问题[debian](server)

我有一台 Debian 服务器，运行着一块 SSD 固态硬盘和两块 HDD 硬盘（SDA 和 SDB）。SDA 是 EXT4 格式，SDB 是 XFS 格式。两块硬盘都是东芝 MG07ACA14TE (512e)，14TB 容量。

情况如下：

这些硬盘大部分时间处于待机状态，只有在需要时才会唤醒。我每天晚上都会运行一个 Snapraid 脚本和其他一些脚本进行备份。大约每两周，这些硬盘就会出现一些奇怪的行为。一旦 SDA 被唤醒，它会保持活动状态大约两天，然后再次进入待机模式。它只是在主动旋转，据我所知，没有任何写入或读取操作。我做了以下操作：

• ps -ef：没有链接到此行为的进程。
• iotop -a：SDA 没有内容
• fatrace -c：SDA 没有内容
• dstat --nocolor -dD sda：SDA 没有显示

正常情况下，如果我使用 hdparm -C /dev/sda 检查，驱动器的状态是待机、空闲或活动。但现在它显示活动/空闲。两天后我再次检查时，它又显示待机、空闲或活动。

我注意到的另一件有趣的事情是，在我将 SDB 格式化为 XFS 之前，它也是 EXT4 格式，并且表现出与 SDA 相同的行为。唯一的区别是唤醒时间晚了一天，因为有一次我为了测试，把磁盘从服务器上断开了一天。然而，每次 SDA 开始旋转两天后，SDB 就会在一天后再次启动。

在另一个论坛的帖子里，我了解到一些信息，认为此行为可能是由 Ext4-rsv-conver 引起的。我通过 PS 检查了一下，确实看到了这个进程，但现在我怀疑这是否是导致问题的原因，因为它是在磁盘旋转后才出现的，而且在磁盘通常处于待机状态时，我还时不时地看到这个进程在运行。

有人知道是什么原因导致硬盘转了两天又恢复正常模式吗？或者能给我一些建议，告诉我还有什么其他方法可以排除故障吗？

首先，介绍一些背景故事：

我目前有一个个人网站（我知道 Server Fault 应该是用于商业环境的，但这个问题似乎是最适合提出的地方），托管在一台运行 Bitnami 的 Node.js 镜像（Bitnami 服务器）的 Amazon Lightsail 服务器上。该网站使用 NextJS。最近，我决定将其迁移到另一台运行 Debian 12 镜像（Debian 服务器）的 Lightsail 服务器，因为 Bitnami 无法很好地保持 Apache 和 Node 的更新。启动 Debian 服务器后，我安装了 Apache（但尚未设置）、FNM（用于管理 Node 和 NPM）和 PM2，并确保所有组件都是最新的，然后我git pull将我的网站迁移到新服务器上，以便在那里构建。（git pull这就是我在 Bitnami 服务器上部署网站的方式。）

问题：

每当我npm run build在 Debian 服务器上运行程序时，它都会挂起或崩溃，并显示“退出代码：null，信号：SIGKILL”。我弄清楚了如何读取系统日志，发现它是被内存不足终止程序终止的，而每当它卡在挂起状态时，它实际上并没有被终止。（我不知道为什么会发生这种情况。）问题是，它在 Bitnami 服务器上运行良好，尽管我必须使用sudo，否则我会收到关于取消链接某个文件的“权限被拒绝”错误。（我预计在内存不足问题解决后我会处理这个问题，但现在我正在一个一个地处理。）

两台服务器都配备了 512 MB 内存和 20 GB 固态硬盘。我认为两台服务器的镜像都是默认/最便宜的配置。（它们都使用了每月 5 美元的配置。）

我top在两台服务器上都运行了程序，看看这是否能帮我解决问题，结果发现 Bitnami 服务器有很多 Debian 服务器没有的交换内存。我不知道这是为什么。Bitnami 服务器的可用内存也比 Debian 服务器（npm run build未运行的情况下）少得多，这很正常，因为 Bitnami 服务器运行着一些额外的程序，并且正在积极地托管网站。此外，Bitnami 服务器的“缓冲/缓存”内存也比 Debian 服务器多得多。

