LINUX.ORG.RU

Сообщения Garcia

 

nginx cors Access-Control-Allow-Origin

Форум — General

тестируем мобильную версию сайта - m.example.com и есть домен hhh.example.com откуда берутся разные данные, все домены мои

настроил cors для hhh.example.com 

if ($request_method = 'OPTIONS') {
        add_header 'Access-Control-Allow-Origin' 'm.example.com';
        add_header 'Access-Control-Allow-Credentials' 'true';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain charset=UTF-8';
        add_header 'Content-Length' 0;

        return 204;
}

if ($request_method = 'POST') {
        add_header 'Access-Control-Allow-Origin' 'm.example.com';
        add_header 'Access-Control-Allow-Credentials' 'true';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
}

if ($request_method = 'GET') {
        add_header 'Access-Control-Allow-Origin' 'm.example.com';
        add_header 'Access-Control-Allow-Credentials' 'true';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
}

смотрю через мозилу и хром 

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://hhh.example.com/api/. (Reason: CORS header ‘Access-Control-Allow-Origin’ does not match ‘m.example.com’).[Подробнее]
Запрос из постороннего источника заблокирован: Политика одного источника запрещает чтение удаленного ресурса на http://hhh.example.com/api/. (Причина: не удалось выполнить запрос CORS)
Failed to load http://hhh.example.com/device: Response to preflight request doesn't pass access control check: The 'Access-Control-Allow-Origin' header contains the invalid value 'm.example.com'. Origin 'http://m.example.com' is therefore not allowed access. Have the server send the header with a valid value, or, if an opaque response serves your needs, set the request's mode to 'no-cors' to fetch the resource with CORS disabled.

смотрю через просмотр кода на странице 

URL запроса: http://hhh.example.com/api/
Метод запроса: OPTIONS
Удалённый адрес: IP
Код состояния: 204
Версия: HTTP/1.1
	
Access-Control-Allow-Credentials true
Access-Control-Allow-Headers DNT,X-Mx-ReqToken,Keep-Alive,U…ce,Cache-Control,Content-Type
Access-Control-Allow-Methods	
GET, POST, OPTIONS
Access-Control-Allow-Origin m.example.com
...

видно что cors работает, но почему браузеры ругаются?

 , ,

Garcia
()
1 комментарий

nginx redirect на index.php

Форум — General

на апаче в htaccess 

<IfModule mod_rewrite.c>                                                                                                                       
    RewriteEngine On                                                                                                                           
    RewriteCond %{REQUEST_FILENAME} !-f                                                                                                        
    RewriteCond %{REQUEST_FILENAME} !-d                                                                                                        
    RewriteRule ^(.*)$ /server/index.php?ACTION=$1 [NC,L,QSA]                                                                                  
</IfModule>

и полюбому запросу на http://example.com/server/123 отдается json

надо перевести на nginx+php-fpm, пробовал так

       location ~ ^/server(.*) {                                                                                                              
               if (!-e $request_filename) {                                                                                                   
                       rewrite ^(.*)$ /server/index.php?ACTION=$1 break;                                                                      
               }                                                                                                                              
       }

и так 

location ~* ^/server(.*) {                                                                                                             
                fastcgi_index  index.php;                                                                                                      
                try_files $uri $uri/ /server/index.php?ACTION=$1;                                                                          
                fastcgi_pass   unix:/var/run/php-fpm.sock;                                                                
                fastcgi_param  SCRIPT_FILENAME   $document_root$fastcgi_script_name;                                                           
                include        fastcgi_params;                                                                                                 
        }

но пока не работает

 , ,

Garcia
()
1 комментарий

прозрачный squid

Форум — General

fedora 26 

squid -v
Squid Cache: Version 4.0.20
Service Name: squid

This binary uses OpenSSL 1.1.0h-fips  27 Mar 2018. For legal restrictions on distribution see https://www.openssl.org/source/license.html

