server

我使用的是 Rocky 9.4 和 OpenSSH 8.7p1，有一个 RSA 密钥对，但除非sshd 处于调试模式，否则无法使用。（还好我有一对旧的密钥对，还能用）。

我已取消设置 SSH_AUTH_SOCK，并确认没有代理参与。为了避免这种情况，我已移动 ~/.ssh/config 文件。我已确认 ~/.ssh/ 的模式为 0700，id_rsa 和 authorized_keys 的模式为 0400，known_hosts 的模式为 0600。我已确认 authorized_keys 中的公钥正确，并使用“ssh-keygen -l”进行了验证。

当 sshd 作为服务运行时，我运行“ssh -avv -i ~/.ssh/id_rsa localhost”，我看到：

Offering public key:  (with the correct filename and SHA256 fingerprint)
we sent a publickey packet, wait for reply
Authentications that can continue:  publickey, ...
we did not send a packet, disable method
Next authentication method: keyboard-interactive

...并提示我输入常用密码。

/var/log/secure 显示：

Connection from 127.0.0.1 ...
Failed publickey for (user) and shows the same correct SHA256 code.

我发现建议我停止 sshd 服务，并在调试模式下手动运行。我以 root 身份打开了第二个会话并运行：

systemctl stop sshd
/usr/sbin/sshd -D -ddd -e

当我在原始用户窗口中重复“ssh -avv -i ~/.ssh/id_rsa localhost”命令时，我看到：

Offering public key:  (with the correct filename and SHA256 fingerprint)
we sent a publickey packet, wait for reply
Server accepts key:   (with the correct filename and SHA256 fingerprint)
Enter passphrase for key '(filename)':  (I type passphrase)
Authenticated to 127.0.0.1 (via proxy) using "publickey".

...并且我已使用相同的密钥成功登录。

我希望 sshd -D -ddd 能帮助我解决问题，但它很高兴地接受了我的密钥。

更新时间：2024-04-30

采纳@mircea-vutcovici的建议，设置LogLevel: DEBUG在sshd尝试不同的密钥时生成不同的消息序列：失败的尝试包含一条authorized_keys不可读的消息，尽管所有密钥都在同一个文件和同一个sshd实例中！

我的 homedir 是一个 NFS 共享，并且 SELinux 正在强制执行，因此我使用@grawity 的建议 做了一些搜索： ls -LZproducedsystem_u:object_r:nfs_t:s0是一个通用的 SELinux 标签。显然，如果 NFS 挂载先于 SELinux 策略加载，就会出现问题。patchwork ：selinux: make labeled NFS work when mount before policy load。这个问题已于 2023 年修复，应该会添加到 Rocky 9.4（2024 年中）。不过，/home它还是通过 NFS 挂载的vers=3，仅供参考。

我最终找到了一个有用的咒语 serverfault：NFS 家庭目录中的 SELinux 标签错误？： setsebool -P use_nfs_home_dirs on。我现在可以使用这两个密钥，但仍然不明白为什么它们会被区别对待，因为两个公钥都在同一个文件中，并且两个私钥在同一个文件夹中具有相同的权限。

刚碰到一个13年前的类似问题：仅当 sshd 为守护进程时，公钥认证才会失败。显然 SELinux 一直是问题所在 :-) 我要感谢 @grawity 的回答，它让我陷入了困境。

我与服务器 (owner-api.teslamotors.com) 建立了 SSL 连接，该连接通过 wget、curl 或 openssl s_client 挂起。我展示的是 curl 版本，因为它提供了最多的调试消息：

# curl -iv https://owner-api.teslamotors.com 
*   Trying 18.203.70.200:443...
* Connected to owner-api.teslamotors.com (18.203.70.200) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs

ClientHello 之后它就挂起了。TCP 连接已成功建立（也已通过 telnet/nc 确认）。其他网络连接（包括我尝试过的任何 SSL 连接）都可以正常工作。除了owner-api.teslamotors.com:443。

我发现这个帖子谈论的是 MTU，听起来有些牵强。但我减少了服务器 MTU，它就起作用了！它适用于任何 <= 1420 的 MTU。

服务器使用以太网 (MTU 1500) 连接到 Mikrotik 路由器，然后从那里通过 WireGuard 隧道 (MTU 1420)。我知道这可能不是最佳选择，因为来自服务器 >1420 的任何 IP 数据包都需要分段。但是，这与任何 L4 协议无关。TCP 上的 SSL 不应该关心分段和 MTU。然而，这个主机关心。

