主页 / unix / 问题

问题[ubuntu](unix)

Martin Hope
Marco Klein
Asked: 2025-04-01 03:35:31 +0800 CST
  • 8

我在设置firewalld与docker和fail2ban完美连接时遇到问题。

首先,我想要实现的是以下流量路由设置:

[PUBLIC] -> 
  [FIREWALLD] -> (
    [143/tcp FORWARD PORT] -----> [DOCKER/143/tcp]
    [ 22/tcp]              -----> [openssh locally running]
  )

失败2ban

我设置了 fail2ban 来监听我的 docker 容器,检查身份验证错误并使用 设置禁令firewall-cmd。到目前为止,这很有效。只要我 3 次身份验证错误,它就会向防火墙发送命令。

端口转发

我还为 docker 设置了端口转发。我明确地设置了它,因为我不想让 docker 破坏我的网络。也许这是我将来不需要的东西,但它是通过StrictForwardPorts=yes配置配置的。https ://firewalld.org/2024/11/strict-forward-ports

目标

目标是每当触发 fail2ban 时,IP都不应再访问端口 143(转发端口),并且(可能)其他端口也不应再访问。但首先,我想逐个端口禁止。

问题

当前的问题是,如果创建了拒绝富规则,它将阻止该 IP 的端口 22,但不会阻止端口 143。

尝试 我还尝试将 IP 放入drop区域,并赋予其优先级-10。同样的错误结果。端口 22 被丢弃,但 143 仍然有效。

我做错了什么?这是我上次尝试的区域配置:

docker (active)
  target: ACCEPT
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: br-0aa8d4b5dde7 docker0
  sources: 
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule priority="-999" family="ipv4" source address="192.168.178.44" reject

drop (active)
  target: DROP
  ingress-priority: -10
  egress-priority: -10
  icmp-block-inversion: no
  interfaces: 
  sources: 192.168.178.44
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

public (default, active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
        port=143:proto=tcp:toport=143:toaddr=172.18.0.2
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule priority="-999" family="ipv4" source address="192.168.178.44" reject

如图所示:实际上,地址 192.168.178.44 应该完全阻止进入公共区域。但事实并非如此。此外,我还将 IP 添加到了丢弃区。丢弃区优先级似乎正在发挥作用,因为我的 SSH 连接被丢弃而不是被拒绝,但端口 143 仍然可以访问

更新 1:一些调试信息

$ sudo firewall-cmd --get-policies
allow-host-ipv6 docker-forwarding

更新 2:--info-policy=docker-forwarding

docker-forwarding (active)
  priority: -1
  target: ACCEPT
  ingress-zones: ANY
  egress-zones: docker
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: `

更新 3:

我想到另一个想法是创建另一个优先级为 -10 的策略,其中包含丰富的规则:

sudo firewall-cmd --permanent --new-policy ban-pre-routing
sudo firewall-cmd --permanent --policy ban-pre-routing --add-ingress-zone ANY
sudo firewall-cmd --permanent --policy ban-pre-routing --add-egress-zone HOST
sudo firewall-cmd --permanent --policy ban-pre-routing --set-priority -10
sudo firewall-cmd --permanent --policy ban-pre-routing --add-rich-rule="rule family=ipv4 source address=192.168.178.44 port port=143 protocol=tcp reject"

仍然没有效果。我的 *.44 主机仍然可以连接到机器。如果我省略该port port=143 protocol=tcp部分,它会阻止机器使用 ssh - 但仍然能够访问端口 143。

更新 4: 使用更新 3 并将策略配置为出口区域 docker,不会产生差异。我的配置现在如下所示:

