InterLinked's questions

我已将日历发布在 Exchange 2010 中，这样我就可以使用链接以 ICS 的形式匿名获取日历的详细信息，其中包含所有可用的详细信息，我可以使用这些信息从我自己的私人应用程序和系统访问日历。

我还想创建一对单独的链接，以便更广泛地传播，这些链接仅包含空闲/忙碌信息。虽然这是其中一个选项，但我似乎无法生成其他链接，因为日历已经与详细信息共享，即似乎我只能在一种配置中共享日历，而不能在多种配置中共享：

我是否遗漏了某些东西，以便以多种不同的方式共享它？在线 outlook.com / Office365 中可以做到这一点，但我没有找到任何文档说它不能在本地版本中完成（如下所示，我已经发布了“所有详细信息”链接，我可以选择再次共享它，并显示空闲/忙碌）：

是否可以在 Exchange 2010 的每种可能的配置中共享日历，就像使用 outlook.com/Exchange Online 一样，还是一次只能共享一种配置？

我知道 iCal 代理工具（例如https://github.com/scy/calproxy）可能会提供经过过滤的空闲/忙碌视图，但如果有办法在本地实现这一点，那么设置这样的工具似乎很麻烦。

有没有办法只安装 sendmail 客户端，而不安装 sendmail MTA？

我的意思是提交外发电子邮件sendmail -t等进程经常使用的命令。cron大多数此类程序都希望调用某种与 sendmail API 兼容的程序，sendmail以便它们可以发送外发邮件。

目前在我的邮件服务器上，我没有任何sendmail二进制文件，因此我在 cron 中看到类似这样的内容：

(CRON) info (No MTA installed, discarding output)

事实上，我确实安装了一个 MTA - 我自己编写的一个（所以不是 Postfix、exim 等） - 但我没有sendmail编写任何程序来连接它。我想知道是否可以sendmail单独安装和使用该程序，只接收提供给它的任何内容，然后打开 SMTP 连接 localhost:25 并使用 SMTP 事务将其输入 MTA。这样，我不需要编写sendmail具有相同接口的自己的程序来执行此操作。

这可能吗？我认为这样的东西已经存在，所以我不想重新发明轮子。默认安装sendmail还安装了 sendmail MTA，这是我不想要的；我不想安装任何会破坏或干扰系统上已有的真实 MTA 的 MTA 软件包。

在我所做的研究中，两者之间似乎没有什么区别。所有教程似乎都假设您正在使用“标准”MTA 之一。如果答案是“否”，那么是否有关于sendmail需要实现程序兼容性的完整二进制 API 的文档？

我正在将运行 Debian 10 的服务器迁移到运行 Debian 12（和 6.x 内核）的服务器，最后一个似乎不起作用的是 TLS 1.0，我一直在试图弄清楚它。

我知道更改了SECLEVEL和 ，MinProtocol如下所述： https: //stackoverflow.com/a/61568390/6110631，但由于某种原因，这不起作用。

在工作系统上，我有：

[system_default_sect]
MinProtocol = TLSv1.0
CipherString = ALL:@SECLEVEL=1

我尝试在新系统上以相同的方式添加此内容，但 TLS 1.0 似乎仍然不起作用。在 Apache 服务器（取决于应用程序）中，我可以看到：

AH02039: Certificate Verification: Error (68): CA signature digest algorithm too weak

我有点预料到了这一点，因为我认为默认情况下 TLS 1.0 会被禁用，所以我进一步调整了配置。我所做的任何更改似乎都不起作用，并且通过端口镜像从客户端角度进行数据包捕获，我可以看到所有 TLS 协商都彻底失败（在 Client Hello 之后，Alert (Level: Fatal, Description: Protocol Version).

用 进行探测openssl s_client，似乎 TLS 1.0 的某些东西完全被破坏了。

在现有的 Debian 10 服务器上，我得到：

# openssl version
OpenSSL 1.1.1n  15 Mar 2022

# openssl s_client -connect OLDHOST -tls1
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = OLDHOST
verify return:1
---
Certificate chain
 0 s:CN = OLDHOST
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----

然而，在新的 Debian 12 服务器上，我得到：

# openssl version
OpenSSL 3.0.9 30 May 2023 (Library: OpenSSL 3.0.9 30 May 2023)

# openssl s_client -connect NEWHOST -tls1
CONNECTED(00000003)
140101680407744:error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error:../ssl/record/rec_layer_s3.c:1544:SSL alert number 80
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 136 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1695085443
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no

TLS 1.2 仍然可以正常工作，但我在 TLS 1.0 和 TLS 1.1 中得到了这个。

我尝试过使用DEFAULT:@SECLEVEL=1,ALL:@SECLEVEL=1以及 sec level 1、sec level 0、ALL、DEFAULT、LEGACY 等的其他组合。它们似乎都不起作用。我一直在更改之间定期重新启动 Apache 和整个服务器。

我还尝试将其添加到 Apache 配置中，因此我有以下内容：

Protocols h2 http/1.1
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:@SECLEVEL=0
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off

其他相关问题/答案，不幸的是没有产生更多的见解：

• SSLVerifyClient 不适用于新的 openssl 和\或新的 apache (debian 10)

