miken32's questions

我在将签名的 DNS 区域迁移到新服务器时遇到了一些麻烦。我已经复制了区域文件（未签名、签名和日志）、签名密钥和 DS 集。一旦到位，BIND 很乐意为该区域服务，但无法签署。这是我尝试运行时的结果rndc sign example.com：

29-Sep-2022 17:16:42.605 general: info: received control channel command 'sign example.com'
29-Sep-2022 17:16:42.605 general: debug 1: zone_settimer: zone example.com/IN: enter
29-Sep-2022 17:16:42.605 general: debug 1: zone_timer: zone example.com/IN: enter
29-Sep-2022 17:16:42.605 general: debug 1: zone_maintenance: zone example.com/IN: enter
29-Sep-2022 17:16:42.605 dnssec: info: zone example.com/IN: reconfiguring zone keys
29-Sep-2022 17:16:42.606 dnssec: warning: EVP_SignFinal failed (failure)
29-Sep-2022 17:16:42.606 dnssec: info: error:03000098:digital envelope routines::invalid digest:crypto/evp/pmeth_lib.c:961:
29-Sep-2022 17:16:42.606 dnssec: error: zone example.com/IN: sign_apex:add_sigs -> failure
29-Sep-2022 17:16:42.606 dnssec: debug 3: zone example.com/IN: zone_rekey failure: failure (retry in 600 seconds)
29-Sep-2022 17:16:42.606 general: debug 1: zone_settimer: zone example.com/IN: enter

配置的相关部分是：

options {
    dnssec-enable yes;
    dnssec-validation auto;
};
zone "example.com" IN {
    type master;
    file "dynamic/db.example.com.signed";
    auto-dnssec allow;
    update-policy {
        grant "local-nsupdate" wildcard *;
        grant "acme-clients" subdomain example.com. TXT;
    };
    also-notify { office-routers; };
};

新配置几乎相同，只是删除dnssec-enable yes;日志告诉我它现在已经过时了。

旧服务器BIND 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.7 (Extended Support Version) <id:7107deb>在 Scientific Linux 7.6 上运行，新服务器BIND 9.16.23-RH (Extended Support Version) <id:fde3b1f>在 AlmaLinux 9.0 上运行。

编辑添加EVP_SignFinal看起来像是一个 OpenSSL 函数，所以问题可能根本不在 BIND 中。旧版的named -V说：

由 GCC 4.8.5 20150623 (Red Hat 4.8.5-44)
编译，使用 OpenSSL 版本编译：OpenSSL 1.0.2k 2017 年 1 月 26 日
链接到 OpenSSL 版本：OpenSSL 1.0.2k-fips 2017 年 1 月 26 日

新版本说：

由 GCC 11.2.1 20211203 (Red Hat 11.2.1-7)
编译，使用 OpenSSL 版本编译：OpenSSL 3.0.1 2021 年 12 月 14 日
链接到 OpenSSL 版本：OpenSSL 3.0.1 2021 年 12 月 14 日

我的服务器上有一个简单的 ACL，运行良好。我决定设置 SSSD 以通过 LDAP 验证用户登录，因此我需要授予对 SSSD 绑定帐户的更多访问权限。在此过程中，我以某种方式阻止了第一个 ACL 之外的所有访问；尽管breakACL {0} 末尾有语句，但不是根级别用户的每次搜索都会返回错误 32（找不到对象。）

数据库的结构大致如下：

organization: dc=r1,dc=internal
    organizationalUnit: ou=users,dc=r1,dc=internal
        inetOrgPerson: uid=mike,ou=users,dc=r1,dc=internal
    organizationalUnit: ou=groups,dc=r1,dc=internal
        groupOfUniqueNames: cn=root,ou=groups,dc=r1,dc=internal
        posixGroup: cn=mike,ou=groups,dc=r1,dc=internal
    organizationalUnit: ou=system,dc=r1,dc=internal
        inetOrgPerson: uid=sssd,ou=system,dc=r1,dc=internal