$ sudo firewall-cmd --list-all-policies
allow-host-ipv6 (active)
  priority: -15000
  target: CONTINUE
  ingress-zones: ANY
  egress-zones: HOST
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv6" icmp-type name="neighbour-advertisement" accept
        rule family="ipv6" icmp-type name="neighbour-solicitation" accept
        rule family="ipv6" icmp-type name="redirect" accept
        rule family="ipv6" icmp-type name="router-advertisement" accept

ban-pre-routing (active)
  priority: -10
  target: CONTINUE
  ingress-zones: ANY
  egress-zones: docker
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="192.168.178.44" port port="143" protocol="tcp" reject

docker-forwarding (active)
  priority: -1
  target: ACCEPT
  ingress-zones: ANY
  egress-zones: docker
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

对于区域:

$ sudo firewall-cmd --list-all --zone=public
public (default, active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
        port=143:proto=tcp:toport=143:toaddr=172.18.0.2
  source-ports: 
  icmp-blocks: 
  rich rules: 

$ sudo firewall-cmd --list-all --zone=drop
drop
  target: DROP
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

$ sudo firewall-cmd --list-all --zone=docker
docker (active)
  target: ACCEPT
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: br-c5f172e4effe docker0
  sources: 
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
ubuntu
Martin Hope
The ScaryJello
Asked: 2025-03-20 23:09:50 +0800 CST
  • 7

我有一个程序,它会针对新服务器安装运行一组命令,我需要为每个安装更改文件中的条目。我们需要将默认 DNS 从 127.0.0.X(由于安装时没有互联网连接,因此默认为 127.0.0.X)更改为 8.8.8.8

我使用了以下命令:

sudo awk '{sub(/#DNS=/,"DNS=8.8.8.8")}' /etc/systemd/resolved.conf

然而这似乎在 gawk/new OS 版本下不起作用。

sudo gawk '{gensub(/#DNS=/,"DNS=8.8.8.8")}' /etc/systemd/resolved.conf

我做错了什么?有没有更好的方法来更改默认 DNS 条目?

当前服务器操作系统:Ubuntu 24.04.2-live-server

以前的服务器操作系统:Ubuntu 20.04.6-live-server

编辑:

样例行输入文件:

#DNS=
#FallbackDNS=
#Domains

该命令应该找到上面的第一行并将其替换为,DNS=8.8.8.8但是事实并非如此。

期望输出:

DNS=8.8.8.8
#FallbackDNS=
#Domains

当我运行 awk 命令时,文件仍然显示:

#DNS=
#FallbackDNS=
#Domains

此外,它应该只查找和替换完全匹配的#DNS=

#DNS=用什么命令和语法来替换DNS=8.8.8.8

ubuntu
Martin Hope
Quora Feans
Asked: 2025-03-19 21:31:50 +0800 CST
  • 6

崩溃(浏览器冻结)后,我尝试硬重置,在启动时出现了这个屏幕,我无法通过按 Enter 来绕过它。

以前也发生过这种情况,经过多次尝试并按下多个按钮后,它最终再次启动,但我不确定为什么

我的笔记本电脑以前装有 Windows,但是我将其删除并安装了 Ubuntu。

这里发生了什么事?

启动菜单

ubuntu
Martin Hope
sfzhang
Asked: 2025-03-14 17:35:49 +0800 CST
  • 5

我使用一项systemd服务在 Ubuntu 20.04 启动时启动几个进程。

# MyApp start app service
[Unit]
Description=MyApp start service
Requires=network-online.target
After=network-online.target

[Service] 
Type=simple
ExecStartPre=/bin/sleep 20
ExecStart=/etc/init.d/MyApp.sh start
ExecStop=/etc/init.d/MyApp.sh stop
LimitMEMLOCK=infinity
LimitCORE=infinity
RemainAfterExit=yes

User=admin

[Install]
#WantedBy=multi-user.target
#WantedBy=graphical.target
WantedBy=basic.target

我的所有进程都在系统启动后启动。然而,几分钟后,用户级systemd退出并删除了我的进程创建的所有信号量。

看来我可以设置RemoveIPC=No配置来/etc/systemd/logind.conf阻止用户systemd删除信号量。

但是,用户为什么会systemd退出?我应该使用命令sudo loginctl enable-linger admin来阻止它退出吗?