我在 Mikrotik 盒子上运行了数据包捕获，流量没有列出任何异常：

典型的 TCP 握手是第 1-3 次，然后是 ClientHello（第 4-5 次）和 ServerHello（第 6-7 次）。没有数据包大小接近 MTU，也没有其他 ICMP 消息表明存在碎片等问题。

根据评论，以下是 tracepath 输出：

# tracepath owner-api.teslamotors.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  XX.XX.56.210                                          0.410ms 
 1:  XX.XX.56.210                                          0.198ms 
 2:  XX.XX.56.210                                          0.138ms pmtu 1420
 2:  XX.XX.56.185                                        151.394ms 
 3:  no reply
 4:  100.100.200.1                                       157.220ms 
 5:  10.75.0.193                                         154.068ms 
 6:  10.75.2.53                                          161.950ms asymm  7 
 7:  decix1.amazon.com                                   152.107ms asymm  8 
 8:  decix2.amazon.com                                   153.068ms 
 9:  no reply
 [...]

我真的不知道这里到底发生了什么。

为什么这个 SSL 连接失败？

我正在尝试配置 MD RAID1（使用 mdadm），--write-mostly以便网络（EBS）卷和本地驱动器互为镜像（想法是本地驱动器对我的实例来说是短暂的，但具有更好的性能）。

为了验证这个想法，我使用以下两个脚本对我的驱动器进行了基准性能评估。

fio -name=RandWrite -group_reporting -allow_file_create=0 \
  -direct=1 -iodepth=128 -rw=randwrite -ioengine=io_uring -bs=32k \
  -time_based=1 -ramp_time=10 -runtime 10 -numjobs=8 \
  -randrepeat=0 -norandommap=1 -filename=$BENCHMARK_TARGET

# Read performance
fio -name=RandRead -group_reporting -allow_file_create=0 \
  -direct=1 -iodepth=128 -rw=randread -ioengine=io_uring -bs=32k \
  -time_based=1 -ramp_time=10 -runtime 10 -numjobs=8 \
  -randrepeat=0 -norandommap=1 -filename=$BENCHMARK_TARGET

结果：

• 网络驱动器：写入速度为 117 MiB/s，读取速度为 117 MiB/s
• 本地驱动器：写入速度为 862 MiB/s，读取速度为 665 MiB/s

当我引入 mdadm 时，问题就出现了。即使使用简单的无镜像“RAID1”，使用网络驱动器时写入性能也会严重下降。

mdadm --build /dev/md0 --verbose --level=1 --force --raid-devices=1 "$TARGET"
# mdadm --detail /dev/md0
/dev/md0:
           Version :
     Creation Time : Mon Sep 30 14:22:41 2024
        Raid Level : raid1
        Array Size : 10485760 (10.00 GiB 10.74 GB)
     Used Dev Size : 10485760 (10.00 GiB 10.74 GB)
      Raid Devices : 1
     Total Devices : 1

             State : clean
    Active Devices : 1
   Working Devices : 1
    Failed Devices : 0
     Spare Devices : 0

Consistency Policy : resync

    Number   Major   Minor   RaidDevice State
       0       8       16        0      active sync   /dev/sdb

• 由网络驱动器支持的 0 镜像 RAID1 阵列：写入速度为 69.9 MiB/s，读取速度为 118 MiB/s
• 由本地驱动器支持的 0 镜像 RAID1 阵列：写入速度为 868 MiB/s，读取速度为 665 MiB/s

我们在这里可以看到，本地驱动器（MD-raid 与原始访问）的写入性能没有太大变化，但通过 MD-raid 使用网络驱动器时，写入性能会严重受损。为什么会发生这种情况？

问题

是否有一条通用规则，即将PCIe 连接的硬件插入（而不是从正在运行的主板上移除）（或仅通电，如果相关）是否会对硬件（尤其是主板）造成危险？我看到过无数关于移除的问题，但没有关于添加的问题。