这是我的 ACL：

version: 1

dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcAccess
# admin users can write anything in this subtree
# also the root SASL user (eg ldapmodify -QY EXTERNAL -H ldapi:/// ...)
# nobody else has access, but continue searching for matches below
olcAccess: {0}to dn.subtree="dc=r1,dc=internal"
  by anonymous break
  by group/groupOfUniqueNames/uniqueMember="cn=root,ou=groups,dc=r1,dc=internal" write
  by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" write
  by * break
# sssd user can read all user/group attributes
# other users keep looking
olcAccess: {1}to dn.onelevel="ou=users,dc=r1,dc=internal"
  by dn.exact="uid=sssd,ou=system,dc=r1,dc=internal" read
  by * break
olcAccess: {2}to dn.onelevel="ou=groups,dc=r1,dc=internal"
  by dn.exact="uid=sssd,ou=system,dc=r1,dc=internal" read
  by * break
# you can update your own password
# anonymous users can authenticate against it
# nobody else sees it
olcAccess: {3}to dn.subtree="dc=r1,dc=internal"
  attrs=userPassword
    by self write
    by anonymous auth
    by * none
# anonymous users can read select user/group attributes
olcAccess: {4}to dn.onelevel="ou=users,dc=r1,dc=internal"
  attrs=entry,cn,uid,sn,givenName,mail,telephoneNumber,mobile,memberOf
    by anonymous read
    by * break
olcAccess: {5}to dn.onelevel="ou=groups,dc=r1,dc=internal"
  attrs=entry,cn,description,uniqueMember,memberUid
    by anonymous read
    by * break
# all users can update their own records
# and see all other users' attributes
# everyone (including anonymous) can search
olcAccess: {6}to dn.onelevel="ou=users,dc=r1,dc=internal"
  by self write
  by users read
  by * search

这是带有额外 ACL 日志记录的日志提取：

Aug 26 13:04:10 lemongrab slapd[3991]: => access_allowed: search access to "ou=users,dc=r1,dc=internal" "entry" requested
Aug 26 13:04:10 lemongrab slapd[3991]: => dn: [1] dc=r1,dc=internal
Aug 26 13:04:10 lemongrab slapd[3991]: => acl_get: [1] matched
Aug 26 13:04:10 lemongrab slapd[3991]: => acl_get: [1] attr entry
Aug 26 13:04:10 lemongrab slapd[3991]: => acl_mask: access to entry "ou=users,dc=r1,dc=internal", attr "entry" requested
Aug 26 13:04:10 lemongrab slapd[3991]: => acl_mask: to all values by "uid=sssd,ou=system,dc=r1,dc=internal", (=0)
Aug 26 13:04:10 lemongrab slapd[3991]: <= check a_dn_pat: anonymous
Aug 26 13:04:10 lemongrab slapd[3991]: <= check a_dn_pat: cn=admin,dc=r1,dc=internal
Aug 26 13:04:10 lemongrab slapd[3991]: <= check a_group_pat: cn=root,ou=groups,dc=r1,dc=internal
Aug 26 13:04:10 lemongrab slapd[3991]: => mdb_entry_get: found entry: "cn=root,ou=groups,dc=r1,dc=internal"
Aug 26 13:04:10 lemongrab slapd[3991]: <= check a_dn_pat: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
Aug 26 13:04:10 lemongrab slapd[3991]: <= check a_dn_pat: *
Aug 26 13:04:10 lemongrab slapd[3991]: <= acl_mask: [5] applying +0 (break)
Aug 26 13:04:10 lemongrab slapd[3991]: <= acl_mask: [5] mask: =0
Aug 26 13:04:10 lemongrab slapd[3991]: => dn: [2] ou=users,dc=r1,dc=internal
Aug 26 13:04:10 lemongrab slapd[3991]: => dn: [3] ou=groups,dc=r1,dc=internal
Aug 26 13:04:10 lemongrab slapd[3991]: => dn: [4] dc=r1,dc=internal
Aug 26 13:04:10 lemongrab slapd[3991]: => acl_get: [4] matched
Aug 26 13:04:10 lemongrab slapd[3991]: => dn: [5] ou=users,dc=r1,dc=internal
Aug 26 13:04:10 lemongrab slapd[3991]: => dn: [6] ou=groups,dc=r1,dc=internal
Aug 26 13:04:10 lemongrab slapd[3991]: => dn: [7] ou=users,dc=r1,dc=internal
Aug 26 13:04:10 lemongrab slapd[3991]: <= acl_get: done.
Aug 26 13:04:10 lemongrab slapd[3991]: => slap_access_allowed: no more rules
Aug 26 13:04:10 lemongrab slapd[3991]: => access_allowed: no more rules

