При попытке создания нового пользователя во FreeBSD стала выходить ошибка вида:
user 'pavel' disappeared during update
Как оказалось это результат рассинхронизации баз данных пользователей в /etc/passwd и /etc/master.passwd
Смутно помню, что в /etc/passwd хранятся логины пользователей, с паролями замененными на *, а в /etc/master.passwd храняться непосредственно сами зашифрованные пароли. /etc/master.passwd доступен только root.
Решение:
/usr/sbin/pwd_mkdb -p /etc/master.passwd
В одной из задач которую делаю при помощи ansible понадобилось после выполнения всех тасков, перезапустить сервис. А так-как ansible работает под пользователем, то сервис соответственно пере стартовать не дает. Возможно есть и штатные средства для обхода этого момента. Но мне не нагуглилось сразу. Потому решил сделать перезапуск cron при помощи sudo:
sudo service cron restart
Один нюанс, чтобы не запрашивался пароль, поправим файл /usr/local/etc/sudoers, а именно раскомментируем строку:
## Same thing without a password %wheel ALL=(ALL) NOPASSWD: ALL
Предыдущий пост (включение подписи DKIM) не помог избавиться от попадания в папку СПАМ на ящиках gmail, поэтому следующим этапом попробуем включение принудительного шифрования писем SSL на домене.
Сначала сделаем самоподписный сертификат:
openssl req -new -nodes -x509 -out /usr/local/etc/postfix/smtpd.pem -keyout /usr/local/etc/postfix/smtpd.pem -days 3650
Добавляем в Postfix поддержку SSL:
mcedit /usr/local/etc/postfix/main.cf
smtp_use_tls = yes smtpd_use_tls = yes smtpd_tls_auth_only = yes smtp_tls_note_starttls_offer = yes smtpd_tls_key_file = /usr/local/etc/postfix/smtpd.pem smtpd_tls_cert_file = /usr/local/etc/postfix/smtpd.pem smtpd_tls_CAfile = /usr/local/etc/postfix/smtpd.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom
В файле /usr/local/etc/postfix/master.cf нужно добавить:
smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
и перестартовать postfix
Зачем она нужна? Например для того чтобы почтовые сервера gmail.com, mail.ru и ряд других не отправляли письма с вашего домена в папку «спам».
Ставим opendkim:
pkg install opendkim
Создадим файл конфигурации opendkim на основе примера:
cat /usr/local/etc/mail/opendkim.conf.sample | egrep -v '^#|^$' > /usr/local/etc/mail/opendkim.conf mcedit /usr/local/etc/mail/opendkim.conf
Получим файл вида:
Domain example.com KeyFile /var/db/dkim/example.private Selector my-selector-name Socket inet:port@localhost Syslog Yes
Преобразуем его к виду:
Domain domen.ru KeyTable /var/db/dkim/KeyTable SigningTable /var/db/dkim/SigningTable ExternalIgnoreList /var/db/dkim/TrustedHosts Selector relay Socket inet:12301@localhost Canonicalization relaxed/relaxed Syslog Yes
В файл /var/db/dkim/TrustedHosts добавим хосту с которых разрешены подключения:
*.domen.ru 127.0.0.1 localhost
Создаем каталог для хранения ключей и создаем собственно сами ключи:
mkdir -p /etc/opendkim/domen.ru opendkim-genkey -D /etc/opendkim/tviinet.ru/ --domain tviinet.ru --selector relay
Создадим пользователя opendkim,зададим владельца и права доступа на файлы:
pw useradd opendkim -m -s /usr/sbin/nologin -w no chown :opendkim /etc/opendkim/domen.ru/* chmod g+rw /etc/opendkim/domen.ru/*
Создаем таблицу KeyTable. В ней хранится список соответствий между селекторами, доменами и файлами с закрытыми ключами. Формат записей:
<селектор>._domainkey.<домен> <домен>:<селектор>:<путь к закрытому ключу>
mcedit /var/db/dkim/KeyTable
Например:
relay._domainkey.tviinet.ru domen.ru:relay:/etc/opendkim/tdomen.ru/relay.private
Создаем SigningTable. В данной таблице хранятся соответствия между определенными email-адресами и записями в KeyTable.
mcedit /var/db/dkim/SigningTable
Добавляем в него:
*@domen.ru relay._domainkey.domen.ru
Далее пробуем стартовать сервис:
/usr/local/etc/rc.d/milter-opendkim onestart
Если всё хорошо, правим конфигурацию postfix:
mcedit /usr/local/etc/postfix/main.cf
Добавляем:
milter_protocol = 2 milter_default_action = accept smtpd_milters = inet:localhost:12301 non_smtpd_milters = inet:localhost:12301
Перезапускаем postfix:
/usr/local/etc/rc.d/postfix restart
Если всё хорошо, остался последний шаг: правка DNS. Посмотрим содержимое:
cat /etc/opendkim/domen.ru/relay.txt relay._domainkey IN TXT ( "v=DKIM1; k=rsa; " "p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPHo37kaZ6zTfi8pZUE2QIDAQAB" ) ; ----- DKIM key relay for domen.ru
Добавим эту запись в зону TXT DNS. И пробуем отправить письмо например на gmail.com. В «исходном письме» должна присутствовать запись о DKIM.
На одном из серверов пробую ускорить сайт на drupal + модуль Commerce. Mysql уже потюнил. Memcached установлен. Закешировано почти всё что можно. Но! тормозит.. Как жест отчаянья, попробую еще и через nginx пустить статику. Вдруг хоть чуток но полегчает..
1. В httpd.conf меням порт Listen с 80 на 8080. Тоже самое меняем в вирутальных хостах <VirtualHost *:8080>
2. Ставим nginx, ставим в автостарт
pkg install nginx
sysrc nginx_enable=yes
3. Правим файл конфигурации nginx (/usr/local/etc/nginx/nginx.conf)
server {
listen 80;
server_name www.domen.ru;
#charset koi8-r;
#access_log logs/host.access.log main;
#вот это динамика, пусть её занимается апач
location / {
proxy_pass http://domen:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_connect_timeout 120;
proxy_send_timeout 120;
proxy_read_timeout 180;
}
# Вот это считаем статикой
location ~* \.(jpg|jpeg|gif|png|ico|css|bmp|swf|js|html|txt)$ {
root /usr/local/www/apache24/sites/centrtricolor;
}
...
/usr/local/etc/rc.d/apache2 restart /usr/local/etc/rc.d/ngnix restart