Alexis Wilke's questions

我在 dmesg 日志¹中看到大量以下两行内容：

[602956.308844] [iptables] (10): IN=eno1 OUT=eno2 MAC=xx:yy:..:zz SRC=10.174.26.245 DST=192.168.22.59 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=53 DPT=47150 WINDOW=28960 RES=0x00 ACK SYN URGP=0 
[602956.652575] [iptables] (10): IN=eno1 OUT=eno2 MAC=xx:yy:..:zz SRC=10.172.0.22 DST=192.168.22.59 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=53 DPT=44204 WINDOW=28960 RES=0x00 ACK SYN URGP=0 

我的防火墙阻止了这些，因为它无法识别 10.172.0.22 和 10.174.26.245 IP 地址。

实际上，查看 eno1 和 eno2 的 IP 地址列表，这两个 IP 地址并不包含在内。我使用两个 10.xxx 的 IP 地址，但不包括上面列出的两个（因此防火墙屏蔽了这两个 IP 地址）。

我的网络看起来是这样的：

+----------+     +--------+     +--------+     +--------+
| Internet |<--->| Router |<--->| Server |<--->| Laptop |
+----------+     +--------+     +--------+     +--------+

服务器和笔记本电脑都安装了防火墙。笔记本电脑的IP地址是192.168.22.59。它没有收到任何UDP TCP数据包。

eno1 和 eno2 位于服务器上。eno1 连接到路由器，路由器再连接到互联网。路由器连接使用本地网络地址（IPv4 和 IPv6）。eno2 是我的本地网络（LAN）。服务器设置为转发笔记本电脑和互联网之间的流量。

笔记本电脑使用了VPN，我怀疑它可能来自VPN，但笔记本电脑本身也装有防火墙，因此也会忽略此类流量。我想知道这些数据包来自哪里？是本地系统，还是来自黑客？或者VPN可能是罪魁祸首？无论如何，我不明白UDP TCP数据包怎么会使用网络接口上不存在的IP地址；如果是本地的，我也不明白它怎么会从外部传入。假设是本地进程发送了这些数据包，有什么办法可以找出它吗？

附注：我安装了 libvirt，但我尝试停止正在运行的一个 VPN，结果没有任何效果。而且，它创建的两个网桥不使用 10.17[24].xx 这两个 IP 地址。另外，我实在想不出 VPN 会把UDP TCP 数据包发送到错误的机器的原因。

更新

于是，我打开笔记本电脑，重新连接了 VPN。之后，上面两行代码就不再出现了。

这让我看到了另一行：

[608974.298853] [iptables] (192): IN=eno1np0 OUT=eno2np1 MAC=xx:yy:...:zz SRC=192.168.19.2 DST=192.168.22.189 LEN=151 TOS=0x00 PREC=0x00 TTL=63 ID=8281 DF PROTO=UDP SPT=53 DPT=47512 LEN=131 

这个是UDP协议，但关键在于，就像笔记本电脑一样，它需要来自路由器（也就是互联网）的本地IP地址的数据。设备189是我的惠普打印机，所以它可能也有一个类似VPN的系统，并且偶尔会以这种方式导致DNS请求失败。

解决

我实际上可以在路由表中看到这两个 IP，您可以这样做：

$ ip route

这意味着我的图表会更像这样：

+----------+     +-----+     +--------+     +--------+     +--------+
| Internet |<--->| VPN |<--->| Router |<--->| Server |<--->| Laptop |
+----------+     +-----+     +--------+     +--------+     +--------+

当然，正如telcoM所说，路由器和VPN之间也存在ISP，但这不是罪魁祸首。我现在直接丢弃了这些数据包，而没有先记录它们：

-A bad_tcp_packets -i eno1 -s 10.172.0.0/16 -j DROP
-A bad_tcp_packets -i eno1 -s 10.174.0.0/16 -j DROP

