centos 7安裝snapd
sudo yum install epel-release sudo yum update sudo yum install snapd sudo systemctl enable --now snapd.socket sudo ln -s /var/lib/snapd/snap /snap systemctl enable snapd.service systemctl start snapd.service
標籤: linux
CEntOS 7 postfix 新增lmtp 與 managesieve功能
之前自己製作的mail server (綁定AD) , 休假功能使用的是 lda + sieve + managesieve 的方式進行, 可是在朋友公司運行時, 卻發生效率不彰的狀況(活躍的email帳號約500個).
查詢了一下, 發現官方已經建議使用 lmtp 的方式取代 lda , 原因是lda屬於觸發類型, 而 lmtp是常駐服務類型, 常駐服務類型效率較好.
於是將自己製作的 docker mail server 改良成 lmtp , 有機會再請朋友測試效率.
以下是讓centos啟用lmtp功能的設定文件(登入帳號密碼guest)
https://docs.kafeiou.pw/iammis/技術文章/HowTo/10033_(CEntOS7.9)新增lmtp_managesieve功能.txt
ubuntu(VM)如何測試aes硬體解碼的功能
- 先讓vm不啟用aes, 然後執行
openssl speed -evp aes-256-cbc再讓vm關機, 然後啟用aes, 重開機, 再執行上述指令, 比對數值即可.
2. 可以用以下指令測試支援哪些解碼
openssl ciphers -v 'ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS'
3. nginx 與 apache httpd 都有加密的設定, 類似以下的寫法
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;4. openssl speed 這指令可以列出來加密速度, 非常實用
jitsi meet效能調教(ubuntu)
** 設定檔案要備份
** 若原本設定檔案沒有以下建議的設定值,可以不要強制加上去
- 啟用硬體加解密功能
切記一定要啟動硬體編碼 AES , 讓 nginx 能以較優的加解密速度連線
2. 修改相關設定檔案
/etc/jitsi/meet/<網域名稱>-config.js
##強制設定名稱
requireDisplayName: true,
## 預設只開語音,不開視訊
startAudioOnly: true,
## 取消測量聲音等級(並且取消顯示等級)
disableAudioLevels: true,
## 取消偵測是否有聲音模組
enableNoAudioDetection: false,
## 取消麥克風的雜音偵測
enableNoisyMicDetection: false,
## 靜音
startAudioMuted: 1,
startVideoMuted: 1,
## 畫質相關
enableLayerSuspension: true,
resolution: 360,
constraints: {
video: {
frameRate: {
max: 10,
min: 5
},
height: {
ideal: 360,
max: 360,
min: 120
}
}
},
/usr/share/jitsi-meet/interface_config.js
SET_FILMSTRIP_ENABLED: false, DISABLE_VIDEO_BACKGROUND: true, DISABLE_FOCUS_INDICATOR: true, DISABLE_DOMINANT_SPEAKER_INDICATOR: true, DISABLE_JOIN_LEAVE_NOTIFICATIONS: true,
/etc/jitsi/videobridge/logging.properties
.level=WARNING java.util.logging.FileHandler.level = OFF
/etc/jitsi/videobridge/sip-communicator.properties
org.jitsi.videobridge.DISABLE_TCP_HARVESTER=false/etc/jitsi/jicofo/sip-communicator.properties
** 改成使用VP9, 建議使用chrome瀏覽器, 而且jitsi-meet要安裝2020-12-10以後的版本
org.jitsi.jicofo.ENABLE_H264=false org.jitsi.jicofo.ENABLE_VP8=false org.jitsi.jicofo.ENABLE_VP9=true
/etc/systemd/system.conf
DefaultLimitNOFILE=1024:524288 DefaultLimitNPROC=65000 DefaultTasksMax=65000
3. 重開機
另外也可以在瀏覽器連結的後面加上 #config.p2p.enabled=false
我的大意造成一件郵件資安事件
是這樣的, 我前幾個月, 在郵件服務器(postfix+dovecot)上面, 加上一個能支援vacation休假回覆功能的設定 managesieve
在 dovecot掌管認證的10-auth.conf, 開通支援靜態認證的設定 auth-static.conf.ext , 並且在該設定加上
passdb {
driver = static
args = nopassword=y
}
代表不需要密碼就能通過認證, 專門給 managesieve 休假功能使用的
但是沒想到這是個錯誤的設定, 居然讓所有的帳號以imap方式, 不需要密碼就能登入(發信會失敗, 因為發信一定要密碼正確) , 好險我這系統帳號與email是不一樣的, 很難猜到哪個帳號使用哪個EMAIL ,所以一直都沒有問題.
直到我發現改了自己帳號的密碼, 居然還是可以用舊密碼登入, 看了log 才驚覺問題大了, 趕緊研究問題所在, 本來誤以為是roundcubemail , 或是postfix 被入侵了, 但測試卻不是, 最後才發現是 auth-static.conf.ext 的設定出錯了, 改成以下這樣, 讓外面使用imap登入的帳號無法適用靜態登入, 就沒有安全上的問題了.
passdb {
driver = static
args = proxy=y host=localhost nopassword=y
}
你必須懂的postfix+amavisd擋廣告順序
就連我都會誤解!
以為只要在postfix的main.cf裡面設定各式各樣的擋廣告方式(包含參考黑名單網站),就可以高枕無憂了,
可是事情並不是我們憨人想得這麼簡單
擋廣告總有順序的.
- amavisd 優先
這部分很重要,有時候很多廣告商,都利用gmail , amazons發送廣告信, amavisd 很容易直接pass, 要解決這問題, 就只能土法煉鋼, 將廣告的網域,email寫到amavisd的黑名單上. - postfix 次要
若amavisd認定pass , 這邊再怎麼設定都沒用, 因為根本不會跑到這裡來.
