strugee提出的问题 -server

strugee

Asked: 2016-04-27 13:07:11 +0800 CST

我可以从 Tomcat 的内存中提取私钥吗？

3

我正在运行 Tomcat 6。我在搞乱我的密钥库以尝试修复一些证书链问题，并且我不小心rm使用了生产版本而不是.new我正在使用的文件。

现在，Tomcat 仍在运行并且仍然能够提供 HTTPS 连接（我在 Web 浏览器中对其进行了测试）。显然，必须有它仍然可以访问的私钥的副本。我的第一个想法是检查/proc/PID/fd，所以我跑了sudo lsof | grep tomcat。这会正确返回打开文件的列表：

$ sudo lsof | head -1; sudo lsof | grep tomcat
COMMAND     PID     USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
java       2599     root  cwd       DIR              202,1      4096     413699 /usr/share/apache-tomcat-6.0.44/bin
java       2599     root  mem       REG              202,1     51715     413777 /usr/share/apache-tomcat-6.0.44/lib/tomcat-i18n-fr.jar
java       2599     root  mem       REG              202,1    528303     413771 /usr/share/apache-tomcat-6.0.44/lib/jasper.jar
java       2599     root  mem       REG              202,1   1250454     413767 /usr/share/apache-tomcat-6.0.44/lib/catalina.jar
java       2599     root  mem       REG              202,1    132216     413765 /usr/share/apache-tomcat-6.0.44/lib/catalina-ha.jar
java       2599     root  mem       REG              202,1     54334     413778 /usr/share/apache-tomcat-6.0.44/lib/tomcat-i18n-ja.jar
java       2599     root  mem       REG              202,1   1830791     413768 /usr/share/apache-tomcat-6.0.44/lib/ecj-4.3.1.jar
java       2599     root  mem       REG              202,1     54624     413764 /usr/share/apache-tomcat-6.0.44/lib/catalina-ant.jar
java       2599     root  mem       REG              202,1     70563     413776 /usr/share/apache-tomcat-6.0.44/lib/tomcat-i18n-es.jar
java       2599     root  mem       REG              202,1    112521     413770 /usr/share/apache-tomcat-6.0.44/lib/jasper-el.jar
java       2599     root  mem       REG              202,1     76649     413772 /usr/share/apache-tomcat-6.0.44/lib/jsp-api.jar
java       2599     root  mem       REG              202,1     34622     413769 /usr/share/apache-tomcat-6.0.44/lib/el-api.jar
java       2599     root  mem       REG              202,1    253635     413775 /usr/share/apache-tomcat-6.0.44/lib/tomcat-dbcp.jar
java       2599     root  mem       REG              202,1     15250     413763 /usr/share/apache-tomcat-6.0.44/lib/annotations-api.jar
java       2599     root  mem       REG              202,1    801374     413774 /usr/share/apache-tomcat-6.0.44/lib/tomcat-coyote.jar
java       2599     root  mem       REG              202,1    239165     413766 /usr/share/apache-tomcat-6.0.44/lib/catalina-tribes.jar
java       2599     root  mem       REG              202,1    132240     413773 /usr/share/apache-tomcat-6.0.44/lib/servlet-api.jar
java       2599     root  mem       REG              202,1     32384     413759 /usr/share/apache-tomcat-6.0.44/bin/tomcat-juli.jar
java       2599     root  mem       REG              202,1     24283     413753 /usr/share/apache-tomcat-6.0.44/bin/commons-daemon.jar
java       2599     root  mem       REG              202,1     22807     413749 /usr/share/apache-tomcat-6.0.44/bin/bootstrap.jar
java       2599     root    1w      REG              202,1  17024956     413713 /usr/share/apache-tomcat-6.0.44/logs/catalina.out
java       2599     root    2w      REG              202,1  17024956     413713 /usr/share/apache-tomcat-6.0.44/logs/catalina.out
java       2599     root    4r      REG              202,1     22807     413749 /usr/share/apache-tomcat-6.0.44/bin/bootstrap.jar
java       2599     root    5r      REG              202,1     24283     413753 /usr/share/apache-tomcat-6.0.44/bin/commons-daemon.jar
java       2599     root    6r      REG              202,1     32384     413759 /usr/share/apache-tomcat-6.0.44/bin/tomcat-juli.jar
java       2599     root    7w      REG              202,1      4072     396419 /usr/share/apache-tomcat-6.0.44/logs/catalina.2016-04-21.log
java       2599     root    8w      REG              202,1      1182     396447 /usr/share/apache-tomcat-6.0.44/logs/localhost.2016-04-21.log
java       2599     root    9w      REG              202,1         0     396448 /usr/share/apache-tomcat-6.0.44/logs/manager.2016-04-21.log
java       2599     root   10w      REG              202,1         0     396455 /usr/share/apache-tomcat-6.0.44/logs/host-manager.2016-04-21.log
java       2599     root   11r      REG              202,1    239165     413766 /usr/share/apache-tomcat-6.0.44/lib/catalina-tribes.jar
java       2599     root   12r      REG              202,1    801374     413774 /usr/share/apache-tomcat-6.0.44/lib/tomcat-coyote.jar
java       2599     root   13r      REG              202,1    253635     413775 /usr/share/apache-tomcat-6.0.44/lib/tomcat-dbcp.jar
java       2599     root   14r      REG              202,1    132240     413773 /usr/share/apache-tomcat-6.0.44/lib/servlet-api.jar
java       2599     root   15r      REG              202,1     34622     413769 /usr/share/apache-tomcat-6.0.44/lib/el-api.jar
java       2599     root   16r      REG              202,1     76649     413772 /usr/share/apache-tomcat-6.0.44/lib/jsp-api.jar
java       2599     root   17r      REG              202,1    112521     413770 /usr/share/apache-tomcat-6.0.44/lib/jasper-el.jar
java       2599     root   18r      REG              202,1     70563     413776 /usr/share/apache-tomcat-6.0.44/lib/tomcat-i18n-es.jar
java       2599     root   19r      REG              202,1     54624     413764 /usr/share/apache-tomcat-6.0.44/lib/catalina-ant.jar
java       2599     root   20r      REG              202,1   1830791     413768 /usr/share/apache-tomcat-6.0.44/lib/ecj-4.3.1.jar
java       2599     root   21r      REG              202,1     54334     413778 /usr/share/apache-tomcat-6.0.44/lib/tomcat-i18n-ja.jar
java       2599     root   22r      REG              202,1     15250     413763 /usr/share/apache-tomcat-6.0.44/lib/annotations-api.jar
java       2599     root   23r      REG              202,1    132216     413765 /usr/share/apache-tomcat-6.0.44/lib/catalina-ha.jar
java       2599     root   24r      REG              202,1   1250454     413767 /usr/share/apache-tomcat-6.0.44/lib/catalina.jar
java       2599     root   25r      REG              202,1    528303     413771 /usr/share/apache-tomcat-6.0.44/lib/jasper.jar
java       2599     root   26r      REG              202,1     51715     413777 /usr/share/apache-tomcat-6.0.44/lib/tomcat-i18n-fr.jar
bash      29579 ec2-user  cwd       DIR              202,1      4096     413708 /usr/share/apache-tomcat-6.0.44/conf
sudo      30595     root  cwd       DIR              202,1      4096     413708 /usr/share/apache-tomcat-6.0.44/conf
grep      30596 ec2-user  cwd       DIR              202,1      4096     413708 /usr/share/apache-tomcat-6.0.44/conf
lsof      30597     root  cwd       DIR              202,1      4096     413708 /usr/share/apache-tomcat-6.0.44/conf
lsof      30598     root  cwd       DIR              202,1      4096     413708 /usr/share/apache-tomcat-6.0.44/conf

