sa289's questions

在将具有专用 IP 的网站从一台服务器移动到另一台服务器时，为了最大限度地减少由于 DNS 传播延迟导致的停机时间，有一种使用 IP 转发的方法，以便将原始 IP 的所有流量转发到新 IP。

这样做时有什么重要的事情要知道吗？这是我计划使用的步骤。从安全角度或其他方面我有什么遗漏的吗？

1. echo "1" > /proc/sys/net/ipv4/ip_forward（或永久设置）
2. iptables -t nat -A PREROUTING -d original.ip.goes.here -p tcp --dport 80 -j DNAT --to-destination new.ip.goes.here
3. iptables -t nat -A POSTROUTING -p tcp -d new.ip.goes.here --dport 80 -j MASQUERADE
4. 重复 #2 和 #3 但对于端口443而不是80站点是否具有 SSL

我知道停机时间可以通过在更改之前足够远地降低 DNS 记录的 TTL 来减少停机时间，但这仍然不能很好地减少停机时间，因为据说某些 DNS 服务器（可能还有客户端）会缓存记录的时间长于 TTL 所说的是否短。

编辑：

让我想知道我是否缺少某些东西的部分原因ip_forward是为什么不总是设置为1而是默认为- 比如如果在某些情况下0将其设置为存在一些安全风险或不良行为。1

当一个请求由于 被拒绝时require all denied，它首先被路由到 ErrorDocument 403.shtml，但随后被重写而不是停在那里，并且站点内容实际上得到了服务（尽管带有 403 状态代码）。

我们将其归结为一个非常简单的测试用例

在站点根目录的 .htaccess 中放置以下内容。

Require all denied 
RewriteRule .* test.txt [L]

在站点根目录的 test.txt 中放入以下内容：

You shouldn't see this text here but if you are it's because of the RewriteRule running after Require all denied gets processed

我确认注释掉 RewriteRule 会导致Require指令按预期运行。

这是一些相关的LogLevel trace8输出：

authorization result of Require all denied: denied
authorization result of <RequireAny>: denied
AH01630: client denied by server configuration
auth phase 'check access' gave status 403
mod_rewrite.c: strip per-dir prefix: /home/path-to-site/403.shtml -> 403.shtml
mod_rewrite.c: applying pattern '.*' to uri '403.shtml'
mod_rewrite.c: rewrite '403.shtml' -> 'test.txt'

编辑：

关于这个问题的一件奇怪的事情是它突然开始发生。这几乎就像服务器上的某些更改会影响 ErrorDocument 指令或其行为一样，但我想不出我们可能已更改的任何可能导致这种情况的更改。

我们遇到了一个问题，即消息间歇性失败并显示“不允许 550 个未经身份验证的发件人”。我们正在努力解决这个问题，但与此同时，我想配置 exim，以便当消息因该错误而失败时，它们会进入队列以自动重试（由于错误是间歇性的，它们可能会工作几分钟后就好了，所以在此期间这是一个很好的解决方法）。

目前发生的情况是它们反弹并被冻结。如果我解冻其中一条消息，它不是原始消息，而是退回消息。

这可能吗？

如果将服务器配置为使用 /usr/sbin/raid-check 每周检查 RAID 并且正在监视 smartctl -a 的输出，是否值得配置定期 SMART 短期和长期自检以运行，或者将那是矫枉过正吗？

万一这很重要，这适用于 RAID 配置中的英特尔 DC S3500 SSD 驱动器，可以容忍 2 个驱动器故障。

当 yum 有时安装更新时，它会给出一些消息，例如：

warning: /etc/ssh/sshd_config created as /etc/ssh/sshd_config.rpmnew

我的想法是对这些采取行动是明智的，因为出于安全原因，可能偶尔会对配置文件进行一些调整，这些调整很重要；但是，我想知道我是否过于谨慎，这只是一个理论上的问题，在实践中并不是真正的问题。

我想我要问的是任何人都知道过去几年中不合并 .rpmnew 文件会产生一些值得注意的不良影响的任何情况 - 特别是在安全方面，但其他角度，如稳定性或配置的可取性可能是值得一提。

始终运行大量备用 httpd 进程是否有任何问题？我进行了一项测试，我增加了 1,000，StartServers并MinSpareServers测量了内存使用量的增加，它只有 500MB。

鉴于此，我在想，既然我们有很多 RAM，为了在突发流量期间获得最佳性能，我们不妨将其StartServers设置MinSpareServers为 1,000 左右，当然还要设置ServerLimit和MaxRequestWorkers（以前MaxClients）设置为更高的值。

