这个问题的目的是记录我经过两个小时的奋斗后的发现和解决方案,希望它对其他人将来有用。
我已经设置了一台新的 Linux 机器。当本地登录时,ls --color=auto正确显示颜色的目录条目。但是,当通过 SSH 远程登录时,ls --color=auto似乎不起作用。
为什么会这样呢?如何ls通过 SSH 获取颜色?
的输出dircolors反映了 的行为ls --color=auto。在本地运行时,dircolors设置一个内容丰富的LS_COLORS环境变量。但是,当通过 SSH 运行时,请dircolors进行设置LS_COLORS=''。
在OpenVPN 的加固文章中,建议服务器守护进程在 Linux 上启动后放弃其权限:
OpenVPN 经过精心设计,允许在初始化后删除 root 权限,并且此功能应始终在 Linux/BSD/Solaris 上使用。如果没有 root 权限,正在运行的 OpenVPN 服务器守护程序对攻击者的吸引力要小得多。
他们建议设置以下指令:
user nobody
group nobody
我假设这意味着守护程序将nobody在启动完成后运行。
但是,OpenVPN 在运行时会访问几个文件,尤其是 CRL 文件:
当在 OpenVPN 中使用 crl-verify 选项时,每当新客户端连接或现有客户端重新协商 SSL/TLS 连接(默认每小时一次)时,都会重新读取 CRL 文件。这意味着您可以在 OpenVPN 服务器守护程序运行时更新 CRL 文件,并使新的 CRL 对新连接的客户端立即生效。
所以我很自然地担心这两个功能是否不兼容——如果守护进程在启动后放弃特权,它如何在运行时读取/etc/openvpn/server/crl.pem(所有者root:root、模式0600;SELinux 强制)?
操作系统是 RHEL8.5 x86_64,以防万一。
每当我通过 SSH 登录到我的 RHEL8 服务器时,我都会打印这些行:
Web console: https://<myserver>:9090/ or https://<myip>:9090/
This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register
如何禁用这些提示?