需要注意的是：这意味着使用 VPN 可能会打开另一端的一组本地IP 地址。因此，您必须注意这一点，因为这可能会影响您的 LAN 设置。

¹我设置了防火墙来记录此类访问，以确保能够发现此类问题。目前，我并非试图回避日志，而是试图理解它。

我有一个我喜欢在本地构建的包。包中的某些文件将安装在首先创建给定用户的系统上。这些文件应归该用户所有。

例如，假设我的服务器上有一个用户“foo”，并且我创建了一个包含/usr/share/foo/protected.file具有权限的文件的包u=r（即只有该用户可以读取该文件）。

我想在我的debian/rules文件中做的是像这样设置该文件：

override_dh_fixperms:
    dh_fixperms
    ...
    chmod 400 debian/foo/usr/share/foo/protected.file
    chown foo:foo debian/foo/usr/share/foo/protected.file
    ...

我的问题是我用来构建包的计算机没有名为“foo”的用户，因此chown失败。我不想在那台计算机上创建“foo”用户。

有没有办法在构建过程中做到这一点（即我知道我可以破解生成的 .tar 文件，但我不想这样做）。

我使用以下命令来运行本地构建：

dpkg-buildpackage -us -uc

我有一个包，我希望管理员在其中输入接口名称列表。我希望该列表具有默认值。只是每个系统都有不同的列表（eth0、enp0s3、eno1，仅举几例）。

这是一个例子：

Template: iplock/public_interfaces
Type: string
Default: eth0
Description: Public Interfaces
 Enter a comma separated list of interface names that are connected to the
 Internet (public). For example: "eth0, eno1, enp0s3" (without the quotes).
 This will be saved in the system settings file. If necessary, you will be
 able to override these values by creating another file with different values
 or use "sudo dpkg-reconfigure iplock" to change the package settings.

可以Default: eth0动态设置吗？现有的 Debian 软件包中有这样的例子吗？

注 1：我专门使用 Ubuntu。

注 2：上面的模板可以在 github 上找到。

我在尝试构建依赖于其他几个包的包时遇到问题，其中一些包含服务。所述服务尝试在 postinst 脚本中启动，结果构建失败，因为在构建环境中，systemd未安装。

我希望看到一些有类似问题的官方软件包。此时，我不需要运行依赖项的服务，但 postinst 脚本仍然需要工作（显然？！），在这种情况下，它会尝试手动启动服务，因为名称与包名（另外，那个包中实际上有 2 个服务，但我离题了）。

我的脚本目前尝试这样做：

systemctl enable ipload
systemctl start ipload

在任何 Ubuntu 系统上安装包时它工作得很好，但在构建依赖于它的-dev包的系统时失败。

我的问题是：

存在类似问题的现有官方 Debian 软件包有哪些：依赖于通常启动服务并且在构建中需要的其他软件包？

这样我就可以让我自己的包以类似的方式工作。

Debian 提供了一种使用如下dpkg命令比较 Debian 兼容版本的方法：

dpkg --compare-versions <version> <operator> <version>

例如，如果你想知道给定的版本是否在 1.0 之前，那么你可以使用：

# gather VERSION from somewhere...
VERSION=0.9

if dpkg --compare-versions "${VERSION}" lt 1.0
then
    echo "unacceptable version as per policy"
    exit 1
fi

基于 RPM（RedHat/Fedora）系统下的等效命令是什么？

我创建了这个ipload工具来简化我的防火墙设置。特别是，我在保持规则正确方面遇到了很多问题（即在管理超过 3 台计算机时以正确的顺序和正确更新）。

Ubuntu 软件包包含一个ipload.service（缩写）如下所示的文件：

[Unit]
Description=IP Load -- load the firewall after boot
Wants=network-pre.target systemd-modules-load.service local-fs.target
Before=network-pre.target
After=systemd-modules-load.service local-fs.target

[Service]
ExecStart=/usr/sbin/ipload --load

[Install]
WantedBy=multi-user.target

很明显，我要求系统ipload在网络设置之前启动 ( Before=network-pre.target)。但是，我想验证情况是否确实如此，如果我ipload在重新启动后运行时检测到网络已经启动并正在运行，则会发出警告。

检查 Linux (Ubuntu) 网络状态的最佳方法是什么？

该ip6tables命令接受icmp和icmpv6协议：

$ sudo ip6tables -A INPUT -p icmp -j ACCEPT
$ sudo ip6tables -A INPUT -p ipv6-icmp -j ACCEPT

