前段时间,谁知道我添加www-data了一个名为devs. 我现在想删除它,但它不允许我显示以下消息:
$ sudo deluser www-data devs
/usr/sbin/deluser: The user `wwww-data' does not exist.
但是,它确实存在:
$ cat /etc/passwd | grep www-data
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
它当然属于该组:
$ cat /etc/group | grep devs
devs:x:1004:www-data,other_user
我当然可以手动编辑文件,但是发生了什么?
PD:Ubuntu 14.04。
我对vsftpd本地用户和虚拟用户之间的配置差异感到有些困惑。从 vsftpd 的角度来看,它不知道用户是本地用户还是虚拟用户,不是吗?vsftpd只需连接到中设置的 PAM 模块pam_service_name,如果根据 PAM 的凭据正确,则接受登录。
那么,为什么vsftpd文档会在它们之间产生差异?
例如,我有一个个性化的 PAM 模块,它从不使用系统本地 ( /etc/passwd) 用户的数据库中获取登录凭据,因此,即使在我的文档local_enable中设置为,我也无法使用任何系统帐户登录。YES
正是这种困惑让我无法完全理解virtual_user_local_privs. 在哪些情况下vsftpd将登录用户视为本地用户或虚拟用户?PAM 是否以vsftpd某种方式通知它?O有什么我完全误解的吗?
由于遗留原因,此配置选项是否仍然存在?
所有这些混乱都来自于vsftp没有提供实际的文档,而只是一个参考。
正如 StartSSL 所说,我为我的 postfix/dovecot Ubuntu 14.04 服务器创建了一个 CST 和私钥对,其中:
openssl req -newkey rsa:2048 -keyout mydomain.key -out mydomain.csr
在密码短语提示中,我介绍了(为什么不,对吗?)密码,而不是将密码留空以获得不受保护的密钥。
将文件粘贴csr到 StartSSL 后,我收到了与密码保护文件关联的相应证书。
我有使用该证书的 Dovecot 和 Postfix:
// /etc/postfix/main.cf
smtpd_tls_cert_file = /etc/ssl/private/mychain.pem
smtpd_tls_key_file = /etc/ssl/private/mydomain.key
smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
// /etc/dovecot/conf.d/10-ssl.conf
ssl_cert = </etc/ssl/private/mychain.pem
ssl_key = </etc/ssl/private/mydomain.key
使用 进行测试时checktls.com,我收到:
// other steps omited
749.-->STARTTLS\r\n
750.<--454 4.7.0 TLS not available due to local problem\r\n
在我的系统日志中,SMTP 错误以及一个dovecot错误,幸运的是,发生在那个时刻(我猜我的一些客户当时正试图连接):
Oct 25 18:49:12 ns dovecot: pop3-login: Error: SSL private key file is password protected, but password isn't given
Oct 25 18:49:12 ns dovecot: pop3-login: Fatal: Couldn't parse private ssl_key: error:0907B068:PEM routines:PEM_READ_BIO_PRIVATEKEY:bad password read
Oct 25 18:49:12 ns dovecot: master: Error: service(pop3-login): command startup failed, throttling for 60 secs
Oct 25 18:49:16 ns postfix/smtpd[30437]: connect from www4.checktls.com[216.68.85.112]
Oct 25 18:49:17 ns postfix/smtpd[30437]: lost connection after UNKNOWN from www4.checktls.com[216.68.85.112]
Oct 25 18:49:17 ns postfix/cleanup[30461]: 93088330D956: message-id=<[email protected]>
Oct 25 18:49:17 ns postfix/smtpd[30437]: disconnect from www4.checktls.com[216.68.85.112]
那么,如何让 Postfix 和 Dovecot 知道密码,删除密码,还是必须重新更新证书?
我更喜欢第一个问题的解决方案(让他们知道密码),因为这对我来说是一个新情况,所以我学到了一些东西(也许我需要将该密钥的密码“注册”到系统的某个密码池? )
我为开发人员创建了一个组,让他们可以访问:/var/lib/dev,一个已经有一些文件夹和文件的文件夹。
我介绍的命令是:
$ sudo useradd -d /var/dev -M -r devmaster
因此,devmaster是具有主要组的新系统用户devmaster。可以通过以下方式检查id:
$ id devmaster
uid=998(devmaster) gid=998(devmaster) groups=998(devmaster)
然后,我更改了权限(使用chmod/ chown)如下:
$ cd /var
$ sudo chown -R root:devmaster dev
$ sudo chmod -R o-wrx dev
$ sudo chmod -R g+wrx dev
最后(我的用户名只是justme):
$ sudo usermod -G devmaster justme
$ id justme
uid=1000(justme) gid=1000(justme)
groups=1000(justme),998(devmaster)
$ ls -lh
// Omitted
drwxrwx--- 3 root devmaster 4,0K dic 12 19:48 dev
// Omitted
但是,如果我尝试进入目录:
$ cd dev
-bash: cd: dev: Permission denied
我怎么了?