我该怎么做才能解决内存不足的问题或找出导致该问题的原因？

决定将一台旧电脑改造成服务器（NAS、家庭助理等），我决定学习 Debian 上的 Xen Project 虚拟化。该服务器预计仅在 LAN 上使用，其静态 IP 地址为 10.56.0.191。我正尝试使用 Xen 在 10.56.0.192 上创建客户机。为此，我遵循了Xen 项目的初学者指南中提供的信息，并且能够创建运行 Debian 的 VP 客户机。

不幸的是，客户机根本没有连接。我仍然按照初学者指南，结合Xen 网络，尝试配置主机的接口、IP 转发、ARP 代理和 IP 伪装。不幸的是，wiki 引用的iptable似乎已被nftables取代。因此，我尝试使用nftables。

客户机似乎无法通信（通过 ping LAN 上的各个主机测试连接），而主机可以正常通信。

我似乎遗漏了一些重要的东西，但我无法找到它。你能帮我解决这个问题吗？

我对主机和客户机进行了如下配置。

我感谢你的帮助:-)

在主机上

我创建了一座桥，如下xenbr0所示/etc/network/interfaces：

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# Static IP on ethernet
iface enp2s0 inet manual

# Bridge for Xen hypervisor
auto xenbr0
iface xenbr0 inet static
    address 10.56.0.191
    netmask 255.255.0.0
    gateway 10.56.0.1
    dns-nameservers 1.1.1.1 4.4.4.4 8.8.8.8
    bridge_ports enp2s0
    bridge_stp off
    bridge_maxwait 0
    bridge_fd 0

IPv4转发和ARP代理都已启用/etc/sysctl.conf。

net.ipv4.ip_forward=1
net.ipv4.conf.enp2s0.proxy_arp=1

使用nftables，我创建了一个nat 表和一个后路由链。然后我添加了一条 IP 伪装规则。

nft add table nat
nft add chain ip nat postrouting { type nat hook postrouting priority 0 \; }
nft add rule nat postrouting ip saddr 10.56.0.0/16 oif enp2s0 masquerade

调用nft list ruleset返回以下内容：

table ip nat {
    chain postrouting {
        type nat hook postrouting priority filter; policy accept;
        ip saddr 10.56.0.0/16 oif "enp2s0" masquerade
    }
}

关于客人

在客户机配置文件中，虚拟接口设置为vif = [ 'ip=10.56.0.192 ,mac=00:16:3E:FA:9C:76, bridge=xenbr0' ]

我还尝试通过设置静态 IP 来配置其网络接口/etc/network/interfaces：

auto lo
iface lo inet loopback

auto enX0
iface enX0 inet static
    address 10.56.0.192
    gateway 10.56.0.1
    netmask 255.255.0.0
    dns-nameservers 1.1.1.1 4.4.4.4 8.8.8.8

我在更新 Linux 时遇到问题。我收到了目标服务器 IP 未找到的 404 错误，这很奇怪。后来我发现 traceroute 经过了核心 backbone.rt.ru 节点。

这是否是可能的 BGP 劫持？

ru 域名现在看起来非常可疑，尤其是来自中欧的域名。

root@XXXXXXX:~# apt-get update
Hit:1 http://ftp.pl.debian.org/debian buster InRelease
Hit:2 http://ftp.pl.debian.org/debian buster-updates InRelease
Hit:3 http://security.debian.org buster/updates InRelease
Hit:4 https://deb.nodesource.com/node_12.x buster InRelease
Ign:5 http://apt.postgresql.org/pub/repos/apt buster-pgdg InRelease
Err:6 http://apt.postgresql.org/pub/repos/apt buster-pgdg Release
 ** 404  Not Found [IP: 217.196.149.55 80]**
Reading package lists... Done
E: The repository 'http://apt.postgresql.org/pub/repos/apt buster-pgdg Release' does not have a Release file.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.
root@XXXXXXX:~# ^C
root@XXXXXXX:~#

