeout 1200s;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}
Veja as mudanças aqui – https://www.diffchecker.com/bAfVjewE/ ,
o que considero muito simples, direto e razoável.
No entanto, meu site php está completamente quebrado - meu navegador Chrome diz que entra em redirecionamento infinito ( "redirecionou você muitas vezes" ), consulte as Notas 2.
Qual pode ser a causa e correção?
Notas,
...[08/Aug/2024:15:xx:yy +0000] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64)..., mesmo tendo visto que o protocolo no meu navegador mudou de httppara https.Se eu visitá-lo com curl, estou recebendo:
$ curl -i https://my.site.name:443/
HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Thu, 08 Aug 2024 15:42:45 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive
Location: https://my.site.name/
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
e o log do servidor é:
[08/Aug/2024:15:42:45 +0000] "GET / HTTP/1.1" 301 162 "-" "curl/8.5.0" "my.ip"
[08/Aug/2024:15:42:45 +0000] "GET / HTTP/1.1" 301 162 "-" "curl/8.5.0" "-"
E o log de erros está vazio, pois é assim que meu log ngix está configurado:
cd /var/log/nginx/
root@5b6a9033cb31:/var/log/nginx# ls -l
total 0
lrwxrwxrwx 1 root root 11 Jul 23 07:14 access.log -> /dev/stdout
lrwxrwxrwx 1 root root 11 Jul 23 07:14 error.log -> /dev/stderr
Estou fazendo o Let's Encrypt pela primeira vez e esta pergunta 101 pode ter sido respondida em algum lugar, mas de qualquer forma, em https://eff-certbot.readthedocs.io/en/latest/using.html#setting-up -renovação automatizada
A maioria das instalações do Certbot vem com renovações automáticas pré-configuradas. Isso é feito por meio de uma tarefa agendada que é executada
certbot renewperiodicamente.
Então, para simplificar, estou usando o contêiner docker Certbot para obter o certificado, e esse contêiner não vem com renovações automáticas pré-configuradas, portanto, preciso habilitar essa funcionalidade sozinho.
A tarefa cron agendada é bastante simples:
0 0,12 * * * root sleep $SLEEPTIME && certbot renew -q
Minha pergunta é: os certificados Let's Encrypt são válidos por três meses , mas esta recomendação oficial do documento Certbot diz que precisamos tentar a renovação a cada 12 horas .
Isso parece realmente excessivo para mim. Alguém sabe quando poderemos fazer a renovação? (A partir da atualização do certificado "vamos criptografar" na linha de comando, sei que não há --force-renewalopção)
Eu quis dizer, se a renovação puder acontecer com 10 dias de antecedência, então meu cron job poderá ser definido a cada 5 dias; se for com 6 dias de antecedência, usarei 3.
Além disso, alguém sabe se certbot renewo código de retorno de pode ser usado para notificar meu script para acionar o recarregamento da configuração do nginx após a renovação realmente acontecer?
Obrigado
Percebi que para o valor SSH_AUTH_SOCK, sua pasta é inacessível para qualquer outra pessoa, mas o arquivo em si pode ser lido por qualquer pessoa. Qual é a razão por trás desse design?
Se eu colocar um link simbólico legível /tmpapontando para meu arquivo SSH_AUTH_SOCK privado, que tipo de risco de segurança isso imporia?
Seguindo em Usando loop while para ssh para vários servidores , ou seja, para
while IFS= read -r -u9 HOST ; do ssh "$HOST" "uname -a" ; done 9< servers.txt
que lê um descritor de arquivo diferente ( 9),
Como fazê-lo ler a partir de um canal de um descritor de arquivo diferente?
Se meu comando pipe for grep, qual é a maneira mais fácil de grepgravar no nono descritor de arquivo e qual é a sintaxe de canalizar o nono descritor de arquivo?
Dado,
touch /tmp/abc
ln -vs abc /tmp/def
$ ls -l /tmp/???
-rw-rw-r-- 1 ubuntu ubuntu 0 Apr 10 22:10 /tmp/abc
lrwxrwxrwx 1 ubuntu ubuntu 3 Apr 10 22:10 /tmp/def -> abc
Por que estou recebendo:
$ sudo chown syslog: /tmp/def
chown: cannot dereference '/tmp/def': Permission denied
$ sudo chown --dereference syslog: /tmp/def
chown: cannot dereference '/tmp/def': Permission denied
Ref:
chown (1) :
--dereferenceafeta o referente de cada link simbólico (este é o padrão), em vez do link simbólico em si
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 20.04.6 LTS
Release: 20.04
Codename: focal
Como desabilitar a criptografia ChaCha20-Poly1305 do ssh no Debian?