谢谢!

ubuntu
Martin Hope
manu_romero_411
Asked: 2025-03-11 18:55:28 +0800 CST
  • 5

我正在合作部署,旨在为学习和教学目的提供 Hadoop、Hive 和 Impala。我们在虚拟机上使用 Ubuntu 22.04 作为基础系统。

虽然与 HDFS、Hadoop 和 Hive 相关的一切都运行良好(包括用于 Hive Metastore 的 PostgreSQL),但 Impala 的安装却是一项非常艰巨的挑战。我应用了Apache 文档中推荐的命令来构建 Impala,然后运行make install

构建后,当尝试运行catalogd服务时,它无法启动,并记录以下内容:

cat /tmp/catalogd.pc.hadoop.log.ERROR.20250311-114741.4782
Log file created at: 2025/03/11 11:47:41
Running on machine: pc
Log line format: [IWEF]mmdd hh:mm:ss.uuuuuu threadid file:line] msg
E0311 11:47:41.450573  4782 logging.cc:256] stderr will be logged to this file.
E0311 11:48:10.130164  4782 catalog.cc:101] NoSuchMethodError: org.apache.hadoop.hive.metastore.IMetaStoreClient.getThriftClient()Lorg/apache/hadoop/hive/metastore/api/ThriftHiveMetastore$Client;
. Impalad exiting.
Picked up JAVA_TOOL_OPTIONS: -Dsun.java.command=catalogd

statestored并且admissiond正在工作。

使用 Impala 提交 34b17db7b473d6729ac6c9cf139fcf410f18d941 和预构建的 Hive 4.0.1。

ubuntu
Martin Hope
Be Chiller Too
Asked: 2025-03-04 21:50:02 +0800 CST
  • 6

我无法再安装我的硬盘。上次使用它后,我在文件浏览器中单击了“安全删除”,现在我无法再读取其上的数据。

以下是我执行的一些诊断命令:

# fdisk -l
Disk /dev/sdb: 465.73 GiB, 500074283008 bytes, 976707584 sectors
Disk model: Elements 10A8
Units: sectors of 1 × 512 = 512 bytes
Sector size (logical / physical): 512 bytes / 512 bytes
I/O size (minimum / optimal): 512 bytes / 512 bytes
Disk label type: dos
Disk identifier: 0xf2c19c1e

Device     Boot Start       End   Sectors   Size  Id Type
/dev/sdb1        256  976707583  976707328  465.7G  7 HPFS/NTFS/exFAT

# fsck.exfat /dev/sdb1
exfatprogs version : 1.2.2
too long label. 139
failed to read volume label
invalid start cluster of allocate bitmap. 0x34c04c90
failed to read bitmap
failed to verify root directory.
/dev/sdb1: clean. directories 1, files 0

# mount /dev/sdb1 /media/myself/Medias/
mount: /media/myself/Medias: can't read superblock at address /dev/sdb1.
       dmesg(1) may have more information after failed mount system call.

dmesg以下是尝试执行上一个 mount 命令时看到的消息:

[ 1439.474346] exFAT-fs (sdb1): Volume was not properly unmounted. Some data may be corrupt. Please run fsck.
[ 1439.516358] exFAT-fs (sdb1): failed to read sector(0xd57a397000)
[ 1439.516365] exFAT-fs (sdb1): failed to load upcase table
[ 1439.516367] exFAT-fs (sdb1): failed to recognize exfat type

我正在尝试使用 TestDisk 分析/修复我的 HDD,但是我该如何修复我的 HDD?