日志条目证实了我的怀疑，即在第一条规则之后没有做任何事情。例如，为什么它会从规则 1 跳到规则 4？根据我的理解，接下来应该考虑规则 2。

我已经尝试了 ACL 中的onelevel和范围，效果相同。children如果我将 ACL 更改为olcAccess: {1}to dn.subtree="dc=r1,dc=internal"它似乎可以工作，但除了用户和组之外还有其他 OU 我不想授予访问权限。我是否误解了范围的工作原理？

我已经按照（我相信）在我的 ASA 防火墙上安装可信证书的所有正确步骤：

• 将公司根权限作为 CA 安装到 ASA
• 为 ASA 的主机名颁发证书
• 将证书作为身份证书安装到 ASA
• 将证书应用到外部接口

但是，我在尝试连接时继续在浏览器中收到此错误：

安全连接失败

连接 asa.xxx.internal 时出错。SSL 无法从对等方的证书中提取公钥。

错误代码：SSL_ERROR_EXTRACT_PUBLIC_KEY_FAILURE

我已验证show crypto certificates证书已正确导入并显示为与导入的 CA 相关联。

我在这里做的唯一不是 100% 熟悉的事情是使用 EC 证书而不是 RSA，但这似乎不应该有任何影响。

的相关部分show run：

hostname asa
domain-name xxx.internal
http server enable
crypto ca trustpoint ASDM_TrustPoint0
 enrollment terminal
 validation-usage ipsec-client ssl-client ssl-server
 crl configure
crypto ca trustpoint ASDM_TrustPoint1
 keypair ASDM_TrustPoint1
 no validation-usage
 crl configure
crypto ca trustpool policy
 auto-import
crypto ca certificate chain ASDM_TrustPoint0
 certificate ca 4e7bf88d72c08d4efa48d3ec658e5a3281b2c6aa
    3082028e 30820233 a0030201 0202144e 7bf88d72 b08d4efa 48d3ec65 8e5a3281 
    ...
 quit
crypto ca certificate chain ASDM_TrustPoint1
 certificate c47d26f97ee247a9
    308203d8 3082037e a0030201 02020900 c47d26f9 7ee247a7 300a0608 2a8648ce 
    ...
  quit
 certificate ca 4e7bf88d72c08d4efa48d3ec658e5a3281b2c6aa
    3082028e 30820233 a0030201 0202144e 7bf88d72 b08d4efa 48d3ec65 8e5a3281 
  quit
ssl server-version tlsv1.2
ssl trust-point ASDM_TrustPoint1 outside

所以，我有一台运行 Scientific Linux 6.9 的服务器，我想在上面安装 7。显然不支持升级，所以我需要进行全新安装，这很好。

我使用 Kickstart 安装了 SL6 服务器，具有以下选项：

...
zerombr
bootloader --location=mbr --driveorder=sda --append="crashkernel=auto rhgb vga=788"
clearpart --all --drives=sda
part /boot --fstype=ext4 --size=500
part pv.008002 --grow --size=1
volgroup vg_main --pesize=4096 pv.008002
logvol / --fstype=ext4 --name=lv_root --vgname=vg_main --size=8192
logvol /home --fstype=ext4 --name=lv_home --vgname=vg_main  --fsoptions="usrquota" --size=8192 --grow
logvol swap --name=lv_swap --vgname=vg_main --size=1024
...

