All perguntas(server)

Estou usando logcheckpara monitorar meu raspberry pi aberto na internet. Desde o debian 12 bookworm, a maioria dos arquivos de log não estão mais em /var/log, mas sim reunidos no journal do systemd. Gostaria de testar minhas regras no journal, mas não consigo encontrar o comando.

Anteriormente eu usava comandos como:

egrep -f /etc/logcheck/ignore.d.server/local-rules /var/log/*

ou

logcheck-test -l /var/log/* -r /etc/logcheck/ignore.d.server/local-rules

Alguém sabe como fazer isso no diário do systemd?

No processo de migração de alguns sites no Apache/PHP/MySQL de um host Windows Server para um host Linux, restaurei-os para o sistema de arquivos, configurei hosts virtuais e todo o encanamento, conectei-me ao banco de dados MySQL e fui logar em um. Depois de um tempo, ele lançou esta mensagem de erro:

Fatal error: Allowed memory size of 134217728 bytes exhausted (tried to allocate 1228800 bytes)

Isso deve ser moleza, pensei, e fui mudar memory_limitpara /etc/php.ini256M e trazer httpd para baixo e depois para cima. Não tão rápido! PHPInfo ainda está mostrando o valor antigo:

memory_limit    128M    128M

e o aplicativo ainda está apresentando exatamente o mesmo erro acima. Eu verifiquei duas vezes se o PHPInfo também está mostrando o mesmo arquivo que eu editei:

Configuration File (php.ini) Path   /etc
Loaded Configuration File   /etc/php.ini
Scan this dir for additional .ini files     /etc/php.d 

Procurei e encontrei em 3x arquivos: , e . Acredito que por padrão o Linux agora executa , então alterei o valor em todos os 3x deles para 256, 257 e 258M, só para poder dizer, mas ainda assim o PHPInfo está mostrando 128M após /etcparar e reiniciar.memory_limitphp.iniphp.ini.rpmnewphp-fpm.d/www.confphp-fpmhttpd

Eu até entrei no aplicativo da web e alterei as definições de limite de memória, mas sem sucesso.

Onde está escondido o limite de memória?

O OpsCenter oferece suporte ao controle de acesso por meio de marcação. Os usuários podem restringir o acesso a OpsItems com base em marcações específicas, permitindo um controle mais granular sobre quem pode visualizar ou gerenciar incidentes com base em suas funções ou responsabilidades atribuídas.

Como a marcação para controle de acesso no AWS Systems Manager funciona com o administrador delegado?

Não consigo encontrar essas informações on-line sobre qual versão o nginx aproveitou para incluir o http_auth_basic_modulecomo uma opção de configuração. Além disso, como faço para habilitá-lo? Ou de onde posso baixar módulos?

Configuração do servidor:

