All perguntas(server)

Conectar-se à VPN a partir de uma rede específica (o hostpot wifi 4g da minha casa) torna os hosts dentro da rede VPN inacessíveis ao executar ping em IPs e nomes de host.

Caso contrário, tudo funciona bem ao conectar-se a partir do Wi-Fi da cafeteria, do ponto de acesso do telefone de amigos, etc.

Aqui está a saída do ping ao ser conectado com sucesso à VPN:

$ ping 192.168.0.217
PING 192.168.0.217 (192.168.0.217) 56(84) bytes of data.
From 192.168.0.124 icmp_seq=1 Destination Host Unreachable
From 192.168.0.124 icmp_seq=2 Destination Host Unreachable
From 192.168.0.124 icmp_seq=3 Destination Host Unreachable
^C
--- 192.168.0.217 ping statistics ---
4 packets transmitted, 0 received, +3 errors, 100% packet loss, time 3055ms
pipe 3

Tentei redefinir o dispositivo hotspot, ainda com o mesmo resultado.

(Atualização) O ambiente é o servidor Ubuntu 24.04 e a versão opensmtpd: 7.4.0p1-1build4.

Estou usando o Amazon SES com alguns domínios validados. Não quero retransmitir e-mails que não sejam de domínios autorizados. Meu smtpd.conf atual é:

table relay_secrets file:/etc/smtpd/relay_secrets
listen on localhost port 25 mask-src hostname MyDomain.com
listen on socket mask-src
action "relay_ses" relay host smtp+tls://[email protected]:587 auth <relay_secrets>
match from mail-from "@MyDomain.com" for any action "relay_ses"
match from any reject

E funciona:

• Um e-mail de [email protegido] para [email protegido] passar
• Um email de [email protegido] para [email protegido] é rejeitado.

Mas o erro é: Destinatário inválido: [email protegido] . Não é erro do remetente. Acho que é porque é a última regra que decide não enviar o e-mail. Existe alguma forma de indicar quais domínios (na parte From) são válidos?

Atualmente, estou no processo de configuração de uma instância de monitoramento checkMK para teste. Isso abrange várias VLANs e algumas delas são muito restritas por regras de firewall.

Isso significa que, em alguns casos, o agente não consegue registrar-se internamente através da porta tcp8000, mas o servidor checkmk pode extraí-lo quando registrado.

Assim estou tentando fazer um proxy-registro conforme a documentação. Verifique

cmk-agent-ctl proxy-register --hostname serverhostname.local --server x.x.x.x --site sitex --user agent_registration > /tmp/serverhostname.json

Resultado esperado: Isso deve renderizar alguma saída no arquivo especificado ou, se feito sem enviá-la para o arquivo, deve fornecer alguma saída em stdout. Posteriormente, isso pode ser importado em um servidor que pode acessar o servidor checkmk em xxxx /tcp8000.

Resultado real: o agente Checkmk trata o comando como um "registro" regular e tenta acessar o servidor checkmk em xxxx /tcp8000, mas retorna um erro porque xxxx não pode ser alcançado.

Posso ter esquecido algo aqui, mas não consigo descobrir o quê. Agente versão 2.3.0, Servidor versão 2.3.0p3

Estou explorando o servidor de acesso OpenVPN/ConexaCloud porque quero poder acessar uma VPC com recursos privados.

Com o OpenVPN, que outras medidas devo tomar para proteger a VPC?

Sei que posso bloquear o tráfego em recursos privados usando iptablesou ufw, mas gostaria de ver se há outras coisas que podem ser feitas.

Temos um servidor dedicado que funciona bem e aceita conexões de entrada. Ele também recebe e envia dados normalmente.

Funciona muito bem por algumas horas, mas depois disso todas as conexões aceitas expiram automaticamente logo após o soquete ser aceito.

Quanto mais soquetes ele aceitar, mais rápido ele entrará em um estado em que todas as novas conexões terão tempo limite esgotado.

O problema não é do cliente e nem é realmente pelo tempo que definimos em timeout, porque ele só acontece depois da aceitação na função read().

Quando reiniciamos o servidor, tudo começa a funcionar bem novamente.

Acredito que o Linux esteja causando esse problema. Não conheço bem o Linux, sei que há configurações no Linux que estão limitando meu processo.

Alguém pode sugerir material para leitura sobre configurações Linux para sockets TCP?

obrigado

mirrorlist.centos.orgnão está mais online?

Posso resolver centos.org, mas nãomirrorlist.centos.org

Aqui está o resultado do meu resolv.conf, dige nslookupse alguém estiver interessado.

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ nslookup mirrorlist.centos.org
Server:         1.1.1.1
Address:        1.1.1.1#53

** server can't find mirrorlist.centos.org: NXDOMAIN

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ nslookup centos.org
Server:         1.1.1.1
Address:        1.1.1.1#53

Non-authoritative answer:
Name:   centos.org
Address: 52.56.83.118
Name:   centos.org
Address: 81.171.33.201
Name:   centos.org
Address: 81.171.33.202
Name:   centos.org
Address: 2001:4de0:aaae::202
Name:   centos.org
Address: 2a05:d01c:c6a:cc02:225e:ab54:d58c:8b14
Name:   centos.org
Address: 2001:4de0:aaae::201

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ cat /etc/resolv.conf
nameserver 1.1.1.1
nameserver 8.8.8.8

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ dig mirrorlist.centos.org

; <<>> DiG 9.18.24-0ubuntu5-Ubuntu <<>> mirrorlist.centos.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 61636
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;mirrorlist.centos.org.         IN      A

;; AUTHORITY SECTION:
centos.org.             2795    IN      SOA     ns1.centos.org. hostmaster.centos.org. 2024070102 28800 7200 2400000 3600

;; Query time: 70 msec
;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
;; WHEN: Mon Jul 01 16:31:41 +08 2024
;; MSG SIZE  rcvd: 101

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$ nslookup mirrorlist.centos.org
Server:         1.1.1.1
Address:        1.1.1.1#53

** server can't find mirrorlist.centos.org: NXDOMAIN

rosdi@H-TQ0nmTkQIbRhN:~/test_ssl$

mxtoolbox também mostrando a mesma coisa.

