全部问题(server)

我正在设置一个本地mongoDB 副本集，该副本集使用 x.509 来验证集群成员，遵循本指南。

配置文件选项包含两个参数：

certificateKeyFile: <path to its TLS/SSL certificate and key file>
clusterFile: <path to its certificate key file for membership authentication>

似乎 mongoDB（我认为还有其他类似的服务）提供了使用不同的证书/密钥进行服务器到客户端和服务器到服务器（即内部）通信的选项。

这在网络管理中常见吗？如果是，为什么？在客户端和内部通信中使用同一证书会有什么缺陷（如果有的话） ？

我有一个面向互联网的 Apache HTTPS 服务器 current.example.com。我想将该 Web 服务器重命名为 nextname.example.com。我还需要 current.example.com 在转换期间继续工作。这只是名称更改，并且将提供来自相同位置的相同内容。

我首先将 ServerAlias 添加到我的虚拟主机配置（HTTP 和 HTTPS）。这导致在访问 nextname.example.com 时出现“您的连接不是私密的”消息。我预料到了这种情况。

我知道一个（也许是唯一的？）解决方案是为 nextname 创建一个新证书，并创建一个新的 VirtualHost 配置。

但我希望有另一种解决方案。

此外，我意识到新的私钥不是强制性的，但可能建议这样做，因为我们已经需要一个新的证书。

有没有办法配置，以便两个虚拟服务器都可以使用/共享证书，或者是否需要新证书才能保留旧名称？

Azure OpenAI 中的指标选项卡中的令牌计数代表什么？我了解令牌是什么，并且令牌计数计算 LLM 收到的令牌数量（输入令牌）和发出的令牌数量（输出令牌），但我不明白图中的值是什么意思。例如，它是一分钟内使用的令牌数量吗？

伙计们...我在 StackExchange 网站上问了这个问题，有人建议这里会更好...

我有一个 nginx 网站，该网站对不存在的文件“mydata.html”的点击次数很多。这些点击次数以 301（或 302）状态代码记录在网站的访问日志中。我想知道如何配置 Fail2ban jail，它将捕获这些点击次数，并在点击次数过多时禁止 IP。

以下是日志文件中的一个示例记录：

1.2.3.4 - - [02/Mar/2025:00:00:06 -0700] “GET /MyData.html HTTP/1.1” 301 185 “http://xxx.MySite.com/MyData.html” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML，如 Gecko) Chrome/125.0.0.0 Safari/537.36”

我尝试使用正则表达式来选择条目^.*MyData.*HTTP.* 301。是否可以修改该正则表达式以获取 302 或其他代码？

有人能提供一些指导吗？我对正则表达式的了解还不如初学者。谢谢……RDK

我已经部署了一个有四个节点的 ceph 集群，有 4 个 mon，但我只想要 3 个，如果我删除第 4 个 mon，它会在重启后自动恢复。

我该如何删除它，让它不再出现，我正在使用 cephadm 来部署 ceph

这是ceph mon dump输出

epoch 14
fsid 383f1e64-f5a6-11ef-93f3-112a7d71c1d4
last_changed 2025-02-28T11:18:59.890169+0000
created 2025-02-28T07:34:26.733991+0000
min_mon_release 17 (quincy)
election_strategy: 1
0: [v2:10.10.20.4:3300/0,v1:10.10.20.4:6789/0] mon.ceph1
1: [v2:10.10.20.6:3300/0,v1:10.10.20.6:6789/0] mon.ceph2
2: [v2:10.10.20.5:3300/0,v1:10.10.20.5:6789/0] mon.ceph3
3: [v2:10.10.20.7:3300/0,v1:10.10.20.7:6789/0] mon.ceph4
dumped monmap epoch 14

我有一个虚拟主机，它通过 SSL 将非 www 重定向到 www：

<VirtualHost *:443>
  ServerName example.com
  Redirect / https://www.example.com/
  # Do I need to include SSL configuration here?
</VirtualHost >

