nedm's questions

我目前正在构建一个新的 Ubuntu 13.04 服务器，在 raid 镜像中有 2 个 256GB SSD 来运行 MariaDB 实例。我们通常将LVM 置于 md raid 1 阵列之上的 dm-crypt 加密之上，但之前未在此设置中使用过 SSD。

我的问题是，由于我们将使用较新的 (3.8) 内核，它应该允许 fstrim 直接应用于 raid 卷，据我所知。我现在可以简单地依靠它fstrim -v /通过 cron 作业正常工作吗，就像没有 raid 时我会做的那样？即使在 raid 卷之上使用 LVM 也是如此吗？我们计划使用驱动器上的硬件加密，因此我们在这里不需要 dm-crypt。

注意：我知道有几个类似的问题涉及向后移植更新的内核版本和使用 md 卷实现丢弃——我特别询问是否fstrim在不对较新内核进行进一步修改的情况下对 md-raid 起作用。

更新：只是想跟进并发布它工作正常。现在在 cron.daily 中有一个运行 fstrim的工作/并且/boot它工作得很好。此外，SSD（三星 840 Pro）上的硬件加密似乎需要 TPM 支持，而我们没有，因此我们确实配置了软件加密，如链接中所示。通过添加discard到/etc/crypttab（而不是/etc/fstab）中的选项和的issue_discards = 1设备部分/etc/lvm/lvm.conf，fstrim 即使通过 LVM、加密和 RAID 层也能正常工作。 有关在具有 LVM 和加密的 SSD 上配置修剪/丢弃的更多信息，请参见此处。

我们在 Ubuntu 9.10 上有一个 KVM 主机系统，它带有一个更新的四核 Xeon CPU 和超线程。正如英特尔产品页面所详述的那样，该处理器有 4 个内核，但有 8 个线程。/proc/cpuinfo 和 htop 都列出了 8 个处理器，尽管每个处理器都在 cpuinfo 中声明了 4 个内核。KVM/QEMU 还报告 8 个 VCPU 可分配给来宾。

我的问题是当我为 VM 来宾分配 VCPU 时，我应该按内核还是按线程分配？由于 KVM/QEMU 报告服务器有 8 个 VCPU 要分配，我是否应该继续设置来宾使用 4 个 CPU，而我之前将它设置为使用 2 个（假设总共有 4 个 VCPU 可用）？我想在不过度分配的情况下充分利用主机硬件。

更新： Chopper3 的回答无疑是正确的做法。但是，我仍然很想听听任何硬件专家的意见，他们可以阐明线程与内核的性能方面......有人吗？

我们有一个备份例程，之前在同一服务器上从一个磁盘运行到另一个磁盘，但最近将源数据移动到远程服务器并尝试通过 scp 复制作业。

我们需要在目标服务器上运行脚本，并且我们已经在两台服务器之间设置了基于密钥的 scp（不需要用户名/密码）。使用 scp 复制特定文件和目录效果很好：

scp -r -p -B [email protected]:/mnt/disk1/bsource/filename.txt /mnt/disk2/btarget/

但是，我们之前的例程会遍历源磁盘上的目录以确定要复制哪些文件，然后通过 gpg 加密单独运行它们。有没有办法只通过使用 scp 来做到这一点？

同样，此脚本需要从目标服务器运行，并且运行作业的用户对目标系统只有 scp（无 ssh）访问权限。

旧工作看起来像这样：

#Change to source dir
cd /mnt/disk1

#Create variable to store 
# directories named by date YYYYMMDD
j="20000101/"

#Iterate though directories in the current dir
# to get the most recent folder name
for i in $(ls -d */);
do
 if [ "$j" \< "$i" ]; then
  j=${i%/*}
 fi
done

#Encrypt individual files from $j to target directory
cd ./${j%%}/bsource/
for k in $(ls -p | grep -v /$);
do
 sudo /usr/bin/gpg -e -r "Backup Key" --batch --no-tty -o "/mnt/disk2/btarget/$k.gpg" "$/mnt/disk1/$j/bsource/$k"
done