• https://stackoverflow.com/questions/40365295/openssl-1-0-2-and-error-ssl-ctx-newlibrary-has-no-ciphers

• https://stackoverflow.com/questions/61927683/how-to-enable-the-old-tls-1-0-and-tls-1-1-on-apache-on-ubuntu-20-04

• https://bugzilla.redhat.com/show_bug.cgi?id=2069239

有几个地方似乎确实暗示，如今，您必须SECLEVEL从 1 降低到 0 才能使其正常工作，例如对于 SHA1 证书，我已经完成了，但仍然没有雪茄。

OpenSSL 3 中尚未删除TLS 1.0 和 1.1 支持（我确实检查过），因此应该通过正确的配置来支持它。

所有记录的解决方案似乎都不适合我，而且在浪费了一整天的调试时间后，我似乎并没有更接近。还有其他人找到让旧密码工作的解决方案吗？我指定了ALL0 级和 1 级的密码，但它似乎不服从我的指示，所以这看起来相当奇怪。

我刚刚在我正在使用的 Debian 系统上遇到了一个奇怪的情况。

突然，一个程序抱怨找不到它的运行组。经过一番挖掘，我的系统似乎不再认为整个系统上存在任何用户或组，包括root.

但是，它们都仍然存在于/etc/passwd,/etc/group等中。

例如：

root@debian:/etc# getent passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
systemd-timesync:x:101:102:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
systemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:104:105::/nonexistent:/usr/sbin/nologin
unscd:x:105:109::/var/lib/unscd:/usr/sbin/nologin
ntp:x:106:112::/nonexistent:/usr/sbin/nologin
sshd:x:107:65534::/run/sshd:/usr/sbin/nologin
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
festival:x:108:29::/nonexistent:/usr/sbin/nologin
mysql:x:110:116:MySQL Server,,,:/nonexistent:/bin/false
Debian-exim:x:111:117::/var/spool/exim4:/usr/sbin/nologin
postfix:x:112:118::/var/spool/postfix:/usr/sbin/nologin
opendkim:x:113:120::/var/run/opendkim:/usr/sbin/nologin
telnetd:x:109:115::/nonexistent:/usr/sbin/nologin
com:x:1001:1001:,,,:/home/com:/bin/bash
asterisk:x:1004:1004:Asterisk,,,:/home/asterisk:/bin/bash
postgres:x:115:123:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash
memcache:x:116:124:Memcached,,,:/nonexistent:/bin/false
do-agent:x:998:998::/home/do-agent:/bin/false

root@debian:/etc# su - root
su: user root does not exist
root@debian:/etc# su - asterisk
su: user asterisk does not exist
root@debian:/etc# su - com
su: user com does not exist

root@debian:/etc# ls -la /etc/passwd
-rw-r--r-- 1 0 0 2227 Jul 29 06:28 /etc/passwd
root@debian:/etc# ls -la /etc/group
-rw-r--r-- 1 0 0 1013 Jul 29 06:28 /etc/group

您可以看到的另一个奇怪的事情是，它ls没有显示文件的用户名和组，而是显示了文件的 uid 和 gid。

我可以对文件进行分类，并且所有用户和组的输出都显示得很好。

所以当然现在各种事情都不起作用：我无法与服务器建立新的 SSH 连接，尽管一些现有的连接仍然是打开的（对于 telnet 等也是如此）

我有点害怕重新启动服务器并查看是否可以修复它，因为如果没有，那么这将使继续进行变得更加困难，因为我将不得不使用控制台登录（并且鉴于它没有不认为 root 是一个有效的用户，我什至对此有点警惕。）

有没有人以前见过这种事情并知道为什么会这样？

在过去 15 多个小时内，我们的一个域出现了一个奇怪的问题。该域在该国许多地区无法解析。我尝试在几个不同的 Linux 服务器上 ping 它并得到：

example.com: Temporary failure in name resolution

不过，这个问题不受地域限制。现在全国各地的人都告诉我他们也无法ping通该域。但是，有些人可以ping该域并正常访问它。

最后，有人把我指向这个网站：https ://dnschecker.org/ip-blacklist-checker.php

当我尝试解析域时，“列入黑名单？” 除了这个之外，所有这些都不是：dnsbl.spfbl.net

当我单击错误时，它会说：

没有找到 rDNS。

此 IP 已被标记，因为没有有效的 FCrDNS。

为这个 IP 注册一个有效的 rDNS，它指向同一个 IP。

rDNS 必须在您自己的域下注册，您才能将其删除。

我想不出是什么导致了这个或如何解决它。据我所知，域的 A 记录并不指向静态 IP，因为它通过 Cloudflare 负载均衡器。我认为这可能是我们用于名称服务器的 Cloudflare 的问题。然而，他们的门户昨天根本没有显示任何内容，或者今天早上没有显示任何相关内容。

我们发现的唯一解决方法是手动更改首选 DNS 服务器。例如，Google 和 OpenDNS 不解析域。在 dnsblacklist.org 上，12 个 DNS 解析器中有 7 个无法解析它。Cloudflare 和其他 4 个解析器可以成功解决它。如果我们将首选 DNS 服务器更改为1.1.1.1手动在服务器上，现在他们可以 ping 域。

