UNIX haladó

Sajnos felmerült az igény a cégünknél ,hogy lenne pár ember akiknél engedélyezni kellene a facebook, twitter, stb-t, így nem tudom a dns-ből tiltani, csakis a proxy szerverről megoldható. Bármelyik más http oldalat tudok blokkolni, illetve a kivétel IP-re tudom engedélyezni, de a https oldalakat nem tudom megfogni. A tűzfal másik gépen van, ezért nem tudok rákérni egy whois-t a domain-ra, és nem is szeretném rárakni.

squid 3.3.8
squid.conf
http_port XX.XX.XX.XX:3128
visible_hostname proxy2.cegem.hu
dns_nameservers 10.XX.XX.XX

#eset gateway beállítása
icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_header X-Client-Username

icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1355/av_scan
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1355/av_scan
adaptation_access service_req allow all
adaptation_access service_resp allow all

acl belso src 10.XX.XX.0/23
acl belso src 10.XX.XX.0/23 #belso
acl kivetel src "/etc/squid3/kivetel"

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

#block list
acl block dstdomain "/etc/squid3/block"
deny_info http://webserver.cegem.hu/hiba/hiba.html block
acl ipblock src "/etc/squid3/ipblock"

http_access deny !Safe_ports
http_access allow block kivetel
http_access deny block belso
http_access allow belso
http_access deny all

Segítségeteket előre is köszönöm.
------------
Megoldás:
update: ubuntu 14.04 squid- 3.3.8 ssl bekapcsolás:

http://docs.diladele.com/administrator_guide_4_0/system_configuration/h…

sudo apt-get install devscripts build-essential fakeroot libssl-dev
mkdir squid && cd squid
sudo apt-get source squid3
sudo apt-get build-dep squid3
sudo dpkg-source -x squid3_3.3.8-1ubuntu6.3.dsc

sudo nano squid3-3.3.8/debian/rules
beleírni:
--enable-ssl \
--enable-ssl-crtd
sudo nano squid3-3.3.8/src/ssl/gadgets.cc
static int extensions[]= {
//NID_key_usage,

cd squid3-3.3.8 && dpkg-buildpackage -rfakeroot -b

squid fordítása /ssl bekapcsolása:
sudo service squid3 stop
sudo apt-get install ssl-cert
sudo dpkg --install squid3-common_3.3.8-1ubuntu6.3_all.deb
sudo dpkg --install squid3_3.3.8-1ubuntu6.3_amd64.deb
sudo dpkg --install squidclient_3.3.8-1ubuntu6.3_amd64.deb

sudo ln -s /usr/lib/squid3/ssl_crtd /bin/ssl_crtd
sudo /bin/ssl_crtd -c -s /var/spool/squid3_ssldb
sudo chown -R proxy:proxy /var/spool/squid3_ssldb
sudo service squid3 restart
sudo squid3 -v |grep ssl elvileg be le kapcsolva

squid.conf:
http_port 10.XX.XX.XXX:3128 ssl-bump dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl/proxy2.cegem.hu.crt key=/etc/squid3/ssl/proxy2.cegem.hu.key

sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/spool/squid3_ssldb -M 4MB
visible_hostname proxy2.cegem.hu
dns_nameservers 10.XX.XX.XX

#eset gateway beállítása
icap_enable on
icap_preview_enable on
icap_persistent_connections on
adaptation_send_client_ip on

icap_send_client_ip on
icap_send_client_username on
icap_client_username_header X-Client-Username

icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1355/av_scan
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1355/av_scan
adaptation_access service_req allow all
adaptation_access service_resp allow all

forward_max_tries 25
shutdown_lifetime 3 seconds

acl belso src 10.XX.XX.0/23
acl belso src 10.XX.XX.0/23
acl kivetel src "/etc/squid3/kivetel"

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl SSL method CONNECT
acl CONNECT method CONNECT

#block list
acl block dstdomain "/etc/squid3/block"
deny_info http://webserver.cegem.hu/hiba/hiba.html block

http_access deny !Safe_ports
http_access deny CONNECT !SSL_Ports
http_access allow block kivetel
http_access deny block
http_access allow belso
http_access deny all

Adott egy gép amin postfix + dovecot auth + MailScanner + spamassassin fut. Az SMTP-re kétféle módon lehet bemenni: 25-ös porton bárki, sok megszorítással és 465 porton kizárólag authentikációval. Az utóbbi porton van egy nagy problémám. Sok kliensprogram mindenféle mobilhálózatról meg dinamikus IP-ről csatlakozik, és az oda kiosztott IP-k egy része RBL listán van. Amikor pl. küldök egy levelet a saját UPC előfizetésemről, akkor a MailScanner kitalálja hogy a kliens IP RBL-en van, és spam-nek veszi.