谁能建议如何通过目标系统中的 scp 执行此操作？提前致谢。

编辑：我看到的所有 bash 单行线在这里飞来飞去，我有一半期待在几秒钟内看到一些史诗般的东西弹出 cat、grep，也许还有几个管道之间的“>>”或两个。呃，好吧。;-)

根据SANS和其他人的建议，以减轻哈希转储和其他攻击，我正在考虑使用组策略定义“调试程序”用户权限分配。未启用时，默认策略是允许本地系统和管理员具有此权限，我想从管理员中删除此权限（我们没有运行集群服务，据我了解，这是您的唯一原因） d 需要管理员才能拥有它）。

我想知道是否应该启用此设置并仅添加本地系统，或者仅启用该设置。即，本地系统是否出于任何原因需要此特权？

我们有一些大型 SATA 磁盘正在运行，我一直在考虑将它们放入 KVM 主机并安装 FreeNAS VM 来管理它们的想法。我将通过 LVM 将这些添加到主机，并且考虑到磁盘的总大小（~5TB），我可能需要直接使用 LVM 卷而不是 vm 磁盘的磁盘映像。

我的问题是：通过这种方式将 ZFS 安装在 LVM 之上，我是否会否定在 FreeNAS 上使用 ZFS 的好处？在这种设置中，我试图了解如何将冗余和纠错从硬件转换到 ZFS。

使用两个 pfSense 路由器，我在 2 个站点之间创建了一个共享密钥 VPN。两个路由器都是 pfSense 1.2.2。客户端站点的 pfSense 框是该站点的网关路由器，但在服务器站点，pfSense 不是该 LAN 的网关。客户端站点连接到服务器站点正常，我收到“初始化序列完成”日志消息，表明连接成功。

然后，从客户端站点，我可以使用客户端 LAN 上的任何机器在其 LAN 地址上 ping 服务器站点上的 pfSense 框（甚至通过 Web 界面对其进行配置，因此 VPN 至少适用于该地址）。我还可以 ping “接口 IP”（客户端配置）/“地址池”（服务器配置）IP 范围内的两个地址，它们是相同的私有子网，并且不在客户端或服务器 LAN 范围内。

问题是我无法访问服务器站点 LAN 上的任何其他 IP。我不需要能够从服务器站点访问客户端站点 LAN 上的机器，但我确实需要能够从客户端站点访问的不仅仅是服务器。目前，客户端 LAN 上的任何人都可以 ping 到服务器的 LAN 接口，客户端 LAN 上的任何人都可以从 pfSense 服务器本身 ping，但不能从服务器 LAN ping。我在服务器上的 LAN 接口防火墙规则上添加了 any <> any 规则。

如果我在服务器的 LAN 接口上捕获流量，我会看到从客户端 LAN 站点传递的数据包，但如果我嗅探，我看不到这些数据包进入服务器的 LAN。正如我所说，我在 LAN 接口上添加了一条规则以允许任何到任何如下，那么我还需要做什么来允许从隧道到 LAN 的流量，反之亦然？

更新： 我在客户端 pfSense 上添加了服务器 LAN 的推送路由，反之亦然。我还尝试升级到 pfSense 1.2.3 的 RC 并将 Opt1 接口设置为 tun0，然后在 opt1 和 LAN 之间添加允许规则。仍然没有运气。

更新 2：需要按照接受的答案中所述在服务器 LAN 上设置正确的路由，但我忽略了服务器 pfSense/OpenVPN 单元在 KVM 下作为来宾操作系统运行，而另一半问题是 IP 转发需要在主机操作系统的 /etc/ufw/before.rules 中启用。这就是我没有更彻底地解释设置的原因。

我们正在使用具有静态公共 IP 的 pfSense 防火墙。完全按照此处的说明将 TCP 端口 25 转发到 DMZ 上的邮件服务器。这对大多数发件人都很有效，并且电子邮件已成功转发到内部邮件服务器地址。

