Ernie's questions

这实际上适用于我们使用相同证书的许多其他服务，但是当您比较测试结果时，Apache 这样做的方式是最明显和矛盾的。

我们的网站https://webmail.lightspeed.ca上有一个通配符证书。Web 浏览器给我们的客户一个绿色锁，GeoTrust 的 CryptoReport 在https://cryptoreport.geotrust.com/checker/告诉我我们的证书安装正确。然而，当我尝试使用时openssl s_client -connect webmail.lightspeed.ca:443，我得到了错误Verify return code: 20 (unable to get local issuer certificate)

这是我们的 Apache 配置对于 SSL 的样子：

SSLEngine on
SSLCertificateFile /mailhome/webmail.lightspeed.ca/ssl.cert
SSLCertificateKeyFile /mailhome/webmail.lightspeed.ca/ssl.key
SSLCACertificateFile /etc/ssl/certs/GeoTrust_DV_SSL_CA-G3.pem

虽然我知道连接正在被加密，但显然这个错误消息也意味着我没有被完全验证我所说的我是谁。当我们应用这些相同的证书来表示我们的 SMTP 或 POP 服务器时，这是有问题的，因为某些客户端（如 Outlook for Android）对这些东西非常敏感。例如， http://www.checktls.com/perl/TestReceiver.pl上的测试不喜欢这样，我们得到错误Cert NOT VALIDATED: unable to get local issuer certificate。我觉得这很奇怪，因为文件 GeoTrust_DV_SSL_CA-G3.pem 是我们的中间 CA 证书。它是我们特定类型通配符证书的 Geotrust 的 CA。

这对我来说只不过是一个恶化的根源。您的帮助将不胜感激。

我们有一个 Munin 服务器，它最近出现了一些非常奇怪的行为。该网站本身运行良好，我们正在获取统计数据，我正在分页，一切都很好，除了......每 5 分钟我收到一封电子邮件，上面写着：

/bin/sh: 1: munin: not found
This program will easily break if you run it as root as you are
trying now.  Please run it as user 'munin'.  The correct 'su' command
on many systems is 'su - munin --shell=/bin/bash'
Aborting.

所以，我认为 /etc/cron.d/munin-node 中的 crontab 的用户名错误，对吧？不...

#
# cron-jobs for munin-node
#

MAILTO=root

# If the APT plugin is enabled, update packages databases approx. once
# an hour (12 invokations an hour, 1 in 12 chance that the update will
# happen), but ensure that there will never be more than two hour (7200
# seconds) interval between updates..
*/5 * * * *     munin if [ -x /etc/munin/plugins/apt_all ]; then munin-run apt_all update 7200 12 >/dev/null; elif [ -x /etc/munin/plugins/apt ]; then munin-run apt update 7200 12 >/dev/null; fi

我什至完全删除了文件 /etc/cron.d/munin-node 并且它仍然继续运行，就好像它在那里一样，并且它正在尝试以 root 身份运行。

而且，当然，统计数据会按时显示。这让我发疯了，因为我每 5 分钟就会收到一封垃圾邮件。

我目前有一台服务器连接到集中式 MySQL 服务器（例如，192.168.0.10）。该服务器已经允许来自该 IP 地址（例如 192.168.0.20）的远程连接，并且尽管到目前为止我进行了更改，但它仍然可以继续工作。对于这一 IP 地址。

当我尝试从不同的主机授予对相同用户名和密码的访问权限时，如下所示：

update db set host='192.168.0.%' where user='username';
update user set host='192.168.0.%' where user='username';
flush privileges;

一切都还是一样。我仍然可以从 192.168.0.20 连接，但我仍然无法从 192.168.0.25 连接。我收到错误消息

ERROR 1130 (HY000): Host '192.168.0.25' is not allowed to connect to this MySQL server

我看不出这是怎么回事。所有文档都说它应该可以工作。我也没有为来自 192.168.0.25 的连接设置防火墙。即使重新启动 MySQL 也没有效果。该网络上的其他 IP 可以毫无问题地连接到 MySQL——甚至是以前不允许的 IP——我可以从 192.168.0.25 ping 192.168.0.10。

所以我在两个不同的 MySQL 服务器上设置了我的初始主从复制对。那部分工作得很好。所以我所要做的就是将第一个 master 设置为 slave，并将第一个 slave 设置为第二个 master，对吗？

