Alien Life Form's questions

我已经将 AWS EC2 机器设置为（BIND）名称服务器，并且我正在将其作为我们管理的几个域的辅助服务器。这对我们所有的域名供应商（例如 IT-NIC、Marcaria）来说都很酷，除了网络解决方案。到目前为止，我一直无法让他们的面板接受 AWS 机器作为名称服务器 - 报告的原因是名称服务器“不存在或位于防火墙后面”。机器本身已经充当多个域的辅助 NS 并定期回答查询。

为了让 NetSol 接受我启用了 ping、区域传输并为 NS 所在区域设置 MX 的机器（这当然很愚蠢，但人们永远不知道）。一切都无济于事，谷歌也没有帮助。

有没有人遇到过并希望解决类似的问题？

进阶谢谢。

EDIT4 事实证明，这与网络无关：来自 netsol 的错误消息（在他们对支持票的回答中重申）让我一度偏离了轨道。

注册商，其中包括 netsol，要求新的域名服务器出现在一个（几个）whois 或 RDAP 数据库中。对于 .com（和 .net？），参考是https://rdap.verisign.com。（https://www.verisign.com/en_US/domain-names/registration-data-access-protocol/index.xhtml）

我一直无法找到一种方法让公众将数据插入 Verisign (RDAP)，但这是注册商可以做的事情（例如，我们为 .it 域做这件事）。

NETSOL（曾经有？我最近在其他地方找到的常见问题解答的 URL）有这样一个程序，它没有通过我必须使用的合作伙伴门户公开。合作伙伴公开的是一个面板，用于添加“新”或“现有”名称服务器。但两者都不适合我（我只能假设注册新 NS 的后端程序有问题）

为了修复 SNAFU，在不同的注册商（opensrs，由 twocows 支持）创建了一个不同的域，使用他们的过程来注册名称服务器并挽救这一天。奇怪的是，netsol 获取了一个通过 opensrs/twocows 注册的名称服务器，但无法对通过 Marcaria 注册的 NS 执行相同操作 - 看图。

所以我会接受 t3ln3t 解决方案，它正确地指出了原因。让它工作可能需要更多的迂回方法，见上文。

我正在试用 CloudFlare。我托管自己的 DNS ( b.example)，并创建了一个独特的第三级区域 ( a.b.example)。我将粘合记录放在b.example区域中，并将区域设置a.b.example在其自己的单独文件中。（我在 linux 机器上使用 BIND）。在 intodns.com 上对此进行测试会亮起绿灯（除了“警告：看起来父服务器在询问时没有您的 TLD 的信息。这没关系，但可能会令人困惑。”）

但是，当我尝试将此区域添加到 CloudFlare 的控制面板时，我得到：

Please ensure you are providing the root domain and not any subdomains (e.g., example.com, not subdomain.example.com) (Code: 1116)

我尝试了一些变体（a.b.example在父、子或两个区域中设置 A 记录）而没有获得任何更改。

我正在尝试做的事情可能吗？我不想将整个 DNS 管理b.example交给 CloudFlare。

为了避免对 IMAP 服务器进行随意的邮箱窥探，我正在考虑“透明加密”设置，该设置将：

1. 公钥在本地传递时加密传入消息
2. 私钥在读取时解密所述消息。（这里，私钥密码是一个，与邮件帐户密码相同）

（见底部的基本原理）。

考虑到 procmail 和一些过滤脚本，第 (1) 点应该很容易。我无法找到涉及篡改 IMAP 服务器的 (2) 的现有技术（在我的情况下，dovecot：这可能意味着一个特殊用途的插件）。

想法，有人吗？

理由：

通过这种设置，消息将在服务器上加密，但用户不必在他们的 MUA 上安装笨重的（对于未启动的）GnuPG 插件。获得所有公钥/私钥对和邮箱的破解者仍然必须破解密码才能访问内容

我正在尝试使用 DNS 身份验证更新/创建letsencrypt证书：

certbot-auto -d xxx.it -d mail.xxx.it --manual --preferred-challenges dns certonly

但是，插入请求的记录后：

Please deploy a DNS TXT record under the name
_acme-challenge.mail.xxx.it with the following value:

yB_EQ-wiB0NzNUVwiyfiabeIOqIXx3fWKiia1uHGesE

Before continuing, verify the record is deployed.

