之前從centos 8 升到 centos 8 stream 的几器最近無法更新

出現以下訊息

 [root@localhost ~]# dnf -y update

Failed to set locale, defaulting to C.UTF-8

CentOS Linux 8 - AppStream                      51  B/s |  38  B     00:00    

Error: Failed to download metadata for repo 'appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist

重新執行以下指令

dnf --disablerepo '*' --enablerepo extras swap centos-linux-repos centos-stream-repos

dnf distro-sync

再 dnf -y update 就正常了

https://www.centos.org/download/

proxmox 升到7後

centos 7 的 LXC 無法開几

出現以下訊息

WARN: old systemd (< v232) detected, container won't run in a pure cgroupv2 environment! Please see documentation -> container -> cgroup version. 

以下連結提供解決方法

不過還是建議升級到centos 8

https://forum.proxmox.com/threads/unified-cgroup-v2-layout-upgrade-warning-pve-6-4-to-7-0.92459/

https://pve.proxmox.com/wiki/Upgrade_from_6.x_to_7.0#Old_Container_and_CGroupv2

https://pve.proxmox.com/pve-docs/chapter-pct.html#pct_cgroup_compat

https://blog.centos.org/2020/12/future-is-centos-stream/?utm_source=rss&utm_medium=rss&utm_campaign=future-is-centos-stream

今天早上看到的消息

雖然知道總會有這麼一天

但.............

只能移轉了

dnf install epel-release -y

dnf install centos-release-stream -y

dnf update -y

init 6

接續之前的問題

測試的設備無法使用 centos 8 的 xrdp 

所以只好換個方式

使用vnc 的 多人多桌面功能

一樣是centos 8 同一台几器

記錄一下安裝過程

dnf install tigervnc-server -y 

cp /usr/lib/systemd/system/vncserver@.service /etc/systemd/system/vncserver@.service

以用 abc 這個user登入為例

cd /etc/systemd/system

cp vncserver@.service vncserver-abc@:3.service

上行的 3 表示連接的port 5903

在多個user的情況下 每個user都要使用不同的port 不同的檔案 起不同的daemon

修改 vncserver-abc@:3.service 如下部分

[Service]

Type=simple

# Clean any existing files in /tmp/.X11-unix environment

ExecStartPre=/bin/sh -c '/usr/bin/vncserver -kill %i > /dev/null 2>&1 || :'

#ExecStart=/usr/bin/vncserver_wrapper <USER> %i

ExecStart=/usr/sbin/runuser -l abc -c "/usr/bin/vncserver %i -geometry 1280x1024"

ExecStop=/bin/sh -c '/usr/bin/vncserver -kill %i > /dev/null 2>&1 || :'

PIDFile=/home/USER/.vnc/%H%i.pid

記得針對不同user要修正

另外 -geometry 1280x1024

這個解析度也要依需求修正(不過實測上好像沒有用 直接在連線的vnc client上設定解析度比較有用)

設定user的vnc 登入密碼

su - abc

vncpasswd

Password:

Verify:

以上完成後啟動daemon

systemctl start vncserver-abc@:3.service

注意

不同的user要分別使用不同的daemon

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-TigerVNC#proc-configuring-vncserver

