csi's questions

通过私有子网连接到 MySQL 数据库服务器时是否建议使用 SSL 连接？

SSL 提供加密，但 SSL 会导致性能下降。MySQL 数据库服务器仅服务于 VPC 私有子网。我看不出为此连接包含 SSL 的理由。

伟大的 Apache Hardening 帖子推荐“从非特权帐户运行 Apache”，因为“默认 apache 配置是作为无人或守护进程运行”。

默认情况下是否被www-data:www-data视为非特权帐户？
还是改成类似的更好apache2:apache2？

无论哪种情况，最好将 Apache 文件从 root 所有权更改为该用户？

sudo chown -R www-data:www-data /etc/apache2  

或者

sudo chown -R apache2:apache2 /etc/apache2  

Tiger 安全审计工具过去一直是标准安装。但是，Tiger 似乎并没有被更新。

Tiger 在 Ubuntu 14.04 上仍然是一个有效的安全审计工具吗？如果没有，是否有任何替代方案？

如何更改我的 Amazon 安全组上的入站 SSH 端口？为 SSH 添加新规则时，端口默认为 22，无法编辑。

这可能吗？

请注意：此问题不是询问如何将入站规则添加到 Amazon 安全组。
它也没有询问如何更改 sshd_config 中的 ssh 端口。
这个问题也不是问默默无闻的安全是否是一个好策略。
谢谢。

用户通过 ssh 连接。用户也被 chroot 到他们的主目录。目标是安全。

由于用户是 chroot-ed，当他们登录 /bin/bash 时找不到。显然，用户需要 shell 命令。

Shell 访问可以通过
1) 符号链接 /bin/bash 到 /home/username
2) mount --bind via /etc/fstab - 首选选项，因为服务器经常重新启动。

这两个选项之间的安全性有区别吗？
还是有第三种更安全的选择？

我们的 Linux (Mint) 系统有 2 个管理员用户 - mint 和 admin。admin 和 mint 需要做什么才能共享 gem？

Mint 通过 bundler 在/home/mint/rbenv/目录中安装了 chef、berkshelf 和 knife-ec2。切换到 admin 时，找不到这些程序：

当前未安装程序“刀”。要运行“刀”，请让您的管理员安装包“厨师”

两个用户如何共享已安装的软件包/程序？

尝试建立具有有限用户权限和自动化部署的安全多用户环境。该示例已简化以表达该想法。

Docroot：/var/www/site/staging/current/public
部署用户site-staging:staging
主目录： /home/site-staging

部署工具创建两个目录 - 发布和当前。Current 是指向发布子目录的符号链接，该子目录在每次站点更新时都会更改。

然后当前mount -a指向实际安装发布目录的文档根目录，因为您无法安装符号链接。

#/etc/fstab
/var/www/site/staging/current /home/site-staging/current none rw,bind

请记住，当前目录是一个符号链接，每次部署/更新站点时都需要卸载和重新安装。

如何将部署用户限制到他们的主目录（chroot），同时自动将当前目录挂载到 docroot？

那是唯一的选择吗？有更好的策略吗？

Ubuntu Server 运行 MySql 服务器。

我们的服务器上有 5 个数据库。在最近的一次崩溃中，服务器恢复不正确，现在 1 个数据库 (B) 有 2 个不正确的表，而第二个数据库 (A) 完全不正确。

如何正确替换数据库文件？

是不是这么简单

cp -a /path/to/backup/databaseA/ /var/lib/mysql/databaseA
cp -a /path/to/backup/databaseB/table1.MYD /var/lib/mysql/databaseB
cp -a /path/to/backup/databaseB/table1.MYI /var/lib/mysql/databaseB
cp -a /path/to/backup/databaseB/table2.ibd /var/lib/mysql/databaseB

值得一提的是，有混合的 MyISAM 和 InnoDB 表。

使用 Postfix 通过 Amazon SES 发送邮件的 Linux 服务器。从 Wordpress 发送电子邮件时，由于信封发件人地址不正确，电子邮件被拒绝。

如何将 Postfix 配置为始终使用 [email protected] 作为信封发件人地址？

我正在寻找可以配置的默认属性，而不是基于代码的解决方案。

尝试允许端口 22 上的传入 ssh 流量。默认行为是丢弃所有传入流量。

我遇到了 2 篇关于如何允许流量的文章。但是，它们是不同的。

## open port ssh tcp port 22 ##
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

VS

# Allow all incoming SSH
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

似乎第一个允许所有流量，然后指定一个特定的网络。好像这些是互斥的？

这两个有什么区别，我应该使用哪一个？

在我们的 Ubuntu 服务器上，启用了 ipv4 和 ipv6。到目前为止，我们已经采取了这些步骤。

• 启用 iptables 和 ip6tables
• 将规则完全从我们的 iptables 复制到 ip6tables

我们是否需要对 ip6tables 进行额外的调整？
假设我们的服务器针对 ipv4 进行了强化，我们是否需要针对 ipv6 进行额外的更改？

我无法访问 Ubuntu 服务器上的 mysqladmin。我已经尝试了这 3 个命令，但它们都失败了。

1. ec2-consistent-snapshot
2. mysqladmin -u root password 'password'
3. /usr/bin/mysqladmin -u root password 'password'