nginx -V

nginx version: nginx/1.24.0 (Ubuntu)
built with OpenSSL 3.0.13 30 Jan 2024
TLS SNI support enabled
./configure \
--with-cc-opt='-g -O2 -fno-omit-frame-pointer -mno-omit-leaf-frame-pointer -ffile-prefix-map=/build/nginx-DlMnQR/nginx-1.24.0=. -flto=auto -ffat-lto-objects -fstack-protector-strong -fstack-clash-protection -Wformat -Werror=format-security -fcf-protection -fdebug-prefix-map=/build/nginx-DlMnQR/nginx-1.24.0=/usr/src/nginx-1.24.0-2ubuntu7.1 -fPIC -Wdate-time -D_FORTIFY_SOURCE=3' \
--with-ld-opt='-Wl,-Bsymbolic-functions -flto=auto -ffat-lto-objects -Wl,-z,relro -Wl,-z,now -fPIC' \
--prefix=/usr/share/nginx \
--conf-path=/etc/nginx/nginx.conf \
--http-log-path=/var/log/nginx/access.log \
--error-log-path=stderr \
--lock-path=/var/lock/nginx.lock \
--pid-path=/run/nginx.pid \
--modules-path=/usr/lib/nginx/modules \
--http-client-body-temp-path=/var/lib/nginx/body \
--http-fastcgi-temp-path=/var/lib/nginx/fastcgi \
--http-proxy-temp-path=/var/lib/nginx/proxy \
--http-scgi-temp-path=/var/lib/nginx/scgi \
--http-uwsgi-temp-path=/var/lib/nginx/uwsgi \
--with-compat \
--with-debug \
--with-pcre-jit \
--with-http_ssl_module \
--with-http_stub_status_module \
--with-http_realip_module \
--with-http_auth_request_module \
--with-http_v2_module \
--with-http_dav_module \
--with-http_slice_module \
--with-threads \
--with-http_addition_module \
--with-http_flv_module \
--with-http_gunzip_module \
--with-http_gzip_static_module \
--with-http_mp4_module \
--with-http_random_index_module \
--with-http_secure_link_module \
--with-http_sub_module \
--with-mail_ssl_module \
--with-stream_ssl_module \
--with-stream_ssl_preread_module \
--with-stream_realip_module \
--with-http_geoip_module=dynamic \
--with-http_image_filter_module=dynamic \
--with-http_perl_module=dynamic \
--with-http_xslt_module=dynamic \
--with-mail=dynamic \
--with-stream=dynamic \
--with-stream_geoip_module=dynamic

Usando grep para pesquisar:

nginx -V 2>&1 | grep http_auth_basic_module

Resultado:

Not found

GitHub - /src/http/modules/ngx_http_auth_basic_module.c

Teste de configuração do NGINX

# info.nginx
location = "/info.nginx" {

    auth_basic           "Administrator's Area";
    auth_basic_user_file /etc/nginx/.htpasswd;

    access_log    off;
    default_type  "application/json; charset=UTF-8";
    return        200 '{"nginx_version":"$nginx_version","time":{"time_iso8601":"$time_iso8601","time_local":"$time_local","msec":"$msec"},"remote":{"remote_addr":"$remote_addr","remote_port":"$remote_port"},"host":{"host":"$host","hostname":"$hostname"},"server":{"server_addr":"$server_addr","server_name":"$server_name","server_port":"$server_port","server_protocol":"$server_protocol"},"request":{"request_time":"$request_time","request_method":"$request_method","request_uri":"$request_uri","request_filename":"$request_filename","uri":"$uri","query_string":"$query_string","realpath_root":"$realpath_root"},"document":{"document_root":"$document_root","document_uri":"$document_uri"}}';
}

Estou usando o RHEL 9.4 e tento atualizar os pacotes RHEL usando o sudo dnf update, a saída é:

Updating Subscription Management repositories.
Last metadata expiration check: 2:37:30 ago on Tue 31 Dec 2024 08:04:20 HKT.
Error: 
 Problem: cannot install the best update candidate for package remi-release-9.4-2.el9.remi.noarch
  - nothing provides (redhat-release >= 9.5 or centos-stream-release >= 9) needed by remi-release-9.5-1.el9.remi.noarch from remi-safe
(try to add '--skip-broken' to skip uninstallable packages or '--nobest' to use not only best candidate packages)

Então adiciono --nobesto sinalizador conforme as instruções, a saída é:

Updating Subscription Management repositories.
Last metadata expiration check: 2:36:48 ago on Tue 31 Dec 2024 08:04:20 HKT.
Dependencies resolved.

 Problem: cannot install the best update candidate for package remi-release-9.4-2.el9.remi.noarch
  - nothing provides (redhat-release >= 9.5 or centos-stream-release >= 9) needed by remi-release-9.5-1.el9.remi.noarch from remi-safe
=====================================================================================================================================================================
 Package                                  Architecture                       Version                                     Repository                             Size
=====================================================================================================================================================================
Skipping packages with broken dependencies:
 remi-release                             noarch                             9.5-1.el9.remi                              remi-safe                              30 k

Transaction Summary
=====================================================================================================================================================================
Skip  1 Package

Nothing to do.
Complete!

Por que esse pacote não estaria disponível para atualização? E como corrigir isso?

