如何克服/强制修复以下问题:
$ sudo /usr/sbin/tmpreaper 15d /tmp
error: run time exceeded!
This may be indicative of an attack to use tmpreaper to remove critical files;
or the directories to clean up are excessive large and/or messed up.
Please investigate.
我的一台服务器经常磁盘空间不足,然后我安装了tmpreaper,以为问题就解决了,但事实并非如此。今天我才意识到问题出在哪里。
在添加ssl_certificate之前,我的nginx.conf非常简单:
server {
listen 80 default_server;
index index.php index.html index.htm;
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_index index.php;
fastcgi_pass php:9000;
include fastcgi_params;
fastcgi_read_timeout 1200s;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}
然后我按照这里使用 Nginx 设置 letsencrypt([domain-name]从头到尾进行替换),现在我的nginx.conf样子:
server {
listen 80 default_server;
server_name [domain-name] www.[domain-name];
server_tokens off;
location /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://[domain-name]$request_uri;
}
}
server {
listen 443 default_server ssl http2;
listen [::]:443 ssl http2;
server_name [domain-name];
ssl_certificate /etc/nginx/ssl/live/[domain-name]/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/live/[domain-name]/privkey.pem;
location / {
proxy_pass http://[domain-name];
}
index index.php index.html index.htm;
location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_index index.php;
fastcgi_pass php:9000;
include fastcgi_params;
fastcgi_read_timeout 1200s;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}
请参阅此处的更改 - https://www.diffchecker.com/bAfVjewE/,
我认为这非常简单、直接且合理。
但是,我的 php 网站完全崩溃了——我的 chrome 浏览器说它进入了无限重定向(“重定向次数过多”),请参阅注释 2。
可能的原因是什么?如何解决?
笔记,
...[08/Aug/2024:15:xx:yy +0000] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64)...,即使我已经看到浏览器上的协议已从 更改http为https。如果我使用 访问它curl,我会得到:
$ curl -i https://my.site.name:443/
HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Thu, 08 Aug 2024 15:42:45 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive
Location: https://my.site.name/
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
服务器日志为:
[08/Aug/2024:15:42:45 +0000] "GET / HTTP/1.1" 301 162 "-" "curl/8.5.0" "my.ip"
[08/Aug/2024:15:42:45 +0000] "GET / HTTP/1.1" 301 162 "-" "curl/8.5.0" "-"
错误日志为空,因为这是我的 ngix 日志配置方式:
cd /var/log/nginx/
root@5b6a9033cb31:/var/log/nginx# ls -l
total 0
lrwxrwxrwx 1 root root 11 Jul 23 07:14 access.log -> /dev/stdout
lrwxrwxrwx 1 root root 11 Jul 23 07:14 error.log -> /dev/stderr
这是我第一次使用 Let's Encrypt ,这个101 个问题很可能已经在某个地方得到解答了,但无论如何,来自https://eff-certbot.readthedocs.io/en/latest/using.html#setting-up-automated-renewal
大多数 Certbot 安装都预配置了自动更新。这是通过
certbot renew定期运行的计划任务完成的。
因此,为了简化操作,我使用 Certbot docker 容器来获取证书,并且该容器没有预先配置自动更新功能,因此我需要自己启用该功能。
计划的 cron 任务非常简单:
0 0,12 * * * root sleep $SLEEPTIME && certbot renew -q
我的问题是,Let's Encrypt 证书有效期为三个月,但 Certbot 文档中的官方建议说我们需要每 12 小时尝试更新一次。
我觉得这太过分了。有人知道我们多久可以续订吗?(从命令行更新“让我们加密”证书我知道没有--force-renewal选项)
我的意思是,如果更新可以提前 10 天进行,那么我的 cron 作业可以每 5 天设置一次,如果提前 6 天,我将使用 3。
另外,有人知道certbot renew在更新确实发生后,是否可以使用的返回代码来通知我的脚本以触发我的 nginx 配置重新加载?
谢谢
我注意到,对于 SSH_AUTH_SOCK 值,其他任何人都无法访问其文件夹,但任何人都可以读取实际文件本身。这样的设计背后的原因是什么?
如果我放置一个世界可读的符号链接/tmp指向我的私有 SSH_AUTH_SOCK 文件,它会带来什么样的安全风险?
跟进使用 while 循环 ssh 到多个服务器,即 for
while IFS= read -r -u9 HOST ; do ssh "$HOST" "uname -a" ; done 9< servers.txt
它从不同的文件描述符 ( 9) 读取,
如何让它从不同文件描述符的管道中读取?
