All perguntas(server)

Ao investigar os relatórios do DMARC, percebi que realmente não entendo alguns aspectos do email. Estou tentando ter certeza de que os conceitos relacionados ao SPF e DMARC estão corretos.

Se uma mensagem de e-mail passar por vários nós intermediários...

1. Cada conexão entre servidores passa em um envelope com valor "MAIL FROM:" estabelecido durante o handshake SMTP inicial pelo MUA do remetente. O valor de "MAIL FROM:" não muda à medida que a mensagem viaja pela rede. O MTA final pode adicionar um cabeçalho "Return-Path:" baseado em "MAIL FROM:".
2. O elemento "<header_from>" nos relatórios DMARC é baseado no cabeçalho "From:" da mensagem, que é definido pelo cliente do remetente.
3. O MTA final da cadeia implementa as verificações SPF e DMARC. O SPF verifica o endereço IP de origem do nó conectado a ele. Não é o endereço IP de origem de origem.
4. Os nós intermediários não realizam verificação de SPF. Eles retransmitem principalmente o e-mail sem alterar as informações do envelope.
5. Dado o ponto três, o registro SPF TXT do meu DNS deve incluir o endereço IP de cada nó intermediário possível que possa se conectar diretamente ao MTA do destinatário.

Portanto, uma vez que os nós intermediários não desempenham nenhum papel no SPF. Se eu pudesse garantir que e-mails falsos fossem injetados no meio da cadeia; antes do nó fazer a conexão com o MTA final. Então o SPF passaria? Também deve ser possível falsificar "MAIL FROM:" e "From:"; então o DMARC também passaria?

O que foi dito acima está correto ou há algum outro ponto que perdi?

Minha configuração nginx é:

server {
     server_name example.com www.example.com;
     ...
     listen 185.xxx.xxx.xxx:443 ssl; #server public ip
}

Recentemente descobri que qualquer pessoa pode configurar um domínio como evildomainxyz.com com meu endereço IP e meu servidor responde com meu site.

• É uma má prática ou ameaça potencial ouvir IP público?

• Quais são as advertências de não ouvir o IP público, mas apenas a porta e o nome do servidor?

• É melhor criar outro server{}bloco com algo parecido server_name _;e redirecionar para o domínio principal (embora isso não pareça mudar nada).

Normalmente, para consultar o servidor OpenLDAP, estou usando a seguinte consulta

ldapsearch -x -H ldap://host -b dc=domain,dc=com uidNumber=4158

Mas recentemente vi outra maneira de consultar

ldapsearch -x -H ldap://host -b o=domain.com uidNumber=4158

O que é esse formato "o=" e como devo configurar meu servidor LDAP para usá-lo?

Obrigado!

Nenhuma das implementações L2TP/IPsec que tenho (parece ter) qualquer configuração possível para troca de chaves. Meus roteadores permitem criptografia e seleção de hash para IpSec bruto. A versão do Windows que utilizo permite criptografia e seleção de hash no 'firewall'. Mas em todos os casos em que a seleção de algoritmo é possível, ela parece não ter efeito no cliente L2TP/IPsec nativo.

Isso é apenas um acidente histórico ou o L2TP/IPsec implica uma seleção padrão de algoritmos de hash e criptografia para troca de chaves?

Novo no teste de autenticação de cartão inteligente no ambiente de domínio do Windows

Segui o guia de Yubikey para permitir o uso de cartões inteligentes para login no servidor Windows. Também fiz a opção de autoinscrição para que os clientes possam se inscrever na opção de certificado de chave inteligente.

A princípio diz que o servidor de revogação estava offline (durante o cadastramento), porém, isso ocorre porque no meu CDP (CRL Distribution Point) não coloquei um endereço de servidor para que os clientes pudessem recuperar a lista crl. Depois de fazer isso (é acessível a partir de todos os clientes e pode ser baixado) e resolvível, isso me permitiu inscrever um certificado.

No entanto, quando tento fazer login novamente usando um cartão inteligente, aparece a mensagem "O certificado do cartão inteligente usado para autenticação não era confiável"

Verifiquei meus logs de eventos, especificamente segurança e CAPI2, mas nada corresponde ao login específico do cartão inteligente. Achei que precisava adicionar manualmente o certificado dos certificados emitidos aos certificados do computador e aos certificados do usuário, mas ainda assim não funcionou. Perdi algumas configurações ou algo assim?

