Francis's questions

我在 Ubuntu 服务器 (NBDE) 上使用 clevis/tang 解锁我的驱动器。它工作正常，但即使我的服务器配置为使用 /etc/netplan/01-netcfg.yaml 中的静态 ip，我的网络接口也会监听启动过程中的两个 dhcp ip。启动完成后如何删除它？

我使用以下命令启用了 clevis：

sudo apt install clevis clevis-systemd clevis-initramfs clevis-luks
sudo clevis luks bind -d /dev/sda3 sss '{"t": 1, "pins": {"tang": [{"url": "http://10.1.1.1:8888"},{"url": "http://10.2.2.2:8888"}]}}' 
sudo update-initramfs -u -k 'all'

重新启动我的服务器后，网络接口获得了 3 个 ips！我在 /etc/netplan 中配置的静态 ip 和两个 dhcp ip。一个 dhcp ip 被 clevis 进程使用（我在我的 tang 服务器上看到了一个踪迹）。另一个似乎是在 U 形夹过程完成后分配的。

我能够制作 clevis 来删除它使用的 dhcp ip。我注意到 at 的脚本/usr/share/initramfs-tools/scripts/local-bottom/clevis与 clevis git 存储库中的脚本不同。我iface=$(basename "$iface")在if [ -e "$iface" ]; then.

但是我仍然在我的界面上使用一个无用的 dhcp ip。当我执行时netplan apply，systemd-networkd 甚至刷新 dhcp 租约，就像您可以在以下日志提取中一样：

Oct 22 12:04:56 testserver systemd[1]: Reloading.
Oct 22 12:04:56 testserver systemd[1]: /lib/systemd/system/dbus.socket:5: ListenStream= references a path below legacy directory /var/run/, updating /var/run/dbus/system_bus_socket → /run/dbus/system_bus_socket; please update the unit file accordingly.
Oct 22 12:04:56 testserver systemd[1]: systemd-networkd-wait-online.service: Succeeded.
Oct 22 12:04:56 testserver systemd[1]: Stopped Wait for Network to be Configured.
Oct 22 12:04:56 testserver systemd[1]: Stopping Network Service...
Oct 22 12:04:57 testserver systemd[1]: systemd-networkd.service: Succeeded.
Oct 22 12:04:57 testserver systemd[1]: Stopped Network Service.
Oct 22 12:04:57 testserver systemd[1]: Condition check resulted in OpenVSwitch configuration for cleanup being skipped.
Oct 22 12:04:57 testserver systemd[1]: Starting Network Service...
Oct 22 12:04:57 testserver systemd[1]: Condition check resulted in OpenVSwitch configuration for cleanup being skipped.
Oct 22 12:04:57 testserver systemd-networkd[1711]: eno3: Gained IPv6LL
Oct 22 12:04:57 testserver systemd-networkd[1711]: Enumeration completed
Oct 22 12:04:57 testserver systemd[1]: Started Network Service.
Oct 22 12:04:57 testserver systemd-networkd[1711]: eno3: IPv6 successfully enabled
Oct 22 12:04:57 testserver systemd-networkd[1711]: eno3: DHCPv4 address 10.1.1.71/21 via 10.1.0.1

但我在 netplan 配置中根本不使用 dhcp！

# This file describes the network interfaces available on your system
# For more information, see netplan(5).
network:
  version: 2
  #renderer: networkd
  ethernets:
    eno3:
      dhcp4: no
      addresses:
      - 10.1.0.99/21
      gateway4: 10.1.0.1
      nameservers:
        addresses:
        - 10.1.0.3
        - 10.1.0.33

当我启动时netplan --debug apply，我看到dhcp4配置合并后启用！？但与什么合并？可以从/run/netplan/eno3.yaml? 在该文件中，我看到启用了 dhcp 的动态网络配置。什么会生成该文件？

我正在尝试将 IMAP 邮件从 dovecot 1.1.20apple0.5 (osx) 迁移到 dovecot 2.2.33.2 (ubuntu)。我正在使用“doveadm 备份”来迁移我的数据。它适用于所有子文件夹，但根 INBOX 在新服务器上保持为空。我怀疑与层次分隔符（以前的服务器上的“.”，新服务器上的“/”）或命名空间前缀（新服务器上的设置为“INBOX/”）有关的问题。有什么提示吗？

