Estou tentando tornar persistentes algumas configurações de links IP no Ubuntu 22.04 para desktop.
Os comandos abaixo funcionam bem, mas não são persistentes:
ip link add mynet-shim link eno1 type macvlan mode bridge
ip addr add 192.168.1.223/32 dev mynet-shim
ip link set mynet-shim up
ip route add 192.168.1.192/27 dev mynet-shim
Tentei usar, nmclimas parece que macvlano bridge não está disponível. Você tem alguma ideia ou tutorial explicando como proceder?
Estou usando um laptop antigo com Windows 10 (que veio com o Win8). Instalei o Ubuntu virtualmente no laptop, usando o VMware, mas gostaria de acessar os arquivos no restante do laptop (nas partições do Windows), especialmente aqueles nas minhas pastas de documentos, nas unidades C: e D:, a partir do meu Ubuntu. Como posso fazer isso? Como posso acessar essas unidades/pastas por meio de um CD?
SO: Ubuntu MATE 24.04.2 LTS
Adicionei o monitor do sistema ao meu painel superior e notei muita atividade no disco.
A princípio, pensei que o principal "culpado" fossejbd2 o Dispositivo de Bloco de Registro (Journaling Block Device).
Mas o jbd2 ( "um registro para proteger o sistema de arquivos contra inconsistências de metadados em caso de falha do sistema" ) só grava no disco em resposta a outras coisas gravando no disco.
Executando o comando sudo iotop -a, vi que (*) o principal dispositivo que grava no disco é o systemd-journald : em 3h40m, ele gravou 60 MB!
Entendo que esses são dados binários, mas, se fosse texto, mesmo com 4 bytes por caractere, isso seria " Guerra e Paz " a cada 7 horas!
(*) o monstro que é o Firefox apesar de tudo
Estou tentando aprender sobre cgroups. Executei estes dois comandos:
root@localhost:~# mkdir /sys/fs/cgroup/container_cpu
root@localhost:~# echo '50000 100000' | sudo tee /sys/fs/cgroup/container_cpu/cpu.max
Isso funcionou bem no meu Ubuntu 22.04.3 no meu VirtualBox, mas no Ubuntu 22.04.5 no linode.com, recebo o erro:
tee: /sys/fs/cgroup/container_cpu/cpu.max: Permission denied
Alguém pode me dizer o que fiz de errado?
Estou tentando configurar um servidor sftp usando o sftp integrado do openssh.
Subsystem sftp /usr/lib/openssh/sftp-server
e criei o usuário seguindo (mais ou menos (usando ansible), eu uso /sbin/nologin para shell e /dev/null é usado como skel) https://sftpcloud.io/learn/sftp/how-to-setup-sftp-server-on-ubuntu-22-04
mas quando tento conectar
sftp myuser@myip
Recebo o prompt e digito a senha, mas não funciona
client_loop: send disconnect: Broken pipe
Connection closed.
Connection closed
O problema é que agora o diretório inicial do usuário está cheio de lixo.
$ ls -a
snap/ .cache .local
e no syslog vejo MUITAS coisas acontecendo que parecem mais relacionadas ao login como um usuário normal (eu acho). Aqui estão algumas coisas
systemd[1]: Created slice user-1003.slice - User Slice of UID 1003.
systemd[1]: Starting [email protected] - User Runtime Directory /run/user/1003...
snapd-desktop-i[4568]: Detected new session 42 at /org/freedesktop/login1/session/_342
systemd[1]: Finished [email protected] - User Runtime Directory /run/user/1003.
systemd[1]: Starting [email protected] - User Manager for UID 1003...
systemd-xdg-autostart-generator[14091]: Exec binary 'start-pulseaudio-x11' does not exist: No such file or directory
systemd-xdg-autostart-generator[14091]: /etc/xdg/autostart/pulseaudio.desktop: not generating unit, executable specified in Exec= does not exist.
systemd[14080]: Queued start job for default target default.target.
systemd[14080]: Created slice app.slice - User Application Slice.
systemd[14080]: Created slice session.slice - User Core Session Slice.
systemd[14080]: Started ubuntu-report.path - Pending report trigger for Ubuntu Report.
systemd[14080]: Started launchpadlib-cache-clean.timer - Clean up old files in the Launchpadlib cache.
systemd[14080]: Starting gpg-agent-ssh.socket - GnuPG cryptographic agent (ssh-agent emulation)...
systemd[1]: Started [email protected] - User Manager for UID 1003.
systemd[1]: Started session-42.scope - Session 42 of User myuser.
systemd[14080]: Starting gnome-initial-setup-copy-worker.service - GNOME Initial Setup Copy Worker...
systemd[14080]: Started pipewire.service - PipeWire Multimedia Service.
systemd[14080]: Started filter-chain.service - PipeWire filter chain daemon.
systemd[14080]: Started snap.snapd-desktop-integration.snapd-desktop-integration.service - Service for snap application snapd-desktop-integration.snapd-desktop-integration.
systemd[14080]: Started wireplumber.service - Multimedia Service Session Manager.
systemd[14080]: Started pipewire-pulse.service - PipeWire PulseAudio.
systemd[14080]: Startup finished in 270ms.
systemd[14080]: Starting dbus.service - D-Bus User Message Bus...
pipewire[14099]: mod.jackdbus-detect: Failed to receive jackdbus reply: org.freedesktop.DBus.Error.ServiceUnknown: The name org.jackaudio.service was not provided by any .service files
wireplumber[14113]: SPA handle 'api.libcamera.enum.manager' could not be loaded; is it installed?
systemd[14080]: snap.snapd-desktop-integration.snapd-desktop-integration.service: Main process exited, code=exited, status=1/FAILURE
systemd[14080]: snap.snapd-desktop-integration.snapd-desktop-integration.service: Failed with result 'exit-code'.
