JeremyCanfield's questions

Eu tenho nginx e php-fpm rodando no Docker. Ao usar o nome do host do meu sistema Docker (docker1.freekb.net), a página phpinfo.php é exibida no navegador, assim eu sei que tenho nginx e php-fpm configurados corretamente para servir páginas PHP. Aqui está o bloco do servidor em /etc/nginx/conf.d/default.conf. As solicitações do nginx na porta 80 são encaminhadas para o PHP na porta 9000.

server {
    listen              80;
    server_name         stage.freekb.net;
    root                /var/www/stage;
    index               index.html phpinfo.php;
    location / {
        try_files $uri $uri/ /index.html;
    }
    location ~ \.php$ {
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_pass 0.0.0.0:9000;
        fastcgi_index phpinfo.php;
        include fastcgi_params;
    }
}

Eu tenho a configuração do HAProxy para encaminhar solicitações para o nginx. Aqui está meu bloco de escuta em /etc/haproxy/haproxy.cfg. Quando vou para http://haproxy.freekb.net/index.html , a página de boas-vindas do nginx é exibida, assim eu sei que o HAProxy é capaz de encaminhar solicitações para o nginx.

No entanto, quando vou para http://haproxy.freekb.net/phpinfo.php , o phpinfo.php é baixado para o meu PC local. Eu suspeito que isso significa que há algo errado com fastcgi. Não tenho certeza do que precisa mudar para que as páginas PHP sejam exibidas no navegador ao usar o HAProxy.

listen nginx
    bind *:80
    mode tcp
    balance roundrobin
    server nginx1 docker1.freekb.net:80 check

Eu tenho duas máquinas, server1 e server2. No server2, eu paro o firewalld.

[root@server2 ~]# systemctl stop firewalld

Do server1, nmap retorna Host is up.

[root@server1 ~]$ nmap -sn server2

Starting Nmap 6.40 ( http://nmap.org ) at 2020-09-02 11:27 CDT
Nmap scan report for server2 (10.17.45.13)
Host is up (0.00045s latency).
Nmap done: 1 IP address (1 host up) scanned in 0.01 seconds

Eu habilito o firewalld no server2.

[root@server2 ~]# systemctl start firewalld

Do server1, o nmap retorna Host seems down, portanto, algo com firewalld no server2 está fazendo com que o nmap retorne o Host parece inativo.

[root@server1 ~]$ nmap -sn server2

Starting Nmap 6.40 ( http://nmap.org ) at 2020-09-02 11:29 CDT
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 0.01 seconds

Do server1, ping/echo/ICMP funciona.

[root@server1 ~]$ ping -c4 server2
PING server2 (10.17.45.13) 56(84) bytes of data.
64 bytes from server2 (10.17.45.13): icmp_seq=1 ttl=64 time=0.436 ms
64 bytes from server2 (10.17.45.13): icmp_seq=2 ttl=64 time=0.388 ms
64 bytes from server2 (10.17.45.13): icmp_seq=3 ttl=64 time=0.338 ms
64 bytes from server2 (10.17.45.13): icmp_seq=4 ttl=64 time=0.390 ms

--- server2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 0.338/0.388/0.436/0.034 ms

Aqui estão as configurações de firewalld para as zonas publice dropno server2. icmp-block está vazio, o que significa que nenhum tipo de ICMP está sendo bloqueado e icmp-block-inversion está definido nopara permitir todo o tráfego IMCP.

[root@server2 ~]# firewall-cmd --zone=public --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eno16777984
  sources:
  services: ssh dhcpv6-client
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

[root@server2 ~]# firewall-cmd --zone=drop --list-all
drop
  target: DROP
  icmp-block-inversion: no
  interfaces:
  sources:
  services:
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

/var/log/firewalldnão está registrando nada para quando o nmap retornar Host seems down.

Meu objetivo aqui é fazer com que o nmap resolva IPs para nomes de host sem o sinalizador --system-dns ou a opção --dns-servers.

Quando eu emito o seguinte comando nmap sem o sinalizador --system-dns ou a opção --dns-servers, 192.168.0.16 é resolvido para hostname server1.example.com. 192.168.0.17 não foi resolvido para um nome de host. Eu entendo que isso está ocorrendo porque, de acordo com https://nmap.org/book/host-discovery-dns.html , "O Nmap usa um resolvedor de stub personalizado", o que significa que o nmap tem seu próprio resolvedor de DNS e não nossos servidores DNS locais . Interessante.

