LINUX.ORG.RU

Сообщения gidrotormoz

 

Задвоение DKIM подписей при отправке

Форум — Admin

Всем привет, случилась такая проблема, после переноса почтового сервера на другой Ip адрес (серый), стал получать такую ошибку при проверке на mail-tester. You have more than one DKIM signature in your message. Please enable only one signature, you should let your mail server sign the message and disable DKIM on your Newsletter software. Но однако данная проблема возникает только при отправке сообщения через Roundcube, если использовать подключение по imap через Outlook то всё корректно. Помогите разобраться, спасибо. Конфигурация сервера - Centos 7, postfix 3.2 + dovecot + roundcube

 , ,

gidrotormoz
()

find + copy

Форум — Admin

Всем привет, подскажите чукче как рекурсивно после find всё скопировать в опеределённый каталог.
Грубо говоря нужно что-то подобное
/usr/bin/find /etc/letsencrypt/archive/ -type f -mtime -30 -exec /usr/bin/scp -r "{}" /etc/letsencrypt/export \;
но в {} у меня вываливается только отфильтрованное из первого попавшегося каталога, все остальные игнорятся и тупо копируются в export.

 , ,

gidrotormoz
()

Добавление данных в лог очереди FreePBX

Форум — Admin

Всем привет, короче задачка такая, нужно как то добавлять CallerID number в queue_log, на текущий момент он пишется в отдельную таблицу queue_log БД астера, и всё что выводится вот тут | id | time | callid | queuename | agent | event | data1 | data2 | data3 | data4 | data5 | Я вижу два варианта, поменять как то вывод столбца agent, либо добавить новый столбец с CallerID number. Но как кастомизировать данный процесс на freepbx пока не представляю. Всем спасибо за внимание!

 , ,

gidrotormoz
()

Удалённый запуск команд

Форум — Admin

Всем привет, подскажите как можно запускать команду удалённо (с Centos на Centos) без ввода пароля от ssh, т.е. задание будет с командой запускаться в фоне кроном.

 , ,

gidrotormoz
()

Имя триггера в Zabbix

Форум — Admin

Всем привет, тыкните плиз как извлекать из {ITEM.VALUE} нужное мне значение, для отображения в имени триггера. тз, нужно сделать что то типа НА ДИСКЕ O ОСТАЛОСЬ: ({ITEM.LASTVALUE}) ИЗ (общий объем диска)

 

gidrotormoz
()

ngx_tcpwrappers + fail2ban + nginx

Форум — Admin

Всем привет. Есть у кого опыт в реализации данной приблуды? Замысел в том, чтобы на веб сервере ограничивать с помощью fa2lban доступ к одному vhost а не через action = iptables-multiport. Буду признателен, если кто поделится наработками. Всем мир!

 ,

gidrotormoz
()

бесконечный рефреш страницы (haproxy)

Форум — Admin

Всем привет, помогите разобраться с напастью, начал познавать haproxy в связи с рабочей необходимостью. Задача при ввода Url типа https://my.server.ru/ сразу редиректить на каталог типа https://my.server.ru/1c_bd/ru_RU/ Это я сделал, но есть проблема, которая скорее всего связанная со структурой конфига haproxy, при переходе по ссылке и после редиректа старница начинает бесконечно рефрешится или редиректиться. прикрепляю полный конфиг моего haproxy. haproxy -c -f /etc/haproxy/haproxy.cfg ни на что не ругается, в логах кроме Apr 30 12:55:12 localhost haproxy[3124]: 192.168.1.92:53661 [30/Apr/2020:12:55:12.000] https-proxy~ 1c_path/s1 0/0/15/9/24 200 18570 - - ---- 2/1/0/0/0 0/0 "GET /SoftOnIT/ru_RU/ HTTP/1.1" так же ничего нет…

#---------------------------------------------------------------------
# Example configuration for a possible web application.  See the
# full configuration options online.
#
#   http://haproxy.1wt.eu/download/1.4/doc/configuration.txt
#
#---------------------------------------------------------------------

#---------------------------------------------------------------------
# Global settings
#---------------------------------------------------------------------
global
    # to have these messages end up in /var/log/haproxy.log you will
    # need to:
    #
    # 1) configure syslog to accept network log events.  This is done
    #    by adding the '-r' option to the SYSLOGD_OPTIONS in
    #    /etc/sysconfig/syslog
    #
    # 2) configure local2 events to go to the /var/log/haproxy.log
    #   file. A line like the following can be added to
    #   /etc/sysconfig/syslog
    #
    #    local2.*                       /var/log/haproxy.log
    #
    log         127.0.0.1 local2

    chroot      /var/lib/haproxy
    pidfile     /var/run/haproxy.pid
    maxconn     4000
    user        haproxy
    group       haproxy
    daemon
	ssl-server-verify none
	ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
    ssl-default-bind-options no-sslv3
    tune.ssl.default-dh-param 4096

