Сообщения zorinquen

pritunl+PritunlFake-API

Форум — Admin

Добрый день,

Успешно активировал на pritunl-fake-api c https://github.com/simonmicro/Pritunl-Fake-API?tab=readme-ov-file на Pritunl, установленном на Ubuntu focal, и после апгрейда сервера до Ubuntu noble работает fake-api. А другой Ubuntu noble сервер не активируется, хотя версии pritunl одинаковые установлены на обоих серверах. При этом после ре-логина в браузере появляется Update notification окно с инфой «Fake API endpoint for v1.32.3504.68 active and reachable (contacted at ….)» но после его закрытия ничего не происходит.

Во всех 4 файлах дефолтный домен app.pritunl.com изменен на pritunl-api.simonmicro.de

/usr/lib/pritunl/usr/lib/python3.9/site-packages/pritunl/constants.py 
/usr/lib/pritunl/usr/lib/python3.9/site-packages/pritunl/handlers/subscription.py 
/usr/lib/pritunl/usr/lib/python3.9/site-packages/pritunl/settings/app.py 
/usr/share/pritunl/www/js/main.ec1a7517b563b1b512675899cfb3c7d7.js

как и на успешно активированном сервере. И с обоих серверов доступен хост pritunl-api.simonmicro.de 4 открытыми портами 80, 443, 8080 и 8443

$ sudo nmap -Pn pritunl-api.simonmicro.de
Starting Nmap 7.93 ( https://nmap.org ) at 2024-10-25 21:01 EEST
Nmap scan report for pritunl-api.simonmicro.de (104.21.96.32)
Host is up (0.030s latency).
Other addresses for pritunl-api.simonmicro.de (not scanned): 172.67.150.164 2606:4700:3034::6815:6020 2606:4700:3037::ac43:96a4
Not shown: 996 filtered tcp ports (no-response)
PORT     STATE SERVICE
80/tcp   open  http
443/tcp  open  https
8080/tcp open  http-proxy
8443/tcp open  https-alt

Nmap done: 1 IP address (1 host up) scanned in 8.78 seconds

Куда копать?

openvpn, pritunl, wireguard

zorinquen
(01.11.24 18:00:38 MSK)

4 комментария

semanage ошибка доступа

Форум — Admin

Пытаюсь выполнить на сервере с активным selinux команду (чтобы потом на целевом сервере импортировать изменения):

# semanage export -f semanage.mods
Traceback (most recent call last):
  File "/usr/sbin/semanage", line 109, in __call__
    sys.stdout = open(values, 'w')
PermissionError: [Errno 13] Permission denied: 'semanage.mods'

Как можно устранить эту ошибку доступа?

selinux, ubuntu server

zorinquen
(07.10.24 11:23:24 MSK)

2 комментария

Rspamd - автообучение с Dovecot imap_sieve plugin

Форум — Admin

Когда Dovecot и Rspamd установлены на одном сервере, то используется такая текущая конфигурация плагинов в dovecot.conf

plugin {
    sieve_plugins = sieve_imapsieve sieve_extprograms
    sieve_before = /var/vmail/sieve/global/spam-global.sieve
    sieve = file:/var/vmail/sieve/%d/%n/scripts;active=/var/vmail/sieve/%d/%n/active-script.sieve

    ###
    ### Spam learning
    ###
    # From elsewhere to Spam folder
    imapsieve_mailbox1_name = Spam
    imapsieve_mailbox1_causes = COPY
    imapsieve_mailbox1_before = file:/var/vmail/sieve/global/learn-spam.sieve

    # From Spam folder to elsewhere
    imapsieve_mailbox2_name = *
    imapsieve_mailbox2_from = Spam
    imapsieve_mailbox2_causes = COPY
    imapsieve_mailbox2_before = file:/var/vmail/sieve/global/learn-ham.sieve

    sieve_pipe_bin_dir = /usr/bin
    sieve_global_extensions = +vnd.dovecot.pipe

    quota = maildir:User quota
    quota_exceeded_message = User %u has exhausted allowed storage space.
}

Содержимое sieve скрипта для обучения спама learn-spam.sieve

require ["vnd.dovecot.pipe", "copy", "imapsieve"];
pipe :copy "rspamc" ["learn_spam"];

А как быть в случае если Rspamd установлен на отдельном сервере, а Dovecot c подмонтированным по NFS mail storage на другом сервере? т.е. Dovecot должен передавать данные rspamc для обучения удаленно…

dovecot, rspamd, sieve

zorinquen
(16.02.23 16:40:35 MSK)