configure options:  '--build=x86_64-redhat-linux-gnu' '--host=x86_64-redhat-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib64' '--libexecdir=/usr/libexec' '--sharedstatedir=/var/lib' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--exec_prefix=/usr' '--libexecdir=/usr/lib64/squid' '--localstatedir=/var' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid.pid' '--disable-dependency-tracking' '--enable-eui' '--enable-follow-x-forwarded-for' '--enable-auth' '--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB,SMB_LM' '--enable-auth-ntlm=SMB_LM,fake' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos' '--enable-external-acl-helpers=LDAP_group,time_quota,session,unix_group,wbinfo_group,kerberos_ldap_group' '--enable-storeid-rewrite-helpers=file' '--enable-cache-digests' '--enable-cachemgr-hostname=localhost' '--enable-delay-pools' '--enable-epoll' '--enable-icap-client' '--enable-ident-lookups' '--enable-linux-netfilter' '--enable-removal-policies=heap,lru' '--enable-snmp' '--enable-ssl' '--enable-ssl-crtd' '--enable-storeio=aufs,diskd,ufs,rock' '--enable-diskio' '--enable-wccpv2' '--enable-esi' '--enable-ecap' '--with-aio' '--with-default-user=squid' '--with-dl' '--with-openssl' '--with-pthreads' '--disable-arch-native' '--with-pic' 'build_alias=x86_64-redhat-linux-gnu' 'host_alias=x86_64-redhat-linux-gnu' 'CFLAGS=-O2 -g -pipe -Wall -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -m64 -mtune=generic -fPIC' 'LDFLAGS=-Wl,-z,relro -specs=/usr/lib/rpm/redhat/redhat-hardened-ld -pie -Wl,-z,relro -Wl,-z,now -Wl,--warn-shared-textrel' 'CXXFLAGS=-O2 -g -pipe -Wall -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -m64 -mtune=generic -fPIC' 'PKG_CONFIG_PATH=:/usr/lib64/pkgconfig:/usr/share/pkgconfig'

настроено, все вроде как работает, но например если открываю сайт pikabu.ru через прокси, то он выглядит вот так

но если я открываю гугл, ютуб и т.д. то по https все ок открывается, в чем может проблема с pikabu ?

конфиг squid 

acl localnet src 10.20.30.0/24        # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

dns_nameservers 8.8.8.8
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3128 intercept
#https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
https_port 3129 intercept  ssl-bump connection-auth=off cert=/etc/squid/squidCA.pem
http_port 3130

always_direct allow all
sslproxy_cert_error allow all
#sslproxy_flags DONT_VERIFY_PEER
tls_outgoing_options flags=DONT_VERIFY_PEER

#укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
acl blocked ssl::server_name "/etc/squid/blocked_https.txt"
#acl YOUTUBE ssl::server_name .googlevideo.com
acl whitelist src "/etc/squid/whitelist_ip.txt"
ssl_bump splice whitelist
acl step1 at_step SslBump1
ssl_bump peek step1

#терминируем соединение, если клиент заходит на запрещенный ресурс
#ssl_bump splice whitelist
ssl_bump terminate blocked
ssl_bump splice all

sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/ssl_db -M 4MB

#acl YOUTUBE dstdomain .mirror.one.com
acl YOUTUBE ssl::server_name .mirror.one.com
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 6400/6400
delay_access 1 allow YOUTUBE

coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB

cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4

 ,

Garcia
()
9 комментариев

cloudflare 502

Форум — General

есть интернет магазин (modx) на нем много товаров, при выборке можно сформировать прайс в pdf, для генерации pdf файла требуется много времени, в логах я вижу 200 ответ 

"GET /assets/modules/wholesale/optprice.php?spare=on HTTP/1.0" 200 1561443 "https://mysite/manager/index.php?a=112&id=11" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:61.0) Gecko/20100101 Firefox/61.0"
но через cloudflare отдается 502 cloudflare502

в cloudflare Page Rules я добавил страницы:

  • mysite/manager/*
  • mysite/assets/*

Security is disabled, но это не помогло

если я пускаю трафик напрямую к серверу, не через cloudflare, то генерация pdf работает нормально, как можно такое же сделать, но через cloudflare?

 ,

Garcia
()
5 комментариев

nginx проверка клиентского заголовка

Форум — General

мне надо передать POST запрос с заголовком X-HHH : любое_значение 

curl -v -i -H "X-HHH: image" -d "@test.txt" -X POST http://192.168.0.101/upload

и в nginx надо проверять этот заголовок X-HHH

я делаю конструкцию 

if ($http_x_hhh ~* "X-HHH"){
...
}

но http_x_hhh проверяет не заголовок, а значение поля заголовка, т.е. любое_значение, а как мне проверять через if именно что есть заголовок X-HHH ?

 , ,

Garcia
()
2 комментария

coredump debian 9

Форум — General

есть наше приложение, которое работает по схеме 

наше приложение->баш стартер->питон приложение->хром драйвер->хром

иногда приложение падает, настроили coredump, но coredump создается не нашего приложения, а дампы хрома, как мне получить дампы именно моего приложения?