如果没有一般规则，我是否正在寻找要连接的硬件和/或主板上的特定认证或指定功能？

基本原理

我正在评估 PCIe NIC 的一个错误 - TP-LINK AXE5400，如果在操作系统安装期间通过 USB 连接，会导致 Windows 11 蓝屏 - 这涉及大量连接和断开连接。为了安全起见，我倾向于禁用 UEFI 快速启动，并且不想每次想要评估（断开/重新）连接时都必须重新启用它并手动关闭和重新启动。

（缺乏）重复

1. 这与“不关闭电源的情况下可以从 PCI-x 总线拔出卡吗？”正好相反。

   尽管系统已在操作系统级别关闭电源，但我在拔卡时意外忘记拔掉服务器的电源。

   不幸的是，这样做似乎损坏了系统的 BIOS 和 IPMI/BMC BIOS。它似乎还烧坏了板载视频。

   这发生在 Supermicro 主板上，这就是我尝试重新刷新主 BIOS 和 IPMI BIOS 的原因。重新刷新主 BIOS 没有问题，BIOS 日志中也没有显示任何错误。

   我以为热插拔技术应该意味着我可以在卡运行时物理拔出卡。互联网上的搜索似乎暗示了这一点。

   ...因为我可以想象，如果发生添加，设备树受到的影响会小得多，因为它不像在操作过程中移除 GPU（这会导致各种可预见的问题）。

2. https://serverfault.com/search?q=insert+pcie+running+machine返回 0 个结果（于 2024-08-05）。

Crowdstrike 推送了一个错误的内容文件，导致全球中断。很多其他地方都对此进行了详尽的报道，因此我就不多说了。

我感兴趣的是，公司延迟自动更新的政策是否能够遏制中断。

Crowdstrike 可以设置策略，将 Falcon 传感器版本限制为 n-1、n-2 甚至特定版本。因此，您可以指定测试组获取最新的传感器版本，并指定生产组获取稍早的版本。

这是用于其他类型修补的常见做法，例如 Windows 更新。我知道信息安全产品的速度必然更快，但也许某种形式的审查是可能的。

导致问题的文件被归类为“内容文件”，因此传感器更新策略可能无法阻止它。

另一方面，Dave Plummer 的 Youtube 视频表明 Crowdstrike 正在使用内容更新来修补传感器代码，而无需每次都经过 Microsoft 的驱动程序审批流程。而且传感器版本号似乎确实增长得相当快。因此，这些政策也有可能控制内容更新。

那么，我们可以说，如果 Crowdstrike 客户在批准在公司内部全面发布之前，已经建立了一个程序来针对传感器更新测试机器，那么中断就可以控制在测试组中吗？

mirrorlist.centos.org不再在线？

我可以下定决心centos.org但不能mirrorlist.centos.org

如果有人感兴趣的话，这是我的输出resolv.conf。dignslookup

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ nslookup mirrorlist.centos.org
Server:         1.1.1.1
Address:        1.1.1.1#53

** server can't find mirrorlist.centos.org: NXDOMAIN

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ nslookup centos.org
Server:         1.1.1.1
Address:        1.1.1.1#53

Non-authoritative answer:
Name:   centos.org
Address: 52.56.83.118
Name:   centos.org
Address: 81.171.33.201
Name:   centos.org
Address: 81.171.33.202
Name:   centos.org
Address: 2001:4de0:aaae::202
Name:   centos.org
Address: 2a05:d01c:c6a:cc02:225e:ab54:d58c:8b14
Name:   centos.org
Address: 2001:4de0:aaae::201

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ cat /etc/resolv.conf
nameserver 1.1.1.1
nameserver 8.8.8.8

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ dig mirrorlist.centos.org

; <<>> DiG 9.18.24-0ubuntu5-Ubuntu <<>> mirrorlist.centos.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 61636
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;mirrorlist.centos.org.         IN      A

;; AUTHORITY SECTION:
centos.org.             2795    IN      SOA     ns1.centos.org. hostmaster.centos.org. 2024070102 28800 7200 2400000 3600

;; Query time: 70 msec
;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
;; WHEN: Mon Jul 01 16:31:41 +08 2024
;; MSG SIZE  rcvd: 101

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ nslookup mirrorlist.centos.org
Server:         1.1.1.1
Address:        1.1.1.1#53