我只想/home在新安装期间只保留 LV。我已阅读文档中有关该--noformat选项的信息，但它可以应用于partition、volume group和逻辑卷配置。我不清楚我应该在哪个级别使用它，更重要的是，它如何识别有问题的结构。

谢天谢地，这是一个虚拟机，所以我有快照可以依赖，但我不想在这上面浪费太多时间。那么，我应该使用哪些选项来安装 SL7 以确保/home不受影响？

输出fdisk -l是否有帮助：

Disk /dev/sda: 268.4 GB, 268435456000 bytes
255 heads, 63 sectors/track, 32635 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x000852f6

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *           1          64      512000   83  Linux
Partition 1 does not end on cylinder boundary.
/dev/sda2              64       32636   261630976   8e  Linux LVM

Disk /dev/mapper/vg_main-lv_root: 8589 MB, 8589934592 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000


Disk /dev/mapper/vg_main-lv_swap: 1073 MB, 1073741824 bytes
255 heads, 63 sectors/track, 130 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000


Disk /dev/mapper/vg_main-lv_home: 258.2 GB, 258243297280 bytes
255 heads, 63 sectors/track, 31396 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

和输出vgdisplay -v：

    Using volume group(s) on command line.
  --- Volume group ---
  VG Name               vg_main
  System ID             
  Format                lvm2
  Metadata Areas        1
  Metadata Sequence No  4
  VG Access             read/write
  VG Status             resizable
  MAX LV                0
  Cur LV                3
  Open LV               3
  Max PV                0
  Cur PV                1
  Act PV                1
  VG Size               249.51 GiB
  PE Size               4.00 MiB
  Total PE              63874
  Alloc PE / Size       63874 / 249.51 GiB
  Free  PE / Size       0 / 0   
  VG UUID               T03S3I-cgaj-A2OY-1e9d-FBiQ-8xpJ-NN3hUo

  --- Logical volume ---
  LV Path                /dev/vg_main/lv_root
  LV Name                lv_root
  VG Name                vg_main
  LV UUID                FPXNoA-pqjg-Krbx-O5Sn-jFzg-GGsb-Ual7ww
  LV Write Access        read/write
  LV Creation host, time rainicorn.domain.internal, 2014-06-05 14:12:41 -0400
  LV Status              available
  # open                 1
  LV Size                8.00 GiB
  Current LE             2048
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:0

  --- Logical volume ---
  LV Path                /dev/vg_main/lv_home
  LV Name                lv_home
  VG Name                vg_main
  LV UUID                E38kVe-nxYm-rKop-Gwka-80Lh-T2VF-vGUkHE
  LV Write Access        read/write
  LV Creation host, time rainicorn.domain.internal, 2014-06-05 14:12:44 -0400
  LV Status              available
  # open                 1
  LV Size                240.51 GiB
  Current LE             61570
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:2

  --- Logical volume ---
  LV Path                /dev/vg_main/lv_swap
  LV Name                lv_swap
  VG Name                vg_main
  LV UUID                HoZ84h-eXye-lgNw-ggTN-YIEc-X0fZ-ZLcRCo
  LV Write Access        read/write
  LV Creation host, time rainicorn.domain.internal, 2014-06-05 14:13:07 -0400
  LV Status              available
  # open                 1
  LV Size                1.00 GiB
  Current LE             256
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:1

  --- Physical volumes ---
  PV Name               /dev/sda2     
  PV UUID               shdyY0-fhMC-c7kB-LoKG-Jlk8-qN81-14toG3
  PV Status             allocatable
  Total PE / Free PE    63874 / 0

我正在处理 RHEL 7 中的一个已知 问题，即指定要绑定到的地址的服务将无法正确启动。我发现了许多类似的报告，许多人说它们已经通过更新 systemd 得到解决，但我仍然面临这个问题。这会影响我盒子上的所有服务（sshd、sshd、vsftpd、nginx），这些服务不仅仅绑定到 0.0.0.0。

我找到了各种假设的解决方法，但没有一个能始终如一地为我工作。以 sshd 为例，config 如下所示：

Port 22
ListenAddress 192.168.242.225
...

