LinuxSecurityFreak's questions

我有一家小公司。之前对 NAS 解决方案知之甚少/经验不足。预算有点问题，我的预算上限是 40,000 捷克克朗 =~ 1800 美元。首先，最好告诉你我选择了什么解决方案：

Synology DS923+已插入：

• 首先我要说一下 UPS，我已经用了 3 个月了，它通过 USB 向 NAS 发送信号（这显然不属于预算的一部分）；
• 所包含的 RAM 数量简直是笑话，所以我给它配备了 2x 16 GB ECC 模块（不是来自 Synology）；
• 我需要大约 22 TB 来将之前的糟糕解决方案增加三倍，因此我选择了 4x 8TB HDD（不是来自 Synology）；
• 最后，我安装了 2x 1 TB M.2 NVMe（不是来自 Synology）。
• 1 Gigabit/s 的速度对我们来说已经足够了，所以我不需要购买 10 Gigabit 的扩展；
• （为了完整起见，我与 ISP 建立了对称连接，下行速度为 100 Mbit/s，上行速度也为 100 Mbit/s，并且路由器和主交换机都不是来自 Synology）。

至于设置，仅说明最重要的设置：

• 从我的主要 Linux 机器通过公共身份验证进行 SSH 访问；
• 通过 NFSv4.1 与上述 Linux 机器建立可靠、稳定的连接；
• 以前的方案只有2个4TB的RAID0，这次想了半天还是决定组了RAID5；
• 我很清楚我应该选择 RAID6，但我无法达到所需的容量，它比 RAID0 好一点，对吧..；
• 至于文件系统，我最终选择了 BTRFS 来尝试一下，它具有很好的功能..；
• 我已将这两个快速 M.2 NVMe 驱动器设置为卷的缓存，在 RAID1 中作为读写缓存。

我之前决定使用 RAID0 中的 M.2 作为非常快速的存储，现在我们开始吧：

• 我知道如何非正式地做到这一点，但我抵制住了，并首先尝试了缓存；
• 它实际上比我想象的更有帮助；
• 此 NAS 的用例非常广泛，从主要在本地网络内与其他人共享简单的文档到通过大量（合法）torrent使用来饱和我的上传链接；

结论：由于大量使用 torrent，如果我没记错的话，我相信使用那些 1 TB NVMe 是一个合乎逻辑的选择，但我倾向于验证我所不熟悉的东西。

至于我的问题的表述：

对于我们的 Synology NAS，使用 NVMe 驱动器作为缓存比作为存储更有意义吗（我知道，对于非 Synology 驱动器，这是非官方的）？感谢您阅读整个故事！我希望看到一些基于事实的答案。无论如何，感谢您的时间。

缓存命中率一般在95%左右，图片为：

根据我对我的基本理解，iptables我整理了以下旨在运行 Tor 中继的设置......这里大约是 6 小时后。请注意，我不想讨论任何 Tor 操作，所以我不会指向https://tor.stackexchange.com/谢谢。

端口 22 发生了大规模攻击，我醒来时发现了，所以我已经更改了它，密码验证已经被禁用，但是人/机器人无论如何都试图闯入，我有一个 8192 位长的 RSA public/私钥，所以我希望它就足够了。

# iptables -L -v --line-numbers

输出：

Chain INPUT (policy DROP 8242 packets, 735K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  any    any     anywhere             anywhere             ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2       10   452 DROP       all  --  any    any     anywhere             anywhere             ctstate INVALID /* protection: malformed packets */
3       20  1000 ACCEPT     all  --  lo     any     anywhere             anywhere             /* loopback: compulsory */
4        3    98 ACCEPT     icmp --  any    any     anywhere             anywhere             icmp echo-request limit: avg 2/sec burst 5 /* ICMP: ping only */
5    16625 9388K ACCEPT     all  --  any    any     anywhere             anywhere             ctstate RELATED,ESTABLISHED /* traffic */
6        7   420 ACCEPT     tcp  --  any    any     anywhere             anywhere             ctstate NEW,ESTABLISHED tcp dpt:xxyyzz /* SSH: global obfuscated */  <-- CENSORED
7      438 26080 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:9001 /* Tor: OR */
8      558 30828 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:9030 /* Tor: Dir */

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 16969 packets, 6369K bytes)
num   pkts bytes target     prot opt in     out     source               destination         

我想部署fail2ban，但我从未使用过它，所以我找到了几个指南来设置它，但我相信我们应该在这个网站上有一些例子，我确实发现了太多的结果，但与初始设置fail2ban无关?fail2ban

