Mikhail T.'s questions

我们使用 systemd 在生产环境中运行各种服务。（呃……）

我们正在构建一个匹配的“灾难恢复”站点，该站点将安装相同的应用程序——使用相同的 systemd-units 以在发生灾难时启动其各种组件。

这种 DR 环境是“热的”，准备在短时间内接管（越短越好）——从而成为生产本身。然后，当“灾难”解决后，另一个环境将成为 DR。

我的问题是，如何让这些 systemd-services 准备好启动，但直到某个条件变为真才真正启动？

为了得出结论，特定站点当前是主要站点（生产），命令 ( amIthePrimary) 需要运行并以 0 退出代码退出。检查既简单又快速——可以每分钟执行一次。但是，因为它需要运行命令，所以 systemd 没有Condition提供它。

我是否将该命令放入每个单元的 ExecPre中，或者这会成为一个嘈杂的错误，不必要地惹恼管理员？我是否将其与所有其他服务一起放入一个独立的单元中Require？

另外，一旦条件为真——服务启动——我如何继续检查它，所以它们都将关闭，它是否应该再次变为假？

我有一个 VirtualBox 来宾 VM，它被配置为在 VirtualBox 的“NAT”后面运行。我可以通过smbnetfs访问各种网络共享，但尝试通过 NFS 访问相同失败并显示错误消息：Client credential too weak.

据推测，该错误是由于 VirtualBox 的 NAT 实现使用高于 1024 的端口号进行传出连接 - 即使mount_nfs来宾内部的程序使用较低的端口（因为我将其作为来宾运行root）。

有没有办法更改 VBox 的设置以正确执行此操作？我很确定它可以——因为它已经以 Windows“管理员”的身份运行（或应该运行）......

更新：是的，如果我将网络配置从 NAT 更改为直接选项之一，错误就会消失，这证明 VirtualBox 进程具有必要的权限——只是选择不使用它们。

在进行 NAT 时，有没有办法让它保持传出端口？

对于那些拥有公共 IP 地址的主机，我们在 host-definition: 中定义了一个自定义属性_PADDR：

define host {
        ...
        address 10....
        _paddr  53....
}

那么，我们能否在不创建特定组或其他条目的情况下将服务检查限制为仅对定义了自定义属性的主机的服务检查？

使用 Icinga-1.13.3。

我正在尝试将我的家庭服务器配置为中继来自家庭 iPhone 的电子邮件。为此，我在服务器的 SASL 数据库中创建了一个“用户”帐户，并将 sendmail 配置为使用 CRAM-MD5 作为唯一的 SASL 机制。在日志中（在高详细级别）sendmail 说：

AUTH: available mech=CRAM-MD5, allowed mech=EXTERNAL GSSAPI KERBEROS_V4 DIGEST-MD5 CRAM-MD5

当 iPhone 连接时，它的身份验证尝试似乎成功了（参见下面的交换）。但是，无论如何，电子邮件都会被拒绝，这完全让我感到困惑......

<-- EHLO [192.168.1.171]
--- 250-symbion.example.com Hello ... [...], pleased to meet you
--- 250-ENHANCEDSTATUSCODES
--- 250-PIPELINING
--- 250-8BITMIME
--- 250-SIZE
--- 250-DSN
--- 250-AUTH CRAM-MD5
--- 250-STARTTLS
--- 250-DELIVERBY
--- 250 HELP
<-- AUTH CRAM-MD5
--- 334 PDEzOT....dG1hbi5jb20+
--- 235 2.0.0 OK Authenticated
<-- MAIL FROM:<[email protected]>
Authentication-Warning: symbion.example.com: Host ... [...] claimed to be [192.168.1.171]
--- 403 4.7.0 authentication required
ruleset=check_mail, arg1=<[email protected]>, relay=... [...], reject=403 4.7.0 authentication required
<-- RCPT TO:<info@......>
--- 503 5.0.0 Need MAIL before RCPT
<-- DATA
--- 503 5.0.0 Need MAIL command
<-- QUIT
--- 221 2.0.0 symbion.example.com closing connection

我的access数据库不大：

CERTISSUER:/MY/OWN/Certificate/Authority   RELAY
TLS_Clt:127.0.0.1       OK
TLS_Clt:192.168.1       OK
TLS_Clt:        VERIFY:112
Try_TLS:127.0.0.1       NO
Try_TLS:192.168.1       NO
Connect:192.168.1       RELAY
Connect:127.0.0.1       RELAY
Srv_Features:127.0.0.1  S A V
Srv_Features:192.168.1  S A V
Srv_Features:   s a v

