LINUX.ORG.RU

Сообщения zorinquen

 

Postfix не всегда работает forwarding

 ,

Postfix настроен в связке с Dovecot/MariaDB. Входящее на мой сервер письмо форвардится с сервера Front.com с адресом а-ля цифро_буквы@in.front.com и я получаю его в inbox юзера. Но когда в почтовом клиенте юзер отвечает на письмо - оно не отсылается обратно на исходный цифро_буквы@in.front.com а тупо ложатся в локальный инбокс юзера, а не в инбокс отправителя на Front.com.

В заголовках входящего письма присутствуют такие строки:

X-Front-ID: 6f28949f9068ee526037c105a09421b0@frontapp.com
References: <6f28949f9068ee526037c105a09421b0@frontapp.com>
Message-ID: <6f28949f9068ee526037c105a09421b0@frontapp.com>

и в качестве From: указан email юзера, а не цифро_буквы@in.front.com.

При этом alias в таблице aliases задан для адреса юзера и связан с цифро_буквы@in.front.com.

На сервисе Front.com он позиционируется как forwarding email.

Возможно ли использовать костыль какой-нибудь, к примеру .procmailrc c правилом, если от такого-то юзера или Subject: такой-то то форвардить явно на цифро_буквы@in.front.com?

Если да, то куда ж его поместить если почта юзера лежит в /var/vmail/mailboxes/domain.com/user/mail и все файлы/каталоги в нем принадлежат vmail, но

# cat /etc/passwd | grep vmail
vmail:x:1000:1000::/var/vmail:/usr/sbin/nologin

?

В /var/vmail/.procmailrc?

Так как если я при ответе явно указываю адрес получателя цифро_буквы@in.front.com в почтовом клиенте юзера, письмо нормально доходит до инбокса на Front.com.

zorinquen
()
13 комментариев

Исправить таблицу разделов на sda

 , ,

Приветствую! После попытки записать iso-образ Windows-10 c помощью WoeUSB место на корне быстро закончилось (надо было изошник на другой раздел изначально перекинуть) и искривилась таблица разделов. В общем sda3, на котором MX linux был стал недоступен. Он был размеров 70 с лишним ГБ, теперь раздела с таким размером исчез. Какая теперь у него нумерация - хз. На sda1 был NTFS раздел со старой виндой, я его прибил.

Gparted ругается при запуске

Can't have overlapping partitions
Can't have a logical partition outside of the extended partition on /dev/sda
Can't have a partition outside the disk

Появился странный раздел /dev/sda10 с типом ФС Unknown

# sfdisk -l
Ignoring extra data in partition table 10.
Ignoring extra data in partition table 10.
Ignoring extra data in partition table 10.
Disk /dev/sda: 465,76 GiB, 500107862016 bytes, 976773168 sectors
Disk model: ST9500325AS     
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x0505697a

Device     Boot      Start        End   Sectors   Size Id Type
/dev/sda2        148006845  253489634 105482790  50,3G 83 Linux
/dev/sda3        253489696  976766975 723277280 344,9G  5 Extended
/dev/sda5        253489698  262261124   8771427   4,2G 82 Linux swap / Solaris
/dev/sda6        262264832  515201023 252936192 120,6G 83 Linux
/dev/sda7        515203072  534589439  19386368   9,2G 83 Linux
/dev/sda8        534591488  587569151  52977664  25,3G 83 Linux
/dev/sda9        741533696  976766975 235233280 112,2G 83 Linux
/dev/sda10      1515877783 2357971400 842093618 401,5G 30 unknown

Попробовал testdisk, но стремновато его юзать, давно им пользовался. Я полагаю можно выполнить

# sfdisk -d /dev/sda > partition_table_before.txt

потом отредактировать partition_table_before.txt в partition_table_after.txt и

# sfdisk --force /dev/sda < partition_table_after.txt

Но как правильно отредактировать таблицу разделов - ума не приложу, как правильно посчитать(( Плз хелп ми! Сейчас

sfdisk -d /dev/sda
Ignoring extra data in partition table 10.
Ignoring extra data in partition table 10.
Ignoring extra data in partition table 10.
label: dos
label-id: 0x0505697a
device: /dev/sda
unit: sectors
sector-size: 512

