All perguntas(server)

Tenho um grupo de escala (ASG) que uso para manter instâncias prontas para uma tarefa. A instância é separada do ASG quando necessário e o ASG inicia outra instância quando necessário.

O tipo de instância é c6g.4xlarge. O SO é ubuntu 22.04

Abaixo está o log mostrando o tempo de inicialização.

systemd[1]: Startup finished in 4.850s (kernel) + 42min 16.004s (userspace) = 42min 20.854s.

Posso ver vários desses logs SSM com falha

ERROR [Registrar] failed to register identity: error calling RegisterManagedInstance API: RequestError: send request failed
caused by: Post "https://ssm.us-xxxx-x.amazonaws.com/": dial tcp xx.xx.xx.xx:xx: i/o timeout
INFO [Registrar] sleeping for 18.7 minutes before retrying registration

Isso acontece apenas em uma pequena porcentagem de casos e não consigo descobrir um padrão.

Estamos usando o Exchange Server 2013 CU23. Eu uso "delegação de caixa de correio" para outras caixas de correio da minha organização para controlar e-mails quando outros funcionários estão de férias.

Agora tenho muitos links que não são necessários para mim. Eu removi a delegação, mas os links não desapareceram. Eu reconectei o Outlook, mas todos os links foram restaurados, sem acesso. Eu posso vê-lo, mas sem mostrar o que está dentro dele.

Pelo que me lembro, tudo isso era fácil de usar, mas agora tenho esse problema estranho.

Alguém pode me ajudar?

PC + Wifi + servidor doméstico

-> roteador (Fritzbox)
-> caixa de cabo UPC

Tenho 2 NAT um após o outro.

Tenho um problema estranho de DNS. Configurei o DuckDns para apontar para um endereço IP interno. A resolução funciona em todos os lugares, mas não nos dispositivos conectados ao Fritzbox. Aqui há um tempo limite quando a entrada do DuckDns aponta para um IP interno como 192.168.xy

Se a entrada do Duckdns apontar para um IP "real", a resolução funcionará corretamente.

Então troquei o DNS no Fritzbox (menu de configuração -> servidor dns) para 9.9.9.9, porém obtive o mesmo resultado. Algo não funciona como esperado, porque:

nslookup xx.duckdns.org: tempo limite nslookup xx.duckdns.org 9.9.9.9: pode resolver

Parece que o Fritzbox suprime as pesquisas de DNS quando elas retornam um IP que está dentro do NAT.

Isso é plausível?

Como posso descobrir qual DNS é realmente usado quando o Fritzbox está fazendo a resolução?

Saudações, exae

Estou executando o BIND9 dentro de um contêiner Docker e notando muitas mensagens como esta:

bind9 | 13-Nov-2024 22:39:13.792 consultas: info: cliente @0x7f81a0077000 200.55.244.14#7459 (.): consulta: . IN ANY +E(0) (172.19.0.2)

Agora estou tentando implementar “Response Rate Limiting (RRL)” seguindo as Melhores Práticas do BIND - Autoritativo e/ou Usando Response Rate Limiting (RRL) . No entanto, mesmo após adicionar a seguinte configuração, não parece estar fazendo nenhuma diferença:

options {
         …
          rate-limit {
              responses-per-second 5;
          };
      };

meu ambiente:

$ docker --version
Docker version 27.3.1, build ce12230
$ docker compose version
Docker Compose version v2.29.7
$ cat /etc/debian_version
12.7
$ uname -a
Linux X 6.1.0-26-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.112-1 (2024-09-30) x86_64 GNU/Linux
$ docker images internetsystemsconsortium/bind9
REPOSITORY                        TAG       IMAGE ID       CREATED       SIZE
internetsystemsconsortium/bind9   9.21      2fe7f58e77a3   4 weeks ago   371MB
$

Por favor, avise) Obrigado antecipadamente!

Estou conectado por meio de uma VPN e quero que algumas contas de usuário a ignorem. A interface VPN é tap0(IP é 172.16.xx), a principal é wlan0(IP é 192.168.10.3). Todo o tráfego regular vai para a Internet via tap0.

Criei uma segunda tabela de roteamento e adicionei uma uidregra:

# ip route add default via 192.168.10.1 dev wlan0 proto static table 2
# ip rule add uidrange 1001-1001 table 2
# ip route show table 2
    default via 192.168.10.1 dev wlan0

Espero que o tráfego do usuário saia wlan0com o IP de origem 192.168.10.3. No entanto, o tráfego do usuário afetado tem o IP da wlan0interface, mas sai na tap0interface errada (e então não vai a lugar nenhum). Sem a regra, o tráfego vai normalmente via tap0.

Estranhamente, ip route getmostra o que eu esperaria. Com a regra em vigor:

$ ip route get 8.8.4.4
8.8.4.4 via 192.168.10.1 dev wlan0 table 2 src 192.168.10.3 uid 1001
    cache 

Sem a regra:

$ ip route get 8.8.4.4
8.8.4.4 via 172.16.0.1 dev tap0 src 172.16.0.102 uid 1001
    cache 

Também tentei adicionar dev wlan0e proto staticà tabela de roteamento, mas não mudou nada. Não tenho absolutamente nada em iptables, todas as políticas definidas para ACCEPT. Também tentei iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE, mas não ajudou (obviamente porque o tráfego sai em tap0). Também defini rp_filtercomo zero em todos os lugares.

