burnersk's questions

我的目标是将 Munin 的接口流量图聚合成一个堆叠图，以便快速概览所有服务器的流量。

这是单个图的示例，我想与其他相同类型的图一起聚合。

除了我自己的实现之外，我还找到了几个解决这个问题的“解决方案”（堆栈和求和），但没有一个能按照我的计划进行。

例如，以下“自制”解决方案将正确聚合/堆叠出站流量，但是，完全省略入站流量。

[exmaple.com;Totals]
    outside_traffic.graph_title Outbound traffic
    outside_traffic.graph_args --base 1000
    outside_traffic.graph_order down up
    outside_traffic.graph_category network
    outside_traffic.graph_vlabel bits in (-) / out (+) per ${graph_period}
    outside_traffic.graph_total Total
    outside_traffic.up.label outbound
    outside_traffic.up.type DERIVE
    outside_traffic.up.draw AREA
    outside_traffic.up.min 0
    outside_traffic.up.negative down
    outside_traffic.up.stack \
        kit-deu-01=kit-deu-01.example.com:if_enp0s31f6.up \
        pgsql1=pgsql1.example.com:if_eth0.up \
        proget1=proget1.example.com:if_eth0.up \
        redis1=redis1.example.com:if_eth0.up \
        salt=salt.example.com:if_eth0.up \
        secc=secc.example.com:if_eth0.up
    outside_traffic.down.label inbound
    outside_traffic.down.type DERIVE
    outside_traffic.down.draw AREA
    outside_traffic.down.graph no
    outside_traffic.down.min 0
    outside_traffic.down.stack \
        kit-deu-01=kit-deu-01.example.com:if_enp0s31f6.down \
        pgsql1=pgsql1.example.com:if_eth0.down \
        proget1=proget1.example.com:if_eth0.down \
        redis1=redis1.example.com:if_eth0.down \
        salt=salt.example.com:if_eth0.down \
        secc=secc.example.com:if_eth0.down

我也尝试省略outside_traffic.down.graph no，但这也没有效果。

如何正确聚合图表，以便在一个图表中聚合正（出站）和负（入站）流量，就像单个源图一样？

我有一个 Windows Server 2019 服务器，它本身运行一些服务，以及带有 Windows 和 Linux 来宾的 Hyper-V 虚拟机。

为了集中用户和机器管理，我在主机系统上设置了Active Directory 域服务、DNS以及文件和存储服务。我已将各种虚拟机加入 AD 域，并从单点控制用户和（虚拟）机策略。

在孤立的视图中，这工作正常。

更大的图景是，所有服务（AD DS、DNS、文件和存储）都绑定到一切（任何接口）。我很快意识到了这一点，并禁用（或更改了）服务的防火墙规则以仅匹配内部接口，我希望服务打开。

但是，在每晚重新启动（安装补丁等）后，AD DS、DNS、文件和存储添加的部分/大部分防火墙规则被重新启用并更改为默认状态（任何接口）。

如何将 AD DS、DNS 以及文件和存储服务配置为仅绑定到指定的内部接口，或者如何强制更改我的防火墙规则，以便在每次服务器重新启动后“它们”（服务）不会覆盖它？

我有一个提供 SMB 和 iSCSI 目标的 NAS，以及一个通过 10 GbE 链路直接连接的服务器（中间没有交换机）。

与 SMB“目标”的“高”（预期）速度相比，我使用 iSCSI 目标的速度很慢。

查看 SMB (Y:) 和 iSCSI (E:) 之间的速度比较：

如何调查 iSCSI 目标的性能问题？

NAS：群晖 RackStation RS3617xs+

我有一个运行 Debian 9 (Stretch) 的物理/专用服务器。服务器有足够的资源来支持自己的负载和一些虚拟机的负载（在这个问题中：Windows Server 2016 Standard edition）。

为了简化这个问题，我将使用Debian 主机来指代运行 Debian 9 (Stretch) 的物理/专用服务器，并使用 Windows VM来指代运行在Debian 主机。

Debian 主机使用 KVM/QEMU/virsh 来提供虚拟化能力及其配置。Debian 主机当前没有配置任何虚拟机（或网络）。Debian 主机只有一个映射到网络接口的物理网卡 (NIC) eth0。Debian 主机本身提供了 Debian 主机在托管其他虚拟机时也应该提供的各种服务。