但不幸的是，我的密钥库不是其中之一。我猜 Tomcat 一定已经将它加载到内存中，然后关闭了文件描述符。（密钥库在/conf上面，但这些文件描述符来自我打开的 shell，而不是来自 Tomcat 本身。）

那么：有没有办法恢复我的私钥？我在亚马逊 Linux 上；uname -a返回Linux ip-10-0-0-105 4.4.5-15.26.amzn1.x86_64 #1 SMP Wed Mar 16 17:15:34 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux。

strugee

Asked: 2016-04-17 14:51:21 +0800 CST

如何在递归中间的某个地方解决 DNS 问题？

13

我的 DNS 有一个非常奇怪的问题。我的域名 ( strugee.net) 无法从某些网络解析，但可以从其他网络解析。

例如，在我的家庭网络（服务器所在的同一网络）上：

% dig strugee.net

; <<>> DiG 9.10.3-P4 <<>> strugee.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10086
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;strugee.net.           IN  A

;; ANSWER SECTION:
strugee.net.        1800    IN  A   216.160.72.225

;; Query time: 186 msec
;; SERVER: 205.171.3.65#53(205.171.3.65)
;; WHEN: Sat Apr 16 15:42:36 PDT 2016
;; MSG SIZE  rcvd: 56

但是，如果我登录到 Digital Ocean 上的服务器，则域无法解析：

% dig strugee.net      

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> strugee.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 58551
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;strugee.net.           IN  A

;; Query time: 110 msec
;; SERVER: 2001:4860:4860::8844#53(2001:4860:4860::8844)
;; WHEN: Sat Apr 16 18:44:25 EDT 2016
;; MSG SIZE  rcvd: 40

但是，直接访问权威域名服务器就可以了：

% dig @dns1.registrar-servers.com strugee.net   

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> @dns1.registrar-servers.com strugee.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30856
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;strugee.net.           IN  A

;; ANSWER SECTION:
strugee.net.        1800    IN  A   216.160.72.225

;; AUTHORITY SECTION:
strugee.net.        1800    IN  NS  dns3.registrar-servers.com.
strugee.net.        1800    IN  NS  dns4.registrar-servers.com.
strugee.net.        1800    IN  NS  dns2.registrar-servers.com.
strugee.net.        1800    IN  NS  dns1.registrar-servers.com.
strugee.net.        1800    IN  NS  dns5.registrar-servers.com.