/dev/sda2 : start=   148006845, size=   105482790, type=83
/dev/sda3 : start=   253489696, size=   723277280, type=5
/dev/sda5 : start=   253489698, size=     8771427, type=82
/dev/sda6 : start=   262264832, size=   252936192, type=83
/dev/sda7 : start=   515203072, size=    19386368, type=83
/dev/sda8 : start=   534591488, size=    52977664, type=83
/dev/sda9 : start=   741533696, size=   235233280, type=83
/dev/sda10 : start=  1515877783, size=   842093618, type=30
zorinquen
()
4 комментария

pritunl+PritunlFake-API

 , ,

Добрый день,

Успешно активировал на pritunl-fake-api c https://github.com/simonmicro/Pritunl-Fake-API?tab=readme-ov-file на Pritunl, установленном на Ubuntu focal, и после апгрейда сервера до Ubuntu noble работает fake-api. А другой Ubuntu noble сервер не активируется, хотя версии pritunl одинаковые установлены на обоих серверах. При этом после ре-логина в браузере появляется Update notification окно с инфой «Fake API endpoint for v1.32.3504.68 active and reachable (contacted at ….)» но после его закрытия ничего не происходит.

Во всех 4 файлах дефолтный домен app.pritunl.com изменен на pritunl-api.simonmicro.de

/usr/lib/pritunl/usr/lib/python3.9/site-packages/pritunl/constants.py 
/usr/lib/pritunl/usr/lib/python3.9/site-packages/pritunl/handlers/subscription.py 
/usr/lib/pritunl/usr/lib/python3.9/site-packages/pritunl/settings/app.py 
/usr/share/pritunl/www/js/main.ec1a7517b563b1b512675899cfb3c7d7.js

как и на успешно активированном сервере. И с обоих серверов доступен хост pritunl-api.simonmicro.de 4 открытыми портами 80, 443, 8080 и 8443

$ sudo nmap -Pn pritunl-api.simonmicro.de
Starting Nmap 7.93 ( https://nmap.org ) at 2024-10-25 21:01 EEST
Nmap scan report for pritunl-api.simonmicro.de (104.21.96.32)
Host is up (0.030s latency).
Other addresses for pritunl-api.simonmicro.de (not scanned): 172.67.150.164 2606:4700:3034::6815:6020 2606:4700:3037::ac43:96a4
Not shown: 996 filtered tcp ports (no-response)
PORT     STATE SERVICE
80/tcp   open  http
443/tcp  open  https
8080/tcp open  http-proxy
8443/tcp open  https-alt

Nmap done: 1 IP address (1 host up) scanned in 8.78 seconds

Куда копать?

zorinquen
()
4 комментария

semanage ошибка доступа

 ,

Пытаюсь выполнить на сервере с активным selinux команду (чтобы потом на целевом сервере импортировать изменения):

# semanage export -f semanage.mods
Traceback (most recent call last):
  File "/usr/sbin/semanage", line 109, in __call__
    sys.stdout = open(values, 'w')
PermissionError: [Errno 13] Permission denied: 'semanage.mods'

Как можно устранить эту ошибку доступа?

zorinquen
()
2 комментария

Rspamd - автообучение с Dovecot imap_sieve plugin

 , ,

Когда Dovecot и Rspamd установлены на одном сервере, то используется такая текущая конфигурация плагинов в dovecot.conf

plugin {
    sieve_plugins = sieve_imapsieve sieve_extprograms
    sieve_before = /var/vmail/sieve/global/spam-global.sieve
    sieve = file:/var/vmail/sieve/%d/%n/scripts;active=/var/vmail/sieve/%d/%n/active-script.sieve

    ###
    ### Spam learning
    ###
    # From elsewhere to Spam folder
    imapsieve_mailbox1_name = Spam
    imapsieve_mailbox1_causes = COPY
    imapsieve_mailbox1_before = file:/var/vmail/sieve/global/learn-spam.sieve

    # From Spam folder to elsewhere
    imapsieve_mailbox2_name = *
    imapsieve_mailbox2_from = Spam
    imapsieve_mailbox2_causes = COPY
    imapsieve_mailbox2_before = file:/var/vmail/sieve/global/learn-ham.sieve

    sieve_pipe_bin_dir = /usr/bin
    sieve_global_extensions = +vnd.dovecot.pipe

    quota = maildir:User quota
    quota_exceeded_message = User %u has exhausted allowed storage space.
}