#Edit 1 Estou usando uma hierarquia PKI de duas camadas. Usando aproximadamente este guia https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831348(v=ws.11)

Estou tentando publicar páginas ou posts no WordPress 6.5.5 (Linux Alma 8)

a mensagem no wordpress é: A publicação falhou. A resposta não é uma resposta JSON válida.

Em error_log:

[root@host]# dnf install ImageMagick
Last metadata expiration check: 1:12:03 ago on Wed 17 Jul 2024 03:07:58 AM -04.
Package ImageMagick-6.9.12.93-1.el8.x86_64 is already installed.
Dependencies resolved.
Nothing to do.
Complete!

E..

[root@host]# which magick
/usr/bin/which: no magick in (/usr/local/cpanel/3rdparty/lib/path-bin:/usr/share/Modules/bin:/usr/local/cpanel/3rdparty/lib/path-bin:/usr/local/jdk/bin:/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/X11R6/bin:/root/bin:/opt/bin:/opt/cpanel/composer/bin:/root/bin)

o RESULTADO para: rpm -ql ImageMagick-6.9.12.93-1.el8.x86_64

/usr/bin/animar /usr/bin/compare /usr/bin/composite /usr/bin/conjure /usr/bin/convert /usr/bin/display /usr/bin/identificar /usr/bin/importar /usr /bin/mogrify /usr/bin/montage /usr/bin/stream /usr/lib/.build-id /usr/lib/.build-id/1b /usr/lib/.build-id/1b/61cc44f32e47fdaf8819023321505fc7c52f90 / usr/lib/.build-id/21 /usr/lib/.build-id/21/cf3b83ca81dd9b250b61ccb8cf6503d3fc0568 /usr/lib/.build-id/2a /usr/lib/.build-id/2a/2347455cc60dd405cf9a7e9fcc57d1796a8ee5 /usr/ lib/.build-id/37 /usr/lib/.build-id/37/0b34e7ffa9074e31ad80c2046e24a98665fd1e /usr/lib/.build-id/48 /usr/lib/.build-id/48/1a7bf01ba64a7fbc647a800a0c24b56d6dc5b1 / usr/lib/ .build-id/60 /usr/lib/.build-id/60/81c7fd53c88aa0e05cc164ce0666f0f938fb0d /usr/lib/.build-id/80 /usr/lib/.build-id/80/b1ccae696bc3802a2d1b88c9f7864d4af820a0 /usr/ lib/.build -id/a1 /usr/lib/.build-id/a1/c1c42c305c60773a504a56338f7df0f3cfb42b /usr/lib/.build-id/d9 /usr/lib/.build-id/d9/cd8858acbbba76bb6af714426377ca5c004477 /usr/lib/.build -id /eb /usr/lib/.build-id/eb/1152eff94403e205d2e057d591924834ca7908 /usr/lib/.build-id/f3 /usr/lib/.build-id/f3/80eaa15d7a7ec13e4af4324d25ec850287678c /usr/share/doc/ImageMagick /usr/ share/doc/ImageMagick/AUTHORS.txt /usr/share/doc/ImageMagick/LICENSE /usr/share/doc/ImageMagick/NEWS.txt /usr/share/doc/ImageMagick/NOTICE /usr/share/doc/ImageMagick/ README.txt /usr/share/man/man1/ImageMagick.1.gz /usr/share/man/man1/animate.1.gz /usr/share/man/man1/compare.1.gz /usr/share/ man/man1/composite.1.gz /usr/share/man/man1/conjure.1.gz /usr/share/man/man1/convert.1.gz /usr/share/man/man1/display.1. gz /usr/share/man/man1/identify.1.gz /usr/share/man/man1/import.1.gz /usr/share/man/man1/mogrify.1.gz /usr/share/man/ man1/montage.1.gz /usr/share/man/man1/stream.1.gz

No Windows 10 eu desinstalei o agente Zabbix 6.4 usando Painel de Controle > Programas e Recursos > Remover, e a desinstalação foi concluída com sucesso.

Estou instalando o agente novamente na mesma máquina e a seguinte mensagem é exibida:

"Limpe manualmente a instalação anterior do agente (execute a instância anterior do agente com a opção '--uninstall')".