这是我尝试过的，单独的和组合的：

来自https://bugzilla.redhat.com/show_bug.cgi?id=1352214#c4（我也尝试过sys-subsystem-net-devices-eth1.device，network-online.target但我怀疑这不会等待寻址发生。）

mkdir /etc/systemd/system/sshd.service.d
tee /etc/systemd/system/sshd.service.d/wait.conf << 'EOF'
[Unit]
After=network-online.target
EOF

来自https://bugzilla.redhat.com/show_bug.cgi?id=1352214#c11

mkdir /etc/systemd/system/sshd.service.d
tee /etc/systemd/system/sshd.service.d/wait.conf << 'EOF'
[Unit]
Wants=network-online.target
After=network-online.target
EOF

来自https://bugzilla.redhat.com/show_bug.cgi?id=1438749#c0

systemctl add-wants multi-user.target network.target

从某处

mkdir /etc/systemd/system/sshd.service.requires
ln -s /usr/lib/systemd/system/network-online.target /etc/systemd/system/sshd.service.requires/

无论我尝试什么，我通常都会以“错误：绑定到 192.168.242.125 上的端口 22 失败：无法分配请求的地址”结束。有时，一切都开始完美，我猜这是时间问题。

运行 Scientific Linux (RHEL) 7.5 并启用网络管理器，所有 IP 寻址都是静态的。如果还有其他可能有帮助的细节，请告诉我。这journalctl是启动失败后的输出，After=network-online.target在 sshd 单元文件中。相关内容从第 1700 行开始。希望有人遇到此问题并成功解决！

我通过运行向我的 LDAP 数据库添加了一个属性

ldapmodify -QY EXTERNAL -H ldapi:/// -f openssh-lpk.schema

作为根，其中openssh-lpk.schema包含：

# Author: Eric AUGE <[email protected]>
#
# Based on the proposal of : Mark Ruijter
#
version: 1

dn: cn=openssh-lpk,cn=schema,cn=config
changetype: add
cn: openssh-lpk
objectClass: olcSchemaConfig
olcAttributeTypes: ( 1.3.6.1.4.1.24552.500.1.1.1.13 NAME 'sshPublicKey'
  DESC 'OpenSSH Public key'
  EQUALITY octetStringMatch
  SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 )
olcObjectClasses: ( 1.3.6.1.4.1.24552.500.1.1.2.0 NAME 'ldapPublicKey' SUP top AUXILIARY
  DESC 'OpenSSH LPK objectclass'
  MUST uid
  MAY sshPublicKey )

dn: cn={5}inetorgperson,cn=schema,cn=config
changetype: modify
replace: olcObjectClasses
olcObjectClasses: ( 2.16.840.1.113730.3.2.2 NAME 'inetOrgPerson' DESC 'RF
 C2798: Internet Organizational Person' SUP organizationalPerson STRUCTURAL
 MAY ( audio $ businessCategory $ carLicense $ departmentNumber $ displayNam
 e $ employeeNumber $ employeeType $ givenName $ homePhone $ homePostalAddre
 ss $ initials $ jpegPhoto $ labeledURI $ mail $ manager $ mobile $ o $ page
 r $ photo $ roomNumber $ secretary $ uid $ userCertificate $ x500uniqueIden
 tifier $ preferredLanguage $ userSMIMECertificate $ userPKCS12 $ sshPublicK
 ey ) )

这很好用——我能够修改用户以将他们的公钥详细信息添加到他们的记录中，然后从其他客户端读取该数据。

当我尝试使用以下方式备份数据库时会弹出问题slapcat：

5b044b38 olcObjectClasses: value #0 olcObjectClasses: AttributeType not found: "sshPublicKey"
5b044b38 config error processing cn={5}inetorgperson,cn=schema,cn=config: olcObjectClasses: AttributeType not found: "sshPublicKey"
slapcat: bad configuration file!