Então, acho que o login aciona "outras coisas". Como desabilitar as coisas extras que estão acontecendo e usar apenas o SFTP? Tenho outros usuários "comuns" fazendo login no servidor que estou tentando configurar como um servidor SFTP, então preciso lidar com esses usuários SFTP de uma maneira especial. Mas como?
Eu uso o Ubuntu 24.04. Meu sshd_config diz:
UsePAM yes
Abrir a ferramenta App Center e outros aplicativos, como o Desktop Security e o atualizador de firmware, resulta em uma página em branco com a mensagem de erro: "Não foi possível criar sessão GX" no Ubuntu Budgie 24.10. Suspeito que o problema esteja relacionado à GPU Nvidia 3050, ao driver Nvidia mais recente e ao sistema gráfico X11. Soluções alternativas, como fazer o downgrade dos drivers Nvidia ou reinstalar o software problemático, não funcionam. Pesquisei online e parece ser um bug conhecido. Você encontrou alguma solução? Ou atualizar para o recém-lançado Ubuntu 25 é a única opção?
Estou com um problema ao configurar meu firewalld para ter um link perfeito com o docker e o fail2ban.
Primeiro, o que quero alcançar é a seguinte configuração de roteamento de tráfego:
[PUBLIC] ->
[FIREWALLD] -> (
[143/tcp FORWARD PORT] -----> [DOCKER/143/tcp]
[ 22/tcp] -----> [openssh locally running]
)
falha2banimento
Configurei o fail2ban para ouvir meu contêiner docker, verificar erros de autenticação e configurar um ban usando firewall-cmd. Isso funciona até agora. Assim que eu erro de autenticação 3 vezes, ele envia um comando para o firewalld.
Encaminhamento de porta
Eu também configurei o encaminhamento de porta para o docker. Estou configurando explicitamente, porque não quero que o docker destrua minha rede. Talvez isso seja algo que eu não precise no futuro, mas é configurado por meio da StrictForwardPorts=yesconfiguração. https://firewalld.org/2024/11/strict-forward-ports
Meta
O objetivo é que sempre que um gatilho fail2ban acontecer, o IP não tenha mais acesso à porta 143 (encaminhada) e (talvez) nem às outras. Mas, a princípio, eu gostaria de banir por porta.
Problema
O problema atualmente é que, se uma regra de rejeição avançada for criada, ela bloqueará a porta 22 para esse IP, mas não a porta 143.
Tentativas
Eu também tentei colocar o IP na dropzona, dando a ele a prioridade -10. Mesmo resultado de erro. A porta 22 é descartada, mas a 143 ainda funciona.
O que estou fazendo errado? Aqui está minha configuração de zona da última tentativa:
docker (active)
target: ACCEPT
ingress-priority: 0
egress-priority: 0
icmp-block-inversion: no
interfaces: br-0aa8d4b5dde7 docker0
sources:
services:
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule priority="-999" family="ipv4" source address="192.168.178.44" reject
drop (active)
target: DROP
ingress-priority: -10
egress-priority: -10
icmp-block-inversion: no
interfaces:
sources: 192.168.178.44
services:
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
public (default, active)
target: default
ingress-priority: 0
egress-priority: 0
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client ssh
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
port=143:proto=tcp:toport=143:toaddr=172.18.0.2
source-ports:
icmp-blocks:
rich rules:
rule priority="-999" family="ipv4" source address="192.168.178.44" reject
Como visto: Na verdade, o endereço 192.168.178.44 deveria estar totalmente bloqueado para a zona pública. Mas não está. Além disso, adicionei o IP à drop zone. Parece que a prioridade da drop zone está funcionando, pois minha conexão SSH é descartada em vez de rejeitada, mas a porta 143 ainda está acessível
Atualização 1: Algumas informações de depuração
$ sudo firewall-cmd --get-policies
allow-host-ipv6 docker-forwarding
Atualização 2: --info-policy=docker-forwarding
docker-forwarding (active)
priority: -1
target: ACCEPT
ingress-zones: ANY
egress-zones: docker
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules: `
Atualização 3:
Outra ideia que me veio à mente foi criar outra política com prioridade -10, contendo a regra rica:
sudo firewall-cmd --permanent --new-policy ban-pre-routing
sudo firewall-cmd --permanent --policy ban-pre-routing --add-ingress-zone ANY
sudo firewall-cmd --permanent --policy ban-pre-routing --add-egress-zone HOST
sudo firewall-cmd --permanent --policy ban-pre-routing --set-priority -10
sudo firewall-cmd --permanent --policy ban-pre-routing --add-rich-rule="rule family=ipv4 source address=192.168.178.44 port port=143 protocol=tcp reject"
Ainda sem efeito. Meu Host *.44 ainda pode se conectar à máquina. Se eu deixar de fora a port port=143 protocol=tcpparte, ele bloquearia a máquina para ssh - enquanto ainda seria capaz de acessar a porta 143.
