All perguntas(server)

A configuração é a seguinte:

Windows Server 2022 Standard com IIS 10.

Aplicativo baseado em ASP .NET 4.8, executado com Integrated modee Application Pool Identity.

Estou tentando remover os seguintes cabeçalhos:

Server, X-Powered-By, X-ASPNet-Version, X-ASPNetMVC-Version.

Não importa o que seja feito, os cabeçalhos permanecem.

Coisas tentadas:

1. Remover no nível do servidor do RESPONSE HEADERScabeçalho X-Powered-By- sem efeito, ainda aparece no conteúdo dinâmico.

2. Defina enableVersionHeader no arquivo de configuração applicationhost.config do servidor e no arquivo de configuração do aplicativo sem efeito:

<configuration>
  <system.web>
    <httpRuntime enableVersionHeader="false" />
  </system.web>
</configuration>

3. Definido no nível do servidor sem efeito:

<configuration>
  <system.webServer>
    <security>
      <requestFiltering removeServerHeader="true" />
    </security>
  </system.webServer>
</configuration>

4. Defina o valor de registro DWORD DisableServerHeader como 1 e reinicie o IIS sem efeito: HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters!DisableServerHeader

5. Tentei modificar Global.asaxpara remover o cabeçalho ASPNetMVC, mas isso quebrou o aplicativo.

Confirmei que as alterações no nível do servidor vão para o nível do site. Tentei configurar manualmente também no web.config no site. Mesmo efeito (nenhum).

O URL Scan não está mais disponível, então não é uma opção. A última opção parece ser usar o URL Rewrite, mas eu preferiria não usá-lo se possível, já que supostamente há soluções nativas para isso.

O que estou fazendo errado e há algo que não estou entendendo?

Tenho cerca de cem servidores nos quais preciso executar um processo repetitivo.

1. Desabilitar DHCPv4DomainName e DHCPv6DomainName
2. Definir DNSName
3. Definir nome de domínio

Eles são facilmente alcançáveis ​​usando HPEILOCMDLETS e 'Set-HPEiLOIPv4NetworkSetting' e 'Set-HPEiLOIPv6NetworkSetting' naquele módulo. No entanto, ao executar (bem, na verdade antes também) o acima, outro problema se apresenta. O certificado ...

4. Exclua e gere novamente o certificado (gerado automaticamente e autoassinado).

E é aqui que não consigo encontrar uma maneira de fazer isso sem usar a interface gráfica do usuário.

Portanto, estou procurando uma maneira de excluir o Certificado SSL e deixá-lo redefinir e gerar um novo certificado com o CN "correto" ou habilitar a configuração para "Gerenciar Certificado SSL automaticamente", o que acredito que gerará um novo certificado se houver uma incompatibilidade.

Alguém já passou por um problema parecido e tem uma solução em mãos?

Desde já, obrigado,

Eu

De repente, meu serviço postgresql começou a falhar por algum motivo. Eu queria gerar um arquivo coredump, mas o arquivo não está sendo gerado.
Eu configurei: "ulimit -S -c unlimited", também adicionei a linha "*soft core unlimited" em /etc/security/limits.conf.

Também configurei meu diretório de destino para kernel.core_pattern="/coredumps/core-%e-%s-%u-%g-%p-%t". Também executei "chmod 777" para o caminho de destino para eliminar problemas de permissão. Consegui gerar um arquivo coredump de teste executando "perl -MPOSIX -e '$0="ttt"; pause' &" e então executando "kill -ABRT " e o arquivo foi salvo em /coredumps com o nome de arquivo correto.

Quando meu postgres trava, posso ver nos logs:

Limites de recursos desabilitam o despejo de núcleo para o processo 3607766 (postmaster).

O processo 3607766 (postmaster) do usuário 26 despejou o núcleo.

[email protected] : Bem-sucedido.

