imaginative's questions

我目前有两条规则可以正常运行，但我觉得它们可以合并为一条，以便维护更小的配置和更少的规则来处理每个 HTTP 请求。规则：

RewriteRule ^/user/[0-9]+/?$ /index.php [NC,QSA,L] 
RewriteRule ^/user/[0-9]+/(.*)$ /$1 [NC,QSA,L]

我必须添加第一个带有显式重定向的规则，/index.php因为例如，去http://www.example.com/user/5/会给我一个 HTTP 400。重写将在内部重写到/，但不是读取 DirectoryIndex，而是index.phperror_log 会给我：client denied by server configuration: /。

将显式重定向添加到/index.php诸如http://www.example.com/user/5/第二条规则之类的固定 URL 将适用于其他所有内容。

有没有办法将配置设置为正常使用DirectoryIndex我设置的而不是在这里明确列出 index.php？http://www.example.com没有重写规则就可以正常工作，所以我不完全确定为什么重写会破坏它。

我有兴趣在目录中递归地查找字符串以获取模式，然后将匹配的文件cp'ing到目标目录。我以为我可以做类似以下的事情，但是对于 linux 的 find 工具似乎没有意义：

find . -type f -exec grep -ilR "MY PATTERN" | xargs cp /dest/dir

有没有更好的方法来解决这个问题？或者一种甚至可行的方式将是一个坚实的开始。

我不确定为什么，但在我重新启动我的 ec2 实例后，/dev/md0 没有像往常一样启动。在我看到 /dev/md* 中可用的内容之后，没有看到 /dev/md0，而是那里有一个名为 /dev/md127 的设备。我更新了 fstab 以反映新设备并且能够成功安装它。查看 /proc/mdstat，它使用了最初创建 RAID 的正确的底层临时卷：

[root@ip-10-0-1-21 ~]# cat /proc/mdstat 
Personalities : [raid0] 
md127 : active raid0 xvdc1[1] xvdb1[0]
      870336512 blocks super 1.2 512k chunks

unused devices: <none>

然而，当我运行一个mdadm --detail --scan不同的设备名称时，会出现：

[root@ip-10-0-1-21 ~]# mdadm --detail --scan
ARRAY /dev/md/ip-10-0-1-21:0 metadata=1.2 name=ip-10-0-1-21:0 UUID=543098de:1e9dc96e:4ce2444c:934bdfdf

设备名称更改是否正常？我必须用新的设备名称更新 /etc/fstab 吗？使用新信息重新运行 /etc/mdadm.conf 是否很重要？这个设备名是/dev/md127还是dev/md/ip-10-0-1-21:0？我想我不确定这里发生了什么。一些见解会很棒。

我有一个看起来像这样的脚本：

ruby foo.rb > log.out 2> error.log < /dev/null &

在这种情况下，我知道 STDOUT 正在重定向到 log.out，而 2> 正在将 STDERR 文件描述符重定向到 error.log。在这里让我感到困惑的是 STDERR 重定向到 error.log 之后发生的事情是< /dev/null例外。这里重定向的到底是什么error.log，是 STDERR 还是 /dev/null？

我正在尝试编写一个脚本，每次启动新的 EC2 实例时都会在 /etc/sudoers 中注释掉以下行：

Defaults requiretty

我假设最好的方法是使用内联 sed 搜索和替换或搜索和插入。问题是 Defaults 和 requiretty 之间也可能有 1 个以上的空格/制表符。什么是有效的 sed 解决方案？

我有多个用于连接各种盒子的私钥。这主要是针对 AWS，它让我导入一个密钥以便连接到机器——我为此创建了一个单独的密钥集。而不是不断地做：

ssh -i ~/.ssh/aws-key.pem ec2-user@aws.ip

添加aws-key.pem到我的“ssh keychain”的最佳方法是什么，以便它默认检查所有 SSH 请求以及现有的“id_dsa”密钥？

正是标题所说的。我不太幸运找到合适的文档来查看 -xe 在以下用例中的作用：

#!/bin/bash -xe

这些参数的作用是什么以及记录在哪里？

今早醒来发现一堆东西：

root@foo:/etc/bind# dig @1.2.3.4 foo.example.com

; <<>> DiG 9.6.1-P2 <<>> @1.2.3.4 foo.example.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 36121
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;;foo.example.com.   IN A

