主页 / user-30839

luison's questions

Martin Hope
luison
Asked: 2013-05-03 03:55:09 +0800 CST
  • 0

堆栈尝试将配置从 Linux 迁移到 Windows Apache 2.2(通过 WAMP)

我们正在尝试设置一个 ENV Apache 变量以用作 DocumentRoot 和此后的其余指令,以便我们可以在服务器和开发人员的本地工作副本上使用相同的 confs 集。

在 Debian Linux Apache 中,我们有一个加载了“EXPORT”指令的 envvars 文件。这在 Windows 上不起作用,但

Setenv ROOT_TO_FILES "C:/wamp/www/test"

似乎按照 phpinfo() 显示的那样工作

但是当我们在虚拟主机的 DocumentRoot 指令中使用它时:

DocumentRoot ${ROOT_TO_FILES}

Apache 在其自己的根目录下查找该文字文本。

这是我们在 Linux 中使用它的方式,但我们也尝试过 env=ROOT_TO_FILES 的语法

apache 文档似乎很清楚如何“定义”而不是如何使用。我还看到 Apache 2.4 包含一个新的“Define”指令,它似乎正是这样做的,这让我认为这在以前的版本中可能是不可能的。

在 Windows Apache 下使用的任何示例将不胜感激。

apache-2.2
Martin Hope
luison
Asked: 2013-03-10 11:45:08 +0800 CST
  • 1

一段时间以来,我们一直在虚拟化 (OpenVZ) 环境中成功使用 CSF,结合 venet 和桥接接口,因此我们可以使用公共 IP + 本地寻址虚拟系统。

Kernel IP routing table
Destination       Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.100        0.0.0.0         255.255.255.255 UH    0      0        0 venet0
xxx.xxx.xxx.24    0.0.0.0         255.255.255.255 UH    0      0        0 venet0
xxx.xxx.xxx.0     0.0.0.0         255.255.255.0   U     0      0        0 vmbr0
10.0.0.0          0.0.0.0         255.255.255.0   U     0      0        0 vmbr10
0.0.0.0           xxx.xxx.xxx.254 0.0.0.0         UG    0      0        0 vmbr0

我们通过 iptables 规则路由“本地”ips 的流量:

iptables -t nat -A POSTROUTING -s "10.0.0.0/24" -o vmbr0 -j MASQUERADE

/proc/sys/net/ipv4/ip_forward 值显然设置为 1

主机和 venet 联网机器运行它们自己的 CSF 安装,该安装为此设置创建所有防火墙规则,其中包括创建“重定向”到内部 IP 的可能性。

有了这个,我们可以打开主机 IP 上的特定端口,这些端口由本地网络上的本地内部虚拟机提供服务。CSF 创建的一长串防火墙规则包括:

Chain PREROUTING (policy ACCEPT 53M packets, 15G bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DNAT       tcp  --  !lo    *       0.0.0.0/0            XXX.XXX.XXX.184      tcp dpt:5100 to:10.0.0.100:5000 

Chain POSTROUTING (policy ACCEPT 9700K packets, 615M bytes)
num   pkts bytes target     prot opt in     out     source               destination         

3        0     0 SNAT       tcp  --  *      !lo     0.0.0.0/0            10.0.0.100          to:XXX.XXX.XXX.184 
8       10   600 MASQUERADE  all  --  *      vmbr0   10.0.0.0/24          0.0.0.0/0

CSF 防火墙上的重定向功能有效,但报告的 IP 是主机 IP,而不是原始 IP,因此我们不能用目标虚拟系统上的另一个 CSF 实例(或简单的防火墙规则)来限制它。我们知道,在 PREROUTING 上,它们也不能限制在主机 CSF 上。