错误的！

这就是我尝试在辅助主服务器上创建第二个从属帐户时发生的情况：

mysql> grant replication slave on *.* to 'repslave2'@'ourhost' identified by 'password';
Query OK, 0 rows affected (0.00 sec)

mysql> start master;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'master' at line 1

什么？你是什​​么意思，“语法错误”？这是很简单的东西。我拼写“主人”是对的。它可以在另一台服务器上运行，而无需安装任何特殊的东西。"stop slave" 和 "start slave" 像在这台服务器上宣传的那样工作。为什么它不起作用？

编辑添加：

我想我已经找到了问题的一部分——主从复制在两台服务器之间混淆了。在这里，我尝试在主主节点上停止主节点：

mysql> stop master;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'master' at line 1
mysql> stop slave;
Query OK, 0 rows affected, 1 warning (0.00 sec)

mysql> stop master;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'master' at line 1
mysql> start master;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'master' at line 1
mysql> start slave;
ERROR 1200 (HY000): The server is not configured as slave; fix in config file or with CHANGE MASTER TO

目前，我们有一个功能齐全的 POP/IMAP/Webmail 系统（使用 Dovecot 和 Roundcube），在其预期设计中是一座闪闪发光的完美之塔。我们有成千上万的客户属于一个“默认”域（我称之为ourdomain.com），并使用用户名和密码成功登录。我们还有几千人拥有我们托管的域，他们使用完整的电子邮件地址和密码（称为 customerdomain.com）成功登录。自 1990 年代以来一直如此，有很多根深蒂固的客户配置。

现在的问题是人们习惯于使用完整的电子邮件地址登录 Web 表单，必须提醒使用 ourdomain.com 的人只使用他们的用户名登录 Webmail。这是我们的技术支持部门每周接到几次电话（即使我也为此感到内疚，我只是不为此打电话给技术支持），并且可能应该通过某种软件解决方案来消除。

那么我们如何让 Roundcube 或 Dovecot 将“[email protected]”识别为“用户名”，而无需更改我们系统中每个人的实际用户名？但只有当域是“ourdomain.com”而不是“customerdomain.com”时才这样做。请记住，每次我们进行安全升级时，我们所做的任何自定义编码都必须重新实现，我们只会将该选项视为最后可能的选择。

TL;博士：

我们需要这样的逻辑：

if $email contains @ourdomain.com
{
    remove @ourdomain.com;
    submit to roundcube;
} else {
    submit to roundcube;
}

我们今天早上将我们的 Debian 网络服务器升级到了 Wheezy，在一切正常之后，Apache 似乎失去了执行 PHP 脚本的能力，而在升级之前它能够这样做。现在我们只看到 PHP 代码，就好像 PHP 模块没有启用一样。

我检查了所有常见的嫌疑人，确保 PHP 模块已加载并安装，并确保 /etc/apache2/mods-enabled/php5.conf 设置了“SetHandler application/x-httpd-php”选项。我还关注了在 Apache 上安装 PHP5 的最新文档，一切似乎都已检查。Apache 错误日志中也没有任何表明存在问题的错误。

有什么我错过的吗？

'apachectl -t -D DUMP_MODULES |grep php' 的输出：

Syntax OK
 php5_module (shared)

'www3:/etc/apache2# apache2 -v' 的输出：

Server version: Apache/2.2.22 (Debian)
Server built:   Jan 31 2014 18:55:37

/etc/apache2/mods-enabled/php5.conf 的内容：

<IfModule libphp5.so>
#    <FilesMatch "\.ph(p3?|tml)$">
#    </FilesMatch>
    <FilesMatch "\.php$">
        SetHandler application/x-httpd-php
    </FilesMatch>
    # To re-enable php in user directories comment the following lines
    # (from <IfModule ...> to </IfModule>.) Do NOT set it to On as it
    # prevents .htaccess files from disabling it.
    <IfModule mod_userdir.c>
        <Directory /home/*/public_html>
            php_admin_value engine Off
        </Directory>
    </IfModule>
</IfModule>

