Архив метки: freebsd

FreeBSD: user ‘pavel’ disappeared during update при попытке добавить пользователя

14.07.2020 Павел Грибов Оставить комментарий

При попытке создания нового пользователя во FreeBSD стала выходить ошибка вида:

user 'pavel' disappeared during update

1	user 'pavel' disappeared during update

Как оказалось это результат рассинхронизации баз данных пользователей в /etc/passwd и /etc/master.passwd

Смутно помню, что в /etc/passwd хранятся логины пользователей, с паролями замененными на *, а в /etc/master.passwd храняться непосредственно сами зашифрованные пароли. /etc/master.passwd доступен только root.

Решение:

/usr/sbin/pwd_mkdb -p /etc/master.passwd

1	/usr/sbin/pwd_mkdb -p /etc/master.passwd

Linux

SUDO без пароля во FreeBSD

13.07.2020 Павел Грибов Оставить комментарий

В одной из задач которую делаю при помощи ansible понадобилось после выполнения всех тасков, перезапустить сервис. А так-как ansible работает под пользователем, то сервис соответственно пере стартовать не дает. Возможно есть и штатные средства для обхода этого момента. Но мне не нагуглилось сразу. Потому решил сделать перезапуск cron при помощи sudo:

sudo service cron restart

1	sudo service cron restart

Один нюанс, чтобы не запрашивался пароль, поправим файл /usr/local/etc/sudoers, а именно раскомментируем строку:

## Same thing without a password
 %wheel ALL=(ALL) NOPASSWD: ALL

1 2	## Same thing without a password %wheel ALL=(ALL) NOPASSWD: ALL

Linux

Включаем поддержку SSL в Postfix, FreeBSD 10.x

20.08.2019 Павел Грибов Оставить комментарий

Предыдущий пост (включение подписи DKIM) не помог избавиться от попадания в папку СПАМ на ящиках gmail, поэтому следующим этапом попробуем включение принудительного шифрования писем SSL на домене.

Сначала сделаем самоподписный сертификат:

openssl req -new -nodes -x509 -out /usr/local/etc/postfix/smtpd.pem -keyout /usr/local/etc/postfix/smtpd.pem -days 3650

1	openssl req -new -nodes -x509 -out /usr/local/etc/postfix/smtpd.pem -keyout /usr/local/etc/postfix/smtpd.pem -days 3650

Добавляем в Postfix поддержку SSL:

mcedit /usr/local/etc/postfix/main.cf

1	mcedit /usr/local/etc/postfix/main.cf

smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_cert_file = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_CAfile = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

smtp_use_tls = yes

smtpd_use_tls = yes

smtpd_tls_auth_only = yes

smtp_tls_note_starttls_offer = yes

smtpd_tls_key_file = /usr/local/etc/postfix/smtpd.pem

smtpd_tls_cert_file = /usr/local/etc/postfix/smtpd.pem

smtpd_tls_CAfile = /usr/local/etc/postfix/smtpd.pem

smtpd_tls_loglevel = 1

smtpd_tls_received_header = yes

smtpd_tls_session_cache_timeout = 3600s

tls_random_source = dev:/dev/urandom

В файле /usr/local/etc/postfix/master.cf нужно добавить:

smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

1	smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

и перестартовать postfix

Linux

Настройка DKIM подписи на FreeBSD 10.4 почтовый сервер Postfix

19.08.2019 Павел Грибов Оставить комментарий

Зачем она нужна? Например для того чтобы почтовые сервера gmail.com, mail.ru и ряд других не отправляли письма с вашего домена в папку «спам».

Ставим opendkim:

pkg install opendkim

1	pkg install opendkim

Создадим файл конфигурации opendkim на основе примера:

cat /usr/local/etc/mail/opendkim.conf.sample | egrep -v '^#|^$' > /usr/local/etc/mail/opendkim.conf
mcedit /usr/local/etc/mail/opendkim.conf

1 2	cat /usr/local/etc/mail/opendkim.conf.sample \| egrep -v '^#\|^$' > /usr/local/etc/mail/opendkim.conf mcedit /usr/local/etc/mail/opendkim.conf

Получим файл вида:

Domain			example.com
KeyFile			/var/db/dkim/example.private
Selector		my-selector-name
Socket			inet:port@localhost
Syslog			Yes

Domain example.com

KeyFile /var/db/dkim/example.private

Selector my-selector-name

Socket inet:port@localhost

Syslog Yes

Преобразуем его к виду:

Domain			domen.ru
KeyTable			/var/db/dkim/KeyTable
SigningTable		/var/db/dkim/SigningTable
ExternalIgnoreList	/var/db/dkim/TrustedHosts
Selector		relay
Socket			inet:12301@localhost
Canonicalization	relaxed/relaxed
Syslog			Yes

Domain domen.ru

KeyTable /var/db/dkim/KeyTable

SigningTable /var/db/dkim/SigningTable

ExternalIgnoreList /var/db/dkim/TrustedHosts

Selector relay

Socket inet:12301@localhost

Canonicalization relaxed/relaxed

Syslog Yes

В файл /var/db/dkim/TrustedHosts добавим хосту с которых разрешены подключения:

*.domen.ru
127.0.0.1
localhost

*.domen.ru

127.0.0.1

localhost

Создаем каталог для хранения ключей и создаем собственно сами ключи:

mkdir -p /etc/opendkim/domen.ru
opendkim-genkey -D /etc/opendkim/tviinet.ru/ --domain tviinet.ru --selector relay

1 2	mkdir -p /etc/opendkim/domen.ru opendkim-genkey -D /etc/opendkim/tviinet.ru/ --domain tviinet.ru --selector relay