Por fim, gostaria de atualizar o RHEL de 9.4 para 9.5 usando sudo dnf upgradeo comando, mas não consigo fazer isso devido ao problema acima.

Depois de cerca de 30 horas quase batendo a cabeça nas paredes, tive que chegar à conclusão de que é melhor escrever para pessoas que podem ser mais versadas no assunto.

Tenho um servidor Digitalocean usando Ubuntu 22.

Sim, eu sei que a Digitalocean não suporta o envio de e-mails e coisas do tipo, mas estou usando o Postfix apenas como um servidor de retransmissão simples, nada mais.

Basicamente, estou usando o Amazon SES neste momento, para enviar um e-mail para ex: " [email protected] ". Tenho vários domínios que precisam ser manipulados, não apenas um, e todas as configurações desses domínios (DNS) estão corretamente definidas apontando para o servidor. Na verdade, estava funcionando antes com o brevo, mas devo ter tido alguma configuração incorreta, porque eles suspenderam aleatoriamente a conta por violação de TOS, o que, é claro, não foi dado com nenhuma razão, além de "desculpe, você está suspenso".

Suspeito que eu estava retransmitindo endereços "De:" diretamente dos remetentes, e eles pensaram que alguém assumiu o controle da conta ou algo assim, o que é justo.

De qualquer forma... Agora que descrevi a configuração básica e as circunstâncias. O problema é que tenho um filtro configurado, o que é absolutamente crucial para fazer isso funcionar, e parece que se eu fizer um serviço content_filter personalizado em master.cf:

shell_content_filter unix - n n - - pipe
  flags=Rq user=filteruser argv=/usr/local/bin/minimal_filter.sh

Esta é a parte do log onde podemos ver o problema:

"relay=shell_content_filter, delay=0.04, delays=0.01/0/0/0.02, dsn=2.0.0, status=sent (delivered via shell_content_filter service"

E em main.cf:

content_filter = shell_content_filter
receive_override_options = no_address_mappings

Sim, um "filteruser" foi criado e sim, ele funciona corretamente, todas as permissões estão definidas corretamente e testadas, tudo está funcionando bem, mas meu filtro está sendo reconhecido como um retransmissor e está literalmente dizendo que os e-mails estão sendo entregues por um serviço externo, o que não faz sentido... para mim, pelo menos.

Não tenho certeza se essas informações são suficientes. Eu realmente agradeceria se alguém soubesse o que está acontecendo, porque estou com muitos problemas, e-mails foram perdidos, nunca mais serão recuperados e ainda não consigo fazer funcionar.

Olá e feliz NYE que se aproxima!

Tentando fazer um firewall na instalação do iRedMail. É preciso manter abertas apenas as portas necessárias para conexões de entrada. Atualmente as regras são:

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submissions
ACCEPT     all  --  localhost            anywhere  
ACCEPT     all  --  185.121.228.0/24     anywhere

      

A última regra é manter sua conexão SSH ativa.

Atualmente, não há e-mails entrando e saindo, nenhum erro e nenhum e-mail devolvido. Suspeito que isso pode ter algo a ver com certificados SSL usados ​​para SMTP não resolverem nomes de host, mas habilitei a porta 53 "domain" para ele e não está ajudando.

Preso aqui. Assim que a política padrão mudou de DROP para ACCEPT, funcionou como uma brisa.

Qualquer ideia sobre como aplicar firewall no servidor iRedMail corretamente será muito bem-vinda!

Editar: SMTP (porta 25) habilitado por si só, que não está sendo usado de qualquer maneira. Não fez efeito

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submissions
ACCEPT     all  --  localhost            anywhere            
ACCEPT     all  --  185.121.228.0/24     anywhere    

    

Usando o proxmox com pools de armazenamento ZFS, é possível restaurar um contêiner LXC ou uma máquina virtual QEMU para um snapshot anterior (não o snapshot mais recente) sem perder ou destruir nenhum snapshot?

