我最近在 SuperMicro 服务器上安装了 OpenBSD v6.8。在初始安装期间,我无法设置 NIC 卡,因为我没有任何 IP 信息。我假设这个设置跳过导致内核排除了这些卡,现在当我运行 ICONFIG 时,NIC 卡不显示。在 DMESG 中,我看到以下内容:
"Intel X722 10GBASE-T" rev 0x09 at pci7 dev 0 function 0 not configured
"Intel X722 10GBASE-T" rev 0x09 at pci7 dev 0 function 1 not configured
所以我的问题是,我需要修改什么,以便当我重新启动服务器时,我可以运行 ICONFIG 并看到这些 NIC 出现,以便可以使用 IP 信息对其进行配置?
谢谢,
我有一个问题,我的 pf 记录了许多它不应该记录的数据包。我用几乎空的 pf.conf 复制了它:
set skip on lo
它仍然记录一些数据包。我认为所有这些数据包都是 ICMP6 类型的,它们并不真正属于我的计算机,我不知道为什么会收到它们,但我无法控制它。
这是数据包的示例(通过 pflog0 上的 tcpdump 接收):
13:18:29.211678 rule def/(match) pass in on vio0: fe80::3ad5:47ff:fe75:1a2b > ff02::1:ff75:1a2b: HBH icmp6: multicast listener report [hlim 1]
所以我的问题是:我在哪里可以了解这些默认匹配规则以及如何禁用这些日志。
我试图将这些数据包与类似的东西显式匹配pass in on vio0(没有记录语句),但它们仍然被记录,可能是因为那个神秘的默认匹配标记了要记录的数据包。
我已按照此页面的说明进行操作,但 gmake 失败。我是否缺少依赖项?
https://www.tumfatig.net/20180905/running-telegraf-openbsd
dep 确保 -vendor-only SIGSYS:错误的系统调用 PC=0x485670 m=9 sigcode=0
goroutine 305 [系统调用]: syscall.Syscall(0x25, 0xffffffffffff4f73, 0x9, 0x0, 0xd95448, 0xa58ce0, 0xc0000541b0) /usr/local/go/src/syscall/asm_unix_amd64.s:19 +0x5 fp=0xc0006a96e8 0x485645 github.com/golang/dep/vendor/golang.org/x/sys/unix.Kill(0xffffffffffff4f73, 0x9, 0xd95448, 0xa58ce0)
当我尝试 pkg_add 屏幕或任何其他 pkg 时,我看到:
ftp://ftp3.usa.openbsd.org/pub/OpenBSD/4.8/packages/i386/screen-4.0.3p1.tgz: unsigned package (signify(1) doesn't see old-style signatures)
ftp://ftp3.usa.openbsd.org/pub/OpenBSD/4.8/packages/i386/screen-4.0.3p1.tgz: unsigned package (signify(1) doesn't see old-style signatures)
ftp://ftp3.usa.openbsd.org/pub/OpenBSD/4.8/packages/i386/screen-4.0.3p1.tgz: unsigned package (signify(1) doesn't see old-style signatures)
ftp://ftp3.usa.openbsd.org/pub/OpenBSD/4.8/packages/i386/screen-4.0.3p1.tgz: unsigned package (signify(1) doesn't see old-style signatures)
ftp: local: -: Broken pipe
421 Service not available, remote server has closed connection.
Can't locate object method "errsay" via package "OpenBSD::PackageRepository::FTP" at /usr/libdata/perl5/OpenBSD/PackageRepository.pm line 845.
/etc/pkg.conf 包含:installpath = http://ftp5.usa.openbsd.org/pub/OpenBSD/%c/packages/%a/
TL;DR OpenBSD 基于策略的路由对多宿主服务器/网关的情况有帮助吗?如果是这样,我该如何配置它?
长表
我正在管理一个带有两个 ISP 链接和通往远程路由节点的 VPN 隧道的 OpenBSD。
最初,我们使用了多个具有不同指标的默认路由——首选路由通过静态 IP 地址和 NAT 路由器,而 NAT 路由器又具有动态分配的地址(它基本上是一个电缆调制解调器)。
在实践中,这并不理想,但效果很好。从网关建立的新连接(以下简称“gw”)如果启动,将选择速度更快、延迟更低的路由;如果链路断开,则通过电缆调制解调器出去。入站连接只能通过更好的路由,因为其他 IP 地址位于 NAT 之后(无法从外部路由。
现在,我们需要通过额外的代理/VPN 路由器节点将流量路由到“云端”,以降低静态 IP 地址上的 DDoS 风险。
那些通过隧道连接到网关。
第一的。然后我们发现我们的管理员访问权限会偶尔下降。
更复杂的是,此网关具有到特定 VLAN 的附加活动接口。他们与这个问题无关,但不能被打扰。
可能的解决方案
我的印象是我们应该使用基于策略的路由rdomains。我想这意味着我为我的三个涉及的接口中的每一个创建路由表,并且其中任何一个(包括tun0隧道接口)上的任何连接都应该通过该域的表进行路由(因此每个都可以有自己的默认路由)。
我在正确的轨道上吗?