这是跟踪路由：

root@XXXXXXX:~# traceroute 217.196.149.55
traceroute to 217.196.149.55 (217.196.149.55), 30 hops max, 60 byte packets
 1  * * *
 2  XXXXXXXXXXXXXX  0.465 ms  0.438 ms
 3  164.next4.zicom.pl (185.175.107.164)  6.748 ms  7.108 ms  7.089 ms
 4  et-0-0-18-590.edge5.Warsaw1.Level3.net (213.249.126.109)  7.345 ms  7.777 ms  7.271 ms
 5  ae2.3601.edge5.ber1.neo.colt.net (171.75.8.27)  15.454 ms  15.421 ms  15.572 ms
 6  195.122.181.74 (195.122.181.74)  16.261 ms  16.202 ms  16.138 ms
 7  ae6-2082.ams10.core-backbone.com (80.255.14.33)  27.831 ms  27.767 ms  27.473 ms
 8  core-backbone.rt.ru (81.95.2.150)  26.598 ms  26.359 ms  26.919 ms
 9  * * *
10  185.69.160.214 (185.69.160.214)  37.410 ms  37.011 ms 195.192.211.124 (195.192.211.124)  37.004 ms
11  fabrina.postgresql.org (217.196.149.55)  44.516 ms  44.481 ms *

这个问题与这个问题类似，但有2个细微差别。

1. 如果我切换到用户sudo -u testuser -i然后使用压力实用程序加载 CPU，CPUQuota 不会生效。

2. 如果我通过 SSH 以 身份登录testuser，运行一些密集型任务，然后它就会按预期工作。

我的 CPUQuota 配置

/etc/systemd/system.control/user-1003.slice.d/50-CPUQuota.conf

[Slice]
CPUQuota=33%

systemctl show -p DefaultCPUAccounting

DefaultCPUAccounting=yes

发行版：Debian 12 最新版本。Ubuntu 22.04 也受此影响。

我该如何调试该问题以获取任何线索？

PS 问题已发布在 systemd GitHub repo 上

不幸的是，我在系统管理和配置 Linux 系统方面没有太多经验，所以请不要对我太苛刻；我还在学习；）

网络设置：

172.21.0.1-具有流量整形的服务器。

172.21.0.2-第二台服务器，存储客户端通过 HTTP 请求的文件。

172.21.0.6 和 172.21.0.7 - 两个客户端设备。

我正在尝试为 WireGuard 客户端配置流量整形：

tc qdisc add dev wg0 parent root handle 1:0 hfsc default 10

# Root class
tc class add dev wg0 parent 1: classid 1:1 hfsc sc rate 1gbit ul rate 1gbit

# Reserved traffic
# Guaranteed bandwidth of 500 Mbit/s and a maximum of 1 Gbit/s
tc class add dev wg0 parent 1:1 classid 1:10 hfsc sc rate 500mbit ul rate 1gbit

# Client traffic
# Guaranteed bandwidth of 500 Mbit/s and a maximum of 1 Gbit/s
tc class add dev wg0 parent 1:1 classid 1:20 hfsc sc rate 500mbit ul rate 1gbit

# Shaping for individual client 6
tc class add dev wg0 parent 1:20 classid 1:3006 hfsc sc rate 100kbit ul rate 100kbit
tc filter add dev wg0 protocol ip parent 1:0 prio 1 u32 match ip dst 172.21.0.6/32 flowid 1:3006

# Shaping for individual client 7
tc class add dev wg0 parent 1:20 classid 1:3007 hfsc sc rate 100kbit ul rate 100kbit
tc filter add dev wg0 protocol ip parent 1:0 prio 1 u32 match ip dst 172.21.0.7/32 flowid 1:3007

tc -pretty 过滤器显示 dev wg0

filter parent 1: protocol ip pref 2 u32 chain 0
filter parent 1: protocol ip pref 2 u32 chain 0 fh 800: ht divisor 1
filter parent 1: protocol ip pref 2 u32 chain 0 fh 800::801 order 2049 key ht 800 bkt 0 *flowid 1:3006 not_in_hw
  match IP dst 172.21.0.6/32
filter parent 1: protocol ip pref 2 u32 chain 0 fh 800::802 order 2050 key ht 800 bkt 0 *flowid 1:3007 not_in_hw
  match IP dst 172.21.0.7/32

tc-graph 类显示 dev wg0

+---(1:) hfsc
     +---(1:1) hfsc sc m1 0bit d 0us m2 1Gbit ul m1 0bit d 0us m2 1Gbit
          +---(1:10) hfsc sc m1 0bit d 0us m2 500Mbit ul m1 0bit d 0us m2 1Gbit
          +---(1:20) hfsc sc m1 0bit d 0us m2 500Mbit ul m1 0bit d 0us m2 1Gbit
               +---(1:3007) hfsc sc m1 0bit d 0us m2 100Kbit ul m1 0bit d 0us m2 100Kbit
               +---(1:3006) hfsc sc m1 0bit d 0us m2 100Kbit ul m1 0bit d 0us m2 100Kbit
          |
     |    |

