Debian GNU/Linux

Üdv!

Nem találom sehol, hogy utólag hol lehet a Check MK reporting funkcióját bekapcsolni. Nincs valakinek ötlete?
Köszi!
bz

Sziasztok!

Azt szeretném csak kérdezni, hogy van egy levelező szerverünk Debian 8 alatt, ami a múlt héten nagyon rég óta frissítésre került. Nem vagyok nagy linux guru, így előtte lekónoztam a szervert, megcsináltam egy tesztben, csináltam leírást és az alapján az éleset is.
Most a héten vettük észre, hogy egy külföldi partnercégünk noreply-s automatikusan generált leveleit nem kapjuk meg, amit a frissítés előtt megkaptunk. A mail.log-ban néztem, hogy mi lehet a probléma és a következő üzenetet találtam:

Aug 24 06:10:45 mailstylhu postfix/smtpd[24079]: NOQUEUE: reject: RCPT from partnerszerver[1.2.3.4]: 450 4.7.1
: Helo command rejected: Host not found; from= to= proto=ESMTP helo=


Néztem több megoldást a problémára és arra jutottam, hogy a main.cf-ből a smtpd_helo_restrictions sorban a reject_unknown_helo_hostname bejegyzést töröltem. Így nem dobja el azt a kapcsolatot, ahol a kézfogás nem teljesül.

A kérdésem az, hogy ez mennyire biztonságos? Nincs esetleg valami whitelist opció, ahol a partnercég domainját vagy annak kiszolgálására szolgáló szerverek mindegyik ip-jét felvehetem? Mert a logból látható, elég sok spam-et már ott kidobott a postfix a fent írt kapcsolóval. Így kicsit azt érzem, hogy egy lehetséges előszűrést kiiktattam. Ti ezt hogy oldanátok meg?

Üdv:
spgabor

Egy X10DAi alaplappal szerelt gépet kellene multiboottá (valószínűleg csak Debian & Fedora, de talán nem kizárható hogy lesz még más is) tenni. Elsősorban azokhoz szól a kérdés akiknek ilyen rendszerük van, hogy számítsak-e bármi nyomorúságra, ami majd előjöhet?

Alapvetően egy dologtól tartok, mégpedig hogy a grub mit fog szólni ahhoz, ha az egyik disztribúció befrissíti a bootszektorban lévő darabját, akkor lesz-e valami probléma? Ugyan nem hiszem, de jobb kérdezni előbb. Illetve valószínűleg UEFI lesz BIOS helyett, az elvileg még ezt a problémát is megszünteti.

Az LVM/fájlrendszerek keveredésétől nem tartok, azt megoldom.

Egyéb lehetséges problémák?

Udv Mindenkinek,
vegre raszantam magam egy ~2500 cimet kezelo mailszerver frissitesere.
A frissites tokeletesen lefutott, de azota a kb. 170 winXP+ office 2003
szofverkombot futtato gep nem tud leveleket lekerdezni, sem irni. Az ennel magasabb microsoft termekeket futtato gepek mukodnek. Az outlook 993 es 465 porton kerdezik le es kuldik a leveleket. Installalva a Thunderbirdet, tokeletes lesz. Valami talan az ssl frissitesevel megvaltozott? Nem engedi kapcsolodni az elavult klienseket?
Ha van valakinek valamilyen otlete, azt megkoszonom.

Sziasztok!

Egy tesztelős levelező szerveren Debian 8-on van három Fail2Ban problémám, amelyekre ne migen találok magyarázatot.
Fail2Ban-t már letöröltem, újratelepítettem többször, 0.8.13-as verzióval. A jail.conf-ban csak a bantime lett rövidebbre véve tesztelés erejéig. A jail.local-ban a következő beállítások vannak:

[pureftpd]
enabled = true
port = ftp
filter = pureftpd
logpath = /var/log/syslog
maxretry = 3


[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 4

[postfix-sasl]
enabled = true
port = smtp
filter = postfix-sasl
logpath = /var/log/mail.log
maxretry = 3

A hivatkozott filterek a következő tartalommal rendelkeznek:
pureftpd:
[Definition]
failregex = .*pure-ftpd: \(.*@\) \[WARNING\] Authentication failed for user.*
ignoreregex =

dovecot-pop3imap:
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P\S*),.*
ignoreregex =

postfix-sasl:
# Fail2Ban filter for postfix authentication failures
#


[INCLUDES]

before = common.conf

[Definition]