MaxConnectionsPerChild假设我们的服务器能够一次处理这么多请求并且我们将其用作防止内存泄漏的预防措施，这样做有什么我不知道的缺点吗？

作为任何认为每个 httpd 进程 0.5MB 不正确的人的旁注，据我所知，Apache 内存使用量远低于单个进程报告的原因top是它使用共享库。

如果将整个驱动器用于将作为引导设备的 mdadm RAID，是否更正确/标准：

1) 从包含整个驱动器的分区中配置 RAID（如 /dev/sda1 + /dev/sdb1），然后将生成的单个 md 设备分区到各个分区中。

或者

2) 在每个驱动器上创建所需大小的所有分区，然后创建这些分区（例如 sda1 + sdb1、sda2 + sdb2、sda3 + sdb3 等）

我认为#1 的好处是易于更换驱动器，并且有人告诉我 #1 允许 mdadm 更有效地并行读取各种成员驱动器。

是否有一些权威链接将其视为首选方式？

我们有一个由 mdadm 提供支持的三向 RAID 1 镜像。我想我读到 mdadm 应该同时接受多个读取请求并将它们分布在镜像中的不同驱动器上（并行读取）以提高读取性能，但在我们的测试和观察输出中iostat -xm 1，它似乎只 /dev/sda即使该设备的 I/O 已从 5 个不同的 md 设备中饱和，仍在使用。

我是不是误会了什么？mdadm 是否需要进行不同的配置？我们的版本（CentOS 6.7）不支持这个吗？我不确定它为什么会这样。

基准设置 - 同时运行以下命令：

dd if=/dev/md2 bs=1048576 of=/dev/null count=25000
dd if=/dev/md3 bs=1048576 of=/dev/null count=25000
dd if=/dev/md4 bs=1048576 of=/dev/null count=25000
dd if=/dev/md5 bs=1048576 of=/dev/null count=25000
dd if=/dev/md6 bs=1048576 of=/dev/null count=25000

虽然这些人正在观看iostat -xm 1（下面包含的示例输出 - 镜像由 sda、sdb 和 sdc 组成）的输出。

Device:         rrqm/s   wrqm/s     r/s     w/s    rMB/s    wMB/s avgrq-sz avgqu-sz   await  svctm  %util
sda           100669.00     0.00 10710.00    0.00   435.01     0.00    83.18    33.28    3.11   0.09 100.00
sdb               0.00     0.00    0.00    0.00     0.00     0.00     0.00     0.00    0.00   0.00   0.00
sdc               0.00     0.00    0.00    0.00     0.00     0.00     0.00     0.00    0.00   0.00   0.00
sdd               0.00     0.00    0.00    0.00     0.00     0.00     0.00     0.00    0.00   0.00   0.00
md1               0.00     0.00 19872.00    0.00    77.62     0.00     8.00     0.00    0.00   0.00   0.00
md2               0.00     0.00 18272.00    0.00    71.38     0.00     8.00     0.00    0.00   0.00   0.00
md5               0.00     0.00 18272.00    0.00    71.38     0.00     8.00     0.00    0.00   0.00   0.00
md7               0.00     0.00    0.00    0.00     0.00     0.00     0.00     0.00    0.00   0.00   0.00
md6               0.00     0.00 18240.00    0.00    71.25     0.00     8.00     0.00    0.00   0.00   0.00
md4               0.00     0.00 18208.00    0.00    71.12     0.00     8.00     0.00    0.00   0.00   0.00
md3               0.00     0.00 18528.00    0.00    72.38     0.00     8.00     0.00    0.00   0.00   0.00
md0               0.00     0.00    0.00    0.00     0.00     0.00     0.00     0.00    0.00   0.00   0.00

为了确保不存在可以通过 .htaccess 被利用的安全漏洞，我们如何才能看到 Apache 可以通过 和 等指令使用的所有可能的处理SetHanlder程序AddHandler。

我知道我可以通过查看 mod_info 的输出或通过 conf 文件 grepping 找到一些（这是我在尝试找到此问题的答案时发现的一种方法），但这并不意味着没有可用的处理程序不是这样列出的。我想我可以下载并搜索 Apache 的所有源代码以及加载的每个模块并查看它们正在注册的内容，但是有更好的方法吗？

一个快速的解决方法是在 .htaccess 中不允许 AddHandler 和 SetHandler，但这有其缺点。例如，Drupal 有一个有效的 SetHandler 指令用例，因为它使用它作为深度防御的一部分，以防止 PHP 脚本运行，如果有人设法通过文件上传器将它们上传到站点。

以下是我所指的一些示例：

AddHandler server-parsed .shtml

SetHandler server-info

AddHandler application/x-httpd-php5 .php

如果有人感兴趣，这里是来自 sites/default/files/.htaccess 的 Drupal 用例：

# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
  # Override the handler again if we're run later in the evaluation list.
  SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>