 ,

Garcia
()
1 комментарий

strongswan ipsec

Форум — General

есть debian 9, на нем надо поднять strongswan, поставил пакеты 

ii  libcharon-extra-plugins         5.5.1-4+deb9u2                 amd64        strongSwan charon library (extra plugins)
ii  libstrongswan                   5.5.1-4+deb9u2                 amd64        strongSwan utility and crypto library
ii  libstrongswan-standard-plugins  5.5.1-4+deb9u2                 amd64        strongSwan utility and crypto library (standard plugins)
ii  strongswan                      5.5.1-4+deb9u2                 all          IPsec VPN solution metapackage
ii  strongswan-charon               5.5.1-4+deb9u2                 amd64        strongSwan Internet Key Exchange daemon
ii  strongswan-ike                  5.5.1-4+deb9u2                 all          strongSwan Internet Key Exchange daemon (transitional package)
ii  strongswan-ikev1                5.5.1-4+deb9u2                 all          strongSwan IKEv1 daemon, transitional package
ii  strongswan-ikev2                5.5.1-4+deb9u2                 all          strongSwan IKEv2 daemon, transitional package
ii  strongswan-libcharon            5.5.1-4+deb9u2                 amd64        strongSwan charon library
ii  strongswan-pki                  5.5.1-4+deb9u2                 amd64        strongSwan IPsec client, pki command
ii  strongswan-starter              5.5.1-4+deb9u2                 amd64        strongSwan daemon starter and configuration file parse

взял конфиг ipsec.conf с рабочего сервера (тестировался для iphone, macOS и windows) 

conn %default
        ike = aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024
        esp = aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1

        dpdaction = clear
#       dpddelay = 35s
#       dpdtimeout = 2000s
        dpdtimeout = 5s
        dpddelay = 5s
        fragmentation = yes
#       rekey = no

        left = %any
        leftfirewall = yes
        leftsubnet = 0.0.0.0/0
        leftcert = certificate.pem
        leftsendcert = always

        right = %any
        rightsourceip = 192.168.252.0/24
        rightdns = 8.8.8.8,8.8.4.4

        eap_identity = %identity

# IKEv2
conn IPSec-IKEv2
        keyexchange = ikev2
        auto = add

# BlackBerry, Windows, Android
conn IPSec-IKEv2-EAP
        also = "IPSec-IKEv2"
        rightauth = eap-mschapv2

# macOS, iOS
conn IKEv2-MSCHAPv2-Apple
        also = "IPSec-IKEv2"
        ike = aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024
        esp = aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1
        rightauth = eap-mschapv2
        leftid = vpn server
        leftcert = certificate.pem

# Android IPsec Hybrid RSA
conn IKEv1-Xauth
        keyexchange=ikev1
        rightauth=xauth
        auto=add

выпустил сертификат для vpn сервера через letsencrypt и сделал 

cp /etc/letsencrypt/live/vpn/chain.pem /etc/ipsec.d/cacerts/ca.pem 
cp /etc/letsencrypt/live/vpn/cert.pem /etc/ipsec.d/certs/certificate.pem 
cp /etc/letsencrypt/live/vpn/privkey.pem /etc/ipsec.d/private/key.pem

в /etc/ipsec.secrets добавил

: RSA key.pem

user1 : EAP "pass"

сделал ipsec restart и пробую подключаться с телефона на android, выбираю ipsec hybrid rsa и вбиваю vpn сервер, логин и пароль, подключаюсь, смотрю на сервере 

ipsec status                                                                                                                    
Security Associations (1 up, 0 connecting):                                                                                                  
 IKEv1-Xauth[2]: ESTABLISHED 2 seconds ago, 1.2.3.4[CN=vpn_server]...5.6.7.8[192.168.0.100]                             
 IKEv1-Xauth{2}:  INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: cb2a123b_i 04384e97_o                                                         
 IKEv1-Xauth{2}:   0.0.0.0/0 === 192.168.252.1/32

вроде бы все хорошо, но через 2-3 сек рвется соединение, в чем может быть проблема?

 , , ,

Garcia
()
15 комментариев

nginx редирект верхнего регистра

Форум — General

стоит centos 7, nginx + php-fpm 

nginx -V                                                                                                  
nginx version: nginx/1.14.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) 
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'

нужно настроить 301 редиректы со страниц в адресе которых встречаются Tea-posuda или Chinese-tea на страницы в которых эти же вхождения, только с маленькой буквы tea-posuda chinese-tea

Например, если идут обращение к https://site.com/catalog/Chinese-tea/belyy-chay/ должно редиректить на https://site.com/catalog/chinese-tea/belyy-chay/

можно как-то настроить такие редиректы без доп модулей? п.с. без такого

 , ,

Garcia
()
19 комментариев

ubuntu 18.04 touchpad scroll

Форум — General

При работе без мышки на ноуте, двумя пальцами не удобно листать вниз/вверх страницы. Пробовал такое: Сюда!

gsettings set org.gnome.settings-daemon.peripherals.touchpad horiz-scroll-enabled "true"
Схема «org.gnome.settings-daemon.peripherals.touchpad» отсутствует

но у меня нет такого пути, есть только touchscreen, в 18.04 поменяли что-то, как включить нормальный режим прокрутки вверх/вниз?