如果我的管道命令是,写入第 9 个文件描述符grep的最简单方法是什么?通过管道传输第 9 个文件描述符的语法是什么?grep
鉴于,
touch /tmp/abc
ln -vs abc /tmp/def
$ ls -l /tmp/???
-rw-rw-r-- 1 ubuntu ubuntu 0 Apr 10 22:10 /tmp/abc
lrwxrwxrwx 1 ubuntu ubuntu 3 Apr 10 22:10 /tmp/def -> abc
为什么我得到:
$ sudo chown syslog: /tmp/def
chown: cannot dereference '/tmp/def': Permission denied
$ sudo chown --dereference syslog: /tmp/def
chown: cannot dereference '/tmp/def': Permission denied
参考:
chown(1):
--dereference影响每个符号链接的引用(这是默认值),而不是符号链接本身
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 20.04.6 LTS
Release: 20.04
Codename: focal
如何在 Debian 下从 ssh 禁用ChaCha20-Poly1305加密?
我尝试过(作为root):
echo 'Ciphers [email protected]' > /etc/ssh/sshd_config.d/anti-terrapin-attack
echo 'Ciphers [email protected]' > /etc/ssh/ssh_config.d/anti-terrapin-attack
systemctl restart sshd
但我的ssh -Q cipher仍然显示[email protected]。
更新:
由于完全解决我的问题的答案分布在不同的答案中,让我将它们总结在一处。
为什么?有什么大惊小怪的?-- 查看针对 SSH 发现的攻击,Debian 的openssh稳定版本比官方修复落后几代。因此我现在需要自己修复它。
为什么 OP 不起作用?——两点:
ssh -Qcipher 始终显示编译到二进制文件中的所有密码/etc/ssh/sshd_config.d都应以“ ”结尾.conf。如何禁用攻击?-- 请参阅 Floresta 的实用解决方案https://unix.stackexchange.com/a/767135/374303
如何验证攻击是否已被禁用?-- 基于gogoud的实际解决方案:
nmap --script ssh2-enum-algos -sV -p 22 localhost | grep chacha20 | wc
0 0 0
最好在应用 Floresta 修复之前和之后运行它。
我是 Linux 用户已有 20 多年,但最近我需要在 Mac 上工作的次数远远多于 Linux。我越不需要在 Linux 上工作,我就越希望我的 Linux 桌面像 Mac 一样工作。
我做了一些研究,
然而,这是我最不关心的部分。我最关心的是行为部分
到处都有一些文章,但没有一篇集中讨论我所关心的部分,也没有一处描述所有内容,而且它们也可能已经过时了。因此就有了这个问题。
跟进如何在没有 docker 桌面的 macOS 中安装 docker-engine?,其中提到了podman machine init
默认设置一台装有 Fedora CoreOS 的机器。
但我想准备一台 Debian 机器,当我尝试时:
$ podman machine init debian
Extracting compressed file: debian_fedora-coreos-39.20231204.2.1-qemu.aarch64.q…
Image resized.
Machine init complete
To start your machine run:
podman machine start debian
输出看起来不太正确。
准备的VM是Debian还是Fedora CoreOS?
请问如何准备 Debian VM(debian:stable-backport按照docker)podman?
我遇到了一个很好的使用 tosed做替换,并使用它的成功状态作为打印行的条件:
$ seq 3 | sed -n 's/2/B/ p'
B
我想知道是否可以扩展这种简短形式以执行更多操作。喜欢,
那可能吗?我尝试了以下但失败了:
$ seq 3 | sed -n 's/2/B/ {p}'
sed: -e expression #1, char 8: unknown option to `s'
如何排除除特定文件以外的所有文件rsync?