我的系统启动没有任何问题,这个问题是关于修复用于数据存储的外部驱动器。

ubuntu
Martin Hope
Joe
Asked: 2025-03-03 00:57:06 +0800 CST
  • 7

我有一个 lvm2 逻辑卷设置,需要向其中添加一个新磁盘,我知道如何以“标准”方式毫无问题地完成此操作。但是我想以更“精细”的方式添加磁盘,但我不确定这是否可行。

目前连接到现有逻辑卷的唯一物理卷是 M.2 nvme,而新磁盘是较慢的 SATA SSD。如果我以“标准”方式连接它,新数据将在这两个磁盘之间分割,从而降低吞吐量。

现在逻辑卷内的文件系统具有具有不同访问速度要求的目录,例如:对包含 4K 电影的目录进行快速访问,而对其他目录中的照片或音频的访问速度要求不太高。

所以问题是,是否可以使用 lvm 来实现这一点?正如我所说,我不这么认为,因为据我所知,lvm 和文件系统之间没有联系。我有什么选择可以实现这一目标?

我以前的方法是将新磁盘挂载在 /mnt 下,将目录数据移动到那里,并用指向新挂载点的符号链接替换以前的目录;这很混乱。

提前感谢您的任何见解。

ubuntu
Martin Hope
Franck Dernoncourt
Asked: 2025-02-21 13:51:18 +0800 CST
  • 6

我使用Homebrew在 Ubuntu 16.04.4 LTS 上安装 Node:

brew install node

我想要使​​用 NodeJS 版本 18.8.0 或更高版本,最高可达 <20.0.0。

因此我运行了:

nvm install 18.18.2

但是,我似乎无法获得我想要的 NodeJS 版本:

user@server:~/test$ nvm use 18.18.2
Now using node v18.18.2 (npm v10.9.2)
user@server:~/test$ nvm --version
0.40.1
user@server:~/test$ node --version
v23.7.0

以下是安装 NVM 版本的列表:

user@server:~/test$ nvm ls
       v14.15.5
       v16.20.2
       v18.18.2
->       system

default -> node (-> v18.18.2)
iojs -> N/A (default)
unstable -> N/A (default)
node -> stable (-> v18.18.2) (default)
stable -> 18.18 (-> v18.18.2) (default)
lts/* -> lts/jod (-> N/A)
lts/argon -> v4.9.1 (-> N/A)
lts/boron -> v6.17.1 (-> N/A)
lts/carbon -> v8.17.0 (-> N/A)
lts/dubnium -> v10.24.1 (-> N/A)
lts/erbium -> v12.22.12 (-> N/A)
lts/fermium -> v14.21.3 (-> N/A)
lts/gallium -> v16.20.2
lts/hydrogen -> v18.20.7 (-> N/A)
lts/iron -> v20.18.3 (-> N/A)
lts/jod -> v22.14.0 (-> N/A)
ubuntu
Martin Hope
Franck Dernoncourt
Asked: 2025-02-20 17:18:21 +0800 CST
  • 4

该计算机运行的是 Ubuntu 16.04.4 LTS 64 位。运行nvm use 16.20.2正常,并显示 nodejs 4.2.6(已使用 进行检查nodejs --version)。我想在其上使用 Node 版本 5.6.0 或更高版本,因此我尝试运行:

user@server:~/test$ nvm use 18.18.2

但我收到了错误:

node: /lib/x86_64-linux-gnu/libm.so.6: version `GLIBC_2.27' not found (required by node)
node: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.25' not found (required by node)
node: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.28' not found (required by node)

发生此错误的原因是,Node.js 版本 18.18.2 需要较新的 glibc 版本(2.25、2.27 或 2.28),但尚未安装。

如何在 Ubuntu 16.04 上安装 Node 5.6.0 或更高版本?

ubuntu
Martin Hope
Ken Ingram
Asked: 2025-02-17 15:09:11 +0800 CST
  • 5

我在 Raspberry Pi 4 上安装了 Ubuntu 24.04,几个月来一直运行良好,今天却毫无原因地负载增加到了 41。无法从服务器连接到远程 MySQL 实例。gitlab 一直告诉我我的登录无效。不知道从哪里开始研究问题的原因

这段时间唯一运行的只有 gitlab 16.9.2 社区版,而且我正在做一些 react Front 和 node.js API 开发。

我希望得到一些关于如何解读这个疯狂负载的建议?

热门统计数据图片

ubuntu