 , ,

Garcia
()

nginx запретить урл

Форум — General

есть новостной сайт на wordpress и в нем есть статьи на японском языке, пришел abuse на одну ссылку 

site.com/ru/2017/11/%E5%8D%83%E8%91%89-%E5%AF%8C%E6%B4%A5%E8%AD%A6%E5%AF%9F%E7%BD%B2%E3%81%AE%E8%AA%B2%E9%95%B7-%E9%85%92%E6%B0%97%E5%B8%AF%E3%81%B3%E9%81%8B%E8%BB%A2%E5%AE%B9%E7%96%91%E3%81%A7%E9%80%AE%E6%8D%95/

я пытаюсь ее заблокировать через nginx, делаю 

location ~/ru/2017/11/%E5%8D%83%E8%91%89-%E5%AF%8C%E6%B4%A5%E8%AD%A6%E5%AF%9F%E7%BD%B2%E3%81%AE%E8%AA%B2%E9%95%B7-%E9%85%92%E6%B0%97%E5%B8%AF%E3%81%B3%E9%81%8B%E8%BB%A2%E5%AE%B9%E7%96%91%E3%81%A7%E9%80%AE%E6%8D%95/ { deny all; }

но ссылка не блокируется, что я делаю не так?

 , ,

Garcia
()
7 комментариев

ubuntu 18.04 сворачивание окон

Форум — General

ubuntu 18.04 поставил скайп, слэк и т.д. когда открываешь окно скайпа, то я его свернуть могу только через кнопку свернуть в окне, а как настроить что бы можно было сворачивать окно и по значку слева Вот так!

 , ,

Garcia
()
13 комментариев

обновление на ubuntu 18.04

Форум — General

стояла версия 17.10, решил обновиться до последней версии 18.04, делал команды 

apt update; apt upgrade; do-realease-upgrade
все поставилось и обновилось, но забыл запустить команду apt dist-upgrade перед do-realease-upgrade и теперь после ребута, я попадаю в консоль, никакой графики нет, даже нет окон ctrl+alt+f7-f12, есть только ctrl+alt+f1-f6

как можно восстановить графику?

 , , , ,

Garcia
()
13 комментариев

sopcast не работает

Форум — General

стоит Ubuntu 17.10 в начале все работало, но потом решил обновить драйвер (стояла версия 340) на nvida и после этого начались проблемы, запускаю sopcast и мне пишет - «подключение, повторное обращение к каналу» и так постоянно

sopcast стоит версия 

dpkg -l | grep sopcast
ii  sopcast-player                             0.8.5-1ubuntu1                                                              amd64        A GUI front-end to SopCast

nvidia стоит версия 

dpkg -l | grep nvidia
ii  nvidia-384                                 384.111-0ubuntu0.17.10.1                                                    amd64        NVIDIA binary driver - version 384.111
ii  nvidia-opencl-icd-384                      384.111-0ubuntu0.17.10.1                                                    amd64        NVIDIA OpenCL ICD
ii  nvidia-prime                               0.8.5                                                                       amd64        Tools to enable NVIDIA's Prime
ii  nvidia-settings                            384.69-0ubuntu1                                                             amd64        Tool for configuring the NVIDIA graphics driver

пробовал вернуться на старую версию nvidia 340 - не помогло, пробовал устанавливать разные версии sopcast - не помогло

какие есть еще варианты?

 , , ,

Garcia
()
14 комментариев

возврат писем

Форум — General

Подскажите, есть у нас тестовый контейнер. Есть задача: все письма недошедшие до адресата отправлять по тому пути который мы укажем в Return-Path Это вроде как стандартное поведение почты. Если открыть файл /var/mail/www-data на тестовом контейнере, то можно увидеть, что заголовок мы выставили Return-Path: 123@gmail.com но при попадании почты на возврат письмо не получило уже этого заголовка и мы видим Return-path: <>

Что мы делаем не так? Или может нужно какой-то другой заголовок выставлять в случае ошибки отправки? Мы намерено сделали такой адрес в To заголовке что бы письмо не ушло и возник отбой

или какие вообще есть варианты?

