Krisinho

Witam,

Pracuję w małej firmie informatycznej, u pewnych klientów posiadamy bardzo restrykcyjne zasady bezpieczeństwa, które wymagają zmiany hasła np. co miesiąc.

Pracujemy w 3 osoby i ciężko czasem nam skoordynowąć zmiany dlatego pojawił się pomysł aby na stronie firmowej wydzielić panel specjalny, w którym przechowywalibyśmy różne dane oraz hasła (np. do vnc, do kont mailowych itd.. ), po zmianie jakiegoś hasła po prostu logowalibyśmy się do panelu i tam uaktualniali. Głównie chodzi nam o scentralizowanie danych tak abyśmy mogli z nich korzystać z każdego miejsca gdzie mamy internet.

Jak zrealizować taki pomysł i czy można to zrealizować w bezpieczny sposób. Głównie chodzi o to jak zabezpieczyć cały panel?. Myślę o https'ie na apache'u, zabezpieczeniu apachowym passwd, a następnie systemem autoryzacji przy użyciu jakiegoś frameworka PHP(byłaby to dwustopniowa autoryzacja) i przechowywać wszystkie dane w bazie danych, tylko jak szyfrować te dane w bazie tak aby można było je deszyfrować w miarę potrzeby?

W przyszłości panel będzie się rozrastał, na pewno będę chciał dodać tam funkcjonalności takie jak kontrola kopii bezpieczeństwa u klientów itd...

Czy takie rozwiązanie będzie optymalne? Proszę o opinie, ew. o spoiler jak takie aplikacje są robione na "szerszą skalę"

Pozdrawiam!

Witam wszystkich, mam 19 lat i załapałem pracę w nie dużej firmie która między innymi zapewnia web oraz mail server dla kilkunastu klientow. Mam na serwerze około 15 domen, jest to VPS. Każda domena ma stronę internetową (Apache oczywiście), skonfigurowanego Exim'a oraz jakieś tam pojedyncze konta FTP.

Zajmuję się tym serwerem od nie dawna. Zauważyłem że często kolejka mailowa ma wiele wpisów (używam directadmin) - wygląda to tak jakby niektóre maile nie były wysłane. Wcześniej gdy jeden z klientów słał spam to czasami wisiało w kolejce nawet parę tysięcy wiadomości... Teraz mam 20 wiadomości w tej kolejce, jedna wisi tam 4 dzień. Co to oznacza? że ta wiadomość nie zoastała wysłana i nie zostanie? Czy powinienem to czyścić? Próby wysłania tych wiaodomości nie przynosi rezultatu bo one dalej są w tej kolejce...

Pozdrawiam

Witam, moj znajomy ma problem ze swoim serwerem dedykowanym(takim starszej generacji, to nie ejst zaden vps, dzierzawi go juz ktorys rok).

Poprosilem znajomego o logi SMTP, dostalem logi:

$ grep -E "gmail.com" smtp.log | grep "You are sending spam" | wc -l

 

zwraca az 28007 liczbe lini zawierajacych You are sending spam. Czy moze ktos uzywac jego serwera do wysylki spamu? I jak to zlokalizowac. Ponizej jedna ze zwrotek:

29.01.2014 11:18:08 116.12.xxx.xxx [116.12.xxx.xxx] smtp/plain [] mess: - 0 from: <adres@gmail.com> [] to: <serwer@domena.pl> [xxx] status: LOCAL ERROR 554 5.7.1 You are sending spam (check http://www.spamhaus.org/query/bl?ip=116.12.xxx.xxx)

Dziwna sprawa jest taka, ze kazda zwrotka ma inny adres. Ta ma akurat 116.12.xx.xx

Ale w nastepnej jest z kolei adres 175.141.xxx.xxx, a w czasie dzieli je 5 minut.

Temu dedykowi sie az tak szybko IP chyba nie zmienia...

Spamhaus sugeruje botnet. Co robic w tej sytuacji, i jak interpretowac te logi? Dodam ze w logu tym jest bardzo duzo zwrotek z gmailia, odraz nieporownywalnie mniej wyslanych wiadomosci do gmaila.

Pozdrawiam!

A przepraszam bo sie wlasnie za to biore. Te glue records, to chodzi o to ze ja sobie ustawiam rekordy w domenie (ktora jeszcze jest w nazwa.pl bo tam ta dmena jest) ns1.mojadomena.pl IN A adres_vpsa

i wtedy ja moge przedelegowac do mnie?

