主页 / user-128266

gozu's questions

Martin Hope
gozu
Asked: 2013-02-01 14:07:52 +0800 CST
  • 0

我正在尝试编写一个通用的 sudoers 文件来控制我们所有环境中所有用户的权限,并且我一直在使用通配符作为主机名(所有数据都已匿名)

Host_Alias stg01     = *.stg01.sfo.acme.com
Host_Alias stg02     = *.stg02.sfo.acme.com
Host_Alias stg03     = *.stg03.sfo.acme.com
Host_Alias prod      = *.prod.aus.acme.com, *.prod.nyc.acme.com
Host_Alias prod02    = *.prod02.aus.acme.com, *.prod02.nyc.acme.com
Host_Alias prod03    = *.prod03.nyc.acme.com
Host_Alias db01      = *.db01.sfo.acme.com
Host_Alias db02      = *.db02.sfo.acme.com
Host_Alias db03      = *.db03.sfo.acme.com
Host_Alias hi02      = *.hi02.sfo.acme.com
Host_Alias env1      = mgmt02.stg01.sfo.acme.com, *.hiho.sfo.acme.com
Host_Alias env2      = *.prod.aus.acme.com, *.prod.nyc.acme.com, *.stg01.sfo.acme.com, *.prod02.aus.acme.com, *.prod02.nyc.acme.com, *.hiho.sfo.acme.com
Host_Alias testhosts = ws1.prod.aus.acme.com, ws2.prod.nyc.acme.com, ws1.prod.aus.acme.com, ws2.prod.nyc.acme.com
Host_Alias env3      = mgmt01.stg01.sfo.acme.com, *.hiho.sfo.acme.com
Host_Alias env4 = *.prod.aus.acme.com, *.prod.nyc.acme.com, *.stg01.sfo.acme.com
Host_Alias env5  = *.prod.aus.acme.com, *.prod.nyc.acme.com, *.stg01.sfo.acme.com, *.hiho.sfo.acme.comsfo

当我尝试时,我得到:

>>> sudoers file: syntax error, line 0 <<<

它一直重复到第 16 行。这是在运行 sunOS 5.10 的 Solaris x86 服务器上。

我做错什么了吗?visudo -c -f 在我的 linux 测试箱上返回正常,所以我很困惑。

任何想法,将不胜感激!

谢谢。

solaris
Martin Hope
gozu
Asked: 2012-12-05 09:51:30 +0800 CST
  • 3

系统管理员存在于所有环境的 sudoers 文件中,但其他 sudoers 不存在。不同的环境都有略微不同的 sudoers。大多数时候,90% 的用户是相同的,10% 是不同的,所以我们不能只有一个 sudoers 文件来处理所有的事情。

现在,我们使用带有 10 个不同文件的 puppet,这些文件的名称如 sudoers.production1、sudoers.production2、sudoers.production3、sudoers.testing1、sudoers.staging1 等等。

Puppet 然后根据服务器的 $domain(例如:dbserver.staging1.acme.com)或 $hardwaremodel 选择要部署的文件。它工作正常,但维护这么多文件是一场噩梦。

我想根据服务器的域自动生成 sudoers 文件,并且只有一个大文件具有所有用户和所有环境的所有 sudoers 权限。看起来像的东西:

User_Alias ADMINS = abe, bob, carol, dave

case $domain {
 "staging1.acme.com" {
    #add dev1,dev2,tester1,tester2 to sudoers file 
  }
 "testing2.acme.com" {
    #add tester1, tester3, tester4 to sudoers file
  }

最好的方法是什么?欢迎提出替代方案的建议。我将不胜感激任何提示。

更新 1:

出于安全原因,我们宁愿不连接位于 puppet 客户端上的文件夹中的一堆文件,以防有人将文件放在那里(恶意或非恶意)并破坏组合文件或在其中插入内容。

最重要的是,为了可用性,我们希望将 puppet 服务器上与 sudoers 相关的文件(片段或完整)的数量保持在 3(prod/stage/test)或最好是 1 个文件。该文件会(以某种方式)在 Puppet 服务器上生成 sudoers 文件,并向每个 Puppet 客户端发送一个自定义文件。