挑战失败。

确实，如果我尝试：

$ dig_acme-challenge.mail.xxx.it TXT

尽管区域文件包含记录，但请求也失败了：

 # fgrep TXT /var/named/chroot/var/named/master/xxx.it
 acme-challenge.mail.xxx.it IN  TXT     "yB_EQ-wiB0NzNUVwiyfiabeIOqIXx3fWKiia1uHGesE"

我假设 BIND (bind-9.8.2-0.62.rc1.el6_9.4.x86_64) 以某种方式拒绝提供带有前导下划线的记录，但文档/谷歌没有帮助。

有任何想法吗？

编辑如下面的答案所指出的，区域记录中的主机部分需要有一个尾随点或域部分被剥离。照看好你的复制和粘贴。

在过去的几天里，我正在监视的 Centos 6.7 邮件服务器在 snmp 查询上不断超时。在行为改变之前的那段时间里，服务器没有发生任何变化（我知道......），所以我倾向于责怪环境中的“某些东西”。

如果我重新启动守护程序，它将再次响应几分钟（最多几个小时），然后它将再次开始超时。对于从机器本身运行的查询也会发生这种情况，如

# snmpstatus -v1 -c public localhost

（所以图片中没有网络问题）。我在 dmesg 中没有什么值得注意的，我在 /var/log/messages 中可以看到的唯一东西——不是普通的 snmp 连接跟踪——是偶尔的：

Mar 22 17:34:53 turnip snmpd[31053]: read:Interrupted system call

出现与我重新启动守护程序有关的行。

我试图 strace snmpd 并且我可以看到它在似乎是一个选择/接收循环中等待 - 当无响应时，它永远不会离开那里并且它不会在日志中写入任何内容 - 就好像数据包没有传递到守护进程。但是重启机器没有效果。

同样无效的是试图调整打开文件限制并调查其他可能的资源限制 - 更不用说机器本身并没有特别强调。所以我目前没有线索。

如果需要，我可以发布 snmpd.conf。

TIA 和欢呼

编辑：这是跟踪循环的样子（当无响应时）：

select(15, [14], NULL, NULL, {0, 27618}) = 0 (Timeout)
select(15, [14], NULL, NULL, {1, 0})    = 0 (Timeout)
select(15, [14], NULL, NULL, {1, 0})    = 0 (Timeout)
select(15, [14], NULL, NULL, {1, 0})    = 0 (Timeout)
select(15, [14], NULL, NULL, {1, 0})    = 0 (Timeout)
select(15, [14], NULL, NULL, {1, 0})    = 0 (Timeout)
select(15, [14], NULL, NULL, {1, 0})    = 0 (Timeout)
select(15, [14], NULL, NULL, {1, 0})    = 0 (Timeout)
select(15, [14], NULL, NULL, {1, 0})    = 0 (Timeout)

我有一个错误地使用 64 位扩展创建的 50GB ext4 FS。我想知道现在可以删除扩展名，或者是否有必要从头开始。

此链接表明它可以通过 resize2fs 完成，但在我有权访问的任何机器上都没有提到的 -s 标志（直到 FC22）

我想为一些运行 SSL 和/或 TLS 邮件服务的 linux 邮件服务器发布非自签名 SSL 证书。（如果相关，这些是 dovecot+sendmail 服务器。）

我需要覆盖通常的 {mail,smtp,smtp2,imap,pop3,...}@dom.ain 服务器名称，所以我很自然地想到了购买通配符 *@dom.ain。（UC 似乎没有必要，它们都来自同一个 dom.ain 名称）

我已经为很少或没有问题的网站这样做了，但我想知道邮件使用是否有任何不同 - 从客户的角度来看 - 因为主要目标是避免客户端软件抱怨自签名证书的问题。

干杯，阿尔夫

是否可以将一个文件系统的配额文件重新定位到不同的文件系统（例如使用符号链接）？

理由：用配额测试SSD，我担心不断写入配额文件可能会导致早期磨损。

我想以这样一种方式调整 nagios，以使任何关闭节点的所有检查都停止（服务未显示或显示为未知）。换句话说，我只想看到一个停机主机警报，而不是 1（停机）+ n（每个服务 1）。请注意，我对服务显示/状态感兴趣，而不仅仅是关闭通知。

