LINUX.ORG.RU

Сообщения yatakoi

 

exim ssl и два домена

Форум — Admin

Всем привет.

Имею два сертификата для двух доменов. С dovecot всё просто:

local_name домен-раз {
        ssl_cert = </etc/email/certs/домен-раз.crt
        ssl_key = </etc/email/certs/домен-раз.key

local_name домен-два {
        ssl_cert = </etc/email/certs/домен-два.crt
        ssl_key = </etc/email/certs/домен-два.key

А у exim:

# TLS/SSL
tls_advertise_hosts = *
tls_certificate = ${if exists{/etc/exim/ssl/${tls_sni}.crt}{/etc/exim/ssl/${tls_sni}.crt}{/etc/exim/ssl/exim.crt}}
tls_privatekey = ${if exists{/etc/exim/ssl/${tls_sni}.key}{/etc/exim/ssl/${tls_sni}.key}{/etc/exim/ssl/exim.key}}

В конце указано явно, что если всё что до {/etc/exim/ssl/exim.crt} отсутствует, то цепляем exim.crt. Но {/etc/exim/ssl/${tls_sni}.crt} вводит меня в ступор.

Про SNI прочитал, но так и не понял как ${tls_sni}.crt понимает, что искать именно такой-то сертификат? Пробовал разместить domain1.crt, но не цепляется.

Объясните, как работает ${tls_sni}.crt?

 ,

yatakoi
()
2 комментария

Не получается собрать ядро

Форум — Admin

Ребята привет.

Помогите, пожалуйста.

Надо собрать ядро. Скачал эту версию rpm -i http://vault.centos.org/7.6.1810/updates/Source/SPackages/kernel-3.10.0-957.27.2.el7.src.rpm 2>&1 | grep -v exist. Затем скопировал конфиг (cp /boot/config-`uname -r` .config) от своего ядра в исходники скачанного ядра. Моё ядро 3.10.0-957.el7.x86_64.

После этого пытаюсь собрать ядро rpmbuild -bb --without kabichk --target=`uname -m` kernel.spec 2> build-err.log | tee build-out.log

[lnxcfg@mail SPECS]$ rpmbuild -bb --without kabichk --target=`uname -m` kernel.spec 2> build-err.log | tee build-out.log
Building target platforms: x86_64
Building for target x86_64
Executing(%prep): /bin/sh -e /var/tmp/rpm-tmp.KQ2pm5
Patch40000: kernel-params-acs-override.patch
Patch40001: quirk-acs-override.patch
Patch1000: debrand-single-cpu.patch
Patch1001: debrand-rh_taint.patch
Patch1002: debrand-rh-i686-cpu.patch
scripts/kconfig/conf --olddefconfig Kconfig
#
# configuration written to .config
#
CONFIG_HYPERV_IOMMU


RPM build errors:

На RPM build errors: останавливается, а в build-err.log https://pastebin.com/RWjiipgS

Эту же команду запускал с strace, но опять не понял на чём спотыкается сборка https://pastebin.com/vTPmSmSb

Помогите пожалуйста.

 

yatakoi
()
4 комментария

Помогите настроить rsyslog

Форум — Admin

Всем привет.

Надо посмотреть, почему DLINK VoIP роутер не подключается к SIP серверу. На роутере включил отправлять логи на сервер по 514. На сервере в rsyslog.conf включил прослушку 514/tcp и 514/udp, но в /var/log/messages тишина.

 

yatakoi
()
7 комментариев

nginx 403, если добавить $uri/

Форум — General

Всем привет.

Не могу понять причину.

Если контекст такого вида, то 403 Forbidden

location / {
			try_files $uri $uri/ /index.php?q=$uri&$args;
			location ~ [^/]\.ph(p\d*|tml)$ {
                        try_files /does_not_exists @php;
		}
		     }

Есть убрать $uri/, то сайт работает, но nginx ругается nginx: [emerg] "try_files" directive is duplicate in /etc/nginx/vhosts/012447/my-site.ru.conf:17 nginx: configuration file /etc/nginx/nginx.conf test failed

Я понимаю, что "try_files" directive is duplicate, но почему тогда с $uri/ такой ругани нет?

