jldugger's questions

我正在Google Cloud中制作一个带有一个磁盘基础映像的小型 VM，并希望使用 HashiCorp 的Terraform管理我的 GCP 基础设施这是我正在运行的基本 TF 代码：

resource "google_compute_disk" "blog" {
    image = "ubuntu-1604-lts"
}
resource "google_compute_instance" "blog-vm" {
    disk {
        disk = "${google_compute_disk.blog.id}"
        auto_delete = false
    }
}

当我tf apply，它第一次工作正常。但随后的计划想要重建磁盘，从而重建 VM 本身。

-/+ google_compute_disk.blog
    image:                      "ubuntu-1604-xenial-v20170619a" =>
                                "ubuntu-1604-lts" (forces new resource)

我的目标是在创建映像时选择最新的 ubuntu-lts 模板，但如果创建了磁盘，则不要管它。这在 Terraform 中可能吗？

为半复杂的设置编写一些测试。systemd删除软件包安装的一些初始化脚本后，我需要重新加载。

pager.rb：

execute 'systemctl daemon-reload' do
  action :nothing
end

...

file '/etc/init.d/pdagent' do
  notifies :run, 'execute[systemctl daemon-reload]', :immediately
  action :delete
end

这一切都有效，但我在为执行块编写 ChefSpec 测试套件时遇到了麻烦。Seth Vargo 的示例显示了 run_execute 的匹配器，但使用它action :nothing失败：

spec.rb：

it do
  expect(chef_run).to run_execute('systemctl daemon-reload')
end

结果是：

失败/错误：expect(chef_run).to run_execute('systemctl daemon-reload') 预期“执行 [systemctl daemon-reload]”操作 [] 包括：run # ./spec/pagerduty_spec.rb:18:in `block （2 级）在 '

在构成我们的 Nagios 服务器的大量文件中，有服务检查负载：

define service{
        use                             generic-service
        name                            check-load
        hostgroup_name                  nrpe-hosts,!webnodes,!build-cluster
        notification_options            c,r
        service_description             NRPE - Load
        check_command                   check_nrpe!check_load
        contacts                        irc
}

还有两个联系人：

define contact{
        contact_name                    irc
        alias                           ircbot
        host_notification_period        24x7
        service_notification_period     24x7
        host_notification_options       d,u,r,f
        service_notification_options    w,u,c,r,f
        service_notification_commands   notify-by-epager
        host_notification_commands      host-notify-by-epager
        pager                           [email protected]
        }

define contact {
       contact_name                             pagerduty
       alias                                    PagerDuty Pseudo-Contact
       service_notification_period              24x7
       host_notification_period                 24x7
       service_notification_options             u,c,r
       host_notification_options                d,r
       service_notification_commands            notify-service-by-pagerduty
       host_notification_commands               notify-host-by-pagerduty
       pager                                    lol-no
}

编辑：还有，服务继承的事情：

define service{
        name                            generic-service
        check_period                    24x7
        max_check_attempts              3
        normal_check_interval           3
        retry_check_interval            1
        notification_interval           0
        notification_period             24x7
        notification_options            w,c,r
        register                        0       ; DONT REGISTER THIS DEFINITION - ITS NOT A REAL SERVICE, JUST A TEMPLATE!
}

Edit2：还有一个通知命令定义，仅供怀疑者使用；）：

# 'notify-by-epager' command definition
define command{
        command_name    notify-by-epager
        command_line    /usr/bin/printf "%b" "Service: $SERVICEDESC$\nHost: $HOSTNAME$\nAddress: $HOSTADDRESS$\nState: $SERVICESTATE$\nInfo: $SERVICEOUTPUT$\nDate: $LONGDATETIME$" | /bin/mail -s "$NOTIFICATIONTYPE$: $HOSTALIAS$/$SERVICEDESC$ is $SERVICESTATE$" $CONTACTPAGER$
}

Edit3：和主机定义：

define host{
        host_name                       vmprod1
        alias                           vmprod1.example.com
        address                         192.1.1.123
        use                             generic-host
        hostgroups                      nrpe-hosts,vm-hosts,vm-prod,dellraid-hosts
        contact_groups                  example,example-pager
}