如果由于某种原因无法在此处完成，请发表评论，稍后我将删除此问题。

系统：Debian GNU/Linux 11 (bullseye)openssh-server用于 ssh 服务。

先感谢您！

PS：迁移自https://security.stackexchange.com/

大约 7 天前，我在https://www.mail-tester.com上发现有时（我在几天内尝试的 50%）我的公司电子邮件没有通过DMARC测试。正如它所说的那样，它不知道为什么，我现在很无助，也不真正了解发生了什么。

我收到这条消息：

DMARC 测试失败，但我们没有找到任何明显的原因。如果您最近修改了 DNS，请等待几个小时，然后再次测试。

为域_dmarc.vlastimilburian.cz找到 DMARC DNS 条目：

"v=DMARC1; p=reject; adkim=s; aspf=s"

验证详情：

• mail-tester.com; dkim=pass (1024-bit key; unprotected) header.d=vlastimilburian.cz [email protected] header.b=CefZgBpZ; dkim-atps=neutral
  

• mail-tester.com; dmarc=none header.from=vlastimilburian.cz
  

• mail-tester.com; dkim=pass (1024-bit key; unprotected) header.d=vlastimilburian.cz [email protected] header.b=CefZgBpZ; dkim-atps=neutral
  

• From Domain: vlastimilburian.cz
  

• DKIM Domain: vlastimilburian.cz
  

我有一个带有一个自定义域和一个电子邮件地址的ProtonMail 高级计划。我的域 DNS 受DNSSEC保护。

我也有 DKIM（DomainKeys Identified Mail - wiki）。

我的 SPF 记录非常失败：

v=spf1 include:_spf.protonmail.ch mx -all

奇怪的是，SPF和DKIM都通过了：

我在 3 天内没有修改我的 DNS，还有其他可能导致DMARC失败的原因吗？

2019 年 5 月 27 日更新

我收到了Mail-Tester.com工作人员的回复：

感谢您分享此链接。恐怕我还是不太明白那边的答案……基本上，它说一切正常，DMARC应该通过……不是吗？如果是这样，恐怕它没有多大帮助......我们使用著名的OpenDMARC库来分析 DMARC，当OpenDMARC说您的电子邮件没有通过 DMARC 而我们的自己测试没有发现什么问题。

这可能是OpenDMARC中的错误，我应该报告吗？

我现在尝试测试，它通过了。

此外，我向我的 Gmail 免费邮箱发送了一条消息，其中包含 PASS 结果：

由于我根本不懂网络，所以我必须向您提出一个非常简单的问题。

有人告诉我，我需要设置 SPF 记录，以最大程度地减少将我的业务大量电子邮件放入垃圾邮件文件夹的风险；除其他外我需要做的事情。我没有发送任何垃圾邮件或知道以它结尾，我只是想正确设置我的 DNS 记录。

我有一个相当长的列表，基本上是我的托管服务提供商用于他的邮件服务器的两个 IP 地址子网。

我读过我应该能够以我不知道的某种CIDR格式指定它们。

一个月前我已经设置了，但是我遇到了问题，有时我的 SPF 通过了，有时它在这个Mail-Tester中没有：

v=spf1 a mx ~all

但是由于邮件服务器名称解析为两个不同子网的多个 IP 地址。

我想缩短指定的 IP 地址列表。并使其更加灵活，因为它们可能会更改这些 IP 地址的最后一位。

我目前的想法是这样的：

v=spf1 a mx ip4:111.111.111.xxx/?? ip4:222.222.222.xxx/?? -all

解析：

1. 要指定 SPF 记录的版本：

   v=spf1
   

2. 要允许该域的 IP 地址为该域发送电子邮件：

   a
   

3. 要允许列为 MX 的服务器为该域发送电子邮件：

   mx
   

4. 第一个 IP 地址列表总是以 eg 开头111.111.111并以任何范围结尾：

   ip4:111.111.111.xxx/??
   

5. IP 地址的第二个列表总是以 eg 开头222.222.222并以任何范围结尾：

   ip4:222.222.222.xxx/??
   