_daemon = postfix/smtpd

failregex = ^%(__prefix_line)swarning: [-._\w]+\[\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$

# Author: Yaroslav Halchenko
ignoreregex =

Ha lekérem a Fail2Ban státuszát a /etc/init.d/fail2ban status paranccsal, akkor a következő eredményt kapom:
fail2ban.service - LSB: Start/stop fail2ban
Loaded: loaded (/etc/init.d/fail2ban)
Active: active (running) since p 2018-07-27 09:43:10 CEST; 1min 43s ago
Process: 10558 ExecStop=/etc/init.d/fail2ban stop (code=exited, status=0/SUCCESS)
Process: 10572 ExecStart=/etc/init.d/fail2ban start (code=exited, status=0/SUCCESS)
CGroup: /system.slice/fail2ban.service
└─10584 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid


júl 27 09:43:10 mailteszt systemd[1]: Starting LSB: Start/stop fail2ban...
júl 27 09:43:10 mailteszt fail2ban[10572]: Starting authentication failure monitor: fail2ban.
júl 27 09:43:10 mailteszt systemd[1]: Started LSB: Start/stop fail2ban.

Az utolsó három üzenetet nem tudom megfejteni, hogy miért jönnek. A fail2ban.log-ban nem látok induláskor semmit. DEBUG módban is csak annyit, hogy hosszú időn keresztül a következőt írja ki:
2018-07-27 11:31:21,890 fail2ban.filter.datedetector[16561]: DEBUG Matched time template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,890 fail2ban.filter.datedetector[16561]: DEBUG Got time using template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,891 fail2ban.filter.datedetector[16561]: DEBUG Matched time template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,891 fail2ban.filter.datedetector[16561]: DEBUG Got time using template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,891 fail2ban.filter.datedetector[16561]: DEBUG Matched time template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,891 fail2ban.filter.datedetector[16561]: DEBUG Got time using template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,892 fail2ban.filter.datedetector[16561]: DEBUG Matched time template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,892 fail2ban.filter.datedetector[16561]: DEBUG Got time using template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,892 fail2ban.filter.datedetector[16561]: DEBUG Matched time template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,892 fail2ban.filter.datedetector[16561]: DEBUG Got time using template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,893 fail2ban.filter.datedetector[16561]: DEBUG Matched time template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,893 fail2ban.filter.datedetector[16561]: DEBUG Got time using template MONTH Day Hour:Minute:Second
2018-07-27 11:31:21,893 fail2ban.filter.datedetector[16561]: DEBUG Sorting the template list
2018-07-27 11:31:21,894 fail2ban.filter.datedetector[16561]: DEBUG Winning template: MONTH Day Hour:Minute:Second with 12350 hits
2018-07-27 11:31:21,894 fail2ban.filter [16561]: DEBUG Default Callback for Event:
2018-07-27 11:31:21,894 fail2ban.filter.datedetector[16561]: DEBUG Sorting the template list
2018-07-27 11:31:21,895 fail2ban.filter.datedetector[16561]: DEBUG Winning template: MONTH Day Hour:Minute:Second with 12350 hits

Mi váltja ki azt a két üzenetet a státusz alatt?

A második problémám, hogy a RoundCube percenként ellenőrzi az új e-mail-eket, ami a mail.log-ban látható is:
Jul 27 12:02:02 mailteszt dovecot: imap-login: Login: user=, method=PLAIN, rip=::1, lip=::1, mpid=18579, secured, session=<9XgDNPhxagAAAAAAAAAAAAAAAAAAAAAB>
Jul 27 12:02:02 mailteszt dovecot: imap(teszt@teszt.hu): Disconnected: Logged out in=1519 out=5479

De ezen IP támogatási probléma miatt elhal.
2018-07-27 09:48:03,338 fail2ban.filter [10985]: WARNING Unable to find a corresponding IP address for ::1: [Errno -9] Address family for hostname not supported
Olvastam egy fórumon, hogy a Fail2Ban ezen verziója nem támogatja az ipv6-ot, ezért nem kell foglalkozni a hibaüzenettel. Erre azért rákérdeznék, hogy biztos ne foglalkozzak vele?