Eu tenho um servidor SFTP e posso enviar arquivos para ele, digamos, user1. Tenho outro usuário (usuário2) nesse servidor e quero poder remover/modificar arquivos carregados na pasta sftp configurada do usuário1.

O que tentei foi adicionar o usuário2 ao grupo do usuário1. Assim posso ler os arquivos carregados, mas obter "permissão negada" na remoção de arquivos como usuário2.

A saída dos ls -l aarquivos carregados é:-rw-r--r-- 1 user1 user1 400691 Jul 1 12:16 114.xlsx

A saída do comando groups user2éuser2: user2 user1

Como permito que o usuário2 exclua esses arquivos enviados?

ATUALIZAR

Descobri que a pasta de upload (digamos/data/uploads) pertence ao usuário1, mas o grupo é root. Esse pode ser o motivo pelo qual não consigo gravar (excluir) nessa pasta. Mudar o grupo para user1 ajudará? Isso afetará o servidor SFTP de alguma forma?

Estou tentando criar uma estrutura de pastas para testar um script de backup. As pastas são baseadas em data e terão um horário de modificação da data do nome da pasta.

para fazer isso estou criando uma lista de datas e iterando-as, criando o diretório e definindo a hora de modificação para a data.

#!/bin/bash
dates="2024-01-01 2024-01-02" # + many more.

for d in $dates ; do
    mkdir "/mnt/2024/Backups/${d}" 2>/dev/null
    t="${d//-/}0000"
    touch -a -m -t "${t}" "/mnt/2024/Backups/${d}"
done

se eu executar este script, recebo: go.sh: 6: Bad substitution(que no meu script é a linha t="${d//-/}0000")

O que é confuso é se eu fizer testes no bash (ubuntu)

$ d=2024-01-01
$ t=${d//-/}
$ echo $t
20240101

ele se comporta conforme o esperado. alguém pode explicar o que está acontecendo ou como consertar?

Não sou um administrador profissional, mas considero-me a pessoa com mais conhecimentos de TI, aconselhando uma determinada pequena ONG sobre esses assuntos. Esta ONG basicamente tem apenas um roteador WiFi + switch, alguns PCs conectados via Ethernet e outros via WiFi. Os PCs são um pouco antigos (idade típica de 6 a 8 anos); e a ONG não está bem financeiramente, por isso é muito avessa aos custos – a maioria dos computadores é doada em segunda mão.

O pessoal da ONG falou sobre a compra de uma nova unidade de disco para alguns PCs, mencionando como um ou outro PC está ficando sem espaço. Eu estava pensando em sugerir que eles considerassem um NAS; e quando perguntei a eles sobre casos de perda de dados no passado, eles disseram que isso já aconteceu com eles: falhas ocasionais no disco e talvez até mesmo manuseio incorreto de HDDs ou outras mídias de armazenamento enquanto os transportavam.

Então, meu pensamento imediato foi: peça para eles comprarem um NAS. Eles seriam capazes de agrupar seu armazenamento em vez de ter que comprar um novo disco para cada estação que ficasse lotada; e também ganhariam significativamente em termos de confiabilidade (dependendo da configuração do RAID, é claro). E duvido que suas necessidades gerais de armazenamento sejam muito altas, ou seja, eles não produzem vídeos rotineiramente, não mantêm bancos de dados grandes (ou nenhum), etc.

Porém, há (pelo menos) um problema: custo. O próprio NAS custa dinheiro, assim como um quarteto de novos HDDs.

E isso me fez pensar: a crise de armazenamento é bastante localizada. Bem, e se eu pudesse fazer com que eles agrupassem seus discos existentes e simulassem os efeitos do RAID em um NAS usando o hardware que eles já possuem?

Eu sei que sistemas de arquivos distribuídos são uma coisa. Mas - não sei até que ponto é viável configurar um em um cluster de máquinas Windows que não estejam em uma SAN super-rápida. Essa configuração (gratuita) é possível? Comum? É possível montar sem um profissional altamente experiente? E teria um desempenho razoável, comparado ao disco único por máquina que eles têm agora? Seria tolerante que os PCs fossem desligados ocasionalmente ou falhassem de outra forma?

Eu tenho um modelo de instância do Google Cloud Compute Engine com um script de inicialização.

No script de inicialização o servidor gera um certificado. Após gerar o certificado ele envia uma mensagem para uma API para informar um sistema central sobre o certificado. A solicitação fica assim:

curl --location 'https://my-side.com/hello?hostname=$hostname' \
    --header 'Authorization: SUPER_SECRET_API_KEY'

A chave de API é armazenada como texto bruto no script de inicialização. Está tudo bem ou deveria ser movido para um armazenamento secreto de exemplo? Em caso afirmativo, como posso ler a chave da API no script de inicialização?