基本原理：我们使用 nagios firefox/chrome 插件来监控状态，而 nagios 的行为过于嘈杂，给出这样的读数（因为每个节点都有 20 个服务）：

3 down, 1 unreachable, 4 warnings, 87 critical

这意味着 up 节点上的 7 个关键服务（问题出在服务上）被淹没在一组红色服务中，这些服务之所以关键，是因为它们位于关闭/无法访问的节点上。我更愿意看到的是：

3 down, 1 unreachable, 80 unknown, 4 warnings, 7 critical

甚至

3 down, 1 unreachable, 4 warnings, 7 critical

我查看了服务依赖项，但我没有很好的描述方式：“使活动主机上的所有服务都依赖于主机检查的状态”。

我发现 这里讨论的问题，其中一位参与者认为这是一个 nagios 错误，而这里一位参与者认为它是“按设计的”。

事实上，我只对效果感兴趣，更不用说设计理念了。请注意，此 nagios 正在检查数百个节点，因此解决方案的可维护性也很重要。

TIA 和欢呼。

我需要一种方法来配置 sendmail 以将每封邮件的信封发件人设置为固定值（例如 [email protected]）。请注意，任何 MASQUERADE 功能/宏（我知道）都没有回答这个问题：我还想覆盖信封用户并将其设置为固定值。

编辑：另外，我不想伪装标头发​​件人。所以 GENERICSTABLE + MASQUERADE_ENVELOPE 也没有削减它。我需要的是相当于命令行sendmail -f [email protected]

（理由：我被迫 - 被客户 - 通过一个身份验证中继，它坚持有一个给定的信封发件人地址 - 不，我不是试图规避任何反垃圾邮件措施，我只是想发送 root 的邮件 - 和其他管理的东西——异地。它是一个应用服务器，所有的邮件都是由服务器发起的，但是发件人地址需要有意义）

TIA。

问候。

在带有 cento6 5.9 服务器/dhcp-3.0.5-33.el5_9 的小型 LAN（< 20 个联网设备）上。因此，我正在配置永久租约（dhcpd.conf，部分）：

  range 10.115.64.60 10.115.64.250;
  host vega.nouvelle.it      {hardware ethernet 00:1e:c9:47:f1:2d; fixed-address 10.115.64.6;    }
  host aldebaran.nouvelle.it {hardware ethernet 00:07:84:FB:55:40; fixed-address 10.115.64.66;   } 

在大多数情况下，这几乎可以正常工作。但是，有时，实验室机器（瞬态）会获得固定 IP。并且，当所有者要求它时，它会被第二次提供，从而导致冲突等。

我认为修复地址会保留它并保护它不被分配给其他 MAC，但是无论如何，我肯定不希望服务器提供相同的 IP 两次。

配置错误？dhcpd 错误？

我正在运行一台 FC18 机器，在该机器上我正在测试一个软件（smf-sav，一个 milter），将其部分工作文件保存在 /var/run/smf-sav/ 下。

该目录在重新启动后不断消失。因此，问题是：什么在移除它？有没有办法将其标记为永久？

在 RHEL6/CentOS6 上，新贵的方式是什么：

chkconfig add my-svc
chkconfig my-svc on

解释：我写了一个 /etc/init/xvc0.conf 作业。我可以

启动 xvc0

在 CLI 上，但重启后 initctl list 给了我

...
xvc0 stop/waiting
... 

所以我需要一种方法来将我的工作插入启动新贵序列中。

（顺便说一句，在研究这个时我发现（Ububtu）帖子建议将工作创建为 /etc/event.d/xvc0。这似乎是无效的 - 启动 xvc0 给出未知。什么给出？然后 /etc 的目的是什么/事件.d？）

干杯，阿尔夫

编辑

虽然不是我的问题的直接答案，但我发现了以下内容：

1. 如果在 xvc0.conf 中我使用指令：

   从运行级别 [2345] 开始 在运行级别 [016] 停止

而不是普通的：

start on runlevel 2
start on runlevel 3
...
stop on runlevel 0
...

