CentOS 的docker 若綁定Internet IP , 要注意是否開放對外服務
例如 docker 安裝 mariadb service , 要記得不要開放到internet
iptables -I DOCKER 1 -i <對外網卡代號> -p tcp --dport 3306 -j DROP
標籤: centos
擴容xfs,ext4(不使用lvm)
linux vm我很很老派的喜歡用純粹的ext4 , xfs 檔案系統, 但是時常遇到磁碟空間不足的問題,
此時讓VM 伺服器加大空間, 再服用以下兩個指令:
1. 安裝擴容軟體 yum install cloud-utils-growpart -y 2. 執行擴容(xfs只能增大, 不能減少) growpart /dev/sdb 1 代表讓/dev/sdb1擴充到最大 3. 生效 假設/dev/sdb1 mount 到 /mnt/docker 以下指令可以立即生效 xfs_growfs -d /mnt/docker
mail出現好奇怪的log ".... rip=::1, lip=::1, secured, session" problem
有時候出現就一大堆, 最後出現too many open files , 有夠怪異, 只好讓限制 imap 與 pop3 只 listen 特定的 ip (ipv4) , 這樣就可以避掉疑似ipv6嘗試入侵的問題, 我自己是覺得可能是系統與dovecot之前某段出了狀況.
請修改 /etc/dovecot/conf.d/10-master.conf
service imap-login {
inet_listener imap {
address = x.x.x.x y.y.y.y
#port = 143
}
inet_listener imaps {
address = x.x.x.x y.y.y.y
#port = 993
#ssl = yes
}
}
service pop3-login {
inet_listener pop3 {
address = x.x.x.x y.y.y.y
#port = 110
}
inet_listener pop3s {
address = x.x.x.x y.y.y.y
#port = 995
#ssl = yes
}
}
docker container啟動管理supervisord設定心得
supervisord是常用的docker啟動管理程序, 通常我們都把一大堆服務寫進去supervisord.conf, 我最近弄的docker mail server (綁定AD) , 常常遇到container重啟時(docker restart) , supervisord裡面的service會出現already started字樣, 爬了文, 好像是這個參數搞的鬼, startsecs , 官網解釋如下
The total number of seconds which the program needs to stay running after a startup to consider the start successful (moving the process from the STARTING state to the RUNNING state)
也就是說這些service啟動成功後, supervisord預設會等個1秒才移除STARTING狀態, 但有可能造成service本身誤判, 誤以為已啟動,又再啟動一次, 所以service會重複跑個幾次 , 甚至有時候就再起不能了.
目前測試結果可以修改兩個參數, 一個是startsecs=0(立即更新成running狀態) , 另一個是startretries=0(重複啟動次數)
我是決定只改 startsecs=0 , 果然就沒出現already started字樣
ps. 這只是我個人測試自己docker mail server的心得, 沒有多次驗證
centos已經不能安裝Certbot, 須改用snapd安裝
請先安裝 snapd https://kafeiou.pw/2021/02/17/3008/
sudo yum remove certbot sudo yum install httpd mod_ssl setsebool -P httpd_can_network_connect true sudo snap install --classic certbot sudo ln -s /snap/bin/certbot /usr/bin/certbot
centos 7安裝snapd
sudo yum install epel-release sudo yum update sudo yum install snapd sudo systemctl enable --now snapd.socket sudo ln -s /var/lib/snapd/snap /snap systemctl enable snapd.service systemctl start snapd.service
CEntOS 7 postfix 新增lmtp 與 managesieve功能
之前自己製作的mail server (綁定AD) , 休假功能使用的是 lda + sieve + managesieve 的方式進行, 可是在朋友公司運行時, 卻發生效率不彰的狀況(活躍的email帳號約500個).
查詢了一下, 發現官方已經建議使用 lmtp 的方式取代 lda , 原因是lda屬於觸發類型, 而 lmtp是常駐服務類型, 常駐服務類型效率較好.
於是將自己製作的 docker mail server 改良成 lmtp , 有機會再請朋友測試效率.
以下是讓centos啟用lmtp功能的設定文件(登入帳號密碼guest)
https://how.itworks.ltd/iammis/技術文章/HowTo/10033_(CEntOS7.9)新增lmtp_managesieve功能.txt
你必須懂的postfix+amavisd擋廣告順序
就連我都會誤解!
以為只要在postfix的main.cf裡面設定各式各樣的擋廣告方式(包含參考黑名單網站),就可以高枕無憂了,
可是事情並不是我們憨人想得這麼簡單
擋廣告總有順序的.
- amavisd 優先
這部分很重要,有時候很多廣告商,都利用gmail , amazons發送廣告信, amavisd 很容易直接pass, 要解決這問題, 就只能土法煉鋼, 將廣告的網域,email寫到amavisd的黑名單上. - postfix 次要
若amavisd認定pass , 這邊再怎麼設定都沒用, 因為根本不會跑到這裡來.
若amavisd沒有認定pass, 也沒認定是廣告(分數不足), 就會跑到這裡來,
我的設定, 就是讓amavisd可以定義黑白名單, 接下來才是設定postfix本身的名單限制
推薦看一下我製作的docker mail server設定
https://github.com/WilliamFromTW/docker-Postfix-AD
啟用postgrey心得
因為postgrey的機制會造成收信延遲, 所以必須設定白名單,與自動白名單,讓常用的郵件不再受限制.
1.白名單可在/etc/postfix/postgrey_whitelist_clients.local 新增
2.自動白名單,以centos 7為例子, 可在 /etc/sysconfig/postgrey 新增, 意指35天內,只要成功三次,就會一直是白名單成員
POSTGREY_OPTS="--delay=60 --auto-whitelist-clients=5 --max-age=35"
cetnos 7 + postfix 新增dkim功能
- 安裝
rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
yum install -y opendkim
- 產生private key與dns的TXT Record
opendkim-genkey -d <domain name>
cp default.* /etc/opendkim/keys
chown -R opendkim:opendkim /etc/opendkim
- 修改/etc/opendkim.conf
確認該設定檔案有以下的設定( KeyFile /etc/opendkim/keys/default.private 要mark起來 )
Mode sv
Socket inet:8891@127.0.0.1
Canonicalization relaxed/simple
Domain <domain name>
#KeyFile /etc/opendkim/keys/default.private
KeyTable refile:/etc/opendkim/KeyTable
#ps 若使用測試軟體出現invalid data set, 請改成 KeyTable /etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
- 修改 /etc/opendkim/KeyTable
default._domainkey.<domain name> <domain name>:default:/etc/opendkim/keys/default.private
以 test.com 為例子
default._domainkey.test.com test.com:default:/etc/opendkim/keys/default.private
- 修改 /etc/opendkim/SigningTable
*@<domain name> default._domainkey.<domain name>
以test.com為例子
*@test.com default._domainkey.test.com
- 修改 /etc/opendkim/TrustedHosts
127.0.0.1
<mail host name>
<domain name>
以 test.com 為例子
127.0.0.1
mail.test.com
test.com
- 新增以下設定 /etc/postfix/main.cf
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters
milter_default_action = accept
-
將/etc/opendkim/key/default.txt的資料更新到dns上
-
啟用service
systemctl start opendkim ; systemctl enable opendkim ; systemctl restart postfix
- 測試
- opendkim-testkey -x /etc/opendkim.conf 若無錯誤訊息代表成功
- 測試網站 https://www.appmaildev.com/