Debian 主机应该（这个问题的范围）托管一个 Windows 虚拟机。Debian 主机及其服务应该能够通过私有 IPv4 网络/地址访问 Windows VM。Windows VM 应该能够通过相同的 IPv4 网络（Debian 主机的私有 IPv4 地址）访问 Debian 主机。不应通过公共 IPv4 或 IPv6 网络/地址访问Windows VM 。Windows VM 应该能够访问 Internet（传​​出连接）。Windows VM 不应分配公共 IPv4 或 IPv6 网络/地址。Debian 主机上的代理应代理特定传入连接到 Windows VM 的私有 IPv4 地址。

Debian 主机应该进一步（与这个问题相关）能够托管更多的虚拟机（其他 Debian 实例）。Debian 主机上的所有虚拟机都应该相互隔离。意思是 Debian 主机可以到达所有的虚拟机，所有的虚拟机都可以到达 Debian 主机和 Internet，但是虚拟机之间不能（直接）互相访问。

我发现了一些关于 VM 网络的概念。但是，我找不到符合我需求的解决方案。我能找到的最接近（但不匹配）的概念是：桥接网络。有了这个，Windows VM 将连接到“互联网”。这是不希望的。其他概念（NAT，仅主机）要么不允许主机 -> 访客或访客 -> 互联网访问。

我的问题是：我计划的网络设计是否可以使用一个虚拟 NIC？如何在 Debian 主机和 Windows VM 上使用 KVM/QEMU 实现这样的网络设计？

由于托管服务提供商方面的网络限制，我无法在虚拟机内使用公共 IP 地址（IP 到 MAC 过滤器）。另外：我不希望虚拟机可以直接从 Internet 访问。

欧盟的通用数据保护条例 (GDPR) 和德国的 DSGVO 实施对于与个人相关的数据（例如 IP 地址）非常严格。然而，这个问题与 GDPR 无关，而是如何使用 nginx HTTP 访问日志来实施监管，同时保持在用户旅程中“识别”匿名用户的可能性（将用户旅程与其他用户旅程分隔）。

我目前的实现是，我根本不记录远程 IP 和端口。我清除了上游/代理/等的环境变量，并且简单的访问日志没有远程 IP 和端口信息。

现在我面临的问题是我需要遵循用户旅程的路径。我只是没有任何方法可以“识别”哪些请求在哪个用户旅程中。我想指出，我也不使用 cookie 等。

“识别”“匿名用户”的传统方法是查找远程 IP 和日期信息。在同一天，同一个远程 IP 很可能是同一个用户。但是，如上所述，我不记录远程 IP 和端口信息。我现在也不想这样。

我目前的做法是使用远程端口和请求日期对远程 IP 地址进行哈希处理。我将获得带有日志的日期信息，但没有远程端口，所以我无法 - 如果没有严重的暴力破解 - 恢复远程 IP，即与个人相关的数据。这种方法将有助于回馈一定程度的用户旅程识别，这对我有很大帮助。

完成这种方法的一般工作流程是：

1. 请求被 nginx 接受，
2. nginx 使用远程 IP、远程端口和当前日期（例如md5_hex("$remote_addr $remote_port $current_date")）执行哈希操作，并将哈希存储在新变量中（例如$remote_ip_anonymous），
3. log_format 将具有 $remote_ip_anonymous 变量。

由于当前的日期盐，即使远程 IP 和远程端口相同，哈希也会改变。当远程端口改变时，它会改变。所以这对于 GDPR 或至少最低的数据安全类别应该没问题，而实际的远程 IP 将是 GDPR 的市长数据安全类别。

理论够了……我将如何实现这样的远程 IP 匿名化？我是否必须使用 nginx Perl 模块或 Lua 模块，或者是否有另一种（更快）方法来获取该哈希并将其存储到 nginx 变量中？

我有两台应用程序服务器在运行 VSphere 的 VMWare ESXi（5.5，近期升级到 6.5）虚拟主机内的主动/主动集群中运行。应用程序需要一个共享的高性能存储。