但是，一些合法发件人在防火墙的端口 25 上被阻止，而不是端口转发到电子邮件服务器。我知道 pfSense 即使在合法端口上也会阻止具有过期/不正确状态等的内容，但这是来自被阻止的已知电子邮件发件人的常规流量。状态表中不存在发件人的条目。我还查看了pfSense 端口转发故障排除指南，但没有运气。

我已经从有问题的外部发件人那里捕获了流量；它是带有 SYN 标志和良好标头校验和的 TCP 端口 25，肯定在外部接口被阻止，但看起来与正确转发的数据包没有什么不同。

这是被阻止发件人的日志条目：

pf: 2. 858929 rule 34/0(match): block in on fxp0: (tos 0x0, ttl 117, id 41529, offset 0, flags [DF], proto TCP (6), length 48) [blocked-sender-ip].34056 > [internal-dmz-email-ip].25: S, cksum 0x68f8 (correct), 3080958461:3080958461(0) win 65535 <mss 1460,nop,nop,sackOK>

还有一个看起来非常相似的成功发件人：

pf: 288804 rule 51/0(match):  pass in on fxp0: (tos 0x0, ttl 111, id 34646, offset 0, flags [DF], proto TCP (6), length 48) [successful-sender-ip].2474 > [internal-dmz-email-ip].25: S, cksum 0xcf9c (correct), 1409725583:1409725583(0) win 65535 <mss 1460,nop,nop,sackOK>

知道这里发生了什么吗？

我想设置两个不同的系统来监控网络流量，但我们的中央交换机上只有一个监视器/镜像端口可用。我希望我可以将两个系统作为单独的域安装在同一个 kvm 机器上，并将每个系统配置为侦听连接到交换机上的监视器/镜像端口的网络适配器。

有谁知道是否可以让 2 个虚拟机在混杂模式下共享同一个 NIC，以便每个虚拟机都可以嗅探网络上的流量？将监控端口连接到集线器（而不是交换机）以复制流量会更好吗？

我们最近将 NIDS 安装从 StrataGuard 移至新的 OSSIM 2.1 版本，以利用它提供的除 Snort 之外的附加功能（Nagios、ntop、Nessus/OpenVas 等）。到目前为止，我对 OSSIM 印象深刻，但也对所提供的复杂性和大量信息感到有些不知所措。

StrataGuard 使调整和配置规则变得非常容易，例如为给定规则排除或指定源/目标地址和端口的组合，我很难弄清楚如何从不同的事件中调整 OSSIM 中的规则源（Snort、rrd、arpwatch、directive_alert 等）。目前该文档非常稀少，似乎对此并没有多说。

我的问题是，我是否遗漏了什么，即我应该接近不同的水平吗？我是否应该只配置 Policy 和 Correlation 元素，让事件涌入，即使我知道它们是误报？或者是否有一种直接的方法来调整每个传感器的规则？

谢谢你的帮助。

更新： Linux Journal 上的一篇不错的评论文章已通过 AlienVault 网站提供，它比我看到的更深入地解释了关联过程，并对 OSSIM 系统进行了很好的整体评论。

2012 年 11 月更新：自从我发布这个问题（Icinga、ZenOSS 和 Splunk 按此顺序）以来，我们在 3 年多的时间里尝试了其他开源日志记录和/或监控解决方案，但没有得到任何满意，所以我最近又回来玩了与 OSSIM。它目前达到了 4.0 版，与以前的版本相比，这些工具总体上似乎有了很大的改进和更好的集成，尤其是在日志记录端。我发现 Alienvault 提供的“OSSIM Made Simple”网络研讨会非常有用，至少在将其设置为 syslog/OSSEC 存储库方面。仍在尝试处理镜像流量上 Snort/ntop 的规则和事件/警报相关性——我认为付费/非“社区”​​版本中的一些工具可能会使这更容易，但这不在我们的预算之内。