Ez lesz belőle:

Received: from [192.168.1.160] (catv-86-101-30-40.catv.broadband.hu [86.101.30.40])
(Authenticated sender: my_user_name)
by shopzeus.com (Postfix) with ESMTPSA id 0A7CB889B805
for ; Thu, 17 Sep 2015 01:44:17 -0400 (EDT)

És utána ez:

X-shopzeus-MailScanner-SpamCheck: spam, SORBS-DNSBL, SORBS-DUL
X-shopzeus-MailScanner-From: my_username@shopzeus.com
X-Spam-Status: Yes

Az is lehetőség lenne, hogy a MailScanner és spamassassin RBL check-et kikapcsolom ezekre a levelekre. De azt nem tudom hogy kell. (Nem találtam olyan opciót, hogy feltételhez kössem az RBL check-et. Csak két állású kapcsoló: van vagy nincs.) Az az ötletem támadt, hogy egy header_checks segítségével az authenticated smtp Received: sorát átírom. Ha a levél továbbmegy akkor más smtp szerverek se veszik spam-nek az IP miatt. Ráadásul így lefut rá az összes több MailScanner ellenőrzés; csak a kliens IP marad ki belőle.

Valahogy így indultam neki:

cat >> /usr/local/etc/auth_header_checks.pcre
/^\s*(Received: from)[^\n]*(.*\(Authenticated sender:[^\n]*by shopzeus.com.*)/ REPLACE $1 [127.0.0.1] (localhost [127.0.0.1])$2
/^\s*User-Agent/ IGNORE
/^\s*X-Enigmail/ IGNORE
/^\s*X-Mailer/ IGNORE
/^\s*X-Originating-IP/ IGNORE
/^Received:/ HOLD

Utána a main.cf-be:

header_checks = pcre:/usr/local/etc/postfix/auth_header_checks.pcre

Tesztelés:

# postmap -q "Received: from [192.168.0.2] (catv-89-132-209-163.catv.broadband.hu [89.132.209.163]) (Authenticated sender: my_user_name) by shopzeus.com (Postfix) with ESMTPSA id 74318889B800 for ; Wed, 16 Sep 2015 13:56:52 -0400 (EDT)" pcre:auth_header_checks.pcre
REPLACE Received: from [127.0.0.1] (localhost [127.0.0.1])(Authenticated sender: my_user_name) by shopzeus.com (Postfix) with ESMTPSA id 74318889B800 for ; Wed, 16 Sep 2015 13:56:52 -0400 (EDT)

Ez tök jónak tűnik. Azonban, amikor ezzel a beállítással újraindítottam a postfix-et és küldtem magamnak levelet akkor ennyit láttam:

Sep 17 02:09:08 shopzeus postfix/smtps/smtpd[15387]: connect from catv-86-101-30-40.catv.broadband.hu[86.101.30.40]
Sep 17 02:09:08 shopzeus postfix/smtps/smtpd[15387]: BE10E889B800: client=catv-86-101-30-40.catv.broadband.hu[86.101.30.40], sasl_method=PLAIN, sasl_username=my_user_name
Sep 17 02:09:08 shopzeus postfix/cleanup[15400]: BE10E889B800: hold: header Received: from [192.168.1.160] (catv-86-101-30-40.catv.broadband.hu [86.101.30.40])??(Authenticated sender: my_user_name)??by shopzeus.com (Postfix) with ESMTPSA id BE10E889B800??for from catv-86-101-30-40.catv.broadband.hu[86.101.30.40]; from= to= proto=ESMTP helo=<[192.168.1.160]>

Szóval egyből HOLD-ra tette, ahelyett hogy átírta volna a header-t.

Feltételezem ez azért lehet, mert a header_checks még azelőtt fut le, hogy a postfix beletenné az elejébe az új Received: header-t? Hogyan tudnám átírni a header-eket még az ELŐTT hogy a DKIM generálás lefutna, de az UTÁN hogy a postfix beleírta a saját received header-jét?

Sziasztok,

Dell PowerEdge R630-as szerveren RHEL7.1 alapu modifikalt disztro reboot utan egy hibauzenettel fogad, (lasd a cimben) amibol csak F1 continue, F2 setup, F10 Lifecycle Controller,F11 to boot manager opciok valamelyikenek kivalasztasa utan bootol be a rendszer.
Update-eltem az iDracot a legujabb verziora, mely a lifecycle controllert is a legujabb verziora emelte.

http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driver…
iDRAC8_2.15.10.10_A00.exe
benne:
firmimg.d7
iDRAC_ 2_15_10_10_A00_ReleaseNotes.txt

Sajnos a hiba maradt.
ardi

Sziasztok,

mielött valaki más is belefutna ugyanugy mint én. A legujabb NVidia driver sajnos nem müködik a 4.2 rc7-el (sem).

https://forums.geforce.com/default/topic/849487/geforce-drivers/linux-v…

http://rglinuxtech.com/?p=1535

Lenne némi problémám systemd alatt, a kugli meg nagyon nem akar barátkozni csak hülyeséget dob.