11 комментариев

NFS - перемонтировать раздел

Форум — Admin

Пытаюсь перемонтировать по NFS после добавления опции в fstab

# mount -o remount /srv
mount.nfs: an incorrect mount option was specified

странно, но эту ошибку команда выдает и без добавленной опции. Пробовал еще

# mount -a

# umount /srv && mount /srv
umount.nfs4: /srv: device is busy

но через

# findmnt | grep nfs

видно, подмонтировано со старыми опциями. Остановить перед монтированием Dovecot, ящики которого хранятся в /srv не получается

# systemctl stop dovecot
Warning: Stopping dovecot.service, but it can still be activated by:
  dovecot.socket

Как правильно в таком случае перемонтировать NFS раздел?

dovecot, nfs, ubuntu server

zorinquen
(07.02.23 17:12:16 MSK)

5 комментариев

Dovecot - Corrupted index cache file

Форум — Admin

В почтовом логе появились такие записи

Feb  4 15:05:00 mail dovecot: imap(uzer@domain.com): Error: Corrupted index cache file /srv/mail/vhosts/domain.com/uzer@domain.com/Maildir/dovecot.index.cache: invalid record size
Feb  4 15:05:00 mail dovecot: imap(uzer@domain.com): Error: Corrupted index cache file /srv/mail/vhosts/domain.com/uzer@domain.com/Maildir/dovecot.index.cache: invalid record size
Feb  4 15:05:00 mail dovecot: imap(uzer@domain.com): Error: Broken file /srv/mail/vhosts/domain.com/uzer@domain.com/Maildir/dovecot-uidlist line 513: Invalid data:

Удаление файлов не помогло

# rm dovecot.index*

dovecot

zorinquen
(04.02.23 19:57:37 MSK)

17 комментариев

Dovecot - SSLv2 not supported by OpenSSL

Форум — Admin

На сервере с Ubuntu-18.04 установлен Dovecot версии 2.2.33.2. В почтовом логе присутствовали сообщения

dovecot: config: Warning: SSLv2 not supported by OpenSSL. Please consider removing it from ssl_protocols.

После отключения SSLv2 в 10-ssl.conf

ssl_protocols = TLSv1.2 TLSv1.1 TLSv1 !SSLv3

сообщения в логе исчезли, но при этом почтовые клиенты с устаревшими версиями не смогут подключаться?

dovecot, openssl

zorinquen
(04.02.23 08:48:18 MSK)

4 комментария

ошибка hostname: Name or service not known

Форум — Admin

На Ubuntu-18.04 сервере при попытке узнать FQDN

$ hostname -f
hostname: Name or service not known

При этом в /etc/hosts есть запись для 127.0.1.1

127.0.1.1	mail.domain.com	mail

Попытка вручную удалить эту запись из /etc/hosts с последующим использованием

# hostnamectl set-hostname --static mail

не помогла. Та же ошибка «Name or service not known».

dns, ubuntu server

zorinquen
(31.01.23 15:55:40 MSK)

5 комментариев

Dovecot - ошибка no route to host

Форум — Admin

На сервере с установленным Dovecot настроена репликация с dsync к уже недоступным серверам. В почтовом логе много сообщений типа:

Jan 28 12:59:42 mda-1 dovecot: doveadm(user1@domain.com): Fatal: connect(10.128.0.10:22222) failed: No route to host
Jan 28 12:59:42 mda-1 dovecot: doveadm(user2@domain.com): Fatal: connect(10.128.0.10:22222) failed: No route to host
Jan 28 13:09:38 mda-1 dovecot: master: Error: service(doveadm): command startup failed, throttling for 60 secs

В 30-dsync.conf

service aggregator {
    fifo_listener replication-notify-fifo {
        # Your mail user that's managing files generally is used here
        user = vmail 
        mode = 0666
    }
    unix_listener replication-notify {
        user = vmail 
        mode = 0666
    }
}


# Configure the replicator service
service replicator {
    process_min_avail = 1
    unix_listener replicator-doveadm {
        mode = 0666
    }
}
service doveadm {
     user = vmail
    inet_listener {
        # port to listen on
        port = 22222 
        # enable SSL
        ssl = no 
    }
}

doveadm_port = 22222 
doveadm_password = пароль
 

plugin {
    mail_replica = tcp:10.128.2.10:22222
    mail_replica = tcp:10.128.0.10:22222
}


service config {
  unix_listener config {
    user = vmail
  }
}

Хосты 10.128.2.10 и 10.128.0.10 выключены. Я попытался сначала просто убрать параметр replication из /etc/dovecot/conf.d/10-mail.conf и рестартануть Dovecot.

mail_plugins = notify acl

Но в логе все-еще присутствуют сообщения «… No route to host». Потом закомментировал строки с mail_replica в 30-dsync.conf

plugin {
#    mail_replica = tcp:10.128.2.10:22222
#    mail_replica = tcp:10.128.0.10:22222
}