这是服务描述“NRPE - 加载”的唯一检查。根据我的阅读，这应该只提醒 irc 联系人，而不是 pagerduty 联系人。然而，我上个月在 PagerDuty 中收到了 100 多个“NRPE - 加载”警报。

我错过了什么？

最近重新启动后，我有一对服务器现在无法监控它们的磁盘状态。纳吉奥斯报告：

HP RAID Array
UNKNOWN Error: No controllers detected. -/-/- (LD : []) 

我在主机上手动运行检查时遇到同样的错误。当我这样做时，每当我手动运行该检查时，内核日志都会显示以下内容：

Apr  8 17:00:00 www.example.org kernel: [12345.000000] grsec: 
From 10.11.12.13: denied use of iopl() by /opt/hp/hpacucli
/hpacucli.bin[hpacucli.bin:666] uid/euid:0/0 gid/egid:0/0, parent 
/bin/bash[bash:777] uid/euid:0/0 gid/egid:0/]

hpacucli 是用于与硬件 RAID 控制器交互并收集诸如磁盘状态之类的东西的工具。它使用 iopl() 也就不足为奇了。grsec文档建议这是由kernel.grsecurity.disable_priv_io但 sysctl 说密钥是未知的，我似乎也无法设置它。

有没有办法改变它以允许 hpacucli 访问 iopl() 而不必说重建到非 grsec 内核？

昨晚收到通知，服务器上的驱动器出现故障。今天早上去更换它，我们得到以下。阵列的控制器配置报告看起来很好，异常状态Ready for Rebuild。

 ~ # hpacucli controller all show config
Smart Array P400i in Slot 0 (Embedded)    (sn: XXXXXXXX     )
   array A (SAS, Unused Space: 0 MB)
   logicaldrive 1 (341.7 GB, RAID 5, Ready for Rebuild)
   physicaldrive 1I:1:1 (port 1I:box 1:bay 1, SAS, 72 GB, OK)
   physicaldrive 1I:1:2 (port 1I:box 1:bay 2, SAS, 72 GB, OK)
   physicaldrive 1I:1:3 (port 1I:box 1:bay 3, SAS, 72 GB, OK)
   physicaldrive 1I:1:4 (port 1I:box 1:bay 4, SAS, 146 GB, OK)
   physicaldrive 2I:1:5 (port 2I:box 1:bay 5, SAS, 72 GB, OK)
   physicaldrive 2I:1:6 (port 2I:box 1:bay 6, SAS, 72 GB, OK)

逻辑驱动器显示提示，奇偶校验初始化状态：初始化失败：

~ # hpacucli controller slot=0 logicaldrive 1 show 
Smart Array P400i in Slot 0 (Embedded)
   array A
      Logical Drive: 1
         Size: 341.7 GB
         Fault Tolerance: RAID 5
         Heads: 255
         Sectors Per Track: 32
         Cylinders: 65535
         Strip Size: 64 KB
         Full Stripe Size: 320 KB
         Status: Ready for Rebuild
         Array Accelerator: Enabled
         Parity Initialization Status: Initialization Failed
         Unique Identifier: XXXXXXX
         Disk Name: /dev/cciss/c0d0
         Mount Points: /boot 191 MB, / 28.6 GB
         OS Status: LOCKED
         Logical Drive Label: XXXXX     6797

阵列配置（如果有帮助）：

 ~ # /usr/sbin/hpacucli ctrl slot=0 show
Smart Array P400i in Slot 0 (Embedded)
   Bus Interface: PCI
   Slot: 0
   Serial Number: XXXXXXXX     
   Cache Serial Number: XXXXXXXX
   RAID 6 (ADG) Status: Enabled
   Controller Status: OK
   Hardware Revision: B
   Firmware Version: 1.18
   Rebuild Priority: Low
   Expand Priority: Low
   Surface Scan Delay: 15 secs
   Surface Scan Mode: Idle
   Post Prompt Timeout: 0 secs
   Cache Board Present: True
   Cache Status: OK
   Accelerator Ratio: 50% Read / 50% Write
   Drive Write Cache: Disabled
   Total Cache Size: 256 MB
   Total Cache Memory Available: 208 MB
   No-Battery Write Cache: Disabled
   Cache Backup Power Source: Batteries
   Battery/Capacitor Count: 1
   Battery/Capacitor Status: OK
   SATA NCQ Supported: False