# Main Site
<VirtualHost *:443>
  ServerName www.example.com
  Redirect / https://www.example.com/
  # Rest of the configurations including SSL
</VirtualHost >

我是否需要在第一个仅执行重定向的 vhost 块中包含 SSL 配置和证书？如果我省略第一个 vhost 块中的 SSL 配置，重定向和站点仍能正常工作，那么为什么我需要将 SSL 证书放在第一个 vhost 块中？

这看起来应该很容易，但我不记得怎么做了。每个客户端始终被授予通过与其连接名称匹配的 CCD 文件访问服务器上不同资源（通常是子网）的权限。我通常会创建“拆分”隧道 - 指定仅通过推送“路由...”命令通过隧道访问某些私有子网或服务器。

在计算机上，假设我有管理员权限，我可以通过本地网关向端点添加特定路由，然后删除默认路由，然后通过隧道添加默认路由来操作。除端点（以及客户端上的任何其他特定路由）之外的所有内容都通过隧道路由。

是否有我可以用来执行此操作的 CCD 文件推送命令？也许关键字被实际值替换，例如：

push "route <VPN_Endpoint> 255.255.255.255 <current_default_gateway>"
push "route 0.0.0.0 0.0.0.0"  

就像我说的，我习惯使用 ccd 文件中的推送来推送特定的子网路由，但如何配置成为默认网关却很难找到。

我正在公司执行域迁移项目（许多单站点域合并到一个全局 AD）。

我已经迁移了用户、计算机和组（使用 Quest 按需迁移工具）。并且我已验证 SID 历史记录已正确写入用户+组帐户。我可以看到用户和组的 SIDHistory 属性都已填充正确的值。

迁移到新域的用户帐户尝试访问旧域中的文件服务器，在旧域文件服务器的日志中，我看到：

检查网络共享对象以查看是否可以授予客户端所需的访问权限。

Subject:
    Security ID:        NEWDOMAIN\admig2
    Account Name:       admig2
    Account Domain:     NEWDOMAIN
    Logon ID:       0x1B7Dxxxx

Network Information:    
    Object Type:        File
    Source Address:     10.ab.cd.ef
    Source Port:        49782
    
Share Information:
    Share Name:     \\*\SHARE
    Share Path:     \??\D:\SHARE
    Relative Target Name:   \

Access Request Information:
    Access Mask:        0x80
    Accesses:       ReadAttributes
                
Access Check Results:
    ReadAttributes: Not granted
                

我在旧域和新域中都运行了以下命令：

旧域名

netdom trust <old domain fqdn> /domain:<new domain FQDN> /enablesidhistory:yes
netdom trust <old domain fqdn> /domain:<new domain FQDN> /quarantine:no

新域名

netdom trust <new domain FQDN> /domain:<old domain fqdn> /enablesidhistory:yes
netdom trust <new domain FQDN> /domain:<old domain fqdn> /quarantine:no

已经过去几个小时了，所以所有内容都应该复制到所有地方。但是，当我尝试使用迁移用户的凭据访问文件共享时，我遇到了同样的错误：访问被拒绝，请咨询您的管理员

除了关闭 SIDfiltering 和迁移用户组之外，还有其他我需要检查的、而我在上面的帖子中遗漏的区域吗？谢谢。

其中一个测试的结果： 我相信我已经排除了 NTLM 罪魁祸首 - 不是它。当我为所有人共享新文件夹以供 R/W 时，在安全 ACL 中，我授予 OLDDOMAIN\admig2 此新共享的权限，NEWDOMAIN\admig2 可以访问此共享。它仍然是 OLDDOMAIN 加入的文件服务器。这些症状让我感到困惑。是的，OLDDOMAIN\Domain users 是一个域本地组，而 NEWDOMAIN\admig2 不是它的成员，但这是 SidHistory 应该发挥作用的地方，由于旧 SID 是 OLDDOMAIN\Domain Users 的成员，我相信这应该仍然有效，但事实并非如此。或者......？

