aPugLife's questions

我想在出现电源故障时关闭我的 NAS 和 ESXI。这两个系统都在伊顿 UPS 上运行。我只运行 Linux 系统，因此我不能使用 Eaton Manager，仅限 Windows。

由于我将 Nagios 用于其他任务，因此我想创建一个插件，使用 ssh-public-key 可以连接到上述系统并关闭它们。

Nagios 用户的公钥已经安装在 ESXI 的 root 用户上（NAS 稍后会出现）。 当我将用户更改为 Nagios（在 Nagios 服务器上）并手动运行脚本时，它会连接到 ESXI 并且（目前）它会在 /tmp 上写入一个“testfile”。它有效。

当脚本由 Nagios 自己运行时，它不会. 此脚本作为处理程序运行：

define host {
    name                            home-monitoring
    use                             generic-host
    check_period                    24x7
    check_interval                  5
    contact_groups                  admins
    event_handler                   poweroff_host
    register                        0
}

cat /usr/lib64/nagios/plugins/poweroff_host.sh

#!/bin/bash
/usr/bin/ssh root@esxi -i /var/spool/nagios/.ssh/id_rsa "touch /tmp/testfile"

cat /etc/nagios/objects/commands.cfg

define command{
        command_name    poweroff_host
        command_line    sudo /usr/lib64/nagios/plugins/poweroff_host.sh
}

visudo

(at the bottom of the file)
nagios ALL = (root) NOPASSWD:/usr/lib64/nagios/plugins/poweroff_host.sh

我还将 nagios 用户添加到了 wheel 组（使用 usermod）

# grep wheel /etc/group
wheel:x:10:nagios

最后，在过去的 4 天里，我一直在这里打我的头，并且在日志中不断出现错误。最后一个错误是：

journalctl -xef

stderr line 01: /usr/lib64/nagios/plugins/poweroff_host.sh: line 2: /usr/bin/ssh: Permission denied

在 visudo 之前，错误是no ssh in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin)，至少现在我设法改变了错误的类型。

我可以请一些帮助并解决问题吗？

更新 1：

[root@nagios ~]# audit2allow -i /var/log/audit/audit.log


#============= nagios_t ==============
allow nagios_t ldconfig_exec_t:file { execute getattr };
allow nagios_t nagios_spool_t:dir create;
allow nagios_t pam_var_run_t:dir write;
allow nagios_t ssh_exec_t:file { execute getattr };
allow nagios_t tmpfs_t:dir write;

快进到semodule命令，但 stderr line 01: /usr/lib64/nagios/plugins/poweroff_host.sh: line 2: /usr/bin/ssh: Permission denied仍然存在：/

我将尝试完全禁用 Selinux：/

当我搜索相关问题时，我看到了这个： https ://superuser.com/questions/109213/how-do-i-list-the-ssl-tls-cipher-suites-a-particular-website-offers

我尝试研究提供的解决方案，但我还没有找到我的解决方案。

我有 2 台服务器，测试服务器和生产服务器。

它们都托管应用程序、测试和产品。此应用程序需要反向代理，因此我为此设置了 Apache。

我被要求改进用于 HTTPS 的密码套件。

PROD服务器在 apache中使用：

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite DES-CBC-SHA:HIGH:!aNULL:!MD5:!EXP
SSLHonorCipherOrder on

我目前正在使用的TEST服务器已更新为使用此功能：

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression      off
SSLSessionTickets   off

现在是测试新配置是否有效的时候了（好吧，它已经应该，但你知道......）。

从我运行的第三台测试机：

curl https://test.servertest.com/test1
against the TEST server
and
curl https://prodserver.com/accept
to the PROD one.