Eu tentei (como root):
echo 'Ciphers [email protected]' > /etc/ssh/sshd_config.d/anti-terrapin-attack
echo 'Ciphers [email protected]' > /etc/ssh/ssh_config.d/anti-terrapin-attack
systemctl restart sshd
Mas o meu ssh -Q cipherainda está aparecendo [email protected].
ATUALIZAR:
Como as respostas para resolver totalmente minha pergunta estão se espalhando por diferentes respostas, deixe-me resumi-las em um só lugar.
Por que? qual é o problema? - confira Ataque descoberto contra SSH , e openssha versão estável do Debian está gerações atrás da correção oficial. Portanto, preciso consertar isso sozinho agora .
Por que o OP não está funcionando? -- dois pontos:
ssh -Qcipher sempre mostra todas as cifras compiladas no binário/etc/ssh/sshd_config.ddiretório " " devem terminar com " .conf".Como desabilitar o ataque? -- Veja a solução prática da Floresta https://unix.stackexchange.com/a/767135/374303
Como verificar se o ataque está desabilitado? - com base na solução prática do gogoud:
nmap --script ssh2-enum-algos -sV -p 22 localhost | grep chacha20 | wc
0 0 0
Melhor executá-lo antes e depois de aplicar as correções do Floresta.
Sou usuário de Linux há mais de 20 anos, mas recentemente preciso trabalhar muito mais no Mac do que no Linux. Quanto menos preciso trabalhar no Linux, mais quero que meu desktop Linux funcione como o Mac.
Eu fiz algumas pesquisas,
No entanto, essa é a parte que menos me importa. Eu me importo principalmente com a parte comportamental
Existem alguns artigos aqui e ali, mas nenhum enfoca a parte que me interessa e nenhum descreve tudo em um só lugar, e eles também podem estar desatualizados. Daí a pergunta.
Continuando em Como instalar o docker-engine no macOS sem docker desktop? , que mencionou quepodman machine init
configure uma máquina com Fedora CoreOS por padrão.
Mesmo assim, quero preparar uma máquina Debian e quando tentei:
$ podman machine init debian
Extracting compressed file: debian_fedora-coreos-39.20231204.2.1-qemu.aarch64.q…
Image resized.
Machine init complete
To start your machine run:
podman machine start debian
A saída simplesmente não parece correta.
A VM preparada é Debian ou Fedora CoreOS?
Como preparar uma VM Debian ( debian:stable-backportconforme docker) por podmanfavor?
O editor dte é um editor de texto de console pequeno e fácil de usar.
No leia-me ou no documento on-line, ambos dizem:
- Pesquisar e substituir Regex
(são os principais recursos). No entanto, ainda não descobri como fazer isso replaceem qualquer lugar.
Even man dtenão menciona nada sobre a replaceoperação, ou como entrar no modo de comando para usá-la.
Encontrei um excelente uso de sedpara substituir e usar seu estado bem-sucedido como condição para imprimir a linha:
$ seq 3 | sed -n 's/2/B/ p'
B
Eu estou querendo saber se este formulário curto pode ser estendido para fazer mais ações. Como,
Isso seria possível? Eu tentei o seguinte, mas falhei:
$ seq 3 | sed -n 's/2/B/ {p}'
sed: -e expression #1, char 8: unknown option to `s'
Como excluir todos os arquivos, exceto arquivos específicos com rsync?
Estou tentando fazer backup apenas de arquivos específicos com rsync, para excluir todos os arquivos , exceto alguns arquivos específicos, ou seja, os .mdarquivos, e as soluções de todas essas páginas não funcionaram para mim:
$ rsync -vua --exclude="*" --include="*.md" ../log ./
sending incremental file list
sent 19 bytes received 12 bytes 62.00 bytes/sec
total size is 0 speedup is 0.00
$ rsync -vua --include="*.md" --exclude="*" ../log ./
sending incremental file list
sent 19 bytes received 12 bytes 62.00 bytes/sec
total size is 0 speedup is 0.00
$ du -sh ../log
1016M ../log
$ apt-cache policy rsync
rsync:
Installed: 3.2.7-0ubuntu0.22.04.2
Candidate: 3.2.7-0ubuntu0.22.04.2
Version table:
*** 3.2.7-0ubuntu0.22.04.2 500
500 http://ca-toronto-1-ad-1.clouds.archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages
100 /var/lib/dpkg/status
3.2.3-8ubuntu3 500
500 http://ca-toronto-1-ad-1.clouds.archive.ubuntu.com/ubuntu jammy/main amd64 Packages
Eu quero um script para tornar o awk uma calculadora matemática interativa, para avaliar expressões matemáticas dadas em cada linha.