与本地调用的 sendmail 相同：

% sendmail -O LogLevel=14 -bs -Am
220 symbion.example.com ESMTP Sendmail 8.15.2/8.15.2; Fri, 27 Oct 2017 01:02:25 -0400 (EDT)
AUTH CRAM-MD5
334 PDEwM....vbT4=
cmlvc0BzeW1ia...JhYjU5
235 2.0.0 OK Authenticated
MAIL FROM: mi@meow
403 4.7.0 authentication required

我正在努力在sasldb2.db. 如果我使用常规

saslpasswd2 -c user

根据 sasldblistusers2，我得到了一条记录：

[email protected]:    userPassword

而这个页面让我相信，每个机制都应该有一条线（DIGEST-MD5，CRAM-MD5，等等）。

如果我添加-n以避免存储纯文本（我只需要 CRAM-MD5）：

saslpasswd2 -n -c user

然后 sasldblistusers2 根本找不到要列出的记录。我的saslpasswd.conf由两行组成：

mech_list:      cram-md5 digest-md5 ntlm plain
log_level:      9

我在 FreeBSD 上使用 cyrus-sasl-2.1.26_12 和带有 2.1.25 的 Ubuntu 进行了尝试……我做错了什么？

我需要CRAM-MD5，因为无需进一步重新配置，我的 sendmail 仅将其DIGEST-MD5列为可接受的AUTH机制。显然，iPhone 不支持DIGEST-MD5. 我做这一切只是为了几部 iPhone——普通计算机已经通过我自己的权威机构颁发的客户端 SSL 证书对自己进行身份验证。

好的，显然，CRAM-MD5身份验证一直都是成功的——尽管没有被sasldblistusers2. 我提出了一个新问题——尽管身份验证成功，为什么 sendmail 拒绝中继。

我有两个邮件服务器：A 和 B。

服务器 A 是域的官方 MX 处理程序，example.com并配置为将整个转发@example.com到[email protected]. 这部分工作正常。

但是，有时服务器 B 也会收到用于发送的电子邮件[email protected]，我希望它直接将此类邮件发送到[email protected].

为此，我/etc/mail/virtusertable在服务器 B 上添加了与服务器 A 上相同的记录：

@example.com   [email protected]

我重建了数据库并在 B 上重新启动了 sendmail，但我仍然看到它将电子邮件example.com传递给 A——而不是直接将其传递给 Yahoo。

就好像 MX 记录胜过virtusertable- 我如何扭转这一点并节省一跳？

我有一个媒体播放器，它可以毫无问题地连接到运行 Samba 的主计算机。它运行旧版本的嵌入式 Linux（内核 2.6.22.19-27）并具有 CIFS。

在某些时候，在我升级服务器上的 Samba 软件（目前在 FreeBSD-10.4 上运行的 samba-4.6.8）后，播放器失去了这种能力——它仍然可以列出相同的导出共享，但不能再打开任何东西：“错误的凭据”。

我手机上支持 SMB 的应用程序可以很好地打开相同的文件夹（使用相同的凭据）...

是否有一些选项我需要显式打开服务器以启用与旧客户端的某种兼容模式？

更新：根据@Tin 的建议，我在 - 部分添加了以下行[global]：smb4.conf不幸 的 max protocol = NT1 是，这并没有改变——除了媒体播放器，我仍然可以从大多数系统连接，它仍然告诉我，我的凭据都不好。

在服务器上使用tcpdump我捕获了以下交换：

    SMB PACKET: SMBnegprot (REQUEST)
    SMB Command   =  0x72
    Error class   =  0x0
    Error code    =  0 (0x0)
    Flags1        =  0x0
    Flags2        =  0x1
    Tree ID       =  0 (0x0)
    Proc ID       =  1283 (0x503)
    UID           =  0 (0x0)
    MID           =  1 (0x1)
    Word Count    =  0 (0x0)
    smb_bcc=12
    Dialect=NT LM 0.12

服务器响应的：

SMB PACKET: SMBnegprot (REPLY)
SMB Command   =  0x72
Error class   =  0x0
Error code    =  0 (0x0)
Flags1        =  0x80
Flags2        =  0x3
Tree ID       =  0 (0x0)
Proc ID       =  1283 (0x503)
UID           =  0 (0x0)
MID           =  1 (0x1)
Word Count    =  17 (0x11)
NT1 Protocol
DialectIndex=0 (0x0)
SecMode=0x3
MaxMux=50 (0x32)
NumVcs=1 (0x1)
MaxBuffer=16644 (0x4104)
RawSize=65536 (0x10000)
SessionKey=0xA4AA
Capabilities=0x80F3FD
ServerTime=Sun Oct  1 18:00:38 2017
TimeZone=240 (0xf0)
CryptKey=Data: (1 bytes)
...