这样做的目的只是在单个文件中搜索用户名并比在 11 个文件中搜索更快地删除它。将用户添加到一堆环境中时,速度不会那么快,但只需要打开一个文件并查看,大大减少了遗漏的机会。

我们的 Sudo 版本是 1.6.9p8 所以我们不能使用 /sudoers.d 文件夹,只有一个 sudoers 文件。

更新2:

我一直在谷歌上搜索一些,我刚刚发现了这个,我在过去的一个小时里一直在看:

https://github.com/saz/puppet-sudo#readme

我不确定,但看起来它可能会成功。有人用过或听说过吗?

linux
Martin Hope
gozu
Asked: 2012-08-25 13:22:08 +0800 CST
  • 3

我一直在关注这个 svn 安装指南,当我尝试访问我的测试仓库时http://localhost/repos,我成功地进行了身份验证,但后来我得到了这个:

"Forbidden You don't have permission to access /repos on this server"

这是我的 subversion.conf 文件:

LoadModule dav_svn_module     modules/mod_dav_svn.so
LoadModule authz_svn_module   modules/mod_authz_svn.so


<Location /repos>
   DAV svn
   SVNParentPath /var/www/svn/repos
#
#   # Limit write permission to list of valid users.
#   <LimitExcept GET PROPFIND OPTIONS REPORT>
#      # Require SSL connection for password protection.
#      # SSLRequireSSL
#
      AuthType Basic
      AuthName "Subversion repos"
      AuthUserFile /etc/svn-auth-conf
      Require valid-user
#   </LimitExcept>
</Location>

我的路径是 /var/www/svn/repos 这是我的权限

[root@localhost svn]# ls -la repos/
total 32
drwxr-xr-x. 6 apache apache 4096 Aug 24 11:42 .
drwxr-xr-x. 3 root   root   4096 Aug 24 11:42 ..
drwxr-xr-x. 2 apache apache 4096 Aug 24 13:50 conf
drwxr-sr-x. 6 apache apache 4096 Aug 24 11:42 db
-rwxr-xr-x. 1 apache apache    2 Aug 24 11:42 format
drwxr-xr-x. 2 apache apache 4096 Aug 24 11:42 hooks
drwxr-xr-x. 2 apache apache 4096 Aug 24 11:42 locks
-rwxr-xr-x. 1 apache apache  229 Aug 24 11:42 README.txt

如果我转到 localhost/repos/README.TXT,我会收到此消息。

<D:error><C:error/><m:human-readable errcode="20">
Could not open the requested SVN filesystem
</m:human-readable></D:error>

errcode ="2" 而是给出任何其他文件名。

selinux 设置为 permissive,我可以看到位于 var/www/html/index.html 的 localhost/index.html 文件就好了。

我已经阅读了一些具有类似问题的 fozen 论坛帖子,但无济于事。

任何想法,将不胜感激!

编辑 1:

我编辑了我的 subversion.conf 文件以更改SVNParentPath /var/www/svn/repos为,SVNParentPath /var/www/svn但它似乎没有任何效果。

编辑 2:

brain99 做到了。更改以Location />解决问题,现在我得到了repos - Revision 0: /

Powered by Subversion version 1.6.11 (r934486).

apache-2.2
Martin Hope
gozu
Asked: 2012-08-09 20:46:35 +0800 CST
  • 0

我很困惑,因为我可以从 192.168.1.10 ssh 进入这个路由器,但不能从 192.168.30.3(根据 acl 6)。没有接口提到任何这些访问列表,所以我假设这些是全局访问列表并应用于所有接口是否正确?

如果是这样,顺序是什么?

列表中是否有多个拒绝使某些规则无用或最后一个拒绝任何规则?