Сам конфиг

server {
	server_name my-site.ru www.my-site.ru;
	charset UTF-8;
	index index.php, index.html;
	disable_symlinks if_not_owner from=$root_path;
        include /etc/nginx/vhosts-includes/*.conf;
        include /etc/nginx/vhosts-resources/my-site.ru/*.conf;
	access_log /home/httpd-logs/my-site.ru.access.log;
	error_log /home/httpd-logs/my-site.ru.error.log notice;
	ssi on;
	set $root_path /home/012447/data/www/my-site.ru;
	root $root_path;
	listen 11.22.33.44:80;
	include /etc/nginx/vhosts-resources/012447/*.conf;
	location / {
			try_files $uri $uri/ /index.php?q=$uri&$args;
			location ~ [^/]\.ph(p\d*|tml)$ {
                        try_files /does_not_exists @php;
		}
		     }
	return 301 https://$host:443$request_uri;
	location ~* /wp-includes/.*.php$ {
	deny all;
	access_log off;
	log_not_found off;
	}
	location ~* /wp-content/.*.php$ {
	deny all;
	access_log off;
	log_not_found off;
	}	
	location ~* /(?:uploads|files)/.*.php$ {
	deny all;
	access_log off;
	log_not_found off;
	}
	location ~* /themes/.*.php$ {
	deny all;
	access_log off;
	log_not_found off;
	}
	location ~* /plugins/.*.php$ {
	deny all;
	access_log off;
	log_not_found off;
	}	
	location = /xmlrpc.php {
	deny all;
	access_log off;
	log_not_found off;
	}
	location ~* wp-config.php {
    	deny all;
	}
	location ~ ^/\.user\.ini {
	deny all;
	}
#	}
	location ~* ^/wp-content/uploads/.+\.php{
	deny all;
	}
	location ~* .ini$ {
	deny all;
	}
	location ~ \.user\.ini$ {
        deny all;
	}
	 	location @php {	
		fastcgi_index index.php;
                fastcgi_pass unix:/var/www/php-fpm/012447.sock;
		fastcgi_param PHP_ADMIN_VALUE "sendmail_path = /usr/sbin/sendmail -t -i -f webmaster@my-site.ru";
		fastcgi_split_path_info ^((?U).+\.ph(?:p\d*|tml))(/?.+)$;
                try_files $uri =404;
                include fastcgi_params;
		}
#	location ~* ^/wp-json/ {
#	deny all;
}
server {
	server_name my-site.ru www.my-site.ru;
	ssl_certificate "/var/www/httpd-cert/012447/my-site.ru_le2.crtca";
	ssl_certificate_key "/var/www/httpd-cert/012447/my-site.ru_le2.key";
	ssl_ciphers E!RC4;
	ssl_prefer_server_ciphers on;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	ssl_dhparam /etc/ssl/certs/dhparam4096.pem;
	charset UTF-8;
	index index.php, index.html;
	disable_symlinks if_not_owner from=$root_path;
        include /etc/nginx/vhosts-includes/*.conf;
        include /etc/nginx/vhosts-resources/my-site.ru/*.conf;
	access_log /home/httpd-logs/my-site.ru.access.log;
	error_log /home/httpd-logs/my-site.ru.error.log notice;
	ssi on;
	set $root_path /home/012447/data/www/my-site.ru;
	root $root_path;
	include /etc/nginx/vhosts-resources/012447/*.conf;
	location / {
                        try_files $uri $uri/ /index.php?q=$uri&$args;
                        location ~ [^/]\.ph(p\d*|tml)$ {
                        try_files /does_not_exists @php;
                }
                     }
        location ~* /wp-includes/.*.php$ {
        deny all;
        access_log off;
        log_not_found off;
        }
        location ~* /wp-content/.*.php$ {
        deny all;
        access_log off;
        log_not_found off;
        }
        location ~* /(?:uploads|files)/.*.php$ {
        deny all;
        access_log off;
        log_not_found off;
        }
        location ~* /themes/.*.php$ {
        deny all;
        access_log off;
        log_not_found off;
        }
        location ~* /plugins/.*.php$ {
        deny all;
        access_log off;
        log_not_found off;
        }
        location = /xmlrpc.php {
        deny all;
        access_log off;
        log_not_found off;
        }
        location ~* wp-config.php {
        deny all;
        }
        location ~ ^/\.user\.ini {
        deny all;
        }
#        }
        location ~* ^/wp-content/uploads/.+\.php{
        deny all;
        }
        location ~* .ini$ {
        deny all;
        }
        location ~ \.user\.ini$ {
        deny all;
        }
                location @php {
                fastcgi_index index.php;
                fastcgi_pass unix:/var/www/php-fpm/012447.sock;
                fastcgi_param PHP_ADMIN_VALUE "sendmail_path = /usr/sbin/sendmail -t -i -f webmaster@my-site.ru";
		fastcgi_split_path_info ^((?U).+\.ph(?:p\d*|tml))(/?.+)$;
                try_files $uri =404;
                include fastcgi_params;
		}
	listen 11.22.33.44:443 ssl;
#        location ~* ^/wp-json/ {
#        deny all;
}

 

yatakoi
()
1 комментарий

Прошу помощи. Что это за процесс висит mysql?

Форум — Admin

Всем привет.