Содержимое sieve скрипта для обучения спама learn-spam.sieve

require ["vnd.dovecot.pipe", "copy", "imapsieve"];
pipe :copy "rspamc" ["learn_spam"];

А как быть в случае если Rspamd установлен на отдельном сервере, а Dovecot c подмонтированным по NFS mail storage на другом сервере? т.е. Dovecot должен передавать данные rspamc для обучения удаленно…

zorinquen
()
11 комментариев

NFS - перемонтировать раздел

 , ,

Пытаюсь перемонтировать по NFS после добавления опции в fstab

# mount -o remount /srv
mount.nfs: an incorrect mount option was specified

странно, но эту ошибку команда выдает и без добавленной опции. Пробовал еще

# mount -a

и

# umount /srv && mount /srv
umount.nfs4: /srv: device is busy

но через

# findmnt | grep nfs

видно, подмонтировано со старыми опциями. Остановить перед монтированием Dovecot, ящики которого хранятся в /srv не получается

# systemctl stop dovecot
Warning: Stopping dovecot.service, but it can still be activated by:
  dovecot.socket

Как правильно в таком случае перемонтировать NFS раздел?

zorinquen
()
5 комментариев

Dovecot - Corrupted index cache file

 

В почтовом логе появились такие записи

Feb  4 15:05:00 mail dovecot: imap(uzer@domain.com): Error: Corrupted index cache file /srv/mail/vhosts/domain.com/uzer@domain.com/Maildir/dovecot.index.cache: invalid record size
Feb  4 15:05:00 mail dovecot: imap(uzer@domain.com): Error: Corrupted index cache file /srv/mail/vhosts/domain.com/uzer@domain.com/Maildir/dovecot.index.cache: invalid record size
Feb  4 15:05:00 mail dovecot: imap(uzer@domain.com): Error: Broken file /srv/mail/vhosts/domain.com/uzer@domain.com/Maildir/dovecot-uidlist line 513: Invalid data:

Удаление файлов не помогло

# rm dovecot.index*
zorinquen
()
17 комментариев

Dovecot - SSLv2 not supported by OpenSSL

 ,

На сервере с Ubuntu-18.04 установлен Dovecot версии 2.2.33.2. В почтовом логе присутствовали сообщения

dovecot: config: Warning: SSLv2 not supported by OpenSSL. Please consider removing it from ssl_protocols.

После отключения SSLv2 в 10-ssl.conf

ssl_protocols = TLSv1.2 TLSv1.1 TLSv1 !SSLv3

сообщения в логе исчезли, но при этом почтовые клиенты с устаревшими версиями не смогут подключаться?

zorinquen
()
4 комментария

ошибка hostname: Name or service not known

 ,

На Ubuntu-18.04 сервере при попытке узнать FQDN

$ hostname -f
hostname: Name or service not known

При этом в /etc/hosts есть запись для 127.0.1.1

127.0.1.1	mail.domain.com	mail

Попытка вручную удалить эту запись из /etc/hosts с последующим использованием

# hostnamectl set-hostname --static mail

не помогла. Та же ошибка «Name or service not known».

zorinquen
()
5 комментариев

Dovecot - ошибка no route to host

 ,

На сервере с установленным Dovecot настроена репликация с dsync к уже недоступным серверам. В почтовом логе много сообщений типа:

Jan 28 12:59:42 mda-1 dovecot: doveadm(user1@domain.com): Fatal: connect(10.128.0.10:22222) failed: No route to host
Jan 28 12:59:42 mda-1 dovecot: doveadm(user2@domain.com): Fatal: connect(10.128.0.10:22222) failed: No route to host
Jan 28 13:09:38 mda-1 dovecot: master: Error: service(doveadm): command startup failed, throttling for 60 secs

В 30-dsync.conf

service aggregator {
    fifo_listener replication-notify-fifo {
        # Your mail user that's managing files generally is used here
        user = vmail 
        mode = 0666
    }
    unix_listener replication-notify {
        user = vmail 
        mode = 0666
    }
}


# Configure the replicator service
service replicator {
    process_min_avail = 1
    unix_listener replicator-doveadm {
        mode = 0666
    }
}
service doveadm {
     user = vmail
    inet_listener {
        # port to listen on
        port = 22222 
        # enable SSL
        ssl = no 
    }
}

doveadm_port = 22222 
doveadm_password = пароль
 

plugin {
    mail_replica = tcp:10.128.2.10:22222
    mail_replica = tcp:10.128.0.10:22222
}


service config {
  unix_listener config {
    user = vmail
  }
}

Хосты 10.128.2.10 и 10.128.0.10 выключены. Я попытался сначала просто убрать параметр replication из /etc/dovecot/conf.d/10-mail.conf и рестартануть Dovecot.