从TEST和PROD服务器读取 APACHE 错误日志，我看不到差异。

TEST:
[Tue Oct 23 13:57:10.846249 2018] [ssl:trace3] [pid 13130] ssl_engine_kernel.c(1795): [remote 1.1.1.1:5555] OpenSSL: Handshake: done
[Tue Oct 23 13:57:10.846257 2018] [ssl:debug] [pid 13130] ssl_engine_kernel.c(1844): [remote 1.1.1.1:5555] AH02041: Protocol: TLSv1, Cipher: ECDHE-RSA-AES256-SHA (256/256 bits)

PROD:
[Tue Oct 23 13:58:04.192403 2018] [ssl:trace3] [pid 6856] ssl_engine_kernel.c(1795): [remote 2.2.2.2:6666] OpenSSL: Handshake: done
[Tue Oct 23 13:58:04.192409 2018] [ssl:debug] [pid 6856] ssl_engine_kernel.c(1844): [remote 2.2.2.2:6666] AH02041: Protocol: TLSv1, Cipher: ECDHE-RSA-AES256-SHA (256/256 bits)

可能 CURL 可能不是测试密码套件的最佳方法（？），但我的问题是： 我如何确定我应用的更改是正确的（除了在 Apache 手册中找到密码套件本身）？

老实说，我对使用 systemd 感到不舒服。我只是无法理解。

我使用的 fail2ban 版本在我的 Ubuntu 16.04 中表现异常。我删除了它：

apt remove fail2ban

并安装了最后一个：

wget https://github.com/fail2ban/fail2ban/archive/0.11.zip
unzip 0.11.zip
cd fail2ban-0.11
python setup.py install

在安装结束时，它说我必须启用它的服务。

我以为

systemctl enable fail2ban.service

已经足够了，但似乎服务被“掩盖​​”了。我使用此链接：https ://askubuntu.com/questions/710420/why-are-some-systemd-services-in-the-masked-state 来了解什么是 masked。

我试图揭开它的面纱： systemctl unmask fail2ban.service

并启用它：

systemctl enable fail2ban.service

现在经典命令：

service fail2ban status | start | stop

正在工作中。

问题是，我读到我也应该能够从 systemctl 获取服务信息：

systemctl fail2ban status
Unknown operation fail2ban.

所以我开始搜索结果......我找到了这个命令（我添加了 | sort 以获得更好的输出）：

systemctl list-units | sort

这表明：

fail2ban.service  loaded active exited  LSB: Start/stop fail2ban

我不知道“退出”是什么意思，所以我搜索了： https ://unix.stackexchange.com/questions/241970/what-does-status-active-exited-mean-for-a-custom-service

状态激活（退出）意味着 systemd 已成功运行命令，但它不知道有一个守护进程要监视。

我的要求：

我想做的就是能够启动和停止并控制它是否正在工作，fail2ban 服务。我（几乎）不知道 systemd 的任何内容，因为我总是跳过它（为什么我在熟悉 CentOS 5 和以前的版本多年后才搬到 Ubuntu 14），但现在看来我是被迫的。

有人可以告诉我应该如何以正确的方式将 fail2ban 服务“添加”到 systemctl 吗？

几周，甚至几个月，在 logrotate 之后，我的 Apache2 服务器突然停止并且无法重新启动，主要是因为证书上的密码。但我不想删除它。

一开始我以为是因为Logrotate。但是后来，我对其进行了更好的监控并进行了一些测试，但这不是原因。

我到处搜索日志，直到今天早上，当它再次崩溃时，我发现了这个：

错误日志

[Wed Aug 03 06:34:41.322231 2016] [mpm_prefork:notice] [pid 2726] AH00169: caught SIGTERM, shutting down
[Wed Aug 03 06:34:42.301179 2016] [ssl:info] [pid 18371] AH02200: Loading certificate & private key of SSL-aware server 'aa.bb.cc:443'