最近在測一個稽核的設備

只要user經過這台設備就所有動作就可以被錄影

因為就想讓user進設備後再連到一台主机

接下來再連到目的主机

但考慮可能有多人同時使用的情況

又不想要為此再多花費用去購買windows rdp 的授權

所以就想利用xrdp來解決

安裝步驟如下

centos 8 xrdp install

centos 8 安裝時選擇 server with gui

裝好後關閉 selinux

vi /etc/sysconfig/selinux

關閉firewalld

systemctl disable firewalld

disable virbr0

systemctl status libvirtd.service

systemctl disable libvirtd.service

dnf update -y

dnf install epel-release

dnf install xrdp -y

systemctl enable xrdp

systemctl start xrdp

因為只開几個user要給多人共用 所以關閉視窗時要結束 session

同一user不能同時二個登入

不同user可以同時登入

vi /etc/xrdp/sesman.ini

 [Xvnc] 這段加入

param=-MaxDisconnectionTime

param=10

醬user在關視窗後10秒就會結束session

因為連入後還要再連到別台几器

所以安裝remmina給連入的user使用

因為centos 8 預設軟体庫已沒有 remmina

所以使用snap安裝

dnf install snapd

systemctl start snapd

systemctl enable snapd

snap install remmina

重開几

proxmox mail gateway 今年 opensource
因為之前都是用fortiget來處理spam的問題
所以也沒想要換
不過因為保固到期 新的合約沒有買到spam這個授權
而且最近也把mail server 換到centos 8
所以就想說來試看看
如果本來就是用 proxmox ve
那就可以直接使用LXC的template
我就是直接用template
安裝很快 裝完template也就可以砍了
再來說明一下裝完後有那些要改
首先是登入的root密碼
接下來使用iptables去管制能夠連到管理介面的來源ip

mail filter

一直以來我們的處理方式都是在主旨加上tag 而不是去隔離信
所以這裡要改
至於要不要通知管理者 就自行決定了
如果需要黑白名單 也是在這裡加

configuration

管理者的mail要記得改

mail proxy

relaying
relay domains
transports
請依自己的環境修改
如果使用greylist 白名單是加在這裡 要注意 不是在mail filter

options

紅框是我覺得一定要改的
信件大小是跟著gmail的規則
網路上看到都說不要開greylist 可是我認為要開 可以少掉很多spam
SMTPD banner 如果不改 會顯示proxmox
站在安全的角度 我不想讓人知道我用什麼產品
其他就視需要自行決定了

未加greylist

加上greylist

spam跟virus的更新系統會自動做
至於其他就自己看看

文件上的這張圖怪怪的

實体上不是直接放在mail server 前面
而是要在DNS設定MX
外面進來的信先進到PMG
處理完後再轉到mail server
所以我目前的做法是在mail server上用iptable管制特定ip才能連到25
而且出去的信我也是從mail servre直接出去
不再經過PMG
到目前大約運作十多天
看起來效果還不錯

https://www.proxmox.com/en/proxmox-mail-gateway
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html

今天從proxmox下載新的lxc centos 7 template回來
create後發現root不能登入

pct enter 107

直接進去後再改密碼還是一樣

應該是template有問題了
而且centos 8的template已經上架
直接捉回來用 沒問題

因為centos 8的php已 經升到7了
所以試看看裝 ocs 2.6有沒有問題

先補一下需要的rpm

dnf --enablerepo=PowerTools install perl-MIME-Types

dnf --enablerepo=PowerTools install perl-Digest-SHA1 -y

dnf --enablerepo=PowerTools install perl-Switch -y

epel-release
make
mariadb
mariadb-server
mod_perl
perl-Apache2-SOA
perl-Apache-DB
perl-Apache-DBI
perl-DBI
perl-Digest-SHA
perl-Net-IP
perl-SOAP-Lite
perl-XML-Entities
perl-XML-Simple
php
php-curl
php-gd
php-json
php-mbstring
php-mysqlnd
php-soap
php-xml
tar
httpd
zlib

大約是這些

如果有漏的

在跑setup時再補一下

centos 8還不錯 所有需要的東西都可以直接用dnf install 來裝

裝好mariadb記得先改一下root的密碼

mysqladmin -u root password 'passwd'

setup跑完後
改以下二個檔的帳號跟密碼

/etc/httpd/conf.d/z-ocsinventory-server.conf

/usr/share/ocsinventory-reports/ocsreports/dbconfig.inc.php

改權限

chmod -R 766 /usr/share/ocsinventory-reports

chown -R apache:apache /usr/share/ocsinventory-reports/

chown -R apache:apache /var/lib/ocsinventory-reports/

登入
http://server-hostname-or-IP/ocsreports
預設是admin admin
記得改掉

php在這個版本有個獨立的daemon

php-fpm

如果在/var/log/httpd/裡沒有看到錯誤
記得到
/var/log/php-fpm
查看看

要重啟daemon要重啟三個

systemctl restart httpd mariadb.service php-fpm.service

https://kifarunix.com/install-ocs-ng-inventory-on-fedora-30-fedora-29/

一樣是升級centos 8 postfix 後的問題

這次希望能有判別spam的功能

請出老牌的 spamassassin

網路上的很多文章都提到與mailscanner 或 amavisd-new 整合

但我希望能直接用postfix

做法如下

dnf install spamassassin

好在有放進list可以直接用

加group跟user

groupadd spamd

useradd -g spamd -s /bin/false -d /var/log/spamassassin spamd

改權限

chown spamd:spamd /var/log/spamassassin

再來修改 /etc/postfix/master.cf

找到 

smtp      inet  n       -       n       -       -       smtpd

改成

smtp      inet  n       -       n       -       -       smtpd -o content_filter=spamassassin