这是一个图表和一个经过清理的列表(如果接口设置):
________
| 隧道| _______
~+~~~~ | GW |======++
| ~+~+~+~ ||
| _________ | | | ||
+-----| prefISP |-------------+ | | __||____ .........
~~~~~~~w~ | +-----| 开关 |-----( 集群 )
| ~~~~~~~~ ^^^^^^^^^
_________ .....|...... ||
| fallISP |----------( LAN / WiFi )===++
~~~~~~~~~ ^^^^^^^^^^^^
图:通过隧道、首选 ISP 以及访问 GW 或集群(通过 GW 或从 LAN)访问 GW 时,我想避免非对称路由。
清理界面信息:
em3:inet 123.45.67.118 网络掩码 0xfffffff8 广播 123.45.67.119 描述:prefISP
em0:inet 10.1.1.100 网络掩码 0xffffff00 广播 10.1.1.255 描述:fallISP
tun0:inet 192.168.2.2 --> 192.168.2.1 网络掩码 0xffffff00 描述:隧道
em1: VLAN_TRUNK
vlan1000:inet 172.29.1.1 网络掩码 0xffffff00 广播
如前所述:em3是我们到首选(更快)ISP 的链接;tun0通过它;em0与办公室 LAN/Wifi 位于同一网段,作为我们的后备 ISP;并且 GW 具有到集群和交换机的附加链接。
我从全新安装的 OpenBSD 6.0 开始,它在他们的 httpd 服务器(不是 Apache)上有一个 chroot(/var/www)。我安装了 PHP 7.0 并使用二进制安装设置了 php-fpm。在 web 根目录中同时存在 sendmail 和 femail 对象。我将一个网站移动到适当的位置,php 运行良好,php 查询 postgresql 数据库(也从二进制安装)并且一切运行良好 - 除了 mail()。
我在 /var/www/logs/php.mail.log 中设置了一个日志文件,它看到邮件被 php 识别,日志条目如下:
[09-Dec-2016 15:04:34 UTC] mail() on [/do_quick_mail_test.php:23]: To: myemail@domain.com -- Headers: From: support@domain.com (domain.com Robot)
/var/www/logs/error.log 和系统消息中都没有错误发生。
系统邮件日志中没有电子邮件指示。
当我像这样从命令行运行命令时,它可以正常工作并且邮件正常传递,没有问题:
echo 'Subject: test' | chroot /var/www /usr/sbin/sendmail -v myemail@domain.com
我用浏览器访问的 php 程序是一个非常简单的程序:
<?php
session_start();
header( "Content-Type: text/plain" );
echo( 'Configuration Tests:'."\n" );
echo('Testing DNS:'."\n" );
print_r( dns_get_record("trialtoaster.com") );
echo( 'localhost lookup: '.gethostbyname( "localhost" )."\n" );
echo('Testing DateTime:'."\n" );
print_r( getdate() );
echo('Sending test email:'."\n" );
if ( mail("myemail@domain.com", "PHP Test mail", "PHP email - test message.", "From: support@domain.com (domain.com Robot)") ) {
echo '- PHP thinks the email went normally.';
} else {
echo '- PHP thinks the email failed.';
}
?>
该程序不会产生任何失败,除了 mail() 死亡。DNS 测试返回所有记录,包括 MX 记录,并且日期准确。尽管正确记录在 php 邮件日志中。
显示时, phpinfo() 正确反映了配置:
sendmail_path: /usr/sbin/sendmail -t
SMTP: localhost
smtp_port: 25
当我检查数据包过滤器时,它允许 lo0 上的任何东西去任何地方,当我运行命令时,我可以在 pftop 上看到它,但是当我从浏览器运行 mail() 时没有任何显示。
我已将 sendmail.ini 安装在与 chrooted sendmail 相同的目录中,这没有任何区别。
它开始看起来像 OpenBSD chrooted httpd 安装不完整,因为为了使用 php mail() 命令,有些东西完全丢失了,我担心它可能是 bash shell 和库,因为邮件从命令发送得很好线。这对我来说似乎不合时宜,因为 chroot 的目的是监禁黑客,并为被监禁的系统提供 bash shell 和库似乎有很多表面区域可以进行攻击。
我只是觉得这不是问题,因为否则,您还不如放弃 chroot 并在没有监狱的情况下运行它(看起来)。
有没有人看到我缺少的东西 - 如果没有,我在 shell 和库中进行复制,那么在不编写自定义包装器的情况下,最安全的方法是什么?
