Ale's questions

是否有可能以及如何配置 Exim4 邮件服务器以在使用 DKIM 签名并传输它们之前将传出消息（或消息部分）从 8 位编码转换为 Quoted-Printable（或 Base64，尽管我更喜欢 QP） ?

我们目前有一个设置，其中包含 8 位部分的消息在到达目标服务器时会获得无效的 DKIM 签名，因为它们被上游服务器（我们无法控制）转换为 Quoted-Printable。不幸的是，我们不能真正抱怨上游服务器的行为，因为 RFC4871 明确指出签名服务器必须在签名之前以适当的编码重新编码邮件（参见 [RFC4871 第 5.3 节][1]）：

为了最大限度地减少这种破坏的可能性，签名者应该在签名之前将消息转换为合适的 MIME 内容传输编码，例如带引号的可打印或 base64，如 MIME 第 1 部分 [RFC2045] 中所述。

因此，我希望这种转换是任何支持 DKIM 的邮件服务器的基本功能，但据我在 exim 手册中搜索，没有类似的东西。这个问题有什么已知的解决方案吗？[1]：https ://www.rfc-editor.org/rfc/rfc4871#section-5.3

对于我们的 Windows 10（教育版）安装映像，我想阻止用户在C:\. 该安装是由学生在教室里共享 PC 使用的，因此我们希望保持磁盘的主目录干净（他们都有主目录来存储他们的数据）。在当前安装的 Windows 7 中，我可以非常简单地使用标准 Windows GUI 编辑权限。使用 Windows 10，它会失败。

我已经尝试过的：

• 从 GUI 更改权限 →无法枚举容器中的对象（访问被拒绝）。
• 从 GUI 获取目录的所有权C:\→访问被拒绝
• 从 GUI添加拒绝条目，而不更改现有权限 →拒绝访问
• cacls使用提升的命令提示符更改权限→拒绝访问
• 使用命令从提升的命令提示符获取所有权takeown /f c:\ /a→拒绝访问
• 来自在 SYSTEM 用户下运行的命令提示符的相同cacls和takeown命令（使用 获得psexec64）→访问被拒绝

尽管允许用户创建自己的文件夹（不允许新文件）不应该是安全风险C:\，但这不是我们想要的，因为我们希望确保人们使用他们的家（有备份和快照，与本地 PC 硬盘不同）。

权限C:\看起来与 Windows 7 Enterprise 安装上的相同，包括强制标签（icacls在两种情况下都显示Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)），并且所有者相同（TrustedInstaller），所以我不希望看到 Windows 7 和 Windows 之间的区别10 对此。

现在，有一个实际可行的选项：使用caclsWindows 10 恢复命令提示符。然而，虽然这个解决方案对于映像部署来说很好，但我们也有几台机器需要手动更正，因为我们无法重新映像它们。尽管我可以通过 PXE 启动 Windows 10 恢复（使用memdiskCD 的 ISO 映像），但如果这可以在机器上运行的实际操作系统中完成，那将非常有帮助。如果它可以与 GPO 合二为一，那就更好了。

RedHat Enterprise Linux 6 上 Nagios 的 EPEL 软件包已在几周前从 3.4 版更新到 4.3 版。更新是通过一个简单的yum update命令完成的，没有任何迹象表明版本发生了重大变化。

尽管更新后 Nagios 看起来工作正常（所有服务都在 Web 界面中正确可见），但实际上并没有多少工作：没有执行服务检查，也没有发送邮件。数十条错误消息可见于/var/log/messages：

Jan 26 15:58:55 srv1 nagios: Unable to send check for host 'srv3' to worker (ret=-2)
Jan 26 15:58:58 srv1 nagios: Unable to run check for service 'Total Processes' on host 'srv4'
Jan 26 15:59:05 srv1 nagios: Unable to run check for service 'Lab Home Partition' on host 'srv1'

此外，尝试重新启动 nagios 最终会出现更新之前不存在的错误：No usable PID found in /var/run/nagios/nagios.pid. 这部分问题似乎在这里有一个解决方案：Nagios Woudn't Start, now won't Stop！

在注意到更新创建了一个/etc/nagios/nagios.cfg.rpmnew文件后，我diff使用 3.5.1 RPM 中的原始配置文件运行了一个以查看差异是什么，并相应地更改了实际的配置文件。更改主要涉及运行时使用的一些文件的位置（这里是新版本的值）：

object_cache_file=/var/spool/nagios/objects.cache
precached_object_file=/var/spool/nagios/objects.precache
lock_file=/var/run/nagios/nagios.pid
temp_file=/var/spool/nagios/nagios.tmp
check_result_path=/var/spool/nagios/checkresults

这解决了上面提到的停止/重启问题，但是，它破坏了现在显示Error: Could not read object configuration data!. 并且服务检查仍然没有运行。

中也出现错误消息/var/log/audit/audit.log，表明问题可能与 SELinux 相关（系统运行在强制模式下）：

type=AVC msg=audit(1516991640.421:263116): avc:  denied  { getattr } for  pid=29_exec_t:s0 tclass=file
type=SYSCALL msg=audit(1516991640.421:263116): arch=c000003e syscall=4 success=n fsgid=494 tty=(none) ses=4000 comm="check_procs" exe="/usr/lib64/nagios/plugins

事实上，暂时将 SELinux 设置为 permissive 模式可以完全解决问题；但是，这不是解决方案。如何在将 SELinux 保持在强制模式的同时正确更新 SELinux 设置？

