全部问题(server)

当有人描述如何挂载 tmpfs 或 ramfs 时，我经常在网上看到这两个选项。通常也使用 noexec，但我对 nodev 和 nosuid 特别感兴趣。我基本上讨厌只是盲目地重复某人的建议，而没有真正的理解。而且由于我只在网上看到有关此的复制/粘贴说明，所以我在这里问。

这来自文档：
nodev - 不要解释文件系统上的块特殊设备。
nosuid - 阻止 suid 和 sgid 位的操作。

但我想要一个实际的解释，如果我把这两个排除在外会发生什么。假设我已经配置了系统上特定（非 root）用户可以访问（读+写）的 tmpfs 或 ramfs（没有设置这两个提到的选项）。该用户可以做什么来损害系统？排除ramfs情况下消耗所有可用系统内存的情况

我经常听到它建议通过将用户帐户的外壳设置为/bin/false. 但是，在我现有的 Linux 系统上，我看到大量现有帐户（所有这些帐户都是服务帐户）都有一个外壳/sbin/nologin。

我从手册页中看到/sbin/nologin向用户打印一条消息，说明该帐户已被禁用，然后退出。大概/bin/false不会打印任何东西。

我还看到它/sbin/nologin列在 中/etc/shells，而/bin/false没有。

手册页说 FTP 将禁用具有未列出的 shell 的用户的访问权限，/etc/shells并暗示其他程序可能会这样做。这是否意味着有人可以使用具有/sbin/nologin外壳的帐户进行 FTP 访问？

这里有什么区别？我应该使用其中哪一个来禁用用户帐户，以及在什么情况下？上市还有哪些其他影响/etc/shells？

我有Nginx + php5-fpm。我的网站每小时有几次卡住，在日志文件中我看到以下内容：

警告：[池 www] 服务器达到 pm.max_children 设置 (5)，考虑提高它。

/etc/php5/fpm/pool.d/www.conf文件包含以下配置：

pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3

服务器： AMD Opteron™ 3280，八核，8x 2.4 GHz，16 GB DIMM (DDR3)。

我不知道我应该在这个服务器的 www.conf 文件中输入什么数字。我可以帮助别人吗？谢谢

如何更改 AWS EC2 中安全组的名称和描述？

我的安全组已命名quick-start-1（默认），我想将其更改为“ HTTP, HTTPS and Limited SSH”。

我有一个包含两个物理卷 (PV) 的卷组 (VG)。VG 中的几个逻辑卷 (LV) 可能会在两个 PV 上使用扩展区。

有没有办法告诉哪些 LV 占用哪些 PV 上的空间？

在我自己的电脑上，运行 MacOSX，我在 ~/.ssh/config 中有这个

Host *
ForwardAgent yes
Host b1
ForwardAgent yes

b1 是运行 Ubuntu 12.04 的虚拟机。我 ssh 是这样的：

ssh pupeno@b1

而且我没有被要求输入密码就登录了，因为我已经复制了我的公钥。由于转发，我应该能够从 b1 ssh 到 pupeno@b1，它应该可以工作，而不需要我输入密码，但事实并非如此。它要求我输入密码。

我错过了什么？

这是第二个 ssh 的详细输出：

pupeno@b1:~$ ssh -v pupeno@b1
OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to b1 [127.0.1.1] port 22.
debug1: Connection established.
debug1: identity file /home/pupeno/.ssh/id_rsa type -1
debug1: identity file /home/pupeno/.ssh/id_rsa-cert type -1
debug1: identity file /home/pupeno/.ssh/id_dsa type -1
debug1: identity file /home/pupeno/.ssh/id_dsa-cert type -1
debug1: identity file /home/pupeno/.ssh/id_ecdsa type -1
debug1: identity file /home/pupeno/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.9p1 Debian-5ubuntu1
debug1: match: OpenSSH_5.9p1 Debian-5ubuntu1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ECDSA 35:c0:7f:24:43:06:df:a0:bc:a7:34:4b:da:ff:66:eb
debug1: Host 'b1' is known and matches the ECDSA host key.
debug1: Found key in /home/pupeno/.ssh/known_hosts:1
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/pupeno/.ssh/id_rsa
debug1: Trying private key: /home/pupeno/.ssh/id_dsa
debug1: Trying private key: /home/pupeno/.ssh/id_ecdsa
debug1: Next authentication method: password
pupeno@b1's password:

更新摘要

/var/www 目录归其所有，root:root这意味着没有人可以使用它，而且它完全没用。由于我们都想要一个实际工作的 Web 服务器（并且没有人应该以“root”身份登录），所以我们需要解决这个问题。

只有两个实体需要访问。

1. PHP/Perl/Ruby/Python都需要访问文件夹和文件，因为它们创建了许多文件夹和文件（即/uploads/）。这些脚本语言应该在 nginx 或 apache 下运行（或者甚至是一些其他的东西，比如 PHP 的 FastCGI）。

