我正在尝试通过 B 连接到服务器 C。如何为 B 提供密钥?
IE:
ssh -J [email protected]:22[<-need to use PEM on B] [email protected]
sshtunnel 的终端设置为 /bin/true - 所以我可以进行身份验证,而不是登录。
希望在用户连接到我的 SSH 服务器时启动 python 程序。一个示例用例是 MUD 程序(使用 SSH 而不是 Telnet 除外)。如果他们以某种方式退出程序或出错,我希望他们与服务器断开连接。
我们正在为我们网络之外的一小群人运行私有递归 DNS(绑定 9.10.3),以加快他们的浏览速度。我最近注意到,我们的服务器正在回答带有“.local”或“.home”的查询,这些查询附加到一些入站查询以及一些“local”甚至“home”的查询而没有任何其他数据,这里是我们日志中的一个示例(1.2.3.4 是我们的 DNS)
Oct 20 09:36:28 dns1 named[3080]: client X.X.X.X#50315 (somethingrandom.local): view someview: query: somethingrandom.local IN A + (1.2.3.4)
Oct 20 09:36:38 dns1 named[3080]: client X.X.X.X#50315 (somethingrandom.local): view someview: query: somethingrandom.home IN A + (1.2.3.4)
Oct 20 09:36:55 dns1 named[3080]: client X.X.X.X#57750 (local): view someview: query: local IN SOA + (1.2.3.4)
Oct 20 09:36:59 dns1 named[3080]: client X.X.X.X#49441 (local): view someview: query: local IN SOA + (1.2.3.4)
Oct 20 09:37:01 dns1 named[3080]: client X.X.X.X#53231 (local): view someview: query: local IN SOA + (1.2.3.4)
我对服务器进行了挖掘以查看返回的响应,并且很确定下面的响应是完全正确的,但是我不是 100% 确定。挖掘如下,只需要有人确认它看起来应该是这样 - 我们不想回答 localhost 或 localnet(现在已经到位)上的任何内容。
> dig @ourdns local
回答:
; <<>> DiG 9.10.3 <<>> @dns1 local
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 4495
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;local. IN A
;; AUTHORITY SECTION:
. 85530 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015102000 1800 900 604800 86400
;; Query time: 17 msec
;; SERVER: 1.2.3.4#53(1.2.3.4)
;; WHEN: Tue Oct 20 13:00:17 EDT 2015
;; MSG SIZE rcvd: 109
对于托管在不同云 vpn 提供商上的递归(但不是开放中继)DNS 绑定服务器集群,是否可以有 1 个或两个静态 IP 地址?我们希望在 1 个 IP 地址后面有两台 DNS 服务器(一台在 Rackspace,一台在 AWS)。
编辑:我知道我们可能必须拥有自己的 IP 空间。
我将如何在 Bind9 中为任何否定查询设置 A 记录?如果他们要访问不存在的域,我想将我们的员工转发到信息页面。我们有一个内部缓存服务器。
我有两台 bind9 服务器,它们没有设置重复的设置,彼此一无所知。我们的 CPU 使用率在 7% - 10% 左右:主要是绑定,我相信这完全在我们的负载范围内。但是,CPU 使用率每周都在缓慢增长,我估计至少有 4-5 个月的时间才会成为问题。只是想澄清一下 - 主/从设置会减少从站上的 CPU 吗?
我们将该服务用作转发服务器,允许基于 IP ACL 的递归查找。唯一的故障转移是我们的 DNS 用户在他们的设置中输入了两个 DNS 地址。它不进行动态更新,我们有一小部分 DNS 记录可能每季度更改一次或两次。
我把这个脚本从不同的地方放在一起。我希望它一旦运行就会执行以下操作:
- 暂停端口 80 和 443 的所有“新”http 流量 - 只需“暂停”它们,不要给出任何错误
- 当所有“正在处理”的请求都完成后,优雅地重新启动 haproxy
- 取消暂停 http 流量并照常营业。
它会这样运行吗?我错过了什么吗?我们有数千个基于 ip 的 acl 规则,存储在 haproxy 引用的文件中,我们需要每分钟重新加载几次。
#!/bin/sh
# hold/pause new requests
iptables -I INPUT -p tcp --dport 80 --syn -j DROP
iptables -I INPUT -p tcp --dport 443 --syn -j DROP
sleep 1
# gracefully restart haproxy
/usr/sbin/haproxy -f /etc/haproxy/haproxy.cfg -p /var/run/haproxy.pid -sf $(cat /var/run/haproxy.pid)
# allow new requests to come in again
iptables -D INPUT -p tcp --dport 80 --syn -j DROP
iptables -D INPUT -p tcp --dport 443 --syn -j DROP
编辑:我很想以某种方式对其进行测试,但到目前为止我们还没有任何流量(我的测试除外)。
资料来源:
http://www.forouzani.com/reload-haproxy-cfg-without-restarting.html
我们有很多设备不能使用 SNI,我们希望能够代理很多 HTTP/HTTPS 服务器。我在想我们可以为每个要连接的 URL 设置一个 HAProxy,然后将其负载平衡到通用 HAProxy 服务器。这行得通吗?我的意思是,只需使用前端服务器对每个 URL 进行 HTTP/HTTPS 初始连接,然后将请求传递给通用 haproxy 服务器?