我有一个在 RedHat Enterprise 服务器 6.7 版上运行的 Samba 服务器（3.6.23-30 版）。它加入 Active Directory，并向 AD 验证用户。Winbind 未运行（“未使用 Winbind；用户和组是本地的”情况，根据 Samba howto）。很长一段时间以来，这一直运行良好，直到从 samba 3.6.23-25 到 3.6.23-30 的最后一次更新（实际上，10 天前在 3.6.23-26 中引入了几个针对安全问题的修复，包括 Badlock，但是版本从未在这里部署）。

我尝试将 Samba 降级到 3.6.23-25，这解决了问题（但当然不是解决方案，考虑到 3.6.23-26 中包含的安全修复程序）：

yum downgrade samba-3.6.23-25.el6_7.x86_64 samba-common-3.6.23-25.el6_7 samba-winbind-clients-3.6.23-25.el6_7 samba-client-3.6.23-25.el6_7 samba-winbind-3.6.23-25.el6_7

安装更新后，用户无法再连接到服务器上的共享，直接收到“拒绝访问”消息：

C:\Users\admin>net use \\servername /user:INTRANET\username
The password or user name is invalid for \\servername.

Enter the password for 'INTRANET\username' to connect to 'servername':
System error 5 has occurred.

Access is denied.

这不是由于密码错误或类似原因，因为在这种情况下，它会显示错误 1326（用户名或密码不正确）。已尝试从 Windows 7、Windows Server 2012 R2 甚至 Windows XP SP3 连接，结果相同。

net ads testjoin表示该服务器已正确加入 Active Directory。我也尝试离开 AD 并重新加入它，但并没有改善这种情况。

smbd 日志中客户端的错误消息（使用调试日志级别）是：

[2016/04/18 14:09:19.133618,  2] ../libcli/auth/credentials.c:289(netlogon_creds_client_check)   credentials check failed
[2016/04/18 14:09:19.133674,  0] rpc_client/cli_netlogon.c:623(rpccli_netlogon_sam_network_logon)   rpccli_netlogon_sam_network_logon: credentials chain check failed 
[2016/04/18 14:09:19.134036,  0] auth/auth_domain.c:331(domain_client_validate)   domain_client_validate: unable to validate password for user username in domain INTRANET to Domain controller AD6. Error was NT_STATUS_ACCESS_DENIED. 
[2016/04/18 14:09:19.135842,  5] auth/auth.c:281(check_ntlm_password)   check_ntlm_password: winbind authentication for user [username] FAILED with error NT_STATUS_ACCESS_DENIED 
[2016/04/18 14:09:19.135917,  2] auth/auth.c:330(check_ntlm_password)   check_ntlm_password:  Authentication for user [username] -> [username] FAILED with error NT_STATUS_ACCESS_DENIED

现在，如果我启动 winbind 守护程序，身份验证问题就会消失，用户可以成功连接到 Samba 服务器。但是，在这种情况下，会出现第二个烦人的问题。获取一个用户由于组成员身份而仅具有权限的目录（即，用户是 Samba 服务器上 UNIX 组的成员）：

username$ ls -l /export/projects/testproject
drwxrws---.  2 root testgrp     4096 Apr 18 11:24 testproject

这里，username是该testgrp组的成员并且可以成功访问该目录：

username$ ls -l /export/projects/testproject/
-rw-r--r--. 1 root testgrp         0 Apr 18 11:24 test.txt

连接到 Samba 服务器的同一用户无法访问该目录（访问被拒绝）。在更新之前（winbindd 禁用），访问工作正常。我想这与winbindd正在运行的事实有关，因为该testgrp组没有映射到任何 AD 对象（它在 Windows 资源管理器的Security选项卡中显示为UNIX group\testgrp）。

有什么方法可以像这里一样在启用 winbind 的情况下使用本地组（并且不需要创建相应的 AD 对象）？我尝试将其添加到 smbd.conf：

idmap config * : backend = tdb
idmap config * : range = 1000000-1999999

但它并没有改善任何东西，也是因为我猜这只是将 AD 用户/组映射到 Linux 用户/组，而不是相反。

或者，在没有运行 Samba 时，“访问被拒绝”问题可能是什么winbindd？这是更新引入的错误（因此应该作为错误报告发送给 RedHat），还是由于安全模型的某些更改而导致的功能？

在通过更新 DNS 记录将现有网站切换到生产之前在新服务器上测试现有网站的常用方法是更改hosts​​开发机器上的文件（/etc/hosts在 *NIX 系统和%windir%\system32\drivers\etc\hostsWindows 上），让操作系统解析服务器到新服务器。因此，开发人员可以在实际部署之前在真实条件下测试新服务器。

现在，更改hosts文件也有一些缺点，其中：

• 开发人员可能会忘记删除更改，从长远来看可能会产生不良影响
• 更改需要计算机上的管理访问权限

因此问题是：有没有办法只在浏览器中进行这种更改（对于 Firefox、Chrome 和/或 MSIE）？在寻找 Firefox 时，我找到了两个或三个附加组件，但它们都做同样的事情：修改操作系统范围的hosts文件。

我正在寻找一种可在 MS Windows 和 Linux 上运行的独立轻量级解决方案，它不需要管理员权限（例如，我可以让学生在他们的实验室 PC​​ 上执行此操作），并且无需任何外部硬件/服务（例如做 DNS 欺骗的路由器或做同样事情的代理服务器）。