显示收件箱中没有消息：

# doveadm mailbox status -u (myuser) all INBOX
INBOX messages=0 recent=0 uidnext=1 uidvalidity=1553630060 unseen=0 highestmodseq=1 vsize=0 guid=d54cd42849739b5cb5790000ed87e144 firstsaved=18446744073709551615

显示子目录中有消息：

# doveadm mailbox status -u (myuser) all INBOX/Sent
INBOX/Sent messages=253 recent=0 uidnext=8721 uidvalidity=1263328366 unseen=0 highestmodseq=256 vsize=16335358 guid=bfb2e03fdce327671e82bf173b1ccb8b firstsaved=1553634631

我在新服务器上运行的用于迁移数据的命令：

# doveadm -o mail_fsync=never backup -R -u (myuser) imapc:

我在新服务器上的配置：

# doveadm -n
# 2.2.33.2 (d6601f4ec): /etc/dovecot/dovecot.conf
# Pigeonhole version 0.4.21 (92477967)
# OS: Linux 4.15.0-46-generic x86_64 Ubuntu 18.04.2 LTS 
auth_default_realm = example.com
doveadm_password =  # hidden, use -P to show it
doveadm_port = 53683
first_valid_uid = 200
imapc_features = rfc822.size fetch-headers
imapc_host = oldmail.example.com
imapc_master_user = (removed)
imapc_password =  # hidden, use -P to show it
imapc_user = %n
last_valid_uid = 200
mail_location = mbox:~/mail:INBOX=/var/mail/%u
mail_plugins = " notify replication zlib quota"
mail_prefetch_count = 20
mail_privileged_group = mail
managesieve_notify_capability = mailto
managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date index ihave duplicate mime foreverypart extracttext
mdbox_rotate_size = 10 M
namespace inbox {
  inbox = yes
  location = 
  mailbox "Éléments envoyés" {
    special_use = \Sent
  }
  mailbox "Éléments supprimés" {
    special_use = \Trash
  }
  mailbox Brouillon {
    special_use = \Drafts
  }
  mailbox "Courrier indésirable" {
    special_use = \Junk
  }
  mailbox Drafts {
    auto = subscribe
    special_use = \Drafts
  }
  mailbox Junk {
    auto = subscribe
    special_use = \Junk
  }
  mailbox Sent {
    auto = subscribe
    special_use = \Sent
  }
  mailbox "Sent Messages" {
    special_use = \Sent
  }
  mailbox Trash {
    auto = subscribe
    special_use = \Trash
  }
  prefix = INBOX/
  separator = /
}
passdb {
  args = /etc/dovecot/dovecot-ldap.conf.ext
  driver = ldap
}
plugin {
  mail_replica = tcps:mail2.example.com:53683
  quota = count:User quota
  quota_grace = 10%%
  quota_rule = *:storage=10G
  quota_rule2 = INBOX/Trash:storage=+100M
  quota_vsizes = yes
  quota_warning = storage=100%% quota-warning 100 %u
  quota_warning2 = storage=95%% quota-warning 95 %u
  quota_warning3 = storage=90%% quota-warning 90 %u
  quota_warning4 = storage=85%% quota-warning 85 %u
  quota_warning5 = storage=75%% quota-warning 75 %u
  quota_warning6 = -storage=80%% quota-warning '-80' %u
  quota_warning7 = -storage=100%% quota-warning '-100' %u
  sieve = /var/vmail/domains/%Ld/%Ln/.dovecot.sieve
  sieve_before = /var/vmail/sieve/before.sieve
  sieve_default = /var/vmail/sieve/default.sieve
  sieve_global = /var/vmail/sieve/global
  zlib_save = lz4
}
protocols = " imap lmtp sieve"
service aggregator {
  fifo_listener replication-notify-fifo {
    user = vmail
  }
  unix_listener replication-notify {
    user = vmail
  }
}
service auth {
  inet_listener {
    address = (removed)
    port = 55123
  }
  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
  }
}
service doveadm {
  inet_listener {
    port = 53683
    ssl = yes
  }
}
service imap-login {
  inet_listener imap {
    port = 0
  }
  process_min_avail = 10
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    group = postfix
    mode = 0660
    user = postfix
  }
}
service quota-warning {
  executable = script /usr/local/bin/quota-warning.sh
  unix_listener quota-warning {
    user = vmail
  }
}
service replicator {
  process_min_avail = 1
  unix_listener replicator-doveadm {
    mode = 0600
    user = vmail
  }
}
ssl = required
ssl_cert = </etc/ssl/example/example.com.crtbundle
ssl_client_ca_dir = /etc/ssl/certs
ssl_key =  # hidden, use -P to show it
userdb {
  args = /etc/dovecot/dovecot-ldap.conf.ext
  driver = ldap
}
verbose_proctitle = yes
protocol lmtp {
  mail_plugins = " notify replication zlib quota sieve"
  postmaster_address = [email protected]
}
protocol imap {
  mail_plugins = " notify replication zlib quota imap_zlib imap_quota"
}