;; Query time: 0 msec
;; SERVER: 1.2.3.4#53(1.2.3.4)
;; WHEN: Thu Apr  1 09:57:59 2010
;; MSG SIZE  rcvd: 31

关于虚构的“1.2.3.4”的一些背景。它是我的名称服务器“农场”中的从属名称服务器。从技术上讲，我有 ns1（作为主人）和 ns2/ns3。目前 ns1/ns2 正在停机进行维护，所以我将 ns3 留在它为实时流量提供服务。这就是关键，DNS 应该是有弹性的。

现在奇怪的是，“1.2.3.4”在过去的 4-5 天内一直在为 example.com 的请求提供服务。今天早上我接到一个电话，它没有响应。经过调查，我看到了您在上面看到的消息，SERVFAIL。

我查看了区域文件并看到以下内容：

example.com               IN SOA  ns1.example.com. hostmaster.mail.example.com. (

我想知道此时名称服务器是否认为它对 example.com 不具有权威性并将其调整为以下内容：

example.com               IN SOA  ns3.example.com. hostmaster.mail.example.com. (

之后，它开始再次响应 example.com 的所有权威查询。我不知道为什么。我认为这些事情应该在从 ns1 -> ns3 进行区域传输时标准化？

有人可以举例说明为什么会发生这种情况以及如何防止将来发生这种情况吗？我从来没有遇到过类似的问题，并且因为我不太了解它，所以我可能会错过这个问题中的一些关键信息。所以请让我知道我是否可以进一步添加任何细节以使事情更清楚。

还有一点需要注意：我有其他域，我对其具有权威性，它们的 SOA 仍然显示 ns1.example.com。而不是 ns3.example.com。这些域可以很好地服务请求！他们也停止并且我必须将 SOA 更改为 ns3.example.com 是时间问题吗？这是否也只是因为 ns1 和 ns2 当前处于脱机状态才需要？

我很难找到这个答案，但是可以在 BIND9 中的 A 或 CNAME 记录上设置的最低 TTL 是多少？

目前，我的设置将我们的出口上行链路直接连接到 linux 路由器/防火墙/nat 网关上的外部接口。由于 linux 机器是单点故障，我已经使用 carp+pf+pfsync 设置了两个 openbsd 机器，以获得一些额外的冗余。问题是，我只有一个出口上行链路（它仍然是单点故障），但需要让它与我的 openbsd 集群中的活动 carp 节点对话，该节点将作为我的新路由器/防火墙/nat 集群服务。

我需要在 3560G 上做些什么，以便我能够：

1) 将出口上行链路断开到端口 2) 断开从交换机到防火墙的一条链路 2) 断开从交换机到防火墙的第二条链路

如果一个盒子死了，另一个盒子仍然有到交换机的出口链路。

将它们放入一个 VLAN 就足够了吗？要使此设置正常工作，还需要进入配置的其他任何内容吗？

目前是否有不涉及 SNMP 设置的 Nagios3 监控 CPU 使用情况？如果我超过某个阈值，例如 55% 的 CPU 时间被系统用完，我想设置通知。

我有两个用于故障转移/高可用性目的的带有 carp 的 openbsd nat/防火墙盒。确保我计划在这些机器上运行的 OpenVPN 也能正常故障转移的最佳做法是什么？

我有两台服务器在多主镜像模式 OpenLDAP 设置中工作。

server-0.example.com、server-1.example.com 和 server-vip.example.com

server-vip.example.com 是一个浮动虚拟 IP，它与活动节点（server-0 或 server-1）的接口相关联，这是一种相当常见的设置。

问题是，我在 server-0 上创建了一些带有 CA 的自签名证书。两台服务器相互通信，更重要的是，客户端与 server-vip.example.com 通信需要分发什么 ssl 客户端/服务器证书？

