All perguntas(server)

Estou tentando implementar uma lista de bloqueio para remetentes e domínios na minha configuração do postfix (Debian 12). Isto é o que tenho até agora:

smtpd_sender_restrictions = 
    permit_sasl_authenticated,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    reject_unknown_client_hostname,
    reject_unknown_reverse_client_hostname,
    check_sender_access hash:/etc/postfix/access

E:

smtpd_recipient_restrictions = 
    permit_sasl_authenticated,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
    reject_invalid_hostname,
    reject_non_fqdn_hostname,
    reject_unauth_destination,
    reject_unauth_pipelining,
    check_sender_access hash:/etc/postfix/access,
    check_policy_service unix:private/policy, # SPF Checks
    check_policy_service inet:127.0.0.1:10023 # Postgrey

Até onde consegui os documentos do Postfix, o primeiro se aplica ao dalog "MAIL FROM:", enquanto o segundo afeta a caixa de diálogo "RCPT TO:" na comunicação.

Portanto, meu arquivo de acesso tem o seguinte (postmap concluído):

.toobena.or.mg DISCARD Spam domain

Mas ainda posso enviar e-mails para minhas contas locais usando um endereço de envelope com o domínio a ser bloqueado para acesso. Veja a caixa de diálogo via telnet:

root@host:~# telnet mail.dom.com 25
Trying 18.16.42.16...
Connected to mail.dom.com.
Escape character is '^]'.
220 mail.dom.com ESMTP Postfix
ehlo mail.toobena.or.mg
250-mail.dom.com
[...]
mail from: [email protected]
250 2.1.0 Ok

Li em algum lugar que as restrições se aplicam posteriormente, em vez de imediatamente. No entanto, esperava que a tentativa de entrega de correspondência já estivesse bloqueada aqui. Mas se não, posso facilmente inserir mensagens para uma conta local que será entregue. Este é o log de uma entrega bem-sucedida (que deveria ter sido bloqueada):

Jun 12 20:51:41 nc postfix/smtpd[100170]: connect from mail.toobena.or.mg[5.104.111.28]
Jun 12 20:51:43 nc postfix/policy-spf[100175]: Policy action=PREPEND Received-SPF: pass (toobena.or.mg: 5.104.111.28 is authorized to use '[email protected]' in 'mfrom' identity (mechanism 'mx' matched)) receiver=mail.dom.com; identity=mailfrom; envelope-from="[email protected]"; helo=mail.toobena.or.mg; client-ip=5.104.111.28
Jun 12 20:51:43 nc postfix/smtpd[100170]: 07D1EDF910: client=mail.toobena.or.mg[5.104.111.28]
Jun 12 20:51:43 nc postfix/qmgr[99783]: 07D1EDF910: from=<[email protected]>, size=28861, nrcpt=1 (queue active)
Jun 12 20:51:43 nc postfix/smtpd[100170]: disconnect from mail.toobena.or.mg[5.104.111.28] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5

Assim, a correspondência é aceita e colocada na fila para entrega local.

Eu simplesmente não entendo por que isso está sendo aceito. Sim, o remetente possui um registro SPF válido. Mas isso substitui os outros cheques? Achei que eles foram verificados em ordem - e a política SPF é a mais recente...

Alguém tem ideia do que estou fazendo de errado aqui?

Esta é uma instalação ELK bastante nova. Instalei originalmente a v7.x porque pensei erroneamente que era necessária; mas depois atualizado editando o URL de origem do Elastic PPA. A atualização usando o apt ocorreu sem erros.

