Категорії
WWW

[nginx] https proxy

Нашёл в рассылке по nginx: правильное проксирование https.

server {
   listen 80;
   listen 443 ssl;
   server_name .site.com;
   ssl_certificate /etc/nginx/domain.com.crt;
   ssl_certificate_key /etc/nginx/domain.com.key;
   ssl_session_cache  builtin:1000  shared:SSL:10m;
   ssl_ciphers EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:EECDH+RC4:RSA+RC4:!MD5;
   ssl_prefer_server_ciphers on;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   ...
   location / {
      proxy_pass http://127.0.0.1:8080;
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $remote_addr;
      proxy_set_header HTTPS $https;
   }
}

А можно проксировать через haproxy, используя протокол TCP вместо HTTP.

Категорії
Linux

Бесплатные online хранилища

google drive

$ sudo add-apt-repository ppa:thefanclub/grive-tools
$ sudo apt-get update
$ sudo apt-get install grive grive-tools

Категорії
Mail systems

[exim] SPF/DKIM

Для работы потребуется, что бы Exim был собран с поддержкой SPF/DKIM. Для Debian это означает установку пакета exim4-daemon-heavy.

SPF

Добавляем в DNS такие записи (предпочтительнее):

mydomain.ru. IN TXT "v=spf1 a mx ~all"

а если позволяет DNS, то такую:

mydomain.ru. IN SPF "v=spf1 a mx ~all"

Категорії
Mail systems

[exim] Реврайт заголовка From

Появилась задача, сделать rewrite заголовка, в зависимости от того, с какого хоста идёт отправка. Иными словами:
– если IP отправителя находится в списке (в данном случае это localhost), то подменять поле From на нужные значения из файла
– во всех остальных случаях заголовки не подменять

Создаём переменную local_sender_host и вписываем в неё все нужные IP. В данном случае это только localhost (@[] – это замена слова ‘localhost‘, так как в роутерах нельзя использовать слово ‘localhost‘)

Категорії
Mail systems

[exim] PAM / file аутентификация

Тестовый стенд: Debian linux, exim 4.80

PAM аутентификация

– exim

В конфиге exim’a в разделе аутентификации пишем такой блок (при этом должна быть установлена версия exim4-daemon-heavy, так как в ней включена поддержка PAM):

begin authenticators

Категорії
Solaris

Запуск сервиса от имени юзера и в нужном проекте.

Нужно создать и запустить сервис (на примере teamcity) в проекте с ограничениями.

Тестовый стенд: Solaris 11.1

1) Создание проекта.

Создаём такой проект с уже нужными ограничениями:

# projadd -U webservd -K 'rcap.max-rss=3GB' -K 'project.max-lwps=(privileged,400,deny)' -K 'project.max-tasks=(privileged,400,deny)' -K 'process.max-file-size=(priv,1Gb,deny)' -K 'process.max-core-size=(priv,1Gb,deny)' -K 'project.cpu-shares=(privileged,1,none)' -K 'project.cpu-cap=(privileged,10,deny)' java

Категорії
Misc, staff, other

squid SMP: (squid-1): kid1 registration timed out

Это значит, что вы используете squid с поддержкой многопоточности (а его многопоточность реализована с использованием shared memory), но не повысили лимиты по shared memory.

Нужно изменить такие sysctl переменные:

net.local.dgram.recvspace: 262144
net.local.dgram.maxdgram: 16384

После этого проблема исчезнет.

Категорії
Linux

Наследование acl в ext4

И так, предположим, что ACL вы собственно настроили. Но наследование не работает. Здесь кроется 2 момента: наследование прав со стороны ФС и наследование прав со стороны ACL.

Для решения первого вопроса, нужно перемонтировать ФС с параметром bsdgroups:

# mount -o remount,bsdgroups /opt

Так же не забудьте внести правки в /etc/fstab:

/dev/sda7 ext4 errors=remount-ro,acl,bsdgroups 0 1

Категорії
Solaris

Управление только 1 SMF-сервисом без sudo-прав.

Имеем сервис http:https-test-webserver. Нужно юзеру user1 дать право перезапускать его и управлять им через svcadm, не давая ему sudo.

Проверка нашего сервиса:

# svcs http:https-test-webserver
STATE STIME FMRI
online 14:21:51 svc:/network/http:https-test-webserver

Категорії
Misc, staff, other

[zabbix] Триггер: zabbix was restarted

Такая ошибка появляется по многим причинам, но в основном при обновлении агента или сервера. Как итог, триггер больше не проверяется, а в Web-ке отображается серым цветом.

Исправить её напрямую нельзя, только через ручную правку значений в базе:

Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP
Powered by Muff