Verifiquei Programas e Recursos e o agente Zabbix não está presente.

Como posso resolver esse problema para ter o agente Zabbix instalado novamente?

No ssl_verify_client onmeu nginx, esperaria que as solicitações que não possuem certificado de cliente fossem negadas. Mas eles são permitidos.

por exemplo, use um navegador da web para GET /foo/bar, a resposta é 200 OK. Eu esperaria que fosse 401 ou 403. Porque é claro que o navegador da web não envia o certificado do cliente com a solicitação.

Eu configurei isso incorretamente? Ou há outra etapa necessária para negar essas solicitações?

Meu servidor é api.example.com e tenho um certificado curinga *.example.com. O cliente forneceu seu certificado e certificado CA.

server {
  listen 443 default_server ssl;
  server_name _;

  # bundle = my cert + CA cert
  ssl_certificate /etc/ssl/example.com.bundle.pem;
  ssl_certificate_key /etc/ssl/example.com.key;

  # bundle = other side's client cert + CA cert
  # ssl_client_certificate /etc/ssl/client/client-bundle.pem;
  
  ssl_verify_client on;
  ssl_verify_depth 2;
  ssl_protocols TLSv1.2;
}

Tenho um amigo para quem configurei um site em meu servidor acessível ao público; no entanto, estou tendo muitos problemas para fazer o DNS funcionar corretamente.

1. Adicionei um arquivo/entrada para o novo site em/etc/apache2/sites-available e o nome do domínio em/etc/hosts. Navegar até o site localmente funciona bem, assim como colocá-lo em um subdiretório em meu webroot e acessar https:// mydomain/subdir .

2. Já estou servindo vários domínios do Apache; no entanto, todos eles pertencem a mim e estão registrados em um único provedor de domínio ( https://godaddy.com ). O registrador do domínio do meu amigo, no entanto, é diferente - https://internic.co.il - e parece que é aí que estou tendo um problema.

3. Alterei os servidores de nomes no provedor de domínio dela para apontar para os servidores de nomes GoDaddy e adicionei um registro A apontando para o IP da minha caixa -

   A xxxxxxxx.co.il 209.59.180.101 600 segundos

para meu domínio principal. Esperei um pouco (a essa altura já faz um dia) e... não, não resolve. 'dig' me dá um 'SERVFAIL'; 'ping' diz 'Falha temporária na resolução de nomes'.

Claramente, não entendo o que diabos estou fazendo... então estou recorrendo a vocês, especialistas. Agradecemos antecipadamente por qualquer ajuda que você pode proporcionar!

Ok, pessoal, antes de mais nada, peço desculpas por fazer uma pergunta que provavelmente é estúpida e com uma resposta simples, mas NÃO consigo descobrir isso.

Cerca de um ano atrás, assumi uma nova posição em uma empresa com uma pequena presença de datacenter. O material DC equivale a um conjunto de discos e um chassi Cisco UCS 5108 AC2 com 6 blades B200 M4. Executamos VMWare nesta configuração, ESXi 5.5. Sim, é muito antigo; estou migrando para AWS, então, por favor, não faça sombra :-)

De qualquer forma, eu gerencio o VMWare do vCenter rodando em uma caixa Windows rodando 2012 R2 Standard. E meu problema é este: eu não sei onde diabos está essa caixa Windows.

• Não há VMs do Windows no vCenter.
• Não há VMs em execução "diretamente no Cisco UCS".
• Não há outros recursos de computação em nossos racks (por exemplo, nenhuma pequena caixa de pizza 1U circulando por aí)

Não estou no DC, mas pedi aos caras do controle remoto que tirassem fotos dos nossos dois racks e todo o equipamento está presente e contabilizado na minha planilha de inventário.

FWIW o endereço IP da caixa do Windows é um IP privado em nosso intervalo. E quando eu faço RDP na caixa e executo o Gerenciador de Dispositivos, vejo que o modelo e a série da CPU correspondem às CPUs em todas as lâminas. Então isso me diz que a caixa do Windows de fato roda em algum lugar no UCS. Mas como eu disse, não consigo encontrá-lo nem no vCenter nem no software gerenciador do UCS.

Existe alguma estação de gerenciamento misteriosa ou função de supervisão do UCS que eu não conheça?