LINUX.ORG.RU

Сообщения alex_sim

 

Nagios врет о состоянии сервисов через wireguard

Две локальные сети, всегда были обьединены посредством OpenVPN. Тут коллеги нахвалили Wireguard, прям такой шустрый ( разницы в скорости не заметил) и прост в настройке. Поднял, настроил и вчера вечером подменил OpenVPN->WireGuard. Утром проснувшись потянулся к планщету поглядеть на мониторинг Nagios….. караул! куча сервисов не работает как то HTTP, SSD Uptime начинаю разбираться, все работает на ура, это Nagios нагло врет мониторя эти сервисы через WG вот и верь потом…. Через OpenVPN все было корректно. Как так? Что делать? Как бы не критично нагиосы работают и в каждой сети локально без WG, но хотелось бы в одном месте все смотреть, сюрпризы какие то на каждом шаге.

 ,

alex_sim
()

Обновил ядро centos 7

В лабораторной песочнице обновил ядро с 3.10 до 5.17 нужно было для того, чтоб покрутить wireguard. и у меня отвалилась сетевая карта. Когда гружу старое ядро все нормально работает, а с новым нету сетевушки. В чем проблема может быть? lshw видит сетевушку, но не поднимает. NetworkManager используется nmtui видит конфигурацию сетевушки, но и только.

Да, сетевушка realtek и встроенная и внешняя разницы нет. Драйвера наверно в ядре должны уже быть?

 ,

alex_sim
()

Подскажите по journal как его усмирить? Fedora 34

Всего за 3 дня эта мегасвалка выростает до 70 гигов, не могу понять кто так активно в журнал срет, догадываюсь что это kernel

мар 03 14:52:14 mydomen.ru kernel: WIFI-DLINK_inIN=eth0 OUT=eth1 MAC=ac:1f:6b:eb:a4:44:00:e0:ed:84:9e:34:08:00 SRC=45.136.22.200 ...
мар 03 14:52:14 mydomen.ru kernel: ALL_inIN=eth0 OUT=eth1 MAC=ac:1f:6b:eb:a4:44:00:e0:ed:84:9e:34:08:00 SRC=45.136.22.200 ...

так как WIFI-DLINK_in создал в iptables я сам для подсчета трафика, но в юните iptables практически нет ничего. как посмотреть какие юниты вообще пишут в journal, какие очень активно пишут, как исключить запись конкретного юнита в журнал. Согласитесь 3 дня и 70 гигов это маловато по времени и многовато по размеру. Как уже писали на форуме тут статей много по журналу но все копия одной.

 

alex_sim
()

Помогите найти Freepbx морду

Решил покрутить Asterisk може в скоре понадобиться, поставил, работает ( на виртуалке Fedora 34) решил прикрутить веб морду для управления уж больно конфигов богато, поставил. Но при обрашению к HTTPD вижу только свои старые инструменты для управления mysql и тп.

никаких конфигов Freepbx у апача необнаружил, ничего не добавилось, про порты речи не идет, на каком морда должна висеть. Что я не понимаю, подтолкните пожалуста коллеги, как поиметь морду для управления звездочкой.

Заранее благодарен.

 

alex_sim
()

не могу заставить работать плагин check_dhcp в nagios

проверяю уже делая руками:

./check_dhcp -v -i eth1 -m 30:85:a9:f7:89:5a -s 172.16.1.100
Hardware address: 30:85:a9:f7:89:5a
Requested server address: 172.16.1.100
DHCP socket: 3
DHCPDISCOVER to 255.255.255.255 port 67
DHCPDISCOVER XID: 1067326700 (0x3F9E1CEC)
DHCDISCOVER ciaddr:  0.0.0.0
DHCDISCOVER yiaddr:  0.0.0.0
DHCDISCOVER siaddr:  0.0.0.0
DHCDISCOVER giaddr:  0.0.0.0
send_dhcp_packet result: 548

No (more) data received (nfound: 0)
Result=ERROR
Total responses seen on the wire: 0
Valid responses for this machine: 0
No Response From: 172.16.1.100
CRITICAL: No DHCPOFFERs were received.