A harmadik problémám mega következő hibaüzenet szintén a fail2ban.log-ból:
2018-07-27 09:48:02,398 fail2ban.filter [10985]: ERROR Error in FilterPyinotify callback: 'module' object has no attribute '_strptime_time'
Erre még nem is jöttem rá, hogy mikor és mi válthatja ki, ezért vele kapcsolatban teljesen tanácstalan vagyok.

Köszönöm, ha tudtok segíteni a kérdéseimben.

Üdv:
spgabor

Sziasztok!

Van egy HP Microserver G8-am 8GB memóriával, amin jelenleg VMWare ESXi fut (alatta egy XPEnology, debian, windows server, + néha tesztelésre 1-2 virtuális gép), tehát a memória ki van használva.
A gépbe most került még 3 darab 3TB HDD, így összesen 1 darab 32GB SSD + 4x3TB HDD van. VMWare ESXi-vel nem tudom a szoftveres RAID-et megoldani, ezért áttérnék Proxmox vagy Citrix Xenserver-re (a Proxmox lenne az elsődleges kiszemelt).

Abban szeretnék segítséget kérni, hogy milyen RAID (RAID 10 vagy RAID 5 - még nem döntöttem el) megoldást választanátok?
ZFS-t próbáltam, de alap beállításokkal megette az összes memóriát és ha elindítottam egyszerre több virtuális gépet, akkor iszonyatosan belassult (esetleg le lehetne szorítani 1GB alá a ZFS memória használatát úgy, hogy ne menjen a megbízhatóság és sebesség rovására?
btrfs RAID?
mdadm ext4-el?

Előre is köszönöm a javaslatokat!

Sziasztok!

A segítségeteket szeretném kérni egy vpn telepítésével kapcsolatban.
Egy leírás szerint feltelepítettem egy debian9 kiszolgálóra az openvpn-t.
Sajnos azonban nem tudok csatlakozni a kiszolgálóhoz.Az openvpn státusza a következő:

root@debian-vpn:/home/kissag# service openvpn status
● openvpn.service - OpenVPN service
Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor preset: enabled)
Active: active (exited) since Sun 2018-07-15 16:42:41 CEST; 12min ago
Process: 447 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 447 (code=exited, status=0/SUCCESS)
Tasks: 0 (limit: 4915)
CGroup: /system.slice/openvpn.service


júl 15 16:42:41 debian-vpn systemd[1]: Starting OpenVPN service...
júl 15 16:42:41 debian-vpn systemd[1]: Started OpenVPN service.

A log-ban ez van:
root@debian-vpn:/home/kissag# tail /etc/openvpn/openvpn.log
Sun Jul 15 16:42:42 2018 /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
Sun Jul 15 16:42:42 2018 /sbin/ip route add 10.8.0.0/24 via 10.8.0.2
Sun Jul 15 16:42:42 2018 Could not determine IPv4/IPv6 protocol. Using AF_INET
Sun Jul 15 16:42:42 2018 Socket Buffers: R=[212992->212992] S=[212992->212992]
Sun Jul 15 16:42:42 2018 UDPv4 link local (bound): [AF_INET][undef]:1194
Sun Jul 15 16:42:42 2018 UDPv4 link remote: [AF_UNSPEC]
Sun Jul 15 16:42:42 2018 MULTI: multi_init called, r=256 v=256
Sun Jul 15 16:42:42 2018 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Sun Jul 15 16:42:42 2018 IFCONFIG POOL LIST
Sun Jul 15 16:42:42 2018 Initialization Sequence Completed

A netstat parancs kimenete:

root@debian-vpn:/home/kissag# netstat -ltnup
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 480/apache2
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 473/sshd
tcp6 0 0 :::22 :::* LISTEN 473/sshd
udp 0 0 0.0.0.0:1194 0.0.0.0:* 451/openvpn

Az uwf statusz kimenete:

root@debian-vpn:/home/kissag# ufw status
Status: active


To Action From
-- ------ ----
22/tcp ALLOW Anywhere
1194/udp ALLOW Anywhere
80/tcp ALLOW Anywhere
443/tcp ALLOW Anywhere
441/udp ALLOW Anywhere
22/tcp (v6) ALLOW Anywhere (v6)
1194/udp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
443/tcp (v6) ALLOW Anywhere (v6)
441/udp (v6) ALLOW Anywhere (v6)

A routerben a portforward-ot megcsináltam, de mégis mindig zárva van a 1194-es port. A többivel (22/80...) semmi gond, azok nyitva vannak.

