hayalci's questions

编辑 我认为过多的“拒绝”行会混淆 apache 以阻止未列出的 IPv4 地址。但是@Ladadadada 的评论让我查明了确切的问题。您可以在下面阅读我的旧问题。问题是，以下行：

deny from 42.1.0.0/19

阻止 IPv6 地址

2a01:4f8:120:8201::2
2a01:1e8:e100:ce::2

这怎么可能？

我有一长串被阻止的 IP 地址，由阻止中的Include指令激活Directory。

此文件仅包含 IPv4 地址，但我的服务器也阻止了有限数量的 IPv6 地址。它不会阻止所有 IPv6 流量。如果我删除这些块，那些 IPv6 地址就可以很好地访问服务器。

最初，块文件将每个 IP 块放在单独的“拒绝”行中。我尝试将它们中的每 40 个组合起来以减少规则数量和文件大小。它仍然没有帮助。但是当我将规则截断为 4-5 条拒绝线时，它按预期工作并且没有阻止 IPv6 地址。

这些是来自访问日志的示例日志。

2a01:4f8:120:8201::2 - - [03/Mar/2013:15:01:07 +0200] "GET /tdf/ HTTP/1.1" 403 387 "-" "MirrorBrain Probe (see http://mirrorbrain.org/probe_info)"

并从错误日志

[Sun Mar 03 15:01:07 2013] [error] [client 2a01:4f8:120:8201::2] client denied by server configuration: /mirror/pub/tdf/

如何列出大量“拒绝”指令？我无法控制机器的防火墙，所以这是不可能的。

我遇到了 smbpasswd、LDAP 后端服务器和 SSL/TLS 证书的问题。我运行 smbpasswd 的客户端机器是 Debian Etch 机器，Ldap 服务器是在 Solaris 上运行的 Sun DS。以下所有情况都发生在客户端上。

当我禁用 SSL 时，通过在 smb.conf 中设置“ldap ssl = no”，smbpasswd 程序可以正常工作。

当我设置“ldap ssl = start tls”时，smbpasswd 会打印以下消息，并且在它询问任何密码之前有很长的超时时间

Failed to issue the StartTLS instruction: Connect error
Connection to LDAP server failed for the 1 try!
..... long delay .....
New SMB password:
Retype new SMB password:
Failed to issue the StartTLS instruction: Connect error
Connection to LDAP server failed for the 1 try!
smbpasswd: /tmp/buildd/openldap2-2.1.30/libraries/liblber/io.c:702: ber_get_next: Assertion `0' failed.
Aborted

我用“ldapsearch -ZZ”进行了一些测试。起初它不起作用，但在我将 TLS_CACERT 行添加到 /etc/ldap/ldap.conf、/etc/libnss-ldap.conf 和 /etc/pam_ldap.conf 后，它开始工作。因此，所有这些文件中的相关 TLS 部分是：

ssl start_tls
tls_checkpeer no
tls_cacertfile /path/to/ca-root.pem
TLS_CACERT /path/to/ca-root.pem

但是 smbpasswd 程序继续给出错误。

我尝试使用以下内容创建 /etc/smbldap-tools/smbldap.conf 文件（在咨询 smbldap-tools 包的 debian 文档后）但正如我所见，smbpasswd 带有 samba-common 包并且不使用 smbldap-tools 的配置公用事业。

verify="optional"
cafile="/path/to/ca-root.pem"

我的问题是：如何设置 smbpasswd 程序使用哪个 SSL CA 证书？

我们想运行一个仅 SSL 的 lighttpd 进程。应该使用哪个配置选项来关闭端口 80 的未加密流量？

Lighttpd 文档仅提供对 https 流量的“重定向”，但我们希望端口 80 上完全静默。我们希望让 lighttpd 仅在 443 上侦听加密（https）流量。

更新[解决]

仅设置“ server.port = 443”没有帮助。SSL 配置为：

$SERVER["socket"] == "0.0.0.0:443" {
                  ssl.engine                  = "enable"
                  ssl.pemfile                 = "/etc/cert.pem"
}

这给出了错误。

can't bind to port: 0.0.0.0 443 Address already in use

删除条件 SSL 完全解决了问题，配置变为：

server.port                 = 443
ssl.engine                  = "enable"
ssl.pemfile                 = "myweb.pem"

SFTP 可能是使用最广泛的“ssh 子系统”。O'Reilly 这一章给出了更多的使用示例；它将子系统表示为可以使用的各种命令的“快捷方式”。

您如何使用此子系统功能？

是否有一种实用的方法可以将 ssh 密钥限制为子系统，可能替换 ssh 密钥的命令限制选项？

您使用什么软件进行中央网络管理？

我的意思是，您记录机器的名称、mac 地址、打开的端口和其他信息，程序会生成 DHCP、DNS 和防火墙配置片段，这些片段将包含在主配置文件中。

例如，中央网络管理器工具在配置文件中有以下字段：

machine1 | 10.0.0.22 | 01:23:45:67:89:ab | 80/tcp, 53/udp, 53/tcp | owner | room

这变成了三个文件，一个用于 DNS

machine1 IN A   10.0.0.22 ; owner , room

一个用于 DHCP

host machine1 { hardware ethernet 01:23:45:67:89:ab; fixed-address 10.0.0.22; } # owner , room

一个用于防火墙（Linux iptables 的示例）

-A mycustomchain -d 10.0.0.22 -p tcp --dport 80 -j ACCEPT  # machine1, owner, room
-A mycustomchain -d 10.0.0.22 -p udp --dport 53 -j ACCEPT # machine1, owner, room

手工编写代码并不太难，但是有没有好的现成解决方案和良好的记录？可能的优点：支持不同的 dns、dhcp、防火墙软件，具有类似插件的支持，可以将更新的配置复制到相关服务器并重新启动服务。

我正在寻找一种针对 Linux 系统的工具，但为了完整起见，欢迎使用仅限 Windows 或 BSD 的解决方案。