Ivan Vučica's questions

目前，我正在通过基于 IP 地址原产国阻止对 Dovecot 和 SSHD 的访问来减少日志中失败的身份验证垃圾邮件。这两项服务都需要身份验证，并且在少数几个国家/地区之外，我没有需要访问的用户或自动化。

这是使用 tcpwrappers'aclcheck和传递的 shell 脚本%a并调用geoiplookup（或geoiplookup6）我碰巧安装在我的系统上的二进制文件来完成的。全部设置为/etc/hosts.allow, /etc/hosts.deny。

这足以摆脱大多数失败的登录。

尽管 Postfix 与 tcpwrappers 是由同一个人创作的，但它并不使用 tcpwrappers——至少在 Debian 中，它的各种二进制文件没有链接到libwrap.so.

iptables据我所知，不适用；我不相信它可以要求用户空间二进制文件来确定是否应该接受或拒绝 IP 数据包（例如 TCP SYN）。

有没有一种方便的方法可以让 Postfix 的守护进程监听 TCP 连接，例如master使用hosts.allow/ hosts.deny？是tcpd答案吗？如何正确使用它？

我有兴趣仅根据原产国阻止smtps和submission端口 - 那些允许身份验证（并因此允许身份验证后中继）的端口。

无意中，我运行的一个 bind9 服务器是一个开放的解析器。哎呀。

现在已经几个月了，递归查询isc.org仍在传入。我不介意我的/var/log/syslog外观不是这样的：

Jul  6 01:10:23 servername last message repeated 6 times
Jul  6 01:10:23 servername named[2580]: client YYY.YY.YYY.YYY#25345: query (cache) 'isc.org/ANY/IN' denied
Jul  6 01:10:23 servername named[2580]: client ZZZ.ZZ.ZZZ.ZZ#25345: query (cache) 'isc.org/ANY/IN' denied
Jul  6 01:10:23 servername last message repeated 7 times
Jul  6 01:10:23 servername named[2580]: client AAA.AAA.A.AAA#25345: query (cache) 'isc.org/ANY/IN' denied
Jul  6 01:10:23 servername named[2580]: client BBB.BB.BB.BBB#25345: query (cache) 'isc.org/ANY/IN' denied
Jul  6 01:10:23 servername last message repeated 6 times

（有人可能会觉得有趣的是，上述消息都在一秒钟内出现......我不再这样做了。）

这真的，真的很难捕捉到系统上其他服务可能报告的任何真正错误。

我想让 bind9 不再记录这些消息。而且我正在祈祷有可能只让这些消息从日志中消失。

我可以通过什么方式禁用不允许递归出现在系统日志（或其他日志）中的消息？

servername:/etc/bind9# named -V
BIND 9.8.4-rpz2+rl005.12-P1 built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2'
using OpenSSL version: OpenSSL 1.0.1c 10 May 2012
using libxml2 version: 2.8.0

servernane:/etc/bind9# uname -a
Linux servername 3.2.0-4-686-pae #1 SMP Debian 3.2.35-2 i686 GNU/Linux

澄清：

我对有关如何仅使“递归被拒绝”类型消息静音的更详细示例感兴趣。

在一个教育非营利组织中，我继承了一个以前设置的 Windows 域，在第一次重新安装机器后，我们最终没有使用，只是没有将机器重新加入域。

去年夏天，在将机器运送到暑期学校进行年度重新安装之前，我萌生了通过网络安装 Windows 7 的想法，而不仅仅是对机器进行映像。弄清楚基础知识花了比我预期更长的时间；老实说，我希望 Windows 对开箱即用的 PXE 安装更友好。

我感兴趣的是使用域自动加入通过 PXE 安装 Windows 7 的最佳实践。如果整个设置也可以选择性地托管在基于 UNIX 的系统上，我会很高兴。

通过使用 Windows AIK 准备 ISO并将 ISO 加载到内存中，我取得了一些成功。这是必需的，因为我想要一个菜单​​，而且我认为我无法让 PXELINUX 链式加载到 Windows 的引导加载程序中。不幸的是，在那个时间范围内，我无法弄清楚有关 Windows 设置自定义的很多信息，也无法让 Samba 正常工作；研究这些东西最终太冗长了，尤其是我在 Windows 上编辑磁盘映像并将其复制到外部的部分。AIK 并没有通过将磁盘映像装入 RAM 并在完成后将其完整写入来使事情变得更容易，这让我很伤心。

我最近也发现了一种不同的方法，它似乎更接近于 Microsoft 最初的网络引导部署想法，并且不涉及 ISO。

所以我的问题归结为以下几点。

1. 您使用什么确切的方法来网络引导 Windows 7 设置？
2. 如何最好地自定义 Windows 7 设置以实现完全无人值守，包括在特定系统分区上安装而不破坏数据分区、创建密码管理员和默认用户、选择基于 MAC 地址的主机名以及加入域？

尽可能多的细节供大家将来参考，我们将不胜感激。WDS 是一个不错的选择，但如果可以使用基于 Linux 的安装，那就更好了。