Soviero's questions

我将以下简单的 shell 脚本传递给 LXC 容器上的 bash：

apt-get update
apt-get install postgresql -y

sudo -u postgres psql -c 'create database dvdrental;'

我用来运行它的实际命令是：

cat sample.sh | lxc-attach -n test-container -- /bin/bash

我这样做而不是将脚本上传到容器并以这种方式执行的原因是，这只是我们正在构建的一个更复杂的应用程序的概念证明，它必须通过标准输入接收命令并运行它们在容器中。

它似乎工作得很好，除了一件事。psql它在 postgresql 仍在安装时移动到命令，即

[...]
Get:21 http://archive.ubuntu.com/ubuntu/ trusty/main ssl-cert all 1.0.33 [16.6 kB]
Get:22 http://archive.ubuntu.com/ubuntu/ trusty-updates/main postgresql-common all 154ubuntu1 [103 kB]
Get:23 http://archive.ubuntu.com/ubuntu/ trusty-updates/main postgresql-9.3 amd64 9.3.10-0ubuntu0.14.04 [2,669 kB]
Get:24 http://archive.ubuntu.com/ubuntu/ trusty-updates/main postgresql all 9.3+154ubuntu1 [5,038 B]
Fetched 5,834 kB in 28s (207 kB/s)                                             
Preconfiguring packages ...

    sudo -u postgres psql -c 'create database dvdrental;'
Selecting previously unselected package libroken18-heimdal:amd64.
(Reading database ... 14599 files and directories currently installed.)
Preparing to unpack .../libroken18-heimdal_1.6~git20131207+dfsg-1ubuntu1.1_amd64.deb ...
Unpacking libroken18-heimdal:amd64 (1.6~git20131207+dfsg-1ubuntu1.1) ...
Selecting previously unselected package libasn1-8-heimdal:amd64.
[...]

注意sudo -u postgres psql -c 'create database dvdrental;'输出中间的行的存在。有趣的是，它总是在 apt-get 命令的下载部分完成后立即显示...

有谁知道这可能是什么原因造成的？

logrotate 无法在 CentOS 7 上为我们的应用程序旋转日志文件。这似乎是因为此 AVC 错误：

type=AVC msg=audit(1441112694.305:19502): avc:  denied  { write } for  pid=9146 comm="logrotate" name="autuitive.log" dev="xvda1" ino=26262388 scontext=system_u:system_r:logrotate_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:usr_t:s0 tclass=file

我将错误传递给 audit2allow 实用程序以创建允许它的规则，但是当我尝试启用该规则时，出现以下错误：

[root@app1 ~]# semodule -i logrotate.pp
libsepol.print_missing_requirements: logrotate's global requirements were not met: type/attribute logrotate_t (No such file or directory).
libsemanage.semanage_link_sandbox: Link packages failed (No such file or directory).
semodule:  Failed!

这是生成的规则本身：

[root@app1 ~]# cat logrotate.te 

module logrotate 1.0;

require {
    type logrotate_t;
    type usr_t;
    class file write;
}

#============= logrotate_t ==============
allow logrotate_t usr_t:file write;

Linux中是否有一个工具可以采用诸如 的路径/var/log/httpd/error_log，并打印路径每个分支的权限，即：

/var:                     root:root,         0755
/var/log:                 root:root,         0755
/var/log/httpd:           www-data:root,     0700
/var/log/httpd/error_log: www-data:www-data, 0644

这样的工具将使权限故障排除变得更加容易，尤其是在文件服务器等路径异常长的情况下。

每当我运行salt '*' state.highstate时，Salt 都会使用以下格式输出每个模块：

service_|-zabbix_server_|-zabbix-server-mysql_|-running:
    ----------
    __run_num__:
        17
    changes:
        ----------
    comment:
        Service zabbix-server-mysql is already enabled, and is in the desired state
    name:
        zabbix-server-mysql
    result:
        True
    retcode:
        2

我认为这开始发生在我意外地运行 highstate 并e在末尾附加了salt '*' state.highstate e.

关于如何将其恢复为正常输出格式的任何理论？

我们最近购买了一台翻新的 Dell 2950 II 作为我们实验室的开发盒。

安装操作系统（Debian Wheezy）并首次启动后，我在 DRAC 中收到以下错误，并且主机意外重启：

Critical    08/09/2014 03:13:50 CPU 2 has an internal error (IERR).
Critical    08/09/2014 03:13:50 CPU 1 has an internal error (IERR).