mail_plugins = notify acl

Но в логе все-еще присутствуют сообщения «… No route to host». Потом закомментировал строки с mail_replica в 30-dsync.conf

plugin {
#    mail_replica = tcp:10.128.2.10:22222
#    mail_replica = tcp:10.128.0.10:22222
}

Но после этого посыпались сообшения в лог типа

mda-1 dovecot: doveadm(user1@domain.com): Error: sync: User has no mail_replica in userdb 
mda-1 dovecot: doveadm(user2@domain.com): Error: sync: User has no mail_replica in userdb

Как правильно вообще отключить репликацию?

zorinquen
()
1 комментарий

Dovecot - unable to get certificate CRL

 ,

В почтовом логе при включенном verbose_ssl присутствуют сообщения вида:

Jan 22 13:07:35 mailhost dovecot: imap-login: Invalid certificate: unable to get certificate CRL: /C=US/O=Internet Security Research Group/CN=ISRG Root X1: user=<uzer@domain.com>, method=PLAIN, rip=ip-address, lip=10.0.2.21, TLS, session=<DyGpINnyANRXoUdt>

при этом сразу же идут такие сообщения с

Jan 22 13:07:35 mailhost dovecot: imap-login: Valid certificate: /C=US/O=Let's Encrypt/CN=R3: user=<uzer@domain.com>, method=PLAIN, rip=ip-address, lip=10.0.2.21, TLS, session=<DyGpINnyANRXoUdt>

Jan 22 13:07:35 mailhost dovecot: imap-login: Valid certificate: /CN=mailhost2.domain.com: user=<uzer@domain.com>, method=PLAIN, rip=ip-address, lip=10.0.2.21, TLS, session=<DyGpINnyANRXoUdt>

При этом когда завожу новый email account в Thunderbird никаких варнингов или ошибок по поводу SSL нет. Т.е. возможно в логе просто этапами описан процесс: сначала «Invalid certificate: unable to get certificate CRL», а потом «Valid certificate: /C=US/O=Let’s Encrypt/CN=R3» или проблема с CRL все-таки присутствует?

zorinquen
()
5 комментариев

visudo - ALL параметр

 ,

Чем отличаются sudo права при выполнении для юзера такие

user   ALL=(ALL) NOPASSWD: /bin/systemctl reload postfix.service

от вот таких

user   ALL=(ALL:ALL) NOPASSWD: /bin/systemctl reload postfix.service

?

zorinquen
()
2 комментария

XFCE - уменьшение времени переключения окон при Alt-TAB

 ,

На данный момент если открыто несколько окон и переключаешься на одно из давно используемых окон, задержка ощущается около 2 секунд. Можно как-то в настройках время переключения окон уменьшить?

zorinquen
()
3 комментария

XFCE - настройка рабочих мест

 ,

Можно как-то настроить сабж, чтобы после ребута на каждом рабочем месте (например на 1-ом Firefox, на 2-м Thunderbird..) были размещены те же стартующие в автозагрузке приложения? а то каждый раз мышкой их по мастям раскладывать надоедает…

zorinquen
()
11 комментариев

acme.sh - генерация сертификата под non-root user

 ,

Изначально на почтовом сервере SSL сертификат генерировался от root и все конфиги хранятся в /root/.acme.sh. Текущий сертификат валидный. Для генерации нового сертификата под новым юзером и установки acme.sh в /opt я выполнил следующие шаги:

# useradd -m -s /usr/sbin/nologin -r -U uzer
# chmod 700 /home/uzer
# visudo
uzer   ALL=(ALL) NOPASSWD: /bin/systemctl reload postfix.service
# chown uzer.postfix /etc/postfix/ssl
# chmod 710 /etc/postfix/ssl
# chown root.uzer /opt
# chmod 775 /opt

# sudo -s -u uzer bash
bash: /root/.bashrc: Permission denied
$ cd /opt/
$ git clone https://github.com/acmesh-official/acme.sh.git
$ cd acme.sh
$ cd /opt/acme.sh

Устанавливаю acme удачно

$ ./acme.sh --install --home '/opt/acme' --config-home '/opt/acme/config' --cert-home  '/opt/acme/cert' --accountemail  'uzer@domain.com' --accountkey '/opt/acme/account.key' --accountconf '/opt/acme/myaccount.conf' --useragent  "this is my client."