E: a dobra juz wiem co to ten glue. Niestety mam domene w nazwa.pl, jak zadzownilem to pan konsultant nie wiedzial co to jest glue record :|

Pozdrawiam

Czyli jak mam drugi VPS na ktorym hostuje calkiem sporo stron www to moge na nim bind ustawic tak aby dalej pelnil swoja funkcje czyli serwera autorytatywnego(?) oraz jednoczesnie kopiowal sobie strefy i dzialal jako slave dla serwera ktory aktualnie konfiguruje?

Ok, dzieki Milosz:)

A jeszcze jedno pytanie, teoretycznie powinienm stworzyc dwa serwery nazw - ns1 i ns2 ale ja mam jedno ip. Czy moge sie zglosic do linuxpl.com o nadanie drugiego adresu ip? Mozna miec tylko jeden nameserver - w sensie ze bez slave'a?

Witam jestem poczatkujacym adminem vps'a. Wykupilem sobie ostatnio w firmie linuxpl.com i mam pewna zagwostke. Jako ze znam calkiem dobrze srodowisko linux gdyz operuje na nim od calkiem dawna to nie mialem stycznosci z DNSami jeszcze. Chce skonfigurowac serwer tak aby odpowiadal pod moja domena ktora mam wykupiona, a nastepnie skierowac na nie dwie inne domeny, ktore beda hostowane na tym serwerze(strony www)

Jak to osiagnac? Jak mam skierowac domene ktora wykupilem jako "domene glowna" dla serwera na moj serwer dns ktory no jeszcze nie jest widoczny pod zadna domena, czyli defacto nie posiada zadnego hosta "ns1.mojadomena.pl" etc.... I czym sie rozni w ostatecznym rozrachunku w konfiguracji "glowna domena serwera" od domen tylko zaparkowanych na serwerze? Chodzi o roznice w konfiguracji binda.

Jakby ktos mogl podrzucic w miare wyczerpujacy temat poradnik, lub napisac mi jak to zrobic( i troszke wytlumaczyc )

pozdro

dzięki ta konfiguracja smtpd_recipient_restrictions załatwiła sprawę. Teraz takie pytanie jako że dochodzę w końcu do końca mej drogi - czyli w końcu mam wszystko pokonfigurowane i mogę zacząć rozsyłkę maili - mam bazę 5 tysięcy maili. I teraz jak najlepiej je rozsyłać? Myślałem o rozwiązaniu takim aby execować cronem prosty skrypt php (jakaś pętelka z podpiętą bazą maili) tak żeby np 300 mail na godzine wysyłać żeby moja domena przez przypadek nie trafiła na blacklistę. Przy czym podobno nie można skonfigurować apache'a do korzystania z postfixa, tylko może korzystać z sendmail'a więc w takim wypadku będzie to nie możliwe do osiągnięcia.

byłbym wdzięczny za sugestie:)

Dobra lecimy dalej. Skonfigurowałem drugiego VPS'a na nowo, postfix + dovecot sasl oraz ssl jest - wszystko powinno być ok tylko że nie działa mi poczta wychodząca. Wiadomości mogę odbierać niestety nie mogę wysyłac i sam już nie wiem o co chodzi. W panelu ovh pokazuje że mam skonfigurowany revdns.

Próba połączenia przez openssl:

Log przy próbie połączenia przez openssl z smtp:

postconf -n

Siemka odswieżam temat problemów ciąg dalszy. A więc skonfigurowałem sobie poprzedniego VPS'a i wszystko działało w pytkę póki nie okazało się że mój dostawca nie pozwala na tworzenie RevDNS. Wykupiłem inną usługę, tym razem już w OVH i teraz nie mogę utworzyć podstawowej strefy na freedns.42.pl. IP nowego vpsa to 37.187.58.245

Zainstalowałem binda. Wyedytowałem /etc/named.conf. Adresy w dyrektywie allow-transfer są dla freedns.42.pl aby serwer mógł pobrać plik mojej strefy.

