freebsd — ЖЗГ

FreeBSD: user ‘pavel’ disappeared during update при попытке добавить пользователя

14.07.2020 Павел Грибов Linux

При попытке создания нового пользователя во FreeBSD стала выходить ошибка вида:

user 'pavel' disappeared during update

1	user 'pavel' disappeared during update

Как оказалось это результат рассинхронизации баз данных пользователей в /etc/passwd и /etc/master.passwd

Смутно помню, что в /etc/passwd хранятся логины пользователей, с паролями замененными на *, а в /etc/master.passwd храняться непосредственно сами зашифрованные пароли. /etc/master.passwd доступен только root.

Решение:

/usr/sbin/pwd_mkdb -p /etc/master.passwd

1	/usr/sbin/pwd_mkdb -p /etc/master.passwd

Оставить комментарий disappeared user, freebsd

SUDO без пароля во FreeBSD

13.07.2020 Павел Грибов Linux

В одной из задач которую делаю при помощи ansible понадобилось после выполнения всех тасков, перезапустить сервис. А так-как ansible работает под пользователем, то сервис соответственно пере стартовать не дает. Возможно есть и штатные средства для обхода этого момента. Но мне не нагуглилось сразу. Потому решил сделать перезапуск cron при помощи sudo:

sudo service cron restart

1	sudo service cron restart

Один нюанс, чтобы не запрашивался пароль, поправим файл /usr/local/etc/sudoers, а именно раскомментируем строку:

## Same thing without a password
 %wheel ALL=(ALL) NOPASSWD: ALL

1 2	## Same thing without a password %wheel ALL=(ALL) NOPASSWD: ALL

Оставить комментарий ansible, cron, freebsd, sudo

Включаем поддержку SSL в Postfix, FreeBSD 10.x

20.08.2019 Павел Грибов Linux

Предыдущий пост (включение подписи DKIM) не помог избавиться от попадания в папку СПАМ на ящиках gmail, поэтому следующим этапом попробуем включение принудительного шифрования писем SSL на домене.

Сначала сделаем самоподписный сертификат:

openssl req -new -nodes -x509 -out /usr/local/etc/postfix/smtpd.pem -keyout /usr/local/etc/postfix/smtpd.pem -days 3650

1	openssl req -new -nodes -x509 -out /usr/local/etc/postfix/smtpd.pem -keyout /usr/local/etc/postfix/smtpd.pem -days 3650

Добавляем в Postfix поддержку SSL:

mcedit /usr/local/etc/postfix/main.cf

1	mcedit /usr/local/etc/postfix/main.cf

smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_cert_file = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_CAfile = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

smtp_use_tls = yes

smtpd_use_tls = yes

smtpd_tls_auth_only = yes

smtp_tls_note_starttls_offer = yes

smtpd_tls_key_file = /usr/local/etc/postfix/smtpd.pem

smtpd_tls_cert_file = /usr/local/etc/postfix/smtpd.pem

smtpd_tls_CAfile = /usr/local/etc/postfix/smtpd.pem

smtpd_tls_loglevel = 1

smtpd_tls_received_header = yes

smtpd_tls_session_cache_timeout = 3600s

tls_random_source = dev:/dev/urandom

В файле /usr/local/etc/postfix/master.cf нужно добавить:

smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

1	smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

и перестартовать postfix

Оставить комментарий freebsd, linux, postfix, ssl, tls

Настройка DKIM подписи на FreeBSD 10.4 почтовый сервер Postfix

19.08.2019 Павел Грибов Linux

Зачем она нужна? Например для того чтобы почтовые сервера gmail.com, mail.ru и ряд других не отправляли письма с вашего домена в папку «спам».

Ставим opendkim:

pkg install opendkim

1	pkg install opendkim

Создадим файл конфигурации opendkim на основе примера:

cat /usr/local/etc/mail/opendkim.conf.sample | egrep -v '^#|^$' > /usr/local/etc/mail/opendkim.conf
mcedit /usr/local/etc/mail/opendkim.conf

1 2	cat /usr/local/etc/mail/opendkim.conf.sample \| egrep -v '^#\|^$' > /usr/local/etc/mail/opendkim.conf mcedit /usr/local/etc/mail/opendkim.conf

Получим файл вида:

Domain			example.com
KeyFile			/var/db/dkim/example.private
Selector		my-selector-name
Socket			inet:port@localhost
Syslog			Yes

Domain example.com

KeyFile /var/db/dkim/example.private

Selector my-selector-name

Socket inet:port@localhost

Syslog Yes

Преобразуем его к виду:

Domain			domen.ru
KeyTable			/var/db/dkim/KeyTable
SigningTable		/var/db/dkim/SigningTable
ExternalIgnoreList	/var/db/dkim/TrustedHosts
Selector		relay
Socket			inet:12301@localhost
Canonicalization	relaxed/relaxed
Syslog			Yes

Domain domen.ru

KeyTable /var/db/dkim/KeyTable

SigningTable /var/db/dkim/SigningTable

ExternalIgnoreList /var/db/dkim/TrustedHosts

Selector relay

Socket inet:12301@localhost

Canonicalization relaxed/relaxed

Syslog Yes

В файл /var/db/dkim/TrustedHosts добавим хосту с которых разрешены подключения:

*.domen.ru
127.0.0.1
localhost

*.domen.ru

127.0.0.1

localhost

Создаем каталог для хранения ключей и создаем собственно сами ключи:

mkdir -p /etc/opendkim/domen.ru
opendkim-genkey -D /etc/opendkim/tviinet.ru/ --domain tviinet.ru --selector relay