在 XP Pro 工作站中，有没有办法启动本机 Windows VPN 客户端并从命令行打开/关闭连接，以便可以在批处理文件中编写脚本？

目前，我们可以在批处理脚本中分两步使用 ntbackup 和 GPG 执行和加密 Windows 备份，如下所示：

ntbackup backup "@selection_file.bks" /f "backup_file.bak"
gpg --recipient "recipient" --encrypt "backup_file.bak" --output "encrypted_file" --yes --batch 

我想知道是否有任何方法可以结合这些步骤将备份直接输出到 GPG，而无需创建中间的未加密备份文件？

为了澄清，我正在寻找标准输入重定向或管道之类的东西

prog.exe | prog2.exe

在命令行中与 GPG 一起使用。谢谢你的时间。

在 Ubuntu 9.04 (Jaunty) 桌面上运行 pptp 客户端很容易：

sudo apt-get install network-manager-pptp

但是，我似乎找不到文档找到相应的 L2TP 客户端以远程连接到我们的 Windows VPN 服务器。我有一个来自我们离线 CA 的证书（pkcs12 格式，公钥/私钥+ CA 公共证书在一个文件中），在 Windows 中，我只需通过 MMC 证书管理单元安装，在本机客户端中选择 L2TP 连接，我很乐意去。

有人对在 Ubuntu 中设置 L2TP 有任何想法吗？或者我应该只使用 PPTP——我的理解是它比 L2TP 安全得多，但这仍然是真的吗？如果我坚持使用 PPTP，是否需要确保 EAP 身份验证？提前致谢。

我们有一个运行内部应用程序的 MS SQL 2000 数据库服务器（< 50 个并发用户、多达 100K 行的表、一些 Web、一些 .NET 客户端）。我们不打算花 $$ 升级服务器，并且正在尝试决定是将其保留在 SQL 2000 上还是迁移到 MySQL 5.1。我将 MySQL 用于较小的安装，并且一直很喜欢它。从我的角度来看，迁移的优点是我更喜欢在 MySQL 中编写查询而不是 MS SQL，而且我们可以负担得起运行最新版本的 MySQL。继续使用 MS 的优点是与我们的活动目录环境更好地集成以及更好的 .NET 互操作性。我很想听听其他人对此的建议，以及关于采取任何一种方式的进一步利弊。

请不要火焰，我喜欢 MS SQL 和 MySQL，并相信它们都有自己的位置。

我喜欢 OpenDNS，但想知道是否有人有将它部署到安装了 Exchange 的位置的经验。我特别担心他们所做的任何过滤是否会导致反向 DNS 查找出现问题，这可能会干扰服务器或反垃圾邮件（在我们的例子中为 GFI）安装。感谢您的任何见解。

编辑：为了跟进遇到这个问题的任何人，我继续将我们的 ISP 的 DNS IP 换成我们 LAN 的 DNS 转发器中的 OpenDNS——花了整整一分半钟——而且效果很好。我们最终只将我们的邮件和垃圾邮件服务器交换为指向 Google DNS 而不是 OpenDNS，只是因为我厌倦了在我们的 OpenDNS 报告中看到所有邮件查询，而且这种方式也很有效。

我们最终还为 Zimbra 和基于 Exim 的邮件过滤器/网关（ MailCleaner，出色的 BTW！ ）更换了我们的 Exchange/GFI 设置，并成功地在这些服务器上与 Google DNS 保持相同的安排，并将其他所有内容转发到 OpenDNS。

在 NAS 盒上安装新的 Jaunty 服务器时遇到问题，该服务器有 2 个 SATA 卡控制 6 个总磁盘。安装运行良好，但一旦完成并要求重新启动，我在启动时收到 Grub Error 2。我安装到哪个磁盘，或者我是否选择 LVM 似乎并不重要。一些研究表明我需要编辑 /boot/grub 中的文件，但是在修复模式下从 CD 引导时我无法挂载 /boot。

有什么专门针对 Jaunty 的提示吗？谢谢。