主页 / server / 问题

全部问题(server)

Martin Hope
Ror
Asked: 2023-09-22 21:32:00 +0800 CST
  • 5

我有一个看起来像这样的目录:

/path/to/files/data-file.1
/path/to/files/data-file.2
/path/to/files/data-file.3
/path/to/files/data-file.4
/path/to/files/data-file.5
/path/to/files/data-file.6

我想制作一个脚本来列出变量中两个值之间的所有文件,如下所示:

#!/bin/bash
fileA="/path/to/files/data-file.2"
fileB="/path/to/files/data-file.5"
ls -v /path/to/files/*-file.[0-9]* | sed -n '/$fileA/,/$fileB/p'

输出:

/path/to/files/data-file.2
/path/to/files/data-file.3
/path/to/files/data-file.4
/path/to/files/data-file.5

但是,sed命令似乎不起作用。我猜测是因为变量中的斜杠。有没有办法在不改变变量的情况下克服这个问题?我想在 fileA 和 fileB 是动态的脚本中使用这段代码。

linux
Martin Hope
tigrou
Asked: 2023-09-22 06:45:38 +0800 CST
  • 6

Apache/2.4.6 (CentOS)我有一台带+的服务器OpenSSL/1.0.2k-fips(我知道这是旧版本的 Apache,但现在无法升级)。mpm 事件用于多重处理。

提供HTTP内容时,一切都按预期进行:

在此输入图像描述

服务器可以毫无问题地同时处理许多请求(测试是使用大约 150 个客户端进行的,每个客户端创建 4 个并行连接 = 600 个连接)。所有请求都针对静态内容并使用 keepalive。

,这HTTPS/SSL是一个不同的故事。

在此输入图像描述

它将快速使用所有 400 个可能的线程(参见记分板)。不会建立任何异步连接。AFAIK 它的行为就像mpm worker

起初我认为这是一个限制,并且mpm event只适用于 HTTP。但这不是文档中所写的内容(在“工作原理” > “异步连接”下):

这些改进对于 HTTP/HTTPS 连接均有效。

编辑:文档的限制部分中有一些信息解释了在某些情况下它可能会回退到. 但它似乎并不适用于此。mpm worker

ssl
Martin Hope
Blaine Sherman
Asked: 2023-09-22 01:56:11 +0800 CST
  • 5

我们有一个本地 Exchange 2016 服务器。邮件流转正常。然而,最近我们开始使用第三方电子邮件服务来发送我们的时事通讯 (Klaviyo)。当我们发送营销活动时,我们的 Exchange 服务器会拒绝发送到我们自己的域的电子邮件。这是我在 Exchange 日志中看到的内容。

{[{LED=550 5.7.1 Send ID (PRA) Not permitted};{MSG=};{FQDN=};{IP=192.xxx.xxx.xxx};{LRT=}]}

我设置了 SPF 记录,但是,Kalviyo 使用动态 IP,我无法将它们添加到 SPF 记录中。他们从 send.ourdomain.com 发送。我的 SPF 记录可能不正确。

v=spf1 ip4:xxx.xxx.xxx.xxx ip4:xxx.xxx.xxx.xxx include:servers.mcsv.net -all include:send.ourdomain.com -all

我没有设置 Exchange 服务器,因此我不知道问题是与 Exchange 设置有关,还是与我们的 SPF 记录有关。

我需要查看哪些地方会导致此拒绝错误,以便解决此问题?

spf
Martin Hope
wecx
Asked: 2023-09-22 01:11:35 +0800 CST
  • 14

我正在管理一个 RedHat 服务器,用户使用基于私钥/公钥的身份验证通过 SSH 登录。

我想防止他们意外更改/删除/chmoding 〜/.ssh文件夹的内容。他们中的一些人已经递归地 777-chmod 了他们自己的整个主文件夹,因为“这样更容易与同事共享文件”,这就是搬起石头砸自己的脚。

知道我该如何实现这一目标吗?最好有标准的Linux权限系统。

permissions
Martin Hope
mirabilos
Asked: 2023-09-21 23:24:40 +0800 CST
  • 5

Host Europe 分配了一个我刚刚从他们那里租用的虚拟机,其 IP 地址以全零 ( 2xxx:xxxx:xxxx:xxxx::/128) 结尾。

我声称这可能是互操作问题,因为最后 64 位全零的地址通常是子网路由器的任播地址,我担心其他节点可能会特殊对待它。

他们的支持说:“从语法上讲,它只是一个子网任播地址,但您可以毫无问题地使用它,因为我们使用 /128 子网大小。” (我的翻译)

我只是半信半疑。有没有什么东西可以让节点专门处理这种类型的地址,或者我真的可以像常规地址一样使用它吗?

ipv6
Martin Hope
Alex
Asked: 2023-09-21 15:40:19 +0800 CST
  • 5
Restarting services...
Daemons using outdated libraries
--------------------------------

  1. containerd.service  4. fail2ban.service      7. networkd-dispatcher.service  10. systemd-logind.service  13. unattended-upgrades.service
  2. dbus.service        5. iscsid.service        8. polkit.service               11. systemd-manager         14. [email protected]
  3. docker.service      6. ModemManager.service  9. rpcbind.service              12. udisks2.service         15. none of the above

(Enter the items or ranges you want to select, separated by spaces.)