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
listen-on port 53 {127.0.0.1;37.187.58.245;};
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};


zone "domena.eu" IN {
type master;
file "fwd.domena.eu";
allow-transfer {79.98.145.34;195.80.237.194;};
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

Utworzyłem plik strefy:

$TTL 86400

@ IN SOA ns1.domena.eu. root.domena.eu. (
1 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)

domena.eu. IN NS fns1.42.pl.
domena.eu. IN NS fns2.42.pl.


domena.eu. IN A 37.187.58.245
ns1.domena.eu. IN A 37.187.58.245
www.domena.eu. IN A 37.187.58.245

domena.eu. IN SOA 37.187.58.24

 

 

Zmieniłem resolv.conf (w poprzednim vpsie miałem taki resolv.conf i działało wszystko, to są servery freedns.42.pl)

 

nameserver 217.17.34.10

nameserver 217.17.34.68

Odblokowałem porty w iptables a selinux ustawiłem na disabled:

# Completed on Tue Jul 16 23:49:44 2013
# Generated by iptables-save v1.4.7 on Tue Jul 16 23:49:44 2013
*filter
:INPUT ACCEPT [103:11851]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [106:12582]
-A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Tue Jul 16 23:49:44 201

 

I gdy próbuje załadować strefę w panelu freedns.42.pl to dostaje komunikat.

Błąd:;; Connection to 37.187.58.245#53(37.187.58.245) for domena.eu failed: connection refused.
Import z serwera nie powiódł się.

 

Rozumiem będę forsował utworzenie RevDNS dla mnie. Jeżeli się nei uda to będę musiał inny VPS wykupić i konfigurować apache/bind oraz postfixa z dovecotem od nowa.

Co do konfiguracji dovecot i postfix. Czy wystarczy jak na nowym vps'ie przekleje tylko wszystkie pliki konfiguracyjne? wraz z certyfikatem i kluczem ssl? Czyli biorąc pod uwagę że /etc jest od trzymania plików konfiguracyjnych to usunę na nowym vpsie /etc/postfix oraz /etc/dovecot i wkleje z tego vpsa którego używam teraz? Oczywiście pierwsze będę musiał pliki stref domeny pozmieniać.

Przepraszam moje niedopatrzenie znowu...

Ja zmieniłem ustawienia w main.cf a zapomniałem o tych ustawieniach konfiguracyjnych dla portu 587 w master.cf

Zmieniłem i teraz działa wszystko jak należy.

Chciałbym się jeszcze zapytać jak będzie wyglądać ta sprawa z revdns. Chcę rozesłać zapytania ofertowe na około 5000 adresów które mam w bazie. są to głównie serwery pocztowe przedsiębiorstw a nie popularne serwery pocztowe typu hotmail gmail itd.

Czy jest sens rozsyłać to bez revdns? ponieważ jeżeli wyśle 5k maili a 3k zostanie odrzucona to jest to bez sensu.

Niestety po zmienie tej opcji nadal nie działa i dostaję ww. błąd

Dostałem taką odpowiedź:

Witam

Nie ma u nas możliwości ustawienia RevDNS.
Dla klientów posiadających u nas hosting możemy zaoferować serwer poczty.

CO w takiej sytuacji?

Dziwnym jest dla mnie że nie mogę bez tego revDNS wysyłać maili. Wczoraj zanim pokonfigurowałem TLS to mogłem wysyłać maile na o2, onet i gmail bo tam sprawdzałem a teraz nigdzie nie przejdzie..

i jest ten denerwujacy blad Recipient address rejected: Domain not found

A więc posiedziałem, ustawiłem szyfrowanie i wygląda na to że jestem już bardzo blisko ostatecznego sukcesu! aczkolwiek mam problem z wysyłanie maili.

Faktycznie,,,

Teraz jak próbuje wystartartować dovecota to dostaję

Czyżby znaczyło to że muszę całą procedurę uruchamiania na postfixie szyfrowania tls/ssl przeprowadzić teraz?

Po doklejeniu tego na koniec 10-master.cf dostaje bląd

Generalnie z czego widze to tutaj jest cś z TLS. Ja TLS oraz tych certyfikatów nie konfigurowałem.

235 2.7.0 Authentication successful

Wielkie dzięki mmmm21

Witam, zainstalowałem na swoim vps'ie Dovecot, Postfix oraz SquirrelMail. Na peirwszy rzut oka używając squirellmail wszysto działa, moge wysyłać wiadomości na zewnątrz (na swoje konto gmailowe) oraz odbierać wiadomości z zewnątrz. Chcę jednak uwierzytelniać połączenie za pomocą SASL i tu pojawia się problem bo mimo chyba odpowiedniej konfiguracji niestety telnet przy próbie logowania zwraca:

 

[root@h254 ~]# telnet mail.mydomain.eu 25

Trying 87.119.2.182...