我们有 5 个不同的服务器位置,每个位置包含大约 30 个服务器,每个服务器代表一个 URL,同时提供 HTTP 和 HTTPS。它们都是相同的,但是根据他们选择查看内容的位置提供不同的内容,他们可以通过更改用户设置来选择区域内容,并且我们将它们绑定到 DNS 中的绑定视图。
我们有一个 DNS 服务器,可以根据位置将名称解析为 IP 地址,并将流量发送给它们。它工作得很好,但是当有人更改区域时,用户/浏览器/操作系统/等之间会缓存一些东西,主要是 DNS 的东西。
我们想做的是为每个域名使用所有相同的 IP 地址,并将所有内容解析为一组 HAProxy 服务器,这些服务器将根据其 ip 和用户配置在内部代理/路由流量。这样,DNS 将始终将它们指向相同的前端服务器,并允许它们的 DNS 缓存所有内容。
我想我可以用 HAProxy 做到这一点,所以当客户端连接到 blog.test.com 时,它会在前端服务器内创建一个代理来表示我们的南非站点 blog.test.com - 但是,它需要这样做按IP地址,否则DNS会混淆..
我可以设置 HAProxy 以接受 blog.test.com 的连接并在内部连接到 1.2.3.4 并传递站点名称/别名等任何标题吗?
我在 Apache 中启用了 CORS,以下是我在加载网站时看到的标题:
HTTP/1.1 200 OK
Access-Control-Allow-Methods: GET, POST, OPTIONS
Access-Control-Allow-Origin: *
Cache-Control: no-cache, must-revalidate, max-age=0, max-age=0, no-cache
Content-Encoding: gzip
Content-Type: text/html; charset=UTF-8
Date: Wed, 20 Aug 2014 17:05:00 GMT
Expires: Wed, 11 Jan 1984 05:00:00 GMT
Link: <http://test.example.com/?p=7>; rel=shortlink
Pragma: no-cache
Server: Apache
Vary: Accept-Encoding
X-Frame-Options: SAMEORIGIN
X-Mod-Pagespeed: 1.7.30.4-
X-Pingback: http://test.example.com/xmlrpc.php
X-Powered-By: PHP/5.4.28
Content-Length: 6757
Connection: keep-alive
但是,当我重新加载页面时,我收到以下 JS 错误:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://api.example.com/?x=1. This can be fixed by moving the resource to the same domain or enabling CORS.
任何想法为什么这会失败?我正在尝试从 test.example.com 访问 api.example.com
我将自动在下面的脚本中添加和删除条目(添加具有不同 IP 地址的端口 80/443)。如果我运行这个脚本,我“假设”连接不会中断,除非我删除了一个 IP。我的这个想法正确吗?
这是我的脚本:
iptables --flush
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -s 1.2.3.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -s 1.2.3.4 -j ACCEP
iptables -A INPUT -p tcp --dport 80 -j DROPT
iptables -A INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -j DROP
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -j LOG
iptables -A INPUT -j REJECT
由于 Dnsmasq 不支持 Views,我已经安装并配置了 bind9。一切正常,但是我注意到我的绑定服务器没有返回与 Dnsmasq 相同的答案/响应的特定条目。我怎样才能做到这一点?
这是我的 Dnsmasq 服务器的配置:
address=/override-url.example.com/54.210.175.6
这是来自我的 Dnsmaq 服务器的 dns 响应:
$ dig @127.0.0.1 override-url.example.com
回复:
; <<>> DiG 9.9.5-3-Ubuntu <<>> @127.0.0.1 override-url.example.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53532
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;override-url.example.com. IN A
;; ANSWER SECTION:
override-url.example.com. 0 IN A 1.2.3.4
;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Aug 06 21:58:44 UTC 2014
;; MSG SIZE rcvd: 58
这是我的绑定配置和区域文件:
zone "override-url.example.com" {
type master;
file "/etc/bind/override-url.example.com";
};
和区域文件:
$TTL 3600
$ORIGIN override-url.example.com.