 , ,

Garcia
()
3 комментария

exim проблема с отправкой

Форум — General

centos 7, vestacp конфиг exim 

SPAMASSASSIN = yes
SPAM_SCORE = 50
CLAMD =  yes
add_environment = <; PATH=/bin:/usr/bin
keep_environment =
disable_ipv6=true
domainlist local_domains = dsearch;/etc/exim/domains/
domainlist relay_to_domains = dsearch;/etc/exim/domains/
hostlist relay_from_hosts = 127.0.0.1
hostlist whitelist = net-iplsearch;/etc/exim/white-blocks.conf
hostlist spammers = net-iplsearch;/etc/exim/spam-blocks.conf
no_local_from_check
untrusted_set_sender = *
acl_smtp_connect = acl_check_spammers
acl_smtp_mail = acl_check_mail
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data
acl_smtp_mime = acl_check_mime
.ifdef SPAMASSASSIN
spamd_address = 127.0.0.1 783
.endif
.ifdef CLAMD
av_scanner = clamd: /var/run/clamav/clamd.sock
.endif
tls_advertise_hosts = *
tls_certificate = /usr/local/vesta/ssl/certificate.crt
tls_privatekey = /usr/local/vesta/ssl/certificate.key
daemon_smtp_ports = 25 : 465 : 587 : 2525
tls_on_connect_ports = 465
never_users = root
host_lookup = *
rfc1413_hosts = *
rfc1413_query_timeout = 5s
ignore_bounce_errors_after = 2d
timeout_frozen_after = 7d
DKIM_DOMAIN = ${lc:${domain:$h_from:}}
DKIM_FILE = /etc/exim/domains/${lc:${domain:$h_from:}}/dkim.pem
DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}
begin acl
acl_check_spammers:
  accept  hosts         = +whitelist
  drop    message       = Your host in blacklist on this server.
          log_message   = Host in blacklist
          hosts         = +spammers
  accept
acl_check_mail:
  deny    condition     = ${if eq{$sender_helo_name}{}}
          message       = HELO required before MAIL
  drop    message       = Helo name contains a ip address (HELO was $sender_helo_name) and not is valid
          condition     = ${if match{$sender_helo_name}{\N((\d{1,3}[.-]\d{1,3}[.-]\d{1,3}[.-]\d{1,3})|([0-9a-f]{8})|([0-9A-F]{8}))\N}{yes}{no}}
          condition     = ${if match {${lookup dnsdb{>: defer_never,ptr=$sender_host_address}}\}{$sender_helo_name}{no}{yes}}
          delay         = 45s
  drop    condition     = ${if isip{$sender_helo_name}}
          message       = Access denied - Invalid HELO name (See RFC2821 4.1.3)   
  drop    condition     = ${if eq{[$interface_address]}{$sender_helo_name}}
          message       = $interface_address is _my_ address
  accept
acl_check_rcpt:
  accept  hosts         = :
  deny    message       = Restricted characters in address
          domains       = +local_domains
          local_parts   = ^[.] : ^.*[@%!/|]
  deny    message       = Restricted characters in address
          domains       = !+local_domains
          local_parts   = ^[./|] : ^.*[@%!] : ^.*/\\.\\./
  require verify        = sender
  accept  hosts         = +relay_from_hosts
          control       = submission
  accept  authenticated = *
          control       = submission/domain=
  deny    message       = Rejected because $sender_host_address is in a black list at $dnslist_domain\n$dnslist_text
          hosts         = !+whitelist
          dnslists      = ${readfile {/etc/exim/dnsbl.conf}{:}}
  require message       = relay not permitted
          domains       = +local_domains : +relay_to_domains
  deny    message       = smtp auth requried
         sender_domains = +local_domains
         !authenticated = *
  require verify        = recipient
.ifdef CLAMD
  warn    set acl_m0    = no
  warn    condition     = ${if exists {/etc/exim/domains/$domain/antivirus}{yes}{no}}
          set acl_m0    = yes
.endif
.ifdef SPAMASSASSIN
  warn    set acl_m1    = no
  warn    condition     = ${if exists {/etc/exim/domains/$domain/antispam}{yes}{no}}
          set acl_m1    = yes
.endif
  accept
acl_check_data:
.ifdef CLAMD
  deny   message        = Message contains a virus ($malware_name) and has been rejected
         malware        = *
         condition      = ${if eq{$acl_m0}{yes}{yes}{no}}
.endif
.ifdef SPAMASSASSIN
  warn   !authenticated = *
         hosts          = !+relay_from_hosts
         condition      = ${if < {$message_size}{100K}}
         condition      = ${if eq{$acl_m1}{yes}{yes}{no}}
         spam           = spamd:true/defer_ok
         add_header     = X-Spam-Score: $spam_score_int
         add_header     = X-Spam-Bar: $spam_bar
         add_header     = X-Spam-Report: $spam_report
         set acl_m2     = $spam_score_int
  warn   condition      = ${if !eq{$acl_m2}{} {yes}{no}}
         condition      = ${if >{$acl_m2}{SPAM_SCORE} {yes}{no}}
         add_header     = X-Spam-Status: Yes
         message        = SpamAssassin detected spam (from $sender_address to $recipients).
.endif
  accept
acl_check_mime:
  deny   message        = Blacklisted file extension detected
