Déjà vu's questions

感谢@AlexD 的想法，我们将实现以下传输表，以便使用 DNS MX 解析（后缀 3.3）模拟 IP 故障转移

2个域的中继，例如[12].com

exemple1.com   relay:mx.myhost.com:587
exemple2.com   relay:mx.myhost.com:587

在 DNS 中

A    ip1.myhost.com      1.2.3.4
A    ip2.myhost.com      11.12.13.14

MX   mx.myhost.com   10  ip1.myhost.com
MX   mx.myhost.com   50  ip2.myhost.com

如果 ip1 失败，postfix 中继应该首先使用 ip1（优先级 10）和 ip2（50）。

如果这是正确的，下一步就是 SMTP 身份验证。同一组用户名/密码可用于 ip1 和 ip2 连接。

user:pass

问题：在sasl_passwd地图中，由于 ip1 和 ip2 都使用相同的 user:pass 集，我们可以/我们应该使用 to-be-mx-resolved host（一个条目）还是我们必须使用两个相同的 user/pass 条目一个用于[ip1]，一个用于[ip2]？（SASL 身份验证是否间接接受要进行 MX 解析的主机，然后将身份验证应用于已解析的条目？）

a)这个 sasl_passwd 文件可以吗

 mx.myhost.com:587   user:pass

b)或者这个

 [ip1.myhost.com]:587   user:pass
 [ip2.myhost.com]:587   user:pass

c)顺便说一句，这与直接使用 IP 相同吗？

 [1.2.3.4]:587       user:pass
 [11.12.13.14]:587   user:pass

（前提是 A 记录不变）

Postfix 将一些域中继到一个固定的 IP 地址或其故障转移地址。

1.2.3.4 and 11.12.13.14 (failover)

这两个 IP 地址是中继应该发生的地方。

目前，transport_map

exemple1.com   relay:[1.2.3.4]:587
exemple2.com   relay:[1.2.3.4]:587

有没有办法，以防 [1.2.3.4] 超时，自动使用故障转移，比如

exemple1.com   relay:[1.2.3.4]:587
exemple2.com   relay:[1.2.3.4]:587
exemple1.com   relay:[11.12.13.14]:587
exemple2.com   relay:[11.12.13.14]:587

那行得通吗？

（这个问题有点不同。将多个 IP 添加到 /etc/hosts（或 DNS，如果可能的话）将使用其中一个 IP。在我的情况下，故障转移应该只在主一个超时时使用）

Postfix 配置已更改为在发送邮件时添加 DKIM 标头。

但是Postfix目前处于stop状态，同时mailq显示新邮件一直在排队。

会让postfix startPostfix 将 DKIM 标头添加到这些排队的消息中，还是这些已经处理并且将在没有新的 DKIM 标头的情况下发送？

有一个看起来像这样的配置

AllowUsers sftpu
Match Group sftpg
    ChrootDirectory /home/sftp
    ForceCommand internal-sftp
    AllowTCPForwarding no
    X11Forwarding no

条目（组 7700被passwd命名sftpg）

sftpu:x:7700:7700::/home/sftp/allu:/bin/false

和allu目录

drwxrwxr-x  4 guacam sftpg  4096 Sep 16  2019 /home/sftp/allu/

这几乎行得通。chroot有效，但与男人所说的不同

在 chroot 之后，sshd(8) 将工作目录更改为用户的主目录

登录后用户的工作目录是/home/sftp, not /home/sftp/allu，我的猜测是因为/home/sftp/allu属于guacam而不是sftpu（虽然该sftpg组可以rwx访问allu并且可以写入。那是因为几个用户应该共享同一个allu目录）。

除非上面的配置有缺陷，否则 sshd 子系统中是否有命令

• 强制 chdir（在 chroot 之后）去用户家
• 放宽一点访问规则
• ...

同时保持相同的目录树和访问？

有两台服务器通过 ssh 和 crontab 进行通信，一个“主”和一个“从”。只有 master 可以在 slave 上连接（执行命令）。

身份验证是自动完成的 (IPv4)，这要归功于

• 主人~/.ssh/id_rsa.pub添加到奴隶~/.ssh/authorized_keys
• 奴隶sshd_config有AllowUsers [email protected]

在添加 IPv6 之前它工作正常

• 主从都启用了 IPv6
• 两台服务器都为这两种协议设置了 DNS 反向设置
• sshd_config 更改为AllowUsers [email protected]

并希望sshd从站对传入的 IPv6 IP 进行反向查找（以获取myhost.tld）但auth.log显示

User me from 2103:cc11::...:fe93:4a10 not allowed because not listed in AllowUsers

我有两个问题

1. 是否sshd执行 IPv6 反向查找以确定主机是否匹配？（如果是，还有另一个问题）
2. 添加硬编码的 IPv6 地址的正确方法是什么AllowUsers？好像me@[2103:cc11::...:fe93:4a10]不行。（编辑工作没有[]）

