Hamish Downer's questions

我正在尝试构建一个可与标准 CentOS 4 安装作为客户端一起使用的 openssl 证书链。（我知道它已经很老了，但它是我们的客户正在使用的，所以我们需要支持它）。

第一个问题是 CentOS 4 openssl CA 包不包含所有现代证书，特别是 GoDaddy 根证书

/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority

所以我四处挖掘并找到了上述证书的Valicert证书并将其放入链中。在 CentOS 5（即 openssl 0.9.8e）上运行openssl s_client此链会验证，但在 CentOS 4（即 openssl 0.9.7a）上它不会验证。

CentOS 5 输出：

$ openssl s_client -CAfile /etc/pki/tls/certs/ca-bundle.crt -connect svn.example.org:443
CONNECTED(00000003)
depth=4 /L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2 Policy Validation Authority/CN=http://www.valicert.com//[email protected]
verify return:1
depth=3 /C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
verify return:1
depth=2 /C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
verify return:1
depth=1 /C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
verify return:1
depth=0 /OU=Domain Control Validated/CN=*.example.org
verify return:1
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=*.example.org
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
 2 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
 3 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
   i:/L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2 Policy Validation Authority/CN=http://www.valicert.com//[email protected]
---
Server certificate
-----BEGIN CERTIFICATE-----
[ SNIP ]
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=*.example.org
issuer=/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
---
No client certificate CA names sent
---
SSL handshake has read 5697 bytes and written 319 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: [ SNIP ]
    Session-ID-ctx:
    Master-Key: [ SNIP ]
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1394712184
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
DONE

在 CentOS 4 上：

$ openssl s_client -CAfile /usr/share/ssl/certs/ca-bundle.crt -connect svn.example.org:443
CONNECTED(00000003)
depth=4 /L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2 Policy Validation Authority/CN=http://www.valicert.com//[email protected]
verify return:1
depth=3 /C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
verify return:1
depth=2 /C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
verify error:num=7:certificate signature failure
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=*.example.org
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
 2 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
 3 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
   i:/L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2 Policy Validation Authority/CN=http://www.valicert.com//[email protected]
---
Server certificate
-----BEGIN CERTIFICATE-----
[ SNIP ]
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=*.example.org
issuer=/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
---
No client certificate CA names sent
---
SSL handshake has read 5697 bytes and written 343 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: [ SNIP ]
    Session-ID-ctx:
    Master-Key: [ SNIP ]
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1394712595
    Timeout   : 300 (sec)
    Verify return code: 7 (certificate signature failure)
---
DONE

在这一点上有点困惑，任何想法都会受到赞赏。

快速版

我已经建立了一个私人 deb 存储库并将一些已签名的 deb 包复制到其中。我已经在本地安装了签名密钥。但是，当我尝试从 repo 安装时，我收到此警告：

WARNING: The following packages cannot be authenticated!

手动安装时，我可以按y但我想使用 puppet 自动安装这些包，但失败了。

所以有什么问题？我是否需要使用我控制的密钥退出包裹？有没有更好的方法来确保我安装了特定版本的人偶？

更多细节

我从puppet debian 存储库中获得了包- http://apt.puppetlabs.com/我只是从这个目录（为了清晰）复制包

然后使用为每个 repo 运行这些命令的脚本更新存储库：

cd /var/www/html/apt/ubuntu/lucid
dpkg-scanpackages binary /dev/null | gzip -9c > binary/Packages.gz
dpkg-scansources sources /dev/null | gzip -9c > sources/Sources.gz

我已经在客户端上安装了签名密钥。

$ sudo apt-key list
/etc/apt/trusted.gpg
--------------------
...
pub   4096R/4BD6EC30 2010-07-10 [expires: 2016-07-08]
uid                  Puppet Labs Release Key (Puppet Labs Release Key) <[email protected]>
...