6. 为不合规的被拒绝设置严格的行为：

   -all
   

问题是我应该在斜线后面放什么？24？

我打算在交付时预装 A05 BIOS 的 Dell PowerEdge T20 服务器上启用 LAN 唤醒功能。

启用后，服务器将关闭并立即自行启动。多达 3 次我不得不手动按下关机按钮才能最终关机。

但切中要害。令我惊讶的是，安装 BIOS 更新的推荐方法是从 Windows 内部。他们在其网站上仅提供 .exe 文件。

假设我有一个安装相当简单的 Linux 系统，如果没有其他方法，我可以安装 Windows。但是有吗？

4-Drive Software RAID1 vs RAID10 标题告诉你我在考虑什么。

硬件：2x 1TB 企业级 HDD + 2x 1TB 消费级 HDD。

操作系统和软件：Linux Debian Jessie (stable) with mdadm.

预期用途：极高的可靠性存储。不能承受数据丢失。这样的事情简直不能接受。这就是我考虑 RAID1 而不是 RAID10 的原因，因为 RAID1 的容错应该是 3 驱动器故障。

我看到了一个缺点：将全局存储大小限制为 1/4。疯狂的。

除了我可能已经做出的决定 RAID1 与 RAID10 之外，RAID1 就是，除非你另有建议，否则我有一个关于 RAID1 的问题：

假设我被限制为 4 个驱动器，我将使用 RAID10 的可能性有限，而不是 RAID1，我可以定义 3 个活动驱动器和第 4 个作为备用驱动器。或者直接定义活动的 4 个 HDD。

请告诉我你的想法？

情况：

我在服务器 (Linux Debian 8.5) 上有一个 3 驱动器 (SSD) 软件 RAID5 ( mdadm) 阵列 (SATA)，仅用于数据。我需要暂时移除这些驱动器，以便对其他驱动器执行某些操作。

问题：

1. 正确的程序是什么？是否像停止所有相关服务、卸载阵列并停止它一样简单？我可以安全地这样做，然后在服务器运行时拔下驱动器吗？
2. 我是否必须记住哪个驱动器已连接到哪个 SATA 端口？
3. 将这些驱动器放回原处后，是否必须重新启动才能再次启动阵列？

我在 Windows Server 2012 R2 上，尝试连接到一台 Hyper-V 虚拟机。

由于虚拟磁盘系统限制，请求的操作无法完成。在 NTFS 上，虚拟硬盘文件必须是未压缩和未加密的。在 ReFS 上，虚拟硬盘文件不得设置完整性位。

好吧，我承认我确实压缩了这个特定 VM 的 NTFS 文件系统。

它包含旧的 Windows XP，因为我们的一些软件与新版本不兼容。我们将它用于旧软件，我们尽快需要它。

它一直工作到现在。

我们拥有的，可能有用的：

• 具有讽刺意味的是，足够的磁盘空间可以容纳两次从该 VHDX 未压缩的所有内容
• 有限 RAM：每台服务器 16GB
• Linux Debian 8.5 服务器（无头，但我可以启用 Cinnamon GUI 并通过 TeamViewer 连接）
• 千兆网络

问题：

如何连接到压缩的 NTFS 存储以解压缩它以使其再次工作？

编辑1：

• 在 Windows 8.1 上，如果我尝试通过计算机 -> 管理 -> 存储 -> 磁盘管理 -> 菜单操作 -> 附加 VHD 安装它：

  由于虚拟磁盘系统限制，请求的操作无法完成。在 NTFS 上，虚拟硬盘文件必须是未压缩和未加密的。在 ReFS 上，虚拟硬盘文件不得设置完整性位。

• 在 Windows 8.1 上，如果我尝试使用 StarWind V2V Converter 打开 VHDX 文件：

  打开文件时出错 (2) [0]

• 在 Windows 7 上，如果我尝试以与 8.1 相同的方式安装它：

  文件或目录已损坏且无法读取

• 在 Windows 7 上，如果我尝试使用 StarWind V2V Converter 打开 VHDX 文件：

  打开 VHDX 磁盘映像文件时出错。Windows 8 及更高版本支持的 VHDX 格式

编辑2：

通过libguestfs-tools在 Linux Mint 17.3 上安装如下：

sudo apt-get install libguestfs-tools

我现在可以按如下方式安装它：

sudo guestmount -a thevirtualdisk.vhdx -i /mnt/anydirectory

但到目前为止我不知道如何清除 NTFS 压缩属性（？）

域名：burian-server.cz

我试过的：

user@pc ~ $ curl -v -3 -X HEAD https://burian-server.cz
* Rebuilt URL to: https://burian-server.cz/
* Hostname was NOT found in DNS cache
*   Trying 192.168.0.102...
* Connected to burian-server.cz (192.168.0.102) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* Unknown SSL protocol error in connection to burian-server.cz:443 
* Closing connection 0
curl: (35) Unknown SSL protocol error in connection to burian-server.cz:443 