在最後加上

spamassassin unix - n n - - pipe flags=R user=spamd argv=/usr/bin/spamc -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}

systemctl restart spamassassin

systemctl restart postfix

systemctl enable spamassassin

更新rule

sa-update -D --nogpg

會出現有缺東西的情況 能補就補

最後有二個dnf也沒法補

目前是不影響功能

Oct 11 07:36:44.595 [24809] dbg: diag: [...] module not installed: Net::Patricia ('require' failed)

Oct 11 07:36:44.595 [24809] dbg: diag: [...] module not installed: Net::DNS::Nameserver ('require' failed)

寫個crontab定時做

1 7,19 * * * /usr/bin/sa-update -D --nogpg;/usr/bin/systemctl restart spamassassin

如果想要能夠學習

建 whitelist , blacklist 二個user 分別把誤判及未判的信轉過去

然後再寫個crontab定時做

#!/bin/bash

/usr/bin/sa-learn --no-sync --ham /home/whitelist/Maildir/{cur,new}

rm -rf /home/whitelist/Maildir/*

/usr/bin/sa-learn --no-sync --spam /home/blacklist/Maildir/{cur,new}

rm -rf /home/blacklist/Maildir/*

http://forums.sentora.org/showthread.php?tid=1118

http://faisal.com/docs/salearn.html

最近把mail server升到 centos 8
可是
預設卻找不到 postgrey
XD

只好手動來了
首先到 https://postgrey.schweikert.ch/ 下載
直接解開就可以用了 不用編譯
只是要補一些東西

dnf install -y perl-NetAddr-IP perl-Net-Server perl-BerkeleyDB

groupadd nogroup
adduser postgrey

mkdir /var/spool/postfix/postgrey
touch /var/spool/postfix/postgrey/socket

chown -R postgrey.nogroup /var/spool/postfix/postgrey

cd /etc/postfix

下載官方白名單

wget https://postgrey.schweikert.ch/pub/postgrey_whitelist_clients

再產生一個 /etc/postfix/postgrey_whitelist_recipients 視需要修改內容

啟動postgrey

./postgrey --unix=/var/spool/postfix/postgrey/socket --delay=60 -d

記得加入 /etc/rc.local開几執行

修改 /etc/postfix/main.cf

在原來的

smtpd_recipient_restrictions =

加上

   check_policy_service unix:/var/spool/postfix/postgrey/socket

重啟postfix

systemctl restart postfix

接下來看看/var/log/maillog 有沒有類似以下的訊息

如果有

就表示ok了

Oct  5 11:21:57 mail postfix/smtpd[10103]: NOQUEUE: reject: RCPT from nedm.ubot.com.tw[125.227.165.70]: 450 4.2.0 <abc@test.com>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mail.nkuht.edu.tw.html; from=<UBOT@nedm.ubot.com.tw> to=<shangpao@mail.nkuht.edu.tw> proto=ESMTP helo=<nedm.ubot.com.tw>

postgrey有一個報表工具 postgreyreport
如果要使用要再補上

dnf install -y perl-Net-DNS

指令如下

Depending on how busy your server is, the report can get quite large. To get only the top 20 sources getting greylisted out - you can use something like this :

cat /var/log/maillog | postgreyreport | awk '{print $1}' | sort | uniq -c | sort -nr | head -n20

To get a list of the top 20 email address that the greylisted sources are sending email to :

cat /var/log/maillog | postgreyreport | awk '{print $4}'  | sort  | uniq -c | sort -nr | head -n20


https://wiki.centos.org/HowTos/postgrey#head-70ed10e62fb7da94deb39a987e1e4e205c2ae2c5