Создадим пользователя opendkim,зададим владельца и права доступа на файлы:

pw useradd opendkim -m -s /usr/sbin/nologin -w no
chown :opendkim /etc/opendkim/domen.ru/*
chmod g+rw /etc/opendkim/domen.ru/*

pw useradd opendkim -m -s /usr/sbin/nologin -w no

chown :opendkim /etc/opendkim/domen.ru/*

chmod g+rw /etc/opendkim/domen.ru/*

Создаем таблицу KeyTable. В ней хранится список соответствий между селекторами, доменами и файлами с закрытыми ключами. Формат записей:
<селектор>._domainkey.<домен> <домен>:<селектор>:<путь к закрытому ключу>

mcedit /var/db/dkim/KeyTable

1	mcedit /var/db/dkim/KeyTable

Например:

relay._domainkey.tviinet.ru domen.ru:relay:/etc/opendkim/tdomen.ru/relay.private

1	relay._domainkey.tviinet.ru domen.ru:relay:/etc/opendkim/tdomen.ru/relay.private

Создаем SigningTable. В данной таблице хранятся соответствия между определенными email-адресами и записями в KeyTable.

mcedit /var/db/dkim/SigningTable

1	mcedit /var/db/dkim/SigningTable

Добавляем в него:

*@domen.ru relay._domainkey.domen.ru

1	*@domen.ru relay._domainkey.domen.ru

Далее пробуем стартовать сервис:

/usr/local/etc/rc.d/milter-opendkim onestart

1	/usr/local/etc/rc.d/milter-opendkim onestart

Если всё хорошо, правим конфигурацию postfix:

mcedit /usr/local/etc/postfix/main.cf

1	mcedit /usr/local/etc/postfix/main.cf

Добавляем:

milter_protocol = 2
milter_default_action = accept
smtpd_milters = inet:localhost:12301
non_smtpd_milters = inet:localhost:12301

milter_protocol = 2

milter_default_action = accept

smtpd_milters = inet:localhost:12301

non_smtpd_milters = inet:localhost:12301

Перезапускаем postfix:

/usr/local/etc/rc.d/postfix restart

1	/usr/local/etc/rc.d/postfix restart

Если всё хорошо, остался последний шаг: правка DNS. Посмотрим содержимое:

cat /etc/opendkim/domen.ru/relay.txt

relay._domainkey	IN	TXT	( "v=DKIM1; k=rsa; "
	  "p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPHo37kaZ6zTfi8pZUE2QIDAQAB" )  ; ----- DKIM key relay for domen.ru

cat /etc/opendkim/domen.ru/relay.txt

relay._domainkey IN TXT ( "v=DKIM1; k=rsa; "

"p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPHo37kaZ6zTfi8pZUE2QIDAQAB" ) ; ----- DKIM key relay for domen.ru

Добавим эту запись в зону TXT DNS. И пробуем отправить письмо например на gmail.com. В «исходном письме» должна присутствовать запись о DKIM.

WEB

Nginx как front-end к apache (апач через прокси nginx) FreeBsd

11.06.2019 Павел Грибов Оставить комментарий

На одном из серверов пробую ускорить сайт на drupal + модуль Commerce. Mysql уже потюнил. Memcached установлен. Закешировано почти всё что можно. Но! тормозит.. Как жест отчаянья, попробую еще и через nginx пустить статику. Вдруг хоть чуток но полегчает..

1. В httpd.conf меням порт Listen с 80 на 8080. Тоже самое меняем в вирутальных хостах <VirtualHost *:8080>

2. Ставим nginx, ставим в автостарт

pkg install nginx
sysrc nginx_enable=yes

3. Правим файл конфигурации nginx (/usr/local/etc/nginx/nginx.conf)

server {
        listen       80;
        server_name  www.domen.ru;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;
#вот это динамика, пусть её занимается апач
        location / {
	    proxy_pass http://domen:8080;
	    proxy_set_header Host $host;
	    proxy_set_header X-Real-IP $remote_addr;
	    proxy_set_header X-Forwarded-For $remote_addr;
	    proxy_connect_timeout 120;
	    proxy_send_timeout 120;
	    proxy_read_timeout 180;
        }
# Вот это считаем статикой
        location ~* \.(jpg|jpeg|gif|png|ico|css|bmp|swf|js|html|txt)$ {
	    root /usr/local/www/apache24/sites/centrtricolor;
	}
...

server {

listen 80;

server_name www.domen.ru;

#charset koi8-r;

#access_log logs/host.access.log main;

#вот это динамика, пусть её занимается апач

location / {

proxy_pass http://domen:8080;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $remote_addr;

proxy_connect_timeout 120;

proxy_send_timeout 120;

proxy_read_timeout 180;

}

# Вот это считаем статикой

location ~* \.(jpg|jpeg|gif|png|ico|css|bmp|swf|js|html|txt)$ {

root /usr/local/www/apache24/sites/centrtricolor;

}

...

/usr/local/etc/rc.d/apache2 restart
/usr/local/etc/rc.d/ngnix restart

1 2	/usr/local/etc/rc.d/apache2 restart /usr/local/etc/rc.d/ngnix restart

Пн	Вт	Ср	Чт	Пт	Сб	Вс
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

ЖЗГ

Архив метки: freebsd

FreeBSD: user ‘pavel’ disappeared during update при попытке добавить пользователя

SUDO без пароля во FreeBSD

Включаем поддержку SSL в Postfix, FreeBSD 10.x

Настройка DKIM подписи на FreeBSD 10.4 почтовый сервер Postfix

Nginx как front-end к apache (апач через прокси nginx) FreeBsd

Жизнь замечательных грибов