symcbean's questions

当我向 Google 询问 ssh 代理转发如何工作时，它给我提供了许多 SEO 优化垃圾链接，解释了如何配置 ssh-agent。这不是我问的。

我目前遇到一个问题，在 VPN 连接远端的屏幕会话中启动的作业会失败，因为在 VPN 发生故障后它们无法通过 ssh 连接。

通常这些作业依赖于来自源客户端的代理转发来进行连接。我怀疑这里出了什么问题，但更好地了解整个代理转发会有所帮助。

当我从 host0 连接到 hosta 时，host0 上的 ssh-agent 会将我的私钥提供给 host0 上的 ssh 客户端。在 hosta 上，我看到 SSH_AUTH_SOCK 已填充，引用本地套接字。如果我在 hosta 上 ssh hostb，ssh 客户端会以某种方式连接到 host0 上的 ssh-agent。大概是使用 host0-hosta ssh 连接中的备用通道。

hosta 上的 $SSH_AUTH_SOCK 发生了什么？

（fuser $SSH_AUTH_SOCK 表明没有任何东西打开）

就我的屏幕会话而言，如果启动屏幕会话的 ssh 会话已结束，并且我从 host0 到 hosta 启动新的 ssh 会话，那么来自屏幕会话的密钥请求是否会通过新连接发送？

我想通过 ssh 发送一些环境变量。我修改了服务器上的 sshd_config，在 /etc/ssh/sshd_config.d 中添加了一个文件，其中包含：

# NB This DOES NOT conflict with PermitUserEnvironment=No
AcceptEnv NOTIF* LANG LC_*

并重新启动 sshd。运行ssh -o SendEnv=NOTIF* localhost printenv变量未在远程端设置。

/etc/ssh/sshd_config 中已有一个包含 的条目AcceptEnv LANG LC_*。注释掉 + 重新启动对行为没有影响。

$ export NOTIFY_WHAT="SERVICE"
$ export NOTIFY_SHORTDATETIME="CRIT"
$ export NOTIFY_HOSTNAME="web.example.com"
$ export NOTIFY_HOSTOUTPUT="host is up"
$ export NOTIFY_HOSTSTATE="OK"
$ export NOTIFY_NOTIFICATIONTYPE="PROBLEM"
$ export NOTIFY_SERVICEDESC="cmk-test"
$ export NOTIFY_SERVICEOUTPUT="oh no its broken!"
$ export NOTIFY_SERVICESTATE="CRIT"

$ ssh -o SendEnv=NOTIF* localhost printenv
SHELL=/bin/bash
LANGUAGE=en_US.UTF-8
SSH_AUTH_SOCK=/tmp/ssh-XXXXIxNz4o/agent.8579
PWD=/home/symcbean
LOGNAME=symcbean
MOTD_SHOWN=pam
HOME=/home/symcbean
LANG=C.UTF-8
SSH_CONNECTION=127.0.0.1 35340 127.0.0.1 22
USER=symcbean
SHLVL=0
SSH_CLIENT=127.0.0.1 35340 22
LC_ALL=C
PATH=/usr/local/bin:/usr/bin:/bin:/usr/games
_=/usr/bin/printenv

因此它不起作用，但奇怪的是，发送了一个修改后的 LANG：

$ export LANG=en_GB.UTF-8
$ ssh -o SendEnv=NOTIF* localhost printenv
SHELL=/bin/bash
LANGUAGE=en_US.UTF-8
SSH_AUTH_SOCK=/tmp/ssh-XXXXIxNz4o/agent.8579
PWD=/home/symcbean
LOGNAME=symcbean
MOTD_SHOWN=pam
HOME=/home/symcbean
LANG=en_GB.UTF-8
SSH_CONNECTION=127.0.0.1 35340 127.0.0.1 22
USER=symcbean
SHLVL=0
SSH_CLIENT=127.0.0.1 35340 22
LC_ALL=C
PATH=/usr/local/bin:/usr/bin:/bin:/usr/games
_=/usr/bin/printenv

（虽然我使用本地主机连接，但客户端和服务器在单独的 WSL 容器上运行。客户端是 1:8.9p1-3ubuntu0.7，服务器是 openssh-server 1:9.2p1-2+deb12u3）。