И смотрю в журнале

 journalctl -f -u dhcpd
-- Journal begins at Wed 2021-11-24 10:05:14 +05. --
ноя 24 15:56:06 my-dhcp dhcpd[786205]: DHCPDISCOVER from 30:85:a9:f7:89:5a via eth1
ноя 24 15:56:06 my-dhcp dhcpd[786205]: DHCPOFFER on 172.16.1.70 to 30:85:a9:f7:89:5a via eth1

Все выдалось, но плагин упорствует. В чем я не прав? Все это происходит на одном компе fedora 34 запустил 2 сесcии ssh и тренируюсь

 ,

alex_sim
()

Есть такая штука как Уведомления, полезно.

Хотелось бы иметь возможность удалять, оставлять только нужное. Не нашел такой возможности, ее нет?

 

alex_sim
()

Сканер Kyosera FS-1016MFP можно как то использовать в Centos7

Домашняя МФУ. Есть возможность заставить сканер работать? Драйверов под Линукс нет, под 10 винду тоже, может есть какие то универсальные драйвера, и программы для сканирования.

Забыл! к нему есть сетевуха IP-110 те его можно сделать сетевым.

 ,

alex_sim
()

OpenVPN Fedora 34- Mikrotik RB951

много лет работал OpenVPN между рабочей fedora и домашним микротиком, поменял сервер на Fedora 34, микротик остался тем же. Снес все старое относящееся к OpenVPN на микротике, интерфейсы и тп, импортировал ключи создал интерфейс. Но такое ощущение что Микротик даже не пытается поднять VPN, домашнему IP можно все в Fedora, у микротика тоже не трогал фаервол. В тоже время с домашней сетки Win10 легко поднимает VPN, с теми же сертификатами, плашет на Андроиде тоже конвертнул под себя сертификаты и поднимает VPN на раз, тоже самое со смартфона, тока что телевизор не поднимает VPN. Хотелось бы чтоб Микрот поднял vpn и больше нигде не заморачиваться, но микрот упорствует. Посоветуйте что можно посмотреть, прошивку обновил до последней стабильной, толку нет. Fedora сервер Микрот клиент, в логах Fedora ничего касаемо подключения микрота, но все в порядке Win10 планшет и смарфон.

 , ,

alex_sim
()

Есть ли средство для приведения отчетов DMARC в читаемый вид?

на данный момент валятся отчеты в xml и конечно можно выловить оттуда здравое зерно, но затруднительно.

Предлогаются сервисы по распарсиванию но 15 дней бесплатно а потом… Кто пользует отчеты DMARC отзовитесь.

 

alex_sim
()

DKIM не хочет подписыват письма Postfix

создаю связку SPF+DKIM+DMARC

Все заработало кроме DKIM, ни в какую не хочет подписывать наши письма, он проверяет подписи у писем у которых есть входящие, но наши, свои письма подписывать не хочет.

Aug  5 07:01:33 mail opendkim[197338]: 4BA892018F291: mx7.spsndr.com [213.109.77.166] not internal
Aug  5 07:01:33 mail opendkim[197338]: 4BA892018F291: not authenticated
Aug  5 07:01:33 mail opendkim[197338]: 4BA892018F291: message has signatures from lssp.ru, spsndr.com
Aug  5 07:01:33 mail opendkim[197338]: 4BA892018F291: DKIM verification successful
A

а свои

Aug  5 12:55:08 mail opendkim[267993]: D673D2018F3F8: averianov.office [172.16.1.17] not internal
Aug  5 12:55:08 mail opendkim[267993]: D673D2018F3F8: not authenticated
Aug  5 12:55:08 mail opendkim[267993]: D673D2018F3F8: no signature data

Чего не хватает ему не пойму, локальный тест прогнал все ОК, тес валидаторов в инете с селектором и доменом тоже пройден -OK

Mode sv

Пути к ключам и тп перепроверил сто раз

Правда mydomen.ru не averianov.office [172.16.1.17] может тут что порылось… пытаюсь отправить почту с roundcube те с 127.0.0.1 вылетает ошибка 4.7.1 сервис недоступен

 ,

alex_sim
()

Не уходит почта на странный адрес (домен) и вроде не должна

Пользователи говорят, что раньше переписывались с контактом shsa@om-group.ru (помнится он мне уже клевал мозги) обновил почтовик и письма не уходят.