         condition      = ${if match {${lc:$mime_filename}}{\N(\.ade|\.adp|\.bat|\.chm|\.cmd|\.com|\.cpl|\.exe|\.hta|\.ins|\.isp|\.jse|\.lib|\.lnk|\.mde|\.msc|\.msp|\.mst|\.pif|\.scr|\.sct|\.shb|\.sys|\.vb|\.vbe|\.vbs|\.vxd|\.wsc|\.wsf|\.wsh)$\N}{1}{0}}
  accept
begin authenticators
dovecot_plain:
  driver = dovecot
  public_name = PLAIN
  server_socket = /var/run/dovecot/auth-client
  server_set_id = $auth1
dovecot_login:
  driver = dovecot
  public_name = LOGIN
  server_socket = /var/run/dovecot/auth-client
  server_set_id = $auth1
begin routers
dnslookup:
  driver = dnslookup
  domains = *
  transport = remote_smtp
  no_more
userforward:
  driver = redirect
  check_local_user
  file = $home/.forward
  allow_filter
  no_verify
  no_expn
  check_ancestor
  file_transport = address_file
  pipe_transport = address_pipe
  reply_transport = address_reply
procmail:
  driver = accept
  check_local_user
  require_files = ${local_part}:+${home}/.procmailrc:/usr/bin/procmail
  transport = procmail
  no_verify
autoreplay:
  driver = accept
  require_files = /etc/exim/domains/$domain/autoreply.${local_part}.msg
  condition = ${if exists{/etc/exim/domains/$domain/autoreply.${local_part}.msg}{yes}{no}}
  retry_use_local_part
  transport = userautoreply
  unseen
aliases:
  driver = redirect
  headers_add = X-redirected: yes
  data = ${extract{1}{:}{${lookup{$local_part@$domain}lsearch{/etc/exim/domains/$domain/aliases}}}}
  require_files = /etc/exim/domains/$domain/aliases
  redirect_router = dnslookup
  pipe_transport = address_pipe
  unseen
localuser_fwd_only:
  driver = accept
  transport = devnull
  condition = ${if exists{/etc/exim/domains/$domain/fwd_only}{${lookup{$local_part}lsearch{/etc/exim/domains/$domain/fwd_only}{true}{false}}}}
localuser_spam:
  driver = accept
  transport = local_spam_delivery
  condition = ${if eq {${if match{$h_X-Spam-Status:}{\N^Yes\N}{yes}{no}}} {${lookup{$local_part}lsearch{/etc/exim/domains/$domain/passwd}{yes}{no_such_user}}}}
localuser:
  driver = accept
  transport = local_delivery
  condition = ${lookup{$local_part}lsearch{/etc/exim/domains/$domain/passwd}{true}{false}}
catchall:
  driver = redirect
  headers_add = X-redirected: yes
  require_files = /etc/exim/domains/$domain/aliases
  data = ${extract{1}{:}{${lookup{*@$domain}lsearch{/etc/exim/domains/$domain/aliases}}}}
  file_transport = local_delivery
  redirect_router = dnslookup
terminate_alias:
  driver = accept
  transport = devnull
  condition = ${lookup{$local_part@$domain}lsearch{/etc/exim/domains/$domain/aliases}{true}{false}}
begin transports
remote_smtp:
  driver = smtp
  #helo_data = $sender_address_domain
  dkim_domain = DKIM_DOMAIN
  dkim_selector = mail
  dkim_private_key = DKIM_PRIVATE_KEY
  dkim_canon = relaxed
  dkim_strict = 0
procmail:
  driver = pipe
  command = "/usr/bin/procmail -d $local_part"
  return_path_add
  delivery_date_add
  envelope_to_add
  user = $local_part
  initgroups
  return_output
local_delivery:
  driver = appendfile
  maildir_format
  maildir_use_size_file
  user = ${extract{2}{:}{${lookup{$local_part}lsearch{/etc/exim/domains/$domain/passwd}}}}
  group = mail
  create_directory
  directory_mode = 770
  mode = 660
  use_lockfile = no
  delivery_date_add
  envelope_to_add
  return_path_add
  directory = "${extract{5}{:}{${lookup{$local_part}lsearch{/etc/exim/domains/$domain/passwd}}}}/mail/$domain/$local_part"
  quota = ${extract{6}{:}{${lookup{$local_part}lsearch{/etc/exim/domains/$domain/passwd}}}}M
  quota_warn_threshold = 75%
local_spam_delivery:
  driver = appendfile
  maildir_format
  maildir_use_size_file
  user = ${extract{2}{:}{${lookup{$local_part}lsearch{/etc/exim/domains/$domain/passwd}}}}
  group = mail
  create_directory
  directory_mode = 770
  mode = 660
  use_lockfile = no
  delivery_date_add
  envelope_to_add
  return_path_add
  directory = "${extract{5}{:}{${lookup{$local_part}lsearch{/etc/exim/domains/$domain/passwd}}}}/mail/$domain/$local_part/.Spam"
  quota = ${extract{6}{:}{${lookup{$local_part}lsearch{/etc/exim/domains/$domain/passwd}}}}M
  quota_directory = "${extract{5}{:}{${lookup{$local_part}lsearch{/etc/exim/domains/$domain/passwd}}}}/mail/$domain/$local_part"
  quota_warn_threshold = 75%
address_pipe:
  driver = pipe
  return_output
address_file:
  driver = appendfile
  delivery_date_add
  envelope_to_add
  return_path_add
address_reply:
  driver = autoreply
userautoreply:
  driver = autoreply
  file = /etc/exim/domains/$domain/autoreply.${local_part}.msg
  from = "${local_part}@${domain}"
  headers = Content-Type: text/plain; charset=utf-8;\nContent-Transfer-Encoding: 8bit
  subject = "${if def:h_Subject: {Autoreply: \"${rfc2047:$h_Subject:}\"} {Autoreply Message}}"
  to = "${sender_address}"
devnull:
  driver = appendfile
  file = /dev/null
begin retry
*                      *           F,2h,15m; G,16h,1h,1.5; F,4d,6h
begin rewrite