[root@client1]# nmap -sn 192.168.0.0/24 -vvv

Initiating Parallel DNS resolution of 256 hosts. at 11:22
Completed Parallel DNS resolution of 256 hosts. at 11:22, 0.02s elapsed
DNS resolution of 18 IPs took 0.02s. Mode: Async [#: 2, OK: 5, NX: 13, DR: 0, SF: 0, TR: 18, CN: 0]

Nmap scan report for server1.example.com (192.168.0.16)
Host is up (0.00063s latency).
Nmap scan report for 192.168.0.17
Host is up (0.00059s latency).

Esse problema não ocorre quando o --system-dnssinalizador está sendo usado.

[root@client1]# nmap -sn 192.168.0.0/24 --system-dns

Nmap scan report for server1.example.com (192.168.0.16)
Host is up (0.00029s latency).
Nmap scan report for server2.example.com (192.168.0.17)
Host is up (0.00026s latency).

Esse problema não ocorre quando a --dns-serversopção é usada para declarar que nosso servidor DNS primário (192.168.0.6) deve ser usado.

[root@client1]# nmap -sn 192.168.0.0/24 --dns-servers 192.168.0.6

Nmap scan report for server1.example.com (192.168.0.16)
Host is up (0.00039s latency).
Nmap scan report for server2.example.com (192.168.0.17)
Host is up (0.00036s latency).

nslookup mostra que ambos os IPs podem ser resolvidos para seus nomes de host apropriados.

[root@client1]#  nslookup 192.168.0.16
16.0.168.192.in-addr.arpa       name = server1.example.com.

[root@client1]# nslookup 192.168.0.17
17.0.168.192.in-addr.arpa       name = server2.example.com.

Estamos usando o CentOs 7 como nosso sistema operacional. /etc/resolv.confcontém o seguinte, o que significa que 192.168.0.6 é nosso servidor DNS primário.

[root@client1]# cat /etc/resolv.conf

nameserver 192.168.0.6
nameserver 8.8.8.8

192.168.0.6 (nosso servidor DNS primário) está usando a versão 9 do Bind como serviço DNS.

[root@dns1]# named -v
BIND 9.9.4-RedHat-9.9.4-51.el7 (Extended Support Version)

Aqui está o trecho relevante de /var/named/forward.example.com.

[root@dns1]# cat /var/named/forward.example.com

$ORIGIN example.com.
$TTL 1D
@       IN      SOA     ns1.example.com. hostmaster.example.com. (
                                        2016032200 ; serial
                                        1D         ; refresh
                                        1H         ; retry
                                        1W         ; expire
                                        3H         ; minimum
)

;name used for the nameserver
        IN      NS      ns1.example.com.

;ip address of the nameserver
ns1     IN      A       192.168.0.6

;hostname to ip address resolutions
server1         IN      A       192.168.0.16
server2         IN      A       192.168.0.17

Aqui está um trecho de /var/named/reverse.example.com.

[root@client1]# cat /var/named/reverse.example.com

$TTL 1D
@       IN      SOA     ns1.example.com. root.example.com. (
                                        0 ; serial
                                        1D ; refresh
                                        1H ; retry
                                        1W ; expire
                                        3H ; minimum
)

0.168.192.in-addr.arpa. IN      NS      ns1.example.com.

@       IN      NS      ns1.example.com.
ns1     IN      A       192.168.0.6
16      IN      PTR     server1.example.com.
17      IN      PTR     server2.example.com.

Estou tentando instalar o Ansible no CentOS 7 e tenho o Ansible configurado para usar o Python 3. Tenho o Python2 e o Python3 instalados.

[root@ansible1 ~]# python --version
Python 2.7.5
[root@ansible1 ~]# python3 --version
Python 3.6.8

Se eu instalar o Ansible usando yum install ansible, o ansible --versioncomando mostrará que o Ansible está configurado para usar o Python 2.7.5. Eu desinstalo o ansible ( yum remove ansible);

[root@ansible1 ~]# ansible --version
ansible 2.9.10
  config file = /etc/ansible/ansible.cfg
  configured module search path = [u'/root/.ansible/plugins/modules', u'/usr/share/ansible/plugins/modules']
  ansible python module location = /usr/lib/python2.7/site-packages/ansible
  executable location = /bin/ansible
  python version = 2.7.5 (default, Aug  7 2019, 00:51:29) [GCC 4.8.5 20150623 (Red Hat 4.8.5-39)]

De acordo com https://docs.ansible.com/ansible/latest/reference_appendices/python_3_support.html :

A maneira mais fácil de executar /usr/bin/ansible no Python 3 é instalá-lo com a versão Python3 do pip. Isso fará com que o padrão /usr/bin/ansible seja executado com Python3

Eu tenho a versão 9.0.3 do pip instalada.