Atualização 4: Usando a Atualização 3 com a política configurada para egress zone docker, não resulta em diferença. Minhas configurações estão assim agora:
$ sudo firewall-cmd --list-all-policies
allow-host-ipv6 (active)
priority: -15000
target: CONTINUE
ingress-zones: ANY
egress-zones: HOST
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv6" icmp-type name="neighbour-advertisement" accept
rule family="ipv6" icmp-type name="neighbour-solicitation" accept
rule family="ipv6" icmp-type name="redirect" accept
rule family="ipv6" icmp-type name="router-advertisement" accept
ban-pre-routing (active)
priority: -10
target: CONTINUE
ingress-zones: ANY
egress-zones: docker
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="192.168.178.44" port port="143" protocol="tcp" reject
docker-forwarding (active)
priority: -1
target: ACCEPT
ingress-zones: ANY
egress-zones: docker
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
E para zonas:
$ sudo firewall-cmd --list-all --zone=public
public (default, active)
target: default
ingress-priority: 0
egress-priority: 0
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client ssh
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
port=143:proto=tcp:toport=143:toaddr=172.18.0.2
source-ports:
icmp-blocks:
rich rules:
$ sudo firewall-cmd --list-all --zone=drop
drop
target: DROP
ingress-priority: 0
egress-priority: 0
icmp-block-inversion: no
interfaces:
sources:
services:
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
$ sudo firewall-cmd --list-all --zone=docker
docker (active)
target: ACCEPT
ingress-priority: 0
egress-priority: 0
icmp-block-inversion: no
interfaces: br-c5f172e4effe docker0
sources:
services:
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Tenho um programa que executará um conjunto de comandos em novas instalações de servidor e preciso alterar uma entrada em um arquivo para cada instalação. Precisamos alterar o DNS padrão de 127.0.0.X (que é o padrão, pois instala sem uma conexão com a Internet) para 8.8.8.8
Eu estava usando o seguinte comando:
sudo awk '{sub(/#DNS=/,"DNS=8.8.8.8")}' /etc/systemd/resolved.conf
no entanto, isso não parece estar funcionando no gawk/nova versão do sistema operacional.
sudo gawk '{gensub(/#DNS=/,"DNS=8.8.8.8")}' /etc/systemd/resolved.conf
O que estou fazendo errado? Existe uma maneira melhor de alterar a entrada DNS padrão?
Sistema operacional do servidor atual:Ubuntu 24.04.2-live-server
Sistema operacional do servidor anterior:Ubuntu 20.04.6-live-server
EDITAR:
Arquivo de entrada de linha de amostra:
#DNS=
#FallbackDNS=
#Domains
O comando deve encontrar a primeira linha acima e substituí-la por DNS=8.8.8.8"mas não é".
Saída desejada:
DNS=8.8.8.8
#FallbackDNS=
#Domains
Quando executo o comando awk, o arquivo ainda lê:
#DNS=
#FallbackDNS=
#Domains
Além disso, ele deve encontrar e substituir apenas uma correspondência exata de#DNS=
Qual comando e sintaxe substituirão #DNS=por DNS=8.8.8.8?
Após uma falha (o navegador travou), tentei uma reinicialização forçada e, na inicialização, apareceu esta tela, que não consigo ignorar apenas pressionando Enter.
Isso já aconteceu antes e, depois de várias tentativas e pressionando vários botões, ele finalmente inicializou novamente, mas não tenho certeza do porquê
Meu laptop costumava ter Windows, mas eu o apaguei e instalei o Ubuntu.
O que está acontecendo aqui?
Eu uso um systemdserviço para iniciar vários processos quando o Ubuntu 20.04 é inicializado.
# MyApp start app service
[Unit]
Description=MyApp start service
Requires=network-online.target
After=network-online.target
[Service]
Type=simple
ExecStartPre=/bin/sleep 20
ExecStart=/etc/init.d/MyApp.sh start
ExecStop=/etc/init.d/MyApp.sh stop
LimitMEMLOCK=infinity
LimitCORE=infinity
RemainAfterExit=yes
User=admin
[Install]
#WantedBy=multi-user.target
#WantedBy=graphical.target
WantedBy=basic.target
Todos os meus processos iniciam após a inicialização do sistema. No entanto, após alguns minutos, o nível de usuário systemdsai e remove todos os semáforos criados pelos meus processos.
Parece que posso definir RemoveIPC=No configuration /etc/systemd/logind.confpara impedir que o usuário systemdremova os semáforos.
Mas por que o usuário systemdsaiu? Devo usar o comando sudo loginctl enable-linger adminpara impedir que ele saia?
Obrigado!