为了不引起歧义：

$ ssh -o SendEnv=NOTIF* localhost 'find /etc/ssh -type f -exec grep -H AcceptEnv {} \;'
grep: /etc/ssh/ssh_host_ed25519_key: Permission denied
grep: /etc/ssh/ssh_host_rsa_key: Permission denied
grep: /etc/ssh/ssh_host_ecdsa_key: Permission denied
/et`c/ssh/sshd_config.d/allowcheckmk:AcceptEnv NOTIF* LANG LC_*
/etc/ssh/sshd_config:# AcceptEnv LANG LC_*

更新 我-vv可以看到客户端似乎正在发送数据 - 它没有被接受/在远程端被丢弃......

debug1: Sending environment.
debug1: channel 2: setting env NOTIFY_SERVICESTATE = "CRIT"
debug2: channel 2: request env confirm 0
debug1: channel 2: setting env NOTIFY_HOSTSTATE = "OK"
debug2: channel 2: request env confirm 0
debug1: channel 2: setting env NOTIFY_WHAT = "SERVICE"
debug2: channel 2: request env confirm 0
...

我正在编写一个脚本，需要检查给定目录中的任何文件最近是否被修改。我以为我可以简单地使用find，但是即使它没有找到匹配项，它也会报告成功：

$ touch afile
$ find . -mtime -1 -iname ????*
./afile
$ echo $?
0
$ find . -mtime +1 -iname ????*
$ echo $?
0

（我只是使用 iname 谓词来排除 '.' ，但与 的行为相同-type f）

我宁愿不必解析 的输出，ls因为这可能会很不稳定。

使用test -n "$(find . -mtime -1 -iname ????*)"似乎给出了期望的结果，但我并不觉得这是一个特别优雅的解决方案。

我不需要知道哪些文件已被修改 - 只要最近有任何文件发生更改（其中“最近”通常是 1 天）。

有一个更好的方法吗？

（搜索谷歌，我只是得到了很多关于如何执行简单查找的 SEO 废话）

我有一个相当复杂的 shell 脚本，它处理从文件中读取的多个值列表作为空格分隔值，例如

SET1="value1 value2 value3"

for i in ${SET1}; do
   ...

我现在想在脚本中创建一个类似格式的列表来写出。但是，如果我这样做（例如）：

DISCOVERED=''
DISCOVERED+=( us-east-1 )
DISCOVERED+=( us-east-2 )
DISCOVERED+=( us-west-1 )
for REGION in ${DISCOVERED} ; do
    echo $REGION
done

我没有得到任何输出。如果我指定，我确实会得到输出in ${DISCOVERED[@]}。看来我正在使用 SET1 和 DISCOVERED 中的不同数据类型。

我可以轻松地附加到具有空格分隔值的字符串，但最终会得到需要清理的前导空格或尾随空格：

function append_discovered {
   local VALUE="$1"
   if [ -z "${DISCOVERED}" ] ; then
      DISCOVERED="$VALUE"
   else
      DISCOVERED="${DISCOVERED} ${VALUE}"
   fi
}

....但这似乎相当麻烦。

我可以将输出变量视为数组 - 但随后我需要DISCOVERED="${DISCOVERED[@]}"在适当的位置将其转换回 ( )，以使用与其他列表不同的构造来迭代此列表。

如果不是数组，我的输入数据（例如上面的 $SET1）的数据类型是什么？

有没有更简洁的方法来附加此列表并保持相同的数据类型？

我有一个相当普通的 Ubuntu 20.04LTS 盒子，我从 repo 部署了 Tomcat9。开箱即用，这似乎被配置为将其日志写入 /var/log/tomcat9/ 并且那里确实有日志文件。然而，这些信息只有我期望的一小部分——其余部分在输出中可见，systemctl status tomcat9并且正在写入 /var/log/syslog。

提供的单元文件中唯一相关的是......

SyslogIdentifier=tomcat9

在安装tomcat的同时还创建了/etc/rsyslog.d/tomcat9.conf 包含...。

# Send Tomcat messages to catalina.out when using systemd
$template TomcatFormat,"[%timegenerated:::date-year%-%timegenerated:::date-month%-%timegenerated:::date-day% %timegenerated:::date-hour%:%timegenerated:::date-minute%:%timegenerated:::date-second%] [%syslogseverity-text%]%msg%\n"

:programname, startswith, "tomcat9" {
  /var/log/tomcat9/catalina.out;TomcatFormat
  stop
}