В htop висит процесс 211h я так понял часов. Он постоянно грузит ядро. Как я понял, это запущен плагин записи в логи. Поправьте если не прав.

Таких процессов много, но именно этот жрёт ядро. Подскажите в целом, что это за процесс и если возможно, то ссылку на почитать.

Скриншот: https://yadi.sk/i/P3CX8CO_223aGg

 ,

yatakoi
()
13 комментариев

Как можно исключить некоторые колонки, которые генерирует rsyslog?

Форум — Admin

Всем привет.

В /etc/nginx/nginx.conf добавил формат лога

log_format grafana '$remote_addr - $remote_user [$time_local] "$request" $status $bytes_sent "$http_referer" "$http_user_agent"';

А в vhost mysite.ru добавил access_log /home/httpd-logs/iqhost.ru.access.log grafana;

Всё отлично, теперь формат логов в access.log такой

114.119.141.93 - - [14/Sep/2020:10:29:21 +0300] "GET /getimage/224/ HTTP/1.1" 200 1514 "-" "Mozilla/5.0 (Linux; Android 7.0;) AppleWebKit/537.36 (KHTML, like Gecko) Mobile Safari/537.36 (compatible; PetalBot;+http://aspiegel.com/petalbot)"

Но… если логи перенаправлять через rsyslog, то этот rsyslog подставляет свои три колонки (дата, хост, тег) и лог становится таким Sep 14 10:04:02 mysite.ru nginx_access_mysite: 5.255.253.147 - - [14/Sep/2020:10:04:02 +0300] "GET /?yclid=7710547526903176844 HTTP/1.1" 200 9219 "-" "Mozilla/5.0 (compatible; YandexMetrika/2.0; +http://yandex.com/bots yabs01)"

Как сделать, чтобы rsyslog не добавлял свои колонки?

Из-за этого Clickhouse считает, что нет нужных ему колонок. Уже голова кипит.

Конфиг /etc/nginx/nginx.conf в строку 26 добавил формат лога https://pastebin.com/FJMhfzFH

Конфиг vhostа https://pastebin.com/m6rQ4f7i в строку 10 добавил «access_log syslog:server=192.168.10.120,tag=nginx_access_mysite,facility=local1».

 ,

yatakoi
()
3 комментария

rsyslog ругается на синтаксис

Форум — Admin

Всем привет.

В rsyslog.conf добавил шаблон

$template RemoteLogs,"/var/log/remotehosts/%HOSTNAME%/%PROGRAMNAME%.log"
if $fromhost-ip ! '127.0.0.1' then -?RemoteLogs
& stop

Но

[root@centos7 ~]# rsyslogd -f /etc/rsyslog.conf -N1
rsyslogd: version 8.24.0-38.el7, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: error during parsing file /etc/rsyslog.conf, on or before line 23: invalid character '!' in expression - is there an invalid escape sequence somewhere? [v8.24.0-38.el7 try http://www.rsyslog.com/e/2207 ]
rsyslogd: error during parsing file /etc/rsyslog.conf, on or before line 23: syntax error on token ''127.0.0.1' [v8.24.0-38.el7 try http://www.rsyslog.com/e/2207 ]
rsyslogd: CONFIG ERROR: could not interpret master config file '/etc/rsyslog.conf'. [v8.24.0-38.el7 try http://www.rsyslog.com/e/2207 ]

Что не так с кавычками?

 

yatakoi
()
2 комментария

Почему так много процессов mysql?

Форум — Admin

Всем привет.

Получил алерт в Zabbix, что памяти привет. Заглянул в HTOP, а там вся память съедена вместе со свопом.

Не знаю, связано ли это с тем, что у mysql очень много процессов в режиме S.

Есть какие-нибудь соображения?

И я правильно понял, что в mysql процесс = коннекту, а так как процесс висит как S, то коннект попросту не обрывается, а чтобы обрывался - в конфигурации mysql, к примеру, wait_timeout выставить 30 сек.?

Скриншот htop: http://images.vfl.ru/ii/1599551307/6f605ef5/31573905.jpg

 ,

yatakoi
()
2 комментария

Исключить диск из LVM

Форум — Admin

Всем привет.

На сервер был добавлен диск sdb2. Затем по ошибке он был включён в VG centos

[root@kvmnode1 ~]# lvdisplay
  --- Logical volume ---
  LV Path                /dev/centos/root
  LV Name                root
  VG Name                centos
  LV UUID                xM6PAp-oWMW-ysxh-Neiu-noaR-V5HI-m9IzOS
  LV Write Access        read/write
  LV Creation host, time localhost.localdomain, 2019-12-28 19:23:51 +0300
  LV Status              available
  # open                 1
  LV Size                <526.87 GiB
  Current LE             134878
  Segments               2
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:0

Теперь надо исключить этот диск из VG. Возможно ли это сделать без остановки системы?