** server can't find mirrorlist.centos.org: NXDOMAIN

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$

mxtoolbox也显示同样的东西。

我对 TCP 连接的理解是，无论目的地是什么，源端口都只用于一个连接，因此来自本地端口 12345 的连接数永远不会超过 1。

我最近读到，TCP 连接由 <源 IP，源 PORT，目标 IP，目标 PORT> 标识

TCP 允许多个进程之间共享源端口，但每个进程都需要一个空闲端口来绑定以进行连接

所以我去验证了“跨进程的端口共享”：这一定意味着可以使用相同的源端口来连接不同的目的地。

但是，在进行实验时，我尝试了这两个命令：

nc -v -p 12345 google.com 80

效果很好（-v 表示详细，-p 表示将源端口指定为 12345，这是为了我的学习目的）

现在，在不同的 shell 上同时运行此命令

nc -v -p 12345 github.com 80

失败并显示以下错误消息：

nc：connectx 到 github.com 端口 80 (tcp) 失败：地址已被使用

我使用 -p 指定相同源端口的原因是为了验证源端口是否可以共享。实际上没有必要这样做，在实际情况下我甚至不会担心源端口。据此，源端口只会使用一次是真的吗？

我们有 8 台 Cisco 服务器，其中 12 个用于数据的旋转磁盘和 2 个用于操作系统的 SSD。这 2 个 SSD 位于 Linux 软件 raid 1 中。这些 SSD 的磨损指示器均为个位数，其中一些达到 1 的值已发生故障。我正在将它们全部从备件中更换（这是一个漫长而烦人的过程），但我注意到磨损指标每周下降 1% 或 2%（我没有进行精确测量）。这些服务器上运行着一个应用程序，供应商给了我一些模糊的想法，但我确实需要找到它正在写入的目录。这样我就可以真正突出问题并敦促供应商进行修复。我搜索了一些，但没能找到太多。例如，iotop 显示完整磁盘吞吐量，包括 12 个旋转磁盘。操作系统是Redhat 7.9

回答一些问题：

• 磁盘为“480GB 2.5 英寸企业价值 6Gb SATA SSD”
• 产品 ID 为“UCS-SD480GBKS4-EB”
• 2018 年服务器标配磁盘
• 最近磨损似乎加速了（我现在正在记录磨损情况，所以几天后就会有更好的答案）
• 我已经用几年后购买的相同磁盘替换了大多数磁盘。
• iotop 显示稳定的 8MB/s 写入速度。
• 该系统在 8 台服务器上运行 hadoop。hadoop 文件系统位于旋转磁盘上，因此不应接触 SSD
• 根据供应商的建议，我已经大大减少了磁盘 IO，尽管它看起来仍然很高（8MB/s）

我最近为我的 debian 服务器购买了一个新的 16To HDD。我首先通过我的类似 ubuntu 的桌面在其上创建了一个分区 (gpt)，对其进行格式化 (ext4)，并对其上的旧数据进行 rsync。该磁盘现在可以使用，我将其插入我的服务器中。现在开始一个我无法识别的奇怪的 I/O。

• iotop -ao报告 3MB/s，Current DISK WRITE 但没有任何迹象表明是谁在执行此操作
• fatrace -c -t报告没有写入或读取，但如果我自己有touch一个文件，请报告它。
• dstat -tdD /dev/sdx --top-io报告每秒稳定的 3072k 写入，与 一致iotop，但也没有罪魁祸首，只是在i/o process应该有名称的地方有一个空白，但它确实确认了 I/O 操作是在所述磁盘上，这是我最初推断的它发出的噪音……

现在我知道 iotop 标头显示的内容与 I/O 写入和/或从进程读取的总和之间可能存在不一致，如此处所述。但与之前的帖子相反，当时：

• 服务器已断网
• 本地网络只是服务器
• 我没有对磁盘执行任何操作
• 我手动退出了每个可以使用该磁盘的程序

几个小时后（至少 10，不超过 20）噪音消失了，磁盘上不再有 3MB/s 的输入。

我的问题是：编写一些缓存系统、初始化表或类似的东西可以解释这个恒定的 3MB/s 写入 10-20 小时是否是正常行为（虽然我以前从未观察到过）（可能来自内核？） ？

