Tobia's questions

Tive que gerenciar o controle de acesso de um evento, ele funciona com poucos dispositivos PDA conectados à infraestrutura Wi-Fi existente.

No momento do teste antes do evento, a conexão parecia boa, todos os PDAs tinham um bom sinal e funcionavam todos juntos com bom tempo de resposta.

Como você imaginou durante o evento, as coisas aconteceram um pouco diferentes.

Temos enfrentado falhas em camadas de rede, interrupções de sinal de Wi-Fi (dispositivos foram desconectados por alguns segundos), tempos limite de conexão TCP, sinal mais baixo e alguns outros problemas relacionados à camada 7, como falhas de resposta de DNS.

Os dispositivos, o número e as posições dos APs não foram alterados.

Então eu estava pensando se uma presença massiva de outros dispositivos wifi não conectados ao mesmo Wifi poderia ser a causa dessa degradação. Quero dizer, é possível que a pesquisa de wifi feita por todos os smartphones das pessoas pudesse ter degradado os APs?

Existe alguma solução? Por exemplo, usando um SSID oculto?

Tenho uma diretiva de cache no meu balanceador nginx sem nenhuma configuração específica.
Vejo que quando pressiono CTRL-F5 no meu navegador, todos os recursos são solicitados com Cache-Control:no-cachecabeçalhos, mas o nginx ainda responde com conteúdo em cache.

É por design que o nginx honra apenas o cabeçalho de cache do servidor de backend e não o do cliente?

Esta é a parte relevante da configuração de cache do nginx:

  proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=mycache:100m max_size=500m inactive=60m use_temp_path=off;
  proxy_cache_key $host$request_uri;

  proxy_cache mycache;
  add_header X-Cache-Status $upstream_cache_status;

Os valores X-Cache-Status são HIT mesmo que o Cache-Control do cliente não seja cache

Esta é a configuração completa:

# configuration file /etc/nginx/nginx.conf:
user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;

events {
    worker_connections 768;
    # multi_accept on;
}

http {

    ##
    # Basic Settings
    ##

    sendfile on;
    tcp_nopush on;
    types_hash_max_size 2048;
    server_tokens off;
    client_max_body_size 100M;

    # server_names_hash_bucket_size 64;
    # server_name_in_redirect off;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    ##
    # SSL Settings
    ##

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
    ssl_prefer_server_ciphers on;

    ##
    # Logging Settings
    ##

    log_format cache_st '$remote_addr - $upstream_cache_status [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"';
    access_log /var/log/nginx/access.log cache_st;
    error_log /var/log/nginx/error.log;

    ##
    # Gzip Settings
    ##

    gzip on;

    # gzip_vary on;
    # gzip_proxied any;
    # gzip_comp_level 6;
    # gzip_buffers 16 8k;
    # gzip_http_version 1.1;
    # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

    #
    ## Cache
    #
    
    proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=mycache:100m max_size=500m inactive=60m use_temp_path=off;


    ##
    # Virtual Host Configs
    ##

    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;
}


#mail {
#   # See sample authentication script at:
#   # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
#
#   # auth_http localhost/auth.php;
#   # pop3_capabilities "TOP" "USER";
#   # imap_capabilities "IMAP4rev1" "UIDPLUS";
#
#   server {
#       listen     localhost:110;
#       protocol   pop3;
#       proxy      on;
#   }
#
#   server {
#       listen     localhost:143;
#       protocol   imap;
#       proxy      on;
#   }
#}

# configuration file /etc/nginx/modules-enabled/50-mod-http-auth-pam.conf:
load_module modules/ngx_http_auth_pam_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-cache-purge.conf:
load_module modules/ngx_http_cache_purge_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-dav-ext.conf:
load_module modules/ngx_http_dav_ext_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-echo.conf:
load_module modules/ngx_http_echo_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-fancyindex.conf:
load_module modules/ngx_http_fancyindex_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-geoip.conf:
load_module modules/ngx_http_geoip_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-geoip2.conf:
load_module modules/ngx_http_geoip2_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-headers-more-filter.conf:
load_module modules/ngx_http_headers_more_filter_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-image-filter.conf:
load_module modules/ngx_http_image_filter_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-perl.conf:
load_module modules/ngx_http_perl_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-subs-filter.conf:
load_module modules/ngx_http_subs_filter_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-uploadprogress.conf:
load_module modules/ngx_http_uploadprogress_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-upstream-fair.conf:
load_module modules/ngx_http_upstream_fair_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-http-xslt-filter.conf:
load_module modules/ngx_http_xslt_filter_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-mail.conf:
load_module modules/ngx_mail_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-nchan.conf:
load_module modules/ngx_nchan_module.so;

# configuration file /etc/nginx/modules-enabled/50-mod-stream.conf:
load_module modules/ngx_stream_module.so;

# configuration file /etc/nginx/modules-enabled/70-mod-stream-geoip.conf:
load_module modules/ngx_stream_geoip_module.so;