上次重启的最新 apache 错误日志：

[Thu Apr 10 15:35:44 2014] [notice] caught SIGTERM, shutting down
[Thu Apr 10 15:35:45 2014] [warn] No JkLogFile defined in httpd.conf. Using default /var/log/apache2/mod_jk.log
[Thu Apr 10 15:35:45 2014] [warn] No JkShmFile defined in httpd.conf. Using default /var/log/apache2/jk-runtime-status
[Thu Apr 10 15:35:45 2014] [warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Thu Apr 10 15:35:45 2014] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
[Thu Apr 10 15:35:45 2014] [notice] Digest: generating secret for digest authentication ...
[Thu Apr 10 15:35:45 2014] [notice] Digest: done
[Thu Apr 10 15:35:45 2014] [warn] No JkLogFile defined in httpd.conf. Using default /var/log/apache2/mod_jk.log
[Thu Apr 10 15:35:45 2014] [warn] No JkShmFile defined in httpd.conf. Using default /var/log/apache2/jk-runtime-status
[Thu Apr 10 15:35:45 2014] [warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Thu Apr 10 15:35:45 2014] [notice] Apache/2.2.22 (Debian) DAV/2 SVN/1.6.17 mod_fcgid/2.3.6 mod_jk/1.2.37 PHP/5.4.4-14+deb7u8 mod_ssl/2.2.22 OpenSSL/1.0.1e mod_perl/2.0.7 Perl/v5.14.2 configured -- resuming normal operations

我为一家小型 ISP 工作，我们托管大约 250 个域以及与之相关的所有东西：DNS、邮件、垃圾邮件过滤和备份。目前，我们有单独的 DNS 服务器（其中两个）和邮件服务器（外发邮件实际上在辅助 DNS 服务器上，但以前在它自己的服务器上）。过去，这是作为一种保险措施进行的。我们需要做的最后一件事是让一些傻瓜（通常是你真正的）对服务器进行软管处理，连同它一起取出 DNS 和邮件，或者让垃圾邮件发送者堵塞我们传入的 SMTP 服务器，从而阻止发送的外发邮件。在过去，这是一个问题，我们的服务器按照现在的方式设置来解决它。

然而，像 Sun 的 Cobalt RAQ（在过去的日子里）和 Virtualmin 这样的集群解决方案似乎迎合了一体化方法，然后通过冗余服务器处理故障。到目前为止，我已经避免了这种情况，但是我们已经在我们的 Web 服务器上使用 Virtualmin 有一段时间了，我想将其扩展到将它用于高可用性集群。我们的网络合作伙伴最近建立了一个数据中心，它消除了我们所有的其他问题，例如网络、冷却和电源问题，所以现在唯一出问题的就是我在为服务器充电，这在本月早些时候发生了。

我们避免走这条路的一个更大的原因是我们的硬件要求不是特别高。一台服务器可以轻松处理我们托管的所有站点（其中大多数是平面站点）。此外，负载平衡路由器往往既昂贵又复杂。我真正期望做的只是构建一个双节点集群以实现冗余，这样当我对服务器进行软管处理时（尽管这种情况可能很少），在我重建它时我们不会有 8 到 12 个小时的时间。

我需要知道的是如何开始，以及我是否真的能够为这种事情烦恼。

我是一家小型 ISP 的系统管理员，我们有自己的邮件服务器（qmail，所有被遗忘的东西），总共为大约 300 个域和 5000 个用户提供邮件。它的磁盘空间不足，我们必须更换硬件以使其更大。

于是，我基于Exim新建了一个邮件服务器，它使用Dovecot进行POP/IMAP，并修改为在Dovecot端和Exim端都使用MySQL进行用户认证（之前在接收邮件时验证账户是否存在）接受投递邮件）。这一切都基于struction.de上的 HOWTO ，在解决了所有问题之后，一切都顺利进行，直到我到达用户需要能够管理自己的帐户的部分，或者至少是喜欢频繁创建/删除帐户的域托管客户。

Vexim 基本上是一个死项目，所以我避免了。有人推荐Postfixadmin。

现在，虽然它几乎可以工作，但它缺少一个大而肥的功能，它破坏了我的设置：用户定义的垃圾邮件分数，存储在用户帐户的 MySQL 数据库中。同样重要的是，系统的整个设计似乎都需要围绕 Postfixadmin 构建，而不是把 Postfixadmin 放在首位。我刚刚倒着设计了整个系统。

我一直在做这个项目，现在我只想放弃它，买一些软件，让邮件服务器按照我们需要的方式正常工作。我也不打算在接下来的一到六个月内构建一个新版本的 Postfixadmin（以我的设计和编程技能，那是一个糟糕的），或者只是修改当前版本。