然后客户说：

    SMB PACKET: SMBsesssetupX (REQUEST)
    SMB Command   =  0x73
    Error class   =  0x0
    Error code    =  0 (0x0)
    Flags1        =  0x0
    Flags2        =  0x1
    Tree ID       =  0 (0x0)
    Proc ID       =  1283 (0x503)
    UID           =  0 (0x0)
    MID           =  2 (0x2)
    Word Count    =  13 (0xd)
    Com2=0xFF
    Res1=0x0
    Off2=0 (0x0)
    MaxBuffer=16644 (0x4104)
    MaxMpx=50 (0x32)
    VcNumber=0 (0x0)
    SessionKey=0x0
    CaseInsensitivePasswordLength=24 (0x18)
    CaseSensitivePasswordLength=24 (0x18)
    Res=0x0
    Capabilities=0x80D0DC
    Pass1&Pass2&Account&Domain&OS&LanMan=
    smb_bcc=179
    ...

最后是服务器：

SMB PACKET: SMBsesssetupX (REPLY)
SMB Command   =  0x73
Error class   =  0x6D
Error code    =  49152 (0xc000)
Flags1        =  0x80
Flags2        =  0x3
Tree ID       =  0 (0x0)
Proc ID       =  1283 (0x503)
UID           =  0 (0x0)
MID           =  2 (0x2)
Word Count    =  0 (0x0)
NTError = STATUS_LOGON_FAILURE
smb_bcc=0

到底是怎么回事？

更新：我可以挂载任何东西的方法是创建一个密码为空的帐户 ( smbpasswd -n ...) 并进行编辑smb.conf以允许null passwords。

我们有一组服务器，其中任何一个都可能出现故障，生成中等优先级通知：

define host {
        host_name       foo1
        contacts        medium-priority
        use     default-host
}
...

但是，当两个以上的此类服务器出现问题时，我们希望获得更高优先级的通知。为此，我们使用 Nagios'/Icinga 的check_cluster-utility 设置了一个单独的服务定义：

define service {
        service_description     foo-cluster
        servicegroups   cluster-checks
        display_name    Foo Cluster
        check_command   check_cluster_host!Foo Cluster!0!3!$HOSTSTATEID:foo1$,$HOSTSTATEID:foo2,...$HOSTSTATEID:fooN$
        contacts        high-priority
        hostgroup_name  clusters
        notes   Check, that no more than 2 hosts in group foo are in trouble
        use     default-service
}

以上可能会起作用，但我希望这个服务检查不是由时间触发，而是由任何“基础”主机的状态变化触发......

我们使用 Ansible 生成 Icinga 的配置文件，因此可以以编程方式构建复杂的依赖关系——但是这样的触发可以实现吗？

虽然 Ansible 本身有触发自定义错误的方法，但我找不到 Jinja 类似的东西。

我当前的方法使用语法错误：

{%  if 'ansible_mounts' in hostvars[host] %}
# {{ host }} knows its mount-points
{% else %}
# {% error!! No ansible_mounts listed for host - fact-gathering must've failed %}
{% endif %}

但是这些在运行时渲染效果很差——需要查看模板文件并搜索错误（渲染甚至不包括行号！）。

有没有办法从 Jinja-template 中输出简洁的失败消息？

我们使用许多以 NGinx 为前端的应用程序服务器。我们现在希望限制代理对某些应用程序的访问，但仍然允许在同一主机和内部 LAN 上运行的脚本绕过新的身份验证。

为此，我们在配置中添加了以下内容：

satisfy any;
allow 192.168.32.0/24;
allow 192.168.29.29;
allow 127.0.0.1;
deny all;
proxy_pass http://127.0.0.1...