Tive que ajustar algumas configurações no arquivo elasticsearch.yml (trocar 'http' por 'transport'):

ALCE 7:

xpack.security.http.ssl.enabled: 'true'
xpack.security.http.ssl.verification_mode: 'none'
xpack.security.http.ssl.certificate_authorities: /etc/elasticsearch/certs/ca/ca.crt
xpack.security.http.ssl.key: /etc/elasticsearch/certs/netflow/netflow.key
xpack.security.http.ssl.certificate: /etc/elasticsearch/certs/netflow/netflow.crt

ALCE 8:

xpack.security.transport.ssl.enabled: 'true'
xpack.security.transport.ssl.verification_mode: 'none'
xpack.security.transport.ssl.certificate_authorities: /etc/elasticsearch/certs/ca/ca.crt
xpack.security.transport.ssl.key: /etc/elasticsearch/certs/netflow/netflow.key
xpack.security.transport.ssl.certificate: /etc/elasticsearch/certs/netflow/netflow.crt

No ELK 7. Isso funcionou perfeitamente. No ELK 8. Agora produz um erro da biblioteca OpenSSL vinculada ao curl:

# curl -v --cacert /etc/elasticsearch/certs/ca/ca.crt -u elastic:PASSWORD https://127.0.0.1:9200
*   Trying 127.0.0.1:9200...
* Connected to 127.0.0.1 (127.0.0.1) port 9200 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/elasticsearch/certs/ca/ca.crt
*  CApath: /etc/ssl/certs
* OpenSSL/3.0.13: error:0A00010B:SSL routines::wrong version number
* Closing connection 0
curl: (35) OpenSSL/3.0.13: error:0A00010B:SSL routines::wrong version number
[Exit 35 ]

A primeira pergunta que devo fazer é o que o erro realmente significa? Versão errada de quê? (meu melhor palpite foi a versão SSL)

Tentei adicionar --ssl2, --ssl3, --tls-max 1.0, --tls-max 1.1, --tls-max 1.2 e --tls-max 1.3; mas não fez diferença.

Meu entendimento da conexão TCP é que uma PORTA de origem permanece exclusiva para uma conexão, não importa o destino, portanto o número de conexões da porta local 12345, por exemplo, nunca pode exceder 1.

Li recentemente que uma conexão TCP é identificada por <src IP, src PORT, dst IP, dst PORT>

O TCP permite o compartilhamento da porta de origem entre vários processos, mas cada processo requer uma porta livre para vincular sua conexão

então fui validar esse "compartilhamento de porta entre processos": isso deve significar que a mesma porta de origem pode ser usada para conectar-se a destinos diferentes.

No entanto, ao experimentar isso, tentei estes dois comandos:

nc -v -p 12345 google.com 80

que funciona bem (-v para verboso e -p para especificar a porta de origem como 12345, para meu propósito de aprendizado)

Agora, executando simultaneamente este comando em um shell diferente

nc -v -p 12345 github.com 80

falha com esta mensagem de erro:

nc: falha na conexão x à porta 80 do github.com (tcp): endereço já em uso

o motivo pelo qual especifiquei a mesma porta de origem com -p é para validar que uma porta de origem pode ser compartilhada. Na prática, não há necessidade disso, no cenário do mundo real eu nem me preocuparia com a porta de origem. De acordo com isso, é verdade que uma porta de origem será usada apenas uma vez?

Estou configurando clientes Windows 11 como parte de um projeto para migrar nossa infraestrutura para o Intune. Como parte disso, estou tendo problemas com um script do PowerShell, que funciona em nossos clientes de domínio não intune. Preciso verificar se o endereço de e-mail inclui a string "@stu.domain" ou se é apenas "@domain". Meu script é o seguinte:

# Define the path to the executable
$exePath = "C:\Program Files\uniFLOW SmartClient\momsmartclnt.exe"
$currentUser = ([adsi]"LDAP://$(whoami /fqdn)").mail

# Check if the file exists and wether user is a teacher
if (Test-Path $exePath) {
    # Run the executable
    if($currentUser -notLike "*stu.myDomain*") {
        Start-Process -FilePath $exePath
    }   
} else {
    Write-Host "File not found: $exePath"
}

Agora, quando executo isso em meu cliente registrado uniflow, recebo o seguinte erro:

Erro do PowerShell

Isso se traduz em: "O FQDN não pôde ser solicitado porque o usuário atual não é um usuário de domínio.