之后，我在下一次启动过程中收到以下信息（以相反的顺序）：

Critical    08/09/2014 03:15:41 A fatal IO error detected on a component at 
OK  08/09/2014 03:15:41 An OEM diagnostic event has occurred.
OK  08/09/2014 03:15:41 An OEM diagnostic event has occurred.
OK  08/09/2014 03:15:41 An OEM diagnostic event has occurred.
OK  08/09/2014 03:15:41 An OEM diagnostic event has occurred.
OK  08/09/2014 03:15:41 An OEM diagnostic event has occurred.
OK  08/09/2014 03:15:40 An OEM diagnostic event has occurred.
Non-Recoverable 08/09/2014 03:15:40 CPU 2 machine check detected.
Non-Recoverable 08/09/2014 03:15:40 CPU 2 machine check detected.
Critical    08/09/2014 03:15:40 A fatal IO error detected on a component at 
OK  08/09/2014 03:15:40 An OEM diagnostic event has occurred.
Critical    08/09/2014 03:15:40 A fatal IO error detected on a component at 
OK  08/09/2014 03:15:40 An OEM diagnostic event has occurred.
OK  08/09/2014 03:15:40 An OEM diagnostic event has occurred.
OK  08/09/2014 03:15:40 An OEM diagnostic event has occurred.
OK  08/09/2014 03:15:40 An OEM diagnostic event has occurred.
OK  08/09/2014 03:15:40 An OEM diagnostic event has occurred.
OK  08/09/2014 03:15:40 An OEM diagnostic event has occurred.
Non-Recoverable 08/09/2014 03:15:39 CPU 1 machine check detected.
OK  08/09/2014 03:14:05 CPU 1 is operating correctly.
OK  08/09/2014 03:14:05 CPU 2 is operating correctly.
OK  08/09/2014 03:14:05 CPU 1 is operating correctly.

现在，奇怪的是，大约 75% 的情况下，它会无法启动并显示上述错误，而另外 25% 的情况下它可以正常启动。

重启总是发生在 GRUB 菜单之后，但在 Debian 开始发布典型的 syslog/boot 消息之前。

一如既往，任何帮助将不胜感激，谢谢！

[root@dc ~]# service postfix status 
master (pid  1616) is running...

[root@dc ~]# ps -FHww -p 1616
UID        PID  PPID  C    SZ   RSS PSR STIME TTY          TIME CMD
root      1616     1  0  1794   684   0 20:50 ?        00:00:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

那么，有什么理论吗？

我想将以下行添加到我环境中的所有 /etc/sudoers 文件中：

# Administrators LDAP Group
%Administrators   ALL=(ALL)       ALL

但是，每台服务器都有不同的 /etc/sudoers 文件，从一个位置全部采购它们是不切实际的。

Salt中有没有办法确保文件中存在单行（或一组行），而不是管理整个文件？

好吧，我发誓我知道该怎么做！然而，它似乎已经让我忘记了，它开始让我感到沮丧，我不记得了......;）

如果我在没有 Anaconda 安装程序的情况下安装 CentOS 6，它将默认安装“最小”安装。但是，最小安装缺少基本实用程序，例如 wget，我想在事后将“基本服务器”配置文件安装到它上面。

因此，总结一下： 如何将“基本服务器”配置文件安装到 CentOS 的“最小”安装上？

我想在 Zabbix 中创建一个触发器，以便type=AVC在 CentOS 6 服务器/var/log/audit/audit.log文件中出现错误时随时提醒我。

我已经尝试创建一个基本的日志抓取。例如：

log[/var/log/audit/audit.log,type=AVC,"UTF-8",100]

但是，它不起作用。我相信这是由于/var/log/audit/audit.log它的父文件夹使用了以下权限：

drwxr-x---.  2 root root    4096 Apr 20 04:29 .
drwxr-xr-x. 13 root root    4096 Apr 14 12:07 ..
-rw-------.  1 root root 5948185 Apr 20 15:27 audit.log
-r--------.  1 root root 6291566 Apr 20 04:29 audit.log.1
-r--------.  1 root root 6291704 Apr 19 16:56 audit.log.2
-r--------.  1 root root 6291499 Apr 19 05:22 audit.log.3
-r--------.  1 root root 6291552 Apr 18 17:48 audit.log.4