我最初想到的是加密/随机病毒，但即使以 3MB/s 的速度运行 20 小时也不可能覆盖 16 可用的写入的 12To。

对此有任何合乎逻辑的解释吗？预先感谢您的任何帮助。

我们需要在具有 32Gb RAM 的服务器上运行一些测试。

我们可以访问的所有服务器都有 64GB，我们无法对其进行物理更改。

是否有某种方法告诉 RHEL 仅使用固定数量的 RAM，小于安装的 RAM？

我正在管理一个 RedHat 服务器，用户使用基于私钥/公钥的身份验证通过 SSH 登录。

我想防止他们意外更改/删除/chmoding 〜/.ssh文件夹的内容。他们中的一些人已经递归地 777-chmod 了他们自己的整个主文件夹，因为“这样更容易与同事共享文件”，这就是搬起石头砸自己的脚。

知道我该如何实现这一目标吗？最好有标准的Linux权限系统。

客户端拥有 Windows Server 2016 Essentials。他在他的服务器中安装了 128 GB RAM。但 Windows 报告说，即使安装了整个 128 GB，它也只使用了 64 GB

为什么？可以做什么来使用整个可用 RAM？

今天 clamAV 扫描了我的 AWS 实例并在每个实例上检测到 24 个受感染的文件。由于以下几个原因，它看起来像误报：

1. 所有这些文件都是在 2022 年 10 月创建的（为什么现在才检测到它们？）
2. 每个实例的 SSH 端口受 MFA + 密码 + VPN 保护。

那么，我的问题是，在这种情况下我的下一步应该是什么？我应该删除这些文件吗，据我所知，它可以是其他应用程序可以使用的系统文件。

2023-06-07T13:03:41.658+03:00   /snap/amazon-ssm-agent/6563/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:42.909+03:00   /snap/amazon-ssm-agent/6563/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:44.659+03:00   /snap/amazon-ssm-agent/6563/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:45.660+03:00   /snap/amazon-ssm-agent/6563/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:46.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:47.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:49.411+03:00   /snap/amazon-ssm-agent/6312/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:50.662+03:00   /snap/amazon-ssm-agent/6312/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:51.912+03:00   /snap/amazon-ssm-agent/6312/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:52.912+03:00   /snap/amazon-ssm-agent/6312/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:53.913+03:00   /snap/amazon-ssm-agent/6312/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:55.413+03:00   /snap/amazon-ssm-agent/6312/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:56.695+03:00   /snap/lxd/24061/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:57.414+03:00   /snap/lxd/24061/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.164+03:00   /snap/lxd/24061/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.915+03:00   /snap/lxd/24061/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:01.666+03:00   /snap/lxd/24061/bin/lxd-migrate: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:06.073+03:00   /snap/lxd/24061/bin/snap-query: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:12.420+03:00   /snap/lxd/23991/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:13.170+03:00   /snap/lxd/23991/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:13.920+03:00   /snap/lxd/23991/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:14.671+03:00   /snap/lxd/23991/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:16.171+03:00   /snap/lxd/23991/bin/lxd-migrate: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:21.073+03:00   /snap/lxd/23991/bin/snap-query: Unix.Malware.Kaiji-10003916-0 FOUND

我的系统中有一个卷组，由单个物理卷创建。

我正在创建两个逻辑卷 - 一个大小为 100M，另一个大小为 512M。

在 LV 上创建的任何 100M 大小的文件都不会显示出生时间属性。大小为 512M 的 LV 没有这个问题。

关于为什么会这样的任何线索？

物理卷和卷组：

# pvdisplay
  --- Physical volume ---
  PV Name               /dev/sda4
  VG Name               VG_System
  PV Size               400.00 GiB / not usable 4.00 MiB
  Allocatable           yes
  PE Size               4.00 MiB
  Total PE              102399
  Free PE               38099
  Allocated PE          64300
  PV UUID               Awnq0n-24v1-Z53P-MC09-3Fvv-dc0r-6QvAyX