сервер говорит:

postfix/smtpd[71867]: warning: hostname om-group.ru does not resolve to address 62.192.58.36: No address associated with hostname
postfix/smtpd[71867]: NOQUEUE: reject: RCPT from unknown[62.192.58.36]: 554 5.7.1 <unknown[62.192.58.36]>: Client host rejected: Access denied; from=<shsa@om-group.ru> to=<Kom03@xxxxx.ru> proto=ESMTP helo=<om-group.ru>

проверяю

 host -t MX om-group.ru
om-group.ru mail is handled by 10 server-02.om-group.ru.

далее

nslookup server-02.om-group.ru
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
*** Can't find server-02.om-group.ru: No answer

спрашиваю

nslookup om-group.ru
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
*** Can't find om-group.ru: No answer

есть только обратная зона

 nslookup 62.192.58.36
36.58.192.62.in-addr.arpa       name = om-group.ru.

Что это за чюдо и как мне от него принять почту? Надо нашим пользователям как обычно позарез.На этом ip никтоне слушает 25 порт.

Я что то не понимаю? обьяснить это пользователям…. анреал

 

alex_sim
()

Postfix open relay

Есть у нас тут почтовых дел мастера, помогите разобраться поменял старый почтовик на свежую Федору 34, все вроде аналогично в конфигах были изменения, но не критичные. ну и данные яшиков и домена в базе mariadb. Но спамят через меня и не пойму что делать, кроме как выключения сервера на ночь, днем вроде активность не такая. Сразу оговорюсь SPF и DKIM записей в DNS нету, так как не имею доступа к DNS. А с SEO веду переговоры (они рулят DNS) но они не шевелятся. привожу конфиг

soft_bounce = no
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix

myhostname = mail.domen.ru
myorigin = $myhostname

inet_interfaces = all
inet_protocols = ipv4

unknown_local_recipient_reject_code = 550
mynetworks = 127.0.0.1,  172.16.1.0/24, 172.16.15.0/24

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

smtpd_banner = $myhostname ESMTP $mail_name

debug_peer_level = 2
debugger_command =
    PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
    ddd $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix/samples
readme_directory = /usr/share/doc/postfix/README_FILES

relay_domains = mysql:/etc/postfix/mysql/relay_domains.cf
virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf,
 mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf

bounce_notice_recipient = my@domen.ru
address_verify_sender = my@domen.ru
bounce_notice_recipient = my@domen.ru
delay_notice_recipient = my@domen.ru
#error_notice_recipient = my@domen.ru



smtpd_discard_ehlo_keywords = etrn, silent-discard
smtpd_forbidden_commands = CONNECT GET POST
broken_sasl_auth_clients = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtp_always_send_ehlo = yes
disable_vrfy_command = yes

smtpd_helo_restrictions = permit_mynetworks,
 permit_sasl_authenticated,
 reject_non_fqdn_helo_hostname,
 reject_invalid_helo_hostname,
 reject_unknown_hostname

smtpd_data_restrictions = permit_mynetworks,
 permit_sasl_authenticated,
 reject_unauth_pipelining,
 reject_multi_recipient_bounce,

smtpd_sender_restrictions = permit_mynetworks,
 permit_sasl_authenticated,
 reject_non_fqdn_sender,
 check_sender_access hash:/etc/postfix/check_sender,
 #check_sender_access hash:/etc/postfix/sender_access,
 reject_unknown_sender_domain

