x3nr0s提出的问题 -server

x3nr0s

Asked: 2020-11-05 10:00:28 +0800 CST

Windows 更新在 Azure Windows Server 2019 VM 上显示“某些设置由您的组织管理”

2

这是 2020 年 5 月在 Azure 上创建的 Windows Server 2019。它是一个独立的服务器。在“设置”>“更新和安全”>“Windows 更新”中，我看到消息“某些设置由您的组织管理”。当我单击“查看配置的更新策略”时，我看到我的设备上设置了策略：

Automatically download updates and install them on the specified schedule
Source: Administrator
Type: Group Policy

Set Automatic Update options
Source: Administrator
Type: Group Policy

我打开了本地组策略编辑器并导航到计算机配置 > 管理模板 > Windows 组件 > Windows 更新。所有这些设置都设置为“未配置”。

接下来，我检查了计算机是否在某种域中。

systeminfo说DOMAIN是 'WORKGROUP'。
我跑了dsregcmd /status，看到AzureAdJoined、EnterpriseJoined、DomainJoined都是“否”。
使用gpresult /r提升的命令提示符，我可以看到在计算机设置和用户设置中，都没有应用组策略。

那么这些 Windows 更新策略从何而来？我在这里看到了类似的问题，但没有答案。

x3nr0s

Asked: 2020-08-28 02:23:03 +0800 CST

NGINX 服务轮换不使用新的日志文件

3

我对任何告诉 nginx 使用新日志文件的命令都有问题。我正在使用 Ubuntu 18.04、nginx/1.14.0、logrotate 3.11.0

如果我手动或通过 logrotate 在 /var/log/nginx 中创建新文件access.log或error.log文件，它们不会被使用，而是服务使用旧的日志文件（我已将其重命名为access.log.1用于此测试，模拟 logrotate 的作用。）

我已经尝试了以下命令（单独）。它们都不会产生任何错误消息，它们都会产生预期的输出。但是 nginx 拒绝停止使用旧日志。

service nginx rotate

invoke-rc.d nginx rotate

kill -USR1 `cat /var/run/nginx.pid`

我还验证了上述.pid文件在正确的位置。

我能够让日志轮换工作的唯一方法是通过 a service nginx reload，它可以完成这项工作，但也会重新加载配置文件。我知道重新加载没有停机时间，但我仍然希望尽可能少地重新加载，这就是我想要开始service nginx rotate工作的原因。

我几乎可以肯定这是由于/var/log. 最近我们设置了一个 cronjob 来确保日志文件具有安全的权限。这是为了进行审计，因为这家渗透测试公司就日志记录提出了各种安全措施。我们设置的 cronjob 在启动时运行：

#!/bin/bash
  
setfacl -Rm u::rwx,g::r--,o::--- /var/log
find /var/log -type f -exec chmod g-wx,o-rwx "{}" + -o -type d -exec chmod g-w,o-rwx "{}" +
chmod g+wx /var/log

chown -R www-data:adm /var/log/nginx

下面是运行cronjob后相关目录和文件的权限：

/var/log 目录本身：

drwxrwx--- 14 root syslog  4096 Aug 27 10:01 log

/var/log/nginx 目录本身：

drwxr-----  2 www-data  adm               4096 Aug 24 02:25  nginx

以及 /var/log/nginx 的内容（我们在 nginx conf 中使用自定义命名日志）：

-rwxr----- 1 www-data adm     0 Aug 24 02:24 access.log
-rwxr----- 1 www-data adm   108 Aug 24 02:24 error.log
-rwxr----- 1 www-data adm 49317 Aug 27 10:11 x3nr0s.access.log
-rwxr----- 1 www-data adm   798 Aug 27 10:02 x3nr0s.error.log

如果我们运行logrotate --force /etc/logrotate.d/nginx -v（详细），甚至是手动touch创建新文件，它们会被创建为 640 权限（根据 logrotate 的配置文件）。根据我的阅读，640 就足够了：

-rwxr----- 1 www-data adm     0 Aug 24 02:24 access.log
-rw-r----- 1 www-data adm     0 Aug 27 10:13 error.log
-rwxr----- 1 www-data adm  1972 Aug 27 10:13 error.log.1
-rw-r----- 1 www-data adm     0 Aug 27 10:13 x3nr0s.access.log
-rwxr----- 1 www-data adm 51521 Aug 27 10:13 x3nr0s.access.log.1
-rw-r----- 1 www-data adm     0 Aug 27 10:13 x3nr0s.error.log
-rwxr----- 1 www-data adm   798 Aug 27 10:02 x3nr0s.error.log.1