Ou seja, ao invés de construir comandos awk para calcular expressões como as seguintes:
$ awk 'BEGIN{print 180/1149}'
0.156658
$ awk 'BEGIN{print (150+141)/1149}'
0.253264
Quero que meu script receba minhas expressões matemáticas como entrada e faça o cálculo de forma interativa. Então a sessão ficará assim (alternativa de entrada e saída):
180/1149
0.156658
(150+141)/1149
0.253264
1 + 2
3
2 * 3 - 5
1
No entanto, não consigo fazer isso sozinho:
$ awk '{print}'
180/1149
180/1149
^C
$ awk '{print $0}'
180/1149
180/1149
1 + 2
1 + 2
^C
Se não houver uma solução simples para o awk, o que mais, como o perl?
dos2unix, mas não tenho no meu servidor remoto.Ou seja, \rnão está funcionando grepno modo Expressão Regular Estendida?:
$ printf 'abcd\r\n' | grep -Ec 'd\r$'
0
$ printf 'abcd\r\n' | grep -c 'd.$'
1
$ printf 'abcd\r\n' | grep -Pc 'd\r$'
1
Eu pensei que \rfaz parte das Expressões Regulares Estendidas, como em
https://valelab4.ucsf.edu/svn/3rdpartypublic/boost/libs/regex/doc/html/boost_regex/syntax/basic_extended.html . Não?
Ou é realmente uma limitação de grep?
Pergunta hipotética muito simples,
Cheguei à limitação sede preciso mudar meu sedscript para perl. Então, para sedsubstituição condicional de
sed '/condition/ s/xx/yy/'
Como fazer isso em perl?
Por exemplo, como fazer o seguinte em perl?
seq 6 > /tmp/tf
$ paste -d '' /tmp/tf /tmp/tf | sed -E '/[135]/s/^(.)(.)$/\1.\2-/'
1.1-
22
3.3-
44
5.5-
66
$ paste -d '' /tmp/tf /tmp/tf | perl -pe 's/$&/$1.$2-/ if /^([135])(.)$/'
.-
22
.-
44
.-
66
Isso já pode ser respondido, mas é difícil procurar - basicamente,
Quando patchencontrar um bloco/pedaço incapaz de aplicar, ele rejeitará o bloco alterado no arquivo rejeitado.
Como não colocar os conflitos no arquivo de rejeição, mas incluir na saída final, assim como quando gitencontrar os conflitos e incluir as duas versões na saída final :
$ cat merge.txt
<<<<<<< HEAD
this is some content to mess with
content to append
=======
totally different content to merge later
>>>>>>> new_branch_to_merge_later
estou seguindo
Acelerando a velocidade de reprodução
https://trac.ffmpeg.org/wiki/How%20to%20speed%20up%20/%20slow%20down%20a%20video
No entanto, quando acelero minha velocidade de reprodução em 1,5, prevejo uma redução do tamanho do vídeo no mesmo nível, mas foi isso que obtive:
-rwxrwxr-x 1 me me 10000000 2021-10-10 16:56 original_video.mp4*
-rwxrwxr-x 1 me me 10060896 2022-01-02 16:27 speed_up_output.mkv*
Ou seja, o tamanho do arquivo é ainda maior.
É possível acelerar a reprodução e reduzir o tamanho do vídeo para o mesmo grau?
Eu tentei Converter o Fiddler.CERcertificado para o .CRTformato:
$ openssl x509 -in FiddlerRoot.cer -out FiddlerRoot.crt
unable to load certificate
139962232211264:error:0909006C:PEM routines:get_name:no start line:../crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
$ strings FiddlerRoot.cer
0g1+0)
"Created by http://www.fiddler2.com1
DO_NOT_TRUST1!0
DO_NOT_TRUST_FiddlerRoot0
201116174559Z
240215174559Z0g1+0)
"Created by http://www.fiddler2.com1
DO_NOT_TRUST1!0
DO_NOT_TRUST_FiddlerRoot0
Z0X0
hG1)0v1
]0qf
_H.^K
r?XxY
Talvez seja um problema especificamente para FiddlerRoot.cer, mas aqui está a parte estranha, citando daqui :
Percebi que o certificado FiddlerRoot que eu estava tentando adicionar ao sistema não se parecia com o que eu importei para o Firefox (o do Firefox contém as informações da chave). Exportei o certificado que tinha no FireFox e atualizei os certificados do sistema com esse arquivo
Descobri que é exatamente o meu caso também. Eis por que é estranho.
