Charlweed's questions

我希望特定用户递归更改特定目录的所有内容的所有者和组，并且仅更改该目录。目录是一种“收件箱”，服务在其中写入文件和子目录。

目前，我有一个管理员sudo chown，但我希望目标所有者自己做，而不需要该用户拥有更多权限。假设原所有者是“headsman”，最终所有者应该是“audience”。两个用户都不在同一个组中。

sudo chown -R audience:watchers /usr/files/pathofdir 不太对，因为我不希望观众有无限的权限使用 chown。我的第一个猜测是尝试在 /usr/bin/chown 和 /usr/bin/chgrp 的许可下向 /etc/sudoers 添加“受众”。但这太权威了。

我想专门为观众编写一个脚本，但我不知道如何使该脚本具有正确的权限，仅此而已。

有什么好方法可以做到这一点？

TL;博士; 如何发现 Windows 上的 OCSP 响应有什么问题？

我正在尝试在本地 Exchange Server 2019 中安装新证书。但 Exchange 总是报告新证书未通过吊销检查并且不会使用它。新证书具有从新证书通过中间 CA 到我的根 ca 的信任链。当我在 certmgr.msc 中打开新证书时，我看到该链，并且所有证书在 certmgr 中都报告为 OK。我已将我的根 CA 安装到“受信任的根证书颁发机构”存储中。我已将中间 CA 安装到“中间证书颁发机构”存储中。

新证书的授权信息访问URL 指定了我自己的 OCSP 响应者。我知道这不是连接问题，也不是代理问题，因为我实时查看 OCSP 日志，并且我知道连接已建立，并且我的 OCSP 响应者发送证书“OK”。我在 linux 主机上使用 openssl-ocsp 进行了测试，当我使用以下 openssl 命令时，验证成功：

   openssl ocsp 
      -issuer "$ca_sub_cert_file" 
      -cert "$exchangeCert" 
      -resp_text 
      -CApath "$CA_ROOTS_HASHES_DIR" 
      -url "http://$hostNameFull:$ocsp_port/"

请注意，上面的 openssl 命令明确引用了issuer和CApath，这使得对中间 CA 的信任成为可能。在 Windows 上，我希望安装 root-ca 和中间 CA 会同样启用对 OCSP 响应的信任。但我不知道如何测试这个。

这应该不是必需的，但我还为 ocsp-responder “安装”了一个证书。我允许向导自动选择商店，但我找不到它放在哪里。当我在 certmgr.msc 中搜索它时，它不会出现。我没有手动安装它，因为我不知道我应该使用哪个商店。

我怀疑我的 openssl OCSP 响应者的响应对于 Exchange Server 2019 是错误的。我的理论是：

• 无法从新证书到我的根 CA 建立信任链
• 链已构建，但 ocsp-responder、中间 ca 或 root-ca 的证书之一不受信任。即使安装了intermediate-ca 和root-ca。
• openSSL 响应与 Windows 和/或 Exchange Server 2019 不兼容

如何检验上述理论？我搜索了 Windows 事件日志，但它们没有提及 OCSP 或撤销。

我有 CentOS 7，我想在我的根逻辑卷上安装 lvm 镜像。

使用“lvconvert -m3 cl_excalibur/root”创建两个镜像后，我有些恐慌，但它无法启动。当它是 raid1 时，逻辑卷不会在引导时激活。我从 liveUSB 启动，并使用“lvconvert -m0”将其转换回未镜像，一切似乎都很好。但我又回到了原点。我希望我必须使用 dracut -f --add<-drivers?> <name of the lvm raid kernel module>，但我不知道我需要的确切参数。

在启动失败期间，我在 dracut lvm 工具中尝试lvchange -ay cl_excalibur/root了 ，但 lvm 抱怨模块“dm-raid”不在内核中。所以这就是我认为我需要安装的。

我找到了文件 /usr/lib/modules/3.10.0-1062.1.1.el7.x86_64/kernel/drivers/md/dm-raid.ko.xz。但是，我不知道要使用哪个添加标志，也不知道如何从上面的文件名转到 dracut 所需的参数。

这个主机对我们的基础设施很重要，所以我还没有尝试过任何东西。我现在已经构建了一个虚拟 CentOS 7 服务器，因此我可以使用 dracut 和 grub2 进行破解，但我将不胜感激 :)

在 Linux 上，我想用 powershell 替换 bash 脚本。该脚本需要测试一个文件以确定它是否是符号链接。在 bash 中，可以使用-L运算符：

if [[ -L "/tmp/mysteryfile" ]] ; then ; echo "It is a link" ; fi

如何在 Linux 上的 powershell 中做同样的事情？

我有 Centos 7+ 系统，它们都使用 systemd。有时，在重要的系统更改之后继续进行的最佳方法是重新启动每个当前正在运行的服务。如果我每次重新启动每个服务，那么系统通常会保持在线状态，并且很容易看到出现的服务问题。所以我破解了这个小 bash 脚本，它重新启动每个正在运行的 systemd 服务，除了某些命名服务，我认为这些命名服务是保持机器在线的核心。