若amavisd沒有認定pass, 也沒認定是廣告(分數不足), 就會跑到這裡來,
我的設定, 就是讓amavisd可以定義黑白名單, 接下來才是設定postfix本身的名單限制
推薦看一下我製作的docker mail server設定
https://github.com/WilliamFromTW/docker-Postfix-AD
啟用postgrey心得
因為postgrey的機制會造成收信延遲, 所以必須設定白名單,與自動白名單,讓常用的郵件不再受限制.
1.白名單可在/etc/postfix/postgrey_whitelist_clients.local 新增
2.自動白名單,以centos 7為例子, 可在 /etc/sysconfig/postgrey 新增, 意指35天內,只要成功三次,就會一直是白名單成員
POSTGREY_OPTS=”–delay=60 –auto-whitelist-clients=5 –max-age=35″
tar 備份檔案,成功後刪除原檔案
將特定目錄下的所有檔案壓縮,
原本直接使用bzip2就可以了,直接將檔案壓起來, 但是我遇到nfs掛載,權限設定的限制,因此無法使用.
後來改用tar, 可以成功產生一個新的壓縮檔案, 但是原本檔案卻還在,會變成多餘
爬文發現tar有刪除原檔案的指令, 因此記錄下來
!/bin/sh
cd /u3/backup/exp/`date +'%d'`
for fich in *.dmp; do
tar -jcvf $fich.tar.bz2 --remove-files $fich
done
roundcubemail 加上Active Directory 通訊錄範例
修改config/config.inc.php
網域伺服器 192.168.1.1
網域: test.com
$config['address_book_type'] = 'ldap';
$config['ldap_public']['Global'] = array(
'name' => '台灣總公司',
'hosts' => array('192.168.1.1'),
'port' => 3268,
'user_specific' => false,
'base_dn' => 'dc=test,dc=com',
'bind_dn' => 'cn=administrator,cn=users,dc=test,dc=com',
'bind_pass' => 'password',
'ldap_version' => 3,
'search_fields' => array (
'mail','cn',),
'name_field' => 'cn',
'email_field' => 'mail',
'writable' => 'false',
'scope' => 'sub',
'sizelimit' => 6000,
'sort' => 'cn',
'filter' => '(&(mail=)(|(&(objectClass=user)(!(objectClass=computer)))))',
'fuzzy_search' => true,
'global_search' => true
);
2022/11/05
我後來使用docker doundcubemail 重新安裝, 因為用latest , 當時版本 1.6.x 版本 , 發現上面的設定已經不能用了, 改用以下設定(紅色部分需調整)
$config['address_book_type'] = 'ldap';
$config['ldap_debug'] = true;
$config['ldap_public'] = array(
'MyAdLdap' => array (
'name' => 'TW',
'hosts' => array('網域主機IP'),
'sizelimit' => 6000,
'port' => 3268,
'use_tls' => false,
'user_specific' => false,
'base_dn' => 'OU=group,DC=test,DC=com',
'bind_dn' => 'user@test.com',
'bind_pass' => 'password',
'writable' => false,
'ldap_version' => 3,
'search_fields' => array(
'mail',
'cn',
),
'fieldmap' => array(
'name' => 'cn',
'email' => 'mail',
'surname' => 'sn',
'firstname' => 'givenName',
),
'sort' => 'sn',
'scope' => 'sub', # or 'list'
'filter' => '(&(mail=*)(|(&(objectClass=user)(!(objectClass=computer)))(objectClass=group)))',
'global_search' => true,
'fuzzy_search' => true,
'vlv' => false,
),
);
詳請參考 https://github.com/roundcube/roundcubemail/wiki/Configuration:-LDAP-Address-Books#prerequisites
cetnos 7 + postfix 新增dkim功能
- 安裝
rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
yum install -y opendkim
- 產生private key與dns的TXT Record
opendkim-genkey -d <domain name>
cp default.* /etc/opendkim/keys
chown -R opendkim:opendkim /etc/opendkim
- 修改/etc/opendkim.conf
確認該設定檔案有以下的設定( KeyFile /etc/opendkim/keys/default.private 要mark起來 )
Mode sv
Socket inet:8891@127.0.0.1
Canonicalization relaxed/simple
Domain <domain name>
#KeyFile /etc/opendkim/keys/default.private
KeyTable refile:/etc/opendkim/KeyTable
#ps 若使用測試軟體出現invalid data set, 請改成 KeyTable /etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
- 修改 /etc/opendkim/KeyTable
default._domainkey.<domain name> <domain name>:default:/etc/opendkim/keys/default.private
以 test.com 為例子
default._domainkey.test.com test.com:default:/etc/opendkim/keys/default.private
- 修改 /etc/opendkim/SigningTable
*@<domain name> default._domainkey.<domain name>
以test.com為例子
*@test.com default._domainkey.test.com
- 修改 /etc/opendkim/TrustedHosts
127.0.0.1
<mail host name>
<domain name>
以 test.com 為例子
127.0.0.1
mail.test.com
test.com
- 新增以下設定 /etc/postfix/main.cf
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters
milter_default_action = accept
-
將/etc/opendkim/key/default.txt的資料更新到dns上
-
啟用service
systemctl start opendkim ; systemctl enable opendkim ; systemctl restart postfix
- 測試
- opendkim-testkey -x /etc/opendkim.conf 若無錯誤訊息代表成功
- 測試網站 https://www.appmaildev.com/