这样做的理由是我希望所有 puppet 客户端都是相同的版本。所以所有机器都应该使用以下 pin 从我的存储库中获取包/etc/apt/preferences.d/puppet：

Package: puppet puppet-common facter
Pin: origin deb.example.org
Pin-Priority: 1001

（我们目前使用的是 puppet 2.6.x，所以我需要 1001 的优先级来将精确客户端从 2.7.x 降级）。

我已经阅读了有关保留包的信息，但这并不能帮助我更改包版本。

欢迎所有建议。

我正在准备对教室 wifi 系统进行负载测试。学生们在课程开始时都打开他们的笔记本电脑，启动网络浏览器，然后他们开始上课 - 这涉及下载基于 Flash 的课程（从学校内的服务器），通常下载 0.5 到 2 MB。

在某些情况下，加载时间会延长到 5 或 10 分钟。所以我想监控系统的所有部分，以自信地说出瓶颈在哪里，以及有多少客户端可以合理地使用单个 wifi 接入点。所以我们计划对最多 50 个客户端进行测试，看看会发生什么（我知道大多数人建议每个接入点 20-25 个客户端，但客户想要测试这个 - 我想获得好的数据来展示给客户不管怎样）。

我已经知道如何监控服务器了。wifi 接入点支持 SNMP，似乎提供了很多变量，但我不想费力费力。

所以问题是，哪些与 wifi 相关的变量是需要监控的关键变量，以表征系统何时过载、客户端正在等待、发生冲突等？

我很高兴被告知应该在那里的通用名称并自己搜索文件，但如果你想/需要查看详细信息，那么我们使用的访问点是Ubiquity Nanostation 2。Ubiquity 产品的 MIB 文件链接在其 SNMP 页面的底部。尽管我还发现它们似乎至少支持部分Mikrotik MIB。

是否有一种规范的方法来找出上次yum update在系统上运行的时间？

我们的设置是我们有运行自动更新的暂存服务器，如果它们没有崩溃，我们将大约每月一次手动更新我们的生产服务器（关键更新除外）。（我说手动，理想情况下我想手动触发所有更新，但这是另一个问题）。

但是你会很忙，任务会打滑等等。所以我想设置一个 nagios 检查，如果我们离开它太久，它就会开始困扰我们。

搜索网络并没有让我走得太远。探索系统，到目前为止我发现的最好的东西是这样的：

grep Updated /var/log/yum.log | tail -1 | cut -d' ' -f 1-2

这给了我类似的东西Mar 12，然后我可以将其转换为日期。关于日期是今年还是去年有一些小的并发症，我还需要检查/var/log/yum.log.1以防在 logrotate 后立即检查。但这只是脚本细节。

这当然可以通过对单个包的更新而不是一般更新来“愚弄”。

那么是否有更规范的方式来查看何时yum update运行？

编辑：我现在已经编写了一个 Nagios NRPE 插件，它使用了我在问题中提出的想法。您可以从https://github.com/aptivate/check_yum_last_update获取它

我在 Debian etch 上运行 apache2，有多个虚拟主机。

我想重定向，以便http://git.example.com转到http://git.example.com/git/

应该很简单，但谷歌并没有完全削减它。我已经尝试过 Redirect 和 Rewrite 的东西，但它们似乎并没有完全按照我的意愿行事......

我的组织一直在研究如何在地理上分布我们的服务器，同时保持备份非常最新，并在理想情况下分散负载。

我首先想到的是 MySQL 上的 Rails。写入率不是太高（文章/评论每分钟不到 1 条，尽管有些带有大型媒体附件）。

所以，

• MySQL 复制是否在广域网中运行良好？
• 连接（或从服务器）断开是否意味着需要手动干预（一旦两台服务器可以再次相互通信）还是自动恢复？
• 如果主人消失了，从奴隶变成主人需要什么？是否有标准的脚本/工具来帮助管理它？
• 还有其他问题吗？