[root@ansible1 ~]# pip3 --version
pip 9.0.3 from /usr/lib/python3.6/site-packages (python 3.6)

Seguindo a documentação do Ansibles, eu emito pip3 install ansiblepara instalar o Ansible usando pip3.

[root@ansible1 ~]# pip3 install ansible
WARNING: Running pip install with root privileges is generally not a good idea. Try `pip3 install --user` instead.
Collecting ansible
  Using cached https://files.pythonhosted.org/packages/4b/69/c8aef60ce070fe6872e27db65f588bd0ffe8892a980cd3f4d844d8b72152/ansible-2.9.12.tar.gz
Requirement already satisfied: jinja2 in /usr/local/lib64/python3.6/site-packages (from ansible)
Requirement already satisfied: PyYAML in /usr/local/lib64/python3.6/site-packages (from ansible)
Requirement already satisfied: cryptography in /usr/local/lib64/python3.6/site-packages (from ansible)
Requirement already satisfied: MarkupSafe>=0.23 in /usr/local/lib64/python3.6/site-packages (from jinja2->ansible)
Requirement already satisfied: six>=1.4.1 in /usr/local/lib/python3.6/site-packages (from cryptography->ansible)
Requirement already satisfied: cffi!=1.11.3,>=1.8 in /usr/local/lib64/python3.6/site-packages (from cryptography->ansible)
Requirement already satisfied: pycparser in /usr/local/lib/python3.6/site-packages (from cffi!=1.11.3,>=1.8->cryptography->ansible)
Installing collected packages: ansible
  Running setup.py install for ansible ... done
Successfully installed ansible-2.9.12

Aqui está a saída do pip3 show ansiblecomando.

[root@ansible1 ~]# pip3 show ansible
Name: ansible
Version: 2.9.12
Summary: Radically simple IT automation
Home-page: https://ansible.com/
Author: Ansible, Inc.
Author-email: info@ansible.com
License: GPLv3+
Location: /usr/local/lib/python3.6/site-packages
Requires: jinja2, PyYAML, cryptography

No entanto, o ansible --versioncomando retorna o seguinte.

-bash: /bin/ansible: No such file or directory

Da mesma forma /usr/bin/ansible --version,:

-bash: /usr/bin/ansible: No such file or directory

O pip show ansiblecomando mostra que o local é /usr/local/lib/python3.6/site-packages/ansible. Este diretório existe e contém muitos arquivos e pastas, mas nenhum arquivo de configuração específico do Ansible (por exemplo, ansible.cfg) ou arquivos binários (por exemplo, ansible) que podem ser usados ​​(o melhor que posso dizer).

Em uma instalação limpa do CentOS 7, instalei o IBM Installation Manager. Baixei a versão 9.0.0.6 do WebSphere Application Server do IBM Fix Central e descompactei os arquivos de instalação no diretório /tmp/was.

unzip 9.0.0-WS-WAS-FP006.zip /tmp/was

O comando listAvailablePackages mostra que a oferta BASE está disponível.

./imcl listAvailablePackages -repositories /tmp/was/
com.ibm.websphere.BASE.v90_9.0.6.20171205_1311

Quando tento instalar a oferta BASE, recebo o seguinte:

./imcl install com.ibm.websphere.BASE.v90_9.0.6.20171205_1311 -repositories /tmp/was/
ERROR: 'plug-in com.ibm.ws.execute.iscdeploy.v85_8.5.5001.20130515_0000' not found in /tmp/was
ERROR: 'plug-in com.ibm.was.base.moreinfo.v90_9.0.0.20160412_0000' not found in /tmp/was

Verifiquei que os plug-ins iscdeploy e moreinfo não são encontrados em /tmp/was. Não tenho certeza do que precisa ser feito para poder instalar a oferta BASE.

Em nosso controlador de domínio do Windows Server 2012, temos um GPO chamado "Unidades de rede mapeadas por TI". "IT Mapped Network Drives" contém dois Drive Maps, V: drive e Z: drive.

"IT Mapped Network Drives" está em nosso domínio software.eng.apl , e os membros do grupo de TI devem ter acesso a IT Mapped Network Drives.

Jeremy Canfield é membro do grupo de TI.

Quando Jeremy Canfield entra em um PC com Windows 10 que ingressou no domínio software.eng.apl, apenas uma das duas unidades de rede mapeadas aparece no Explorador de Arquivos. Não tenho certeza por que apenas uma das duas unidades de rede mapeadas aparece e também não tenho certeza do que precisa ser feito para que ambas as unidades de rede mapeadas sejam mapeadas no PC cliente.