出于安全原因，我不想更改权限。

有没有人/var/log/audit/audit.log用Zabbix做过日志监控？如果是这样，怎么办？

我有一个客户想找到一种廉价的方法来在彼此稳定的无线范围内的两座建筑物之间建立千兆链路（或左右）。他问我是否知道这样做的方法。

我说不。

话虽如此，我确实想到了一个想法，我想看看它在技术上是否可行。

• 想象一下，两座建筑物中有两个托管交换机。
• 每个交换机连接到每个建筑物中的三个 300mbps wireless-N AP（总共六个 AP）。
• 这三个 AP 然后作为 AP 桥连接到对面建筑物中的对应部分。
• 三个 AP 连接到每个交换机上的端口设置为使用 802.3ad（链路聚合）。

通过一些工作，是否有可能使用这种方法在两座建筑物之间建立一个 900mbps 的管道？

从理论上讲，AP 应该简单地转发数据包并在另一侧重新组装它们，这样交换机甚至不知道那里有一个 AP。

我有几台主机要直接连接到我的 WAN 子网，例如 1.1.1.1/29（用于 LAN 的 Web、邮件和路由器）。

我有一个Web 托管交换机 (DGS-1210-24)，想知道为此目的创建未标记的 VLAN 是否存在任何安全问题。

我们刚搬进新办公室。之前的租户倒闭了，卖不出去的东西就匆匆留下了。

留下的物品之一是这个东西：

它看起来是全新的，有点像世界上最小的刀片。它的背面甚至还有通用端口。

有人知道这是什么吗？

这个问题与我之前的问题有关：Log all commands run by admins on production servers

公司政策是管理员通过个人用户名登录服务器，然后运行sudo -i成为 root。运行后sudo -i，sudo 将创建一个名为的环境变量SUDO_USER，其中包含原始用户的用户名。

是否可以auditd在每个命令的日志中包含此变量？或功能等价物。

这是当前的规则集auditd：

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

# Log any command run on this system
#-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

公司政策是管理员通过个人用户名登录服务器，然后运行sudo -i成为 root。运行后sudo -i，sudo 将创建一个名为的环境变量SUDO_USER，其中包含原始用户的用户名。

有没有一种方法可以使用类似于以下语法的内容在 syslog中记录所有命令：

${TIME/DATE STAMP}: [${REAL_USER}|${SUDO_USER}]: ${CMD}

一个示例条目是：

Sat Jan 19 22:28:46 CST 2013: [root|ksoviero]: yum install random-pkg

显然它不必完全是上面的语法，它只需要包括最少的真实用户（例如 root）、sudo 用户（例如 ksoviero）和运行的完整命令（例如 yum安装随机 pkg）。

我已经试过了snoopy，但它不包括SUDO_USER变量。

好的，先说一点背景故事，

我们有一个 Tomcat 实例，它作为一种“网关”连接到多个服务提供商。如果此 Tomcat 实例无法连接到给定的提供程序，它将生成错误。这些错误存储在日志文件中。

问题是我们需要监控文件的不仅仅是一个给定的字符串，我们需要使用几个正则表达式来过滤所有无意义的东西，这样我们就不会因为用户忘记密码而在凌晨 3 点醒来。;)

我已经尝试创建一个位于 Zabbix 和 Tomcat 之间的 python 脚本，但是对于超过 200MB 的日志文件（每天轮换），它过于占用 CPU（15 秒以上为 100%）。我尝试添加一个“sleep(0.000005)”来减慢它的速度，但现在它需要很长时间（> 1 分钟）并且仍然使用 25% 的 CPU ...

总而言之，解决方案掩盖了问题，我想与你们联系，看看你们是否知道更好的解决方案，或者其他可能有帮助的方法。

有没有办法让 Zabbix 在凌晨 3 点发生高优先级问题时呼叫给定用户的手机？

我最初的计划是使用 Asterisk 和 Festival 作为 Zabbix 警报脚本的一部分，但事实证明这对我来说太复杂了……

有谁知道更简单的方法？

我是 VLAN 的新手，所以请考虑到这一点......