必须自定义新服务器的 php-fpm 池配置，我想知道是否有可能/允许/建议有一个新的池文件，其名称按字母顺序排列在原始文件之后，该文件仅具有覆盖初始配置的值。

原始配置在/etc/php/7.0/fpm/pool.dnamed中www.conf。

看来，根据安装相关的页面，工程师直接修改原件（保存一份初始值）。例如

[www]
...
user www-data
group www-data
pm.max_children 2

修改后给出

[www]
...
user myapp         ; was www-data
group myapp        ; was www-data
pm.max_children 8  ; was 2

但似乎这可能是在下次升级 php-fpm 后重复的任务（此外配置在7.0路径中，这令人担忧）。

而不是修改原始文件，我想保持它不变，并添加另一个，说wwwmyapp.conf这将声明同一个池，并且只有已更改的值

在wwwmyapp.conf

[www]        ; same pool!
user myapp
group myapp
pm.max_children 8

in pool.d, 文件列表

www.conf
wwwmyapp.conf

因为在php-fpm.conf所有池 conf 文件中加载，值wwwmyapp将在www( 在同一个www池中) 之后读取，并且应该覆盖第一个值。

• 它似乎在一些测试中有效并且没有报告错误，但它会一直有效，并且适用于所有值吗？
• 我们应该直接覆盖配置文件吗？

即使在 php.net 上，也无法在任何文档中找到答案。

由两台服务器组成的集群是否安全

• 一台运行 DRBD 8.0
• 一台运行 DRBD 8.3 或 8.4

目前只有一台 DRBD 服务器带有 8.0 数据。

将在 DRBD 8.[34] 上新添加的服务器 作为次要立即识别其对应主要的现有数据格式（8.0）并使用 8.0 格式保持同步？

如果没有，DRBD 8.0 是否可以安装在 RHEL 6 上并安全使用，前提是 8.0 DRBD 包仅在 el5 上可用？
（在这种情况下，目标是在两台服务器上运行 8.0，直到第一台服务器升级到 8.[34] 完成，然后允许升级^第二台服务器）

在 VirtualBox 中建立了一个主节点（来宾 RHEL 6 + DRBD）。

为了获得具有相同配置的第二个节点，VirtualBox 克隆操作似乎很理想

• 轻松
• 声明第二个节点 DRBD 辅助节点：drbdadm secondary resource
• 无需同步 DRBD 数据（乍一看）

但是我想知道：设置是否足够，或者 DRBD 是否为每个主机创建唯一数据，最好drbdadm create-md在第二个节点上执行另一个（然后同步）？

（编辑：虚拟平台设置来执行测试）

完全重新安装后，我们遇到了配置问题：发件人地址错误，一些收件人（邮件服务器）拒绝了他们。

所以有一堆邮件卡在 Postfix 队列中。

理想情况下，直接在排队邮件中更改发件人地址，然后刷新队列将是最佳选择。

我尝试了解决这个问题的答案。但是在我拥有的版本（2.11.0）中，消息似乎不容易修改。

例如，没有/var/spool/mqueue目录，但是，/var/spool/postfix/...

active
bounce
corrupt
defer
deferred
dev
etc
flush
hold
incoming
lib
maildrop
pid
private
public
saved
trace
usr

感兴趣的目录是deferred. 我尝试在那里修改一些文件，用正确的域更改错误的域（并小心确保只有那些被更改）。

但是随后，这些邮件被移至corrupt，这意味着简单的文本更改似乎不起作用（用 完成vi）。

还有其他更简洁的方法来更改排队邮件中的发件人吗？

我很高兴我的新 Linode 托管服务器也提供了 IPv4 和 IPv6 地址。
当使用 Linode 作为 NS 时，默认 DNS 记录同时显示A和AAAA记录

example.com 86400 IN A    203.0.113.4
example.com 86400 IN AAAA 2001:db8::ff00:1111:2222:3333

这很好，从 v4 和 v6 都可以使用 Web 应用程序。
但是，我意识到许多 ISP（至少在我所在的地方）还没有提供 IPv6 连接。

因此，浏览器通过 IPv6 从此类区域访问将成功执行 AAAA (v6) 请求。但是，使用该 v6 地址的 http(s) 连接将失败。

我有理由担心最近的浏览器会发生这种情况吗？
我应该从 DNS 区域中删除 IPv6 地址以确保仅 IPv4 访问吗？

--

注意：这与关注DNS 解析问题的问题不同

我们的 Linux Ubuntu 配置确实有一个 DNS 服务器（Bind 9）。
并且resolv.conf有它的

  nameserver 127.0.0.1

openvpn在该 Linux 上使用客户端时，名称服务器不会更改（由 VPN 服务器），但我想x.y.z.t通过更改 openvpn 客户端配置将其设置 - 仅在 VPN 会话期间 - 到另一个特定的 DNS 服务器。

然后，当openvpn会话结束时，名称服务器应该回到127.0.0.1.

有没有一种“干净”的方式（即openvpn客户端配置文件中的一行）来做到这一点？

（注意：VPN 服务器配置不能更改）