Jordan Reiter's questions

我的后缀配置为inet_interfaces = all.

以下所有工作：

telnet localhost 25
telnet 172.34.56.78 25 # local IP
telnet 34.56.78.90 # public IP
telnet example.com # domain name

最后三个可以在专用网络中的任何服务器上运行。但是，如果我从专用网络外部尝试最后两个（公共 IP、域）中的任何一个，都不会发生任何事情。

这是在 AWS 上，但我添加了一个安全组，允许来自我的开发计算机的所有流量，但我仍然无权访问。

这是 netstat 的输出：

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:25                  0.0.0.0:*                   LISTEN      12345/master        

我猜有一个我不知道的设置限制只访问我的网络中的计算机？

或者这可能是我不知道的 AWS 的一个隐藏问题？

我想在启动时运行一个脚本，而无需将其作为命令实际添加到 rc.local，只需将脚本复制到某处即可。

我知道理论上我可以将它放入 /etc/init.d 但这确实是用于服务，而不是应该在启动时运行的脚本。

我也知道 cron@reboot选项，但我真的更喜欢我只需将脚本复制到目录然后就可以忘记它的东西。

基本上，以同样的方式，您可以将文件放入 /etc/cron.daily 或 /etc/logrotate.d 我想知道是否有一个等效的文件夹，您只需放入一个文件并在启动时运行。

如有必要，我愿意为您安装一个程序，只要它是稳定的。

我有一个运行 IIS（看起来像版本 6.1，SP 1）和 ColdFusion 11 的虚拟网站。

当我以http://something.example.org/访问使用 ColdFusion 模板 (index.cfm) 的页面时，该页面会正确显示。但是，当我请求http://something.example.org/index.cfm时，它会导致 404。

同一服务器上的另一个虚拟网站运行正常， http: //other.example.org和http://other.example.org/index.cfm均成功返回

由于我刚刚建立了这个新网站，我想知道是否还有一个我只是缺少的附加设置可以防止此错误发生。

DefaultDocument 绝对不涉及，因为例如http://something.example.org/foo.cfm即使根文件夹中存在 foo.cfm 也会导致 404。同时，它在同一个文件夹中找到了 foo.html，所以它肯定没有指向错误的地方。

是否可以为 AWS 提供硬拷贝（即打印在纸上）MFA 令牌？

对于 Google 的 MFA，您可以打印出大约 10 个号码，以便在灾难类型的情况下使用（例如，您正在手机上使用 MFA 应用程序并且您丢失了手机或由于某种原因无法获得信号）。AWS 是否存在类似的选项？我似乎在文档中的任何地方都找不到它。

我知道您可以将一些数字 MFA 设备放在钱包中，但我觉得在某些时候，您确实需要一种不易受某种电子故障影响的备份解决方案。

顺便说一句，这将用于 IAM，而不是主账户。

我已经在我的 nginx 配置中添加了以下内容来处理欺骗域：

    if ($host !~* ^(.*example.org|\d+\.\d+\.\d+\.\d+)$ ) {
            return 444;
    }

现在它会将 IP 地址列入白名单，因为我需要为某些请求接受它们。

这在 AWS ELB 后面，因此它也需要响应 IP 地址。

理想情况下，我希望它只接受自己的公共 IP 地址和自己的私有 IP 地址。但是，我不想将其硬编码到配置中，因为这些是 AWS 实例。

所以我想我想知道是否有人提出了一种解决方案来阻止专门限制所需 IP 的欺骗主机标头。

我能想到的最好的想法是生成配置文件的脚本，在启动时添加正确的 IP，然后将它们复制到 nginx 配置文件夹。但我觉得必须有一个更优雅的解决方案，不需要我编写启动脚本。

为什么

既然有人问我为什么要这样做，我基本上有两个目标：

• 消除由于 HOST_HEADER SuspiciousOperation 错误而收到的 Django 错误
• 防止机器人（占这些欺骗请求的 99.9%）甚至到达我的 Web 应用程序层。

目前我有一个 ELB 服务于http://www.example.org和https://www.example.org。

我想设置它，以便任何指向http://www.example.org的请求都重定向到https://www.example.org。

ELB 将 https 请求作为 http 请求发送，因此使用：

server {
      listen         80;
       server_name    www.example.org;
       rewrite        ^ https://$server_name$request_uri? permanent;
}