如您所见，新文件保持为空，并且日志记录继续到旧文件。我还验证了详细的 logrotate 输出，关于 postrotate 部分似乎一切正常。（运行invoke-rc.d nginx rotate。正如我之前提到的，这个命令似乎没有旋转任何东西......）

作为最后一个测试，我尝试授予用户对新文件的执行权限，并执行了service nginx rotate. 尽管如此，nginx 仍然使用旧文件。其他一些答案提到检查磁盘空间是否已满。它不是。

非常感谢您的帮助！谢谢。

更多信息

这是我的 /etc/logrotate.d/nginx 配置：

/var/log/nginx/*.log {
        daily
        missingok
        rotate 14
        compress
        delaycompress
        notifempty
        create 0640 www-data adm
        sharedscripts
        prerotate
                if [ -d /etc/logrotate.d/httpd-prerotate ]; then \
                        run-parts /etc/logrotate.d/httpd-prerotate; \
                fi \
        endscript
        postrotate
                invoke-rc.d nginx rotate >/dev/null 2>&1
        endscript
}

如上所述，我让 logrotate 和 nginx 正确处理新日志文件的唯一方法是将postrotate部分替换为service nginx reload.

这是输出ps -ef | grep nginx：

root      1367     1  0 10:45 ?        00:00:00 nginx: master process /usr/sbin/nginx -g daemon on; master_process on;
www-data  1368  1367  0 10:45 ?        00:00:00 nginx: worker process
www-data  1369  1367  0 10:45 ?        00:00:00 nginx: worker process
www-data  1370  1367  0 10:45 ?        00:00:00 nginx: worker process
www-data  1371  1367  0 10:45 ?        00:00:00 nginx: worker process
root     15247 14835  0 11:19 pts/0    00:00:00 grep --color=auto nginx

这是getfacl/var/log 上的：

# file: var/log
# owner: root
# group: syslog
user::rwx
group::rwx
other::---

这是getfacl/var/log/nginx 上的：

# file: var/log/nginx
# owner: www-data
# group: adm
user::rwx
group::r--
other::---

x3nr0s

Asked: 2016-01-15 06:06:37 +0800 CST

在 Puppet 中，“包含”和“类”有什么区别？

10

我可以写

include '::ntp'

或者我可以写

class { '::ntp':}

它们之间有什么区别，还是我都需要？

x3nr0s

Asked: 2015-09-04 01:52:13 +0800 CST

如何找到我在 Windows Server 2012 上安装的 WSUS 版本？

0

我正在尝试使用 powershell 自动化 WSUS，但是要做到这一点，我需要知道安装了什么版本。我如何找到这些信息？

服务器使用的是 Windows Server 2012 R2 Standard。谢谢。

x3nr0s

Asked: 2015-08-27 07:18:28 +0800 CST

为什么我的 WSUS 服务器本身出现在 WSUS 控制台的“未分配的计算机”中，即使它位于 Active Directory OU 中？

-1

我通过组策略将我的 WSUS 链接到 Active Directory。我的 WSUS 服务器包含在 Active Directory 上的“服务器”OU 中。我在这个 OU 中有多个服务器。

但是，一旦我查看 WSUS 控制台，WSUS 服务器本身已被放置在“未分配的计算机”文件夹中。OU 中的所有其余服务器都已放置在 WSUS 控制台内的“服务器”文件夹中。

有谁知道为什么会这样？我在 WSUS 服务器上运行了 gpupdate /force，并仔细检查了它是否确实位于 Active Directory 上的正确 OU 上。

提前致谢。

Windows 更新在 Azure Windows Server 2019 VM 上显示“某些设置由您的组织管理”

NGINX 服务轮换不使用新的日志文件

在 Puppet 中，“包含”和“类”有什么区别？

如何找到我在 Windows Server 2012 上安装的 WSUS 版本？

为什么我的 WSUS 服务器本身出现在 WSUS 控制台的“未分配的计算机”中，即使它位于 Active Directory OU 中？

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

x3nr0s's questions