主页 / user-12212

Michael H.'s questions

Martin Hope
Michael H.
Asked: 2013-10-30 09:40:54 +0800 CST
  • 2

我们有一个托管的专用服务器,我们正在考虑添加另一个。我们认为我们目前的供应商有点贵,所以我也在收集其他供应商的报价。我被问到我们是否应该把我们的原始机器留给原始供应商,并用新的供应商购买新机器——这个想法是一种风险管理。

我的冲动是拒绝,因为那样你就有两张账单要支付,还有两个管理控制台要使用。另外,第一台机器上的一些服务(数据库、网络服务)是我们想要从第二台机器调用的,更不用说偶尔来回复制大文件了。

除了不必在新站点重建原始机器的便利因素之外,是否有任何关于在供应商之间拆分机器的论据?

hosting
Martin Hope
Michael H.
Asked: 2012-11-02 08:19:46 +0800 CST
  • 3

我在我的 ubuntu 10.04.04 服务器上使用 /etc/hosts.deny 和 ufw 的组合。大多数时候,我看到来自 .com.cn 域中的机器的 ssh 尝试失败,报告如下:

Failed logins from:
112.114.63.139 (139.63.114.112.broad.km.yn.dynamic.163data.com.cn): 1 time

但是,在 /etc/hosts.deny 中,我有这条规则:

ALL: .com.cn

这不应该在连接到 ssh 之前就阻止连接吗?我已经通过阻止我的家用机器对其进行了测试,它肯定会在我收到登录提示之前立即拒绝我的连接(是的,我已经将我的 ssh 密钥移开,因此不涉及这些)。

这是按预期工作吗?

编辑: James Sneeringer 提示我更仔细地查看日志,也许我明白了为什么会这样。来自 auth.log:

Nov  5 09:38:40 mymachine sshd[22864]: warning: /etc/hosts.deny, line 21: can't verify hostname: getaddrinfo(139.63.114.112.broad.km.yn.dynamic.163data.com.cn, AF_INET) failed
Nov  5 09:38:44 mymachine sshd[22864]: reverse mapping checking getaddrinfo for 139.63.114.112.broad.km.yn.dynamic.163data.com.cn [112.114.63.139] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov  5 09:38:45 mymachine sshd[22864]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.114.63.139  user=root
Nov  5 09:38:47 mymachine sshd[22864]: Failed password for root from 112.114.63.139 port 37245 ssh2
Nov  5 09:38:47 mymachine sshd[22866]: Connection closed by 112.114.63.139

这对我来说意味着如果 sshd 不确定 IP-> 名称查找,那么它会谨慎行事并且不会阻止该主机。那正确吗?

linux
Martin Hope
Michael H.
Asked: 2012-06-13 08:51:52 +0800 CST
  • 44

加密文件以发送给协作者时,我看到此消息:

gpg: using subkey XXXX instead of primary key YYYY

为什么会这样?我注意到,当他们向我发送加密文件时,它似乎也针对我的子密钥而不是我的主密钥进行了加密。对我来说,这似乎不是问题;gpg(1.4.x,macosx)只是处理它并继续前进。但对于他们来说,通过他们的自动化工具设置,这似乎是个问题,他们要求我一定要使用他们的主键。

我试着读了一些书,并且订购了迈克尔·卢卡斯 (Michael Lucas) 的“GPG & PGP”一书,但我不明白为什么会有这种区别。我读过用于签名的密钥和用于加密的密钥会有所不同,但我最初认为这是关于公钥和私钥的。

如果这是一个信任/验证问题,我经历了比较指纹和验证的过程,是的,我信任这个密钥。当我这样做时,我注意到主键和子键有不同的“使用”注释:

primary:  usage: SCA
subkey:   usage: E

“E”似乎意味着“加密”。但是,我还没有找到任何关于此的文档。此外,我的合作者多年来一直在使用这些工具和技术,那么为什么这对我来说只是个问题呢?

encryption gpg
Martin Hope
Michael H.
Asked: 2012-06-08 08:52:10 +0800 CST
  • 0

有没有办法限制连接的服务器端和客户端的 FTPS 端口?

我已经读过这个答案,我已经设置了 vsftpd 以将被动端口的使用限制在服务器端的一个狭窄范围内。我已经验证此限制对服务器有效。但是,如果客户端本身位于防火墙后面并且小心地限制了那一端的访问,则连接会失败。使用 tcpdump 检查,似乎正在使用客户端的任意高端口。

SFTP 不是一个选项。(相信我,我希望如此。)

ftp security ftps