Which services should be restarted?

我尝试按照说明回答,但这些都不起作用:

  • 1-15
  • 1 15
  • 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
  • 全部
  • y
linux
Martin Hope
Zippy1970
Asked: 2023-09-20 20:21:17 +0800 CST
  • 6

使用 Linux Debian Bookworm。

问题

我想阻止来自特定国家/地区的所有传入连接到我的服务器。

编辑

正如有人在评论中指出的那样,我真的不应该使用 iptables 这样做,因为一旦它阻止的 IP 地址列表增长到无法管理的大小(例如数千个 IP 地址),这将使我的服务器停止运行。相反,我应该使用ipset(阻止整个范围)。问题在于它取决于我需要定期下载的列表。我想要我设置过一次的东西(最好)。

那么如何阻止来自特定国家/地区的连接呢?来自中国和俄罗斯的流量(有时是暴力攻击)正在失控。他们经常让我的服务器瘫痪。他们不遵守 robots.txt 文件,并且非常积极地抓取网站(同时有数百个、有时数千个连接)。我真的需要阻止这种情况。我的猜测是,我的服务器处理的所有流量中 90% 以上都是恶意/格式错误的。

编辑2

我找到了一些在线教程(比如这个)如何做到这一点,但这些教程似乎很旧。此外,它还需要下载和编译/安装一些模块。我担心这可能会在未来中断(当更新/升级其他软件包甚至发行版时)或者可能成为未来的安全风险。我使我的服务器保持最新状态(通过定期运行 apt-get update / apt-get Upgrade / apt-get dist-upgrade )。

原始信息

我在网上找到了一个脚本(简而言之)每秒获取已建立连接的 IP 地址列表,然后使用 geoiplookup 获取 IP 地址的国家/地区。如果国家/地区位于您想要阻止的国家/地区列表中,它会使用 iptables 将 IP 地址添加到您的防火墙过滤器中。我对脚本做了一些细微的更改(使其更具可读性,因为我对这个脚本每次阻止 IP 地址时都会向我发送电子邮件不感兴趣)。然后该脚本通过 crontab 每分钟运行一次:

#!/bin/bash
# Script found on lautenbacher.io"

end=$((SECONDS+55))

while [ $SECONDS -lt $end ]; do
  echo $SECONDS
  netstat -ant | egrep ':.*ESTABLISHED' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c > testcc.txt
  sed 's/^[ t]*//' -i testcc.txt
  sed '/^$/d' -i testcc.txt

  while read c d; do

    if [[ $c > "0" ]]; then
      bGF1dGVuYmFjaGVyLmlv=$(geoiplookup $d | awk -v ip="$d" '{FS=" "} {if($4 == "RU," || $4 == "CN," || $4 == "BLR,") {print 1}}')

      if [[ $bGF1dGVuYmFjaGVyLmlv = "1" ]]; then
        echo "running geolookup"
        echo checking ip $d
        geoiplookup $d

        isCloudflare=0
        # The original script made an exception for CLOUDFLARE. I don't want that exception
        # bGF1dGVuYmFjaGVyLmlX=$(whois $d)
        # if [[ "$bGF1dGVuYmFjaGVyLmlX" == *"CLOUDFLARE "* ]]; then
        #  isCloudflare=1
        #  echo Cloudflare detected
        # fi

        if [[ "$isCloudflare" != 1 ]]; then
          echo try to add ip $d to blocklist
          sudo iptables -I INPUT -s $d -j DROP
          ### I would like to sever the connection here ###
        fi

      fi

    fi
  done < testcc.txt

  sleep 1
    :
done

顺便说一句,我不知道为什么脚本的作者使用如此奇怪的变量名称(“bGF1dGVuYmFjaGVyLmlv”)。

无论如何,问题是每当它发现与来自被禁止国家的 IP 地址的连接时,它就会运行

sudo iptables -I INPUT -s $d -j DROP

在IP地址上。这一切都很好,但大多数连接都有些持久,这意味着一秒钟后会找到相同的 IP 地址并再次使用 iptables 添加。我不确定会发生什么(它会创建重复的规则吗?),但我想在使用 iptables 添加 ipaddress 后立即删除连接。

简而言之:如何终止具有 IP 地址的连接?

