All perguntas(server)

Alguém implantou uma instância FleetDM localmente? Eu tentei as etapas de implantação do CentOS (agora aparentemente desatualizadas) e também docker composea imagem oficial , combinada com MySQL e Redis. Meu problema é que estou recebendo resposta consistentemente Client sent an HTTP request to an HTTPS server.ao tentar visitar e/ou configurar a instalação.

Existe alguma maneira de resolver esse problema de HTTPS? Já gerei certificados autoassinados, mas a resposta acima é consistente. Não me dá nenhuma opção para ignorar certificados no navegador, mas retorna quando 200estou requests.get("https://localhost:8080", verify=False)no REPL.

Estou pensando em comprar um servidor 1u (baseado em SuperMicro 815) que infelizmente não possui trilhos - e preciso colocá-lo em um rack padrão de 19 "[não tenho certeza do modelo do rack, é o que está no Centro de dados).

Estou ciente de que você obtém trilhos universais (por exemplo, https://www.startech.com/en-us/server-management/unirails1ub ).

O que me preocupa é que os trilhos do rack não podem ser infinitamente finos - e como são universais, não se prendem às laterais do servidor. Os gabinetes 1u normalmente têm espaço livre suficiente entre os U para que possam funcionar com kits de trilhos universais ou como essas coisas funcionam?

Estou usando Ubuntu 22.04 LTS e Postfix para enviar mensagens através do SendGrid. Segui o tutorial aqui https://www.twilio.com/docs/sendgrid/for-developers/sending-email/postfix

Tenho vários VPS's e uso apelidos para mantê-los separados na minha cabeça - esse chamei de COCONUT. Algumas mensagens serão enviadas se o fromendereço estiver escrito, mas todas as mensagens do sistema não serão enviadas. Ao enviar um , ele tenta enviar de Recebo o erro porque o SendGrid sabe que não tenho permissões apenas de "coco", daí o erro de identidade do remetente.ps -ely | mailx -s Testing [email protected]from=<root@coconut>

entradas de log /var/log/mail.logao executar umps -ely | mailx -s Testing [email protected]

...
Jul 19 09:28:57 coconut postfix/pickup[624347]: 290E754988: uid=0 from=<root@coconut>
Jul 19 09:28:57 coconut postfix/cleanup[624480]: 290E754988: message-id=<[email protected]>
Jul 19 09:28:57 coconut postfix/qmgr[624348]: 290E754988: from=<root@coconut>, size=17599, nrcpt=1 (queue active)
Jul 19 09:28:57 coconut postfix/smtp[624482]: 290E754988: to=<[email protected]>, relay=smtp.sendgrid.net[44.239.172.8]:587, delay=0.83, delays=0.01/0.01/0.6/0.2, dsn=5.0.0, status=bounced (host smtp.sendgrid.net[44.239.172.8] said: 550 The from address does not match a verified Sender Identity. Mail cannot be sent until this error is resolved. Visit https://sendgrid.com/docs/for-developers/sending-email/sender-identity/ to see the Sender Identity requirements (in reply to end of DATA command))
Jul 19 09:28:57 coconut postfix/cleanup[624480]: F2DC254989: message-id=<[email protected]>
Jul 19 09:28:57 coconut postfix/bounce[624483]: 290E754988: sender non-delivery notification: F2DC254989
Jul 19 09:28:57 coconut postfix/qmgr[624348]: F2DC254989: from=<>, size=20071, nrcpt=1 (queue active)
Jul 19 09:28:57 coconut postfix/qmgr[624348]: 290E754988: removed
...

Aqui está o meu/etc/postfix/main.cf

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname
myhostname = coconut.example.com
myorigin = example.com
mydestination = $myhostname, localhost #added to no effect

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

#header_checks = regexp:/etc/postfix/my_custom_header
inet_protocols = ipv4
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_tls_security_level = encrypt
header_size_limit = 4096000
relayhost = [smtp.sendgrid.net]:587

Aqui está o conteúdo do meu/etc/mailname

example.com

Aqui está o conteúdo do meu/etc/hostname

coconut.example.com

Alguma idéia de como corrigir os e-mails do sistema enviados de root@coconut?