#!/bin/bash
set -e
set -u
running=$(systemctl list-units --type service | grep running \
    | grep -iv audit \
    | grep -iv disk \
    | grep -iv drive \
    | grep -iv getty \
    | grep -iv irq \
    | grep -iv libstoragemgt \
    | grep -iv lvm \
    | grep -iv multipath \
    | grep -iv polkit \
    | grep -iv storage \
    | cut -d' ' -f1)

for service in $running ; do
    echo "$service"
    systemctl restart "$service"
done

有几件事我希望更好：

• Grepping for "running" 是过滤正在运行的任务的粗略方法，多个管道非常昂贵。
• 使用cut真的很脆弱，当 systemd 的输出格式发生变化时会中断。
• systemctl restart启动失败时不会设置返回码，因此即使服务无法停止或启动，脚本也会继续运行。

有什么更好的方法可以做到这一点？

我有一个 Samba 4.6.2 samba ActiveDirectory 成员服务器。每个月左右，所有客户端都会失去连接到所有共享的能力。我可以通过离开域、删除机器帐户并重新加入域来解决此问题，但我必须每隔几周执行一次显然是错误的。我认为这是机器帐户密码过期问题，但运行 adcli update并没有帮助。我尝试更改机器密码过期的组策略，但这也无济于事。

• Centos 7.4.1708
• 桑巴 4.6.2
• sssd-krb5-1.15.2
• 固态硬盘 1.15.2-50
• 领域-0.16.1-9

客户端的错误消息是

"\\cheetoes is not accessible. You might not have permissions to use this network resource. Contact the administrator of this server to find out if you have access permissions.
Login Failure: The target account name is incorrect"

在服务器端，在启动时，log.smbd 包含：

[2018/05/09 12:03:41.622878,  0] ../source3/libads/kerberos_util.c:74(ads_kinit_password)
  kerberos_kinit_password CHEETOES$@HYMESRUZICKA.ORG failed: Preauthentication failed
[2018/05/09 12:03:41.622923,  1] ../source3/libads/sasl.c:821(ads_sasl_spnego_bind)
  ads_sasl_spnego_gensec_bind(KRB5) failed for ldap/true-companion.hymesruzicka.org with user[CHEETOES$] realm=[HYMESRUZICKA.ORG]: Preauthentication failed

每个客户端的日志显示：

[2018/05/09 12:06:58.259646,  1] ../source3/librpc/crypto/gse.c:646(gse_get_server_auth_token)
  gss_accept_sec_context failed with [Unspecified GSS failure.  Minor code may provide more information: Request ticket server cifs/CHEETOES.hymesruzicka.org@HYMESRUZICKA.ORG not found in keytab (ticket kvno 3)]
[2018/05/09 12:06:59.099902,  1] ../source3/librpc/crypto/gse.c:646(gse_get_server_auth_token)
  gss_accept_sec_context failed with [Unspecified GSS failure.  Minor code may provide more information: Request ticket server cifs/CHEETOES.hymesruzicka.org@HYMESRUZICKA.ORG not found in keytab (ticket kvno 3)]

在我重新加入后，我没有立即收到客户端故障，也没有在 log.smbd 中出现“Preauthentication failed”错误。我特别困惑为什么重新加入有效，但只是暂时的。

我的 openvpn 服务器在 CentOS 7 上运行，我有大约 20 个使用现代 IOS 设备的用户，其中一半使用 iOS 11。我们使用 python 生成 .ovpn 脚本，并使用 iTunes 配置 IOS OpenVPN 客户端，直到 Apple 破坏它。

从 iTunes 12.7 开始，所有用于管理应用程序的功能都已被删除。特别是，用户不能使用 iTunes 将文件加载到特定的应用程序中。这是将 ovpn 文件安装到 OpenVPN for iOS 中的推荐方法。较旧版本的 iTunes 保留此功能，但与 iPhone 5、iPad Air 之后的新设备不兼容。那么现在我该怎么办？我将尝试通过 apache http 提供服务，因为我看到一篇文章暗示您可以配置 MIME 元数据以让 iOS safari 在 OpenVPN 中打开文件。我从来没有见过这样的作品，所以我很怀疑。

还有其他想法吗？

我们在 Centos7 系统上遇到了一个小灾难。配置脚本中的错误将 /、/bin 和 /usr/bin 递归设置为 400 权限。这意味着基本命令（如 chmod、mount 和几乎所有其他命令）都是不可执行的。我很有信心我可以通过从 live-usb 启动来解决这个问题，但我必须做一个。此外，损坏的机器是我们的路由器，所以当它出现故障时，我们将无法访问互联网。

我有另一个带有 linux x64 二进制文件的盒子，用于 chmod、bash、mount 和其他文件，是否有一些巧妙的方法可以在不重新启动的情况下从 USB（或网络或其他）执行它们？