Se ajudar, ambas as unidades de rede estão em máquinas Linux e estão sendo compartilhadas usando o Samba. Esta parte do meu post é mais apropriada para Unix e Linux Stack Exchange, mas caso ajude, gostaria de salientar que ambas as unidades de rede compartilhadas têm um arquivo de configuração idêntico no Linux, então duvido da configuração do Samba nas máquinas Linux é a causa do problema. Aqui está a configuração no Linux:

[global]
workgroup = APL
security = ADS
realm = software.eng.apl
password server = software.eng.apl
passdb backend = tbdsam

[share]
path = /srv/samba/share
browsable = yes
public = yes
writeable = yes

Recentemente, adicionei um controlador de domínio do Active Directory à nossa rede no Windows Server 2012. O nome de domínio é software.eng.apl. Posso ingressar um computador com Windows 10 no domínio software.eng.apl selecionando o ícone Iniciar do Windows > Sistema > Alterar configurações > Alterar e inserindo software.eng.apl em Domínio. Uma caixa pop-up aparece informando "Bem-vindo ao domínio software.eng.apl". Em Usuários e Computadores do Active Directory, o PC cliente é listado na pasta Computadores, que verifica se o PC cliente pode ingressar no domínio.

Criei uma conta de usuário em Usuários e Computadores do Active Directory. O nome de logon do usuário é john.doe@software.eng.apl e o id de senha Password01.

John Doe é membro dos Usuários do Domínio.

Na tela de logon do Windows 10, quando seleciono "conectar à Internet", mostra que estou conectado a software.eng.apl.

No PC cliente com Windows 10, se eu sair do Windows e tentar entrar com john.doe@software.eng.apl, O serviço de perfil de usuário falhou, o logon é exibido. Posso entrar no PC cliente com uma conta de usuário local. O serviço NETLOGON está sendo executado no PC cliente com Windows 10 e no controlador de domínio do Windows Server 2012.

Sei que a solicitação de logon está chegando ao controlador de domínio porque há uma solicitação de tíquete de serviço Kerberos de john.doe@software.eng.apl em Visualizador de eventos > Logs do Windows > Segurança.

Há também um evento no cliente Windows 10 com ID de evento 4624, indicando um logon bem-sucedido. Vale ressaltar que tanto o cliente Windows 10 quanto o Controlador de Domínio têm o evento em 1:07:56 AM, o que significa que ambas as máquinas têm o horário sincronizado.

O PC cliente e o controlador de domínio estão conectados ao mesmo switch. Não estamos usando uma VPN. Ambos estão conectados ao mesmo servidor NTP.

Na máquina cliente, fiz o seguinte para garantir que a rede seja iniciada antes do logon: Inicie gpedit.msc > Configuração do computador > Modelos administrativos > Sistema > Logon e habilite "Sempre aguarde a rede na inicialização do computador e faça logon. "

Também fiz o seguinte: Inicie gpedit.msc > Configuração do computador > Modelos administrativos > Sistema > Diretiva de grupo > e defina "Tempo de espera do processamento da política de inicialização" como 120.

Não tenho certeza do que devo verificar a seguir para esse problema.

Ao conectar-se a um servidor Linux SSH usando PuTTY, o log PuTTY mostra 2 tentativas de autenticação. A primeira tentativa usa "root" como nome de usuário e nenhuma senha. "nenhum" é exibido no primeiro pacote, significando que nenhuma senha foi usada. A conexão falha porque o servidor Linux SSH está configurado para autenticar apenas as conexões que possuem uma senha ou chave pública. A segunda tentativa usa "root" como nome de usuário e "SECRET" como senha. O acesso é concedido porque "root" e "SECRET" são um nome de usuário/senha válidos para o servidor Linux SSH.

Depois de clicar no botão Abrir no PuTTY, aparece imediatamente o prompt para inserir o nome de usuário "root". Depois de inserir o nome de usuário "root", leva cerca de 8 segundos para o prompt de senha aparecer. Tenho certeza de que a causa desse atraso de 8 segundos é porque o cliente e o servidor estão ocupados com a primeira tentativa de autenticação que tem "nenhuma" e nenhuma senha. Depois de inserir a senha SECRET e pressionar enter, o acesso é concedido imediatamente.

Não sei ao certo por que o PuTTY primeiro tenta se conectar com o nome de usuário "root" e sem senha. Existe alguma maneira de configurar o PuTTY para não fazer a primeira tentativa com o nome de usuário "root" e sem senha.