假设我设置了一台服务器来创建一个虚拟接口，该接口被设置为标记为 VLAN 3。例如，以下 Debian 配置：

iface eth0.3 inet static
    address 192.168.1.1
    netmask 255.255.255.0

现在在我的交换机上，假设我有上述服务器连接到的端口，设置为 VLAN 4...

谁赢？ 在网络的其余部分看来，数据包被标记为什么？

想象一下以下场景：

    Primary Switch
          |
    (VLAN 3 Port)
          |
   Unmanaged Switch
  (Dedicated to IPMI
      Interfaces)
          |
         / \
        /   \
Server 1    Server 2
 (IPMI)      (iDRAC)

当尝试与网络的其余部分通信时，非托管交换机上的客户端会自动成为 VLAN 3 的一部分吗？

以下是我traceroute从某个位置运行时发生的情况：

# traceroute google.com
traceroute to google.com (74.125.227.39), 30 hops max, 60 byte packets
 1  gateway.local.enactpc.com (10.0.0.1)  0.138 ms  0.101 ms  0.084 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

完全没有兴趣...

现在，最初我认为这只是该位置网络设置的一个事实。（我假设他们阻止了 ping 或其他东西......）

但是，请注意当我使用nmaptraceroute 运行时会发生什么......

# nmap -sP --traceroute google.com

Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-25 22:18 CDT
Nmap scan report for google.com (74.125.227.40)
Host is up (0.034s latency).
Hostname google.com resolves to 11 IPs. Only scanned 74.125.227.40
rDNS record for 74.125.227.40: dfw06s06-in-f8.1e100.net

TRACEROUTE (using proto 1/icmp)
HOP RTT      ADDRESS
1   0.19 ms  gateway.local.enactpc.com (10.0.0.1)
2   1.93 ms  99-20-92-1.lightspeed.austtx.sbcglobal.net (99.20.92.1)
3   25.61 ms 99-20-92-2.lightspeed.austtx.sbcglobal.net (99.20.92.2)
4   ... 6
7   23.68 ms 12.83.68.137
8   31.30 ms gar23.dlstx.ip.att.net (12.122.85.73)
9   ...
10  31.82 ms 72.14.233.65
11  32.27 ms 209.85.250.77
12  32.98 ms dfw06s06-in-f8.1e100.net (74.125.227.40)

Nmap done: 1 IP address (1 host up) scanned in 3.29 seconds

使用时nmap我得到的结果比使用 时多得多traceroute，为什么？

注意，我检查过，目标 IP 地址的差异不相关...

编辑：

$ sudo traceroute -I google.com
[sudo] password for XXX: 
traceroute to google.com (74.125.227.14), 30 hops max, 60 byte packets
 1  gateway.local.enactpc.com (10.0.0.1)  0.151 ms  0.132 ms  0.121 ms
 2  * * *
 3  99-20-92-2.lightspeed.austtx.sbcglobal.net (99.20.92.2)  27.277 ms  27.661 ms  27.666 ms
 4  * * *
 5  * * *
 6  * * *
 7  12.83.68.137 (12.83.68.137)  28.446 ms  24.024 ms  24.689 ms
 8  gar23.dlstx.ip.att.net (12.122.85.73)  62.576 ms  61.079 ms  38.973 ms
 9  * * *
10  72.14.233.65 (72.14.233.65)  32.226 ms  31.343 ms  100.206 ms
11  216.239.47.54 (216.239.47.54)  33.117 ms  31.809 ms  32.469 ms
12  dfw06s03-in-f14.1e100.net (74.125.227.14)  32.307 ms  31.807 ms  32.554 ms

我的一个客户是德克萨斯州的一个小学区。与任何学校一样，他们经常遇到打印机等网络外围设备的问题。

如果能够简单地“聆听”打印机和 PC 彼此之间的交流（或者更重要的是不交流），那就太好了……问题是我再也找不到老式的“集线器”了，即使我可以，这也不是一个长期的解决方案。

我发现所有可复制简单集线器用途的设备要么价格超过 100 美元，要么很难放入网络工具包（也就是我的背包）中……

现在集线器已经死了，网络世界中简单数据包捕获的新低成本标准是什么？