的输出示例systemctl status tomcat9

● tomcat9.service - Apache Tomcat 9 Web Application Server
     Loaded: loaded (/lib/systemd/system/tomcat9.service; enabled; vendor preset: enabled)
    Drop-In: /etc/systemd/system/tomcat9.service.d
             └─override.conf
     Active: active (running) since Fri 2022-04-08 13:07:39 UTC; 17min ago
       Docs: https://tomcat.apache.org/tomcat-9.0-doc/index.html
    Process: 1006 ExecStartPre=/usr/libexec/tomcat9/tomcat-update-policy.sh (code=exited, status=0/SUCCESS)
   Main PID: 1026 (java)
      Tasks: 53 (limit: 2274)
     Memory: 332.9M
     CGroup: /system.slice/tomcat9.service
             └─1026 /usr/lib/jvm/java-8-openjdk-amd64/bin/java -Djava.util.logging.config.file=/var/lib/tomcat9/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.C>

Apr 08 13:20:14 myhost.example.com tomcat9[1026]: [cfPullService] DEBUG 13:20:14 ConnectionManager.openConnection(444) | opening JDBC connection
Apr 08 13:20:14 myhost.example.com tomcat9[1026]: [cfPullService] DEBUG 13:20:14 JDBCTransaction.begin(87) | current autocommit status: true
Apr 08 13:20:14 myhost.example.com tomcat9[1026]: [cfPullService] DEBUG 13:20:14 JDBCTransaction.begin(90) | disabling autocommit
Apr 08 13:20:14 myhost.example.com tomcat9[1026]: [cfPullService] DEBUG 13:20:14 JDBCTransaction.commit(134) | commit
Apr 08 13:20:14 myhost.example.com tomcat9[1026]: [cfPullService] DEBUG 13:20:14 JDBCTransaction.toggleAutoCommit(227) | re-enabling autocommit

上面的“cfPullService”来自已部署的 java 代码（实际上是一个黑盒子），并且可能在其他时间包含其他值。

以及 /var/log/syslog 中的条目示例...

Apr  8 13:20:12 myhost tomcat9[1026]: [cfPullService] INFO 13:20:12 RunSearchManagerImpl.runEarlyEngagementSearch(165) | Finished saving early engagement notices.
Apr  8 13:20:12 myhost tomcat9[1026]: [cfPullService] INFO 13:20:12 RunSearchManagerImpl.runPipelineSearch(176) | Running pipeline search

提供的 /etc/rsyslog.d/tomcat9.conf 如下所示：

# Send Tomcat messages to catalina.out when using systemd
$template TomcatFormat,"[%timegenerated:::date-year%-%timegenerated:::date-month%-%timegenerated:::date-day% %timegenerated:::date-hour%:%timegenerated:::date-minute%:%timegenerated:::date-second%] [%syslogseverity-text%]%msg%\n"

:programname, startswith, "tomcat9" {
  /var/log/tomcat9/catalina.out;TomcatFormat
  stop
}

我尝试使用...创建一个 systemd 覆盖文件（并应用了守护程序重新加载）。

[Service]
StandardOutput=syslog
StandardError=syslog

但这对行为没有影响。

我如何能

1. 获取 tomcat 的输出到 /var/log/tomcat9 中的文件
2. 停止将 tomcat 的输出发送到 /var/log/syslog

我被一个 Centos 5.3 VM（在 Proxmox 上运行）卡住了，它表现出巨大的时钟漂移。它被配置为每 5 分钟运行一次 ntpdate，但在两次执行之间时钟仍然不同步长达 20 秒。我已经尝试运行 ntpd （并停止 cron 作业），但它没有报告任何错误/我看不到任何地方创建了 ntp.drift 文件并且时钟继续漂移。

我在集群上运行了大约 30 个虚拟机和相同数量的容器——没有其他任何东西出现同样的问题。/etc/ntp.conf中除了服务器地址没有其他配置

我想对我的 mail.log（Ubuntu 20.04 LTS 上的 postfix 3.2.13）运行一些分析，包括更新无法投递的电子邮件数据库，所以我编写了脚本，从通用 /var/log logrotate 脚本中排除了 mail.log 并创建了一个新的 /etc/lorotate.d/mail_log 在 post-rotate 部分运行脚本。虽然脚本被调用，但它无法生成 db 文件：

postfix/postmap[540039]: fatal: open /etc/postfix/bad_recipients.db: Read-only file system

考虑到这实际上可能是权限问题，我为 syslog 用户添加了 sudoers 规则（/var/log/mail 文件归 syslog 用户所有）并修改了 logrotate 脚本：