但是，当我使用ping命令进行测试时：

$ ping6 fe80::a00:1234:1234:1234%eth1

我从来没有icmp违反规则：

Chain INPUT (policy ACCEPT 133 packets, 13501 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
       0          0 ACCEPT     icmp     *      *       ::/0                 ::/0                
     112      11488 ACCEPT     icmpv6   *      *       ::/0                 ::/0                

如果无法达到协议，为什么icmp协议会被接受？ip6tables

我正在尝试使用该postconf(1)命令向master.cf文件中添加一个新条目，如下所示：

$ sudo postconf -e -M 'submission/inet=private=n unpriv=- chroot=y wakeup=- 
                       maxproc=- command=smtpd -o smtpd_enforce_tls=yes
                       -o smtpd_sasl_auth_enable=yes -o syslog_name=postfix/submission'

注意：为了更好地显示这里，分成多行。

这给了我一个错误如下：

postconf：致命：“private=n unpriv=-chroot=y wakeup=-maxproc=-command=smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes -o syslog_name=postfix/submission”中的无效类型字段“unpriv=-”

我也尝试不使用字段名称：

$ sudo postconf -M 'submission/inet=n - y - - smtpd -o smtpd_enforce_tls=yes
              -o smtpd_sasl_auth_enable=yes -o syslog_name=postfix/submission'

但这也无济于事：

postconf：致命：“n - y - - smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes -o syslog_name=postfix/submission”中的无效类型字段“-”

也postconf -F ...失败说文件中没有submission inet条目。以防万一，我尝试也包含该-e选项，但这没有任何区别（-e -M或者根据手册页都是等效的）-Me。-M

有人知道该-M选项的正确语法是什么吗？

我有一台 HP Color LaserJet Pro MFP M479fdn，它能够接收传真并将它们保存在文件夹中。只有当我查看界面时，它才告诉我我必须输入一个“共享文件夹”。

这是相关页面：

有没有办法只使用标准的 Linux 文件夹来完成这项工作？或者我是否有必要设置 Samba 以使其正常工作？如果可能的话，我宁愿避免桑巴舞。

更新：

正如下面所回答的，实际上没有其他解决方案。事实是我已经安装了 samba，所以我所要做的就是添加一个条目，如下所示：

[fax]                                                                           
    comment = Faxes on Monster                                                  
    path = /home/fax                                                            
    read only = no                                                              
    browsable = yes                                                             

创建用户：

sudo adduser --system --ingroup sambashare fax
sudo mkdir /home/fax/folder
sudo chown fax:sambashare /home/fax/folder
sudo passwd fax

并重新启动服务：

sudo systemctl restart smbd

然后我可以在我的 HP 设置中使用以下共享文件夹：

\\fax\folder

这被接受了。下一页要求输入用户名和密码，我使用“传真”和运行时输入的密码passwd。

我不能 100% 确定它在这一点上是否有效，我需要接收传真......

此设置的一部分基于 Ubuntu安装和配置 samba页面。

我有两台机器，一台基于 Intel 的标准 Ubuntu 和一台 Jetson Xavier，它们都有一个/proc/self/attr/current文件。但是，Jetson 计算机上的那个似乎不起作用：

这是我基于英特尔的标准 Ubuntu 上的输出：

$ xxd /proc/self/attr/current
00000000: 756e 636f 6e66 696e 6564 0a              unconfined.