我试图只备份特定文件rsync,以排除所有文件,除了一些特定文件,即.md所有这些页面的文件和解决方案对我不起作用:
$ rsync -vua --exclude="*" --include="*.md" ../log ./
sending incremental file list
sent 19 bytes received 12 bytes 62.00 bytes/sec
total size is 0 speedup is 0.00
$ rsync -vua --include="*.md" --exclude="*" ../log ./
sending incremental file list
sent 19 bytes received 12 bytes 62.00 bytes/sec
total size is 0 speedup is 0.00
$ du -sh ../log
1016M ../log
$ apt-cache policy rsync
rsync:
Installed: 3.2.7-0ubuntu0.22.04.2
Candidate: 3.2.7-0ubuntu0.22.04.2
Version table:
*** 3.2.7-0ubuntu0.22.04.2 500
500 http://ca-toronto-1-ad-1.clouds.archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages
100 /var/lib/dpkg/status
3.2.3-8ubuntu3 500
500 http://ca-toronto-1-ad-1.clouds.archive.ubuntu.com/ubuntu jammy/main amd64 Packages
我想要一个脚本使 awk 成为一个交互式数学计算器,以评估每一行中给出的数学表达式。
即,不是构造 awk 命令来计算如下表达式:
$ awk 'BEGIN{print 180/1149}'
0.156658
$ awk 'BEGIN{print (150+141)/1149}'
0.253264
我希望我的脚本将我的数学表达式作为输入并以交互方式进行计算。所以会话看起来像(输入和输出的替代):
180/1149
0.156658
(150+141)/1149
0.253264
1 + 2
3
2 * 3 - 5
1
但是我自己无法做到这一点:
$ awk '{print}'
180/1149
180/1149
^C
$ awk '{print $0}'
180/1149
180/1149
1 + 2
1 + 2
^C
如果 awk 没有简单的解决方案,还有什么,比如 perl?
dos2unix,但我的远程服务器中没有它。即,\r不适用于grep扩展正则表达式模式?:
$ printf 'abcd\r\n' | grep -Ec 'd\r$'
0
$ printf 'abcd\r\n' | grep -c 'd.$'
1
$ printf 'abcd\r\n' | grep -Pc 'd\r$'
1
我认为\r是扩展正则表达式的一部分,就像在
https://valelab4.ucsf.edu/svn/3rdpartypublic/boost/libs/regex/doc/html/boost_regex/syntax/basic_extended.html中一样。不?
或者它确实是一个限制grep?
非常简单的假设问题,
我已经达到限制sed并且需要将我的sed脚本更改为perl. 所以对于sed有条件的替换
sed '/condition/ s/xx/yy/'
如何在 perl 中做到这一点?
例如,如何在 perl 中执行以下操作?
seq 6 > /tmp/tf
$ paste -d '' /tmp/tf /tmp/tf | sed -E '/[135]/s/^(.)(.)$/\1.\2-/'
1.1-
22
3.3-
44
5.5-
66
$ paste -d '' /tmp/tf /tmp/tf | perl -pe 's/$&/$1.$2-/ if /^([135])(.)$/'
.-
22
.-
44
.-
66
这可能已经回答了,但很难搜索——基本上,
当patch发现一个block/hunk 无法申请时,它会将更改的hunk 拒绝到reject 文件中。
如何不将冲突放入拒绝文件但包含在最终输出中,就像找到git冲突并将两个版本都包含在最终输出中一样:
$ cat merge.txt
<<<<<<< HEAD
this is some content to mess with
content to append
=======
totally different content to merge later
>>>>>>> new_branch_to_merge_later
我正在跟进
加快播放速度
https://trac.ffmpeg.org/wiki/How%20to%20speed%20up%20/%20slow%20down%20a%20video
但是,当我将播放速度提高 1.5 倍时,我预计视频的大小会减少到与/大约相同的水平,然而,这就是我得到的:
-rwxrwxr-x 1 me me 10000000 2021-10-10 16:56 original_video.mp4*
-rwxrwxr-x 1 me me 10060896 2022-01-02 16:27 speed_up_output.mkv*
即,文件大小更大。
是否可以加快播放速度并将视频大小减小到相同程度?
我试图将Fiddler.CER证书转换为.CRT格式:
$ openssl x509 -in FiddlerRoot.cer -out FiddlerRoot.crt
unable to load certificate
139962232211264:error:0909006C:PEM routines:get_name:no start line:../crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
$ strings FiddlerRoot.cer
0g1+0)
"Created by http://www.fiddler2.com1
DO_NOT_TRUST1!0
DO_NOT_TRUST_FiddlerRoot0
201116174559Z
240215174559Z0g1+0)
"Created by http://www.fiddler2.com1
DO_NOT_TRUST1!0
DO_NOT_TRUST_FiddlerRoot0
Z0X0
hG1)0v1
]0qf
_H.^K
r?XxY
也许这是一个专门针对的问题,但这是奇怪的部分,从这里FiddlerRoot.cer引用:
我注意到我试图添加到系统的 FiddlerRoot 证书看起来不像我导入到 Firefox 中的证书(Firefox 包含密钥信息)。我导出了我在 FireFox 中的证书并使用该文件更新了系统证书
我发现这对我来说也是如此。这就是为什么它很奇怪。
FiddlerRoot.cer文件是从http://ipv4.fiddler:8888/FiddlerRoot.cer 下载的openssl上述方法进行转换失败。.crt手动导出,我的 Unbuntu 系统将识别该.crt文件(但不是该.cer文件)所以FiddlerRoot.cer很好,只是我还没有找到将其转换为.crt使用命令的好方法。
将系统的默认声音输出静音/取消静音的通用方法是什么?