我该如何调试呢？

编辑：

所有单个驱动器看起来都很好：

~ # hpacucli controller all show config detail | grep Status
   RAID 6 (ADG) Status: Enabled
   Controller Status: OK
   Cache Status: OK
   Battery/Capacitor Status: OK
      Status: OK
         Status: Ready for Rebuild
         Parity Initialization Status: Initialization Failed
         OS Status: LOCKED
         Status: OK
         Status: OK
         Status: OK
         Status: OK
         Status: OK
         Status: OK

编辑2：

我正在调试 hpaducli 和 grsec（还有 mp-SSH 和 Ubuntu）之间的一些不利交互，但我们确实有 hpacucli diag 结果可用，并且隐藏在逻辑驱动器状态标志中的是Rebuild Aborted From Read Error. 这里让我感到困惑的是，重建期间的读取错误如何不会导致标记其中一个驱动器预测性故障，或者更糟，但确实会导致重建停止。

今天我的一个用户来找我，问了我一个让我很困惑的问题：为什么.musecore我们的网络服务器上的文件显示一个炸弹图标 ( ) 而不是文件夹图标？

更一般地说，Apache 如何决定要显示什么图标，我在哪里可以检查和/或更改该配置？

XML 解析错误：格式不正确位置：https ://awstats.example.org/reports/www.example.org/2011/06/awstats.www.example.org.xml第 603 行，第 34 列：

<tr><td class="aws">- Toile du Qu\uffffbec</td><td>363</td><td>363</td></tr>

由于 markdown 的奇怪性，上面的内容并不是它的呈现方式；相反，您会得到 FFFF 的 unicode failbox。我不确定为什么这是个问题，因为 vim 可以很好地呈现它，并且文档本身说

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">

我需要启用 awstats 中的设置才能正确处理非美国字符吗？

当我在我们的 Apache 服务器上运行 configtest 时，我得到以下信息：

`Syntax error on line 1023 of /www/conf/httpd.conf: 
Invalid command 'SSLEnable', perhaps mis-spelled or defined by a module not included in the server configuration`

我知道这部分配置有效。是否有让 configtest mod_ssl 感知的技巧？

编辑：RHEL4，非标准 Apache 1.3 安装？我只是想将 ssl 访问日志格式修复为 Webalizer 可以在我们取消之前更清楚地了解谁仍在使用这个东西。由于它正在消失，因此仅针对这个侧面项目升级 apache 没有意义。

Ubuntu官方推荐使用sudo do-release-upgrade从一个版本到下一个版本进行在线升级。从历史上看，我和我的许多 Debianite 朋友只是简单地更改了 apt 的 sources.list 和 run apt-get dist-upgrade。

我遵循 Ubuntu 的建议，但我一直想知道这两个进程之间的神奇区别是什么。确切地说，do-release-upgrade从 9.04 升级到 9.10 会做什么？（欢迎其他版本的示例。）

RHEL 5.4 中发布的 Apache 版本非常旧。我最近才需要的一个功能。似乎 Apache 上游只提供 tarball，并省略了二进制包。显然我可以从源代码构建，但是像这样升级单个包的规范方法是什么？

在现有 SPEC 中放置更新的 tarball 是常见的程序，还是有人已经针对 RHEL 做了所有这些？

我们最近成立了 Nessus，但每年的费用并不便宜。最近 Google 发布了SkipFish，它似乎在 webapps 领域展开竞争。

据我所知，Nessus 通过一个包含已知漏洞的大型数据库进行操作。而且，据我所知，Skipfish 会自动生成漏洞测试。有没有人比较这两种方法的有效性呢？

我们的大多数服务器都获得了 2 个并发远程桌面会话的许可。这很好，只要每个人都执行他们的管理任务并注销，但是有些人会意外关闭会话（断开连接但保持登录状态）。

我知道您可以使用正确的管理工具强迫某人离开，但这有点难看，可能会损害生产力，甚至可能损害服务器（？）。我在想，Nagios 每晚对可用的远程会话进行检查，这将有助于加强对该主题的纪律。谁能推荐一个可以监控终端服务可用性的服务检查？