我在 OpenBSD 6.0 上运行 nginx 1.10.1,包 php-7.0.8p0、php-curl-7.0.8p0、php-fastcgi-7.0.8p0、php-gd-7.0.8p0、php-mcrypt-7.0。 8p0、php-mysqli-7.0.8p0、mariadb-client-10.0.25v1 和 mariadb-server-10.0.25p0v1。
我有几个 MediaWiki 1.27.1 安装、一个图像池和几个访问该池的语言 wiki。每个安装都在 nginx 中配置了自己的虚拟子域。
php70_fpm 运行 chroot,/etc/php-fpm.conf 看起来像这样:
chroot = /path/to/chroot/jail
listen = /path/to/chroot/jail/run/php-fpm.sock
/etc/nginx/nginx/sites-available/en.domain.com 看起来像这样:
fastcgi_pass unix:run/php-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
/etc/my.cnf 看起来像这样:
port = 1234
socket = /path/to/mysql.sock
bind-address = 127.0.0.1
skip-external-locking
#skip-networking
当我尝试从 en.domain.com 上的 pool.domain.com 获取图像描述时,我收到“无法解析主机 pool.domain.com”错误。
一旦我在没有 chroot 的情况下运行 php_fpm,文件描述就会毫无问题地从池中获取。
我不想将 /etc 中的内容复制到 /path/to/chroot/jail 中,我该怎么办?我可以使用一些 PHP 7 模块吗?我必须玩 unbound 吗?
任何帮助都非常受欢迎!
谢谢和欢呼,
直到
如果证书的通用名称包含非 UTF8 字符(例如瑞典名称),如何处理 OpenVPN 中的单个客户端配置?
我查看了 OpenVPN 日志,上面写着:
10.0.0.6:33157 [l vberg] Peer Connection Initiated with [AF_INET]...
l vberg/10.0.0.6:33157 MULTI_sva: pool returned IPv4...
l vberg/10.0.0.6:33157 MULTI: Learn: ...
l vberg/10.0.0.6:33157 SENT CONTROL [l vberg]: 'PUSH_REPLY...
所以我转储了日志的“二进制”表示,这就是它的实际含义:
10.0.0.6:33157 [l\xef\xbf\xbd\xef\xbf\xbdvberg] Peer Connection Initiated with [AF_INET]...
翻译为:
10.0.0.6:33157 [lövberg] Peer Connection Initiated with [AF_INET]...
现在,我想只是将/etc/openvpn/ccd/lovberg文件命名为:
/etc/openvpn/ccd/lövberg
/etc/openvpn/ccd/lv\xef\xbf\xbd\xef\xbf\xbdberg
然而,这些都不起作用。这里的简单解决方案显然是更改证书中的通用名称并重新颁发证书,但我更愿意在不必这样做的情况下解决这个问题。
这可能吗?
编辑:是的,我使用了 Python,并将日志的输出从 Python 复制tail -f openvpn.log到了 Python 中,以获取ö.
OpenVPN 2.3.10 i386-openbsd5.9 (OpenSSL)
设置如标题所示:新安装的 OpenBSD(我已经测试了 5.8 和 5.9)在 VMWare Fusion 8 Pro(OS X 主机)中运行时出现网络问题。
下载任何大小的 http 文件似乎都可以正常工作。下载 https 文件最初工作正常(并且速度很高),但在下载大约半秒后很快就完全停止了下载。
例如:
# git clone https://github.com/rust-lang/cargo
Cloning into 'cargo'...
remote: Counting objects: 20249, done.
remote: Compressing objects: 100% (66/66), done.
Receiving objects: 0% (1/20249)
无论我离开多久,它都会卡在那里。很少,它会更进一步,它并不总是卡在同一个地方:
# git clone https://github.com/rust-lang/cargo
Cloning into 'cargo'...
remote: Counting objects: 20249, done.
remote: Compressing objects: 100% (66/66), done.
Receiving objects: 7% (1418/20249)
使用 tcpdump 我可以看到两台机器(OpenBSD 来宾和 OS X 主机)最后一遍又一遍地发送相同的确认,然后放弃并安静下来。
我使用两种类型的 NAT 配置看到此问题,“与我的 Mac 共享”和启用了 NAT 的专用网络。
我是 OpenBSD 的新手,并且正在学习 OpenSMTPD。我本来希望smtpctl命令中有某种“重新启动”选项,但它只有一个stopwith nostart可能会强制重新读取,smtpd.conf以便更改生效。除了重新启动服务器之外,正确的杀死方法是在后台以某种方式smtpd执行吗?/etc/rc.d/smtpd我觉得我错过了什么。