FiddlerRoot.cerarquivo foi baixado de http://ipv4.fiddler:8888/FiddlerRoot.ceropensslcomo acima falhou..crtmanualmente, meu sistema Unbuntu reconhecerá esse .crtarquivo (mas não o .cerarquivo)Então o FiddlerRoot.ceré bom, só não encontrei uma boa maneira de convertê-lo para o .crtuso do comando.
Qual é a maneira genérica de silenciar/reativar a saída de som padrão do meu sistema?
$ amixer set Master mute
amixer: Unable to find simple control 'Master',0
$ amixer scontrols
Simple mixer control 'IEC958',0
Simple mixer control 'IEC958',1
Simple mixer control 'IEC958',2
Simple mixer control 'IEC958',3
Simple mixer control 'IEC958',4
Simple mixer control 'IEC958',5
Eu sei que o controle de som estava se afastando do amixer para o Pulseaudio, no entanto, ainda posso usar o controle ALSA "Master" no meu Debian 10, mas não no meu Ubuntu 21.10, veja acima.
Existe pactl set-sink-mute 0 1em https://superuser.com/questions/805525/ , mas eu tentei, mas isso não funciona para o meu Ubuntu 21.10 acima.
Em suma , eu só preciso de uma maneira genérica de silenciar / ativar a saída de som padrão do meu sistema que seja boa em todas as minhas máquinas e todos os meus Linux, assim como o controle ALSA "Master".
Igual ao postado em redhat bugzilla -- kcompacd0 usando 100% cpu , que foi fechado para INSUFFICIENT_DATA.
Também igual a
Reabrindo porque a solução não funciona para mim.
Segue minha situação:
kcompactd0está constantemente usando 100% de CPU em um núcleo e vmware-vmx100% de CPU em oito núcleos.
Conforme solicitado a montante, aqui estão mais informações:
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 21.10
Release: 21.10
Codename: impish
$ grep -r . /sys/kernel/mm/transparent_hugepage/*
/sys/kernel/mm/transparent_hugepage/defrag:always defer defer+madvise [madvise] never
/sys/kernel/mm/transparent_hugepage/enabled:always [madvise] never
/sys/kernel/mm/transparent_hugepage/hpage_pmd_size:2097152
/sys/kernel/mm/transparent_hugepage/khugepaged/defrag:1
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_shared:256
/sys/kernel/mm/transparent_hugepage/khugepaged/scan_sleep_millisecs:10000
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_none:511
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_to_scan:4096
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_swap:64
/sys/kernel/mm/transparent_hugepage/khugepaged/alloc_sleep_millisecs:60000
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_collapsed:0
/sys/kernel/mm/transparent_hugepage/khugepaged/full_scans:19
/sys/kernel/mm/transparent_hugepage/shmem_enabled:always within_size advise [never] deny force
/sys/kernel/mm/transparent_hugepage/use_zero_page:1
$ cat /proc/90/stack | wc
0 0 0
echo never > /sys/kernel/mm/transparent_hugepage/defrag
echo 0 > /sys/kernel/mm/transparent_hugepage/khugepaged/defrag
echo never > /sys/kernel/mm/transparent_hugepage/enabled
$ grep -r . /sys/kernel/mm/transparent_hugepage/*
/sys/kernel/mm/transparent_hugepage/defrag:always defer defer+madvise madvise [never]
/sys/kernel/mm/transparent_hugepage/enabled:always madvise [never]
/sys/kernel/mm/transparent_hugepage/hpage_pmd_size:2097152
/sys/kernel/mm/transparent_hugepage/khugepaged/defrag:0
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_shared:256
/sys/kernel/mm/transparent_hugepage/khugepaged/scan_sleep_millisecs:10000
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_none:511
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_to_scan:4096
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_swap:64
/sys/kernel/mm/transparent_hugepage/khugepaged/alloc_sleep_millisecs:60000
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_collapsed:0
/sys/kernel/mm/transparent_hugepage/khugepaged/full_scans:19
/sys/kernel/mm/transparent_hugepage/shmem_enabled:always within_size advise [never] deny force
/sys/kernel/mm/transparent_hugepage/use_zero_page:1
Basicamente, a fonte da solução alternativa está em um relatório de bug do Fedora “khugepaged comendo 100% da CPU” . O bug nunca foi corrigido, e a "solução" foi feita para o Fedora 17 no ano de 2013, e
com as últimas 3, talvez 4-5 versões do Fedora Kernels, não encontrei esse problema novamente.
Mas está acontecendo de novo agora.