    # turn on stats unix socket
    stats socket /var/lib/haproxy/stats

#---------------------------------------------------------------------
# common defaults that all the 'listen' and 'backend' sections will
# use if not designated in their block
#---------------------------------------------------------------------
defaults
    mode                    http
    log                     global
    option                  httplog
    option                  dontlognull
    option http-server-close
    option forwardfor       except 127.0.0.0/8
    option                  redispatch
    retries                 3
    timeout http-request    10s
    timeout queue           1m
    timeout connect         10s
    timeout client          1m
    timeout server          1m
    timeout http-keep-alive 10s
    timeout check           10s
    maxconn                 3000

#-----------------------------------------------------------
frontend http-proxy
    bind *:80
	redirect scheme https code 301 if !{ ssl_fc } #редирект на https
	default_backend 1c_web
	########Для установки и обновления letsencrypt##############
	acl letsencrypt-acl path_beg /.well-known/acme-challenge/
	use_backend letsencrypt-backend if letsencrypt-acl
#---------------------------------------------------------------
frontend https-proxy
    bind *:443 ssl crt /etc/letsencrypt/live/my.server.ru/my.server.ru.pem
	acl 1c hdr_end(host) -i my.server.ru
	http-request set-path /SoftOnIT/ if 1c
	use_backend 1c_path if 1c
	default_backend 1c_web
#---------------------------------------------------------------
backend letsencrypt-backend
    server letsencrypt 127.0.0.1:8888
#---------------------------------------------------------------
backend 1c_web
    mode http
    cookie SERVERID insert indirect nocache
    server 1cweb 10.255.10.26:80 check cookie 1cweb
#---------------------------------------------------------------
backend 1c_path
    server s1 10.255.10.26:443 ssl

 ,

gidrotormoz
()

1c > IIS > Nginx

Форум — Admin

Всем привет. Спецы по веб, прошу помощи! Что-то не выходит добить авторизацию в 1с приложении через веб с помощью nginx. Изначально 1с опубликован на IIS, я в Nginx делаю такой vhost. В IIS через проверку подлинности, авторизация работает вся, кроме Negotiate/NTLM.

server {
    listen       80;
    listen       [::]:80;
    server_name  my.server.com;
    rewrite ^(.*) https://my.server.com/SoftOnIT/$1 permanent;
}

server {
    listen       443;
    listen       [::]:443;
        ssl on;
        ssl_certificate /etc/nginx/certs/my.server.com_bundle.crt;
        ssl_certificate_key /etc/nginx/certs/my.server.com_private.key;

        server_name  my.server.com;

        access_log  /srv/web/my.server.com/log/access.log;

        if ( $http_user_agent ~* (nmap|nikto|wikto|sf|sqlmap|bsqlbf|w3af|acunetix|havij|appscan) ) {
            return 403;
        }

        if ($request_uri = /) {
            rewrite ^ https://my.server.com/SoftOnIT/ permanent;
        }

        location /SoftOnIT/ {
            proxy_pass         http://my.localserver.com/SoftOnIT/;
            proxy_redirect     off;
            proxy_set_header   Host             $host;
            proxy_set_header   X-Real-IP        $remote_addr;
            client_max_body_size       50m;
            client_body_buffer_size    128k;
            proxy_connect_timeout      90;
            proxy_send_timeout         90;
            proxy_read_timeout         90;
            proxy_buffer_size          4k;
            proxy_buffers              4 32k;
            proxy_busy_buffers_size    64k;
            proxy_temp_file_write_size 64k;

#            Разрешить доступ только из локальной сети
#            allow 192.168.0.0/16;
#            deny all;
        }

    }

 , ,

gidrotormoz
()

Настройка OpenMCU на Centos7

Форум — Admin

Всем привет. Второй день долблюсь с OpenMCU, вроде всё поставил, получилось OpenMCU + flexisip. Подключаться планирую клиентом Linphone.

На текущий момент все сервисы работают кроме пресловутого flexisip-proxy.service, не взлетает и всё. В сервиса всё чисто, ни на что не ругается и не стартует при этом!

Я прекрасно понимаю что некрофилией сейчас нет ни у кого желания заниматься, но возможно кто-то поделится опытом настройки видеоконференции на OpenMCU.

Пробовал сделать аналогичное решение на Debian 7 но там связка OpenMCU + Linphone. Тут мне тоже никак не удаётся подключиться к комнате конференции. Уже не знаю куда дальше копать.

Всем спасибо, буду рад любой инфе.