 

yatakoi
()
10 комментариев

Нужен ли на поддомене DKIM?

Форум — Admin

Всем привет.

На домене domain.ru такие записи:

domain.ru. 	3600 	A (адрес Internet v4) 	193.xx.xx.4 	
www.domain.ru. 	3600 	A (адрес Internet v4) 	193.xx.xx.4 	
cp198.domain.ru. 	3600 	A (адрес Internet v4) 	193.xx.xx.198 	
domain.ru. 	3600 	MX (почтовый сервер) 	mail.domain.ru. 	priority = 10
domain.ru. 	3600 	MX (почтовый сервер) 	smtp.domain.ru. 	priority = 20
domain.ru. 	3600 	NS (сервер имён) 	ns.domain.ru. 	
domain.ru. 	3600 	NS (сервер имён) 	ns3.domain.ru. 	
domain.ru. 	3600 	SOA (начальная запись зоны) 	support.domain.ru. 	mname = cp198.domain.ru.; serial = 2xxxxxxx4
domain.ru. 	3600 	TXT (текстовая запись) 	v=spf1 ip4:193.xx.xx.198 ip4:193.xx.xx.4 a mx ~all 	
dkim._domainkey.domain.ru. 	3600 	TXT (текстовая запись) 	v=DKIM1; k=rsa; s=email; p=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxmQP5yXspATbKimBRMUBlXt05GNgYuTJ/CUXRKaJlMytw5RxQ3vXs15sGtBy+wHgB8FAwUSi7P7MjvPQPjhVnRmKvmrhEeTAqVpFwyklsdRW9C+3DFgOu4nge2Ryw05DVX7v+7htHQIDAQAB 	
_dmarc.domain.ru. 	3600 	TXT (текстовая запись) 	v=DMARC1; p=none; fo=1; rua=mailto:webmaster@domain.ru; ruf=mailto:webmaster@domain.ru

На поддомене cp198.domain.ru такие записи:

mail.cp198.domain.ru. 	3600 	A (адрес Internet v4) 	193.xx.xx.201 	
smtp.cp198.domain.ru. 	3600 	A (адрес Internet v4) 	193.xx.xx.201 	
cp198.domain.ru. 	3600 	A (адрес Internet v4) 	193.xx.xx.198 	
www.cp198.domain.ru. 	3600 	A (адрес Internet v4) 	193.xx.xx.198 	
cp198.domain.ru. 	3600 	MX (почтовый сервер) 	mail.cp198.domain.ru. 	priority = 10
cp198.domain.ru. 	3600 	MX (почтовый сервер) 	smtp.cp198.domain.ru. 	priority = 20
cp198.domain.ru. 	3600 	NS (сервер имён) 	ns.domain.ru. 	
cp198.domain.ru. 	3600 	NS (сервер имён) 	ns3.domain.ru. 	
cp198.domain.ru. 	3600 	SOA (начальная запись зоны) 	support.domain.ru. 	mname = cp198.domain.ru.; serial = 2xxxxxxx44
cp198.domain.ru. 	3600 	TXT (текстовая запись) 	v=spf1 ip4:193.xx.xx.198 ip4:193.xx.xx.201 a mx ~all

Мне не понятно вот что. EXIM находится на cp198.domain.ru. Со своего ящика user@domain.ru отправляю письмо в гугл.