当尝试同时从两个客户端下载文件时，只有一个获得 100kbit，而另一个获得 0kbit :(

我做错了什么？服务器：在 KVM 上运行的 Debian 12。

PS：100kbit/s 的限制只是为了测试流量整形器的功能。

我也希望得到有关如何重写配置的建议。也许我的做法完全错误，也许有更优化的方法（例如为整个子网设置一个类，这样所有 WireGuard 客户端都会获得单独的 100kbit 限制）。

过去几天我一直遇到 NFS 问题，确实需要一些帮助。

我的设置：

NAS 存储： Synology，NFS 导出 /volume1/data

Nextcloud 应用服务器： Debian，NFS 客户端安装在 /mnt/storage_cloud

挂载 NFS 4.1 导出工作正常，我可以以 root 用户身份访问具有读/写权限的所有数据。但是，www-data 用户（运行 Nextcloud 应用程序）根本无法访问该目录。

到目前为止我已经尝试过：

• chown：-> 更改“storage_cloud”的所有权：操作不允许

• chmod 777（我知道这不是理想的，但值得一试）：-> 更改“storage_cloud”的权限：操作不允许

• setfacl：-> 操作不受支持

经过广泛的研究，我发现使用 Kerberos 而不是 sys_auth 可能是一个解决方案，但我发现关于这个主题的文档或教程很少。

鉴于我的设置似乎并不是特别复杂，感觉应该有一个更简单的解决方案来允许正确访问 www-data 的 NFS 共享。我可能把事情复杂化了。

我非常感谢任何见解或建议！

提前谢谢您，PP

我有一台运行 Proxmox VE 8.2（基于 Debian 12）的服务器，已完全更新，使用多路径 SAN。我们在那里分配了一个空间，十个设备，每个设备 2T，每个设备被看到 16 次（路径数），并映射到 10 个多路径虚拟设备并收集到一个 LVM 组中，其中雕刻了一个逻辑卷。这部分没有问题。

它被“即时”初始化并正常运行，直到主机重新启动。之后我注意到，每当lvs在系统 shell 中运行任何与 LVM 相关的命令（ 等）时，它都会发出以下形式的警告：

WARNING: Device mismatch detected for <LV> which is accessing <list of devices like
 /dev/sdak, /dev/sdaz, /dev/sdbn, ...> instead of <list of the devices
 like /dev/mapper/oamdwhdg-01, /dev/mapper/oamdwhdg-02, ...>

这些/dev/mapper/oamdwhdg-XX实际上是多路径设备，它们之所以这样命名是出于以下操作原因/etc/multipath.conf：

multipaths {
...
    multipath {
        wwid 36...
        alias oamdwhdg-04
    }
...
}

即无论出于何种原因，LV 都是使用后端设备映射的，而不是使用多路径虚拟设备。

因此我更新了过滤器/etc/lvm/lvm.conf，现在如下所示：

global_filter=[ "a|/dev/sda3|", "a|/dev/mapper/oamdwhdg|", "r|.*|" ]

（我更新了它，而不是添加的，它global_filter=["r|/dev/zd.*|","r|/dev/rbd.*|"]之前是有评论的added by pve-manager to avoid scanning ZFS zvols and Ceph rbds。我相信我的过滤器比这个严格得多。）

/dev/sda3是安装 PVE 的本地磁盘，它包含pve不依赖于 SAN 的 VG，因此它是唯一/dev/sd...不使用多路径且被列入白名单的磁盘。

我使用这个过滤器测试了它vgscan，它显示可以找到两个组。

然后我执行update-initramfs并重新启动。在启动过程中，服务器无法进入紧急 shell。但是，当我到达Ctrl+D那里时，它几乎正常启动：可以看到多路径 VG，但未激活（好像vgchange -an oamdwhdg尚未运行）。但是，我使用上述命令手动完全正常地激活了它，并且它运行正常。

