全部问题(server)

我正在尝试使用市场 AMI 在 AWS 中设置 OpenVPN 访问服务器，但我正在努力连接它。

访问服务器已启动并正在运行。我还添加了一个具有自动登录功能的用户并生成了相关的客户端配置和证书。

然后我将上述文件复制到我的机器上并尝试使用连接openvpn client.ovpn但得到以下输出和错误，

Wed Nov 26 12:41:10 2014 OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Feb  4 2014
Wed Nov 26 12:41:10 2014 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Nov 26 12:41:10 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 26 12:41:10 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 26 12:41:10 2014 Socket Buffers: R=[212992->200000] S=[212992->200000]
Wed Nov 26 12:41:10 2014 UDPv4 link local: [undef]
Wed Nov 26 12:41:10 2014 UDPv4 link remote: [AF_INET]<REMOVED_IP>:1194
Wed Nov 26 12:41:10 2014 TLS: Initial packet from [AF_INET]<REMOVED_IP>:1194, sid=2a06a918 c4ecc6df
Wed Nov 26 12:41:11 2014 VERIFY OK: depth=1, CN=OpenVPN CA
Wed Nov 26 12:41:11 2014 VERIFY OK: nsCertType=SERVER
Wed Nov 26 12:41:11 2014 VERIFY OK: depth=0, CN=OpenVPN Server
Wed Nov 26 12:41:11 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 26 12:41:11 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 26 12:41:11 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 26 12:41:11 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 26 12:41:11 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 26 12:41:11 2014 [OpenVPN Server] Peer Connection Initiated with [AF_INET]54.173.232.46:1194
Wed Nov 26 12:41:14 2014 SENT CONTROL [OpenVPN Server]: 'PUSH_REQUEST' (status=1)
Wed Nov 26 12:41:14 2014 PUSH: Received control message: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,comp-lzo yes,redirect-private def1,redirect-private bypass-dhcp,redirect-private autolocal,redirect-private bypass-dns,route-gateway 172.16.224.129,route 172.16.1.0 255.255.255.0,route 172.16.224.0 255.255.255.0,block-ipv6,ifconfig 172.16.224.131 255.255.255.128'
Wed Nov 26 12:41:14 2014 Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:4: dhcp-pre-release (2.3.2)
Wed Nov 26 12:41:14 2014 Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:5: dhcp-renew (2.3.2)
Wed Nov 26 12:41:14 2014 Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:6: dhcp-release (2.3.2)
Wed Nov 26 12:41:14 2014 Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:18: block-ipv6 (2.3.2)
Wed Nov 26 12:41:14 2014 OPTIONS IMPORT: timers and/or timeouts modified
Wed Nov 26 12:41:14 2014 OPTIONS IMPORT: explicit notify parm(s) modified
Wed Nov 26 12:41:14 2014 OPTIONS IMPORT: LZO parms modified
Wed Nov 26 12:41:14 2014 OPTIONS IMPORT: --ifconfig/up options modified
Wed Nov 26 12:41:14 2014 OPTIONS IMPORT: route options modified
Wed Nov 26 12:41:14 2014 OPTIONS IMPORT: route-related options modified
Wed Nov 26 12:41:14 2014 ROUTE_GATEWAY 192.168.0.1/255.255.255.0 IFACE=wlan0 HWADDR=c4:85:08:c9:14:f4
Wed Nov 26 12:41:14 2014 ERROR: Cannot ioctl TUNSETIFF tun: Operation not permitted (errno=1)
Wed Nov 26 12:41:14 2014 Exiting due to fatal error

知道问题是什么吗？我认为由于 ERROR 行而无法创建隧道？

我正在运行服务器版本 2.0.10 和客户端版本，

OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Feb  4 2014
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <[email protected]>
Compile time defines: enable_crypto=yes enable_debug=yes enable_def_auth=yes enable_dependency_tracking=no enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_eurephia=yes enable_fast_install=yes enable_fragment=yes enable_http_proxy=yes enable_iproute2=yes enable_libtool_lock=yes enable_lzo=yes enable_lzo_stub=no enable_maintainer_mode=no enable_management=yes enable_multi=yes enable_multihome=yes enable_pam_dlopen=no enable_password_save=yes enable_pedantic=no enable_pf=yes enable_pkcs11=yes enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=yes enable_shared_with_static_runtimes=no enable_small=no enable_socks=yes enable_ssl=yes enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=no enable_win32_dll=yes enable_x509_alt_username=yes with_crypto_library=openssl with_gnu_ld=yes with_ifconfig_path=/sbin/ifconfig with_iproute_path=/sbin/ip with_mem_check=no with_plugindir='${prefix}/lib/openvpn' with_route_path=/sbin/route with_sysroot=no

这是关于区域顶点（或根）的 CNAME的规范问题

CNAME域顶端的记录是一种禁忌做法，这是相对普遍的知识。

例子： example.com. IN CNAME ithurts.example.net.