В гугле читаю заголовок полученного письма

Delivered-To: user@gmail.com
Received: by 2002:a54:3e4b:0:0:0:0:0 with SMTP id n11csp1186732ecr;
        Thu, 3 Sep 2020 21:28:14 -0700 (PDT)
X-Google-Smtp-Source: AxxxxxxxxxxxBFSvSW2VUsxuQugit8glJ+
X-Received: by 2002:a05:651c:22e:: with SMTP id z14mr2668095ljn.260.1599193694213;
        Thu, 03 Sep 2020 21:28:14 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1599193694; cv=none;
        d=google.com; s=arc-20160816;
        b=fxqdfgtrsghrtdhrtYg==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-transfer-encoding:message-id:user-agent:subject:to:from
         :date:mime-version:dkim-signature;
        bhrthtrhbtrhtrhtrhtrhgmVnI7ecGdaKVPd
         uGTA==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@domain.ru header.s=dkim header.b=YksrkCnI;
       spf=pass (google.com: domain of user@domain.ru designates 193.xx.xx.198 as permitted sender) smtp.mailfrom=user@domain.ru;
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=domain.ru
Return-Path: <user@domain.ru>
Received: from cp198.domain.ru (cp198.domain.ru. [193.xx.xx.198])
        by mx.google.com with ESMTPS id r20si2656140lfi.178.2020.09.03.21.28.13
        for <user@gmail.com>
        (version=TLS1_1 cipher=ECDHE-ECDSA-AES128-SHA bits=128/128);
        Thu, 03 Sep 2020 21:28:14 -0700 (PDT)
Received-SPF: pass (google.com: domain of user@domain.ru designates 193.xx.xx.198 as permitted sender) client-ip=193.xx.xx.198;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@domain.ru header.s=dkim header.b=YksrkCnI;
       spf=pass (google.com: domain of user@domain.ru designates 193.xx.xx.198 as permitted sender) smtp.mailfrom=user@domain.ru;
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=domain.ru
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=domain.ru;
	 s=dkim; h=Content-Transfer-Encoding:Content-Type:Message-ID:Subject:To:From: Date:MIME-Version:Sender:Reply-To:Cc:Content-ID:Content-Description: Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Message-ID: In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:List-Subscribe: List-Post:List-Owner:List-Archive; bh=POjJtRr2J22hIRBdKSDyUpnD3l/oJdQ1HyvOrIBxB5o=; b=YksrkCnIVd8TJ9O1IgS5HXfDdn Kj5B/Q7dNggggggggggggNcfrT7x1H9NjxHQG 83NuhLMc8yvetFTwIPeJgggdoPGXxQF1Q35LoLfydNk=;
Received: from [::1] (helo=localhost) by cp198.domain.ru with esmtpa (Exim 4.92.3) (envelope-from <user@domain.ru>) id 1kE3Kf-00042n-CD for user@gmail.com; Fri, 04 Sep 2020 07:28:13 +0300
MIME-Version: 1.0
Date: Fri, 04 Sep 2020 14:28:12 +1000
From: user@domain.ru
To: user@gmail.com
Subject: Еще проверка
User-Agent: Roundcube Webmail/1.4.6
Message-ID: <e1d89a89efb73b5915079bfa14f7421f@domain.ru>
X-Sender: user@domain.ru
Content-Type: text/plain; charset=US-ASCII; format=flowed
Content-Transfer-Encoding: 7bit
X-Scanned-By: ClamAV 0.101.5; Fri, 04 Sep 2020 07:28:13 +0300

55557777

И вижу, что письмо уходит не с domain.ru, а с cp198.domain.ru. Меня смутило то, что DKIM нужен для того, чтобы гарантировать отправку письма именно с хоста, с которого изначально я отправлял письмо, то есть с domain.ru, а отправляю то с cp198.domain.ru. Но тем не менее в заголовке есть строка dkim=pass header.i=@domain.ru header.s=dkim header.b=YksrkCnI;

Похоже я толком не вник в работу DKIM, поэтому объясните пожалуйста почему так.

Может все же надо обязательно прописать DKIM в cp198.domain.ru?

 

yatakoi
()
3 комментария

Привязать /tmp к sdb2

Форум — Admin

Всем привет.

Создал диск /dev/sdb1 как Linux LVM.

Затем pvcreate

[root@kvmnode1 ~]# pvs
  PV         VG     Fmt  Attr PSize    PFree
  /dev/sda3  centos lvm2 a--   119.12g      0
  /dev/sdb1  tmp    lvm2 a--  <150.00g      0

Потом lvcreate

[root@kvmnode1 ~]# lvs
  LV         VG     Attr       LSize    Pool Origin Data%  Meta%  Move Log Cpy%Sync Convert
  root       centos -wi-ao---- <526.87g
  tmp        tmp    -wi-a----- <150.00g

Наконец vgcreate

root@kvmnode1 ~]# vgs
  VG     #PV #LV #SN Attr   VSize    VFree
  centos   2   1   0 wz--n- <526.87g      0
  tmp      1   1   0 wz--n- <150.00g      0

Что-то не могу понять дальнейший алгоритм действий, чтобы /tmp привязать к VG tmp.

Сейчас /tmp находится в VG centos

Пробовал гуглить, но там только что такое tmp, монтирование tmpfs и тп.

 

yatakoi
()
12 комментариев

После добавления диска df -h показывает тот же размер, что и до добавления

Форум — Admin

Всем привет.

Добавил в систему новый диск sdb, чтобы расширить VG с именем «centos».

fdisk /dev/sdb. Затем создал primary, sdb1, Linux LVM. После этого выполнил vgextend centos /dev/sdb2, затем lvextend -l +104383 /dev/centos/root. И наконец resize2fs /dev/centos/root

Сейчас lvdisplay выглядит так:

[root@kvmnode1 ~]# lvdisplay
  --- Logical volume ---
  LV Path                /dev/centos/root
  LV Name                root
  VG Name                centos
  LV UUID                xM6PAp-oWMW-ysxh-Neiu-noaR-V5HI-m9IzOS
  LV Write Access        read/write
  LV Creation host, time localhost.localdomain, 2019-12-28 19:23:51 +0300
  LV Status              available
  # open                 1
  LV Size                <526.87 GiB
  Current LE             134878
  Segments               2
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:0

Где, LV Size <526.87 GiB

Но делаю df -h и вижу всё тот же размер 120G.