我怀疑这是因为 initramfs 中多路径在 LVM 之前未正确初始化，因此它尝试使用 /dev/sdXX 设备设置映射。但我不明白为什么添加过滤器后它无法进入紧急 shell。

这里有两个（非常相关的）问题：为什么要使用紧急 shell，也就是出了什么问题以及如何使其按预期工作？

我尝试禁止基本 80 HTTP 服务器位于我的动态 DNS 的根目录，而是使用子目录。

因此， blabla.dynamicdns.org 它不会被提供，而是 blabla.dynamicdns.org/service会被提供。

此配置尝试无效。提示“目录”标签中不允许有文档根目录。

我知道 SE 多么喜欢它的示例，无论如何我都会在这里转储这个原始配置。

我真的什么都不知道，我真的需要有人来指导，而谷歌搜索就是解决这一问题的方法。

<VirtualHost *:80>
    # The ServerName directive sets the request scheme, hostname and port that
    # the server uses to identify itself. This is used when creating
    # redirection URLs. In the context of virtual hosts, the ServerName
    # specifies what hostname must appear in the request's Host: header to
    # match this virtual host. For the default virtual host (this file) this
    # value is not decisive as it is used as a last resort host regardless.
    # However, you must set it for any further virtual host explicitly.
    #ServerName www.example.com

    ServerAdmin webmaster@localhost


    # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
    # error, crit, alert, emerg.
    # It is also possible to configure the loglevel for particular
    # modules, e.g.
    #LogLevel info ssl:warn
    <Directory /var/www/html/ampache/>
    DocumentRoot /var/www/html/ampache
    DocumentRoot /var/www/html/ampache/public
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined

    # For most configuration files from conf-available/, which are
    # enabled or disabled at a global level, it is possible to
    # include a line for only one particular virtual host. For example the
    # following line enables the CGI configuration for this host only
    # after it has been globally disabled with "a2disconf".
    #Include conf-available/serve-cgi-bin.conf
</VirtualHost>

更正确的配置，但仍然没有产生我想要的结果：

<VirtualHost *:80>
    # The ServerName directive sets the request scheme, hostname and port that
    # the server uses to identify itself. This is used when creating
    # redirection URLs. In the context of virtual hosts, the ServerName
    # specifies what hostname must appear in the request's Host: header to
    # match this virtual host. For the default virtual host (this file) this
    # value is not decisive as it is used as a last resort host regardless.
    # However, you must set it for any further virtual host explicitly.
    #ServerName www.example.com

    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html/ampache
    DocumentRoot /var/www/html/ampache/public

    # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
    # error, crit, alert, emerg.
    # It is also possible to configure the loglevel for particular
    # modules, e.g.
    #LogLevel info ssl:warn

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined

    # For most configuration files from conf-available/, which are
    # enabled or disabled at a global level, it is possible to
    # include a line for only one particular virtual host. For example the
    # following line enables the CGI configuration for this host only
    # after it has been globally disabled with "a2disconf".
    #Include conf-available/serve-cgi-bin.conf
</VirtualHost>

很抱歉造成这种事实上的垃圾邮件，但是我使用 SE 的经历以及对那些我甚至不知道它们如何工作的主题的“工作示例”的渴望，迫使我这样做。

我在 Debian 12 上使用 apt 安装了 MariaDB 以及 Nginx。我在服务器上运行 Wordpress。

MariaDB 每隔几天就会崩溃。我需要查看错误日志来确定崩溃的原因。

下面没有 mariadb 目录/var/log

运行以下命令时show global variables like 'log_error';我得到以下结果

+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| log_error     |       |
+---------------+-------+
1 row in set (0.001 sec)

输出grep 'log_error' /etc/mysql/mariadb.conf.d/50-server.cnf

#log_error = /var/log/mysql/error.log

是否需要执行任何操作才能在 Debian 12 上启用 MaridaDB 日志记录？如果需要，需要做什么？