我做错了什么slapcat无法看到的定义sshPublicKey？

调查一些通话质量问题（通话中的 0.5 – 1 秒死角） 我对同一 PBX 上的两个分机之间的电话通话进行了数据包捕获。由于我是从 PBX 捕获的，我很惊讶地看到 Wireshark 报告了一个巨大的抖动峰值，与通话中的死点同步：

我的理解是抖动是由数据包丢失和/或传输中的延迟引起的，离开 PBX 的 RTP 流应该是相对原始的。但是这个峰值出现在所有四个 RTP 流中（办公室 1 到 PBX、办公室 2 到 PBX、PBX 到办公室 1、PBX 到办公室 2），所以看起来数据包在离开服务器时已经很糟糕了。

PBX 是 Scientific Linux (RHEL) 6.9 上的 Asterisk 13（在 VMWare ESXi 5.5 客户机上运行，​​带有新更新的工具和 VMXNET3 适配器。）CPU 的使用率稳定在 5-15% 左右，网络流量极小。我在哪里可以解决此问题？此类问题是否有任何常见原因？我假设由于服务器上存在问题，我可以排除外部网络端的问题吗？

我在 Kickstart 安装后脚本中有以下命令：

firewall-offline-cmd --new-zone=management
firewall-offline-cmd --zone=management --add-service=ssh --add-service=snmp
firewall-offline-cmd --zone=management --change-interface=eth1
nmcli device modify eth1 connection.zone management

从我的阅读来看，当 NetworkManager 在图片中时似乎firewalld无法进行这些更改，因此我在nmcli命令中添加了更改区域。但它没有生效。安装完成并重新启动服务器后，界面仍保留在默认区域中。之后我可以运行该nmcli命令，它将生效。

除了这篇文章之外，我在网上找不到任何关于这个问题的信息，但它在付费墙后面。

我的网络服务器上有以下文件：

/var/www/html/--+
                |
                +-misc--+
                |       |
                |       +-misc1--+
                |       |        |
                |       |        +-index.html
                |       |
                |       +-misc2--+
                |       |        |
                |       |        +-index.php
                |       |
                |       +-misc3.php
                |
                +-wordpress--+
                             |
                             +-index.php

我设置了 Nginx，以便http://example.com/进入我的 Wordpress 安装。在我之前的（Apache）设置中，我能够轻松地创建别名来指向其中的项目，misc但我不确定如何在 Nginx 中执行此操作。

    index index.php index.html;
    root /var/www/html/wordpress;

    location ~ [^/]\.php(/|$) {
        limit_except GET POST {}
        fastcgi_split_path_info ^(.+?\.php)(/.*)$;
        if (!-f $document_root$fastcgi_script_name) {
            return 404;
        }

        fastcgi_buffer_size 16k;
        fastcgi_buffers 16 16k;

        fastcgi_param    SCRIPT_FILENAME    $document_root$fastcgi_script_name;
        fastcgi_param    PATH_INFO          $fastcgi_path_info;
        fastcgi_param    PATH_TRANSLATED    $document_root$fastcgi_path_info;
        fastcgi_param    SERVER_NAME        $host;
        fastcgi_param    HTTP_PROXY         "";

        fastcgi_pass unix:/var/run/php-fpm.sock;
        fastcgi_index index.php;
        include fastcgi_params;
    }

    location ~* \.(?:css|js|jpg|jpeg|gif|png|mp4)$ {
        expires 1M;
        access_log off;
        add_header Cache-Control "public";
    }

    location / {
        try_files $uri $uri/ /index.php;
        limit_except GET {}
    }

我想要的是：

• http://example.com/加载 /var/www/html/wordpress/index.php
• http://example.com/misc1加载 /var/www/html/misc/misc1/index.html
• http://example.com/misc2加载 /var/www/html/misc/misc2/index.php
• http://example.com/misc3.php加载 /var/www/html/misc/misc3.php