# vgdisplay VG_System
  --- Volume group ---
  VG Name               VG_System
  System ID
  Format                lvm2
  Metadata Areas        1
  Metadata Sequence No  25
  VG Access             read/write
  VG Status             resizable
  MAX LV                0
  Cur LV                24
  Open LV               22
  Max PV                0
  Cur PV                1
  Act PV                1
  VG Size               <400.00 GiB
  PE Size               4.00 MiB
  Total PE              102399
  Alloc PE / Size       64300 / 251.17 GiB
  Free  PE / Size       38099 / 148.82 GiB
  VG UUID               Zg53rH-kuCI-dWKa-Uo3H-Mr2i-G2As-Wflm0d

第一个LV：

# lvcreate --stripes 1 -n testing -L 100M VG_System
  Logical volume "testing" created.

# mkfs.ext4 /dev/VG_System/testing
mke2fs 1.45.6 (20-Mar-2020)
Discarding device blocks: done
Creating filesystem with 102400 1k blocks and 25688 inodes
Filesystem UUID: ac9c1782-7770-4031-bad8-9b76f7577467
Superblock backups stored on blocks:
        8193, 24577, 40961, 57345, 73729

Allocating group tables: done
Writing inode tables: done
Creating journal (4096 blocks): done
Writing superblocks and filesystem accounting information: done


# blkid /dev/VG_System/testing
/dev/VG_System/testing: UUID="ac9c1782-7770-4031-bad8-9b76f7577467" BLOCK_SIZE="1024" TYPE="ext4"

# mount /dev/VG_System/testing /mnt/test
# mount | grep test
/dev/mapper/VG_System-testing on /mnt/test type ext4 (rw,relatime,stripe=4)

# touch /mnt/test/a
# stat /mnt/test/a
  File: /mnt/test/a
  Size: 0               Blocks: 0          IO Block: 1024   regular empty file
Device: 252,23  Inode: 12          Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2023-04-13 22:13:43.000000000 +0530
Modify: 2023-04-13 22:13:43.000000000 +0530
Change: 2023-04-13 22:13:43.000000000 +0530
 Birth: -

这里的Birth字段是空的。

第二个LV：

# lvcreate  -n testing2 -L 512M VG_System
  Logical volume "testing2" created.

# mkfs.ext4 /dev/VG_System/testing2
mke2fs 1.45.6 (20-Mar-2020)
Discarding device blocks: done
Creating filesystem with 131072 4k blocks and 32768 inodes
Filesystem UUID: 0b5e24a9-cdf1-4749-9089-bf0cf1495185
Superblock backups stored on blocks:
        32768, 98304

Allocating group tables: done
Writing inode tables: done
Creating journal (4096 blocks): done
Writing superblocks and filesystem accounting information: done


# blkid /dev/VG_System/testing2
/dev/VG_System/testing2: UUID="0b5e24a9-cdf1-4749-9089-bf0cf1495185" BLOCK_SIZE="4096" TYPE="ext4"

# mount /dev/VG_System/testing2 /mnt/test2
# mount | grep test
/dev/mapper/VG_System-testing2 on /mnt/test2 type ext4 (rw,relatime)

# touch /mnt/test2/a
# stat /mnt/test2/a
  File: /mnt/test2/a
  Size: 0               Blocks: 0          IO Block: 4096   regular empty file
Device: 252,24  Inode: 12          Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2023-04-13 22:19:01.873047858 +0530
Modify: 2023-04-13 22:19:01.873047858 +0530
Change: 2023-04-13 22:19:01.873047858 +0530
 Birth: 2023-04-13 22:19:01.873047858 +0530

注意确定它是否相关，但是第一个 LV 的安装选项有stripe=4，而第二个没有这个。除此之外，两个 LV 是相似的。

# lvdisplay VG_System/testing
  --- Logical volume ---
  LV Path                /dev/VG_System/testing
  LV Name                testing
  VG Name                VG_System
  LV UUID                n19sRr-SqHW-znjI-0fEW-MkQX-JRUn-MTmZHF
  LV Write Access        read/write
  LV Creation host, time controller, 2023-04-13 22:12:45 +0530
  LV Status              available
  # open                 0
  LV Size                100.00 MiB
  Current LE             25
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           252:23


# lvdisplay VG_System/testing2
  --- Logical volume ---
  LV Path                /dev/VG_System/testing2
  LV Name                testing2
  VG Name                VG_System
  LV UUID                94oJKP-r2Ob-ReHr-sDSO-t3HY-isJB-ZtEPsq
  LV Write Access        read/write
  LV Creation host, time controller, 2023-04-13 22:18:01 +0530
  LV Status              available
  # open                 1
  LV Size                512.00 MiB
  Current LE             128
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           252:24