Usei o OpenSSL para criar uma chave privada e um certificado público autoassinado. Em seguida, criei um arquivo de Autoridade de Certificação que contém a chave privada e o certificado público (mail.example.com.pem). Em um computador cliente na LAN, eu uso o OpenSSL para conectar ao Postfix na porta 587 (SMTP) e digo ao OpenSSL para usar o arquivo da Autoridade de Certificação (mail.example.com.pem).

openssl s_client -connect mail.example.com:587 -starttls smtp -CAfile /etc/pki/tls/private/mail.example.com.pem

Isso produz um pouco de saída. Incluído na saída está o certificado público do arquivo da Autoridade de Certificação.

Depois de todo o TLS, certificado e outras informações de segurança, tenho um cursor piscando, então tento dizer Olá ao Postfix.

EHLO mail.example.com

Este comando produz "nenhum certificado de cliente apresentado."

Isso é estranho, porque posso ver literalmente o certificado público na saída anterior. Tenho a sensação de que estou perdendo algo conceitual aqui. Por exemplo, preciso dizer ao cliente para enviar ou usar o certificado público? O certificado público no servidor Postfix é diferente de um certificado de cliente?

Objetivo: Meu objetivo geral é configurar o Postfix para criptografar e-mails em vez de enviar e-mails sem criptografia.

Aqui está a saída do comando postconf -n :

data_directory = /var/lib/postfix
home_mailbox = Maildir/
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mailbox_command =
mydestination = example.com, localhost.example.com, localhost
mynetworks_style = host
queue_directory = /var/spool/postfix
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_sasl_auth_enable = no
smtpd_sasl_path = private/auth
smtpd_tls_CAfile = /etc/pki/tls/mail.example.com.pem
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/pki/tls/mail.example.com.crt
smtpd_tls_key_file = /etc/pki/tls/mail.example.com.key
smtpd_tls_loglevel = 3
smtpd_tls_req_ccert = yes
smtpd_tls_security_level = encrypt
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_tls_cache
smtpd_tls_session_cache_timeout = 3600s
tls_random_exchange_name = /var/lib/postfix/prng_exch
tls_random_source = dev:/dev/urandom

Eu tenho o servidor BIND DNS instalado na minha LAN no Linux CentOS no IP 192.168.0.30. Também tenho o servidor Web HTTPD instalado na minha LAN no Linux Centos no IP 192.168.0.23. Meu arquivo /etc/named.conf está configurado para usar o arquivo de zona /etc/forward.example.com.

zone "example.com" IN {
 type master;
 file "/etc/forward.example.com";
 allow-update { none; };
};

Seguindo as instruções no capítulo 16.3 do guia de implantação do CentOS , tenho o seguinte em meu arquivo de zona de encaminhamento BIND para criar um registro A para o endereço IP do servidor Web HTTPD e também para mapear um CNAME para o servidor Web HTTPD.

$ORIGIN example.com.
$TTL 1D
@ IN SOA  ns1.example.com. hostmaster.example.com. (
                            2016032200 ; serial
                            1D         ; refresh
                            1H         ; retry
                            1W         ; expire
                            3H         ; minimum
)
@            IN      NS         ns1.example.com.
ns1          IN      A          192.168.0.30

server1      IN      A          192.168.0.23
www          IN      CNAME      server1

O comando named-checkzone produz OK, o que garante que o arquivo de zona forward.example.com esteja OK.

[root@DNS1 ~]# named-checkzone example.com /etc/forward.example.com
zone example.com/IN: loaded serial 2016032200
OK

A execução do comando nslookup ns1.example.com produz a seguinte saída. Isso é bom.

Server:     192.168.0.30
Address:    192.168.0.30#53

Name:       ns1.example.com
Address:    192.168.0.30

A execução do comando nslookup www.example.com produz a seguinte saída.

Server:     192.168.0.30
Address:    192.168.0.30#53

** server can't find www.example.com: NXDOMAIN

A execução do comando nslookup server1.example.com produz a seguinte saída.

Server:     192.168.0.30
Address:    192.168.0.30#53

** server can't find www.example.com: NXDOMAIN

Não estou vendo erros no arquivo named.run.

[root@DNS1 ~]# tail /var/named/data/named.run

zone 0.in-addr.arpa/IN:          loaded serial 0
zone localhost/IN:               loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN:  loaded serial 0
zone 0.168.192.in-addr.arpa/IN:  loaded serial 0
zone 1.xxxxxxxxxxx.ip6.arpa/IN:  loaded serial 0
zone example.com/IN:             loaded serial 0
zone localhost.localdomain/IN:   loaded serial 0
all zones loaded
running

Pesquisando serverfault.com e google.com, não consegui determinar por que estou recebendo o erro NXDOMAIN. Se houver alguma dica ou recomendação, eu com certeza agradeceria!