我试过的：

# http://example.com/misc1 shows index.html but anything else in the folder is 404
location /misc1 {
    alias /var/www/html/misc/misc1;
}

# http://example.com/misc1 gives 403, http://example.com/misc1/index.html gives 404
location /misc1/ {
    alias /var/www/html/misc/misc1;
}

# shows Wordpress 404 page
location /misc1/* {
    alias /var/www/html/misc/misc1;
}

# gives 403 error
location ~ /misc1 {
    alias /var/www/html/misc/misc1;
}

我尝试过的任何东西都没有对 PHP 产生任何影响，它不起作用。

我们有两台戴尔 R720 主机，它们运行 2014 年安装的戴尔定制版 ESXi 5.5。我想让这些主机升级到最新的补丁级别，但不确定如何操作。我们是严格意义上的 Linux 环境，因此无法运行 VMWare 更新管理器。我找到了一些使用esxcli类似这样的更新的说明：

esxcli software profile update -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml -p ESXi-5.5.0-20161204001-standard

但如果我理解正确，这将带我进入没有戴尔自定义功能的“香草”安装。

我喜欢认为我是一个非常称职的 Linux 系统和网络管理员，但我几乎没有管理 ESXi 的经验——这些服务器是由外部顾问设置和安装的——而且围绕这个过程有很多行话。所以，希望以前做过这件事的人可以提供一个分步列表。谢谢！

尝试使用 Scientific Linux 7 进行我的第一次 Kickstart，并通过从 SL6 迁移我的脚本解决了大部分错误，但仍然存在一个。

我在 DHCP 上启动 VM 以从 HTTP 服务器中提取 Kickstart 文件，方法是在引导加载程序提示符处添加以下内容：

net.ifnames=0 ip=eth1:dhcp inst.ks=http://server/ks.cfg

这工作正常，文件已成功下载和处理。

启动配置：

…
network --bootproto=static --device=eth0 --ip=192.168.242.224 --netmask=255.255.255.0 --gateway 192.168.242.1 --nameserver 192.168.242.200
network --bootproto=static --device=eth1 --ip=10.10.242.224 --netmask=255.255.255.0 --nodns
…

安装重启后，eth1就好了。但是，eth0 保留在 DHCP 上。签入/etc/sysconfig/network-scripts/我发现既有ifcfg-eth0静态 IP 信息，也ifcfg-eth0-1有 DHCP 配置。

/etc/sysconfig/network-scripts/ifcfg-eth0

# Generated by parse-kickstart
UUID=9db01644-e98d-4260-a13e-96d26b251297
DNS1=192.168.242.200
IPADDR=192.168.242.224
GATEWAY=192.168.242.1
DEFROUTE=yes
IPV6_AUTOCONF=no
NETMASK=255.255.255.0
BOOTPROTO=static
DEVICE=eth0
ONBOOT=no
IPV6INIT=yes

/etc/sysconfig/network-scripts/ifcfg-eth0-1

HWADDR=00:50:56:93:D0:AA
TYPE=Ethernet
BOOTPROTO=dhcp
DNS1=192.168.242.200
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV4_ROUTE_METRIC=0
IPV6INIT=yes
IPV6_AUTOCONF=no
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=eth0
UUID=73ef022d-ff28-404e-9326-cb2240ba78c1
DEVICE=eth0
ONBOOT=yes

似乎第二种配置优先；我能做些什么来防止这种行为？

（如果相关，我已禁用“一致”接口名称，因为它们不在虚拟硬件上。我net.ifnames=0在引导加载程序上指定，然后biosdevname在我的 Kickstart 中删除包。）

考虑接管 2004 年完成的旧网络的管理。令人惊讶的是，当时它是 6 类电缆。5 个 IDF 中的每个大约有 200 个端口，所有端口都运行 PoE。

但我担心交叉连接无法用于现代网络。交换机连接到标准接线板。从那里出来的电缆端接到一个打孔块 (BIX)。从边缘进来的电缆也端接到一个打孔块。两个打孔块之间的连接是用长达一米的 UTP 电缆完成的，这些电缆已经去掉了护套。