Estou tentando bloquear nginxo acesso a todos .phpos arquivos. Pelo que entendi, o código abaixo deve funcionar (depois sudo systemctl restart nginx). Em vez disso, nginxestou encaminhando para o meu servidor, onde posso ver Event Viewero erro.

location ~ \.php$ {
        return 403;
}

Registro de acesso Nginx:

x.x.x.x - - [19/Jul/2024:08:09:17 -0300] "GET /test-user.php HTTP/1.1" 500 1405 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36"

ATUALIZAÇÃO - configuração completa

http {
        keepalive_timeout               60s;
        proxy_read_timeout              60s;
        proxy_send_timeout              60s;
        proxy_connect_timeout   5s;

        client_max_body_size    2M;

        sendfile                        on;
        tcp_nopush                      on;
        types_hash_max_size             2048;
        server_tokens                   off;

        server_names_hash_bucket_size   64;

        include         /etc/nginx/mime.types;
        default_type    application/octet-stream;

        ssl_protocols                   TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers       on;
        ssl_ciphers                     ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256>
        ssl_session_timeout             1d;
        ssl_session_cache               shared:MozSSL:10m;
        ssl_session_tickets             off;

        gzip on;

        access_log      /var/log/nginx/access.log;
        error_log       /var/log/nginx/error.log;

        include         /etc/nginx/block_bad_robots.conf;

        server  {
                listen          443 ssl;
                server_name     sw.contoso.com;

                error_log       /var/log/nginx/sw.contoso.com.error.log;
                access_log      /var/log/nginx/sw.contoso.com.access.log;

                ssl_certificate         /etc/certs/manual-fullchain.pem;
                ssl_certificate_key     /etc/certs/manual-privkey.pem;

                ssl_dhparam             /etc/certs/dhparams.pem;

                location ~ \.php$ {
                        return 403;
                }

                location ~* \.cgi {
                        return 403;
                }

                location ~* (\.env|\.aws) {
                        return 403;
                }

                location ~* ^/wp {
                        return 403;
                }

                location ^~ / {

                        if ($bad_robots) {
                                return 403;
                        }

                        proxy_pass              https://192.168.10.1:443;
                        proxy_set_header        Host                    $host;
                        proxy_set_header        X-Real-IP               $remote_addr;
                        proxy_set_header        X-Forwarded-For         $proxy_add_x_forwarded_for;
                        proxy_set_header        X-Forwarded-Proto       $scheme;
                }

                location /Settings {

                        if ($bad_robots) {
                                return 403;
                        }

                        client_max_body_size    100M;
                        proxy_pass              https://192.168.10.1:443;
                        proxy_set_header        Host                    $host;
                        proxy_set_header        X-Real-IP               $remote_addr;
                        proxy_set_header        X-Forwarded-For         $proxy_add_x_forwarded_for;
                        proxy_set_header        X-Forwarded-Proto       $scheme;
                }

                error_page      400 401 402 403 404 500 502 503 504 =200        /error/unauthorized.html;
                location = /error/unauthorized.html {
                        internal;
                        alias           /etc/nginx/html/error/;
                        try_files       /unauthorized.html =404;
                        access_log      /var/log/nginx/error.log;
                }
        }
    }

Alguém conhece algum método ou software que altere as impressoras de um usuário com base no computador específico em que ele está conectado? Ou estamos apenas presos à instalação manual de conjuntos de impressoras para nossos usuários?

Temos 130 impressoras espalhadas por 13 localidades. Todas as impressoras são instaladas em um servidor de impressão. Permitimos que todos os usuários acessem todas as impressoras.

Nosso suporte técnico gasta uma quantidade significativa de tempo todos os dias instalando impressoras do servidor de impressão para nossos usuários finais. Queremos que os usuários tenham conjuntos de impressoras com base no computador em que estão conectados.

Por exemplo, se um usuário estiver na linha do caixa em Detroit na segunda-feira, ele fará login no computador do caixa em Detroit e receberá as impressoras do caixa no local de Detroit. Terça-feira, eles serão agentes de crédito em Omaha e, quando fizerem login no computador do agente de crédito em Omaha, receberão as impressoras do agente de crédito no local de Omaha. Quarta-feira, eles serão agentes de crédito em Detroit; quando fizerem login no computador do agente de crédito em Detroit, deverão ter as impressoras do agente de crédito no local de Detroit.

A maioria das opções de implantação que encontrei concentra-se na implantação de impressoras via GPO com base na associação ao grupo de usuários. Mas em meus testes, isso significa que um conjunto específico de impressoras segue o usuário até qualquer local em que ele esteja, em qualquer computador em que faça login. Por exemplo, se um usuário do caixa de Omaha for para Detroit para ser um agente de crédito, ele ainda terá as impressoras do caixa de Omaha instaladas no computador do agente de crédito de Detroit. Nós não queremos isso. Queremos que as impressoras dos usuários mudem com base no computador em que eles estão conectados.

Vi sugestões de implantação de impressoras com base na associação ao site AD, mas isso ainda não parece permitir o direcionamento de subconjuntos de computadores no site.