ESXi 使用使用 LUN 的 EMC 存储。

有没有办法创建通过 VSphere 映射到两个 VM 的附加存储（磁盘设备）？

我个人会选择引入额外虚拟机的 GlusterFS，但我的基础设施管理员倾向于拒绝它（达到虚拟机限制）。所以 GlusterFS 方法对我来说是不可能的。

我正在使用 nginx 将 HTTP 请求代理到在 Docker 容器 ( cbeer/piwik ) 内运行在 Apache 2.4 (mod_php5) 范围内的 PHP 应用程序。

                     +------------------------------+
                     |        Docker Container      |
+-------+            |  +--------+          +-----+ |
| nginx |----------->|->| apache |--------->| php | |
+-------+ proxy_pass |  +--------+ mod_php5 +-----+ |
                     +------------------------------+

PHP 应用程序是 Piwik 2.16。

我用 nginx 注入 GeoIP HTTP 标头：

proxy_set_header GeoIP-Addr             "$remote_addr";
proxy_set_header GeoIP-Country-Code     "$geoip_country_code";
proxy_set_header GeoIP-Country-Name     "$geoip_country_name";
proxy_set_header GeoIP-Continent-Code   "$geoip_city_continent_code";
proxy_set_header GeoIP-Region-Name      "$geoip_region_name";
proxy_set_header GeoIP-Region           "$geoip_region";
proxy_set_header GeoIP-City             "$geoip_city";
proxy_set_header GeoIP-Metro-Code       "$geoip_dma_code";
proxy_set_header GeoIP-Area-Code        "$geoip_area_code";
proxy_set_header GeoIP-Latitude         "$geoip_latitude";
proxy_set_header GeoIP-Longitude        "$geoip_longitude";
proxy_set_header GeoIP-Postal-Code      "$geoip_postal_code";
proxy_set_header GeoIP-Isp              "$geoip_org";
proxy_set_header GeoIP-Organization     "$geoip_org";
proxy_set_header GeoIP-Netspeed         "";

不幸的是，Piwik（至少认为它）看不到通过 nginx 注入的请求 HTTP 标头。在用于地理定位的 Piwik 设置页面上是关于 Piwik 无法在 PHP 中找到 GeoIP 变量的警告$_SERVER。GeoIP 标头以 eg 形式到达，HTTP_GEOIP_ADDR但必须是GEOIP_ADDR. 我也无法编辑应用程序以使用这些“新”标题名称。

@RichardSmith 提到我必须使用 setenv将HTTP_GEOIP_变量映射到Apache 中。GEOIP_我尝试了几种组合，但没有设法使用变量（请求标头）作为环境变量的值。

SetEnv GEOIP_ADDR "%{HTTP_GEOIP_ADDR}e"

这导致%{HTTP_GEOIP_CITY}e存储在变量中的实际字符串“”而不是 的值HTTP_GEOIP_CITY。

如何使用 setenv 将HTTP_GEOIP_变量映射到GEOIP_Apache 中？

通常我根本不使用 Internet Explorer。我只在设计时将它用于接口测试（开发机器和未加密的 http）。每周我都会运行 SSL Labs 服务器测试，测试表明 IE11 能够访问我的网站。

今天，我发现我的第 3 方服务之一存在问题。某些特殊功能不适用于 Chrome 或 Firefox，因此我在 Windows 7 机器上启动了 IE11。IE11 向我展示了一个内置的错误页面，女巫基本上只说“页面无法显示”。和典型的 dummy bla bla 比如检查 DNS 等等。整个错误页面上绝对没有任何加密相关问题的迹象（就像普通浏览器一样）。

早在几个月前，这个schannel问题就阻止了启用 TLS1.2 的 IE 访问 HTTPS 站点。从那时起，我的“IE 的 WTF 清单”包含“禁用 TLS1.2”作为检查点。我应该说什么...在 IE 中禁用 TLS1.2 有效，我的网站再次可用。但我不能在我的访问者浏览器上这样做。

现在回到真正的问题：为什么在 IE 中启用 TLS 1.2 时Internet Explorer 11 无法连接到我的 HTTPS 站点？以及如何在服务器端修复它？SSL Labs 告诉我网站上的一切都很好。