作业在开机时启动

1. 我找到了指向（极其混乱的）指令的指针：

   在停止时启动 rc RUNLEVEL=[2345] 在启动时停止 rc RUNLEVEL=[016]

哪些也在 prefdm.conf 作业中使用，哪些似乎也有效，但在某种程度上与前者略有不同（不明白如何）并且基本上搞砸了我正在尝试做的事情（即开始 agetty on /dev/xvc0）。

即便如此，上面的问题仍然存在 - 编辑脚本（并且使用语法相当不透明的语言）以实现自动启动对我来说似乎很不方便。

按照主题。

• Xen 4.2.1
• libvirt 0.10.2-18.el6
• Linux gatto.example.com 3.8.3-1.el6xen.x86_64 #1 SMP Sat Mar 16 15:16:57 EST 2013 x86_64 x86_64 x86_64 GNU/Linux

我按照Xen wiki上给出的说明重建了 libvirt RPMS。

但是，当我运行 virsh 时，我得到：

[root@gatto SPECS]# virsh capabilities
error: Failed to reconnect to the hypervisor
error: no valid connection
error: Unable to issue hypervisor ioctl 3166208: Function not implemented

同样在 libvirtd.log 中：

2013-03-18 09:45:29.738+0000: 8973: error : xenHypervisorDoV1Op:967 : Unable to issue hypervisor ioctl 3166208: Function not implemented
2013-03-18 09:45:29.738+0000: 8973: error : xenHypervisorInit:2174 : Unable to issue hypervisor ioctl 3166208: Function not implemented

谷歌参考资料（似乎归结为对一个补丁的引用）非常神秘且面向开发人员。

有任何想法吗？

高级感谢和干杯。

问题：sendmail 默认日志记录配置不记录我需要的每条消息身份验证信息（即我想知道哪个用户/身份验证方法用于某个消息 ID）。根据这个条目的提示，我得到了以下 cf 行：

LOCAL_CONFIG
Klog syslog
 # This works
HSubject: $>+LogSubject
 # this does not
HX-Authost: ${mail_host}
HX-Authost: $>+LogAuthAuthor

LOCAL_RULESETS

SLogSubject
R$* $: $(log Subject: $1 authenticated-by: $&{auth_type}, $&{auth_authen}, $&{auth_ssf}, $&{auth_author}, $&{mail_mailer}, $&{mail_host}, $&{mail_addr} $) $1

SLogAuthAuthor
R$* $: $(log Authenticated-by: $1 $&{auth_type}, $&{auth_authen}, $&{auth_ssf}, $&{auth_author}, $&{mail_mailer}, $&{mail_host}, $&{mail_addr} $) $1

第一个产生（在邮件日志中）：

sendmail[10814]: r2DEJl9P010814: Subject:the Subject.authenticated by:PLAIN,auser,0,,esmtp,example.com.,[email protected]

第二：

sendmail[10814]: r2DEJl9P010814: Authenticated-by:example.com.,,,,esmtp,example.com.,[email protected]

因此，当第二条规则触发时，{auth_xxxx} 宏似乎确实是空的……但事实并非如此。事实上，如果我将它们放在 H 行，我可以记录它们：

HX-Authost: ${mail_host} ${auth_type} ${auth_authen} ${auth_ssf} ${auth_author}
HX-Authost: $>+LogAuthAuthor1

除了我不想这样做，因为我会在我只想记录它的地方发送授权信息。事实上，整个解决方案是土狼丑陋的，更不用说可怕的笨拙了，我欢迎一个更好的解决方案（一个不以“更改 MTA”开头的解决方案——我对 sendmail 非常满意）

请注意，将 LogLevel 提高到 10 及以上（如建议的那样）似乎不会削减它，因为每个会话（即登录时）都会记录一次身份验证信息，而我想要的是在消息上下文中拥有它。

干杯，阿尔夫