Em qualquer caso, o usuário pode executar ping com sucesso no wlan0gateway em 192.168.10.1. Obrigado pela ajuda.

consiste em Apache2 vinculado com Django como backend (WSGI), e React como frontend. Mas ele retorna apenas '403 Forbidden' com símbolo AH01630no log de erros. A versão do Apache2 também é 2.4.58 .

Uma parte da configuração do apache sites-available/default-ssl.conf:

WSGIDaemonProcess serve python-home=/venv/vee python-path=/venv/pub/proj/serve/serve
WSGIScriptAlias /api /venv/pub/proj/serve/serve/wsgi.py

<Directory /venv/pub/proj/serve/serve>
        <Files wsgi.py>
                Require all granted
        </Files>
</Directory>

<Directory /venv/pub/proj/serve/front/build>
        Options Indexes FollowSymLinks
        Require all granted
</Directory>

'sites-available/react.conf`:

DocumentRoot /venv/pub/proj/serve/front/build

<Directory /venv/pub/proj/serve/front/build>
        Options Indexes FollowSymlinks
        AllowOverride None
        Require all granted
</Directory>

O projeto Django é colocado em /venv/pub/proj/serve, e o projeto React é /venv/pub/proj/serve/front.

Anteriormente, o servidor era configurado Apache2 e Django, não React, então as configurações do Django WSGI não são problema. Quero saber por que parece haver conflito nas configurações do Apache2 entre default-ssl.confe react.conf. Se o WSGI estiver desabilitado, o aplicativo React é exibido.

Gostaria de executar várias instâncias docker-android no docker swarm. Mas elas falham:

ERROR   | x86 emulation currently requires hardware acceleration!
https://developer.android.com/studio/run/emulator-acceleration#vm-linux
CPU acceleration status: /dev/kvm is not found: VT disabled in BIOS or KVM kernel module not loaded

Meu nó suporta kvm e roda diretamente no nó com docker compose quando adicionado privileged: truefunciona bem.
Mas o docker swarm não suporta o modo privilegiado!
Eles adicionaram cap_addsuporte recentemente no swarm, então tentei adicionar todos os caps disponíveis, mas nenhum deles habilita o kvm dentro do contêiner.

Os dispositivos também não são suportados no modo swarm!

devices:
      - "/dev/kvm:/dev/kvm"

Eu sei sobre essa solução alternativa para o modo privilégio, mas quero usar os limites de recursos de implantação para selecionar nós automaticamente com base na memória.

Preciso de uma solução rápido, então vou abrir uma recompensa.
Estou aberto a qualquer hacky way ou algo como docker forks que suportem isso

Tenho 2 instâncias do AWS EC2, uma das quais reside em uma sub-rede pública e está configurada para atuar como uma instância NAT , e executa Nginx. A outra instância reside em uma sub-rede privada, mas pode se comunicar com a pública. Os respectivos endereços IP das instâncias são, por exemplo:

• 172.25.48.14 - Instância Nginx em uma sub-rede pública (172.25.48.0/28), tem um IP elástico atribuído
• 172.25.48.140 - instância executando php-fpm em uma sub-rede privada (172.25.48.128/28)

A questão é que eu quero que este site seja acessível por uma certa URL - eu supus que o Nginx agisse como um servidor proxy reverso que mapeia solicitações para certos subdomínios ou URLs para recursos respectivos. Então, aqui está minha configuração do Nginx:

http {
    sendfile on;
    tcp_nopush on;
    types_hash_max_size 2048;
    server_names_hash_bucket_size 128;

    include /etc/nginx/mime.types;
    default_type text/html;

    proxy_headers_hash_bucket_size;
    access_log /var/log/nginx/access.log
    error_log /var/log/nginx/error.log

    server {
        listen 80;

        location ~ ^/site1(.*)$ {
            # These are commented out because no matter if specified or not the result is the same
            # index index.php;
            # try_files $uri $uri/ /site1/index.php?$request_uri;
            location ~ \.php$ {
                include fastcgi.conf;
                try $uri =404;

                fastcgi_split_path_info ^(.+\.php)(/.+)$;
                fastcgi_pass 172.25.48.140:9000;
                fastcgi_index index.php;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
                include fastcgi_params;
            }
        }
    }
}

E aqui está, respectivamente, a configuração do pool php-fpm para o site na instância privada:

[site1]
user = www-data
group = www-data
listen = 172.25.48.140:9000
listen.allowed_clients = 172.25.48.14, 172.25.48.140, 127.0.0.1
php_admin_value[disable_functions] = exec, passthru, shell_exec, system
php_admin_flag[allow_url_fopen] = off
pm = dynamic
pm.max_children = 10
pm.start_servers = 1
pm.min_spare_servers = 1
pm.max_spare_servers = 8
pm.process_idle_timeout = 30s
pm.status_path = /php_status
ping.path = /ping
ping.response = wrrrrrrrrryyyyyyyyyyy
access.log = /var/log/php/8.3/$pool.access.log
access.format = "%R - %u %t \"%m %r%Q%q\" %s %f %{milli}d %{kilo}M %C%%"

Para simplificar, vamos supor que eu tenha apenas um único index.phparquivo, que também reside na instância privada em /apps/site1/, que tem um link simbólico em /var/www/html/site1.