Eu testei o recurso Print Deploy do Papercut, mas ele está me causando problemas. Por algum motivo, não me permite criar filas de impressão. A cópia da fila de impressão de uma máquina existente não consegue encontrar impressoras instaladas em nossas estações de trabalho por algum motivo. Além disso, só permitirá a implantação de conjuntos de impressoras com base na sub-rede, e não no computador em que o usuário está conectado.

Vários usuários relataram ter recebido e-mails de phishing, e pelo menos um admitiu ter seguido o link. A investigação descobriu que sua conta do Microsoft 365 havia sido comprometida (apesar de o MFA estar habilitado, não parece que era necessário ) e descobri em suas regras de caixa de correio do Outlook para mover certas mensagens para a pasta RSS Feeds (por que isso ainda é uma coisa por padrão) onde elas não seriam encontradas.

Suspeito que outros usuários podem ter sido comprometidos de forma semelhante, mas podem não saber ou não querer admitir. Entre outras coisas que estou investigando, eu me perguntei se é possível identificar todas as caixas de correio que têm regras criadas nos últimos 14 dias, ou caixas de correio que têm pastas RSS Feeds não vazias.

Tenho uma máquina virtual executando o Windows Server 2019, que é um servidor de terminal com muitas interfaces de rede. Na verdade, é um tronco, que está sendo configurado para muitas interfaces VLAN, levando a tantas interfaces - mas isso não deve importar para minha pergunta. Agora, chegando à parte estranha:

PS C:\Users\XXXX> netstat -n | findstr "192.168.4.80:445"
  TCP    10.0.200.90:49531      192.168.4.80:445       ESTABLISHED
  TCP    10.0.200.90:49532      192.168.4.80:445       ESTABLISHED
  TCP    10.0.200.90:49533      192.168.4.80:445       ESTABLISHED
  TCP    10.0.200.90:49534      192.168.4.80:445       ESTABLISHED
  TCP    192.168.4.90:49528     192.168.4.80:445       ESTABLISHED
  TCP    192.168.4.90:49529     192.168.4.80:445       ESTABLISHED
  TCP    192.168.4.90:49530     192.168.4.80:445       ESTABLISHED
  TCP    192.168.4.90:55959     192.168.4.80:445       ESTABLISHED

Ambas as interfaces em questão aqui são configuradas com uma /24máscara de rede - e a 10.0.200.90/24interface contém o gateway padrão. A tabela de roteamento é bastante grande, pois há muitas interfaces, mas não há rotas conflitantes para a sub-rede 192.168.4.0/24. Aqui estão as partes relevantes:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     10.0.200.250      10.0.200.90    271
       10.0.200.0    255.255.255.0         On-link       10.0.200.90    271
      10.0.200.90  255.255.255.255         On-link       10.0.200.90    271
     10.0.200.255  255.255.255.255         On-link       10.0.200.90    271
      192.168.4.0    255.255.255.0         On-link      192.168.4.90    271
     192.168.4.90  255.255.255.255         On-link      192.168.4.90    271
    192.168.4.255  255.255.255.255         On-link      192.168.4.90    271
===========================================================================

Como é possível que algumas conexões estejam sendo enviadas através do gateway padrão e algumas conexões sigam a rota de interface adequada? Percebi isso no firewall (o gateway padrão), dentro do log do filtro de pacotes, então isso não é apenas um problema de exibição, alguns pacotes realmente estão sendo enviados pelo gateway padrão - E verifiquei através do monitor de recursos, as conexões pertencem a PID 4 (Sistema), que provavelmente são as unidades de rede mapeadas.

Pelo que sei sobre roteamento, a métrica só é levada em consideração se houver duas rotas com a mesma sub-rede - nesse caso, a rota com a métrica mais baixa venceria. Mas a rota do gateway padrão nunca deve vencer uma rota de interface, não importa qual métrica esteja configurada - correto?

Meu primeiro pensamento foi que isso deveria ser um bug dentro do Windows - talvez uma condição de corrida entre o processo que ativa a interface e o processo que mapeia a unidade de rede. Mas isso é pura especulação, eu esperava que alguém pudesse me esclarecer com uma visão mais profunda...

Estou tentando executar: localhost:9000com PHP 8.3 , enquanto entra localhost:5000funciona perfeitamente bem. Tentar localhost:9000leva a

A conexão foi redefinida

mensagem.