# configuration file /etc/nginx/modules-enabled/70-mod-stream-geoip2.conf:
load_module modules/ngx_stream_geoip2_module.so;

# configuration file /etc/nginx/mime.types:

types {
    text/html                             html htm shtml;
    text/css                              css;
    text/xml                              xml;
    image/gif                             gif;
    image/jpeg                            jpeg jpg;
    application/javascript                js;
    application/atom+xml                  atom;
    application/rss+xml                   rss;

    text/mathml                           mml;
    text/plain                            txt;
    text/vnd.sun.j2me.app-descriptor      jad;
    text/vnd.wap.wml                      wml;
    text/x-component                      htc;

    image/png                             png;
    image/tiff                            tif tiff;
    image/vnd.wap.wbmp                    wbmp;
    image/x-icon                          ico;
    image/x-jng                           jng;
    image/x-ms-bmp                        bmp;
    image/svg+xml                         svg svgz;
    image/webp                            webp;

    application/font-woff                 woff;
    application/java-archive              jar war ear;
    application/json                      json;
    application/mac-binhex40              hqx;
    application/msword                    doc;
    application/pdf                       pdf;
    application/postscript                ps eps ai;
    application/rtf                       rtf;
    application/vnd.apple.mpegurl         m3u8;
    application/vnd.ms-excel              xls;
    application/vnd.ms-fontobject         eot;
    application/vnd.ms-powerpoint         ppt;
    application/vnd.wap.wmlc              wmlc;
    application/vnd.google-earth.kml+xml  kml;
    application/vnd.google-earth.kmz      kmz;
    application/x-7z-compressed           7z;
    application/x-cocoa                   cco;
    application/x-java-archive-diff       jardiff;
    application/x-java-jnlp-file          jnlp;
    application/x-makeself                run;
    application/x-perl                    pl pm;
    application/x-pilot                   prc pdb;
    application/x-rar-compressed          rar;
    application/x-redhat-package-manager  rpm;
    application/x-sea                     sea;
    application/x-shockwave-flash         swf;
    application/x-stuffit                 sit;
    application/x-tcl                     tcl tk;
    application/x-x509-ca-cert            der pem crt;
    application/x-xpinstall               xpi;
    application/xhtml+xml                 xhtml;
    application/xspf+xml                  xspf;
    application/zip                       zip;

    application/octet-stream              bin exe dll;
    application/octet-stream              deb;
    application/octet-stream              dmg;
    application/octet-stream              iso img;
    application/octet-stream              msi msp msm;

    application/vnd.openxmlformats-officedocument.wordprocessingml.document    docx;
    application/vnd.openxmlformats-officedocument.spreadsheetml.sheet          xlsx;
    application/vnd.openxmlformats-officedocument.presentationml.presentation  pptx;

    audio/midi                            mid midi kar;
    audio/mpeg                            mp3;
    audio/ogg                             ogg;
    audio/x-m4a                           m4a;
    audio/x-realaudio                     ra;

    video/3gpp                            3gpp 3gp;
    video/mp2t                            ts;
    video/mp4                             mp4;
    video/mpeg                            mpeg mpg;
    video/quicktime                       mov;
    video/webm                            webm;
    video/x-flv                           flv;
    video/x-m4v                           m4v;
    video/x-mng                           mng;
    video/x-ms-asf                        asx asf;
    video/x-ms-wmv                        wmv;
    video/x-msvideo                       avi;
}

# configuration file /etc/nginx/sites-enabled/010-mysiteb:
# HTTP

server {
        server_name mysite2 mysiteb mysite3 mysiteb;
    listen 80;  
    include commons/http-location.inc;
}

# BALANCED HAPROXY2 - TCP 81

server {
        server_name mysiteb;
    listen 443 ssl;
    ssl_certificate /etc/letsencrypt/live/mysiteb/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/mysiteb/privkey.pem;
    include commons/ha-location-2.inc;
}

# BALANCED HAPROXY WEB - TCP 82

server {
        server_name mysite3 mysiteb;
    listen 443 ssl;
        ssl_certificate /etc/letsencrypt/live/mysite3/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mysite3/privkey.pem;
        include commons/ha-location-web.inc;
}

server {
        server_name mysite2;
        listen 443 ssl;
        ssl_certificate /etc/letsencrypt/live/mysite2/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mysite2/privkey.pem;
        include commons/ha-location-web.inc;
}

# configuration file /etc/nginx/commons/http-location.inc:
        location /.well-known {
                alias /var/www/html/.well-known;
        }
        location / {
                return 301 https://$host$request_uri;
        }