Tudna esetleg segíteni, tanácsolni valaki valamit?

Előre is köszönöm a hozzászólásokat!

Hi!

Felhasználók LDAP-ban, postfix a mail és mailForwardingAddress megy rendesen, de a mailAlternateAddress nem akaródzik. A felhasználó:

========================================================
dn: uid=szistvan,ou=Users,dc=cegnev,dc=hu
mail: szabo.istvan@cegnev.hu
mailAlternateAddress: szabo.istvan@mail.cegnev.hu
mailAlternateAddress: istvan.szabo@cegnev.hu
======================================================

Készítettem egy /etc/postfix/teszt.cf-t aminek a tartalma:

==================
version = 3
server_host = 10.1.1.2
search_base = dc=cegnev,dc=hu
query_filter = (|(uid=%u)(mail=%s)(mailAlternateAddress=%s))
result_attribute = mailAlternateAddress
debuglevel = 1
====================

Aztán lássuk a "sima" tesztet úgy, ahogy a mailban szerepel, és így működik:

===================================
postmap -vq szabo.istvan@cegnev.hu ldap:/etc/postfix/teszt.cf

postmap: dict_ldap_connect: Successful bind to server ldap://10.1.1.2:389 with dn empty or implicit
postmap: dict_ldap_connect: Cached connection handle for LDAP source /etc/postfix/teszt.cf
postmap: dict_ldap_lookup: /etc/postfix/teszt.cf: Searching with filter (|(uid=szabo.istvan)(mail=szabo.istvan@cegnev.hu)(mailAlternateAddress=szabo.istvan@cegnev.hu))
postmap: dict_ldap_debug: ldap_search_ext
postmap: dict_ldap_debug: put_filter: "(|(uid=szabo.istvan)(mail=szabo.istvan@cegnev.hu)(mailAlternateAddress=szabo.istvan@cegnev.hu))"
postmap: dict_ldap_debug: put_filter: OR
postmap: dict_ldap_debug: put_filter_list "(uid=szabo.istvan)(mail=szabo.istvan@cegnev.hu)(mailAlternateAddress=szabo.istvan@cegnev.hu)"

[...]

postmap: dict_ldap_get_values[1]: search returned 2 value(s) for requested result attribute mailAlternateAddress
postmap: dict_ldap_debug: ldap_next_attribute
postmap: dict_ldap_get_values[1]: Leaving dict_ldap_get_values
postmap: dict_ldap_lookup: Search returned szabo.istvan@mail.cegnev.hu,istvan.szabo@cegnev.hu
postmap: dict_ldap_debug: ldap_msgfree
szabo.istvan@mail.cegnev.hu,istvan.szabo@cegnev.hu
=====================================================

Remek! Most pedig keressük a nem működőt:

=============================================
<strong>postmap -vq istvan.szabo@cegnev.hu ldap:/etc/postfix/teszt.cf</strong>

postmap: dict_ldap_connect: Successful bind to server ldap://10.1.1.2:389 with dn empty or implicit
postmap: dict_ldap_connect: Cached connection handle for LDAP source /etc/postfix/teszt.cf
postmap: dict_ldap_lookup: /etc/postfix/teszt.cf: Searching with filter (|(uid=istvan.szabo)(mail=istvan.szabo@cegnev.hu)(mailAlternateAddress=istvan.szabo@cegnev.hu))
postmap: dict_ldap_debug: ldap_search_ext
postmap: dict_ldap_debug: put_filter: "(|(uid=istvan.szabo)(mail=istvan.szabo@cegnev.hu)(mailAlternateAddress=istvan.szabo@cegnev.hu))"
postmap: dict_ldap_debug: put_filter: OR
postmap: dict_ldap_debug: put_filter_list "(uid=istvan.szabo)(mail=istvan.szabo@cegnev.hu)(mailAlternateAddress=istvan.szabo@cegnev.hu)"

[...]

postmap: dict_ldap_get_values[1]: Search found 0 match(es)
postmap: dict_ldap_get_values[1]: Leaving dict_ldap_get_values
postmap: dict_ldap_lookup: Search returned nothing
postmap: dict_ldap_debug: ldap_msgfree
postmap: dict_ldap_close: Closed connection handle for LDAP source /etc/postfix/teszt.cf
=============================================================================================

Na de miért nem találja??