但是，看起来我在 Jetson（基于 ARM）上遇到了错误：

$ xxd /proc/self/attr/current
xxd: Invalid argument

环顾四周，它似乎是 SELinux 扩展的一部分，我认为它没有安装在 Jetson 上。/proc但是，如果不可用，为什么该文件会出现在下面？

现在我有一台具有 64 个处理器的计算机，我遇到了真正的显示问题htop。

当我查看控制台中的屏幕时，我看到的只是 64 个处理器，而没有关于正在运行的内容（嗯，一行）。

在 X-Windows 下，我可以使用 使控制台更大F11，但这意味着我看不到其他窗口。

当我使用 时top，我可以按一下1键，然后显示所有 CPU 或将其折叠成一个条目。

我们有办法做到这一点htop吗？

我不得不说，从这个意义上说，拥有太多的 CPUhtop是相当无用的。

我以为我找到了 VirtualBox 的 CPU 配置文件列表。我就是找不到了。

我可以使用以下命令查看我当前的主机 CPU 信息：

vboxmanage list hostcpuids

但我想用我的一个当前未启动的虚拟机测试各种配置文件。像这样的东西：

VBoxManage modifyvm "myVM" --cpu-profile "Intel Core i7–6700K"

仅当配置文件不存在时，VM 才会失败（根本不会启动）。所以我想知道如何找到适用于我的主机系统的 CPU 配置文件列表？

更新：

从/proc/cpuinfo（64 个条目）：

processor   : 63
vendor_id   : GenuineIntel
cpu family  : 6
model       : 85
model name  : Intel(R) Xeon(R) Silver 4216 CPU @ 2.10GHz
stepping    : 7
microcode   : 0x500002c
cpu MHz     : 800.882
cache size  : 22528 KB
physical id : 1
siblings    : 32
core id     : 15
cpu cores   : 16
apicid      : 63
initial apicid  : 63
fpu     : yes
fpu_exception   : yes
cpuid level : 22
wp      : yes
flags       : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx pdpe1gb rdtscp lm constant_tsc art arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc cpuid aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 sdbg fma cx16 xtpr pdcm pcid dca sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm abm 3dnowprefetch cpuid_fault epb cat_l3 cdp_l3 invpcid_single intel_ppin ssbd mba ibrs ibpb stibp ibrs_enhanced tpr_shadow vnmi flexpriority ept vpid fsgsbase tsc_adjust bmi1 avx2 smep bmi2 erms invpcid cqm mpx rdt_a avx512f avx512dq rdseed adx smap clflushopt clwb intel_pt avx512cd avx512bw avx512vl xsaveopt xsavec xgetbv1 xsaves cqm_llc cqm_occup_llc cqm_mbm_total cqm_mbm_local dtherm ida arat pln pts pku ospke avx512_vnni md_clear flush_l1d arch_capabilities
bugs        : spectre_v1 spectre_v2 spec_store_bypass swapgs taa itlb_multihit
bogomips    : 4201.65
clflush size    : 64
cache_alignment : 64
address sizes   : 46 bits physical, 48 bits virtual
power management:

我正在将一些数据从旧服务器安装到新服务器。

由于我的旧服务器已经使用了很长时间，因此我有大量的遗留数据，其中最肯定的是遗留用户和组名。

提取时， tar 尽最大努力按名称匹配用户和组信息，并使用标识符作为后备或当前用户作为最后的手段。

我想做的是确保所有用户和组在我进行提取之前都存在。这样所有文件都会获得正确的 ID。

为此，我能想到的最好方法是列出在 tar 文件中找到的所有用户名和组名。我知道我可以使用该tar tvf backup.tar命令列出所有文件，但是我必须想出一种方法来提取正确的两个名称。

我想知道是否有比使用该tv选项更简单的方法。一些仅提取用户名和组名的工具或命令行选项，我可以使用它sort -u来将列表减少为唯一条目。

有人知道这样的功能吗？

有时，我的软件（通常在测试时）输出很长的行，所以我使用 -S 命令行选项，这意味着我看到一行而不是可能的许多屏幕数据。

偶尔，我喜欢验证这些数据，这意味着我会向右滚动很长（宽）的线。

完成后，我希望能够使用键返回第 1 列。我尝试了 0 和 1 和 ^ （即像在 vim 中一样），但它看起来不起作用。我认为即使您认为这是一个重要功能，也可能没有办法...