A reinicialização nginx -s reloadnão mostra nenhuma mensagem. Configuração da seguinte forma:

# another virtual host using mix of IP-, name-, and port-based configuration
#
server {
    listen       9000;
    server_name  localhost;

    location / {
        index  index.php;
    }
    
    # proxy the PHP scripts to Apache listening on 127.0.0.1:80
    #
    #location ~ \.php$ {
    #    proxy_pass   http://127.0.0.1;
    #}

    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
    #
    location ~ \.php$ {
        root           www;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include        fastcgi_params;
    }
}

Eu corro:

1. C:\php8.3\php-cgi.exe -b 127.0.0.1:9000 ( de dentro da pasta raiz nginx )
2. C:\nginx\nginx

Vá para: localhost:5000 e uma página html do Nginx aparecerá.

Bem vindo ao nginx!

Se você vir esta página, o servidor web nginx foi instalado e funcionando com sucesso. É necessária configuração adicional.

Dentro da C:\nginxpasta criei uma pasta chamada: wwwe dentro dela tenho um arquivo chamado: index.phpque contém: <?php phpinfo(); ?>.

Estou executando um convidado do Windows no Proxmox VE 8.2 (no Debian 12) e gostaria de ocultar do convidado informações sobre o hardware físico subjacente.

Motivação

Paguei o preço total por uma licença perpétua para alguns softwares de gerenciamento de inventário que chegaram ao "fim da vida útil" para suporte e o fornecedor decidiu desligar seu servidor de licenças. Eles me emitiram um certificado de acesso offline, mas o problema é que:

1. o certificado será invalidado se o aplicativo Windows (na minha máquina) detectar alterações no hardware subjacente.
2. se eu reinstalar o aplicativo, não tenho conhecimento de nenhum mecanismo para importar um certificado emitido anteriormente.

Para reduzir as chances de o aplicativo detectar grandes alterações de hardware, instalei o aplicativo em uma máquina virtual Windows. (O host é KVM no Linux.) Gostaria de ter liberdade para migrar a VM para diferentes máquinas físicas, atualizar o hardware no PC que executa o hipervisor etc., sempre que necessário.

Hardware conforme percebido pela VM

Desconheço o algoritmo usado pelo aplicativo para detectar alterações de hardware, mas suspeito que ele possa analisar coisas como:

• Número de série da CPU
• endereços MAC de interface de rede
• Sequências do BIOS
• UUID do disco rígido

Algumas dessas informações (por exemplo, as informações da CPU vistas no aplicativo Informações do sistema do Windows) parecem ser obtidas do host da VM e transmitidas ao convidado pelo hipervisor.

Você pode me dizer quais configurações do Proxmox (ou Qemu/KVM) devo ajustar para ocultar (ou substituir ou congelar) os identificadores de hardware visíveis para o convidado da VM?

Atualmente temos 4 arrays FC contendo dezesseis unidades de 300 GB cada em um chassi Sun StorageTek 6140 conectado a um antigo servidor Sun X4170 M2 executando OpenIndiana. Isso tem funcionado bem nos últimos mais de 10 anos. Estamos procurando um upgrade. Não temos muito para gastar, mas considerando o ambiente atual, não precisaríamos gastar muito para fazer melhor. A SAN atende clientes iSCSI AIX/HP-UX e NFS para VMs Linux. Eu criei a seguinte nova configuração:

Diagrama de cabeamento Dell R640/MD1420

O servidor Sun será substituído por um servidor Dell R640 de 10 compartimentos executando OmniOS com backplane SAS/NVMe. O pool raiz do ZFS consistirá em duas unidades Dell 400-AJRR de 300 GB espelhadas com duas unidades sobressalentes. O ZIL será composto por duas unidades Intel Optane DC P4800X 375GB U.2. Ainda não descobri quais unidades usar para dispositivos de cache ZFS. Este servidor possui 3 slots PCIe de baixo perfil. Dois conterão o adaptador Dell HBA355e para conexão a dois arrays de armazenamento Dell MD1420, cada um com 24 unidades Dell 400-ATIN de 600 GB. A conexão do HBA Dell ao MD1420 será feita com cabos Mini-SAS SFF-8644. O MD1420 é antigo, mas não precisamos de nada sofisticado.

Com base na configuração de cabeamento acima, e assumindo MPIO no servidor, devo conseguir o seguinte (acredito que a resposta é sim, mas quero confirmar):

1. Se um controlador EMM em qualquer MD1420 falhar, o array continuará funcionando
2. Se um cabo SFF falhar, o array continuará funcionando
3. Se um dos controladores HBA355e falhar, o array continuará funcionando
4. A fonte de alimentação, o controlador EMM e os cabos SFF são todos hot-swap nos arrays

Em vez de encadear os dois arrays, há algum benefício em conectar o segundo array diretamente ao HBA355e como o primeiro array?

E como o array e as unidades são gerenciados? OME? Isso permite atualizações de firmware para as unidades MD1420 e Dell no R640 e MD1420?