smtpd_recipient_restrictions = permit_mynetworks,
 permit_sasl_authenticated,
 # Отклоняет всю почту, что адресована не для наших доменов
 reject_unauth_destination,
 # Отклонение писем с несуществующим адресом получателя
 reject_unlisted_recipient,
 # Отклоняет сообщения на несуществующие домены
 reject_unknown_recipient_domain,
 # Отклоняет сообщения если получатель не в формате FQDN
 reject_non_fqdn_recipient,
 # Отклоняем прием от отправителя с пустым адресом письма, предназначенным нескольким получателям.
 reject_multi_recipient_bounce


smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtpd_tls_security_level = may
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache
smtpd_tls_key_file = /etc/postfix/certs/key.pem
smtpd_tls_cert_file = /etc/postfix/certs/cert.pem
tls_random_source = dev:/dev/urandom
smtpd_tls_mandatory_ciphers = low
smtpd_tls_ciphers = low
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtp_tls_mandatory_protocols  = !SSLv2,!SSLv3
smtp_tls_ciphers = low
smtp_tls_mandatory_ciphers = low
smtp_tls_protocols = !SSLv2,!SSLv3
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy_maps
# фиксировать в логе имена серверов, выдающих сообщение STARTTLS, поддержка TLS для которых не включена
smtp_tls_note_starttls_offer = yes

# Ограничение максимального размера письма в байтах
message_size_limit = 20000000
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 15
smtpd_error_sleep_time = 20
anvil_rate_time_unit = 60s
smtpd_client_connection_count_limit = 20
smtpd_client_connection_rate_limit = 30
smtpd_client_message_rate_limit = 30
smtpd_client_event_limit_exceptions = 127.0.0.0/8
smtpd_client_connection_limit_exceptions = 127.0.0.0/8

maximal_queue_lifetime = 1d
bounce_queue_lifetime = 1d

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/dovecot-auth

# Директория для хранения почты
virtual_mailbox_base = /mail
virtual_minimum_uid = 1000
virtual_uid_maps = static:1000
virtual_gid_maps = static:1000
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

sender_bcc_maps = hash:/etc/postfix/sender_bcc_maps
recipient_bcc_maps = hash:/etc/postfix/recipient_bcc_maps

compatibility_level=2
meta_directory = /etc/postfix
shlib_directory = /usr/lib64/postfix

Как эти сволочи умудряются если mynetworks только мои серые сетки

# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (no)    (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
#smtp      inet  n       -       n       -       1       postscreen
#smtpd     pass  -       -       n       -       -       smtpd
#dnsblog   unix  -       -       n       -       0       dnsblog
#tlsproxy  unix  -       -       n       -       0       tlsproxy
submission inet n       -       n       -       -       smtpd
 -o syslog_name=postfix/submission
 -o smtpd_tls_security_level=encrypt
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_tls_auth_only=yes
 -o smtpd_reject_unlisted_recipient=no
 -o smtpd_recipient_restrictions=
 -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
 -o milter_macro_daemon_name=ORIGINATING


smtps inet n - n - - smtpd
 -o syslog_name=postfix/smtps
 -o smtpd_tls_wrappermode=yes
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
 -o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination
 -o milter_macro_daemon_name=ORIGINATING

pickup    unix  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
        -o syslog_name=postfix/$service_name
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
retry     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache
postlog   unix-dgram n  -       n       -       1       postlogd


dovecot unix - n n - - pipe
 flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -f ${sender} -d ${recipient}

ну и кусок лога

Aug  2 04:28:58 mail postfix/smtp[47377]: 1FEFA2008F256: to=<support2@fcl.co.za>, relay=1-grid-mx01.co.za[41.185.250.100]:25, delay=121, delays=0/117/0.85/2.8, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 9A5351111B89)
Aug  2 04:28:58 mail postfix/qmgr[24869]: 1FEFA2008F256: removed

Рад буду за любые советы. после ночи в очереди куча писем левых которые уже блочат по спам спискам

 

alex_sim
()

Помогите запилить постоянный маршрут Fedora 34

Клиент цепляется к серверу по OpenVPN у него все работает, но мне надо чтоб и сервер знаю о существовании сети клиента.