编辑 2015 年 7 月 30 日：这不是一个详尽的答案，但如果它对任何人都有帮助，我发现一些处理程序列在http://httpd.apache.org/docs/2.4/handler.html的顶部并且还阅读了可以通过 Action 指令创建自定义处理程序（请参阅http://httpd.apache.org/docs/2.4/mod/mod_actions.html#action）。

编辑 2015 年 9 月 1 日：我想知道是否有某种方法可以转储 httpd 进程的内存并在其中找到处理程序名称。我使用 gcore 进行了尝试，但没有成功（尽管我以前从未使用过它并且在执行此操作时收到警告，所以我不确定我是否做错了什么）。

有没有办法“取消设置”任意 Apache 指令，例如逐字重复它，但Unset前面有什么？

例如，假设在服务器配置级别我有：

ScriptAliasMatch "^/cgi-bin(.*)" "/usr/local/apache/cgi-bin$1"

对于其中一个虚拟主机，我希望能够放置如下内容：

Unset ScriptAliasMatch "^/cgi-bin(.*)" "/usr/local/apache/cgi-bin$1"

如果我缺少该指令的特定方法，我也对此感兴趣（我能想到的最好的方法是通过 mod_rewrite 阻止对该模式的访问），但我对是否存在特别感兴趣一种取消设置的方法，因为这可能对将来很方便。

我们计划从 4 驱动器 RAID6 迁移到 SSD RAID 1，我正在分析 smartctl 数据以查看过去一年我们向驱动器写入了多少 GB，因此我可以估计基于 SSD 的寿命关于他们的耐力等级。

我在想，如果将 1GB 写入 RAID 6，那么简单地说，4 个驱动器中的每一个都会产生 500MB 的写入（250MB 用于数据，250MB 用于奇偶校验），所以我应该取每个写入的 GB 数年驱动器并将其乘以 2 以获得 RAID1 中 SSD 的每年 GB 估算值。

这看起来是正确的还是我错过了什么？我不知道 RAID6 是否由于它的算法或类似的东西而有一些额外的写入放大。

我看到/etc/exim.conf的是世界可读的。这样做的问题是配置 Exim 以使用像 Sendgrid 这样的 SMTP 服务来路由所有外发电子邮件，您将用户名和密码放入该文件，然后允许服务器上的非特权用户获取它。

有什么理由不能使这个文件只能由 root 读取吗？我想知道为什么它不会默认为它包含敏感信息的可能性。有人知道吗？

-rw-r--r-- 1 root root 57523 Jun 19 23:16 /etc/exim.conf

有谁知道 Apache 2.2.x 的生命周期结束日期是什么时候？从历史规律来看，我猜是在 2016 年或 2017 年（1.3 和 2.0 都在 11 到 12 年之间，2.2 出现在 2005 年）。

我希望找到权威的东西，例如计划的生命周期结束日期或最低承诺的生命周期结束日期（即 Apache 软件基金会保证至少在 20## 之前将支持它），但我在网上找不到任何东西除了历史上发生的事情。

有关历史发布和 EOL 日期，请参阅https://en.wikipedia.org/?title=Apache_HTTP_Server#Development上的表格。

在设置一个包含多个应该相互隔离的站点的托管环境时，我做了一个明显的步骤，即配置 PHP，使其以与每个网站相关联的用户而不是 Apache 用户身份运行，但有什么方法吗确保一个站点无法以 Apache 用户的身份运行以其他语言（例如 Python）编写的脚本？我见过像符号链接攻击这样聪明的攻击，它使用 .htaccess 规则和符号链接来欺骗 Apache 以明文形式提供来自其他网站的 PHP 文件（这与问题无关，只是一个例子），因为我不是很熟悉 PHP 以外的服务器端语言的设置，我不知道要检查和/或禁止什么，例如通过 Apache conf 文件以确保用其他语言编写的脚本可以'

例如，即使 PHP 设置为以网站用户身份运行，如果网站被黑客入侵，黑客是否可以创建一个 .htaccess 文件，该文件将 .abc 文件设置为作为 Perl 脚本运行，并且服务器上的配置不正确，那么那些以 Apache 用户身份运行？

解决这个问题的最佳方法是什么？

当驱动器上发生错误时，假设它总是被检测到并报告给操作系统（如果是软件 RAID，如 mdadm）或 RAID 控制器（如果是硬件 RAID）作为读取失败（即它不会静默返回损坏的数据），然后 RAID 软件/控制器将采用该事实并使用 RAID 中的其他驱动器来读取数据（假设它是具有冗余的 RAID 类型）？