/var/log/mail.log
{
        rotate 30
        daily
        missingok
        notifempty
        compress
        delaycompress
        sharedscripts
        postrotate
                /usr/lib/rsyslog/rsyslog-rotate
                sudo /usr/local/sbin/mailfail.sh
        endscript
}

但是我仍然在每个 mail.log ( ) 的顶部报告相同的错误，Read-only file system并且数据库没有更新。

脚本正在执行表明它不是脚本上的 chroot 或权限或 sudo 错误配置问题。正在写入的其他文件具有 syslog 用户（拥有日志文件的用户）的权限。

Rsyslogd 似乎是链中唯一受 apparmor 配置文件约束的可执行文件 - 但将路径 /etc/postfix* (rwk) 添加到配置文件并从强制切换到抱怨对错误没有影响。

（从命令运行脚本按预期工作）

我正在尝试在 fail2ban 中配置一个策略——在我的情况下，不良行为的检测和识别相当复杂，所以我打算在一个专门的程序中处理这个问题。与其让该程序写入日志，并通过 fail2ban 轮询日志以查看它是否应该采取行动，我认为fail2ban-client banip直接从检测器调用会更简单。但是fail2ban 拒绝识别我的监狱配置，因为它没有定义过滤器。

我必须提供日志文件和过滤器吗？有没有办法说服fail2ban在没有这个的情况下工作？如果我需要告诉 fail2ban 一个日志文件，它是否必须存在于文件系统中？

我有一个 Ubuntu 18.04（即 NetworkManager / netplan / systemd-networkd）VM，它运行良好，直到我尝试添加第二个接口。在我配置了一个静态地址（它仍在设置一个额外的默认 gw 和 DNS）之后，我最初遇到了 DHCP 仍在运行的问题，我认为现在已经解决了。新界面（ens192）有响应，但我无法连接到原始界面（ens160）。

我通过尝试从位于 10.1.1.1 的客户端（即通过配置为默认网关的路由器）连接到 10.2.0.20 (ens160) 接口对此进行了测试。

检查 TCP 转储，我看到 TCP 同步数据包从 ens160 上的客户端到达，但主机在新接口上响应（确认）。没有配置 iptables 规则。

这是路由表：

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use 
Iface
0.0.0.0         10.2.0.254      0.0.0.0         UG    100    0        0 ens160
10.1.0.0        0.0.0.0         255.255.0.0     U     101    0        0 ens192
10.2.0.0        0.0.0.0         255.255.0.0     U     100    0        0 ens160
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 ens160

（我不知道 169.254.0.0 地址来自哪里）。我注意到 ens192 局域网路由的指标比 ens160 高。我本来希望这可以解释与我看到的行为完全相反的行为（即更高的指标可能意味着发送到 10.1.0.0 的数据包被回复到超过 10.2.0.0）但只是为了检查我将其更改为与其他：

 # ip route del 10.1.0.0/16 dev ens192
 # ip route add 10.1.0.0/16 dev ens192 metric 100
 # route -n
 Kernel IP routing table
 Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
 0.0.0.0         10.2.0.254      0.0.0.0         UG    100    0        0 ens160
 10.1.0.0        0.0.0.0         255.255.0.0     U     100    0        0 ens192
 10.2.0.0        0.0.0.0         255.255.0.0     U     100    0        0 ens160
 169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 ens160

这对行为没有影响。

如何让两个接口按预期工作（最好不破坏网络计划）？

我确实读过这个- 但我不是试图通过路由器发送流量，只是发送到连接的局域网。如果它是相关的，这是我目前的网络计划：

 # This file describes the network interfaces available on your system
 # For more information, see netplan(5).
 network:
   version: 2
   renderer: networkd
   ethernets:
     ens160:
       dhcp4: no
       addresses: [10.2.0.27/16]
       gateway4: 10.2.0.254
       nameservers:
         addresses: [10.2.0.52,10.2.0.61]
     ens192:
       dhcp4: no
       addresses: [10.1.0.73/16]

我正在向 .bashrc 添加一些别名，以阻止人们使用标准命令，因为实现所需结果涉及更复杂的过程。但是，如果从脚本调用别名，我该如何设置退出代码？理想情况下不会生成像“没有这样的文件或目录”这样的虚假错误消息（我确实找到了这个，但肯定有更干净的方法吗？）

例如

 alias useradd='echo "Nope....you should be using the custom script."'