[root@kvmnode1 ~]# df -h
Filesystem               Size  Used Avail Use% Mounted on
devtmpfs                  32G     0   32G   0% /dev
tmpfs                     32G     0   32G   0% /dev/shm
tmpfs                     32G  3.2G   29G  10% /run
tmpfs                     32G     0   32G   0% /sys/fs/cgroup
/dev/mapper/centos-root  120G   93G   27G  79% /

Что я упустил?

 

yatakoi
()
37 комментариев

iptables vs MS Forefront TMG 2010

Форум — Security

Всем привет.

В одной компании есть древний Forefront TMG 2010 Standard. Настройки у него по умолчанию. Открытые наружу порты:

8080, 3389, 25, 480.

В другой тоже есть открытые порты и используется iptables.

С помощью nmap просканировал все порты.

Хост с Forefront:

nmap -p 1-65535 -T4 -A -v 82.162.xx.xx

Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-26 09:05 Iineianeia a?aiy (ceia)

NSE: Loaded 151 scripts for scanning.

NSE: Script Pre-scanning.

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Initiating Ping Scan at 09:05

Scanning 82.162.xx.xx [4 ports]

Completed Ping Scan at 09:05, 2.08s elapsed (1 total hosts)

Nmap scan report for 82.162.xx.xx [host down]

NSE: Script Post-scanning.

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Read data files from: C:\Program Files (x86)\Nmap

Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn

Nmap done: 1 IP address (0 hosts up) scanned in 4.14 seconds

           Raw packets sent: 8 (304B) | Rcvd: 0 (0B)

Хост с iptables

nmap -p 1-65535 -T4 -A -v 193.106.xx.xx

Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-26 09:36 Iineianeia a?aiy (ceia)

NSE: Loaded 151 scripts for scanning.

NSE: Script Pre-scanning.

Initiating NSE at 09:36

Completed NSE at 09:36, 0.00s elapsed

Initiating NSE at 09:36

Completed NSE at 09:36, 0.00s elapsed

Initiating NSE at 09:36

Completed NSE at 09:36, 0.00s elapsed

Initiating Ping Scan at 09:36

Scanning 193.106.xx.xx [4 ports]

Completed Ping Scan at 09:36, 0.07s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 09:36

Completed Parallel DNS resolution of 1 host. at 09:36, 0.04s elapsed

Initiating SYN Stealth Scan at 09:36

Scanning cp174.iqhost.ru (193.106.xx.xx) [65535 ports]

Discovered open port 3306/tcp on 193.106.xx.xx

Discovered open port 80/tcp on 193.106.xx.xx

Discovered open port 21/tcp on 193.106.xx.xx

Discovered open port 443/tcp on 193.106.xx.xx

SYN Stealth Scan Timing: About 8.29% done; ETC: 09:42 (0:05:43 remaining)

SYN Stealth Scan Timing: About 12.60% done; ETC: 09:44 (0:07:03 remaining)

SYN Stealth Scan Timing: About 16.72% done; ETC: 09:45 (0:07:33 remaining)

Discovered open port 222/tcp on 193.106.xx.xx

SYN Stealth Scan Timing: About 34.17% done; ETC: 09:47 (0:07:04 remaining)

SYN Stealth Scan Timing: About 39.70% done; ETC: 09:47 (0:06:29 remaining)

SYN Stealth Scan Timing: About 46.08% done; ETC: 09:47 (0:05:56 remaining)

Discovered open port 3310/tcp on 193.106.xx.xx

SYN Stealth Scan Timing: About 51.97% done; ETC: 09:47 (0:05:20 remaining)

Чем же так хорош iptables, если вот такая дыра в безопасности?

 

yatakoi
()
13 комментариев

Неправильно понимаю работу logrotate

Форум — General

Всем привет.

В logrotate.d создал скрипт

/usr/local/mgr5/var/billmgr.journal
{
        rotate 30
        size=100M
        missingok
        notifempty
        compress
        olddir old_journals
        create 0644 root root
        sharedscripts
        postrotate
                 /bin/kill -HUP 'cat /usr/local/mgr5/var/billmgr.pid  2> /dev/null' 2> /dev/null || true
        endscript
}

billmgr.journal ротируется, но захожу в папку с архивами логов и вижу такую картину