重要编辑：当启用 TLS1.2 时，似乎 IE11 只能处理非前缀域而不是前缀域。没有前缀 (www) 的域有效，而包含前缀 (www) 的域将不起作用。

在服务器端，我使用的是 debian/7 nginx/1.7.8 openssl/1.0.1e

可用的密码是：ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

我想强制使用一套自己的 TLS 密码套件，而不是使用内置的 Postfix。

我想要的一组密码是（取自 nginx 配置）：

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

不幸的是，我找不到覆盖密码套件的参考。我发现通知是可能的，但不是如何。

smtp和的等效 Postfix 配置看起来如何smtpd？

使用 Debian/7、Postfix/2.11.2、OpenSSL/1.0.1e

我刚刚注意到（通过一些在线检查工具）我的邮件服务器可能允许 SSLv3 并更新了我的配置。

我在 Postfix 2.11.2 中的当前配置：

# inbound
smtpd_tls_security_level = may
smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
# outbound
smtp_tls_security_level = may
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3

不幸的是，这些工具一直说 SSLv3 被接受。

如何将所需的（nginx）配置转换为 Postfix（入站和出站）之一？

使用 Debian/7、Postfix/2.11.2、OpenSSL/1.0.1e

如果我错了，请纠正我，但 BEAST 是因为 TLSv1.0 中的 CBC，对吗？因此，为了消除 BEAST 的威胁，必须禁用所有 SSLv3 或更低版本的 CBC 密码套件，对吗？

让我们进入现实世界的例子。请参阅我的测试域的 Qualys SSL 测试。你会看到我已经用协议禁用了 SSLv3（当然更低）。为了维护一些不支持 TLSv1.1 的旧客户端，同时为这些客户端维护完美前向保密，我必须使用 SSLv3 或 TLSv1.0 附带的一些 CBC 密码套件。

以下是我必须维护的一些客户端示例（带有 Qualys SSL 客户端信息站点的链接）。

• 爪哇 7
• OpenSSL 0.9（由于某些路由器）
• IE 8 / XP（IE 6 / XP 支持被放弃）
• 安卓 2.3

这是我的 OpenSSL 1.0.1e 密码套件配置：

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

有人看到修复 BEAST 和维护 Client/PFS 的解决方案吗？我只看到最大值。TLSv1.0 和 CBC 仅在客户端使用密码套件。

赶上 Michael Hampton：是的，RC4 不是解决方案。我忘了提那个。

我想在我的 nginx SSL 环境中启用 SSL 密码EDH-DSS-DES-CBC3-SHA（也称为TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA）以支持 Windows XP 上的 IE8。

nginx 的基本 SSL 密码是：

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

EDH-DSS-DES-CBC3-SHA通过 禁用!DES。我试图将该密码放在禁用规则之前（在DHE-RSA-AES256-SHA和之间!aNULL）和之后（作为最后一个参数），但都没有奏效。

如何在EDH-DSS-DES-CBC3-SHA不启用全部DES或手动禁用其他密码的情况下启用DES密码？

版本信息：nginx 1.7.8、OpenSSL 1.0.1e

在具有专用 IP 的虚拟机上有一项服务需要通过 SSLv3（带有 IE6 客户端的 WinXP）进行访问。几年前，我将该服务移至该虚拟机，以便能够为所有其他服务禁用 SSLv3。

我想通知该服务的 SSLv3 客户端，该服务将在“某个时间”需要 TLS 1.1 或更高版本。该通知不得显示在任何其他客户上（业务决策）。

为了实现这一点，我正在考虑将代理 (Apache) 上使用的 SSL/TLS 版本信息注入到原始 HTTP 请求中，以让后端应用程序有条件地放置“升级你的系统，恐龙！” 通知基于实际使用的传输层安全方法。

如何配置注入？我仅在使用调试标志编译 Apache 时才找到所需的环境变量，但这在生产中是不可能的。

最终结果应该是 Apache Proxy 正在注入 HTTP 请求标头“X-TLS-Version: SSL3”（或“X-TLS-Version: TLS12”或熟悉的语法）。