No entanto, quando executo o comando whoami, recebo o domínio/nome de usuário, mas não o e-mail completo.

Estou confundindo alguma coisa aqui ou existe uma maneira melhor de obter o e-mail completo do usuário do cliente?

Agradecemos antecipadamente por qualquer ajuda/sugestão que você possa fornecer.

É possível bloquear um processo quando ele é iniciado com parâmetros específicos de linha de comando? Estou olhando para o Applocker, mas ele não parece ter capacidade.

Exemplo inventado, mas suponha que não me importe com ninguém iniciando o notepad.exe , mas gostaria de bloquear ou ser notificado quando alguém iniciar com o notepad.exe "C:\Users\profile\test.txt"

Não tenho uma instância spot habilitada em nenhuma VM e elas estão em grupos de hosts dedicados. Na integridade dos recursos, vejo que minhas VMs foram interrompidas devido à baixa prioridade.

Como faço para resolver isso?

Reiniciei o vms mas ainda não funciona.

Tentei muitas coisas, exceto redimensionar e recriar.

Estou executando um servidor web Apache e gostaria de adicionar alguns limites de taxa simples por endereço IP individual.

No momento, estou recebendo o que parecem ser muitas solicitações de bot chegando ao site e isso está retardando um pouco as solicitações normais.

Eu gostaria de poder adicionar limitação de taxa para desacelerar os bots, ao mesmo tempo que não impede os rastreamentos do Googlebot quando ele aparece. Suponho que algo em torno de 20.000 solicitações/hora por IP deve bastar, provavelmente menos.

De qualquer forma, qual é o método mais simples para adicionar limitação de taxa ao Apache?

Até agora encontrei algumas opções:

• mod_security
• mod_evasive
• mod_ratelimit
• mod_limitpconn

Mas não parece haver uma solução clara e óbvia.

Alternativamente, parece que usar o Nginx como proxy reverso (e usar a limitação de taxa incorporada a ele) seria outra opção viável. Parece mais fácil de implementar do que o que descobri até agora também para o Apache. Embora eu prefira usar o Apache apenas se houver uma solução simples que esteja faltando.

Fail2Ban parece ser outra solução simples, mas não tenho certeza se poderia usá-lo para retornar 429códigos de resposta quando um visitante atingir o limite de taxa.

O que você recomendaria?

Após atualizar alguns servidores de RHEL8 para RHEL9 usando o utilitário Leapp, há alguns avisos após a atualização em dnfe rpm: aviso: Assinatura não suportada. Algoritmo de hash SHA1 não disponível.

Toda vez que executei qualquer um desses comandos, recebi este aviso:

[root@web ~]# rpm -q kernel
warning: Signature not supported. Hash algorithm SHA1 not available.
warning: Signature not supported. Hash algorithm SHA1 not available.
kernel-5.14.0-362.18.1.el9_3.x86_64
kernel-5.14.0-427.18.1.el9_4.x86_64
kernel-5.14.0-427.20.1.el9_4.x86_64

[root@web ~]# dnf repolist
warning: Signature not supported. Hash algorithm SHA1 not available.
warning: Signature not supported. Hash algorithm SHA1 not available.
Updating Subscription Management repositories.
repo id                          repo name
rhel-9-for-x86_64-appstream-rpms Red Hat Enterprise Linux 9 for x86_64 - AppStream (RPMs)
rhel-9-for-x86_64-baseos-rpms    Red Hat Enterprise Linux 9 for x86_64 - BaseOS (RPMs)

Não sei de qual pacote ou o que desencadeia esse problema. A maioria das soluções disponíveis na web envolve reativar o SHA1, o que não é efetivamente uma solução.

Além disso, todos os pacotes estão marcados com, el9exceto alguns gpg-pubkeypacotes, então acho que não há nada do RHEL9 por aí.