# configuration file /etc/nginx/commons/ha-location-2.inc:
        location / {
                proxy_pass http://127.0.0.1:81;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $remote_addr;
                proxy_set_header X-Forwarded-Host $http_host;
                proxy_set_header X-Forwarded-SSL on;
        proxy_set_header X-Forwarded-Proto https;
                error_page 502 /502error.html;
        }
        location /ws {
                proxy_pass http://127.0.0.1:81;
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "Upgrade";
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $remote_addr;
                proxy_set_header X-Forwarded-Host $http_host;
                proxy_set_header X-Forwarded-SSL on;
        proxy_set_header X-Forwarded-Proto https;
                proxy_read_timeout 120;
        }
        location = /502error.html {
                root   /usr/share/nginx/html;
                internal;
        }

# configuration file /etc/nginx/commons/ha-location-web.inc:
        location / {
                proxy_pass http://127.0.0.1:82;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $remote_addr;
                proxy_set_header X-Forwarded-Host $http_host;
                proxy_set_header X-Forwarded-SSL on;
        proxy_set_header X-Forwarded-Proto https;
                error_page 502 /502error.html;
        proxy_cache mycache;
        add_header X-Cache-Status $upstream_cache_status;
        }
        location = /502error.html {
                root   /usr/share/nginx/html;
                internal;
        }

# configuration file /etc/nginx/commons/srvap1-location.inc:
        location / {
                proxy_pass http://srvap1/;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $remote_addr;
                proxy_set_header X-Forwarded-Host $http_host;
                proxy_set_header X-Forwarded-SSL on;
        proxy_set_header X-Forwarded-Proto https;
                error_page 502 /502error.html;
        }
        location /ws {
                proxy_pass http://srvap1;
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "Upgrade";
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $remote_addr;
                proxy_set_header X-Forwarded-Host $http_host;
                proxy_set_header X-Forwarded-SSL on;
        proxy_set_header X-Forwarded-Proto https;
                proxy_read_timeout 120;
        }
        location = /502error.html {
                root   /usr/share/nginx/html;
                internal;
        }

# configuration file /etc/nginx/commons/srvap2-location.inc:
        location / {
                proxy_pass http://srvap2/;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $remote_addr;
                proxy_set_header X-Forwarded-Host $http_host;
                proxy_set_header X-Forwarded-SSL on;
        proxy_set_header X-Forwarded-Proto https;
                error_page 502 /502error.html;
        }
        location /ws {
                proxy_pass http://srvap2;
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "Upgrade";
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $remote_addr;
                proxy_set_header X-Forwarded-Host $http_host;
                proxy_set_header X-Forwarded-SSL on;
        proxy_set_header X-Forwarded-Proto https;
                proxy_read_timeout 120;
        }
        location = /502error.html {
                root   /usr/share/nginx/html;
                internal;
        }

# configuration file /etc/nginx/sites-enabled/030-mysitea:
# HTTP

server {
        server_name mysite1 mysite4 mysite5;
    listen 80;  
    include commons/http-location.inc;
}

# BALANCED HAPROXY - TCP 81

server {
        server_name mysite4;
    listen 443 ssl;
    ssl_certificate /etc/letsencrypt/live/mysite4/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/mysite4/privkey.pem;
    include commons/ha-location-2.inc;
}

server {
        server_name mysite5 mysitea;
    listen 443 ssl;
        ssl_certificate /etc/letsencrypt/live/mysite5/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mysite5/privkey.pem;
        include commons/ha-location-web.inc;
}

server {
        server_name mysite1;
        listen 443 ssl;
        ssl_certificate /etc/letsencrypt/live/mysite1/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mysite1/privkey.pem;
        include commons/ha-location-web.inc;
}

# AP1 - TCP 10001

server {
        server_name mysite4;
        listen 10001 ssl;
        ssl_certificate /etc/letsencrypt/live/mysite4/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mysite4/privkey.pem;
    include commons/srvap1-location.inc;
}

server {
        server_name mysite5 mysitea;
        listen 10001 ssl;
        ssl_certificate /etc/letsencrypt/live/mysite5/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mysite5/privkey.pem;
        include commons/srvap1-location.inc;
}

server {
        server_name mysite1;
        listen 10001 ssl;
        ssl_certificate /etc/letsencrypt/live/mysite1/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mysite1/privkey.pem;
        include commons/srvap1-location.inc;
}

# AP2 - TCP 10002

server {
        server_name mysite4;
        listen 10002 ssl;
        ssl_certificate /etc/letsencrypt/live/mysite4/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mysite4/privkey.pem;
        include commons/srvap2-location.inc;
}

server {
        server_name mysite5 mysitea;
        listen 10002 ssl;
        ssl_certificate /etc/letsencrypt/live/mysite5/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mysite5/privkey.pem;
        include commons/srvap2-location.inc;
}

server {
        server_name mysite1;
        listen 10002 ssl;
        ssl_certificate /etc/letsencrypt/live/mysite1/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mysite1/privkey.pem;
        include commons/srvap2-location.inc;
}