Но когда пытаюсь сгенерировать сертификат через DNS API

$ ./acme.sh --issue --dns dns_inwx -d domain.com -d domain2.com --force

ошибка прав доступа

grep: /root/.acme.sh/domain.com/domain.com.conf: Permission denied
[Mon Jan  9 18:55:24 CET 2023] Using CA: https://acme.zerossl.com/v2/DV90
mkdir: cannot create directory ‘/root’: Permission denied
mkdir: cannot create directory ‘/root’: Permission denied
mkdir: cannot create directory ‘/root’: Permission denied
[Mon Jan  9 18:55:24 CET 2023] Can not create path: /root/.acme.sh/ca/acme.zerossl.com/v2/DV90
[Mon Jan  9 18:55:24 CET 2023] Create account key error.
[Mon Jan  9 18:55:24 CET 2023] Create account key error.
[Mon Jan  9 18:55:24 CET 2023] Please add '--debug' or '--log' to check more details.
[Mon Jan  9 18:55:24 CET 2023] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

Может сначала нужно удалить первоначальный acme из /root/acme.sh и тогда сертификат сможет сгенерироваться в /opt/acme c настройками в ~uzer/.acme.sh? настораживает ошибка при запуске sudo

bash: /root/.bashrc: Permission denied

Как в общих чертах правильно настроить сабж? кажется я что-то упустил…

zorinquen
()
13 комментариев

SUSE - cryptctl

 

Давно не загружался в dualboot OpenSUSE Leap. Теперь она не грузится - застряёт на этапе

Stopped User Manager for UID 65534
Stopped User Runtime Directory /run/user/65534...
Removed slice User Slice of UID 65534

и еще странные сообщения присутствуют типа

Started Disk encryption utility (cryptctl) - contact key server to unlock disk ID-раздела and keep the server informed

Система не грузится ни с 1 из 3-х установленных ядер, даже в recovery mode. При этом, загрузившись с MX linux, разделы SUSE монтируются нормально.

zorinquen
()

SElinux - проблема с ssh login после ребута

 ,

На Ubuntu 20.04 установил selinux и соответствующие пакеты

# apt install policycoreutils selinux-utils selinux-basics auditd audispd-plugins

Потом выполнил следующие команды

# selinux-activate

# selinux-config-enforcing

и ребутнул сервер. Теперь не могу зайти на сервер - приглашение логин появляется а password нет. Указал в GRUB selinux=0 и залогинился по ssh. Достаточно ли теперь выполнить

# semanage port -a -t ssh_port_t -p tcp 22

для успешного последующего входа по ssh при уже работающем SElinux?

zorinquen
()
14 комментариев

Cloudflared tunnel - работа с потоковым трафиком

 , ,

Интересно каким образом Cloudflared tunnel работает с трафиком - наподобие VPN, где можно создать исключения для определенных приложений или tunnel создается для ssh/http трафика только для определенных пакетов, например Ansible?

zorinquen
()

Postfix ограничение на отсылку почты

 

Можно ли установить ограничения, например, некоторые пользователи не могут отправлять электронную почту, кроме почты на рабочий корпоративный домен, и не могут отправлять электронную почту на внешнюю почту, такую как gmail hotmail yahoo и т.д.?

zorinquen
()
12 комментариев

ошибка 550 при отсылке почты

 

К домену была привязана одна MX-запись с приоритетом 10. После настройки нового почтового сервера новой MX-записи был присвоен приоритет 10, а предыдущей MX-записи приоритет 20. Но так как часть почтовых акаунтов не было заведено на новом сервере при попытке отослать письма на них появлялась соответственно ошибка 550 «Recipient address rejected: User unknown».

Интересно, эти письма уже окончательно потеряны или через какой-то промежуток времени удаленный почтовый сервер попытается снова их отослать на новый сервер, на котором уже есть все почтовые акаунты.

Также интересно, если установить обе MX-записи о одинаковым приоритетом, например 10 для целей тестирования: почта будет попеременно пытаться отправиться то с одного сервера, то с другого или как-то рандомно?

zorinquen
()
2 комментария
следующие →

RSS подписка на новые темы