CSF 自述文件实际上指出“所有到另一个 IP 地址的重定向将始终出现在带有该服务器源的目标服务器上,而不是原始 IP 地址。” 所以这是一个标准功能。

CSF 支持一个 postrules.sh 文件,我们可以在其中手动包含 NAT 规则,但我们不确定是否可以使用 IPTABLES SNAT 和/或 DNAT 将“真实”源 IP 传递到 NAT IP 的目的地。

iptables
Martin Hope
luison
Asked: 2010-04-10 10:08:23 +0800 CST
  • 0

我们正在使用 Proxmox VE (OpenVZ + KVM) 服务器进行虚拟化。我们的防火墙计划是让 CSF ( http://configserver.com/cp/csf.html ) 在主机上运行,​​因为我们过去在这方面有相当好的经验。

除此之外,我们在 VM 机器(主要是具有相同内核的 OpenVZ 容器)上计划了简单的防火墙规则,并且可能会使用 fail2ban 简单的特定规则。

我会很感激任何有类似经历的人的评论?

我知道所有流量都来自主机,因此那里的组合防火墙与 VM 上的特定防火墙应该可以工作,尽管一些 iptables 规则很难在 OpenVZ 容器上工作。

firewall openvz
Martin Hope
luison
Asked: 2010-02-24 02:51:26 +0800 CST
  • 1

在将我的 Ubuntu 服务器 p2v 迁移到我与之堆叠的 OpenVZ 容器失败后,我想我会尝试基于 Ubuntu 9.10 的干净 OpenVZ 模板重新安装(来自 OpenVZ wiki)

当我尝试在 VM 机器上加载我的 iptables 规则时,我遇到了一些错误,我认为这些错误与未从 /vz/XXX.conf 模板模型加载到 VM 上的内核模块有关。

我一直在测试我发现的一些帖子,但我遇到了错误:

WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Could not load /lib/modules/2.6.24-10-pve/modules.dep: No such file or directory
iptables-restore v1.4.4: iptables-restore: unable to initialize table 'raw'

Error occurred at line: 2
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

我读到了模板没有加载所有 iptables 模块,所以我将模块添加到 VZ 虚拟机的 XXX.conf 中,如下所示:

IPTABLES="ip_tables iptable_filter iptable_mangle ipt_limit ipt_multiport ipt_tos ipt_TOS ipt_REJECT ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_LOG ipt_length ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_conntrack ipt_state ipt_helper iptable_nat ip_nat_ftp ip_nat_irc"

由于错误仍然存​​在,我读到我应该在虚拟机上再次构建依赖项:

depmod -a but this returned an error:

WARNING: Couldn't open directory /lib/modules/2.6.24-10-pve: No such file or directory
FATAL: Could not open /lib/modules/2.6.24-10-pve/modules.dep.temp for writing: No such file or directory

因此,我再次阅读了有关创建空目录并重做“depmod -a”的内容。

我现在没有得到依赖项错误,但得到了这个,我不知道如何继续:

WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Module ip_tables not found.
iptables-restore v1.4.4: iptables-restore: unable to initialize table 'raw'

Error occurred at line: 2
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

我知道虚拟机上的 iptables 规则必须不同,也许我们尝试应用的一些规则(来自我们的物理服务器)不兼容,但这些只是我希望能够进行的源 IP 和目标端口检查有可用的。我听说在 CentOS 模板上没有问题,所以我理解是与 VM 配置有关。

任何帮助将不胜感激。

linux iptables openvz kernel-modules ubuntu-9.10
Martin Hope
luison
Asked: 2010-02-12 10:49:38 +0800 CST
  • 3

我们正在尝试为两台服务器之间的备份实现安全的 rsync。我们正在尽一切努力避免在两个系统之间没有密码的情况下进行 root 访问,如果有的话,只需为特定用户执行此操作。

我了解这与备份文件的权限有关。我在 serverfault这个网站上读过关于使用 fakeroot 和 SSH 服务器的“PermitRootLogin 强制命令”选项,但仍然无法从安全角度确定什么是最合乎逻辑和合理的选项看法。我们不希望 root 用户在没有密码的情况下自动在另一台机器上拥有 root 访问权限。不确定我们是否只是对它偏执,但我认为这是很常见的事情,任何反馈都会受到赞赏。

  • PermitRootLogin 强制命令仅带有一对没有密码的密钥是否足够好?这是否需要目标服务器(即 rsync)上允许的命令的特定列表?
  • fakeroot 选项会起作用吗(在我们的例子中主要是数据备份),如果是这样......它如何与 rsync 命令结合使用?
  • 我们能否在两个系统上都有一个具有足够权限的 rsync 用户,以便无密码 ​​rsync 可以正常工作?