我明天将继续测试。

我有带有四个网络适配器的 Virtualbox。

1. 适配器仅主机
2. 适配器内部
3. 适配器仅主机
4. 适配器 NAT

第一个接口上的 NAT：

route -n

0.0.0.0         10.0.2.2        0.0.0.0         UG    100    0        0 enp0s3
10.0.2.0        0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
10.0.2.2        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s3
10.0.2.3        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s3
10.10.0.0       0.0.0.0         255.255.255.0   U     100    0        0 enp0s8
203.0.133.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s9


1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:46:e4:90 brd ff:ff:ff:ff:ff:ff
    inet 10.0.2.15/24 metric 100 brd 10.0.2.255 scope global dynamic enp0s3
       valid_lft 86198sec preferred_lft 86198sec
    inet6 fd00::a00:27ff:fe46:e490/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 86201sec preferred_lft 14201sec
    inet6 fe80::a00:27ff:fe46:e490/64 scope link
       valid_lft forever preferred_lft forever
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fc:34:9c brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.6/24 metric 100 brd 10.10.0.255 scope global dynamic enp0s8
       valid_lft 398sec preferred_lft 398sec
    inet6 fe80::a00:27ff:fefc:349c/64 scope link
       valid_lft forever preferred_lft forever
4: enp0s9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fb:36:58 brd ff:ff:ff:ff:ff:ff
    inet 203.0.133.5/24 metric 100 brd 203.0.133.255 scope global dynamic enp0s9
       valid_lft 398sec preferred_lft 398sec
    inet6 fe80::a00:27ff:fefb:3658/64 scope link
       valid_lft forever preferred_lft forever
5: enp0s10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:82:93:6b brd ff:ff:ff:ff:ff:ff
    inet6 fe80::a00:27ff:fe82:936b/64 scope link
       valid_lft forever preferred_lft forever

第一个接口上仅限主机，第二个接口上进行 NAT：

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.2.2        0.0.0.0         UG    100    0        0 enp0s8
10.0.2.0        0.0.0.0         255.255.255.0   U     100    0        0 enp0s8
10.0.2.2        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s8
10.0.2.3        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s8
10.10.0.0       0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
203.0.133.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s9

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:46:e4:90 brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.5/24 metric 100 brd 10.10.0.255 scope global dynamic enp0s3
       valid_lft 462sec preferred_lft 462sec
    inet6 fe80::a00:27ff:fe46:e490/64 scope link
       valid_lft forever preferred_lft forever
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fc:34:9c brd ff:ff:ff:ff:ff:ff
    inet 10.0.2.15/24 metric 100 brd 10.0.2.255 scope global dynamic enp0s8
       valid_lft 85962sec preferred_lft 85962sec
    inet6 fd00::a00:27ff:fefc:349c/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 85964sec preferred_lft 13964sec
    inet6 fe80::a00:27ff:fefc:349c/64 scope link
       valid_lft forever preferred_lft forever
4: enp0s9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fb:36:58 brd ff:ff:ff:ff:ff:ff
    inet 203.0.133.5/24 metric 100 brd 203.0.133.255 scope global dynamic enp0s9
       valid_lft 462sec preferred_lft 462sec
    inet6 fe80::a00:27ff:fefb:3658/64 scope link
       valid_lft forever preferred_lft forever
5: enp0s10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:82:93:6b brd ff:ff:ff:ff:ff:ff
    inet6 fe80::a00:27ff:fe82:936b/64 scope link
       valid_lft forever preferred_lft forever

当 NAT 位于网络接口的第二个、第三个或最后一个位置时，我无法使用 NAT 和端口转发连接到我的 VM。

它必须始终处于第一位。

有人能解释一下为什么吗？

谢谢

一些 AWS 证书具有此颁发者：

issuer=C=US, O=Amazon, CN=Amazon RSA 2048 M02

其他人有这个：

issuer=C=US, O=Amazon, CN=Amazon RSA 2048 M03

它们之间有什么区别？