# configuration file /etc/nginx/sites-enabled/default:
##
# You should look at the following URL's in order to grasp a solid understanding
# of Nginx configuration files in order to fully unleash the power of Nginx.
# https://www.nginx.com/resources/wiki/start/
# https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/
# https://wiki.debian.org/Nginx/DirectoryStructure
#
# In most cases, administrators will remove this file from sites-enabled/ and
# leave it as reference inside of sites-available where it will continue to be
# updated by the nginx packaging team.
#
# This file will automatically load configuration files provided by other
# applications, such as Drupal or Wordpress. These applications will be made
# available underneath a path with that package name, such as /drupal8.
#
# Please see /usr/share/doc/nginx-doc/examples/ for more detailed examples.
##

# Default server configuration
#
server {
    listen 80 default_server;
    listen [::]:80 default_server;

    # SSL configuration
    #
    # listen 443 ssl default_server;
    # listen [::]:443 ssl default_server;
    #
    # Note: You should disable gzip for SSL traffic.
    # See: https://bugs.debian.org/773332
    #
    # Read up on ssl_ciphers to ensure a secure configuration.
    # See: https://bugs.debian.org/765782
    #
    # Self signed certs generated by the ssl-cert package
    # Don't use them in a production server!
    #
    # include snippets/snakeoil.conf;

    root /var/www/html;

    # Add index.php to the list if you are using PHP
    index index.html index.htm index.nginx-debian.html;

    server_name _;

    location / {
        # First attempt to serve request as file, then
        # as directory, then fall back to displaying a 404.
        try_files $uri $uri/ =404;
    }

}
server {

    listen 127.0.0.1:1935;

    root /var/www/html;

    location / {
        stub_status;
    }

}

Estou trabalhando em um novo NAS para armazenar backups Veeam de algumas VMs.

Usarei alguns discos magnéticos e minha dúvida é sobre discos de cache SSD opcionais.

Fiquei me perguntando se é importante a camada de cache, geralmente sei que poucos discos de cache não é uma má ideia, mas neste caso gostaria de saber se é recomendado ou não é muito útil.

Pelo que eu sei, o cache é usado para absorver poucas operações pequenas ou operações repetidas nos mesmos setores. Em um cenário de backup de VM, espero que grandes operações de gravação e camada de cache sejam preenchidas em breve e se tornem quase inúteis.

Estou certo ou estou errado?

Estou configurando uma implantação híbrida do MS 365 , o MX será mantido no servidor local do Exchange.

Tenho um antispam local (LibraEsva) que não quero remover.

Esta é a configuração real:

Seguindo as diretrizes do MS, a conexão entre Exchange On Premise e Cloud deve ser direta sem qualquer filtro.

Como você pode ver, há um SMTP 25 da Internet pública para a interface MX filtrada pelo Antispam. Além disso, há outra conexão SMTP 25 entre Exchange On Premise e Cloude para roteamento interno entre caixas de correio locais e na nuvem.

Eu fiz 2 NAT

• De Qualquer com porta SMTP-25 encaminhado para Antispam
• De ips MS365 com porta SMTP-25 encaminhado para Exchange

Isso funciona, o e-mail público é filtrado e o e-mail entre o servidor Exchange não é filtrado ...

MAS

O NAT feito a partir do nome de host do MS365 está recebendo todos os e-mails públicos do MS 365 NÃO APENAS os internos, se algum usuário do 365 enviar um e-mail para mim, ele não será mais filtrado.

Como posso resolver este quebra-cabeças? Acho que deveria haver uma solução.

Eu encontrei duas maneiras de redirecionar http para https com o apache. Como usar o redirecionamento

Redirect / https://mydomain/

Ou reescrever

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://mydomain/$1 [R,L]

Quais são as diferenças?

Uma vez o Exchange permite baixar uma caixa de correio externa para uma caixa de correio local através de um "Microsoft Connector for POP3 Mailboxes". Então eu poderia ler meu e-mail externo/pop para uma caixa de correio local do Exchange. É possível com 2013? Não consigo mais encontrar o conector.

Algumas semanas atrás, iniciei um servidor autoritativo powerdns para um domínio de terceiro nível. Após 2 semanas ainda tenho alguns dns públicos não resolvendo meus registros, por exemplo o google (8.8.8.8) está resolvendo, mas o opendns (208.67.222.220) não está resolvendo. Eu tentei alguma ferramenta de verificação de DNS online e posso dizer que apenas 50% dos DNS públicos funcionam com meu registro.

Como posso entender o porquê? Ele pode ser conectado ao DNSSEC (não habilitei)?

Eu tenho uma configuração de virtualhost do meu servidor Apache:

<VirtualHost *:80>
    DocumentRoot "/app/www"
    ServerName myhostname
    <Directory "/app/www">
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>
</VirtualHost>

Eu quero permitir o acesso apenas solicitações com myhostnameo nome do host. Mas eu quero negar todas as outras solicitações feitas por hostname ou server-ip:

http://myhostiname/ ALLOW
http://1.2.3.4/ (this is one of the server ip addresses) DENY

Minha configuração de virtualhost funciona conforme o esperado.