将不起作用，因为对https://www.example.org的请求仍将发送到 nginx 上的端口 80。

我知道可以将其重写为

server {
      listen         80;
      server_name    www.example.org;
      if ($http_x_forwarded_proto != "https") {
          rewrite ^(.*)$ https://$server_name$1 permanent;
      }
}

但是我读到的所有内容都if应该在 nginx 配置中不惜一切代价避免，这将适用于每个请求。此外，这意味着我必须为运行状况检查设置一个特殊的单独配置（如此处所述：“......当你在 ELB 后面时，ELB 充当 HTTPS 端点并且只向你的服务器发送 HTTP 流量，你破坏以 HTTP 200 OK 响应响应 ELB 需要的运行状况检查的能力”）。

我正在考虑将登录名放在 Web 应用程序的代码中，而不是 nginx 配置中（出于这个问题的目的，我们假设它是一个基于 Django 的应用程序），但我不确定这是否会比在if 配置。

每次我在服务器上更新 php-fpm 时，它都会安装一个新的 www.conf 文件，该文件会干扰我现有的配置。有什么办法可以阻止它每次都被覆盖吗？

只需重新登录到服务器并使用 .重新连接到现有屏幕screen -R。我完全忘记了我之前使用sudo su -过并且之后没有退出，所以当我通过屏幕重新连接时，我又以 root 身份返回！

有没有办法sudo su在屏幕中阻止，或者以某种方式阻止通过屏幕重新连接到 root 的能力？

还是我只需要sudo su在使用屏幕时非常注意使用？

我正计划从一个注册商切换到另一个注册商。幸运的是，我已经能够预先输入区域信息，这样当传输发生时，一切都应该是一样的。

但是，在过去被烧毁后，我有点偏执，希望能够提前设置监控系统，以确保域始终指向相同的位置。

我担心的是，如何在不遇到缓存 DNS 查找问题的情况下设置类似的内容？我真的希望每次查找都是新的，这样就不会有问题。

所以我想我正在寻找两件事：

1. 一个用于测试 DNS 查找的可靠工具（由于显而易见的原因，它没有托管在我的任何服务器上，因为当出现问题时他们可能无法向我发送电子邮件）和
2. 不提取缓存记录并保持 DNS 信息最新和最新的测试

另外，我假设缓存服务器一切正常，因为新记录与旧记录匹配。但是这个假设有什么危险吗？是否有任何理由认为同时更改注册商和域名服务器可能会产生我不知道的副作用？

进展如何，以防有人感兴趣

显然，在转移过程中，旧的域名服务器被保留了，所以有一段时间没有一个域指向 IP（我猜一旦转移发生，旧的注册商就会擦除它的记录）。我不得不更新这些记录以指向新的名称服务器并重新导入所有区域记录（幸运的是，新注册商的系统有一个很好的区域文件导入工具，非常有帮助！）。出于某种奇怪的原因，Web 托管服务的本地名称服务器比其他 DNS 服务器花费更长的时间来更新其记录，因此服务器本身对它可以提供哪些记录感到困惑。如果其他人正在经历同样的过程，你应该做一些事情来避免我经历的事情：

1. 确保各注册商的区域记录在功能上相同。[但见下文]。不幸的是，一条应该是 A 记录的记录被存储为 CNAME 记录，结果很糟糕。这对于允许您将记录导出为区域文件的注册商来说很容易，但对于那些只需要剪切和粘贴网页的注册商来说却很困难。
2. 确保将新注册商确定设置为新的 DNS 主机出于某种原因，在传输过程中，我没有正确将域设置为由新注册商托管的 DNS。这是在购物车过程中，而不是购买后的配置步骤。显然，我当时需要做的是取消传输请求并重新开始，因为我无法更改它以便它会开启激活。
3. 确保当域转移完成时，您会收到警报。直到其中一个域停止工作，我才发现转移发生了，因为我没有被设置为该域的授权联系人。
4. 最重要的是，当转移最终完成时，尽量不要与家人一起进行八小时的汽车旅行。谢天谢地，Dunkin Donuts 提供免费 WiFi——谁知道呢？（哦，当时测试 DNS 真的很复杂，因为我无法使用任何代理网络服务器来测试来自多个位置的 DNS 查询，因为网络代理被 Dunkin Donuts 用来提供 WiFi 访问的软件阻止）。