如果我创建一个 access-list 3 permit any ,是否允许我从 192.168.0.0 网络中的任何地方通过 ssh 进入该路由器?

如果我为其中一个接口指定特定的 ACL,会发生什么情况?其余规则是否仍然适用?

以下是 show access-list 的净化输出:

Standard IP access list 5

10 permit 144.1.1.1 (10000 matches)

20 permit 155.1.1.1 (10000 matches)

40 deny   any (100000 matches)

Standard IP access list 6

10 permit 192.168.0.0, wildcard bits 0.0.255.255 (100000 matches)

20 deny   any (10 matches)

Standard IP access list 7

10 permit 192.168.1.0, wildcard bits 0.0.0.255

Extended IP access list 122

10 permit ip host 5.5.5.5 any

20 permit ip host 6.6.6.6 any

70 deny ip any any log (1000 matches)

Extended IP access list snooplion1_acl

10 permit ip 4.2.1.0 0.0.0.7 10.1.1.0 0.0.0.255 log (1000 matches)

20 permit ip 4.2.1.0 0.0.0.7 10.1.2.0 0.0.0.255 log

Extended IP access list snooplion2_acl

10 permit ip host 4.2.1.2 host 4.4.1.1 log (100000 matches)

20 permit ip host 4.2.1.3 host 4.4.1.1 log (100000 matches)

Extended IP access list snooplion3_acl

10 permit ip 4.2.1.0 0.0.0.7 host 4.4.4.4 log (100000 matches)

Extended IP access list snooplion4_acl

10 permit ip 4.2.1.0 0.0.0.7 192.168.2.0 0.0.0.255 log (100000 matches)

20 permit ip 4.2.1.0 0.0.0.7 192.168.3.0 0.0.0.255 log (100000 matches)

Extended IP access list snooplion5_acl

10 permit ip 4.2.1.0 0.0.0.7 4.3.3.80 0.0.0.15 log

Extended IP access list snooplion6_acl

10 permit ip 4.2.1.0 0.0.0.7 4.3.3.80 0.0.0.15 log (10 matches)
cisco
Martin Hope
gozu
Asked: 2012-08-09 08:36:10 +0800 CST
  • 3

注意:所有密码都已被替换或编辑。

我正在尝试创建一个(rancid repo)帐户,该帐户可以在不启用和使用第二个密码的情况下使用命令“show run”。

现在,我使用命令“username lion privilege 15 secret raplegend”添加用户 lion,但是当我以该用户身份使用密码 raplegend 登录时,我不能不执行“sh run”命令

使能够

密码:雷鬼

以下是运行配置文件的相关部分。为了方便起见,我用伪造的明文替换了密码哈希。

version 12.2

enable secret 5 [redacted]
!
username snoop privilege 15 secret 5 raplegend
username lion privilege 15 secret 5 raplegend
aaa new-model
!
line con 0
line vty 0 4
 password 7 reggaegod
 transport input ssh
line vty 5 15
 password 7 reggaegod
 transport input ssh
!

我在这里错过了什么?谢谢!

cisco
Martin Hope
gozu
Asked: 2012-07-18 07:59:44 +0800 CST
  • 3

我正在做一个 layer2 网络映射(我的第一个),这是我遇到的第一个虚拟 mac。

从 switch1 的 mac 地址表,我有

VLAN 1 6416.8d98.52c0 DYNAMIC Te0/1

另一方面,我称之为 switch0,当我寻找那个 mac 地址时,这就是我找到的:

Vlan1 is up, line protocol is up Hardware is EtherSVI, address is 6416.8d98.52c0 (bia 6416.8d98.52c0) Internet address is 192.168.101.252/24

如何找出对应的物理端口?