与我的另一个域sslhosting.cz相比，在不同的主机上运行：

user@pc ~ $ curl -v -3 -X HEAD https://sslhosting.cz
* Rebuilt URL to: https://sslhosting.cz/
* Hostname was NOT found in DNS cache
*   Trying 88.86.120.114...
* Connected to sslhosting.cz (88.86.120.114) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS alert, Server hello (2):
* error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
* Closing connection 0
curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

一位测试人员告诉我，我“可能”并不容易受到攻击，对此我不太了解。

由于上述输出存在明显差异，我怀疑我可能错误地配置了我的 Apache 服务器。

我有一个 LAMP 网络服务器，上面有https://sslhosting.cz/域。

首先，我附上了一个通用的 Let's Encrypt 配置文件，我根据需要对其进行了更改：

/etc/letsencrypt/options-ssl-apache.conf

# Baseline setting to Include for all Let's Encrypt SSL sites


SSLEngine               on


# Intermediate configuration, tweak to your needs
SSLProtocol             all -SSLv2 -SSLv3
SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDH$
SSLHonorCipherOrder     on
SSLCompression          off
SSLOptions              +StrictRequire


# Add vhost name to log entries:
LogFormat               "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined
LogFormat               "%v %h %l %u %t \"%r\" %>s %b" vhost_common


#CustomLog              /var/log/apache2/access.log vhost_combined
#LogLevel               warn
#ErrorLog               /var/log/apache2/error.log


# Always ensure Cookies have "Secure" set (JAH 2012/1)
#Header                 edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*;)?(.*)) "$1; Secure$3$4"


# HSTS = HTTP Strict Transport Security
Header                  always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" env=HTTPS
Header                  always set X-Frame-Options DENY


# OCSP Stapling
SSLCACertificateFile    /etc/apache2/certificates/letsencrypt-crosssigned-stapling.pem
SSLUseStapling          on

我是否需要在 Virtualhost 中为 HTTPS 网站配置端口 80？请注意，我希望将 HTTP 重定向到 HTTPS。

遵循特定的网站配置：

/etc/apache2/sites-available/sslhosting.cz-le-ssl.conf

<VirtualHost *:80>

  ServerName             sslhosting.cz
  ServerAlias            www.sslhosting.cz

  RewriteEngine          on

  RewriteCond            %{HTTPS} !on
  RewriteRule            ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]

  RewriteCond           %{HTTP_HOST} ^www\.sslhosting\.cz
  RewriteRule           ^(.*)$ https://sslhosting.cz/$1 [R=301,L]

</VirtualHost>


<IfModule mod_ssl.c>

        <VirtualHost *:443>

                ServerAdmin     [email protected]

                ServerName      sslhosting.cz
                ServerAlias     www.sslhosting.cz

                DocumentRoot    /var/www/sslhosting.cz/public_html
                ErrorLog        ${APACHE_LOG_DIR}/error.log
                CustomLog       ${APACHE_LOG_DIR}/access.log combined

                SSLCertificateFile      /etc/letsencrypt/live/sslhosting.cz/fullchain.pem
                SSLCertificateKeyFile   /etc/letsencrypt/live/sslhosting.cz/privkey.pem

                Include         /etc/letsencrypt/options-ssl-apache.conf

        </VirtualHost>

        SSLStaplingCache        shmcb:/tmp/stapling_cache(128000)

</IfModule>

现在，问题：

我是否需要在 LAMP 中为 HTTPS 网站配置端口 80？

如何验证 OCSP 装订是否正常工作？

设置：LAMP with Let's Encrypt，测试域https://pavelstriz.cz/

高科技桥结果显示 OCSP 已启用

这足以让我相信 OCSP 设置正确吗？

谢谢你。

我在 Linux Debian Jessie 8.4 上。

我已经建立了一个网络服务器。它似乎运行良好。

我只是想知道，如果我需要以下防火墙规则才能使 HTTP（S）服务器正常运行。

iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 10100 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

服务器位于路由器后面。不转发端口 22。10100 用于被动 FTP

谢谢你。

我是否需要ntpd运行 Linux Debian 8.3 的 LAMP 服务器上的守护程序/服务？

我已经禁用了一些明显的服务，但我不确定这个。