我拥有一个使用 Let's Encrypt 证书的网站。它不在 Cloudflare 之后，它托管在 OVH，我接受来自它的直接流量。

现在，我设置了一个 apache2 网络服务器并使用 certbot 自动生成证书。这里的问题是，当我查看 Firefox 上的证书信息时，我可以在页面底部看到它包含对“Cloudflare Nimbus2023”的引用，尽管我没有使用他们的服务。

下面附上的图片就是它所显示的...... （由于某种原因它不允许我附上图片）

谁能给我解释一下这是什么？Cloudflare 在这里访问什么？

我们有一个由 GoDaddy 颁发的通配符证书即将更新，我想使用另一家公司（尚未选择）。通配符证书在几个服务器上的十几个站点上使用。在新机构颁发证书与我们可以在所有这些站点和服务器上安装证书之间会有几个小时的间隔。在那段时间里，我们的用户会注意到什么吗，例如，

1. “站点不安全”类型的警告
2. 站点完全无法运行（它们是 Windows/IIS 站点）。

我想知道，例如，新的权威机构是否向 GoDaddy 发布了一些东西，使 GoDaddy 撤销了他们存档的我们的证书。或者，Web 浏览器是否会发现已安装的证书与新颁发的证书不匹配，从而导致问题。

chrony 文档警告

警告：某些软件会受到系统时间中此类跳跃的严重影响。（这就是 chronyd 正常使用回转的原因。）文档

但是文档没有给出示例。将受到严重影响的软件示例有哪些？操作系统或任何后台进程是否存在风险？

我有一个网站，用户可以在其中存放文件。我不希望任何人都可以访问这些文件。

我看到有些人my_secret_folder在目录的同一级别创建一个文件夹（比如 ）www。然后，他们使用以下方式上传文件（使用 PHP 脚本）：

$destination = $_SERVER['DOCUMENT_ROOT']."/../my_secret_folder/".$filename

$destination上传文件的完整路径在哪里。

然后，只有 PHP 脚本（来自 www 文件夹中）允许访问文件。

这是一个好习惯吗？

我们有一台总 RAM 为 64GB 的服务器，应用程序通常最多使用 30GB 的可用 RAM。其中一个应用程序处理大量平面文件，我们遇到了吞吐量问题，即等待磁盘 I/O。在探索可能的解决方案时，出现了 RAM 磁盘的想法。RAM 磁盘的问题是固有的波动性。

我找到了关于 RAM 磁盘、RAID 1 配置和逻辑镜像卷以对物理磁盘进行分组的单独文档，但我似乎找不到任何文档表明这些磁盘复制解决方案是否可以与 RAM 磁盘一起使用。更重要的是，由于想法是让 RAM 磁盘可用于读/写，并让物理磁盘“遮蔽”RAM 磁盘，赶上写入，我们希望 RAM 磁盘成为所有磁盘的“主要”磁盘读/写。

需要注意的是，我们希望避免仅通过 RAM 缓存操作系统的文件，但如果我们可以获得与独立 RAM 磁盘相同的性能，那是可行的。我们最初避免了这种情况，因为通常某些文件不会长时间访问，但仍需要按需读取/写入速度。

如果我有多个 AWS EC2 和 Azure 实例在不同的区域运行。我正在使用 rabbitmq 在它们之间交换消息。我应该担心添加 TLS 并加密这些连接吗？

换句话说，如果服务器 A 在 AWS us-east 上，而服务器 B 在天蓝色，如果他们在没有加密的情况下交换信息会有多糟糕？只有互联网服务提供商和亚马逊/微软才能看到未加密的数据是否正确？

我显然会加密任何与客户打交道的东西。我只是对 2 个后端服务器互相交谈感到好奇。

编辑

谢谢你们的帮助。我知道如何加密连接以及如何设置 VPN。对不起，我错误地表达了这个问题。

我只是想知道谁能看到这些服务器之间的流量。为什么会有风险？我知道这将是有风险的，我相信你哈哈。我只是想知道为什么。另外，生成我自己的 ssl 证书并在每台服务器上信任它会有多糟糕。