@ IN SOA localhost. hostmaster.localhost.com. (
20140805 ; sn = serial number
86400 ; ref = refresh = 1d
900 ; ret = update retry = 15m
1209600 ; ex = expiry = 2w
3600 ; min = minimum = 1h
)
; we need at least 1 name server
IN NS
; override public ip with this address
IN A 54.210.127.53
当然,这里是从 bind 中返回的与上面的答案不匹配的数据。我想尽可能地匹配它。
; <<>> DiG 9.8.3-P1 <<>> override-url.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 12930
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;override-url.example.com. IN A
;; Query time: 36 msec
;; SERVER: 54.88.72.140#53(54.88.72.140)
;; WHEN: Wed Aug 6 18:04:23 2014
;; MSG SIZE rcvd: 42
我应该对绑定区域文件进行哪些更改以使其看起来尽可能接近 dnsmasq 设置?
在这个问题之前,我一直在寻求一些帮助,以找到一种方法来根据他们的 IP 地址向查询客户端返回不同的响应。问题在这里得到了解答:如何选择性地覆盖绑定 DNS 服务器上的一些 A 记录?
我遵循了公认的答案,现在遇到了问题。
当我运行时:
nslookup faq.test.com
我期望这个:
root@dev:/etc/bind# nslookup vaultofsatoshi.com
Server: 172.16.225.132
Address: 172.16.225.132#53
Non-authoritative answer:
Name: faq.test.com
Address: 192.168.1.1
但是,我得到了这个:
root@dev:/etc/bind# nslookup faq.test.com
Server: 172.16.225.132
Address: 172.16.225.132#53
** server can't find faq.test.com: NXDOMAIN
我应该提到,查询 google.com 或任何其他网站都可以正常工作并返回一切正常,只是我覆盖它失败的那些。我在下面包含了我的配置文件,任何帮助将不胜感激。
/etc/bind/named.conf
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
/etc/bind/named.conf.options
options {
directory "/var/cache/bind";
forwarders {
8.8.8.8;
8.8.4.4;
};
response-policy {
zone "development-overrides";
};
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-query { trusted; };
allow-recursion { trusted; };
recursion yes;
dnssec-enable no;
dnssec-validation no;
};
/etc/bind/named.conf.local
include "/etc/bind/rndc.key";
acl "trusted" {
172.16.225.132;
127.0.0.1;
};
include "/etc/bind/zones.override";
logging {
channel bind_log {
file "/var/log/named/named.log" versions 5 size 30m;
severity info;
print-time yes;
print-severity yes;
print-category yes;
};
category default { bind_log; };
category queries { bind_log; };
};
/etc/bind/named.conf.default-zones
// prime the server with knowledge of the root servers
zone "." {
type hint;
file "/etc/bind/db.root";
};
// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912
zone "localhost" {
type master;
file "/etc/bind/db.local";
};
zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};
zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};
zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};
/etc/bind/development-overrides
$TTL 1H
@ SOA LOCALHOST. test.com (1 1h 15m 30d 2h)
NS LOCALHOST.
support.test.com A 192.168.1.1
faq.test.com A 192.168.1.1
; do not rewrite (PASSTHRU) OK.DOMAIN.COM
* A rpz-passthru.
我们正在使用 Dnsmasq,我们有几个运行良好的条目。我们正在寻找的是为特定的 IP 地址返回不同的配置文件。
即:当 ip1.2.3.4连接时,它将使用此表:
address=/widgits.com/2.2.2.2
address=/x.widgits.com/2.2.2.22
每当 ip2.3.4.5连接时,它将使用此表:
address=/widgits.com/3.3.3.3
address=/x.widgits.com/3.3.3.33
除了修改 dnsmasq,还有其他选择吗?
更新:只是想补充一下,我们有超过 10,000 个 IP 地址(在 asme 界面上),它们将被分成两组,我们每天有多达 300 个需要实时完成的更改。
我猜必须有一种合理的方法来解决我的问题,但我正在尝试就实施的最佳实践获得一些建议。
我最近搬到了一家网页设计公司,我们需要能够欺骗我们正在开发的网站的 DNS 条目。但是,我们只想覆盖某些 A 记录,但保留其他记录,以便站点似乎可以正常工作。
即:我们想让“support.abcd.com”在本地解析,但其他所有内容都转到真实站点。这将允许我们设计/演示一个功能齐全的网站,只有在本地进行的工作。
我们有一个内部 BIND DNS 服务器 (9.9.5.dfsg-3)。
根据上面的示例,我的区域文件应该如何查找“abcd.com”?
编辑:这行得通吗?
IN ns1
abcd.com. IN NS ns1
support.abcd.com. IN A 192.168.1.1
faq.abcd.com. IN A 192.168.1.1
*.abcd.com. IN NS abcd.com <- External?