Но после этого посыпались сообшения в лог типа

mda-1 dovecot: doveadm(user1@domain.com): Error: sync: User has no mail_replica in userdb 
mda-1 dovecot: doveadm(user2@domain.com): Error: sync: User has no mail_replica in userdb

Как правильно вообще отключить репликацию?

dovecot, replication

zorinquen
(28.01.23 15:48:21 MSK)

1 комментарий

Dovecot - unable to get certificate CRL

Форум — Admin

В почтовом логе при включенном verbose_ssl присутствуют сообщения вида:

Jan 22 13:07:35 mailhost dovecot: imap-login: Invalid certificate: unable to get certificate CRL: /C=US/O=Internet Security Research Group/CN=ISRG Root X1: user=<uzer@domain.com>, method=PLAIN, rip=ip-address, lip=10.0.2.21, TLS, session=<DyGpINnyANRXoUdt>

при этом сразу же идут такие сообщения с

Jan 22 13:07:35 mailhost dovecot: imap-login: Valid certificate: /C=US/O=Let's Encrypt/CN=R3: user=<uzer@domain.com>, method=PLAIN, rip=ip-address, lip=10.0.2.21, TLS, session=<DyGpINnyANRXoUdt>

Jan 22 13:07:35 mailhost dovecot: imap-login: Valid certificate: /CN=mailhost2.domain.com: user=<uzer@domain.com>, method=PLAIN, rip=ip-address, lip=10.0.2.21, TLS, session=<DyGpINnyANRXoUdt>

При этом когда завожу новый email account в Thunderbird никаких варнингов или ошибок по поводу SSL нет. Т.е. возможно в логе просто этапами описан процесс: сначала «Invalid certificate: unable to get certificate CRL», а потом «Valid certificate: /C=US/O=Let’s Encrypt/CN=R3» или проблема с CRL все-таки присутствует?

dovecot, ubuntu server

zorinquen
(23.01.23 14:42:37 MSK)

5 комментариев

visudo - ALL параметр

Форум — Desktop

Чем отличаются sudo права при выполнении для юзера такие

user   ALL=(ALL) NOPASSWD: /bin/systemctl reload postfix.service

от вот таких

user   ALL=(ALL:ALL) NOPASSWD: /bin/systemctl reload postfix.service

debian, visudo

zorinquen
(12.01.23 13:01:57 MSK)

2 комментария

XFCE - уменьшение времени переключения окон при Alt-TAB

Форум — Desktop

На данный момент если открыто несколько окон и переключаешься на одно из давно используемых окон, задержка ощущается около 2 секунд. Можно как-то в настройках время переключения окон уменьшить?

mx linux, xfce

zorinquen
(12.01.23 12:47:58 MSK)

3 комментария

XFCE - настройка рабочих мест

Форум — Desktop

Можно как-то настроить сабж, чтобы после ребута на каждом рабочем месте (например на 1-ом Firefox, на 2-м Thunderbird..) были размещены те же стартующие в автозагрузке приложения? а то каждый раз мышкой их по мастям раскладывать надоедает…

mx linux, xfce

zorinquen
(12.01.23 11:57:06 MSK)

11 комментариев

acme.sh - генерация сертификата под non-root user

Форум — Admin

Изначально на почтовом сервере SSL сертификат генерировался от root и все конфиги хранятся в /root/.acme.sh. Текущий сертификат валидный. Для генерации нового сертификата под новым юзером и установки acme.sh в /opt я выполнил следующие шаги:

# useradd -m -s /usr/sbin/nologin -r -U uzer
# chmod 700 /home/uzer
# visudo
uzer   ALL=(ALL) NOPASSWD: /bin/systemctl reload postfix.service
# chown uzer.postfix /etc/postfix/ssl
# chmod 710 /etc/postfix/ssl
# chown root.uzer /opt
# chmod 775 /opt

# sudo -s -u uzer bash
bash: /root/.bashrc: Permission denied
$ cd /opt/
$ git clone https://github.com/acmesh-official/acme.sh.git
$ cd acme.sh
$ cd /opt/acme.sh

Устанавливаю acme удачно

$ ./acme.sh --install --home '/opt/acme' --config-home '/opt/acme/config' --cert-home  '/opt/acme/cert' --accountemail  'uzer@domain.com' --accountkey '/opt/acme/account.key' --accountconf '/opt/acme/myaccount.conf' --useragent  "this is my client."