O problema é que não importa o que eu tente, recebo 404, e a julgar pelos logs no lado da instância privada, a solicitação nem chega lá - mesmo sabendo que tenho os grupos de segurança da instância configurados corretamente e nas portas certas, porque, de outra forma, posso conectar da instância privada para a pública e vice-versa sem problemas. A única vez que recebi uma solicitação para o php-fpm (embora um 404 também) foi quando movi a pesquisa de "localização" mais profunda (aquela que corresponde aos scripts .php) para o nível superior do servidor - então, basicamente, a solicitação foi direto para 172.25.48.14, e não para 172.25.48.14/site1como eu pretendia.

Estou esquecendo de algo? O problema pode ser que os arquivos de origem estão localizados na mesma instância que o php-fpm, e não no lado do Nginx? Estou entendendo errado o conceito de como ele funciona? Por favor, se você tiver alguma ideia sobre isso, ficarei extremamente grato pela sua ajuda. Obrigado antecipadamente!

De tempos em tempos e por vários motivos, o PyTTY perde a conexão com sessões SSH no meu servidor CentOS 7 (o PuTTY está com bugs, o servidor SSH está com bugs, o roteador foi reinicializado, a conexão caiu, o cabo foi desconectado etc.). Essas sessões abandonadas são um fardo para o servidor e consomem recursos. O servidor SSH CentOS 7 pode ser configurado para encerrar automaticamente qualquer sessão SSH após 24 horas, independentemente do propósito e do estado da sessão?

Por que independentemente do propósito e status da sessão? Porque, na minha opinião, às vezes pode ser difícil distinguir entre uma sessão normal e uma sessão abandonada.

Configurei com sucesso Postfix + Dovecot + IMAP. E também instalei spamassassin, spamc, spamass-milter, e configurei imap_sieveo plugin para combater spam.

Saída de doveconf -n:

# 2.3.13 (89f716dc2): /etc/dovecot/dovecot.conf
# Pigeonhole version 0.5.13 (cdd19fe3)
# OS: Linux 5.10.0-33-amd64 x86_64 Debian 11.11 
# Hostname: mail.example.com
mail_debug = yes
mail_location = maildir:~/Maildir
mail_privileged_group = mail
managesieve_notify_capability = mailto
managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date index ihave duplicate mime foreverypart extracttext imapsieve vnd.dovecot.imapsieve
namespace inbox {
  inbox = yes
  location = 
  mailbox Drafts {
    auto = no
    special_use = \Drafts
  }
  mailbox Sent {
    auto = subscribe
    special_use = \Sent
  }
  mailbox Spam {
    auto = subscribe
    special_use = \Junk
  }
  mailbox Trash {
    auto = subscribe
    special_use = \Trash
  }
  prefix = 
}
passdb {
  args = %s
  driver = pam
}
plugin {
  imapsieve_mailbox1_before = file:/var/lib/dovecot/sieve.d/default.sieve
  imapsieve_mailbox1_name = INBOX
  sieve_plugins = sieve_imapsieve
}
protocols = imap sieve
service auth {
  unix_listener /var/spool/postfix/private/auth {
    group = postfix
    mode = 0660
    user = postfix
  }
}
service imap-login {
  inet_listener imap {
    port = 143
  }
  inet_listener imaps {
    port = 993
    ssl = yes
  }
}
ssl = required
ssl_cert = </etc/ssl/mail/domain.crt
ssl_key = # hidden, use -P to show it
userdb {
  driver = passwd
}
protocol imap {
  mail_max_userip_connections = 20
  mail_plugins = " imap_sieve"
}

Conteúdo de /var/lib/dovecot/sieve.d/default.sieve:

require "fileinto";

if header :contains "X-Spam-Flag" "YES" {
    fileinto "Spam";
    stop;
}

E testei minha configuração com:

# Executed from outside my network
wget https://spamassassin.apache.org/gtube/gtube.txt
swaks --to [email protected] --body gtube.txt

E funciona. O e-mail é marcado com sucesso como spam (evidente X-Spam-Flag: YESnos cabeçalhos). Mas o filtro Sieve não funciona como esperado. Ele deveria mover a mensagem para minha pasta "Spam", mas em vez disso ele copia a mensagem para a pasta "Spam", mas somente depois que eu abro a mensagem. A mensagem permanece dentro da CAIXA DE ENTRADA.

Como posso fazer para que a mensagem seja movida para a pasta "Spam" (não copiada)? E por que o filtro Sieve só funciona depois que eu abro a mensagem no meu cliente de e-mail?