Também notei diferença entre saídas de "cat /proc/pid/limits" entre meu processo de teste e o postgres. O processo de teste tem "Tamanho máximo do arquivo do núcleo" definido como "ilimitado" e o valor do postgresql "0"

Estou tentando descobrir que, embora o nginx esteja configurado para ouvir HTTP1.2, todas as solicitações nos logs são HTTP1.1

[11/Oct/2024:11:53:41 +0300] "GET /el_gr/tapetsaries-toixou/fototapetsaries-toixou/zoa/filtra/xromatikes_omades-psychra-kitrina-xroma-oxia_fusiko-gkri_mpez-leuko-anoichto_mob-mob-somon-anoichto_gkri-anthraki-gkri-thema_fototapetsarias-artistic-apoxrosi_fototapetsarias-egchromo?price=amshopby_slider_from-amshopby_slider_to HTTP/1.1" 200 50347 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.6668.89 Mobile Safari/537.36 (compatible; GoogleOther)" 
     [11/Oct/2024:11:53:41 +0300] "GET /el_gr/catalog/product/view/id/144583/s/144583-fototsapetsaries-diafora-sxedia-megethi-100-159102/ HTTP/1.1" 200 55818 "-" "Mozilla/5.0 (compatible; Pinterestbot/1.0; +http://www.pinterest.com/bot.html)" 
     [11/Oct/2024:11:53:43 +0300] "GET /el_gr/catalog/product/view/id/134022/s/134022-fototsapetsaries-diafora-sxedia-megethi-100-148541/ HTTP/1.1" 200 56234 "-" "Mozilla/5.0 (compatible; Pinterestbot/1.0; +http://www.pinterest.com/bot.html)" 
     [11/Oct/2024:11:53:43 +0300] "GET /el_gr/catalog/product/view/id/153049/s/153049-fototsapetsaries-diafora-sxedia-megethi-100-167568/ HTTP/1.1" 200 55991 "-" "Mozilla/5.0 (compatible; Pinterestbot/1.0; +http://www.pinterest.com/bot.html)" 
    54.236.1.13 [ 54.236.1.13, 54.236.1.13, 127.0.0.1] [11/Oct/2024:11:53:46 +0300] "GET /el_gr/catalog/product/view/id/151013/s/151013-fototsapetsaries-diafora-sxedia-megethi-100-165532/ HTTP/1.1" 200 56020 "-" "Mozilla/5.0 (compatible; Pinterestbot/1.0; +http://www.pinterest.com/bot.html)" 
     [11/Oct/2024:11:53:47 +0300] "GET /el_gr/tapetsaries-toixou/fototapetsaries-toixou/zoa/filtra/xromatikes_omades-psychra-pastel-mov-therma-xroma-oxia_fusiko-gkri_mpez-leuko-anoichto_mob-mob-somon-kokkino-anoichto_gkri-kafe-thema_fototapetsarias-artistic-louloudia-vintage-apoxrosi_fototapetsarias-egchromo?price=amshopby_slider_from-amshopby_slider_to HTTP/1.1" 200 56578 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.6668.89 Mobile Safari/537.36 (compatible; GoogleOther)" 
     [11/Oct/2024:11:53:48 +0300] "GET /el_gr/50369-tapetsaria-arts-crafts-prasino-no-36159-by-casadeco HTTP/1.1" 200 63129 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.6668.89 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 
     [11/Oct/2024:11:53:48 +0300] "GET /el_gr/catalog/product/view/id/142099/s/142099-fototsapetsaries-diafora-sxedia-megethi-100-156618/ HTTP/1.1" 200 55810 "-" "Mozilla/5.0 (compatible; Pinterestbot/1.0; +http://www.pinterest.com/bot.html)" 
     [11/Oct/2024:11:53:49 +0300] "GET /el_gr/49391-wing-kremasto-ntoulapi-oikologiko-tzaki-no-14297-by-abb?swatch_colour_att=11095 HTTP/1.1" 200 69558 "-" "Mozilla/5.0 (compatible; Pinterestbot/1.0; +http://www.pinterest.com/bot.html)"
     [11/Oct/2024:11:53:49 +0300] "GET /el_gr/catalog/product/view/id/90457/s/58177-diaxoristika-domatiou-diafora-sxedia-102723/ HTTP/1.1" 200 68402 "-" "Mozilla/5.0 (compatible; Pinterestbot/1.0; +http://www.pinterest.com/bot.html)" 

Este é meu vhost:

server {
    listen 443 ssl;
    http2 on;
    server_name www.example.com;
    ssl_certificate /etc/nginx/ssl/2023/ssl_bundle.crt;
    ssl_certificate_key /etc/nginx/ssl/2023/example.key;
    ssl_protocols              TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers               'AES128+EECDH:AES128+EDH:!aNULL';

    return 301 https://example.com$request_uri;
# Nginx Bad Bot Blocker Includes
# REPO: https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker
##
     include /etc/nginx/bots.d/ddos.conf;
     include /etc/nginx/bots.d/blockbots.conf;