当我show vlan在 switch0 上执行操作时,我得到:

VLAN 名称状态端口

1 个默认活动 Gi0/1、Gi0/2、Gi0/11、Gi0/12、Gi0/13、Gi0/14、Gi0/15、Gi0/16、Gi0/17、Gi0/18、Gi0/19、Gi0/20 , Gi0/21, Gi0/22, Gi0/23, Gi0/24

2 VLAN0002 活动 Gi0/7、Gi0/8

3 VLAN0003 活动 Gi0/9、Gi0/10

4 VLAN0004 活动 Gi0/3、Gi0/4

5 VLAN0005 活动 Gi0/5、Gi0/6

我应该使用什么命令?

编辑: Mike 的命令有效(感谢 mike!),但现在我有时间多注意我的 mac 地址表,我又感到困惑了。我的无知会大放异彩,所以尽量不要被它蒙蔽:

为什么多个端口同时属于多个 VLAN?这是其中一个开关的输出示例:

虚拟局域网

1    0014.4f97.bb1f    DYNAMIC     Gi0/11 <-- ??? similar to MACs on a solaris box
1    edgertr  Fa0/0    DYNAMIC     Gi0/1
1    sw00     Te0/1    DYNAMIC     Te0/1
1    6416.8d98.52c0    DYNAMIC     Te0/1  <--virtual MAC from before
2    box2     nxge2    DYNAMIC     Te0/1
2    box1   e1000g2    DYNAMIC     Gi0/7
2    box0   e1000g2    DYNAMIC     Te0/1
2    sw00     Te0/1    DYNAMIC     Te0/1
3    box2     nxge3    DYNAMIC     Te0/1
3    box1   e1000g3    DYNAMIC     Gi0/9
3    box0   e1000g3    DYNAMIC     Te0/1
3    sw00     Te0/1    DYNAMIC     Te0/1
4    box2     nxge0    DYNAMIC     Te0/1
4    box0   e1000g0    DYNAMIC     Gi0/3
4    edgertr  Fa0/0    DYNAMIC     Gi0/1
4    boxx      bge0    DYNAMIC     Gi0/2
4    box0   e1000g0    DYNAMIC     Te0/1
4    sw00     Te0/1    DYNAMIC     Te0/1
5    sw00     Te0/1    DYNAMIC     Te0/1

这是我目前在 layer2 图上进行的良好测量尝试(不完整,还没有在另一个交换机上启动)。有什么我应该遗漏或添加的吗?

在此处输入图像描述

networking cisco switch mac-address cisco-catalyst
Martin Hope
gozu
Asked: 2012-07-17 09:10:05 +0800 CST
  • 2

我的任务是绘制我们非常小的数据中心网络的第 2 层网络图。

有一台1841 cisco路由器,两台3560 cisco catalyst交换机和4台solaris sunfire T-1000盒子。

我已经登录到 cisco 框并下载了所有 3 个的运行配置文件。我还获得ifconfig -a了 4 个 solaris 框的输出。

我的问题是:我现在应该做什么阅读/学习来把它们放在一起?有小费吗?

我正在寻找诸如lanmap2 之类的工具,但它适用于 linux,而不是 SunOS,我不知道自己是否可以成功地重新编译它。

我了解中级网络,但我不是路由专家。我知道 VLAN 是一种将不同交换机中的端口组隔离在各自子网中的方法,我听说中继是两个路由器之间的连接,用于传送 VLAN 信息,但这就是我对这两个主题的了解程度。

networking solaris cisco cisco-catalyst mapping
Martin Hope
gozu
Asked: 2012-07-14 12:59:23 +0800 CST
  • 0

我在催化剂开关上获得了用户名和临时密码,但我不知道如何更改密码...

谷歌搜索后,我发现了这个enable 15,但是当我通过键入然后键入将我的特权提高到 15 时

username gozulin {[1] opensesame}它说:

                 ^

%invalid input detected at '^' marker

标记指向我用户名后的第一个字符。

那么,我该怎么做呢?

编辑:现在我输入

username gozulin password opensesame它说:

 ^

%invalid input detected at '^' marker

编辑 2:成功!

系统设置了 (md5) 加密密码,所以我必须在之后给出的命令是:

username gozulin secret opensesame

谢谢大家的帮助!

password cisco users cisco-catalyst