配置 LDAP

# cat /etc/dovecot/dovecot-ldap.conf.ext | grep -v "^#" | grep -v "^$"
uris = ldaps://dc1.ad.example.com ldaps://dc2.ad.example.com
dn = (removed)
dnpass = (removed)
auth_bind = yes
base = (removed)
scope = subtree
deref = never
user_filter = (&(mail=%u)(memberOf:1.2.840.113556.1.4.1941:=CN=acces_courriels,(removed))(&(|(objectclass=person))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))))
pass_filter = (&(mail=%u)(memberOf:1.2.840.113556.1.4.1941:=CN=acces_courriels,(removed))(&(|(objectclass=person))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))))
iterate_filter = (&(mail=*)(memberOf:1.2.840.113556.1.4.1941:=CN=acces_courriels,(removed))(&(|(objectclass=person))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))))
iterate_attrs = mail=user
user_attrs = \
  =quota_rule=*:storage=%{ldap:division:10G}, \
  =home=/var/vmail/domains/%Ld/%Ln, \
  =mail=mdbox:/var/vmail/domains/%Ld/%Ln/mdbox, \
  =uid=200, \
  =gid=200

用户正在共享他们的密码。如您所知，这很糟糕！他们这样做的主要原因是允许同事在他们不在时访问他们的文件。是的，他们可以提前计划，但这并不总是可行的。

我正在寻找一种方法，可以将这些文件的访问权限授予团队负责人，而无需共享密码，也无需要求 IT 重置用户密码。所有文件都存储在本地。用户的目录不存储在网络共享上。

我尝试创建一个 GPO 以向 C:\Users 上的团队负责人添加读取访问权限，但该权限不会传播到用户的目录。

我更像是一名 Linux 管理员而不是 Windows 管理员。在 Linux 世界中，我只会使用 sudo，但我认为 Windows 不存在类似的东西。

你有没有看到另一种方法来实现我想要做的事情？

我正在我们的工作站上实施软件限制政策。该策略是阻止除白名单路径列表之外的所有内容。

我正在尝试将 Thunderbird 用户配置文件中的目录列入白名单，以允许 Lightning 扩展工作。路径是%APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll。

用户的个人资料名称是随机生成的，所以我需要一个通配符。

不幸的是，由于通配符，这似乎不起作用。DLL 继续被 SRP 阻止。

我还尝试将证书列入白名单（DLL 由 Mozilla 证书签名），但这不起作用。也许这仅适用于签名的.exe？

我暂时将哈希列入白名单，但这需要在每次发布 Thunderbird 后进行维护，所以我更愿意将路径列入白名单。

Applocker 不是一个选项，我们使用的是 Windows 10 Pro。

任何想法？

我仍在 osx 服务器上使用 Dovecot v1 (1.1.20)。我正在尝试禁用 SSLv2。好像默认配置已经禁用它：

ssl_cipher_list = ALL:!LOW:!SSLv2:!aNULL:!ADH:!eNULL

但是当我用 ssllabs 测试我的 web 服务器时，它抱怨我的邮件服务器（pop、imap）由于使用了 SSLv2（相同的密钥）而容易受到攻击。我也试过：

ssl_cipher_list = ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!RC4+RSA:+HIGH:+MEDIUM:!SSLv2

没有更多的成功。

我知道，这台服务器需要重大的软件更新。

我正在尝试使用 Ansible 将用户添加到我的服务器。每个用户都有不同的加密密码。

我有类似的东西：

vars:
  users:
    - myuser1
    - myuser2
  password: encryptedpasswordhere

tasks:
  - name: Creating users
    user: name={{ item }} password={{ password }} groups=sudo,adm shell=/bin/bash
    with_items: users

这很好用，但所有用户都有相同的密码。

我正在寻找一个关联数组。在 PHP 中，我会这样做：

$users = array('user'=>'myuser1', 'password'=>'encryptedpass1',
               'user'=>'myuser2', 'password'=>'encryptedpass2',
               );

在 Ansible 剧本中有一种方法可以做到这一点吗？