[root@billing ~]# ls -lh /usr/local/mgr5/var/old_journals/
total 95M
-rw-r--r-- 1 root        root 210K Aug 12 04:57 billmgr.journal.10.gz
-rw-r--r-- 1 root        root 210K Aug 12 03:57 billmgr.journal.11.gz
-rw-r--r-- 1 root        root 210K Aug 12 02:57 billmgr.journal.12.gz
-rw-r--r-- 1 root        root 219K Aug 12 02:00 billmgr.journal.13.gz
-rw-r--r-- 1 root        root 219K Aug 12 00:57 billmgr.journal.14.gz
-rw-r--r-- 1 root        root 210K Aug 11 23:57 billmgr.journal.15.gz
-rw-r--r-- 1 root        root 417K Aug 11 22:57 billmgr.journal.16.gz
-rw-r--r-- 1 root        root 4.2K Aug 11 21:57 billmgr.journal.17.gz
-rw-r--r-- 1 root        root 228K Aug 11 21:00 billmgr.journal.18.gz
-rw-r--r-- 1 root        root 223K Aug 11 19:57 billmgr.journal.19.gz
-rw-r--r-- 1 root        root 212K Aug 12 13:59 billmgr.journal.1.gz
-rw-r--r-- 1 root        root 225K Aug 11 18:57 billmgr.journal.20.gz
-rw-r--r-- 1 root        root 212K Aug 11 17:59 billmgr.journal.21.gz
-rw-r--r-- 1 root        root 211K Aug 11 16:57 billmgr.journal.22.gz
-rw-r--r-- 1 root root 210K Aug 11 15:58 billmgr.journal.23.gz
-rw-r--r-- 1 root        root 210K Aug 11 14:58 billmgr.journal.24.gz
-rw-r--r-- 1 root        root 210K Aug 11 13:57 billmgr.journal.25.gz
-rw-r--r-- 1 root        root 210K Aug 11 12:57 billmgr.journal.26.gz
-rw-r--r-- 1 root        root 210K Aug 11 11:57 billmgr.journal.27.gz
-rw-r--r-- 1 root        root 210K Aug 11 10:57 billmgr.journal.28.gz
-rw-r--r-- 1 root        root 210K Aug 11 09:57 billmgr.journal.29.gz
-rw-r--r-- 1 root        root 211K Aug 12 12:57 billmgr.journal.2.gz
-rw-r--r-- 1 root        root 210K Aug 11 08:57 billmgr.journal.30.gz
-rw-r--r-- 1 root        root 212K Aug 12 11:59 billmgr.journal.3.gz
-rw-r--r-- 1 root        root 211K Aug 12 10:57 billmgr.journal.4.gz
-rw-r--r-- 1 root        root 214K Aug 12 09:57 billmgr.journal.5.gz
-rw-r--r-- 1 root        root 210K Aug 12 08:57 billmgr.journal.6.gz
-rw-r--r-- 1 root        root 210K Aug 12 07:57 billmgr.journal.7.gz
-rw-r--r-- 1 root        root 224K Aug 12 06:57 billmgr.journal.8.gz
-rw-r--r-- 1 root        root 210K Aug 12 05:57 billmgr.journal.9.gz

Распаковываю, к примеру,billmgr.journal.19.gz, а его размер всего 14.1 MB.

Почему запускается ротирование не по критерию 100MB?

Скрипт ротации запускаю каждый час

@hourly /usr/sbin/logrotate -f /etc/logrotate.d/isp_journals

 ,

yatakoi
()
2 комментария

Не понимаю, какой надо указать путь до файла

Форум — Development

Всем привет.

Скрипт https://github.com/yatakoi/python-scripts/blob/master/email_to_telegram/main.py

Столкнулся с проблемой в блоке 102-106

        if os.path.exists("attachments"):  # Если есть вложения в письме, то отправляем и их.
            for file in os.listdir("attachments"):
                bot.send_document(chat_id, open(file, "rb"))
                os.remove(file)  # Удаляем отправленный файл
            os.rmdir("attachments")  # Удаляем пустую папку

Скрипт корректно получает письмо из ящика вместе с вложением, но когда он переходит на шаг отправки этого письма в телеграм, то начинает ругаться, что не может найти вложенный файл для отправки его в телеграм. Не могу понять, в какой строке надо указать правильный путь?

Ругается так

Traceback (most recent call last):
  File "main.py", line 143, in <module>
    send_emails_telegram(bot, chat)
  File "main.py", line 104, in send_emails_telegram
    bot.send_document(chat_id, open(file, "rb"))
FileNotFoundError: [Errno 2] No such file or directory: 'screenshot.PNG'

Скрипт находится по пути /home/m.kostromin/send_tickets и как я понял, он пытается найти файл screenshot.PNG по пути /home/m.kostromin/send_tickets/screenshot.PNG, а должен по /home/m.kostromin/send_tickets/INBOX/папка_тема_письма/attachments/screenshot.PNG

Где же ошибка в пути и как он тогда должен выглядеть этот путь?