# apply ratebot rules
    limit_req zone=ratebot_soft nodelay;
    limit_req zone=ratebot_medium nodelay;
    limit_req zone=ratebot_hard nodelay;
}




server {
    listen 443 ssl;
    http2 on;
    server_name example.com;
    proxy_headers_hash_bucket_size 128;
    proxy_headers_hash_max_size 1024;
    ssl_certificate /etc/nginx/ssl/2023/ssl_bundle.crt;
    ssl_certificate_key /etc/nginx/ssl/2023/example.key;
    ssl_protocols              TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers               'AES128+EECDH:AES128+EDH:!aNULL';


     include /etc/nginx/bots.d/ddos.conf;
     include /etc/nginx/bots.d/blockbots.conf;

# apply ratebot rules
    limit_req zone=ratebot_soft nodelay;
    limit_req zone=ratebot_medium nodelay;
    limit_req zone=ratebot_hard nodelay;

    location / {
        proxy_pass http://127.0.0.1:6081;
        proxy_set_header X-Real-IP  $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Forwarded-Port 443;
        proxy_set_header X-Forwarded-Host $http_host;
        proxy_set_header X-Forwarded-Server $http_host;
        proxy_set_header Host $http_host;

        proxy_buffering off;
        proxy_buffer_size          16k;
        proxy_buffers              64 4k;
        proxy_busy_buffers_size    24k;
        fastcgi_buffer_size        32k;
        fastcgi_buffers            16 32k;

        if ($cors_origin) {
    add_header 'Access-Control-Allow-Origin' '$cors_origin' always;
    add_header 'Access-Control-Allow-Methods' 'GET,POST,PUT,DELETE,HEAD,PATCH' always;
    add_header 'Access-Control-Allow-Headers' '*' always;
    add_header 'Access-Control-Allow-Credentials' 'true' always;
    }

    }
}

Este é um servidor dedicado em Hetzner. Ele está atrás de um firewall que está desligado. Também não estamos usando nenhum painel, apenas o Ubuntu 22 OS. O firewall CSF está habilitado

O Nginx funciona como um proxy para o varnish com terminação SSL. Então o Varnish lida com as primeiras solicitações

Anteriormente, o servidor Cloudflare também estava habilitado com suporte para http1.2

O que estou perdendo aqui, pessoal?

Para habilitar o LDAPS, preciso de certificados em ambos os controladores de domínio. Não posso usar o Certificate Services, pois não tenho uma máquina Windows sobressalente e instalar essa função em um DC é um grande não-não, então prefiro usar um certificado autoassinado com SANs cobrindo ambos os DCs (FQDN e nomes curtos de máquina).

Algo que eu deva prestar atenção? Por exemplo:

• o certificado deve ter uma duração máxima (ou seja: 1, 5, 10, 100 anos)?
• isso pode interromper/afetar a conexão com a máquina cliente (improvável, pois o DC não tem certificado no momento);
• EFS - não ter uma CA significa que os próprios clientes são responsáveis ​​por suas chaves. O que acontecerá com o certificado autoassinado?

Eu instalei o Keycloak 26.0.0 no Ubuntu e consegui criar uma conta de administrador temporária. Quando eu entro, um banner diz:

Você está logado como um usuário administrador temporário. Para reforçar a segurança, crie uma conta de administrador permanente e exclua a temporária.

Como crio uma conta de administrador permanente? Sigo a documentação "Gerenciando usuários"? Crio a conta de administrador permanente no domínio mestre? Como dou a esse administrador as permissões/funções corretas?

Li a documentação Gerenciando usuários. Adicionei um usuário chamado admin no domínio mestre e defini uma senha. Não vejo como dar a ele uma função de administrador ou permissões de administrador. Tentei o botão Atribuir função, mas a função de administrador não está listada.

Vi outras perguntas aqui sobre dar função de administrador para novos realms, mas nada que descreva dar função de administrador no realm master. Também não encontrei nenhuma pergunta ou documentação que dê detalhes sobre uma "conta de administrador permanente".

Eu executo um servidor de e-mail em um pequeno VPS executando docker-mail-server.

Estava funcionando perfeitamente até 2024-10-02, quando começou a rejeitar e-mails.