我想将 virtualbox 计算机连接到远程计算机上的本地服务。我可以连接到本地服务，但是远程服务有问题，因为在目的地，服务在本地 LAN 中运行。

这是第三台计算机和第三台计算机上的两个接口的图形。我想连接到 10.0.0.8:200，因为我想连接的服务只在远程计算机上的本地网络上运行。

+--------------------+
|                    |
|  VirtualBox        |
|  192.168.11.11:200 |
|                    |
+-----+--------------+
      |
      v
+--------------------+
|                    |
|  Local Computer    |
|  192.168.11.41:200 |
|                    |
+-----+--------------+
      |
      v
+--------------------+
|                    |
|  Remote Computer   |
|  8.8.8.8           |    <- I can connect here
|                    |
|  10.0.0.8:200      |    <- how do I connect here?
|                    |
+--------------------+

我可以在本地计算机和远程计算机之间打开一条隧道，但这并不能让我连接到本地网络 10.0.0.8 上的服务。

到目前为止，我所拥有的是本地计算机和远程计算机之间的 SSH 隧道。否则，我可以在 VirtualBox 和本地计算机之间进行连接（我有一个桥接网络设置，可以按预期工作。）

ssh -L 200:8.8.8.8:200 example.com

所以我缺少的是 8.8.8.8 和 10.0.0.8 之间的连接。如何在两者之间创建一个隧道/代理，使我的本地计算机可以使用 10.0.0.8:200 上的服务？

我在我的 Ubuntu 平台上安装了lm-sensors它，以检查我的处理器的温度以及可能的其他一些信息。

当我运行命令时，我看到以下内容：

alexis~$ sensors
power_meter-acpi-0
Adapter: ACPI interface
power1:        4.29 MW (interval =   1.00 s)

coretemp-isa-0000
Adapter: ISA adapter
Package id 0:  +41.0°C  (high = +81.0°C, crit = +91.0°C)
Core 0:        +40.0°C  (high = +81.0°C, crit = +91.0°C)
Core 1:        +39.0°C  (high = +81.0°C, crit = +91.0°C)
Core 2:        +40.0°C  (high = +81.0°C, crit = +91.0°C)
Core 3:        +39.0°C  (high = +81.0°C, crit = +91.0°C)
Core 4:        +38.0°C  (high = +81.0°C, crit = +91.0°C)
Core 5:        +39.0°C  (high = +81.0°C, crit = +91.0°C)
Core 6:        +40.0°C  (high = +81.0°C, crit = +91.0°C)
Core 7:        +38.0°C  (high = +81.0°C, crit = +91.0°C)
Core 8:        +39.0°C  (high = +81.0°C, crit = +91.0°C)
Core 9:        +39.0°C  (high = +81.0°C, crit = +91.0°C)
Core 10:       +40.0°C  (high = +81.0°C, crit = +91.0°C)
Core 11:       +40.0°C  (high = +81.0°C, crit = +91.0°C)
Core 12:       +41.0°C  (high = +81.0°C, crit = +91.0°C)
Core 13:       +39.0°C  (high = +81.0°C, crit = +91.0°C)
Core 14:       +38.0°C  (high = +81.0°C, crit = +91.0°C)
Core 15:       +39.0°C  (high = +81.0°C, crit = +91.0°C)

coretemp-isa-0001
Adapter: ISA adapter
Package id 1:  +41.0°C  (high = +81.0°C, crit = +91.0°C)
Core 0:        +40.0°C  (high = +81.0°C, crit = +91.0°C)
Core 1:        +37.0°C  (high = +81.0°C, crit = +91.0°C)
Core 2:        +37.0°C  (high = +81.0°C, crit = +91.0°C)
Core 3:        +38.0°C  (high = +81.0°C, crit = +91.0°C)
Core 4:        +38.0°C  (high = +81.0°C, crit = +91.0°C)
Core 5:        +37.0°C  (high = +81.0°C, crit = +91.0°C)
Core 6:        +40.0°C  (high = +81.0°C, crit = +91.0°C)
Core 7:        +39.0°C  (high = +81.0°C, crit = +91.0°C)
Core 8:        +38.0°C  (high = +81.0°C, crit = +91.0°C)
Core 9:        +39.0°C  (high = +81.0°C, crit = +91.0°C)
Core 10:       +39.0°C  (high = +81.0°C, crit = +91.0°C)
Core 11:       +38.0°C  (high = +81.0°C, crit = +91.0°C)
Core 12:       +37.0°C  (high = +81.0°C, crit = +91.0°C)
Core 13:       +38.0°C  (high = +81.0°C, crit = +91.0°C)
Core 14:       +38.0°C  (high = +81.0°C, crit = +91.0°C)
Core 15:       +38.0°C  (high = +81.0°C, crit = +91.0°C)