[root@web ~]# rpm -qa | grep -v el9
warning: Signature not supported. Hash algorithm SHA1 not available.
warning: Signature not supported. Hash algorithm SHA1 not available.
gpg-pubkey-fd431d51-4ae0493b
gpg-pubkey-a14fe591-578876fd
gpg-pubkey-d4082792-5b32db75

Como posso rastrear o problema real para me livrar desses avisos?

Tenho um novo host Server 2022 Hyper-V que terá (inicialmente) 6 convidados. Ele tem duas NICs que quero unir para conectar ao switch físico para desempenho e confiabilidade.

Pelo que entendi, há duas maneiras de fazer isso:

1. A velha e decadente equipe LACP no nível do sistema operacional de 2012.
2. O novo Switch Embedded Teaming para o Server 2016 e versões posteriores.

Consegui fazer ambas as opções funcionarem na configuração e nos testes até agora, mas tudo o que li diz que eu deveria preferir fortemente a opção 2.

Aqui está o problema: pelo que vi para a opção 2, o Hyper-V faz balanceamento de carga vinculando MACs de diferentes convidados a diferentes portas físicas. Isso significa que uma VM nunca terá mais largura de banda do que você veria em uma única porta. E, de fato, a interface visível nos convidados ao usar essa opção parece uma única NIC com a velocidade de uma das NICs de host individuais.

Isso está errado para minha configuração, porque um dos convidados não é como os outros. É a principal razão para o hardware físico existir e deve ver a maior parte do tráfego. Sei que com a maioria das opções de equipe nenhuma sessão pode exceder a velocidade de uma única porta, mas também espero que este servidor suporte muitas sessões.

Então a questão:

Perdi algo para o Switch Embedded Teaming fazer melhor uso das portas disponíveis e, se sim, o que preciso fazer para corrigir isso? Ou, alternativamente, essa é uma situação em que devo usar a opção de teaming mais antiga?

Olá, digamos que não quero usar endereços IP flutuantes por alguns motivos. Configurei rotas usando br-ex para conectar-me às minhas instâncias.

Meu servidor openstack está em 10.90.0.236.

Agora tenho a instância Test-VM (192.168.120.39):

• Ping está funcionando bem entre eles
• Posso fazer ssh do Test-VM para meu servidor openstack
• Mas não consigo me conectar ao Test-VM do meu servidor openstack (a menos que eu use endereços IP flutuantes)

OpenSSH_8.9p1 Ubuntu-3ubuntu0.7, OpenSSL 3.0.2 15 Mar 2022
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug2: resolve_canonicalize: hostname 192.168.120.39 is address
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts' -> '/home/stack/.ssh/known_hosts'
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts2' -> '/home/stack/.ssh/known_hosts2'
debug3: ssh_connect_direct: entering
debug1: Connecting to 192.168.120.39 [192.168.120.39] port 22.
debug3: set_sock_tos: set socket 3 IP_TOS 0x10
debug1: Connection established.
debug1: identity file /home/stack/.ssh/id_rsa type -1
debug1: identity file /home/stack/.ssh/id_rsa-cert type -1
debug1: identity file /home/stack/.ssh/id_ecdsa type -1
debug1: identity file /home/stack/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/stack/.ssh/id_ecdsa_sk type -1
debug1: identity file /home/stack/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /home/stack/.ssh/id_ed25519 type -1
debug1: identity file /home/stack/.ssh/id_ed25519-cert type -1
debug1: identity file /home/stack/.ssh/id_ed25519_sk type -1
debug1: identity file /home/stack/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /home/stack/.ssh/id_xmss type -1
debug1: identity file /home/stack/.ssh/id_xmss-cert type -1
debug1: identity file /home/stack/.ssh/id_dsa type -1
debug1: identity file /home/stack/.ssh/id_dsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_8.9p1 Ubuntu-3ubuntu0.7
kex_exchange_identification: read: Connection reset by peer
Connection reset by 192.168.120.39 port 22

Obrigado