Делаю:

route add -net 172.16.15.0 netmask 255.255.255.0 gw 10.8.2.2 dev tap0

все, счастье наступило, но только до следующей перезагрузки, далее все опять ручками. https://www.dmosk.ru/miniinstruktions.php?mini=route-centos#permanent тут описано как создать перманентный маршрут для Centos 7, они с Федорой вроде бы близнецы братья, но не работает. Пилить systemd?

 , ,

alex_sim
()

не работает маршрутизация?

второй день мучаюсь…Fedora 34 между двуми офисами поднял OpenVPN

Tun1 ( 10.8.2.1) - Tun1 (10.8.2.2)

 ping 10.8.2.1
PING 10.8.2.1 (10.8.2.1) 56(84) bytes of data.
64 bytes from 10.8.2.1: icmp_seq=1 ttl=64 time=0.072 ms

и

ping 10.8.2.2
PING 10.8.2.2 (10.8.2.2) 56(84) bytes of data.
64 bytes from 10.8.2.2: icmp_seq=1 ttl=64 time=2.88 ms

Такая картина с обеих сторон, вроде все хорошо, включил маршрутизацию как обычно единичкой, фаервол пока с политиками ACCEPT

1) from 172.16.1.100 eth1: 56(84) bytes of data.
^C
--- 10.8.2.1 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 7202ms

Не пингуется ни с одной стороны, что я делаю не так?

 ,

alex_sim
()

кодировка в связке apache+ mariadb

переползаю со старой fedora на новую 34, перетащил базу с веб мордой, но на старой федоре все русские записи базы прекрасно читаются, а на новой федоре одни вопросы, в шапке html все перепроверил, в базе вроде все тоже точно так же. Но что дернуто select ом в табличку, русское - нечитаемо. Причем меняю кодировки на то что дернул из базы никак не влияет.

Посоветуйте, что можно предпринять?

 ,

alex_sim
()

Кто пользует poistfixadmin веб морду подскажите

как то бы надо отключить политику паролей, чтоб можно было попроще пароли пользователям заводить не могу ничего найти в postfixadmin. Можно конечно прям в базе mysql после того как завел поправить но как то не по феншую это.

 ,

alex_sim
()

Ошибся с размером корня (/)

и заметил это уже когда почти все настроил, можно заархивировать снести и поставить все заново, но как то не хочется, может можно parted изменить размер. Посоветуйте коллеги.

Корень xfs - raid1 програмный

 , ,

alex_sim
()

Что то все промолчали, пропустили что ли новость

https://www.cnews.ru/news/top/2021-03-31_vyshla_besplatnaya_zamenu что думаете коллеги? Действительно кто то подхватил упавшее знамя CenOs или как к этому относиться?

 

alex_sim
()

Конвертация SSH ключа для putty никак не хочет работать

Понимаю то вопрос не линуксовый, но непонятно чей, может все же кто то с Линуксоводов вставал на грабли? Есть Fedora 33 сгенерил ключики раскидал по нужным местам все работает с линукса на линукс, на ура, но хотелось бы иметь доступ и с Виндового компа, для этого конвертирую ключик в формат ppk (putty) и не работает. в логах:

userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedKeyTypes [preauth]
Connection closed by authenticating user root 172.16.15.70 port 58640 [preauth]

Гуглил по PubkeyAcceptedKeyTypes нашел только https://blog.tataranovich.com/2016/11/ubuntu-ssh-dsa.html

но у меня ключ RSA тоже перестали работать? попробую сгенерить DSA ключ.

 , ,

alex_sim
()

В сеть утекли 3,2 млрд логинов и паролей с Gmail и прочих почтовых сервисов

Читали? Ну как же так, логины с паролями что в текстовых файлах хранятся? Что скажете корифеи безопасности?

 

alex_sim
()

RSS подписка на новые темы