vanoc.ru

Заметки

Архив категории ‘centos’

настройка openDKIM в centos 7

Комментариев нет

Установим opendkim
yum install opendkim

Нужно в /etc/opendkim.conf поправить Mode и раскомментировать строки
Mode sv
KeyTable /etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable

Создадим ключи
mkdir /etc/opendkim/keys/example.com
chmod 750 /etc/opendkim/keys/example.com
opendkim-genkey -D /etc/opendkim/keys/example.com/ -d example.com
chmod 640 /etc/opendkim/keys/example.com/*
chown -R opendkim:opendkim /etc/opendkim/keys/*

Допишем в /etc/opendkim/KeyTable

default._domainkey.example.com example.com:default:/etc/opendkim/keys/example.com/default.private

и в /etc/opendkim/SigningTable
*@example.com default._domainkey.example.com

Для подписи субдоменов нужно добавить в /etc/opendkim.conf параметр
SubDomains yes

а в /etc/opendkim/SigningTable
*@sub.example.com default._domainkey.example.com

Перезапустим opendkim
systemctl restart opendkim.service

Осталось научить postfix работать с dkim и указать для домена TXT запись.

Добавляем в /etc/postfix/main.cf

#DKIM
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

затем
postfix restart

Добавляем TXT запись.
Берем содержимое файла /etc/opendkim/keys/example.com/default.txt

default._domainkey      IN      TXT     ( "v=DKIM1; k=rsa; "
          "p=.................." )  ; ----- DKIM key default for example.com

Для субдомена запись будет вида

default._domainkey.sub.example.com      IN      TXT     ( "v=DKIM1; k=rsa; "
          "p=.................." )  ; ----- DKIM key default for example.com

Проверяем
dig txt default._domainkey.example.com

Отправляем тестовое письмо и наслаждаемся результатом.
opendkim

18th Январь 2015 ~ 22:41


Рубрики centos

Метки ,

rsyslog, samba, full audit

Комментариев нет

После настройки самбы и дополнительного full.audit следует озаботиться тем, куда собственно этот аудит будет записываться.

Как рабочий пример:

# less /etc/samba/smb.full_audit.conf
         full_audit:priority = NOTICE
         full_audit:facility = LOCAL5
         full_audit:success = mkdir rmdir read write rename unlink chmod fchmod 
chown fchown ftruncate lock symlink readlink link mknod close open
         full_audit:failure = none
         full_audit:prefix = |[%S]|%u|%I

Тут важна строка full_audit:facility = LOCAL5

Настраиваем /etc/rsyslog.conf
Находим строку
*.info;mail.none;authpriv.none;cron.none /var/log/messages
и добавляем local5.none дабы в /var/log/messages не заносился аудит самбы
*.info;mail.none;authpriv.none;cron.none;local5.none /var/log/messages
Указываем куда записывать аудит
local5.* /var/log/samba/samba.audit

Дабы применились изменения перезапускаем rsyslog
service rsyslog restart

Однако в /var/log/messages скорее всего появится очень большое количество таких строк
rsyslogd-2177: imuxsock begins to drop messages from pid 194326 due to rate-limiting
rsyslogd-2177: imuxsock lost 684 messages from pid 194326 due to rate-limiting

Это связано с тем, что rsyslog по умолчанию для одного пида записывает в логи не более 200 записей в течении 5 секунд. Т.е. если пользователь заходит в самба шару с большим количеством файлов, то записей в samba.audit может быть больше 200, т.о. появляется запись в /var/log/messages о том, что rsyslog отбросил остальные строки.

Есть три варианта решения (по крайней мере я столько нашел)

1. Отключить ограничение. Добавляем в /etc/rsyslog.conf
$SysSock.RateLimit.Interval 0

2. Поиграться с интервалом и разрешенным чилом записей
например:
$SysSock.RateLimit.Interval 10
$SysSock.RateLimit.Burst 500

3. Убрать записи «imuxsock begins to drop messages бла бла бла» из /var/log/messages
Решается добавлением в /etc/rsyslog.conf после #### RULES ####

:msg, regex, "imuxsock begins to drop messages from pid .* due to rate-limiting" ~
:msg, regex, "imuxsock lost .* messages from pid .* due to rate-limiting" ~

Подробнее здесь

Дабы применились изменения перезапускаем rsyslog
service rsyslog restart

11th Декабрь 2014 ~ 17:09


Рубрики centos

Метки ,

samba, пароль к шаре

Комментариев нет

Столкнулся с тем, что windows начала просить пароль на доступ к шаре.

В логах /var/log/samba/log.smbd следующее
smbd/server.c:1165(main)
standard input is not a socket, assuming -D option
smbd/server.c:500(smbd_open_one_socket)
smbd_open_once_socket: open_socket_in: Address already in use

лог /var/log/samba/log.nmbd показывает
nmbd/nmbd.c:885(main)
standard input is not a socket, assuming -D option

Проблема оказалась в winbindе. А именно не соответствии имен групп linux и windows. Т.е. группа шары выглядела так:
# ls -l /mnt/lv10/Photoarchive/
total 4
drwxrwx---+ 2 root 16777729 4096 Apr 24 2013 Архив

где gid=16777729 (domain users)

Лечится рестартом winbind
service winbind restart

4th Июль 2014 ~ 18:01


Рубрики centos

Метки ,

301 редирект с домена на домен

Комментариев нет

Вчера столкнулся с таким интересным явлением, когда у совершенно стороннего чужого домена в качестве А записи в DNS с был указан ip нашего ресурса. Т.о. этот совершенно чужой домен показывал контент нашего портала и даже индексировался поисковиками. Для чего это было сделано не знаю, возможно ради повышения ТИЦ и PR своего домена.

Исправил это безобразие записью в .htaccess

Options +FollowSymLinks
RewriteEngine on
RewriteCond %{HTTP_HOST} чужойсайт.ru
RewriteRule ^(.*)$ http://нашсайт.ru/ [R=301,L]

В случае, если нужно сделать под nginx, тогда создаем конфиг файл, например, /etc/nginx/bx/site_enabled/redirect.conf (путь может быть другой, т.к. я делал для битрикса)

server {
        listen 80;
        server_name чужойсайт.ru www.чужойсайт.ru чужойсайт2.ru;
        rewrite ^ http://нашсайт.ru$request_uri? permanent;
}

затем

service nginx configtest
service nginx reload

12th Ноябрь 2013 ~ 12:01


Рубрики centos

Метки , ,