1 2	mkdir -p /etc/opendkim/domen.ru opendkim-genkey -D /etc/opendkim/tviinet.ru/ --domain tviinet.ru --selector relay

Создадим пользователя opendkim,зададим владельца и права доступа на файлы:

pw useradd opendkim -m -s /usr/sbin/nologin -w no
chown :opendkim /etc/opendkim/domen.ru/*
chmod g+rw /etc/opendkim/domen.ru/*

pw useradd opendkim -m -s /usr/sbin/nologin -w no

chown :opendkim /etc/opendkim/domen.ru/*

chmod g+rw /etc/opendkim/domen.ru/*

Создаем таблицу KeyTable. В ней хранится список соответствий между селекторами, доменами и файлами с закрытыми ключами. Формат записей:
<селектор>._domainkey.<домен> <домен>:<селектор>:<путь к закрытому ключу>

mcedit /var/db/dkim/KeyTable

1	mcedit /var/db/dkim/KeyTable

Например:

relay._domainkey.tviinet.ru domen.ru:relay:/etc/opendkim/tdomen.ru/relay.private

1	relay._domainkey.tviinet.ru domen.ru:relay:/etc/opendkim/tdomen.ru/relay.private

Создаем SigningTable. В данной таблице хранятся соответствия между определенными email-адресами и записями в KeyTable.

mcedit /var/db/dkim/SigningTable

1	mcedit /var/db/dkim/SigningTable

Добавляем в него:

*@domen.ru relay._domainkey.domen.ru

1	*@domen.ru relay._domainkey.domen.ru

Далее пробуем стартовать сервис:

/usr/local/etc/rc.d/milter-opendkim onestart

1	/usr/local/etc/rc.d/milter-opendkim onestart

Если всё хорошо, правим конфигурацию postfix:

mcedit /usr/local/etc/postfix/main.cf

1	mcedit /usr/local/etc/postfix/main.cf

Добавляем:

milter_protocol = 2
milter_default_action = accept
smtpd_milters = inet:localhost:12301
non_smtpd_milters = inet:localhost:12301

milter_protocol = 2

milter_default_action = accept

smtpd_milters = inet:localhost:12301

non_smtpd_milters = inet:localhost:12301

Перезапускаем postfix:

/usr/local/etc/rc.d/postfix restart

1	/usr/local/etc/rc.d/postfix restart

Если всё хорошо, остался последний шаг: правка DNS. Посмотрим содержимое:

cat /etc/opendkim/domen.ru/relay.txt

relay._domainkey	IN	TXT	( "v=DKIM1; k=rsa; "
	  "p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPHo37kaZ6zTfi8pZUE2QIDAQAB" )  ; ----- DKIM key relay for domen.ru

cat /etc/opendkim/domen.ru/relay.txt

relay._domainkey IN TXT ( "v=DKIM1; k=rsa; "

"p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPHo37kaZ6zTfi8pZUE2QIDAQAB" ) ; ----- DKIM key relay for domen.ru

Добавим эту запись в зону TXT DNS. И пробуем отправить письмо например на gmail.com. В «исходном письме» должна присутствовать запись о DKIM.

Оставить комментарий dkim, freebsd, postfix

Nginx как front-end к apache (апач через прокси nginx) FreeBsd

11.06.2019 Павел Грибов WEB

На одном из серверов пробую ускорить сайт на drupal + модуль Commerce. Mysql уже потюнил. Memcached установлен. Закешировано почти всё что можно. Но! тормозит.. Как жест отчаянья, попробую еще и через nginx пустить статику. Вдруг хоть чуток но полегчает..

1. В httpd.conf меням порт Listen с 80 на 8080. Тоже самое меняем в вирутальных хостах <VirtualHost *:8080>

2. Ставим nginx, ставим в автостарт

pkg install nginx
sysrc nginx_enable=yes

3. Правим файл конфигурации nginx (/usr/local/etc/nginx/nginx.conf)

server {
        listen       80;
        server_name  www.domen.ru;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;
#вот это динамика, пусть её занимается апач
        location / {
	    proxy_pass http://domen:8080;
	    proxy_set_header Host $host;
	    proxy_set_header X-Real-IP $remote_addr;
	    proxy_set_header X-Forwarded-For $remote_addr;
	    proxy_connect_timeout 120;
	    proxy_send_timeout 120;
	    proxy_read_timeout 180;
        }
# Вот это считаем статикой
        location ~* \.(jpg|jpeg|gif|png|ico|css|bmp|swf|js|html|txt)$ {
	    root /usr/local/www/apache24/sites/centrtricolor;
	}
...

server {

listen 80;

server_name www.domen.ru;

#charset koi8-r;

#access_log logs/host.access.log main;

#вот это динамика, пусть её занимается апач

location / {

proxy_pass http://domen:8080;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $remote_addr;

proxy_connect_timeout 120;

proxy_send_timeout 120;

proxy_read_timeout 180;

}

# Вот это считаем статикой

location ~* \.(jpg|jpeg|gif|png|ico|css|bmp|swf|js|html|txt)$ {

root /usr/local/www/apache24/sites/centrtricolor;

}

...

/usr/local/etc/rc.d/apache2 restart
/usr/local/etc/rc.d/ngnix restart

1 2	/usr/local/etc/rc.d/apache2 restart /usr/local/etc/rc.d/ngnix restart

Оставить комментарий apache, freebsd, Nginx, proxy

1 2 3 … 9 »

Пн	Вт	Ср	Чт	Пт	Сб	Вс
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31