简单地复制/粘贴配置似乎不是答案，特别是因为服务器上的公用名是唯一的，它们每个都有不同的主机名。

此外，如果 server-0 出现故障，并且 server-vip 指向 server-1，那么如果客户端拥有 server-0 的客户端证书，那么客户端应该如何透明地工作？

我正在尝试找到任何可能的方法来将 OpenBSD 4.6 上的 OpenLDAP 后端数据库作为 bdb 运行。有迹象表明 ldbm 不是事务性的并且存在数据完整性问题。OpenBSD 社区不建议运行 ldbm，但 dbd 自 OpenBSD 4.3 以来也被认为已损坏。在 OpenBSD 上为 OpenLDAP 提供可靠的数据库后端的最佳解决方案是什么？

我正在运行 OpenBSD + CARP + pfsync 的路由器/防火墙上设置 OpenLDAP。足够好奇，我想知道我最好的方法是什么，以确保设置在两个盒子之间保持冗余，以防万一出现故障。我是否只是在两台主机之间设置复制，并使用所有客户端与之对话的 VIP（虚拟 IP）？有没有更好的处理方法？

每隔一段时间，我就会登录到生产 web/db/tools 框并看到典型的消息：

可以更新 30 个包。16 个更新是安全更新。

我的问题是，你们所有人如何处理生产 Ubuntu 机器上的更新？您是否自动执行这些更新？您是否为他们设置了停机时间？问题是，你永远不知道更新什么时候会破坏某些东西，比如可能是现有的配置文件等。

这个问题的另一部分是，跟上补丁是“一件好事”，但补丁几乎每天都会发布。如果每天都有新的安全补丁可用，那么一个人必须进行多少次计划中断？

我认为有关如何管理更新的答案的线程将非常有用。

我有兴趣使用 MMR ( http://mysql-mmm.org/ ) 来实现高可用性和复制目的。问题是，我也有兴趣将 Linux-HA 用于其他服务，例如 Apache。当涉及到某些事情时，两者会重叠，例如交换虚拟 IP 接口等。

有没有人有类似的设置并有一些针对上述问题的最佳实践/解决方案？

通过成为您自己的具有 Apache Web 服务器的 CA 来生成客户端证书是一项微不足道的工作，并且有大量关于如何实现这一点的文档。我的问题略有不同。

我有几个客户想要拥有自己的 PKI 基础设施。他们希望能够生成自己的客户端证书并撤销它们。当他们访问我们的网络服务时，我们的网络服务器仍然负责授权他们。

任何人都可以加入我可以研究的一些可能的解决方案吗？我看到 Apache 2.3 有一些与 SSLOCSP* 相关的指令（http://httpd.apache.org/docs/2.3/mod/mod_ssl.html），但我对使用 Apache 2.3 并不完全兴奋，甚至更是如此，它看起来像SSLOCSP* 存在浏览器限制，我们正在处理不可接受的客户端。

是否有确保权限不会复制到 mysql 从属服务器的最佳做法？问题是，mysql表中有一个维护用户，每个盒子上都有不同的密码。诸如启动/关闭脚本之类的东西使用这些表。当您从主服务器复制时，它会更改密码并破坏事物。

确保实际 mysql 数据库（包含授权、用户、主机）不会因为复制而中断的最佳实践是什么？

您通常也会将特权复制到奴隶吗？

我在两台服务器之间进行了一个非常简单的 mysql master->slave 设置。问题是，复制是异步的，如果主服务器在来自从属的复制线程能够获取最后一个 bin 日志之前在 COMMIT 之后崩溃，这可能会导致问题（即使在低延迟链接上）。

是否有强制 mysql 进行同步提交以便在 mysql->slave 关系中保证数据一致性？