应该导致......

 # useradd newuser
 Nope....you should be using the custom script.
 # echo $?
 -1
 #

我知道du 和 df 将报告差异的预期原因，但是我无法想象这些可以证明我看到的差异是合理的：

[[email protected] mynfsmount]# df -h /opt/mynfsmount
Filesystem            Size  Used Avail Use% Mounted on
192.168.0.92:/data/export/examplecom
                      3.0T  2.7T  391G  88% /opt/mynfsmount
[[email protected] mynfsmount]# du -sh /opt/mynfsmount
13G     /opt/mynfsmount

即 df 报告的使用量是 du 报告的约 300 倍。

NFS 服务器是 Synology 机器，主机是 Centos 5.11（erk！）并且 /opt/mynfsmount 中没有 lost+found 目录，这可能很重要。这是我继承的一个系统，几乎没有关于预计会有多少数据的信息。

目前 lsof 仅报告一个已删除的文件仍处于打开状态。

我接下来要尝试什么的任何建议？

我尝试在控制台上以 root 身份并通过 ssh 登录时遇到“访问被拒绝”（是的，我知道应该禁用 root ssh 访问 - 我刚刚继承了这个框）。我可以作为对“ALL”具有 sudo 访问权限的非 root 用户登录，但是当sudo su -我得到：

su: cannot open session: Permission denied

如果我使用我认为正确的密码运行“su”，我会收到“身份验证失败”。

环顾互联网，我可以看到很多人们无法“su - non-root-user ”的情况，但在那里有效的补救措施似乎都不适用于这里。/etc、/etc/pam.d 上的权限是 0755，而 /etc/pam.d/* 上的权限都是 0644，除了更宽松的符号链接。/etc/passwd 中的 root 的 shell 是 /bin/bash（为我的非 root 用户工作）。没有 /etc/nologin

这是一个相当老的 Centos 主机。

除非必须，否则我宁愿不要让盒子离线来修复它。还有什么可以阻止 root 登录 / su / sudo su ？

更新 主机并不像我想象的那么旧 - 它的 Centos 7.4

我可以通过运行获得root权限

sudo -u root /bin/bash

（但更传统的方法仍然失败并出现相同的错误）。

在尝试运行“su”时，会出现以下日志条目（但 su 向标准输出报告错误并退出）

 May 17 15:25:06 myhost su: pam_limits(su:session): Could not set limit for 'nofile': Operation not permitted
 May 17 15:25:06 myhost su: pam_unix(su:session): session opened for user root by symcbean(uid=0)

我正在尝试找到一种在会话期间安全存储数据的方法——特别是用于跳转框上的密码——因此用户只需在跳转框会话中输入给定目标的密码一次。理想情况下，我什至希望从根目录中隐藏数据。

尽管我信任具有 root 访问权限的人，但我不一定信任所有以 root 身份运行的程序——例如可能会暴露数据的备份。

SELinux 不会这样做 - RHEL 上可用的策略需要大量工作，它不可移植，当然，SELinux 很烂。

加密不起作用 - 然后我需要找出存储密钥的位置。

运行一个守护进程并将数据放在那里/使用套接字凭据传递进行身份验证，但是在实现这一点方面需要付出一些努力，我想确信数据在会话结束时被清除（这可能并不总是干净利落地结束）。

使用 O_TMPFILE 创建一个未命名的文件看起来解决了很多填充数据和在会话结束时清理的问题。但是另一个进程如何才能访问数据呢？我想答案是让拥有进程也打开一个监听套接字并以这种方式处理请求 - 但有没有更简单的解决方案？

我应该完全重新考虑这一点吗？

虽然我知道 rfbproxy 和 ffmpeg 的 x11grab 功能，但所有在线示例似乎都是针对想要记录自己会话的用户。我的使用模型是维护（合理地）可信赖的远程访问系统审计记录。

我的问题是如何协调这些创建的文件与会话元数据（特别是经过身份验证的用户名）。如果录制是从会话中开始的，那么我可以捕获用户名，尽管这会将调用暴露给用户（例如，如果通过 XDG 自动启动完成）。

（记录输入事件可能是完整视频录制的可行替代方案）

如果录制的开始/停止不是从用户会话中调用的，那么如何将开始/停止与用户会话的开始/结束同步？

用户将通过 VNC 连接到 Linux 桌面（我还没有开始考虑 Wayland 如何适应这一切）。