在服务器响应中使用 HTTP 状态代码308 永久重定向（建议）是否安全？301 Moved Permanently 的问题在于它仅适用于 GET 请求（公平地说：POST 将转换为 GET，这不是一个选项）。

状态代码在“RFC 时间”中非常新，那么您有什么建议？

如果浏览器不知道 308，它会怎么做？它会找到位置并执行302吗？

我正在使用 nginx 1.4.1（现在是 1.2.1 之前）并且希望支持双栈（IPv4 和 IPv6）。我总是duplicate listen options for xyz从 nginx 收到错误。

server {
    listen 80 default_server;
    listen [::]:80 ipv6only=on default_server;
    server_name domain1;
}
server {
    listen 443 ssl default_server;
    listen [::]:443 ssl ipv6only=on default_server;
    server_name domain1;
}

server {
    listen 80;
    listen [::]:80 ipv6only=on;
    server_name domain2;
}
server {
    listen 443 ssl;
    listen [::]:443 ssl ipv6only=on;
    server_name domain2;
}

如果我只使用listen 80我只会得到 IPv4。否则，如果我使用listen [::]:80我只会得到 IPv6。

如何设置 nginx 1.4.x 以支持虚拟主机双栈？

我使用 Piwik 来跟踪我的网站访问者。作为“安全”问题，我只允许访问index.php几个已知的 IP。我的问题是 Piwik 选择退出代码段只能通过此获得index.php。

我试图通过RewriteRule和Location/Files指令解决这个问题，但我不能只允许特定的 URL 参数而让其他人拒绝。

对于那些不太了解 Piwik 但了解 Apache 的人来说，这里有一个基本要点：

• 管理 GUI 可用，通过index.php它访问仅限于已知 IP。
• Piwik 选择退出代码段只能通过index.php已知参数集使用：index.php?module=CoreAdminHome&action=optOut&lang=DE

我想要的是：

• 拒绝index.php来自所有未知 IP 但已知 IP 的访问。（完毕）
• 允许index.php从所有 IP 访问选择退出参数集。（待办的）

如何在 Apache 中只允许具有特定参数的 URL？

我试过了：

Order allow,deny
Allow from all
<Files "index.php">
    Order allow,deny
    Deny from all
    Allow from 127.0.0.1
</Files>
RewriteEngine On
RewriteRule ^/piwik-opt-out.html$ index.php?module=CoreAdminHome&action=optOut [L]
<Location "/piwik-opt-out.html">
    Order allow,deny
    Allow from all
</Location>

我必须自定义我的 Apache2 suExec 模块以确保一些特殊的环境变量通过 suExec 传递。

如何从 Debian package 下载源代码apache2-suexec，修改suexec.c-> safe_env_lst，重新编译并再次构建 .deb 包以在生产系统上推出？

我试过apt-get source apache2-suexec但没有suexec.c在发生的 apache2-* 文件夹中找到。

修改后的源代码应该是这样的：

static const char *const safe_env_lst[] =
{
    /* variable name starts with */
    "HTTP_",
    "SSL_",

    /* NEW: Perl debugging variables */
    "PERL5OPT=",
    "PERL5LIB=",
    "PERLDB_OPTS=",
    "DBGP_IDEKEY=",

    /* NEW: FCGI variables */
    "FCGI=",
    "FCGI_CONNECTION=",
    "FCGI_RUNTIME=",
    "FCGI_STARTTIME=",

草案基于：http ://static.askapache.com/httpd/support/suexec.c

我喜欢在 GPT softare raid 3 TB HDD 上安装 grub2。

Number  Start (sector)    End (sector)  Size       Code  Name
   1            2048         1050623   512.0 MiB   FD00  Linux RAID
   2         1050624      5860533134   2.7 TiB     FD00  Linux RAID

第一个分区是boot，第二个是LVM。引导后，我安装了 grub2，它因“缺少 BIOS 引导”而死。但是由于软件突袭，我无法将分区 1 更改为 BIOS 引导，对吗？

如何解决这种情况？

信息：Debian Wheezy x86_64

错误：

/usr/sbin/grub-setup: warn: This GPT partition label has no BIOS Boot Partition; embedding won't be possible!.
/usr/sbin/grub-setup: error: embedding is not possible, but this is required for cross-disk install.