Renovei os certificados, embora eles tenham expirado em 15/10/2024 (duas semanas depois de parar de funcionar).

Sempre que recebo um e-mail, o seguinte rastreamento aparece no log (aqui um e-mail enviado do meu endereço protonmail):

NOQUEUE: reject: RCPT from unknown[185.70.43.21]: 450 4.1.8 <[email protected]>: Sender address rejected: Domain not found; from=<[email protected]> to=<contact@$MY_DOMAIN> proto=ESMTP helo=<mail-4321.protonmail.ch>

Interpretando isso como "Não sei qual é esse domínio, então rejeito o e-mail", executei dig protonmail.com, o que deu uma saída correta:

; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> protonmail.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12017
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;protonmail.com.            IN  A

;; ANSWER SECTION:
protonmail.com.     1200    IN  A   185.70.42.12

;; Query time: 31 msec
;; SERVER: 213.186.33.99#53(213.186.33.99) (UDP)
;; WHEN: Thu Oct 10 17:32:34 UTC 2024
;; MSG SIZE  rcvd: 59

Ping para protonmail.com também funciona. Alguma ideia de uma correção/solução alternativa para esse problema ou de onde ele pode estar vindo? Quero ter certeza de que não é um erro do usuário antes de abrir um problema no github.

EDIT: parece que o próprio contêiner não tem acesso à internet. Não consigo fazer ping em um domínio nem em um endereço IP. Aqui está o docker compose que estou usando:

services:
  mailserver:
    image: ghcr.io/docker-mailserver/docker-mailserver:latest
    container_name: mailserver
    # Provide the FQDN of your mail server here (Your DNS MX record should point to this value)
    hostname: mail.$MY_DOMAIN.fr
    env_file: mailserver.env
    # More information about the mail-server ports:
    # https://docker-mailserver.github.io/docker-mailserver/latest/config/security/understanding-the-ports/
    ports:
      - "143:143"  # IMAP4 (explicit TLS => STARTTLS)
      - "465:465"  # ESMTP (implicit TLS)
      - "587:587"  # ESMTP (explicit TLS => STARTTLS)
      - "993:993"  # IMAP4 (implicit TLS)
      - "25:25"
    volumes:
      - ./docker-data/dms/mail-data/:/var/mail/
      - ./docker-data/dms/mail-state/:/var/mail-state/
      - ./docker-data/dms/mail-logs/:/var/log/mail/
      - ./docker-data/dms/config/:/tmp/docker-mailserver/
      - /etc/localtime:/etc/localtime:ro
      - /docker/vol/dms/cert:/var/cert
      - /etc/letsencrypt:/etc/letsencrypt
    restart: always
    stop_grace_period: 1m
    healthcheck:
      test: "ss --listening --tcp | grep -P 'LISTEN.+:smtp' || exit 1"
      timeout: 3s
      retries: 0

Tentei criar uma rede externa e vincular o serviço a ela, mas não funcionou.

Um dos meus discos RAID1 falhou recentemente. Comprei um substituto, conectei-o e formatei-o como Linux RAIDusando cfdisk.

• Nova unidade é/dev/sdc
• A unidade antiga é/dev/sdd

Eles parecem ter o mesmo número de bytes e setores no geral, mas as partições formatadas diferem em tamanho...

# fdisk -l /dev/sd{c,d}
Disk /dev/sdc: 7.28 TiB, 8001563222016 bytes, 15628053168 sectors
Disk model: ST8000VN0022-2EL
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: gpt
Disk identifier: 952AC4E6-20B9-408D-83CE-AC4AEFBC1075

Device     Start         End     Sectors  Size Type
/dev/sdc1   2048 15628052479 15628050432  7.3T Linux RAID


Disk /dev/sdd: 7.28 TiB, 8001563222016 bytes, 15628053168 sectors
Disk model: ST8000VN004-2M21
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: gpt
Disk identifier: 4069B8CB-4C43-304B-B872-DDB89C0E0AA1

Device     Start         End     Sectors  Size Type
/dev/sdd1   2048 15628053134 15628051087  7.3T Linux RAID

Especificamente...

/dev/sdc1   2048 15628052479 15628050432  7.3T Linux RAID
/dev/sdd1   2048 15628053134 15628051087  7.3T Linux RAID

A nova partição /dev/sdc1é menor que a partição existente. Como consequência...