刚刚完成 Nessus 扫描,唯一返回的是“TCP/IP 序列预测盲重置欺骗 DoS”——可能会向远程系统发送欺骗性 RST 数据包。
说明:远程主机可能受到序列号近似漏洞的影响,该漏洞可能允许攻击者向远程主机发送欺骗性 RST 数据包并关闭已建立的连接。这可能会导致某些专用服务出现问题(BGP、基于 TCP 的 VPN 等)。
我正在使用 ubuntu 12.04,如何修补或防止此问题?
按照这些说明在 Amazon Linux 上安装s3fs 。
它在我的一个系统上运行良好,但是在不同的系统上(按照相同的说明)运行 /bin/mount 时出现以下错误
[root@ip-10-99-1-35 lib64]# mount
mount: /lib64/libmount.so.1: version `MOUNT_2.21' not found (required by mount)
mount: /lib64/libmount.so.1: version `MOUNT_2.22' not found (required by mount)
mount: /lib64/libmount.so.1: version `MOUNT_2.20' not found (required by mount)
编辑:我应该提一下,它只得到上面的错误之一(2.20),但是,当我开始遇到问题时,我尝试安装版本 v2.21 和 v2.22 的 util-linux 源包。
在挂载上运行 ldd,我明白了
[root@ip-10-99-1-35 lib64]# ldd /bin/mount
/bin/mount: /lib64/libmount.so.1: version `MOUNT_2.21' not found (required by /bin/mount)
/bin/mount: /lib64/libmount.so.1: version `MOUNT_2.22' not found (required by /bin/mount)
/bin/mount: /lib64/libmount.so.1: version `MOUNT_2.20' not found (required by /bin/mount)
linux-vdso.so.1 => (0x00007fff507ff000)
libmount.so.1 => /lib64/libmount.so.1 (0x00007f5e9331a000)
libblkid.so.1 => /lib64/libblkid.so.1 (0x00007f5e930f9000)
libuuid.so.1 => /lib64/libuuid.so.1 (0x00007f5e92ef4000)
libc.so.6 => /lib64/libc.so.6 (0x00007f5e92b62000)
/lib64/ld-linux-x86-64.so.2 (0x00007f5e93533000)
/lib64 中的相应文件
lrwxrwxrwx 1 root root 17 Jul 30 15:25 /lib64/libmount.so.1 -> libmount.so.1.1.0
-rwxr-xr-x 1 root root 61728 Jul 28 2011 /lib64/libmount.so.1.1.0
发行信息
[ec2-user@ip-10-99-1-35 ~]$ cat /etc/issue
Amazon Linux AMI release 2012.03
Kernel \r on an \m
[ec2-user@ip-10-99-1-35 ~]$ uname -a
Linux ip-10-99-1-35 3.2.20-1.29.6.amzn1.x86_64 #1 SMP Tue Jun 12 01:19:28 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
所以我有 2 个 IP 地址,并在 ipaddress #1 (www.server.com) 上运行 apache。我在想的是,将 static.server.om 指向 ipaddress #2,并为图像和 javascript 运行 lighthttpd。
这听起来正常吗?我想确保我的图像和 javascript 能够快速提供并且没有 cookie。
我正在使用带有 Plesk 9(64 位)的 CentOS 5,我正在运行一个用户将上传图片的网站。使用 64 位操作系统,我可以存储多少个文件有任何限制吗?我只关心性能和提供文件。我不希望有 4 个目录深的分散文件。但是,我希望在某个时候我可以拥有 200-30 万张图像。
我在我的网站上几乎完成了,它类似于 facebook。我预计第一个月可能会有 500-600 人。这是一个 LAMP 设置。用户图像不是太大(压缩后<20kb,它只是真正的博客和会员搜索)
寻求一些建议:
1) 我是否应该使用我的 2 台 Dell Poweredge 服务器,一台是 Mysql 服务器,另一台是 Apache 服务器(规格:双奔腾 III 800mhz,1gb 内存,Raid 5 和 2 网卡,130gb 空间)并在我家托管我的网站,直到我获得了足够的流量来证明每月 100 美元的托管托管是合理的。(我有有线互联网)(免费,但典型的有线带宽为 65 毫秒 ping,向下 3 兆位,向上 0.7 兆位)
2) 在 1 和 1 使用我的 VPS III 帐户(四核 AMD(比我的 piii 更快)等。1gb ram,4gb 可突发,50gb 空间,如果需要,可以处理流量,永不停机)60.00 美元/月
3) 获得与#2 类似规格的专用服务器,尽管会有大约 100gb 的空间。300 美元?月。
在我有钱之前,我的预算每月不到 80.00 美元。