Hogy lehet a systemd -nek megmondani hogy várja meg míg lefut az ExecStartban megadott script csak utána vegye elindultnak és lépjen tovább a következő, ettől függő folyamat indítására ?

Illetve miként lehet boot közben elérni az stdoutot, pl kiíratni hogy hol tart az adott script ?

Úgy fest sikerült nagyjából amit szerettem volna. Köszönöm mindenkinek a segítséget és a tippeket.

Megoldás :

-=> /etc/systemd/system/pipacspower.service

[Unit]
Description=Rendszermegsemmisítő brutális lepke-pipacs kombó
Before=munin-node.service vnstat.service
Before=cups.service saned.service
Before=tftpd-hpa.service openvpn.service samba-ad-dc.service nmbd.service
Before=nginx.service mysql.service
Before=dnsmasq.service tor.service polipo.service squid3.service

[Service]
StandardOutput=tty
Type=oneshot
ExecStart=/pipacspower

[Install]
WantedBy=basic.target

-=> /pipacspower

#!/bin/bash
echo "-------------------------------------------------------"
echo -e -n "Nukleáris tél aktiválókód "
for i in {1..30}; do
echo -e -n "$i"
sleep 1
done
echo -e -n " < xterminateallhumans > elfogadva, föld megsemmisítése folyamatban ...\n"
echo "-------------------------------------------------------"
echo alszunk még 10 -et
sleep 10
echo vége

A teszt idejére getty lelőve a tty1 -en :

systemctl disable getty@tty1.service


Frissites/uj telepites soran tapasztaltam, hogy a chrootolt konfiggal a bind9 nem indul el.
Valaki belefutott mar ebbe a problemaba?

MEGOLDÁS:
Az "/etc/systemd/system/multi-user.target.wants/bind9.service" file-ban is meg kell adni a chroot parametereket, nem elég az "/etc/default/bind9"-ben.

Helló!

Hogyan tehetném láthatóvá top-ban, hogy két frissítés között - avagy pillanatnyilag - mely processek használták el a legtöbb CPU időt (cpu time)?

Ha cpu time szerint rendezem, akkor a process indulása óta felhasznált összes cpu időt látom, ahol nyilván előnyben van az a process, amelyik régebben indult. Az alapértelmezett "cpu usage %", pedig a pillanatnyi kihasználtságot mutatja, nem a növekményt.

Továbbá tudom ezeket csoportosítani (group by) valahogy, akár ppid, cgroup, command name szerint, hogy mondjuk az Apache httpd processek által elhasznált idő összemérhető legyen mondjuk a MySQL-el vagy egy Java processzel? Alternatív top-ok is érdekesek lehetnek (htop, atop sem tudnak ilyet, ahogy nézem).

Sziasztok!

Egy tesztkörnyezetben készítek Postfix levelezőszervert, amelyet Postfixadmin segítségével adminisztrálnék.
A gond a következő: amikor felveszek egy új felhasználót a postfixadmin segítségével, az elkészítené a postafiókot egy teszt levél küldésével. Localhoston betolná a levelet a Postfix részére, de az elutasítja a levelet, mondván:

"May 10 20:49:35 mailserver postfix/smtpd[2026]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 504 5.5.2 : Helo command rejected: need fully-qualified hostname;"

A main.cf idevágó sora:

smtpd_helo_required = yes
smtpd_helo_restrictions =
permit_mynetworks,
check_helo_access
hash:/etc/postfix/helo_access,
reject_non_fqdn_helo_hostname,
reject_invalid_helo_hostname,
permit

A kérdés: miért nem veszi figyelembe a permit_mynetworks paramétert? A mynetworks változó így szerepel:
mynetworks = 127.0.0.0/8, 192.168.100.0/24

A másik gondom, hogy miért csak mailserver néven mutatkozik be a Postfixadmin? Hol a domain név rész?

Köszönök minden ötletet.

Attila

Sziasztok!

Ismertek / használtok olyan Redmine pluginokat, amik hasznosak lehetnek nagyvállalati környezetben?

+1 olyan plugint keresek ami képes arra, hogy automatikusan riportokat generáljon a napi munkánkról, illetve az is jó lenne ha e-maiben továbbítaná egy adott időpontban.

Köszönöm előre is a válaszokat.

üdv.:

András