 ,

gidrotormoz
()

Настройка Nginx

Форум — Admin

Всем привет коллеги. Прошу помощи у экспертов по настройке nginx. Данный сервис у меня поднят на centos 7. Разобрался с самой базовой настройкой сервиса, на текущий момент удачно проксирую https запросы снаружи внутрь. Но есть одна особенность, которую я пока не знаю как разрулить. Объясню по-этапно

  1. имеется nat трансляция на cisco маршрутизаторе по 443 порту на LAN адрес прокси сервера с nginx.
  2. имеется множество A записей во внешних dns зонах, которые смотрят на внешний транслируемый ip адрес.
  3. Собственно сама проблема. При переходе по https://внешний_ip_адрес/ открывается первый настроенный .conf на nginx, а конкретнее Битрикс, который я настроил в первую очередь.

Теперь вопрос, можно ли как то настроить nginx, чтобы при переходе по транслируемому ip адресу просто показывал к примеру 403 ошибку, да что угодно, только не сам сервис.

Заранее спасибо!

 , ,

gidrotormoz
()

Вложения и Postfix

Форум — Admin

Всем привет, есть проблема с пересылкой сообщения с вложением в мир. Postfix почему то сразу удаляет вложение без всяких причин и уведомлений в логах. Если создать письмо и прикрепить тоже самое вложение, то конечный получатель видит вложение. Отправка сразу с Exchange происходит нормально.

В качестве сервера почтовых ящиков используется Exchange2013cu23, postfix 2.10.1+spamassassin(правила на входящую почту) используются в качестве пограничного сервера. Сам postfix фактически из коробки, добавлено только немного фильтров типа.

smtpd_sender_restrictions =	permit_mynetworks,
		permit_sasl_authenticated,
		##white_client,
		##black_client,
		# Запрет отправки писем, когда адрес MAIL FROM не совпадает с логином пользователя
		reject_authenticated_sender_login_mismatch,
		# Отклоняем письма от несуществующих доменов
		reject_unknown_sender_domain,
		# Отклоняем письма от доменов в не FQDN формате
		reject_non_fqdn_sender,
		# Отклонение писем с несуществующим адресом отправителя
		reject_unlisted_sender,
		reject_unauth_destination,

или

smtpd_recipient_restrictions =  permit_mynetworks,
		permit_sasl_authenticated,
		# Отклоняет всю почту, что адресована не для наших доменов
		reject_unauth_destination,
		# Отклонение писем с несуществующим адресом получателя
		reject_unlisted_recipient,
		# Отклоняет сообщения на несуществующие домены
		reject_unknown_recipient_domain,
		# Отклоняет сообщения если получатель не в формате FQDN
		reject_non_fqdn_recipient,
		# Отклоняем прием от отправителя с пустым адресом письма, предназначенным нескольким получателям.
		reject_multi_recipient_bounce
smtpd_recipient_limit = 10000
default_destination_concurrency_limit = 50

в master spamassassin прописан таким образом.

smtp      inet  n       -       n       -       -       smtpd
 -o content_filter=spamassassin
spamassassin      unix  -       n       n       -       -       pipe
 flags=R user=spamd argv=/usr/bin/spamc -u spamd -e /usr/sbin/sendmail -f $sender $recipient

Соответственно со стороны логов тоже не вижу, что перехватывает вложение… Либо я просто слепой и не вижу где смотреть)

 ,

gidrotormoz
()

Фильтр для Fail2ban

Форум — Admin

Всем привет, не закидывайте камнями, на форуме поискал похожую тему слегка, но увы.

Помогите на fail2ban настроить фильтр для парсинга лога с Exchange OWA. На тачке стоят - Centos 7, nginx/1.12.2, fail2ban 0.10

Хотелось бы, чтобы fail2ban реагировал на значение reason=2 из строчки события

192.168.1.185 - - [06/Feb/2020:13:21:45 +0300] "GET /owa/auth/logon.aspx?replaceCurrent=1&reason=2&url=https%3a%2f%2fowa.uniservis.org%2fowa HTTP/2.0" 200 59156 "https://owa.uniservis.org/owa/auth/logon.aspx?url=https%3a%2f%2fowa.uniservis.org%2fowa&reason=2" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36"

Но увы, пока толком не разберусь как именно вычленить это значение.

Сам сделал что-то типа такого, но не помогает.

failregex = <HOST> - - "GET /owa/auth/logon.aspx?replaceCurrent=1&reason=2"

Так выглядит само правило.

[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
banaction = iptables-multiport
logpath = /srv/web/my.name.service/log/owa-ssl-access.log
maxretry = 3
bantime = 172800

Заранее спасибо! Буду рад любому пинку в сторону решения проблемы.

 ,

gidrotormoz
()

RSS подписка на новые темы