$ amixer set Master mute
amixer: Unable to find simple control 'Master',0
$ amixer scontrols
Simple mixer control 'IEC958',0
Simple mixer control 'IEC958',1
Simple mixer control 'IEC958',2
Simple mixer control 'IEC958',3
Simple mixer control 'IEC958',4
Simple mixer control 'IEC958',5
我知道声音控制已经从 amixer 转移到 Pulseaudio,但是,我仍然可以在我的 Debian 10 中使用 ALSA“主”控制,但不能在我的 Ubuntu 21.10 中使用,见上文。
来自https://superuser.com/questions/805525/pactl set-sink-mute 0 1 ,但我试过了,但这不适用于我上面的 Ubuntu 21.10。
总而言之,我只需要一种通用的方法来静音/取消静音我的系统的默认声音输出,这在我所有的机器和我的所有 Linux 上都很好,就像 ALSA“主”控件一样。
与 redhat bugzilla 中发布的相同 - kcompcd0 using 100% cpu已关闭INSUFFICIENT_DATA。
也一样
重新打开,因为那里的解决方案对我不起作用。
这是我的情况:
kcompactd0不断在一个内核上vmware-vmx使用 100% cpu,在八个内核上使用 100% cpu。
根据上游的要求,这里有更多信息:
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 21.10
Release: 21.10
Codename: impish
$ grep -r . /sys/kernel/mm/transparent_hugepage/*
/sys/kernel/mm/transparent_hugepage/defrag:always defer defer+madvise [madvise] never
/sys/kernel/mm/transparent_hugepage/enabled:always [madvise] never
/sys/kernel/mm/transparent_hugepage/hpage_pmd_size:2097152
/sys/kernel/mm/transparent_hugepage/khugepaged/defrag:1
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_shared:256
/sys/kernel/mm/transparent_hugepage/khugepaged/scan_sleep_millisecs:10000
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_none:511
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_to_scan:4096
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_swap:64
/sys/kernel/mm/transparent_hugepage/khugepaged/alloc_sleep_millisecs:60000
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_collapsed:0
/sys/kernel/mm/transparent_hugepage/khugepaged/full_scans:19
/sys/kernel/mm/transparent_hugepage/shmem_enabled:always within_size advise [never] deny force
/sys/kernel/mm/transparent_hugepage/use_zero_page:1
$ cat /proc/90/stack | wc
0 0 0
echo never > /sys/kernel/mm/transparent_hugepage/defrag
echo 0 > /sys/kernel/mm/transparent_hugepage/khugepaged/defrag
echo never > /sys/kernel/mm/transparent_hugepage/enabled
$ grep -r . /sys/kernel/mm/transparent_hugepage/*
/sys/kernel/mm/transparent_hugepage/defrag:always defer defer+madvise madvise [never]
/sys/kernel/mm/transparent_hugepage/enabled:always madvise [never]
/sys/kernel/mm/transparent_hugepage/hpage_pmd_size:2097152
/sys/kernel/mm/transparent_hugepage/khugepaged/defrag:0
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_shared:256
/sys/kernel/mm/transparent_hugepage/khugepaged/scan_sleep_millisecs:10000
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_none:511
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_to_scan:4096
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_swap:64
/sys/kernel/mm/transparent_hugepage/khugepaged/alloc_sleep_millisecs:60000
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_collapsed:0
/sys/kernel/mm/transparent_hugepage/khugepaged/full_scans:19
/sys/kernel/mm/transparent_hugepage/shmem_enabled:always within_size advise [never] deny force
/sys/kernel/mm/transparent_hugepage/use_zero_page:1
基本上,解决方法的来源是Fedora 错误报告“khugepaged eating 100%CPU”。该错误从未被修复,“解决方案”是针对 2013 年的 Fedora 17 的,并且
对于最后 3 个,也许是 4-5 个 Fedora 内核版本,我再也没有遇到过这个问题。
但现在又发生了。