但是，这允许所有请求进入——大概是因为代理是针对 127.0.0.1 完成的，因此所有请求都符合上述“允许 127.0.0.1”规则。

我们做错了什么？什么是正确的方法？

通过我的服务器的一些电子邮件被转发到外部帐户。

不幸的是，我的上游 SMTP 服务器对垃圾邮件非常挑剔——并且拒绝一些合法的邮件。当转发的邮件发生这种情况时，我会收到退回邮件（作为邮件管理员）——而不是发件人。

我理解，这是因为 sendmail 在本地对消息进行排队，与中继断开连接，然后才继续进一步转发它们。如果进一步的转发由于任何原因而中断——例如因为下一个中继错误地将邮件识别为垃圾邮件——我的 sendmail 将保留这些碎片。

是否可以将事情配置为立即开始转发（一旦确定转发目的地）？然后可以将状态（成功或失败）直接传达给仍然在线的前一个继电器......

如果 sendmail 做不到，其他 MTA 可以吗？谢谢！

我对不同的域有不同的转发需求，它们都指向我的邮件服务器：

[email protected]   [email protected]
[email protected]   [email protected]
@example.com        mylocalaccount

这一切都有效......但是，其中一些用户希望使用 +-notation 为不同的供应商提供不同的地址，例如user1+ vendor@example.com。而这部分不起作用——所有这些电子邮件最终都被传递到了包罗万象mylocalaccount的地方，而不是被正确转发。

如何使我[email protected]被转发到与 相同的目的地[email protected]？

我尝试添加类似的条目

user1+*@example.com    foo+%[email protected]

但这并没有解决问题...

这是调试跟踪：

没有细节：

% sendmail -d60.5 -bv [email protected]
map_lookup(dequote, me, %0=me) => NOT FOUND (0)
map_lookup(dequote, g, %0=g) => NOT FOUND (0)
map_lookup(virtuser, [email protected], %[email protected], %1=g) => [email protected] (0)

...有效。

详细说明：

% sendmail -d60.5 -bv [email protected]
map_lookup(dequote, me, %0=me) => NOT FOUND (0)
map_lookup(dequote, g+meow, %0=g+meow) => NOT FOUND (0)
map_lookup(virtuser, [email protected], %[email protected], %1=g+meow) => NOT FOUND (0)
map_lookup(virtuser, @example.com, %[email protected], %1=g+meow) => me (0)
map_lookup(dequote, me, %0=me) => NOT FOUND (0)
map_lookup(user, me, %0=me) => me<> (0)
[email protected]... deliverable: mailer local, user me

... 不工作 - 来到包罗万象的本地帐户“我”。

我们希望将 CDN 日志提供给 Graphite，并在其中找到汇总数据（不同 HTTP 状态代码的比率、平均响应大小、平均缓存命中率等）

然而，日志只是偶尔上传给我们，有时甚至是乱序的——偶尔，早上的日志可以在晚上上传，也就是下午的日志上传和处理后的几个小时。此外，因为 CDN（显然）有多个服务器和数据中心，不同的日志可以覆盖重叠的时间段。

这意味着，任何聚合器都需要保持对所有早期统计数据的访问，以便在处理新日志时能够增强聚合......

什么——如果有的话——可以做到这一点？以及如何配置 logstash 来输入它？谢谢！

我们对 s 的子树有一些规则Location，包括Require-ingldap-group和expr-s。

用户受到适当的挑战，以提供经过验证的登录凭据。

但是，即使凭据正确并且由于其他原因（例如属于错误的组或来自不正确的 IP 地址）而拒绝访问，服务器的响应始终是 401，而不是 403。

结果，浏览器不断提示用户“再试一次”......我可以告诉 Apache（2.4）使用 403，如果Authorization-header 中提供的信息签出，并且它是其他一些规则，拒绝要求？

再次，我知道，为什么在身份验证成功后，某些用户的授权被拒绝 - 它应该是。我只需要与这些用户沟通，即：“是的，我们相信你就是你所说的那个人，但你不被允许访问这个位置。”

看来，mod_rewrite 是引发 403 响应的唯一方法—— mod_rewrite 表达式是否可以检查 LDAP 组的成员资格或强制将状态从 401 更改为 403？

我在WebMaster 的网站上问过这个问题，但没有得到答案——那里的人似乎更注重内容。

这是我当前配置的相关片段：

<Location /foo>
         Require ldap-group CN=foo,OU=Groups,DC=example,DC=net
</Location>

当验证提供的用户名/密码，但不满足要求时，我需要返回 403... 401 当前正在返回。

在 MySQL-5.1.73 上转储数据库并将其加载到 MySQL-5.5 之后，我注意到，至少有一个表的主键没有auto_increment传输其标志......describe table原始上的内容如下：