有没有办法摆脱这种情况？

我只是在安装一个新的邮件服务器，使用 Exim 4 和 sa-exim Debian 软件包。部分配置使用了 Teergrubing（或 tarpitting），虽然这在理论上听起来是个好主意，但我也明白现在很多垃圾邮件发送者都让它变得毫无意义。他们要么通过使用巨大的僵尸网络（这对垃圾邮件发送者有其他优势）来解决这个问题，要么在发送消息的 DATA 部分后立即结束 SMTP 事务。

但我的问题真的是“这是否足以阻止大多数垃圾邮件发送者？” 我知道仍然有很多愚蠢的垃圾邮件发送者使用简单的方法发送垃圾邮件。我只是想知道 tarpitting 是否值得。

我为一家小型 ISP 工作，该 ISP 为大约 6,000 名用户托管电子邮件，我们正在升级到新的 Debian 邮件服务器。我们从用户那里得到的众多请求之一是能够自己更改他们的电子邮件密码。

过去，除了 qmailadmin 之外，我们一直避免使用此选项，它只提供给我们可以信任的少数商业客户。一般来说，让用户更改自己的电子邮件密码一直在我的脑海中，这是灾难的根源。这不仅意味着他们可能会使用极其愚蠢的密码，而且代码错误导致攻击者更改每个人的密码的可能性可能非常高。

另外，从历史上看，我们已经让 Webmail（如果你想知道的话，Squirrelmail 和 Horde）完全运行在一个单独的服务器上，但是许多 HOWTO 说要把它们放在同一个服务器上。同样，这是我避免的事情，因为我很偏执，但可能是正确的。如果我没记错的话，这就是用户无法通过自己的网络邮件更改密码的最大原因。

是我太偏执了，还是这只是过去 7 年没有人侵入我们的邮件服务器的原因？（除了用户密码的奇怪的垃圾邮件网络钓鱼）

我们有一个 IBM x 系列 345，我们正在寻求升级，但我很难找出硬盘控制器的限制（一个 Adaptec AIC-7902 RAID 控制器，支持 U320 SCSI 磁盘）。手册上说 345 的最大磁盘容量是 880 gig，恰好是 146.6 x 6。虽然有很多 146 Gig 驱动器，但也有 300 gig 驱动器（或者，我怀疑它们实际上是 292演出驱动器）可用，这将是可取的。

Adaptec 7902 控制器是否只支持恰好是 U320 磁盘的任何驱动器，还是有某种大小限制？

我想请任何可能已经具备我即将获得的经验的人提供一些建议。

我们即将用一些更大的磁盘升级 POP 服务器中的 RAID-1 阵列。系统本身大约有 6 年的历史（我是最初构建它的人），运行 FreeBSD 4.9，RAID 控制器是 Adaptec 2400A。操作系统位于单独的驱动器上。由于成本、新硬件的不确定性以及旧 PCI 控制器的不可用，我们已经考虑并拒绝了完全更换控制器和驱动器的想法。

我搜索了有关此过程的文档，但没有找到任何文档。死树格式也没有提及它。

可以这么说，我的计划到目前为止是这样的：

1. 通知用户。
2. 对数据进行完整备份。
3. 关闭服务器，更换阵列中的驱动器 2。
4. 启动服务器，让阵列重建。
5. 再次关闭服务器（可能在第二天），并更换驱动器 1 和阵列中的热备件。
6. 希望这会使阵列的大小自动变大，或者使用它附带的磁盘上的存储管理软件来摆弄它。

我不喜欢以“希望”结尾的计划。这就是我问Serverfault的原因。“在测试平台上测试它”也不是一个真正的选择（这就是原来的“更换控制器”选项死亡的原因）。

当然，最后一个可能的选择是“核对驱动器并构建一个新驱动器，然后恢复备份”，但是在这种情况下很可能会丢失邮件，以及额外的停机时间。我宁愿我的计划按我应该的方式进行。

因此，我们为其中一台老化的服务器购买了一些硬件。

而且，无论出于什么让我完全困惑的原因，驱动程序文件都不存在于附带的 CD 上。相反，它们存在于 CD 上的软盘映像文件中，首先必须将其写入软盘，然后从软盘中复制文件。不幸的是，我们拥有的每张软盘都因年代久远而损坏。所以我需要一种从该图像中提取文件的方法。

请注意，我们不只是完全更换服务器的原因（这肯定是到期的）是因为这不在预算之内。

编辑：磁盘映像显然是 UFS 格式。Windows 程序将无法运行！