Nézzük akkor ugyaninnen egy ldap kereséssel:

=====================
ldapsearch -H ldap://10.1.1.2 -x -D "cn=admin,dc=cegnev,dc=hu" -W -b "dc=cegnev,dc=hu" -LLL "(uid=*)" mailalternateaddress

dn: uid=szistvan,ou=Users,dc=cegnev,dc=hu
mailAlternateAddress: szabo.istvan@mail.cegnev.hu
mailAlternateAddress: istvan.szabo@cegnev.hu
=====================================================

Esetleg valakinek ötlete, hogy mit merre nézzek, mit nézek be de csúnyán?

Előre is köszönök minden ötletet!

Sziasztok!

Debian szerveren eddig 1.5 ős Firebird futott de sajnos a kliens gépeken futó program mostmár ezt a verziót nem támogatja.

Felraktam a 2.5-ös verziót de már magáról a szerverről sem érem el az adatbázist a firbird.log tele van ezzel a sorral:

INET/inet_error: connect errno = 111 (Goggleztam és kiderült hogy ez a hibakód "Connection refused")

a firebird.conf ba beállítottam a
RemoteBindAddress: -t a szerver ip jére 192.168.1.10
RemoteServicePort: 3050
A többi ki van kommentelve, hagytam default-on

a /opt/firebird/bin/changeDBAPassword.sh -t futtattam és megadtam neki a masterke v masterkey jelszót ekkor a következő hibaüzenetet irta ki:

Please enter current password for SYSDBA user: masterkey
use gsec -? to get help
Unable to complete network request to host "localhost".
Failed to establish a connection.
unable to open database

Azt hittem csak a jelszó rossz ezért:

Windows-os kliensen telepítettem egy Firebird 2.5 öt az nem kért jelszót telepítés közben. A security2.fdb fájlt megfogtam és kicseréltem a Debian on lévővel. Még mindig ezt írja ki.

Van ötletetek mit kell még állítgatnom? Esetleg, hogy debugoljak tovább stb.?

Más programoknál elég volt feltenni a firebird-öt defaulton és ment minden. Azért furcsa hogy hibát dob.

1.5 nél sem kellett állítani semmit régen még RemoteBindAddress, RemoteServicePort -ot sem kellett megadni.

Olyan problémánk van, hogy jönnek hozzánk népek, akik használják a laptopjukat, ezt-azt (vezetékes és rádiós is lehet). Ezekre a laptopokra, gépekre nincs hatásunk, rálátásunk, és bármikor előfordulhat hogy törött, lopott szoftvert használnak rajta. Ez persze be is jelent a gyártónak a mi címünkkel, és a gyártó meg minket fenyeget (megtörtént eset).

Jobb híján arra gondoltam, hogy az adott VLAN dhcp logját megőrzöm, és persze a magyar hatóságok rendelkezésére bocsájtom, ha arról van szó. De ha így, akkor nyilván úgy kéne tárolni, hogy az valamennyire hiteles legyen, és egyrészt fogalmam sincs hogy mi az elvárt (úgy értem hogy mi az, ami hasznos) hitelességi szint, és azt esetleg hogy lehet elérni.

Én pl. személy szerint nem feltétlen bízom meg abban, hogy beállítok a DHCP logra (db táblára, ha oda logol valami) ötéves megőrzést, addig gyűlik. De lehet hogy akár ez is elég, hiszen a mentésekből visszakövethető hogy volt-e módosítva (már persze ha van elegendő számú és korú mentés, ami viszont könnyen megoldható).

Az is lehet hogy valami hitelesített megoldás kéne, de ezen a téren végképp nulla ismerettel rendelkezem hogy merre érdemes keresni.

Az is lehet hogy nem érdemes ezzel foglalkozni, vagy másféle logokat kellene megőrizni (pl. switchport/radius logot, de azt is számtalan módon lehetne megkerülni, ha nagyon akarná az ember).

Ez csak ötletelés, nyitott vagyok mindenféle megoldásra.