;; Query time: 3 msec
;; SERVER: 216.87.155.33#53(216.87.155.33)
;; WHEN: Sat Apr 16 18:46:36 EDT 2016
;; MSG SIZE  rcvd: 172

很明显，某个大型网络存在问题，无法解析我的域，但我似乎无法弄清楚在哪里。我浏览了手册dig页以寻找可能有帮助的选项，但没有发现任何特别有用的东西。

我在 Namecheap 上既是域名注册商，也是 DNS 托管商。我打开了 DNSSEC 选项。我最近没有对我的 DNS 设置进行任何更改。

如何调试此问题并找到有问题的名称服务器？

strugee

Asked: 2013-07-23 23:34:08 +0800 CST

Ping 和 traceroute 可以解析我的 IP，但真正的客户端（Apache、Adium、ssh）不能

2

我已经用害怕.org设置了我的 DNS 。我有一个指向 71.32.87.80 的 A 记录 ssh.strugee.net。我没有设置任何 AAAA 记录。

当我运行ping ssh.strugee.netortraceroute ssh.strugee.net时，它们完成了 DNS 解析。但是，当我 ssh 进入 ssh.strugee.net 时，DNS 解析超时。ping6并traceroute6同样失败。如果我直接把DNS记录指向的IP，操作就完成了。

因此，我很确定问题是我不支持 IPv6，但我不知道如何继续我的诊断，因为我不知道我和我的服务器之间的网络是如何构建的，而且我不知道 IPv6 和 IPv4 如何在该网络中运行。有没有一种通用的方法可以找到这个？我应该如何继续尝试解决这个问题？

值得注意的是，我的 ISP 是 CenturyLink，我在同一个 ISP 上运行了check-ipv6测试，但地理位置不同。它说我没有 IPv6地址。我使用 Google Public DNS 和 OS X。在 OS X DNS 优先级列表中，首先是 Google DNS IPv6，其次是 Google DNS IPv4，然后是默认的 DNS 服务器集（CenturyLink's）。

strugee

Asked: 2013-06-22 20:52:13 +0800 CST

创建系统帐户的最佳做法是什么？(*尼克斯)

3

我已经手动将名为 Gate One 的服务安装到/opt. 我想加强它的安全性，所以我想我应该创建一个系统帐户供它使用，因为它需要最少的权限，等等。

但是，当我运行时adduser --system gateone，它创建了一个我并不真正想要的主目录。因此，我跑了adduser --system --home-dir /opt/gateone gateone，因为我看到一些系统帐户设置了属于他们的主目录。但是，这生成了登录 shell/bin/sh而不是/bin/false，这是它第一次完成的（当我没有指定主目录时）。我现在对应该将这些字段设置为什么有点困惑。

tl;dr：在 *NIX 操作系统上创建系统帐户时，设置主目录、登录 shell 和任何其他相关内容的最佳做法是什么？为什么？

_{注意：如果重要的话，我使用的是 Ubuntu 13.04 Raring，因为 IIRCadduser的发行版之间可能会有很大差异。}

strugee

Asked: 2013-06-21 13:31:36 +0800 CST

进行修订控制/人偶/等是否值得？在单服务器设置上？

4

阅读后存在哪些解决方案允许对服务器配置文件使用版本控制？，我决定在我的服务器上安装 etckeeper。

但是，这是一个单服务器设置，所以我只有一台物理机器，没有负载均衡器等，因为只有一个目的地可以将流量路由到（而且我没有第二台机器来完成这项工作）。

我认为使用 etckeeper 仍然是值得的，因为它正在跟踪本地机器。

我真正的问题是，考虑到我只有一台服务器，是否值得“升级”到 Puppet 或 Chef 之类的东西。如果是这样，为什么？

strugee

Asked: 2013-05-02 08:37:13 +0800 CST

有 .deb 版本的 Howler 吗？

0

我想在我的 Ubuntu 服务器上安装Howler 。但是，该页面提供的只是一个 RPM，而不是 DEB。是否有适用于基于 Debian 的发行版的 Howler 版本？

strugee

Asked: 2013-04-06 00:40:12 +0800 CST

为什么不应该让开发人员接近 root 密码？[复制]

24

我刚刚发现服务器机房里有东西在燃烧；我怎样才能快速识别它是什么？. 在评论中，我发现了以下引用：

you don't let a developer anywhere near your root passwords

作为一名开发人员，同时也是对系统管理员的东西非常感兴趣的人，我想知道除了每个人的标准之外，这句话是否还有其他意义——也就是说，不要泄露密码？评论员这样说，就好像这是系统管理员社区中的常识一样。是吗？

我可以从 Tomcat 的内存中提取私钥吗？

如何在递归中间的某个地方解决 DNS 问题？

Ping 和 traceroute 可以解析我的 IP，但真正的客户端（Apache、Adium、ssh）不能

创建系统帐户的最佳做法是什么？(*尼克斯)

进行修订控制/人偶/等是否值得？在单服务器设置上？

有 .deb 版本的 Howler 吗？

为什么不应该让开发人员接近 root 密码？[复制]

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

strugee's questions