我想知道第一行：

power1:        4.29 MW (interval =   1.00 s)

4.29 MW在这种情况下代表什么？

今天我注意到tripwire 认为昨天一些Apache 配置文件发生了变化。我知道我没有对这些文件进行任何更改。

查看信息，它显示只有 inode 编号发生了变化：

  Property:            Expected                    Observed
  -------------        -----------                 -----------
  Object Type          Regular File                Regular File
  Device Number        2305                        2305
* Inode Number         5770048                     5771399
  Mode                 -rw-r--r--                  -rw-r--r--
  Num Links            1                           1
  UID                  root (0)                    root (0)
  GID                  root (0)                    root (0)
  Size                 1055                        1055
  Modify Time          Mon 09 Oct 2017 04:54:54 PM PDT
                                               Mon 09 Oct 2017 04:54:54 PM PDT
  Blocks               8                           8
  CRC32                BSW2x+                      BSW2x+
  MD5                  CqXESieHTV/33Ye6iuaHjk      CqXESieHTV/33Ye6iuaHjk

一个文件的 Inode 怎么会改变而没有别的呢？

我想知道是否有一种sendmail工具可以让我发送电子邮件而无需我们在 Postfix 等服务器中看到的所有开销。我已经使用 Postfix，所以我知道如何设置它。但我正在寻找的是一种简单的sendmail命令行工具，可以将电子邮件从一台服务器发送到运行 Postfix 的服务器。

所以......我正在云中运行一个机器集群。其中一台机器安装了 Postfix，它就像一个魅力。我可以通过将数据保存在我们的系统数据库中并让后台任务获取该数据并将其转发到该特定计算机上的 Postfix 来从任何前端发送电子邮件。所以我们的软件得到了照顾，假设数据库已经启动，邮件系统后端启动，Postfix 启动......当所有这些准备就绪时，电子邮件开始按预期流动（我们有两个这样的安装，它们都可以正常工作美好的。）

现在......这些云实例还运行 CRON 任务和一些其他子系统，这些子系统最终可以发送电子邮件（或至少尝试这样做）。默认情况下会失败，因为这些机器上没有安装 MTA。

我正在寻找的是一种有能力做的方法：

prompt$ sendmail [email protected]
From: [email protected]
Subject: Problem Report

Here we go, the problem is that I don't want Postfix on  each machine.
.

此外，我想sendmail进行设置，因此如果它无法连接到运行 Postfix 的计算机（可能当前已关闭），则电子邮件不会丢失。相反，它被保存在一个文件中。例如，在/var/mail/root.

当然，我不想再运行另一台服务器。我希望该sendmail工具是一个在需要发送电子邮件时运行的命令行。就这样。

Linux Ubuntu下有类似的东西吗？

我编写了一个 C++ 看门狗，它运行一组脚本来确定该系统是否存在问题。

代码有点毛茸茸，这里就不展示了，但它相当于一个系统调用，如下所示：

int const r(system("/bin/sh /path/to/script/test-health"));

仅r当脚本因if语句中缺少命令而失败时为 0。脚本有一些令人反感的地方：

set -e
[...]
if unknown_command arg1 arg2
then
[...]

显然失败了，unknown_command因为......它是未知的。那时脚本结束，因为我set -e在开始时有。

但是，在这种情况下，退出代码将为 0。

在这种情况下，我有办法获得退出代码 1 吗？

即问题是检测错误而无需添加测试来知道是否unknown_command存在。我知道该怎么做：

if ! test -x unknown_command
then
    exit 1
fi

我的观点是，当我编写该脚本时，我希望unknown_command在我自己安装它时存在，但如果出现问题或有人将脚本复制到另一个系统上而不安装所有内容，我想知道执行时出错脚本。