首先,对不起我的英语。
permit_mynetworks我认为在列表的第一个位置设置和permit_sasl_authenticated限制是很常见的smtpd_recipient_restriction,但是,如果一个帐户被盗用(病毒使用被盗的凭据 - 例如来自 Outlook 配置文件 - 发送垃圾邮件),并且经过身份验证的客户端可以发送电子邮件在没有进一步限制的情况下,您的最后机会是您的 milters 正确拒绝来自受感染帐户的垃圾邮件;但是,效率不是更低吗?
我认为 postfix 更有效地拒绝垃圾邮件,因为它使用来自 SMTP 协议等的信息,但 milters 必须扫描邮件的内容以检测邮件是否为垃圾邮件。
但是,我的所有客户端都使用 TLS 连接到我的服务器。病毒/垃圾邮件发送者能否使用加密连接发送电子邮件(如果他们窃取了密码)?我不这么认为,因为垃圾邮件发送者试图尽可能快地传递消息,而加密连接对于这些目的来说太慢了。
如果是这种情况,我允许经过身份验证的客户端发送邮件没有问题,但我想确定一下。
如果我没记错的话,在公司拥有的域名内,他们的管理员可以完全自由地在域树内创建任意数量的分割(区域委托),但是,在他自己的自由范围内,当是时候在域树中创建新的子区域,而不是将每个子域都放在同一个区域中?还是我对管理员的“放荡”有误,是否有一些完善的“政策”(例如,当必须为不同的名称服务器提供权威答案时,只创建新区域)?
标题说明了关于我的一切问题。解析器如何知道响应来自权威名称服务器?一个等效的问题:名称服务器标记了哪些标志或字段来告诉解析器它的响应不是权威的?最后一个相关问题,辅助 DNS 服务器总是非权威的?
这是我第一次配置邮件服务器。我向您解释完整的图片。目前,我的公司 company.com 有一个 old-win-2008-server-with-no-way-to-know-its-current-configuration-because-everything-is-pure-chaos,我们正在迁移我们所有的域(大约 40 个小站点)到带有 Ubuntu 12.04 的新 Strato 服务器,以使事情正确。
关于 Linux 管理、apache、权限等我没有问题。我缺乏了解与邮件服务器有关。这些天我学到了很多东西,但我对本地交付有一些疑问。
具体来说,我想正确设置后缀参数myorigin,和myhostname,以及.mydomainmydestination/etc/mailname
我的默认主机名是 xxxx.stratoserver.net(strato 给我们的默认主机名),但是当然,我们的“标准域”是 company.com,并且在同一个服务器(我们只有一个)中,我们将配置一个 bind9我们 40 个站点的服务器,以及这 40 个站点的 apache、postfix、dovecot 等。
我看到myorigin的阅读教程总是设置为 mail.company.com 之类的东西(手动设置或委托给 /etc/mailname)。首先是,为什么是 mail.company.com 而不仅仅是 company.com?如果为系统的任何进程生成本地消息,我想将该电子邮件发送到[email protected]而不是发送到[email protected].
如果我将“主机名”更改为与 company.com 而不是 xxxx.stratoserver.net 相关的内容,两个主机名之间没有冲突吗?
本地邮件投递到哪里?该帐户可以从外部访问吗?我的意思是,我可以通过 POP3/IMAP 获取本地电子邮件吗?还是出于任何原因不推荐这样做?如果我将与本地邮件相关的所有内容都更改为@localhost,会发生什么?
我知道我提出了太多的问题,而且问题必须在 stackexchange 网络中具体化,但是这个疑问包可以恢复为“我想了解本地邮件/主机名/邮件名的全貌”,或者至少,从postfix 的观点/dovecot 的观点。
注意:虽然@clement 的回答对我来说已经足够了(实际上已经足够了,:P),但这个阅读对于最终理解“全貌”非常有用:http ://www.postfix.org/VIRTUAL_README.html
我创建了一个具有以下请求的示例用户:
grant select, insert, update, delete on db.* to user@localhost identified by 'pass';
但该用户也需要使用权限start transaction和commit. 哪个是允许这两个命令的合适权限?
我想为不同的网站创建一些 mysql 用户,但不允许他们进行交互式连接。
如果恶意用户获得了网站的 mysql 登录凭据,则创建从终端到服务器的连接相当简单,但将 PHP 脚本上传到服务器是另一回事。我认为这个限制不是不必要的。
简而言之,我怎样才能禁止特定用户的交互式连接?