+-----------+--------------+------+-----+---------+----------------+
| Field     | Type         | Null | Key | Default | Extra          |
+-----------+--------------+------+-----+---------+----------------+
| FIELD_ID  | bigint(20)   | NO   |     | 0       |                |
| ID        | bigint(20)   | NO   | PRI | NULL    | auto_increment |
| ISSUE_ID  | bigint(20)   | NO   | MUL | 0       |                |
| LOCK_HASH | varchar(255) | YES  | MUL | NULL    |                |
| LOCK_TIME | bigint(20)   | YES  |     | NULL    |                |
| RANK      | varchar(255) | NO   | MUL | NULL    |                |
| TYPE      | int(11)      | NO   |     | 0       |                |
+-----------+--------------+------+-----+---------+----------------+

但是，在加载到目标后，最后一列是空auto_increment的——-field 的标志ID消失了。

事实上，查看转储，我看到表的定义为：

CREATE TABLE "AO_60DB71_LEXORANK" (
  "FIELD_ID" bigint(20) NOT NULL DEFAULT '0',
  "ID" bigint(20) NOT NULL,
  "ISSUE_ID" bigint(20) NOT NULL DEFAULT '0',
  "LOCK_HASH" varchar(255) COLLATE utf8_bin DEFAULT NULL,
  "LOCK_TIME" bigint(20) DEFAULT NULL,
  "RANK" varchar(255) COLLATE utf8_bin NOT NULL,
  "TYPE" int(11) NOT NULL DEFAULT '0',
  PRIMARY KEY ("ID"),
  KEY "index_ao_60db71_lexorank_rank" ("RANK"),
  KEY "index_ao_60db71_lex604083109" ("ISSUE_ID"),
  KEY "index_ao_60db71_lex1632828616" ("LOCK_HASH")
);

没有明显的指令将 ID 设置为自动递增......使用的非默认标志mysqldump是：

extended-insert=false
compatible=postgres
single-transaction

这是一个已知问题吗？我应该尝试使用 MySQL (Oracle) 进行错误报告吗？

我需要一个自动化的工作来对 Foreman 执行 REST API 调用，我宁愿不为它设置一个帐户——然后永远维护密码。

然而，Foreman 似乎只有“全有或全无”——如果任何事情都需要身份验证 ( :login: true)，那么一切都需要身份验证。

这真的是真的吗，还是外观具有欺骗性，可以告诉工头允许匿名查找和主机浏览，同时仍需要对任何更改进行身份验证？

我们在 Foreman 中使用了一些全局参数，我需要列出所有将全局参数foo设置为“ bar”的主机。

我可以使用 REST API 或通过其他方法做到这一点吗？浏览API-calls 列表，我没有找到任何适用的 - 有希望吗？

或者，我正在考虑创建一个特殊的 Puppet 类，它只会将全局参数重新声明为它自己的变量。通过使其成为导出资源，我可以从所有主机收集数据......但是看起来很讨厌 - 有更好的方法吗？

假设我们从 500 个服务器收集 NTP 偏移统计信息。每个都被 Graphite 称为stats.主机名.ntpstats.offset。

我希望我的图表显示两条曲线：

• 特定主机的偏移量（简单）
• 所有主机的平均值（有或没有上述一台主机）

这可以做到吗？如果不使用 Graphite，那么 Grafana 怎么样？

RedHat/CentOS-6 包含的 ruby​​ 版本为 1.8.7，对于许多应用程序来说太旧了。虽然简单地使用定制的 RPM 更新它是可能的，但我的同事们回避这个想法并希望使用SCL-repo提供的rh-ruby22包。

这安装了 ruby​​-2.2，这很棒，但在/opt/rh/rh-ruby22. 我现在需要安装几个 gem，并且显然想使用 Puppet：

package {'example':
  ensure   => '0.25',
  provider => 'gem'
}

不幸的是，gem-provider 调用/usr/bin/gem而不是/opt/rh/rh-ruby22/root/usr/bin/gem需要调用。还有其他方法吗？谢谢！

我们在这里使用 Foreman 和 Puppet 来管理我们的 Unix 系统，但是 Kerberos 基础架构是通过 Active Directory 实现的（因为 Exchange）。

使用 AD 注册新引导的主机是一个手动过程，我们非常希望将其自动化。

看起来，Foreman 已经（或曾经？）支持加入 AD-realm 有一段时间了，但我找不到任何实际的示例或教程。