Agora eu tenho que editar a configuração para permitir que o usuário acesse um determinado caminho por ip porque um cliente não pode resolver o nome do host local.

Isto é um exemplo:

http://myhostiname ALLOW
http://1.2.3.4/ DENY
http://1.2.3.4/any/path DENY
http://1.2.3.4/allowed/path ALLOW
http://1.2.3.4/allowed/path/subpath ALLOW

Eu tentei o <Location>elemento em um novo virtualhost:

<VirtualHost 0.0.0.0:80>
    DocumentRoot "/app/www"
    <Directory "/app/www">
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>
    <Location "/">
      AllowOverride None
      Order Deny,Allow
      Deny from all
    </Location>
    <Location "^/allowed">
      Allow from all
    </Location> 
</VirtualHost>

Mas isso nega tudo, exceto as solicitações de nome de host. O que estou perdendo?

Desejo adicionar caixas de correio pessoais e compartilhadas do Exchange 2013 a dispositivos Android usando o protocolo ActiveSync, não IMAP . É possível? Como posso usar o uso pessoal para autenticar a caixa de correio compartilhada?

Em algum lugar encontrei essas informações:

• Tipo de conta: Exchange
• Usuário: [email protected]/[email protected]
• Senha: minhasenha pessoal
• Domínio: meudominio.com

Mas não funcionou para mim.

Tive que trocar um drive na minha SAN IBM DS3512, comprei por modelo (modelo Seagate) e não por código IBM FRU. Tentei colocar o drive mas ele falha com erro "drive incompatível". Vi que o modelo é realmente o mesmo de outras unidades, mas a versão do firmware e o nome do fabricante são diferentes.

Provavelmente eu tenho que devolver o drive e procurar a parte FRU, mas primeiro eu quero saber se existe alguma maneira de substituir esse problema, talvez piscando o firmware da IBM no drive.

Esta SAN não está em ambiente de produção, mas apenas para teste

Posso adicionar várias portas Bind ao PureFtpD na máquina Ubuntu? Eu poderia alterar a porta de ligação editando o arquivo /etc/pure-ftpd/Bind. Mas não consigo entender como definir uma porta adicional. Tentei adicionar uma nova linha no arquivo Bind, mas não funciona.

Eu gostaria de atualizar a versão da minha máquina onde está instalado o Microsoft Sql Server 2014, isso é certificado para Windows Server 2016? Não quero problemas com a assistência do MS...

Estou tentando usar o certificado vamos criptografar para o serviço Apache HTTPD e TOMCAT do meu servidor VPS do Ubuntu.

Eu encontrei onde há certificados armazenados do letsencrypt examinando a configuração do apache, foi escrito pelo script certboot, e o Apache está trabalhando bem com este certificado.

Eu uso o mesmo link para configuração do tomcat server.xml, mas recebi um erro de permissão negada em seu log:

SEVERE: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"]
java.lang.Exception: Unable to load certificate key /etc/letsencrypt/live/mysite.org/privkey.pem (error:0200100D:system library:fopen:Permission denied)
        at org.apache.tomcat.jni.SSLContext.setCertificate(Native Method)
        at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:657)
        at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:742)
        at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:458)
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:960)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.core.StandardService.initInternal(StandardService.java:568)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:851)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:580)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:603)
        at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.lang.reflect.Method.invoke(Method.java:498)
        at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:310)
        at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:484)

Oct 11, 2017 9:40:07 AM org.apache.catalina.core.StandardService initInternal
SEVERE: Failed to initialize connector [Connector[HTTP/1.1-8443]]
org.apache.catalina.LifecycleException: Failed to initialize component [Connector[HTTP/1.1-8443]]
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:107)
        at org.apache.catalina.core.StandardService.initInternal(StandardService.java:568)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:851)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:580)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:603)
        at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.lang.reflect.Method.invoke(Method.java:498)
        at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:310)
        at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:484)
Caused by: org.apache.catalina.LifecycleException: Protocol handler initialization failed
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:964)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        ... 12 more
Caused by: java.lang.Exception: Unable to load certificate key /etc/letsencrypt/live/mysite.org/privkey.pem (error:0200100D:system library:fopen:Permission denied)
        at org.apache.tomcat.jni.SSLContext.setCertificate(Native Method)
        at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:657)
        at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:742)
        at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:458)
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:960)
        ... 13 more