Но когда пытаюсь сгенерировать сертификат через DNS API

$ ./acme.sh --issue --dns dns_inwx -d domain.com -d domain2.com --force

ошибка прав доступа

grep: /root/.acme.sh/domain.com/domain.com.conf: Permission denied
[Mon Jan  9 18:55:24 CET 2023] Using CA: https://acme.zerossl.com/v2/DV90
mkdir: cannot create directory ‘/root’: Permission denied
mkdir: cannot create directory ‘/root’: Permission denied
mkdir: cannot create directory ‘/root’: Permission denied
[Mon Jan  9 18:55:24 CET 2023] Can not create path: /root/.acme.sh/ca/acme.zerossl.com/v2/DV90
[Mon Jan  9 18:55:24 CET 2023] Create account key error.
[Mon Jan  9 18:55:24 CET 2023] Create account key error.
[Mon Jan  9 18:55:24 CET 2023] Please add '--debug' or '--log' to check more details.
[Mon Jan  9 18:55:24 CET 2023] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

Может сначала нужно удалить первоначальный acme из /root/acme.sh и тогда сертификат сможет сгенерироваться в /opt/acme c настройками в ~uzer/.acme.sh? настораживает ошибка при запуске sudo

bash: /root/.bashrc: Permission denied

Как в общих чертах правильно настроить сабж? кажется я что-то упустил…

acme, postfix

zorinquen
(10.01.23 15:04:46 MSK)

13 комментариев

SUSE - cryptctl

Форум — Desktop

Давно не загружался в dualboot OpenSUSE Leap. Теперь она не грузится - застряёт на этапе

Stopped User Manager for UID 65534
Stopped User Runtime Directory /run/user/65534...
Removed slice User Slice of UID 65534

и еще странные сообщения присутствуют типа

Started Disk encryption utility (cryptctl) - contact key server to unlock disk ID-раздела and keep the server informed

Система не грузится ни с 1 из 3-х установленных ядер, даже в recovery mode. При этом, загрузившись с MX linux, разделы SUSE монтируются нормально.

opensuse

zorinquen
(17.07.22 19:16:20 MSK)

SElinux - проблема с ssh login после ребута

Форум — Admin

На Ubuntu 20.04 установил selinux и соответствующие пакеты

# apt install policycoreutils selinux-utils selinux-basics auditd audispd-plugins

Потом выполнил следующие команды

# selinux-activate

# selinux-config-enforcing

и ребутнул сервер. Теперь не могу зайти на сервер - приглашение логин появляется а password нет. Указал в GRUB selinux=0 и залогинился по ssh. Достаточно ли теперь выполнить

# semanage port -a -t ssh_port_t -p tcp 22

для успешного последующего входа по ssh при уже работающем SElinux?

selinux, ubuntu

zorinquen
(08.06.22 11:56:48 MSK)

14 комментариев

Cloudflared tunnel - работа с потоковым трафиком

Форум — Admin

Интересно каким образом Cloudflared tunnel работает с трафиком - наподобие VPN, где можно создать исключения для определенных приложений или tunnel создается для ssh/http трафика только для определенных пакетов, например Ansible?

cloudflare, tunnel, vpn

zorinquen
(28.05.22 14:50:54 MSK)

Postfix ограничение на отсылку почты

Форум — Admin

Можно ли установить ограничения, например, некоторые пользователи не могут отправлять электронную почту, кроме почты на рабочий корпоративный домен, и не могут отправлять электронную почту на внешнюю почту, такую как gmail hotmail yahoo и т.д.?

postfix

zorinquen
(26.05.22 08:08:22 MSK)

12 комментариев

ошибка 550 при отсылке почты

Форум — Admin

К домену была привязана одна MX-запись с приоритетом 10. После настройки нового почтового сервера новой MX-записи был присвоен приоритет 10, а предыдущей MX-записи приоритет 20. Но так как часть почтовых акаунтов не было заведено на новом сервере при попытке отослать письма на них появлялась соответственно ошибка 550 «Recipient address rejected: User unknown».

Интересно, эти письма уже окончательно потеряны или через какой-то промежуток времени удаленный почтовый сервер попытается снова их отослать на новый сервер, на котором уже есть все почтовые акаунты.

Также интересно, если установить обе MX-записи о одинаковым приоритетом, например 10 для целей тестирования: почта будет попеременно пытаться отправиться то с одного сервера, то с другого или как-то рандомно?

mail server

zorinquen
(22.05.22 14:06:04 MSK)

2 комментария

cockpit для ARM архитектуры

Форум — Development

Пытаюсь запустить на CoreELEC часть cockpit пакетов: cockpit-system и cockpit-bridge, взятых с Debian testing для ARM64 архитектуры. Много зависимостей разных библиотек при этом надо прикрутить, но пугает, что 1 из зависимостей - нужен libc6. А в Entware репозитории есть только libc. Возможно ли libc6, взятый с Debian testing доставить вручную в CoreELEC или это за собой потянет нереальное кол-во дополнительного софта еще?

aarch64, cockpit

zorinquen
(02.05.22 16:20:54 MSK)

1 комментарий