2. 开发商

他们如何获得访问权？我知道以前有人在某个地方做过这件事。然而，有数十亿个网站，您会认为会有更多关于这个主题的信息。

我知道 777 是所有者/组/其他的完全读/写/执行权限。因此，这似乎不需要正确，因为它为随机用户提供了完全权限。

需要使用哪些权限，/var/www以便：

1. 源代码控制，如 git 或 svn
2. 像“网站”这样的组中的用户（甚至添加到“www-data”）
3. 像 apache 或 lighthttpd 这样的服务器
4. 和 PHP/Perl/Ruby

都可以在那里读取、创建和运行文件（和目录）吗？

如果我是正确的，Ruby 和 PHP 脚本不会直接“执行”——而是传递给解释器。所以不需要对/var/www...中的文件执行权限？因此，似乎正确的许可chmod -R 1660是

1. 这四个实体可共享的所有文件
2. 所有文件都错误地不可执行
3. 完全阻止目录中的其他所有人
4. 将所有未来文件的权限模式设置为“粘性”

这个对吗？

更新 1：我刚刚意识到文件和目录可能需要不同的权限 - 我在谈论上面的文件，所以我不确定目录权限需要是什么。

更新 2：文件夹结构发生了/var/www巨大变化，因为上述四个实体之一总是添加（有时删除）文件夹和子文件夹很多层级。他们还创建和删除其他 3 个实体可能需要读/写访问权限的文件。因此，权限需要对文件和目录都做上面的四件事。由于它们都不应该需要执行权限（请参阅上面有关 ruby​​/php 的问题），我认为rw-rw-r--权限将是所需要的并且完全安全，因为这四个实体由受信任的人员（请参阅#2）和所有其他用户运行系统只有读取权限。

更新 3：这适用于个人开发机器和私人公司服务器。没有像共享主机这样的随机“网络客户”。

更新 4： slicehost 的 这篇文章似乎最能解释为 www 文件夹设置权限所需的内容。但是，我不确定使用 PHP 或 svn/git 运行的用户或组 apache/nginx 以及如何更改它们。

更新 5：我（我认为）终于找到了一种让这一切正常工作的方法（答案如下）。但是，我不知道这是否是正确且安全的方法。因此，我开始了赏金。拥有保护和​​管理 www 目录的最佳方法的人获胜。

当我（重新）启动 Apache 时，我不断收到此警告。

* Restarting web server apache2 apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName

... waiting apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName [ OK ]

这是我的etc/hosts文件的内容：

#127.0.0.1  hpdtp-ubuntu910
#testproject.localhost  localhost.localdomain   localhost
#127.0.1.1  hpdtp-ubuntu910

127.0.0.1   localhost
127.0.0.1   testproject.localhost
127.0.1.1   hpdtp-ubuntu910



# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

这是我的/etc/apache2/sites-enabled/000-default文件的内容：

<VirtualHost *:80>
  ServerName testproject.localhost
  DocumentRoot "/home/morpheous/work/websites/testproject/web"
  DirectoryIndex index.php
  <Directory "/home/morpheous/work/websites/testproject/web">
    AllowOverride All
    Allow from All
  </Directory>

  Alias /sf /lib/vendor/symfony/symfony-1.3.2/data/web/sf
  <Directory "/lib/vendor/symfony/symfony-1.3.2/data/web/sf">
    AllowOverride All
    Allow from All
  </Directory>
</VirtualHost>

当我转到 时http://testproject.localhost，我得到一个空白页。

谁能发现我做错了什么？

使用我的 Django 应用程序，我可以很好地从数据库中读取数据。当应用程序无权访问该文件时，它给了我这个错误：

尝试写一个只读数据库

这是有道理的。所以我编辑了文件的权限，使Apache进程具有写权限。但是，我得到了这个神秘的错误，而不是它能够写入：

无法打开数据库文件

如果它有用，这里是整个输出：

Request Method: POST
Request URL:    http://home-sv-1/hellodjango1/polls/1/vote/
Exception Type: OperationalError
Exception Value:    
unable to open database file
Exception Location: /usr/lib/pymodules/python2.5/django/db/backends/sqlite3/base.py in execute, line 193
Python Executable:  /usr/bin/python
Python Version: 2.5.2
Python Path:    ['/var/www', '/usr/lib/python2.5', '/usr/lib/python2.5/plat-linux2', '/usr/lib/python2.5/lib-tk', '/usr/lib/python2.5/lib-dynload', '/usr/local/lib/python2.5/site-packages', '/usr/lib/python2.5/site-packages', '/usr/lib/pymodules/python2.5', '/usr/lib/pymodules/python2.5/gtk-2.0']
Server time:    Sun, 23 Aug 2009 07:06:08 -0500

让我知道是否需要堆栈跟踪。

我有以下语法（我认为是正确的？）但它每分钟运行一次命令！

* */4 * * * /cmd.sh