Oct 11, 2017 9:40:07 AM org.apache.catalina.startup.Catalina load

Procurando permissão, encontrei isso:

root@myvps:~# ls -la /etc/letsencrypt/live/mysite.org/
total 12
drwxr-xr-x 2 root root 4096 Sep 20 06:30 .
drwx------ 4 root root 4096 May 23 07:27 ..
lrwxrwxrwx 1 root root   39 Sep 20 06:30 cert.pem -> ../../archive/mysite.org/cert3.pem
lrwxrwxrwx 1 root root   40 Sep 20 06:30 chain.pem -> ../../archive/mysite.org/chain3.pem
lrwxrwxrwx 1 root root   44 Sep 20 06:30 fullchain.pem -> ../../archive/mysite.org/fullchain3.pem
lrwxrwxrwx 1 root root   42 Sep 20 06:30 privkey.pem -> ../../archive/mysite.org/privkey3.pem
-rw-r--r-- 1 root root  543 May 23 07:27 README
root@myvps:~# ls -la /etc/letsencrypt/archive/mysite.org/
total 56
drwxr-xr-x 2 root root 4096 Sep 20 06:30 .
drwx------ 4 root root 4096 May 23 07:27 ..
-rw-r--r-- 1 root root 1818 May 23 07:27 cert1.pem
-rw-r--r-- 1 root root 1814 Jul 22 06:30 cert2.pem
-rw-r--r-- 1 root root 1814 Sep 20 06:30 cert3.pem
-rw-r--r-- 1 root root 1647 May 23 07:27 chain1.pem
-rw-r--r-- 1 root root 1647 Jul 22 06:30 chain2.pem
-rw-r--r-- 1 root root 1647 Sep 20 06:30 chain3.pem
-rw-r--r-- 1 root root 3465 May 23 07:27 fullchain1.pem
-rw-r--r-- 1 root root 3461 Jul 22 06:30 fullchain2.pem
-rw-r--r-- 1 root root 3461 Sep 20 06:30 fullchain3.pem
-rw-r--r-- 1 root root 1704 May 23 07:27 privkey1.pem
-rw-r--r-- 1 root root 1704 Jul 22 06:30 privkey2.pem
-rw-r--r-- 1 root root 1704 Sep 20 06:30 privkey3.pem

Até onde eu sei, esta resposta ao comando ls mostra que há permissão READ para link simbólico e arquivo real para todos. Estou certo? Então, por que o tomcat está reclamando de permissões se estou apontando seu certificado para /etc/letsencrypt/live/mysite.org/cert.pem?

Como posso habilitar o SSL para o Tomcat usando um par de arquivo crt/key?

Eu tentei isso:

Habilitei o conector APR na configuração server.xml:

<Connector port="443" maxHttpHeaderSize="8192"
                 maxThreads="150"
                 enableLookups="false" disableUploadTimeout="true"
                 acceptCount="100" scheme="https" secure="true"
                 SSLEnabled="true"
                 SSLCertificateFile="my.crt"
                 SSLCertificateKeyFile="my.key" />

Eu tive que usar APR em vez de Http11NioProtocol porque crt e key file são atualizados/renovados automaticamente por um processo externo. E parece que Http11NioProtocol pode usar apenas keystore.

Então eu tentei instalar o APR:

sudo apt-get install libapr1 libapr1-dev

Recarreguei o Tomcat, mas o APR não foi encontrado:

org.apache.catalina.LifecycleException: The configured protocol [org.apache.coyote.http11.Http11AprProtocol] requires the APR/native library which is not available

Meu servidor de correio exim4 envia notificação usando a extensão errada, quero dizer:

Mail Delivery System <[email protected]>

Este servidor é um servidor de vários domínios e mydomain.err é um dos domínios gerenciados, mas não o principal. Gostaria de definir o domínio principal e o endereço do daemon mas não consigo encontrar na configuração, fiz um grep em toda configuração do exim procurando meudominio.err e só encontro aqui:

dc_other_hostnames='maindomain.com;mydomain.err;otherdomain.com'

Onde posso alterar o endereço do daemon e o domínio principal?

Eu tenho um pequeno servidor Dell PowerEdge T100 com uma matriz RAID1 construída com um controlador Dell RAID SAS com Debian 5. Existe alguma maneira de monitorá-lo e/ou receber notificação sobre erros de invasão? Parece que o único método por enquanto é reiniciar, entrar no utilitário SAS e verificar o status da matriz.

Hoje recebi muitos e-mails com spam em minha caixa de correio, procurei nos logs do exim4 e encontrei algumas atividades suspeitas.

Eu gostaria de entender a servidoridade deste ataque, se eu receber e-mails com spam, posso excluí-los e adicionar algumas regras, mas quero ter certeza de que não sou um spammer.

Eu li muitos desses logs:

  2016-03-09 07:53:12 1adXzZ-0007sb-Pz <= [email protected] H=([127.0.0.1]) [129.137.152.170] P=esmtpa A=plain: S=1298 [email protected]
  2016-03-09 07:53:12 1adXzZ-0007sb-Pz no immediate delivery: more than 10 messages received in one connection
  2016-03-09 08:16:57 1adXzZ-0007sb-Pz => kamikaze_****@hotmail.co.uk R=dnslookup T=remote_smtp H=mx3.hotmail.com [207.46.8.167] X=TLS1.2:ECDHE_RSA_AES_256_CBC_SHA384:256 CV=no DN="CN=*.hotmail.com" C="250  <[email protected]> Queued mail for delivery"
  2016-03-09 08:16:57 1adXzZ-0007sb-Pz Completed

Por favor, considere que:

• kamikaze_****@hotmail.co.uk (adicionei alguns asteriscos para privacidade) não é um destinatário conhecido e esta não é uma caixa de correio em meu servidor.
• Realmente deveria ser permitido apenas para usuários autenticados, e aqui não encontrei nenhuma informação de autenticação.
• No log há um 250 e "Concluído", então parece que nenhum erro foi lançado. O sinal do log é "=>" que significa mensagem de saída...