毕竟我做对了几件事：

1. 用 CNAME 记录替换 A 记录的负载。如果我必须跟踪几十个相同的 A 记录，这可能会更难管理。此外，我只需要担心几个域会正确传播，因为其余的域都指向其他域。
2. 保存区域文件的备份。当记录在传输过程中丢失时，准备一个包含我需要的记录的区域文件非常有用。我可能所做的唯一更改是对区域文件进行最终扫描并将其与旧配置预传输进行比较，因为不幸的是区域文件缺少几个子域。
3. 使用相当低的 TTL。不幸的是，大多数注册商不允许您的 TTL 短于 1/2 小时，但我不理解选择将 TTL 设置为一周左右的人。我宁愿让基础设施接受一堆额外的查询命中，也不愿让某处某处的计算机在五天后仍指向错误的地方。

我们的服务器可用内存总是很低。然而，顶级进程只占用了我们服务器（ 10 GB内存）上应该可用的一部分。

我跑去tasklist获取所有进程的列表，并将它们使用的内存总量相加。总内存使用量为6GB，“可用”内存约为1GB。

除非我遗漏了什么，否则这意味着大约 3GB 的内存不足（10GB 总内存 - 6 GB 已用 - 1 GB“可用”）。

我想知道会发生什么。每隔一段时间，“空闲”内存就会下降到 0，此时我们会遇到速度减慢的情况。

我想保存从我们的服务器发出时被拒绝的所有消息的详细信息（标题和内容），这样我就可以弄清楚为什么它们可能被拒绝了。

postfix 是否有任何方法可以在消息被拒绝时将其保存在某处？

将副本转发到根邮件帐户就可以了。

我正在考虑将 ColdFusion 9 中包含的 solr 安装升级到最新的 Apache 版本。这提出了几个问题：

• 是否有完全不升级到 3.6 的令人信服的理由（它是否比 1.4 更慢、更麻烦或向后不兼容）？
• CF9 中包含的 solr 安装是自定义的。有没有办法自己定制它，或者至少让 CF 像对待它的前身一样对待它？
• 我现有的所有索引都可以在新版本中按原样（是吗？）工作？
• ServerFault 上有人完成升级了吗？我特别想听听升级带来的不可预见或意想不到的影响。

有没有办法列出 SAN/UCC SSL 证书上的所有域（最好在 linux/os x 上使用命令行）？

显然必须有某种方法来提取数据，因为浏览器可以做到这一点。不幸的是，我可以看到列表但不能剪切和粘贴它。

我有一个 SVN 存储库，其中存储了很多子项目。现在在我post-commit的机器上，我只是循环遍历机器上所有可能的文件夹并svn update在每个文件夹上运行：

REPOS="$1"
REV="$2"
DIRS=("/path/to/local/copy/firstproject" "/path/to/local/copy/anotherproject" ... "/path/to/local/copy/spam")
LOGNAME=`/usr/bin/whoami`

for DIR in ${DIRS[@]}
do
    cd $DIR
    sudo /usr/bin/svn update --accept=postpone 2>&1 | logger
    logger "$LOGNAME Updated $DIR to revision $REV (from $REPOS) "
done

问题是，当我只是提交其中一个项目的子文件夹时，这是缓慢且多余的。我想知道是否有更好的方法来确定我应该使用哪个 DIRS 并只更新那个。

有什么办法可以做到这一点？据我所知，无法确定 repo 的哪一部分已提交，因此需要更新哪个目录。

为每个项目创建单独的存储库是唯一的选择吗？（可能应该从一开始就这样做，如果是这样......）

假设我有一个对 example.com 有效的证书（并由已知的 SSL 供应商提供支持）。我希望能够拥有域的测试版本，test.example.com，它也使用 SSL 证书进行保护，但我想这样做而无需支付商业证书的费用（我知道有“免费“证书，但几乎所有证书都有时间限制，这对我不起作用）。

显然可以从该证书创建链式证书。我想知道浏览器是否会将该链接证书识别为有效。

请注意，example.com 的证书是 SAN 证书，涵盖其他域，如 docs.example.com、example.org 等。

理想情况下，我希望链式证书也是SAN 证书，并且只提供每个域的测试类比：test.example.com、test.docs.example.com、test.example.org 等。

我知道测试证书需要一个单独的 IP 地址。

顺便说一下，这是在 Apache 和 CentOS 上。