почта работает для всех доменов, но есть сайт на yii, который отправляет почту на разные почтовые адреса, но при отправке в логах ошибка 

H=localhost [127.0.0.1] rejected MAIL <user@example.ru>: 127.0.0.1 is _my_ address

user@example.ru - с этого адреса идет отправка, домен example.ru есть на этом же сервере

подскажите как починить отправку?

 , , ,

Garcia
()
2 комментария

mysql timeout

Форум — General

Когда клиент по своим соображениям отключается (таймаут или вообще выключается хост), запрос продолжает выполняться, вчера клиент «MySQL Workbench» отключился, а запрос работал до сих пор...

сейчас таймауты такие на сервере 

show variables like '%timeout';
+----------------------------+----------+
| Variable_name              | Value    |
+----------------------------+----------+
| connect_timeout            | 10       |
| delayed_insert_timeout     | 300      |
| innodb_lock_wait_timeout   | 50       |
| innodb_rollback_on_timeout | OFF      |
| interactive_timeout        | 28800    |
| lock_wait_timeout          | 31536000 |
| net_read_timeout           | 30       |
| net_write_timeout          | 60       |
| slave_net_timeout          | 3600     |
| wait_timeout               | 28800    |
+----------------------------+----------+

попробовал interactive_timeout поменять на 60, но не помогло, какой таймаут за это может отвечать?

 ,

Garcia
()
2 комментария

video chat

Форум — General

Есть сайты, нужно установить на них какую-то прогу для звонков, видео-звонков, переписки и если можно тарификация что бы была

можете посоветовать любую прогу за любые деньги, но что бы можно было их протестировать на своем сервере (демо или триал что бы был)?

 , , ,

Garcia
()
4 комментария

postfix ограничить отправку

Форум — General

есть Centos 7, стоит postfix 2.10.1, на сервере крутятся домены на cms bitrix, стоит задача отправлять почту только на 2 домена: @test.com и @site.com

через web, я ограничил отправку, через msmtp 

php_admin_value[sendmail_path] = /usr/bin/msmtp -C /etc/msmtprc -t -i
и в файл /etc/postfix/recipient_access добавлены домены, на которые можно отправлять почту, но сейчас надо ограничить еще отправку из консоли, как это можно сделать?