在最好的情况下，名称服务器软件可能会拒绝加载配置，在最坏的情况下，它可能会接受此配置并使 example.com 的配置无效。

最近，我有一家网络托管公司向业务部门传递指令，我们需要将我们域的顶点 CNAME 到新记录。知道这在提供给 BIND 时将是一个自杀配置，我建议他们我们将无法遵守，这通常是愚蠢的建议。这家虚拟主机公司的立场是，标准定义的 RFC 并没有完全禁止它，并且他们的软件支持它。如果我们不能 CNAME 顶点，他们的建议是根本没有顶点记录，并且他们不会提供重定向网络服务器。...什么？

我们大多数人都知道RFC1912坚持这一点A CNAME record is not allowed to coexist with any other data.，但让我们在这里对自己诚实，RFC 只是信息性的。我所知道的最接近禁止这种做法的措辞来自RFC1034：

如果 CNAME RR 出现在节点上，则不应出现其他数据；这可确保规范名称及其别名的数据不能不同。

不幸的是，我在这个行业已经足够长的时间知道“不应该”与“不能”是不一样的，这对大多数软件设计师来说已经足够了。知道任何缺少与灌篮的简洁链接都会浪费我的时间，我最终让公司逃脱了责骂，因为推荐的配置可能会在没有适当披露的情况下破坏常用软件。

这将我们带到问答环节。这一次，我希望我们能够真正了解顶级 CNAME 的疯狂，而不是像我们通常在有人就该主题发帖时那样回避这个问题。RFC1912是不受限制的，我没有想到的任何其他适用于此处的信息 RFC 也是如此。让我们关闭这个婴儿。

请注意：此问题的答案和评论包含来自另一个类似问题的内容，该问题已受到外部媒体的大量关注，但在某种病毒式营销计划中被证明是恶作剧问题。由于我们不允许以这种方式滥用 ServerFault，因此已删除原始问题并将答案与此问题合并。

这是一个有趣的悲剧。今天早上我正在对我的生产服务器进行一些维护时，我错误地执行了以下命令：

sudo rm -rf --no-preserve-root /mnt/hetznerbackup /

之前我没有发现最后一个空格/，几秒钟后，当警告充斥我的命令行时，我意识到我刚刚按下了自毁按钮。以下是一些让我眼前一亮的东西：

rm: cannot remove `/mnt/hetznerbackup': Is a directory
rm: cannot remove `/sys/fs/ecryptfs/version': Operation not permitted
rm: cannot remove `/sys/fs/ext4/md2/inode_readahead_blks': Operation not permitted
rm: cannot remove `/sys/fs/ext4/md2/mb_max_to_scan': Operation not permitted
rm: cannot remove `/sys/fs/ext4/md2/delayed_allocation_blocks': Operation not permitted
rm: cannot remove `/sys/fs/ext4/md2/max_writeback_mb_bump': Operation not permitted
rm: cannot remove `/sys/fs/ext4/md2/mb_stream_req': Operation not permitted
rm: cannot remove `/sys/fs/ext4/md2/mb_min_to_scan': Operation not permitted
rm: cannot remove `/sys/fs/ext4/md2/mb_stats': Operation not permitted
rm: cannot remove `/sys/fs/ext4/md2/trigger_fs_error': Operation not permitted
rm: cannot remove `/sys/fs/ext4/md2/session_write_kbytes': Operation not permitted
rm: cannot remove `/sys/fs/ext4/md2/lifetime_write_kbytes': Operation not permitted
# and so on..

当我发现生产服务仍在运行时，我停止了任务并松了一口气。可悲的是，服务器不再通过 SSH 接受我的任何用户的公钥或密码。

你将如何从这里前进？我将在铁丝网的海洋中游泳以恢复 SSH 访问。

该服务器运行 Ubuntu-12.04 并托管在 Hetzner。

这是有关 Active Directory 域服务 (AD DS)的规范问题。

什么是活动目录？它是做什么的，它是如何工作的？

Active Directory 是如何组织的：林、子域、树、站点或 OU

我发现自己几乎每天都在解释一些我认为是常识的东西。希望这个问题可以作为大多数基本 Active Directory 问题的规范问答。如果您觉得可以改进此问题的答案，请编辑。

有没有办法让 bash以红色显示标准错误消息？

新手的基本问题：

身份验证和授权有什么区别？

检查卷是否安装在 Bash 脚本中的最佳方法是什么？

我真正想要的是一种我可以像这样使用的方法：

if <something is mounted at /mnt/foo> 
then
   <Do some stuff>
else
   <Do some different stuff>
fi

是否有命令行方式列出特定 Active Directory 组中的所有用户？

我可以通过转到管理计算机-->本地用户/组-->组并双击组来查看组中的人员。

我只需要一个命令行方式来检索数据，这样我就可以做一些其他的自动化任务。

我最近听说 Nginx 在其反向代理功能中添加了缓存。我环顾四周，但找不到太多关于它的信息。

我想将 Nginx 设置为 Apache/Django 前面的缓存反向代理：让 Nginx 代理请求一些（但不是全部）动态页面到 Apache，然后缓存生成的页面并从缓存中为这些页面提供后续请求。

理想情况下，我想以两种方式使缓存无效：

1. 设置缓存项的到期日期
2. 显式地使缓存项无效。例如，如果我的 Django 后端更新了某些数据，我想告诉 Nginx 使受影响页面的缓存无效

是否可以设置 Nginx 来做到这一点？如何？

我有一个使用 SQL Server 数据库的 Windows 服务。我无法控制服务的安装，但想添加对服务的依赖项以确保它在 SQL Server 启动后启动。（SQL 服务器与相关服务在同一台机器上运行）

是否有添加依赖项或可能直接编辑注册表的工具？