那么，该设置可以处理千兆速度吗？我倾向于说不，但也许我只是过于谨慎。

放大版的照片。

具体来说，我需要添加ORDERING caseIgnoreOrderingMatch和属性。我曾希望有某种方法可以做到这一点，但以下方法对我不起作用（也许核心模式是只读的，但它给了我一个语法错误）：givenNamesurnameldapmodify

$ ldapmodify -QY EXTERNAL -H ldapi:/// <<EOF
dn: cn=Subschema
changetype: modify
delete: attributetypes
attributetypes: ( 2.5.4.42 NAME ( 'givenName' 'gn' ) DESC 'RFC2256: first name
 (s) for which the entity is known by' SUP name )
-
add: attributetypes
attributetypes: ( 2.5.4.42 NAME ( 'givenName' 'gn' ) DESC 'RFC2256: first name
 (s) for which the entity is known by' SUP name ORDERING caseIgnoreOrderingMatch )
-
delete: attributetypes
attributetypes: ( 2.5.4.4 NAME ( 'sn' 'surname' ) DESC 'RFC2256: last (family)
  name(s) for which the entity is known by' SUP name )
-
add: attributetypes
attributetypes: ( 2.5.4.4 NAME ( 'sn' 'surname' ) DESC 'RFC2256: last (family)
  name(s) for which the entity is known by' SUP name ORDERING caseIgnoreOrderingMatch )
EOF

modifying entry "cn=Subschema"
ldap_modify: Invalid syntax (21)
    additional info: attributetypes: value #0 invalid per syntax
$

我已经看到了一些我不想直接编辑模式文件的建议/etc/openldap/schema/core.ldif，但是（停止 slapd、编辑、重新启动 slapd）似乎没有效果。

关于如何做到这一点的任何指示？我的 LDAP 知识充其量是微不足道的，因此感谢您的帮助！谢谢。

我有一个 Expect 脚本，如果我手动运行它可以正常工作，但在作为 Fail2ban 的操作运行时会失败。错误信息如下：

spawn /usr/bin/telnet 192.168.242.1
The system has no more ptys.  Ask your system administrator to create more.
    while executing
"spawn /usr/bin/telnet $hostname"

使用 audit.log 中的相应消息：

type=AVC msg=audit(1407894085.867:54862): avc:  denied  { read write } for  pid=14748 comm="ciscoacl.exp" name="ptmx" dev=devtmpfs ino=5288 scontext=unconfined_u:system_r:fail2ban_t:s0 tcontext=system_u:object_r:ptmx_t:s0 tclass=chr_file

该脚本以 root 身份运行（通过whoami从脚本运行确认），所以我预计不会有任何问题。如果有的话，我能做些什么来解决这个问题？（不，我不想禁用 SELinux！）

我认为脚本本身在这里没有什么不同，但如果需要，我可以发布它。

我已经尝试了几种在 SL 6.5 上生成加密密码的不同方法，但似乎没有什么对我有用。我在各种 /var/log/anaconda* 文件中的任何地方都没有发现任何错误，但我无法登录，所以它显然不起作用。

/root/anaconda-ks.cfg我用作模板的原始自动创建文件如下所示：

rootpw  --iscrypted $6$...(about 100 characters)
authconfig --enableshadow --passalgo=sha512

接下来我尝试openssl passwd -1了它给了我：

rootpw  --iscrypted $1$...(about 30 characters)
authconfig --enableshadow --passalgo=sha512

我意识到这不是 SHA-512，所以我尝试了一个在几个地方重复的 Python 单线：

rootpw  --iscrypted $6...(about 10 characters)
authconfig --enableshadow --passalgo=sha512

没有任何作用；我无法登录，最终不得不在单用户模式下重置 root 密码。