非常感谢。

rsync root
Martin Hope
luison
Asked: 2010-02-07 09:10:17 +0800 CST
  • 2

我们是虚拟化新手,我们正计划将我们的在线服务器变成虚拟化服务器,主要用于维护、备份和恢复改进。

最初,我们只有一个带有负载的真实虚拟系统以及 1-3 个用于测试和恢复的副本,可能还有一个小型集中式 syslog 虚拟机。如果可能,我们希望主机包含一个 iptables 和 rsync 以备份到其他机器和其他一些全局安全系统。

由于这一点以及我们的托管供应商的产品,我们主要考虑 Proxmox 的简单性(我们喜欢它的 Web 管理面板的想法),而且我也理解 OpenVMZ 系统的容器方法可能非常适合我们的设置。基本系统带有 debian,因此我们可以根据需要对其进行个性化设置。

Proxmox 安装默认为 VM 安装 LVM 分区。考虑到以下情况,我们怀疑什么是最好的分区结构:

  • 我们想要一个根分区的镜像,如果需要,我们可以从中引导(我们的提供商支持通过控制面板从另一个分区引导系统)
  • 理想情况下,我们希望有一个可以在 VM 系统之间共享的分区。我们仍然不知道这是否可以直接使用 OpenVMZ 容器,否则我们正在考虑通过主机上的 NFS 共享它来实现这一点。
  • 我们想使用 proxmox 主机管理员上可用的备份系统对 VM 备份进行编程,然后将其 rsync 到另一台机器。

有了这个基于 aprox (750Gb) 的 Linux Raid,我们正在考虑类似的东西:

ext3_1/             - (20Gb)
ext3_2/bak_root     - (20Gb) mostly unmounted, root partition sync
LVM_1 /var/lib/vz   - (390Gb) partition for virtual images 
LVM_2 /shared_data  - (30Gb) 
LVM_3 /backups      - (300Gb) where all backups would be allocated

我们对 Proxmox 的初始测试似乎存在这样的快照备份问题,这可能是由于它们无法对另一个 LVM 分区完成(错误:命令 'lvcreate --size 1024M --snapshot --name vzsnap-ns204084. XXX.net-0 /dev/pve/LV' 失败,退出代码为 5),在这种情况下,我们可能必须使用标准 ext3 分区(但不确定我们是否可以在 4 个主分区限制下做到这一点)。

  • 这或多或少有意义吗?
  • 例如,将虚拟机 /var/logs 写入 NFS 安装的分区(在主机系统上)会很疯狂吗?
  • 他们还有其他更简单的方法可以将主机系统分区(或文件夹)挂载到虚拟机吗?
virtualization nfs lvm virtual-machines openvz
Martin Hope
luison
Asked: 2010-02-04 01:38:08 +0800 CST
  • 5

我们想设置一个内部办公服务器来测试作业 (LAMP)、电子邮件和 samba。只有大约 5-10 个用户。我们也在考虑开始虚拟化,最初是通过带有 Xen 或 VMWare 开源服务器的基本 Ubuntu 服务器。我们当前的系统使用 Linux Raid 运行,它运行良好,但是当一个驱动器发生故障时恢复引导扇区总是很复杂,因此我更喜欢现在使用硬件 RAID,但理想情况下使用某种软件监控。出于这个原因,考虑到我们不想花一大笔钱,我将不胜感激对以下选项的任何评论。

  • 带有 RAID 并支持 Linux 的主板...您可以推荐一下。
  • 主板+硬件Raid卡...
  • Adaptec 似乎没有很好的 Linux 支持。
  • 3Ware 似乎有一个我们在托管公司上使用过的 tc 软控制器,但在西班牙很难找到。
  • HP Proliant 型基本服务器,哪个?
  • 戴尔小型服务器...对 Linux 有什么好处?

提前感谢您的任何反馈。

hardware linux raid