конфиг postfix 

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
inet_interfaces = localhost
inet_protocols = ipv4
mydestination = $myhostname, localhost.$mydomain, localhost
unknown_local_recipient_reject_code = 550
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
 
  
debug_peer_level = 2
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.10.1/samples
readme_directory = /usr/share/doc/postfix-2.10.1/README_FILES
smtpd_recipient_restrictions =
  check_recipient_access hash:/etc/postfix/recipient_access,
  reject_unauth_destination

 , ,

Garcia
()
3 комментария

сборка php 5.3 на ubuntu

Форум — General

Клиент попросил собрать php 5.3.29 на ubuntu 16.04.3 

./configure --prefix=/opt/php-5.3.29 --with-config-file-path=/opt/php-5.3.29 --with-apxs2=/usr/bin/apxs --with-curl --with-openssl --enable-maintainer-zts --with-xmlrpc --with-gd --with-imap --with-ldap --with-mcrypt --with-mcrypt --enable-bcmath --with-gettext --with-mysql --with-xsl --enable-soap --enable-mbstring --enable-zip --with-kerberos --with-imap-ssl --with-pcre-regex --with-pdo-mysql --enable-exif --enable-mbregex --enable-sysvshm --enable-sysvsem --with-zlib --with-bz2 --with-mcrypt --enable-calendar --enable-cli --with-readline --with-tidy --enable-gd-native-ttf --with-freetype-dir=/usr/lib --with-gd --with-jpeg-dir=/usr/lib --enable-sockets --with-mysqli=mysqlnd

делаю make 

/usr/bin/ld: /usr/local/lib/libssl.a(s2_srvr.o): relocation R_X86_64_32 against `.data' can not be used when making a shared object; recompile with -fPIC
/usr/local/lib/libssl.a: error adding symbols: Bad value
collect2: error: ld returned 1 exit status
Makefile:148: recipe for target 'libphp5.la' failed
make: *** [libphp5.la] Error 1

если я делаю 

./configure shared --prefix=/opt/php-5.3.29 --with-config-file-path=/opt/php-5.3.29 --with-apxs2=/usr/bin/apxs --with-curl --with-openssl --enable-maintainer-zts --with-xmlrpc --with-gd --with-imap --with-ldap --with-mcrypt --with-mcrypt --enable-bcmath --with-gettext --with-mysql --with-xsl --enable-soap --enable-mbstring --enable-zip --with-kerberos --with-imap-ssl --with-pcre-regex --with-pdo-mysql --enable-exif --enable-mbregex --enable-sysvshm --enable-sysvsem --with-zlib --with-bz2 --with-mcrypt --enable-calendar --enable-cli --with-readline --with-tidy --enable-gd-native-ttf --with-freetype-dir=/usr/lib --with-gd --with-jpeg-dir=/usr/lib --enable-sockets --with-mysqli=mysqlnd
потом делаю make, то ошибки нет, но когда делаю make install 
nstalling PHP SAPI module:       apache2handler
/usr/share/apache2/build/instdso.sh SH_LIBTOOL='/usr/share/apr-1.0/build/libtool' libphp5.la /usr/lib/apache2/modules
/usr/share/apr-1.0/build/libtool --mode=install install libphp5.la /usr/lib/apache2/modules/
libtool: install: install .libs/libphp5.lai /usr/lib/apache2/modules/libphp5.la
libtool: install: install .libs/libphp5.a /usr/lib/apache2/modules/libphp5.a
libtool: install: chmod 644 /usr/lib/apache2/modules/libphp5.a
libtool: install: x86_64-linux-gnu-ranlib /usr/lib/apache2/modules/libphp5.a
libtool: install: warning: remember to run `libtool --finish /opt/source/php-5.3.29/libs'
Warning!  dlname not found in /usr/lib/apache2/modules/libphp5.la.
Assuming installing a .so rather than a libtool archive.
chmod 644 /usr/lib/apache2/modules/libphp5.so
chmod: cannot access '/usr/lib/apache2/modules/libphp5.so': No such file or directory
apxs:Error: Command failed with rc=65536
.
Makefile:157: recipe for target 'install-sapi' failed
make: *** [install-sapi] Error 1

как можно исправить ошибки в 1 или во 2 случаях?

 , ,

Garcia
()
13 комментариев

exim отправка только на определенные домены

Форум — General

есть centos 7, стоит vestacp дефолтные настройки exim, надо настроить с сервера отправку только на test.com и site.com всю остальную надо ограничить

пробовал такое добавлять https://debian.pro/1541 не заработало

 ,

Garcia
()
7 комментариев
← назад следующие →

RSS подписка на новые темы