我有一个现有的 SVN 系统，我们正在从 SVN AuthUserFile（一种平面文件格式）迁移到 LDAP 身份验证。在此过程中，我们希望建立一个过渡阶段，让 LDAP 和 AuthUserFile 都可以工作。

Apache 支持是否通过身份验证机制实现？我正在阅读文档，但仍然不清楚。

在 ssh 上调试 Nagios 警告时，我发现这gssapi-with-mic会导致身份验证出现长时间滞后。我已将其关闭，但我到底错过了什么？我认为GSSAPI是一种身份验证工具，但那-with-mic部分呢？

思科提供了一个 WLAN 系统，允许管理员将WiFi 访问限制为经过身份验证的用户。然而，下面的说法让我很困扰：

1. 使用安全的https://1.1.1.1/login.html.

   .... 显示安全警报窗口。

2. 单击是以继续。

该安全警报是 HTTPS 证书无效的警告。据我所知，没有什么能阻止攻击者设置流氓 AP 来钓鱼用于login.html. 更令人担忧的是，如果攻击者不使用 SSL，Firefox 更有可能警告合法 AP 而不是网络钓鱼！

在这里可以做些什么吗？

我想用更安全的系统替换 FTP 访问。以未加密的纯文本形式发送密码是不可接受的，并且随着单点登录的增长，每天都变得越来越不可接受。

问题：我需要支持 Linux、Windows 和 OS X 的东西，并且服务器需要在 Windows 上运行。

编辑：它还需要根据预先存在的 Windows 凭据对用户进行身份验证。

我想给学生SVN存储库，并按项目将它们分开，这样对一个项目的提交就不会增加不相关项目的修订号。然后我想按用户名将它们分组到目录中，部分原因是我可以删除旧的学生帐户。

为了获得我需要的粒度和其他功能，Apache + WebDAV 是我打算使用的系统，但我有一个问题：SVNParentPath让我指定一个目录来查找存储库，但设置该指令是否会导致系统搜索 SVN从父路径递归地回购？

我需要创建和运行一些学生 SVN 存储库，并创建一些细粒度的访问控制，以防止学生作弊，同时允许教师访问修订历史。

对于单个存储库，我可以使用 WebDAV 并配置AuthzSVNAccessFile为允许访问。但我需要多个存储库。我可以设置多个<Location>指令，但这很冗长，而且每当我需要添加或删除一个 repo 时，它都需要重新加载 Apache。有一种方法可以指定包含多个 repos 的“父路径” SVNParentPath，但是是否有相应的方法将 authz 文件映射到这些 repos？

一位朋友带着一个 Ubuntu 问题来找我，我没有一个快速的一次性答案，所以我把它介绍给 SF：如何列出给定 apt 存储库中所有可用的包？例如，Canonical 合作伙伴 repo 中的所有包。

我们有一个奇怪的问题，IE7 没有显示错误迹象，但 Firefox 和 Linux 工具有。例如，一个 wget 测试可能用于监控系统的 SSL 可用性（公共 DNS 和 IP 地址匿名）：

wget https://subdomain.website.edu
--2009-09-02 14:11:06--  https://subdomain.website.edu/
Resolving subdomain.website.edu... 192.168.227.87
Connecting to subdomain.website.edu|192.168.227.87|:443... connected.
ERROR: cannot verify subdomain.website.edu's certificate, issued by `/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)05/CN=VeriSign Class 3 Secure Server CA':
  Unable to locally verify the issuer's authority.
To connect to subdomain.website.edu insecurely, use `--no-check-certificate'.
Unable to establish SSL connection

“无法在本地验证发行人的权限，”它说。证书有问题，或者验证证书的本地系统有问题吗？