问题是我们所有的公共用户显然不会这样做。关于到底发生了什么的任何想法？我最近根本没有对域记录进行任何更改，这不会影响我也使用 Cloudflare 作为名称服务器的任何其他域。该问题会影响该域上的所有子域以及主域，无论该地址上的流量是否通过 Cloudflare 代理。

更新：

另一个域：

有问题的域：

我熟悉 Active Directory 对 DNS 的依赖以及有关 Active Directory 命名中 DNS 的最佳实践（例如，使用专用于 AD 的公司域的子域）。不过，我对此有一个相当概念性的问题：

1. 将 DNS 记录（实际上在任何地方）指向域控制器的必要性有多大？例如，假设我的网络拥有example.com并且我正在考虑分配ad.example.com给域。由于域控制器是网络的权威 DNS 服务器，如果你调用它ad.example.com，即使没有为其添加 CNAME DNS 记录，域上的所有请求ad.example.com都将由域控制器正确完成 - 这并不重要如果没有外部请求。我错过了什么吗？添加 DNS 记录有什么区别，因为 DC 不应该从外部访问，无论如何？你能不做（功能上）就脱身吗？这个答案似乎暗示了这一点，但那里的 OP 也说他使用公共 DNS 记录。

2. 我知道每个人都在谴责它，但我在 AD 域方面的大部分经验是看到组织使用其根DNS 域作为 AD 域名（例如只是example.com. 假设我也想走这条路（并且不会被劝阻），这样做时要采取的步骤/要考虑的事情是什么？我不断听到“冲突”，但不清楚这些冲突在什么意义上存在。是否只是对网站的请求example.com将转到域控制器本身，需要根据端口重定向请求？当您为 AD 重用根域时，处理这些冲突的“正确”方法是什么？

我的问题类似于这个问题，但对于 Apache。我使用自定义错误处理页面自己处理所有 HTTP 错误。

我今天注意到，当我收到 414 错误时，我会看到默认的 Apache 414 错误页面：

Request-URI Too Long
The requested URL's length exceeds the capacity limit for this server.
Apache/2.4.25 (Debian) Server at host Port 80

我一直在努力阅读如何解决这个问题，但我还没有走得很远。但是，似乎发生的事情是 Apache 甚至没有让 414 请求到达我的站点，所以我的.htaccess文件没有被读取。

如何强制 Apache 将 414 错误请求传递到我的站点？我需要能够自己处理错误。

除了 414 之外，我还没有遇到任何其他类型错误的奇怪问题。404、403、401 等都可以正常工作 - 只是不是这个 - 所以这并不是我的错误处理一般不起作用. 我的也有一个 414 匹配.htaccess

我有一个运行 Asterisk PBX 的托管服务器，具有以下规格：Debian 9 x86 64 位 Linux、2GB RAM、2TB 带宽和 20GB SSD 存储。

近一天来，服务器似乎一直“离线”。我无法使用 FileZilla (SFTP) SSH 进入或连接到它。然而，我得到了正常的 ping 响应：

Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data:
Reply from IP.AD.DR.ESS: bytes=32 time=28ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=26ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=27ms TTL=51

Ping statistics for IP.AD.DR.ESS:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 26ms, Maximum = 30ms, Average = 27ms

C:\Users\username>ping domain.com

Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data:
Reply from IP.AD.DR.ESS: bytes=32 time=27ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=43ms TTL=51

Ping statistics for IP.AD.DR.ESS:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 27ms, Maximum = 43ms, Average = 32ms

有一小段时间，我在几分钟内收到“响应超时”，但在几分钟内它又可以访问了，从那以后就一直这样。

具有讽刺意味的是，这里的平均往返时间比服务器正常运行时的时间要好一些！

除了昨天的几分钟，我的 ping 都没有超时。

我联系了我的服务器管理员，他之前曾被 DDoS 攻击过，他说这是一次 DDoS，唯一要做的就是等待。然而，这与我无关。当我查找如何判断它是否实际上是 DDoS 攻击时，我一直看到的一件事是：

有几条线索表明正在进行的 DDoS 攻击正在发生——Loggly：

- ping 请求的 TTL（生存时间）超时

我让我的服务器管理员联系服务器主机，他拒绝了，说这是一次 DDoS 攻击，唯一要做的就是等待它结束，服务器主机无法做任何事情，这一切都只是一个浪费时间。

就个人而言，我对此持怀疑态度，尤其是我通过 ping 服务器发现的内容。

当我尝试 SSH 时，我根本什么都没有，然后最终软件导致连接超时，在 FileZilla 中，我得到软件导致连接中止，无法连接到服务器。

这真的是一种可能的 DDoS 攻击吗？或者其他原因可能对此负责，解释为什么服务器完全无法访问以及为什么 ping 它似乎表明服务器是“健康的”？

哦，另外，对服务器的所有调用（Asterisk）都会被丢弃，所以它不能是任何特定于管理员的，服务器作为一个整体似乎已经关闭，除了 ping 回复。