# mdadm --manage /dev/md127 --add /dev/sdc1
mdadm: Value "kimura:0" cannot be set as devname. Reason: Not POSIX compatible. Value ignored.
mdadm: /dev/sdc1 not large enough to join array

Encontrei um tópico sugerindo que um ( /dev/sddque é o ST8000VN004) está usando 512E para emular 512 bytes por setor lógico, apesar de ser 4096 bytes por setor físico.

Agora estou com medo de redimensionar a partição existente /dev/sdd1para corresponder à minha, /dev/sdc1pois ela faz parte de uma matriz RAID1 com três volumes lógicos no topo.

Encontrei um tópico relacionado , mas o problema lá é diferente, pois eles têm um RAID de 3 TB e querem particionar um novo de 14 TB, então o espaço não é um problema. Aqui, minha nova partição é menor que a existente.

Qualquer ideia ou conselho sobre como proceder seria bem-vindo.

Estou configurando contas de usuário para dispositivos MAB (Mac Authentication Bypass) na minha rede. No GPO, criei uma UO para que as contas do dispositivo sejam criadas com herança de bloco para que a política de senha não seja aplicada às contas do dispositivo. A política de senha se aplica ao Controlador de Domínio. Quando vou criar a conta para o dispositivo, o nome de usuário/senha deve ser o endereço mac do dispositivo. O problema é que mesmo com a herança de bloco definida na UO, quando consigo criar a conta de usuário nessa UO, ela ainda aplica a política de senha. Sem desativar a política com a política de senha, há uma maneira de criar a conta de usuário para o dispositivo MAB?

Estou enfrentando um problema com o AzCopy, onde meu script roda perfeitamente bem no CMD, mas falha com erros de autenticação quando executado por meio de um arquivo em lote. Aqui está um detalhamento da situação:

O objetivo é fazer backup dos nossos arquivos diários na conta de armazenamento por meio do agendador de tarefas; provavelmente apenas 1 arquivo por dia/execução.

Meu script em lote:

@echo off
cd "C:\Program Files\AzCopy"
azcopy cp "G:\Backup\UATBackups\*" "https://<storage-account-name>.blob.core.windows.net/test/?sp=rw&st=2024-10-08T15:28:58Z&se=2024-10-08T23:28:58Z&spr=https&sv=2022-11-02&sr=c&sig=<SAS-token>" --recursive=true --block-blob-tier=Cold --overwrite=false

Quando executo este comando manualmente no CMD: (depois de navegar até o diretório AzCopy)

azcopy cp "G:\Backup\UATBackups\*" "https://<storage-account-name>.blob.core.windows.net/test/?sp=rw&st=2024-10-08T15:28:58Z&se=2024-10-08T23:28:58Z&spr=https&sv=2022-11-02&sr=c&sig=<SAS-token>" --recursive=true --block-blob-tier=Cold --overwrite=false

Funciona perfeitamente e todos os arquivos são enviados conforme o esperado.

Entretanto, quando executo o arquivo em lote, recebo:

RESPONSE Status: 403 Server failed to authenticate the request. Make sure the value of Authorization header is formed correctly including the signature.

Também tentei modificar o arquivo em lote para que ele abra o CMD e execute o comando como se eu estivesse fazendo isso manualmente:

start cmd /k ""C:\Program Files\AzCopy\azcopy.exe" cp "G:\Backup\UATBackups\*" "https://<storage-account-name>.blob.core.windows.net/test/?sp=rw&st=2024-10-08T15:28:58Z&se=2024-10-08T23:28:58Z&spr=https&sv=2022-11-02&sr=c&sig=<SAS-token>" --recursive=true --block-blob-tier=Cold --overwrite=false"

Mas isso me dá:

RESPONSE 401: 401 Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
ERROR CODE: NoAuthenticationInformation

Coisas que verifiquei:

• O token SAS é válido e não expirou.
• O horário da VM está sincronizado corretamente.
• Estou usando a mesma conta de usuário para executar o CMD e o arquivo em lote.

Minha pergunta:

• Por que o comando funciona perfeitamente quando o executo manualmente no CMD, mas falha com um erro 403 quando executado por meio de um arquivo em lote (mesmo usando a mesma conta de usuário)?
• O que precisa ser mudado e como posso consertar isso!

Qualquer ajuda ou sugestão seria muito apreciada. Obrigado!