Então, eu sou um spammer? Meu servidor está enviando e-mails sem autenticação?

Esta é a minha configuração:

accept_8bitmime
acl_smtp_data = acl_check_data
acl_smtp_data_prdr = accept
acl_smtp_mail = acl_check_mail
acl_smtp_rcpt = acl_check_rcpt
admin_groups =
no_allow_domain_literals
no_allow_mx_to_ip
no_allow_utf8_domains
auth_advertise_hosts = *
auto_thaw = 0s
av_scanner = sophie:/var/run/sophie
bounce_return_body
bounce_return_message
bounce_return_size_limit = 100K
callout_domain_negative_expire = 3h
callout_domain_positive_expire = 1w
callout_negative_expire = 2h
callout_positive_expire = 1d
callout_random_local_part = $primary_hostname-$tod_epoch-testing
check_log_inodes = 0
check_log_space = 0
check_rfc2047_length
check_spool_inodes = 0
check_spool_space = 0
daemon_smtp_ports = smtp
daemon_startup_retries = 9
daemon_startup_sleep = 30s
delay_warning = 1d
delay_warning_condition = ${if or {{ !eq{$h_list-id:$h_list-post:$h_list-subscribe:}{} }{ match{$h_precedence:}{(?i)bulk|list|junk} }{ match{$h_auto-submitted:}{(?i)auto-generated|auto-replied} }} {no}{yes}}
no_deliver_drop_privilege
deliver_queue_load_max =
delivery_date_remove
no_disable_ipv6
dkim_verify_signers = $dkim_signers
dns_check_names_pattern = (?i)^(?>(?(1)\.|())[^\W](?>[a-z0-9/_-]*[^\W])?)+(\.?)$
dns_csa_search_limit = 5
dns_csa_use_reverse
dns_dnssec_ok = -1
dns_retrans = 0s
dns_retry = 0
dns_use_edns0 = -1
no_drop_cr
dsn_from = Mail Delivery System <Mailer-Daemon@$qualify_domain>
envelope_to_remove
exim_group = Debian-exim
exim_path = /usr/sbin/exim4
exim_user = Debian-exim
extract_addresses_remove_arguments
finduser_retries = 0
freeze_tell = postmaster
gecos_name = $1
gecos_pattern = ^([^,:]*)
no_gnutls_allow_auto_pkcs11
no_gnutls_compat_mode
header_line_maxsize = 0
header_maxsize = 1048576
headers_charset = UTF-8
helo_allow_chars = _
helo_lookup_domains = @ : @[]
host_lookup = *
host_lookup_order = bydns:byaddr
ignore_bounce_errors_after = 2d
no_ignore_fromline_local
keep_malformed = 4d
no_ldap_start_tls
ldap_version = -1
no_local_from_check
local_interfaces = <; ::0 ; 0.0.0.0
local_scan_timeout = 5m
local_sender_retain
log_file_path = /var/log/exim4/%slog
log_selector = +smtp_protocol_error +smtp_syntax_error +tls_certificate_verified +tls_peerdn
no_log_timezone
lookup_open_max = 25
max_username_length = 0
no_message_body_newlines
message_body_visible = 500
message_logs
message_size_limit = 50M
no_move_frozen_messages
no_mua_wrapper
mysql_servers = localhost/system/exim/mypassw
never_users =
no_perl_at_start
pid_file_path = /var/run/exim4/exim.pid
pipelining_advertise_hosts = *
prdr_enable
no_preserve_message_logs
primary_hostname = srv1.mydomain.com
no_print_topbitchars
process_log_path = /var/spool/exim4/exim-process.info
prod_requires_admin
qualify_domain = mydomain.com
qualify_recipient = mydomain.com
queue_list_requires_admin
no_queue_only
queue_only_load =
queue_only_load_latch
queue_only_override
no_queue_run_in_order
queue_run_max = 5
receive_timeout = 0s
received_header_text = Received: ${if def:sender_rcvhost {from $sender_rcvhost\n\t}{${if def:sender_ident {from ${quote_local_part:$sender_ident} }}${if def:sender_helo_name {(helo=$sender_helo_name)\n\t}}}}by $primary_hostname ${if def:received_protocol {with $received_protocol}} ${if def:tls_cipher {($tls_cipher)\n\t}}(Exim $version_number)\n\t${if def:sender_address {(envelope-from <$sender_address>)\n\t}}id $message_exim_id${if def:received_for {\n\tfor $received_for}}
received_headers_max = 30
recipients_max = 0
no_recipients_max_reject
remote_max_parallel = 2
retry_data_expire = 1w
retry_interval_max = 1d
return_path_remove
rfc1413_hosts = @[]
rfc1413_query_timeout = 0s
slow_lookup_log = 0
smtp_accept_keepalive
smtp_accept_max = 20
smtp_accept_max_nonmail = 10
smtp_accept_max_nonmail_hosts = *
smtp_accept_max_per_connection = 1000
smtp_accept_queue = 0
smtp_accept_queue_per_connection = 10
smtp_accept_reserve = 0
smtp_banner = $smtp_active_hostname ESMTP Exim $version_number Ubuntu $tod_full
smtp_check_spool_space
smtp_connect_backlog = 20
smtp_enforce_sync
smtp_etrn_serialize
smtp_load_reserve =
smtp_max_synprot_errors = 3
smtp_max_unknown_commands = 3
no_smtp_return_error_details
spamd_address = 127.0.0.1 783
no_split_spool_directory
spool_directory = /var/spool/exim4
sqlite_lock_timeout = 5
no_strict_acl_vars
no_strip_excess_angle_brackets
no_strip_trailing_dot
syslog_duplication
syslog_processname = exim
syslog_timestamp
tcp_nodelay
timeout_frozen_after = 1w
tls_advertise_hosts = *
tls_certificate = /etc/exim4/exim.crt
tls_dh_max_bits = 2236
tls_eccurve = prime256v1
tls_on_connect_ports = 465
tls_privatekey = /etc/exim4/exim.key
no_tls_remember_esmtp
tls_verify_certificates = ${if exists{/etc/ssl/certs/ca-certificates.crt}{/etc/ssl/certs/ca-certificates.crt}{/dev/null}}
trusted_groups =
trusted_users = uucp
untrusted_set_sender = *
uucp_from_pattern = ^From\s+(\S+)\s+(?:[a-zA-Z]{3},?\s+)?(?:[a-zA-Z]{3}\s+\d?\d|\d?\d\s+[a-zA-Z]{3}\s+\d\d(?:\d\d)?)\s+\d\d?:\d\d?
uucp_from_sender = $1
write_rejectlog