linux
Martin Hope
knpwrs
Asked: 2023-09-20 04:59:06 +0800 CST
  • 5

我有一个单节点 kubernetes 集群,我收到磁盘使用率超过 70% 的通知。当我在节点上获得 shell 并运行时,df我发现它/使用了 75% 的可用块。我还看到很多这样的条目:

overlay         51432064 36953456  12350764  75% /run/containerd/io.containerd.runtime.v2.task/k8s.io/47d405a81214ec9b81ccdffae3674260fa2946d30bdd3b398aa1c2d283c8577e/rootfs
overlay         51432064 36953456  12350764  75% /run/containerd/io.containerd.runtime.v2.task/k8s.io/569d1fe262f6bf1a59ca99163f231a426d2251ac1beabc47a0393066f48b3e0e/rootfs
overlay         51432064 36953456  12350764  75% /run/containerd/io.containerd.runtime.v2.task/k8s.io/32d14863f46e922b7e0b2bbee8a5321c5fabb5811352449d90e486b94161a8cb/rootfs
overlay         51432064 36953456  12350764  75% /run/containerd/io.containerd.runtime.v2.task/k8s.io/8c3fa2f9467e792036782e9587f748f846d61fdc23d9afaecc7e7835e6db4f2b/rootfs
overlay         51432064 36953456  12350764  75% /run/containerd/io.containerd.runtime.v2.task/k8s.io/626b21093218edcda466ce6d4f31e7b975a0c0473d233fc062ed657499541fc9/rootfs
overlay         51432064 36953456  12350764  75% /run/containerd/io.containerd.runtime.v2.task/k8s.io/c1a7484e1beca4ec1299fc5017002d6fecc9890c86e3246a8bdf53fcc45cf576/rootfs

我有两个使用持久卷(不是主机卷)的服务,除了 docker 镜像之外,我想不出还有什么可能会耗尽所有这些存储。

我怎样才能知道是什么在我的 kubernetes 集群上使用了这么多存储空间?

kubernetes
Martin Hope
Damo
Asked: 2023-09-19 18:53:39 +0800 CST
  • 5

有谁知道关于 apache 为什么返回 400 状态代码的任何官方或非官方文档?我知道这是由于错误的客户端请求造成的,但是什么构成错误的客户端请求呢?我知道诸如大请求大小和无效字符之类的事情可能会导致 400,但我想要某种明确的列表。

例如,o'reilly 的“apache 权威指南”没有给出这个细节。

谢谢!达米安

apache-2.4
Martin Hope
InterLinked
Asked: 2023-09-19 09:21:09 +0800 CST
  • 6

我正在将运行 Debian 10 的服务器迁移到运行 Debian 12(和 6.x 内核)的服务器,最后一个似乎不起作用的是 TLS 1.0,我一直在试图弄清楚它。

我知道更改了SECLEVEL和 ,MinProtocol如下所述: https: //stackoverflow.com/a/61568390/6110631,但由于某种原因,这不起作用。

在工作系统上,我有:

[system_default_sect]
MinProtocol = TLSv1.0
CipherString = ALL:@SECLEVEL=1

我尝试在新系统上以相同的方式添加此内容,但 TLS 1.0 似乎仍然不起作用。在 Apache 服务器(取决于应用程序)中,我可以看到:

AH02039: Certificate Verification: Error (68): CA signature digest algorithm too weak

我有点预料到了这一点,因为我认为默认情况下 TLS 1.0 会被禁用,所以我进一步调整了配置。我所做的任何更改似乎都不起作用,并且通过端口镜像从客户端角度进行数据包捕获,我可以看到所有 TLS 协商都彻底失败(在 Client Hello 之后,Alert (Level: Fatal, Description: Protocol Version).

用 进行探测openssl s_client,似乎 TLS 1.0 的某些东西完全被破坏了。

在现有的 Debian 10 服务器上,我得到:

# openssl version
OpenSSL 1.1.1n  15 Mar 2022

# openssl s_client -connect OLDHOST -tls1
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = OLDHOST
verify return:1
---
Certificate chain
 0 s:CN = OLDHOST
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----

然而,在新的 Debian 12 服务器上,我得到:

# openssl version
OpenSSL 3.0.9 30 May 2023 (Library: OpenSSL 3.0.9 30 May 2023)

# openssl s_client -connect NEWHOST -tls1
CONNECTED(00000003)
140101680407744:error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error:../ssl/record/rec_layer_s3.c:1544:SSL alert number 80
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 136 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1695085443
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no

TLS 1.2 仍然可以正常工作,但我在 TLS 1.0 和 TLS 1.1 中得到了这个。

我尝试过使用DEFAULT:@SECLEVEL=1,ALL:@SECLEVEL=1以及 sec level 1、sec level 0、ALL、DEFAULT、LEGACY 等的其他组合。它们似乎都不起作用。我一直在更改之间定期重新启动 Apache 和整个服务器。

我还尝试将其添加到 Apache 配置中,因此我有以下内容:

Protocols h2 http/1.1
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:@SECLEVEL=0
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off

其他相关问题/答案,不幸的是没有产生更多的见解:

有几个地方似乎确实暗示,如今,您必须SECLEVEL从 1 降低到 0 才能使其正常工作,例如对于 SHA1 证书,我已经完成了,但仍然没有雪茄。

OpenSSL 3 中尚未删除TLS 1.0 和 1.1 支持(我确实检查过),因此应该通过正确的配置来支持它。

所有记录的解决方案似乎都不适合我,而且在浪费了一整天的调试时间后,我似乎并没有更接近。还有其他人找到让旧密码工作的解决方案吗?我指定了ALL0 级和 1 级的密码,但它似乎不服从我的指示,所以这看起来相当奇怪。

ssl
下一页