 

yatakoi
()
19 комментариев

logrotate. Условия ротации применяются для всех файлов в списке или для каждого?

Форум — Admin

Всем привет.

Нужно ротировать логи каждый час.

Сделал так:

/usr/local/mgr5/var/acctstat.log
/usr/local/mgr5/var/backup2_cp.log
/usr/local/mgr5/var/backup2.log
/usr/local/mgr5/var/backup2_system.log
/usr/local/mgr5/var/core_acme_sh.log
/usr/local/mgr5/var/core.auth.log
/usr/local/mgr5/var/core.log
/usr/local/mgr5/var/core.long.log
/usr/local/mgr5/var/dkimkeyfix.log
/usr/local/mgr5/var/expire_logs_value
/usr/local/mgr5/var/filemgr.log
/usr/local/mgr5/var/globalindex.log
/usr/local/mgr5/var/ihttpd.log
/usr/local/mgr5/var/ispmgr.auth.log
/usr/local/mgr5/var/ispmgr.log
/usr/local/mgr5/var/ispmgr.long.log
/usr/local/mgr5/var/ispmgrnode.auth.log
/usr/local/mgr5/var/ispmgrnode.log
/usr/local/mgr5/var/ispmgrnode.long.log
/usr/local/mgr5/var/ispmgrstat.log
/usr/local/mgr5/var/licctl.log
/usr/local/mgr5/var/longtask.log
/usr/local/mgr5/var/mgrctl.log
/usr/local/mgr5/var/mysqlstat.log
/usr/local/mgr5/var/nginx.log
/usr/local/mgr5/var/nodesync_logs
/usr/local/mgr5/var/pkgcheck.log
/usr/local/mgr5/var/pkg.log
/usr/local/mgr5/var/srvmon.log
/usr/local/mgr5/var/traffstat.log
/usr/local/mgr5/var/upload.log
/usr/local/mgr5/var/usagestat.log
/usr/local/mgr5/var/xmlinstall.log
{
        rotate 30
        size=20M
        missingok
        notifempty
        hourly
        compress
        olddir old_logs
        delaycompress
        create 0600 root root
        sharedscripts
        postrotate
                 /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
        endscript
}

size=20M рассчитывается если в сумме все перечисленные сверху логи будут >20, то ротировать их или правило применяется к каждому логу? - например, если acctstat.log >20, а остальные <20, то ротировать только acctstat.log.

 

yatakoi
()
14 комментариев

python-скрипт в какое-то время перестает перенаправлять email сообщения

Форум — Development

Ребята, привет.

Есть у меня python-скрипт, который по крону каждые 10 сек проверяет заданную почту по IMAP и если там есть новое сообщение (last id), то он забирает письмо в свою папку INBOX и оттуда сразу же пересылает его моему телеграм-боту. Но вот раз в два дня что-то происходит и письма начинают копиться в папке INBOX, которую создал скрипт и соответственно сообщения перестают уходить в телеграм, пока папку эту не почищу.

Как можно поискать причину такого поведения? Может отладку включить? Поделитесь плиз опытом/вариантами.

 

yatakoi
()
18 комментариев

Как понять «в iptables исходящие порты сделать в узком диапазоне»?

Форум — Security

Всем привет.

Поставили задачу в iptables исходящие порты сделать в узком диапазоне. Не совсем понимаю, что под этим подразумевается, ведь явно не открыть всего-лишь пару исходящих портов.

 

yatakoi
()
22 комментария

У iptables какой сейчас аналог --state ! ESTABLISHED?

Форум — Security

Всем привет.

Взял кусок из правил 2005 года и как понял - с какой-то версии iptables так не прокатывает.

При попытке добавить это правило

iptables -t filter -A hack_scan -p tcp -m state --state ! ESTABLISHED --tcp-flags SYN,ACK,FIN,RST ALL -j LOG --log-prefix "IPT: Scan: SYN+ACK+FIN+RST: "

Получаю: iptables v1.4.21: Bad state "!"

 

yatakoi
()
3 комментария

Zabbix. Не срабатывает макрос в дискавери vfs.fs.size

Форум — General

Всем привет.

На хосте потребовалось изменить значение «Free disk space is less than 20% on volume /» на «Free disk space is less than 10% on volume /».

Зашел в нужный хост, выбрал «Discovery rules», затем «Trigger prototypes» и там создал новый Trigger prototype.

Скрин 1

Стало так:

Скрин 2

Затем на хосте добавил макрос:

Скрин 3

Пробовал даже {$LOW_SPACE_LIMIT:/}, но как был Warning «Free disk space is less than 20% on volume /» так и сидит.

Где моя ошибка?

 

yatakoi
()
1 комментарий
← предыдущие следующие →

RSS подписка на новые темы