E este é o autenticador PLAIN:

plain:
driver                          = plaintext
public_name                     = PLAIN
server_advertise_condition      = yes
server_condition                = ${if eq{$3}{${lookup mysql{ SELECT password FROM users WHERE CONCAT(username,'@',domain)='${quote_mysql:$2}' AND smtp>0 }}}{yes}{no}}
server_set_id                   = $2

Este é o registro de rejeição do exim hoje:

2016-01-07 13:48:44 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 15:32:09 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 15:41:35 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 15:49:01 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 15:56:50 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 16:04:58 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 16:12:28 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 16:20:19 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 16:28:08 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 16:35:50 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 16:43:28 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 16:51:18 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 16:58:51 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 17:06:25 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 17:13:58 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 17:21:29 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 17:28:52 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 17:36:18 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 17:43:43 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 17:51:46 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 17:59:08 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 18:06:44 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 18:14:10 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 18:21:39 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 18:29:02 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 18:36:36 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 18:44:00 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 18:51:21 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 18:58:40 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 19:05:59 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 19:13:18 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 19:20:42 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 19:28:03 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 19:35:48 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 19:43:11 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 19:50:35 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 19:57:59 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 20:05:25 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 20:12:51 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 20:20:17 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 20:27:41 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])
2016-01-07 20:35:06 login authenticator failed for (USER) [212.224.87.119]: 535 Incorrect authentication data ([email protected])

Não quero esperar e não fazer mais nada, é possível criar uma lista negra para exim preenchida com endereços IP de mais de 10 tentativas de login em 1h?

Lembre-se de que quero criar uma lista negra para tentativas de login smtp e não para remetentes de e-mail.

Tenho que enviar para um programa externo todos os assuntos das mensagens recebidas do servidor Exim.

Esta é minha configuração acl_smtp_data :

warn condition = ${lookup mysql{ INSERT INTO maillog ( subject ) VALUES ( '${quote_mysql:$message_headers}'}{$value}fail}

Isso funciona, mas gostaria de salvar apenas o cabeçalho "Assunto" e não todos os cabeçalhos. Não consegui encontrar uma variável apenas para o assunto, talvez possa extraí-la de todos os cabeçalhos da var $message_headers.

Esta é uma pergunta sobre a prioridade do protocolo MX. Se eu tiver dois servidores como MX com prioridade diferente:

• Servidor MX 10A
• Servidor MX 20B

Isso é garantia pelo protocolo de que o MX 10 é o preferido? O remetente pode escolher o secundário por qualquer outro motivo que não seja a disponibilidade primária?

Em outras palavras: se meu serverA MX estiver funcionando bem e com capacidade de conexão infinita (teórica), posso ter certeza de que ninguém tentará uma conexão com o serverB?