Tentar fazer isso usando a GUI do Proxmox apresenta uma mensagem de erro:

não é possível reverter, 'snapshotname' não é o snapshot mais recente em 'storage:vmname'

Perguntado de outra forma, é possível ter snapshots não lineares? Por exemplo, uma árvore de snapshots que se parece com esta, onde há uma "árvore" verdadeira com ramificações, e alguns snapshots têm mais de um filho?

Várias fontes na internet parecem indicar que não ( exemplo 1 ou exemplo 2 ), mas sei que isso é incorreto porque eu já fiz isso :)

Determinado a transformar um computador antigo em um servidor (NAS, Home Assistant, ...), decidi aprender sobre Virtualização com o Projeto Xen no Debian. O servidor deve ser usado somente em LAN e tem o endereço IP estático 10.56.0.191. Estou tentando criar um convidado em 10.56.0.192 com Xen. Para isso, segui as informações fornecidas no guia para iniciantes do projeto Xen e consegui criar um convidado VP executando Debian também.

Infelizmente, o convidado não tem conexão nenhuma. Ainda seguindo o guia para iniciantes, junto com a rede Xen , tentei configurar a interface do host, encaminhamento de IP, proxy ARP e mascaramento de IP. Infelizmente, o wiki faz referência a iptable que parece ter sido substituído por nftables . Portanto, estou tentando usar nftables .

O convidado parece não conseguir se comunicar (conexão testada por ping em vários hosts na LAN), enquanto o host consegue se comunicar corretamente.

Parece que estou esquecendo de algo importante, mas não consigo descobrir. Você poderia me ajudar com esse problema?

Configurei o host e o convidado da seguinte maneira.

Agradeço sua ajuda :-)

No host

Criei uma ponte, xenbr0, da /etc/network/interfacesseguinte forma:

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# Static IP on ethernet
iface enp2s0 inet manual

# Bridge for Xen hypervisor
auto xenbr0
iface xenbr0 inet static
    address 10.56.0.191
    netmask 255.255.0.0
    gateway 10.56.0.1
    dns-nameservers 1.1.1.1 4.4.4.4 8.8.8.8
    bridge_ports enp2s0
    bridge_stp off
    bridge_maxwait 0
    bridge_fd 0

O encaminhamento IPv4 e o proxy ARP estão habilitados em /etc/sysctl.conf.

net.ipv4.ip_forward=1
net.ipv4.conf.enp2s0.proxy_arp=1

Com nftables , criei uma tabela nat e uma cadeia postrouting . Depois adicionei uma regra para o mascaramento de IP.

nft add table nat
nft add chain ip nat postrouting { type nat hook postrouting priority 0 \; }
nft add rule nat postrouting ip saddr 10.56.0.0/16 oif enp2s0 masquerade

A chamada nft list rulesetretorna o seguinte:

table ip nat {
    chain postrouting {
        type nat hook postrouting priority filter; policy accept;
        ip saddr 10.56.0.0/16 oif "enp2s0" masquerade
    }
}

No convidado

No arquivo de configuração do convidado, a interface virtual é definida comovif = [ 'ip=10.56.0.192 ,mac=00:16:3E:FA:9C:76, bridge=xenbr0' ]

Também estou tentando configurar sua interface de rede definindo um IP estático em /etc/network/interfaces:

auto lo
iface lo inet loopback

auto enX0
iface enX0 inet static
    address 10.56.0.192
    gateway 10.56.0.1
    netmask 255.255.0.0
    dns-nameservers 1.1.1.1 4.4.4.4 8.8.8.8

Tenho uma placa ASUS Pike II 3018 que recentemente teve uma falha física - o dissipador de calor quebrou o chip (devido ao clipe de plástico antigo). Eu consertei o dissipador de calor, mas na inicialização vejo o erro abaixo. NÃO tenho uma bateria reserva, mas ele reclama em cada inicialização! Tentei pressionar 'D', mas não fez diferença.

Como eu limpo o erro BBU? E o que L2/L3 significa exatamente? Por que ele está relatando um erro de cache?