据我了解，现代企业级驱动器有适当的错误检测方案，所以我假设是这种情况，但很难在网上找到任何结论性的东西。我想这个答案在一定程度上取决于驱动器内置错误检测的质量，所以如果它很重要，我最感兴趣的是英特尔 DC S3500 系列 SSD。

编辑 2015 年 6 月 5 日 - 澄清：

具体来说，我想知道今天用于检测错误的算法是否防弹。在一个简单的例子中，如果错误检测只是对扇区中的所有位进行 XOR，那么如果两个位被翻转，则不会检测到错误。我想它们比这更先进，但我想知道错误未被发现的几率是多少，如果它是如此之低以至于我们甚至不必担心它，以及是否有一些权威来源或值得信赖的文章在某个地方可以被引用。

编辑 2015 年 6 月 10 日

更新了问题标题和问题正文，使其更适用于磁盘错误的概念（不像最初那样以 mdadm 为中心）。

将 APC 配置为 PHP 的操作码缓存时，有一个名为 apc.mmap_file_mask 的配置设置。根据我的阅读，您可以通过三种方式对其进行配置，但我并不真正了解每种方式的含义。

1. /tmp/apc.XXXXXX -（默认）“文件支持的 mmap”
2. /tmp/apc.shm.XXXXXX - 使用“POSIX 风格的 shm_open/mmap”
3. /dev/zero - “使用内核的 /dev/zero 接口连接匿名 mmap 内存”

来源： http: //php.net/manual/en/apc.configuration.php#ini.apc.mmap-file-mask

任何人都可以评论这些以及他们推荐的内容吗？我猜会有内存使用和性能影响，也许还有安全影响，但我不知道是不是这样？从我完成的阅读中，我假设 #2 和 #3 更快，但我认为 APC 已经按原样使用共享内存（由 apc.shm_size 设置），所以我不明白。

使用 mdadm 的 3 路 RAID1 是否是一个很好的解决方案，能够维持任何两个驱动器发生故障而 RAID 不发生故障？我知道在只能使用 1/3 的磁盘空间（3 个驱动器中的 1 个）的意义上，这会产生额外的成本，但除此之外呢？

从 MySQL 5.0.x 迁移到更新版本（例如 5.1.x 或 5.5.x）时，主动查找向后兼容性问题的最佳方法是什么？那里有很多文档，例如从一个版本迁移到另一个版本的官方指南和更改日志，但是有谁知道那里有任何脚本是为了识别可能的问题而创建的？除了 mysql_upgrade （但请参阅下面的注释）之外，我找不到一个。

听起来使用 mysql_upgrade 将能够找到表的一些问题，但我认为它不会找到所有可能的问题（例如带有查询的问题） - 例如，我们过去遇到过一个问题，我们有一个设置 MySQL 变量 (max_allowed_pa​​cket) 的查询。这曾经是允许的，但是当我们从 5.0.95 升级到该查询时，该查询开始失败，因为 MySQL 从 5.0.84 开始将其更改为只读。

为了在查询本身中捕获兼容性问题，是否有可以分析通用查询日志中的查询的东西（假设这已打开一段时间以捕获查询）？在系统管理员方面尽可能多地在全球范围内进行识别，而不是让开发人员试图找出问题，这将是一件好事。即使浏览了所有的变更日志和指南，仍然需要查看需要更改哪些查询，如果已经存在脚本来减少手动/半手动检查，这将是理想的选择。

在 Linux 中将命令保存到历史记录时，是否有某种方法可以在历史记录中添加远程 SSH IP 地址和进程 ID 的命令行，以便将来自同一 SSH 会话的命令分组并查看它们的运行位置? 我知道如何获取 IP 地址和进程 ID，但我不知道如何获取它以将其保存到历史记录中。

有没有办法修改保存到 .bash_history 的命令行或其他方式来完成此操作？

维基百科说：“RAID 2 是唯一的标准 RAID 级别，除了 RAID 6 的某些实现之外，RAID 6 可以自动从数据中的单位损坏中恢复准确的数据。”

有谁知道 Linux 中的 RAID 6 mdadm 实现是否是一种可以自动检测单位数据损坏并从中恢复的实现。如果 CentOS / Red Hat 6 与其他版本不同，则这适用于 CentOS / Red Hat 6。我尝试在线搜索，但运气不佳。

SATA 错误率为 1 分之 1E14 位，而 2TB SATA 磁盘包含 1.6E13 位，这与防止数据损坏特别相关。

编辑 2015 年 6 月 17 日

我相信这不像我最初想的那样令人担忧 - 请参阅硬盘/SSD - 错误的检测和处理 - 是否可靠地防止了静默数据损坏？更多细节