系统日志

Aug  3 06:34:40 myserver php5-common: php5_invoke pdo: already enabled for apache2 SAPI
Aug  3 06:34:40 myserver php5-common: php5_invoke pdo: already enabled for cli SAPI
Aug  3 06:34:40 myserver php5-common: php5_invoke opcache: already enabled for apache2 SAPI
Aug  3 06:34:40 myserver php5-common: php5_invoke opcache: already enabled for cli SAPI
Aug  3 06:34:40 myserver php5-cli: php5_invoke opcache: already enabled for cli SAPI
Aug  3 06:34:40 myserver php5-cli: php5_invoke pdo_pgsql: already enabled for cli SAPI
Aug  3 06:34:40 myserver php5-cli: php5_invoke json: already enabled for cli SAPI
Aug  3 06:34:40 myserver php5-cli: php5_invoke pdo: already enabled for cli SAPI
Aug  3 06:34:40 myserver php5-cli: php5_invoke pgsql: already enabled for cli SAPI
Aug  3 06:34:40 myserver php5-cli: php5_invoke readline: already enabled for cli SAPI
Aug  3 06:34:40 myserver php5-readline: php5_invoke readline: already enabled for apache2 SAPI
Aug  3 06:34:40 myserver php5-readline: php5_invoke readline: already enabled for cli SAPI
Aug  3 06:34:41 myserver libapache2-mod-php5: php5_invoke opcache: already enabled for apache2 SAPI
Aug  3 06:34:41 myserver libapache2-mod-php5: php5_invoke pdo_pgsql: already enabled for apache2 SAPI
Aug  3 06:34:41 myserver libapache2-mod-php5: php5_invoke json: already enabled for apache2 SAPI
Aug  3 06:34:41 myserver libapache2-mod-php5: php5_invoke pdo: already enabled for apache2 SAPI
Aug  3 06:34:41 myserver libapache2-mod-php5: php5_invoke pgsql: already enabled for apache2 SAPI
Aug  3 06:34:41 myserver libapache2-mod-php5: php5_invoke readline: already enabled for apache2 SAPI
Aug  3 06:34:41 myserver libapache2-mod-php5: apache2_invoke php5: already enabled
Aug  3 06:34:42 myserver apache2: No way to ask user for passphrase

替代品.log.1

update-alternatives 2016-08-03 06:34:40: run with --install /usr/bin/php php /usr/bin/php5 50 --slave /usr/share/man/man1/php.1.gz php.1.gz /usr/share/man/man1/php5.1.gz

我想我终于找到了为什么我的服务器突然停止工作了。但我不知道update-alternatives是做什么用的，我从未听说过它，需要关于如何移动的建议，以解决我的问题。它可以是更新 php 或停止该程序在上午 6.34 运行，或完全停止。

任何意见是极大的赞赏！

编辑： 最佳答案（并且只有一个）标记为已接受，因为我发现我的系统正在安装更新，其中包括 php.ini 文件。由于证书的原因，这让系统既有更新版本的 php 又有不当关闭 apache 服务。我想要证书上的密码，所以禁用更新

dpkg-reconfigure -plow unattended-upgrades

似乎解决了我的问题。但我不能确定.. 必须等待下一个 SIGTERM，如果有的话。

对不起，关于这个话题的问题加倍了，但是有很多，有些非常令人困惑，有些仍然是“旧”格式，有些与我的情况不匹配。

smtpd_restriction_classes = allowed
allowed = permit

smtpd_sender_restrictions =
        check_sender_access hash:/etc/postfix/restricted_senders,
        reject

smtpd_recipient_restrictions = 
        permit_mynetworks,
        reject_unauth_destination,
        permit_sasl_authenticated,
        check_recipient_access hash:/etc/postfix/recipient_domains,
        reject_rbl_client zen.spamhaus.org,
        reject_rhsbl_helo dbl.spamhaus.org,
        reject_rhsbl_sender dbl.spamhaus.org

我有这个代码工作，但我仍然可以发送邮件到 [email protected]（一些随机用户）

Apr  4 13:40:46 mail-server postfix/local[22937]: 0C1C5160030: to=<[email protected]>, relay=local, delay=0.23, delays=0.23/0/0/0, dsn=2.0.0, status=sent (delivered to command: /usr/bin/procmail)

还有“[email protected]”

Apr  4 13:41:42 mail-server postfix/smtpd[22931]: NOQUEUE: reject: RCPT from mail-vk0-f52.google.com[209.85.213.52]: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in local recipient table; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<mail-vk0-f52.google.com>
Apr  4 13:41:42 mail-server postfix/smtpd[22931]: disconnect from mail-vk0-f52.google.com[209.85.213.52]

我想要实现的是该电子邮件服务器（[email protected]）的只有 1 个用户能够发送和接收电子邮件，任何其他用户几乎必须立即被拒绝。而这个用户只能接收来自少数用户和“recipient_domains”的邮件

受限发件人：

[email protected] allowed

收件人域：

[email protected] allowed
[email protected] allowed
thisserveronly.net allowed

如果我的配置有错误或者我错过了什么，请任何人提供建议？