错误信息：

/usr/bin/mysqladmin: connect to server at 'localhost' failed
error: 'Access denied for user 'root'@'localhost' (using password: NO)'

我可以使用 root 和密码通过 phpMyAdmin 访问。
netstat -an返回一个监听端口

 127.0.0.1:3306          0.0.0.0:*               LISTEN  

我还重新启动了 mysql 服务，但没有任何改变。

我怎样才能解决这个问题？

Linux 服务器
/www/website目录是我的 html 目录
希望用户通过 ftp/user/website/public_html访问已 chroot 并仅限于 ftp 访问 的目录

我目前通过
sudo mount --bind /www/website /user/website/public_html -t ext4.
但是，这会在几天后中断并停止工作（不知道为什么）。

那么我应该使用 mount --bind 还是应该使用符号链接？如果 mount --bind，我怎样才能防止它损坏？

带有用户的 Ubuntu 服务器

root  
www-data  
mywebsite1  
mywebsite2

该服务器上托管了多个网站，每个网站都有自己的用户。
每个网站都有自己的 cron 作业，主要是备份文件和发送电子邮件。

我应该使用 www-data 或 root 等通用用户运行所有 cron 作业吗？
或者我应该以每个站点的特定用户身份运行这些作业，因为每个 cron 作业都是特定于单个站点的？

目前来自的信封是[email protected]。
从本网站发送的所有电子邮件均使用 的发件人地址[email protected]。

我应该更改信封发送地址以匹配发件人地址吗？为什么？

请帮忙。一切正常。我现在如何连接到命令行？

配置
Amazon EC2 服务器
Ubuntu & Apache2
只有一个用户（root - 不是真实姓名）有 SSH 访问权限，只有公钥
所有其他用户都允许 SFTP 访问，chroot 到主目录

发生了什么
我通过 SSH 连接到服务器。
在用户的主目录中，我编辑了一个 php 文件并移动了一个目录。
我注销了。

现在我无法通过 SSH 访问服务器。当我尝试通过 SSH 连接时，我的公钥已尝试但不允许访问。一旦公钥失败，它会检查我机器上的其他公钥，然后给出Too many authentication failures for.... 公钥文件已经几个月没有修改了。

仍然可以通过 SFTP 连接，但我已 chroot 到用户的主目录。

如何访问我的命令行提示符？我应该怎么办？

MySQL 服务器已安装并运行良好。今天我们无法通过我们的网站连接到数据库。使用命令行访问mysql -u username -p也失败。最后，phpmyadmin 失败了。

ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)

service mysql restart
stop: Unknown instance:
start: Job failed to start

过去一周的错误日志 (/var/log/mysql/error.log & /var/log/mysql.err & /var/log/mysql.log) 都是空的。问题是今天才开始的。

我看过很多答案，包括Ubuntu Error 2002 “Can't connect to local MySql server through socket…”和ERROR 2002 (HY000): Can't connect to local MySQL。

我应该重新安装 mysql 服务器并将其记为未知错误吗？（显然是个糟糕的主意）。

立即修复并防止再次发生的正确做法是什么？

请帮忙！

服务器出现问题，MySql 不再在我们的服务器 (Ubuntu) 上运行。服务无法识别，需要重新安装。不幸的是，数据库已经 48 小时没有备份，而且信息量很大。

如何重新安装 MySql 并保留所有数据库数据？请注意——我根本无法访问 mysql。我不能使用命令行 mysql 或 phpmyadmin。

提前致谢，如果我遗漏了重要的细节，请告诉我。

我们有一个带有自己域名的测试服务器。我们不希望从该域发送任何电子邮件。我们不希望在此域上收到任何电子邮件。

从 DNS 中删除 MX 记录是否可以？

有 3 个服务器 - Web 服务器、邮件服务器和仅出站电子邮件服务器。仅出站电子邮件服务器代表网络服务器发送基于交易的电子邮件（密码重置、联系我们等）

我应该如何设置 DNS 以提高仅出站电子邮件服务器的电子邮件送达率。

A记录
www & * 指向Web服务器
IP地址 mail 指向邮件服务器
IP地址 只发邮件服务器的IP地址需要A记录吗？如果是这样，前缀应该是什么？

MX 记录
mx 记录指向邮件服务器的 IP 地址
仅出站邮件服务器是否需要 MX 记录？ （我不相信，但要求完整性）

SPF 记录
SPF 记录 (TXT) 列出了仅出站电子邮件服务器 IP。DKIM 也是一种未来的可能性。

编辑
根据下面的答案但为未来的读者总结，
1）出站邮件服务器不需要 A 记录
2）出站邮件服务器不需要 MX 记录
3）出站邮件服务器的 SPF TXT 记录是
4) 还需要一个出站邮件服务器的PTR记录。这是了解PTR的一个很好的链接。