Connected to mail.mydomain.eu.

Escape character is '^]'.

220 mail.mydomain.eu ESMTP Postfix

AUTH PLAIN base64hash

535 5.7.8 Error: authentication failed:

421 4.4.2 mail.mydomain.eu Error: timeout exceeded

Connection closed by foreign host.

tail -10 /var/log/maillog

 

Jul 12 18:27:22 h254 dovecot: imap(offer): Disconnected: Disconnected in IDLE bytes=375/939

Jul 12 18:27:22 h254 dovecot: imap-login: Login: user=<offer>, method=PLAIN, rip=178.37.102.98, lip=87.119.2.182, mpid=11108

Jul 12 18:27:23 h254 dovecot: imap(offer): Disconnected: Disconnected in IDLE bytes=312/4010

Jul 12 18:27:57 h254 postfix/smtpd[11093]: warning: h254[87.119.2.182]: SASL PLAIN authentication failed:

Jul 12 18:28:49 h254 dovecot: imap-login: Login: user=<offer>, method=PLAIN, rip=::1, lip=::1, mpid=11120, secured

Jul 12 18:28:49 h254 dovecot: imap(offer): Disconnected: Logged out bytes=79/681

Jul 12 18:32:57 h254 postfix/smtpd[11093]: timeout after AUTH from h254[87.119.2.182]

Jul 12 18:32:57 h254 postfix/smtpd[11093]: disconnect from h254[87.119.2.182]

Jul 12 18:33:50 h254 dovecot: imap-login: Login: user=<offer>, method=PLAIN, rip=::1, lip=::1, mpid=11202, secured

Jul 12 18:33:50 h254 dovecot: imap(offer): Disconnected: Logged out bytes=79/681

ustawienia smptd w main.cf

 

smtpd_sasl_auth_enable = yes

broken_sasl_auth_clients = yes

smtpd_sasl_type = dovecot

smtpd_sasl_path = private/auth

smtpd_sasl_security_options = noanonymous

smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated, reject_unauth_destination, permit

w /etc/dovecot/conf.d/10-auth.conf ustawione

 

disable_plaintext_auth = no

auth_mechanisms = plain login

w /etc/dovecot/conf.d/10-master.conf service auth:

 

service auth {

# unix_listener auth-userdb {

#mode = 0600

# user = postfix

# group = postfix

# }

# Postfix smtp-auth

unix_listener /var/spool/postfix/private/auth {

mode = 0666

user = postfix

group = postfix

}

# Auth process is run as this user.

#user = $default_internal_user

}

System to centos 6.2 kernel 2.6.32-14-pve , dovecot 2.0.9, postfix-2.6.6-2.2.el6_1.i686

Nie mogę także wysyłać maili poprzez Outlook Express, dostaje błąd:

 

Łączenie z serwerem nie powiodło się. Konto: 'mail.mydomain.eu', Serwer: 'mail.mydomain.eu', Protokół: SMTP, Port: 25, Zabezpieczenie (SSL): Nie, Błąd łączy: 10060, Numer błędu: 0x800CCC0E

Pozdrawiam i proszę o pomoc pierwszy raz konfiguruje vpsa z usługami mail

ok działa domena. jeszcze raz prosze o usuniecie tematu ;p wielkie dzieki Miłosz

Ok rozumiem dziękuje za pomoc:) w takim razie lecę spać rano może już zabangla

dobranoc. W miarę możliwości proszę o usunięcie tego topicu, tak aby pod frazą z nazwą mojej domeny nie wyskakiwał ten topic

pozdrawiam!

Zmieniłem, dostałem info że strefy zostały przeładowane, a to dalej nie działa Nie wiem czemu ale ja nie moge pingowac fns1.42.pl , być może to jest przyczyna? z drugiej strony jakoś dnscheck dostaje odpowiedź od fns1.42.pl - pogubiłem się już

http://oi43.tinypic.com/2eztzb9.jpg

według mnie jest ok... ;p

kurcze przeładowałem strefy na freedns i dalej niestety domena nie wbija :/

Hmm no dodałem zresetowałem usługę binda ale dalej nie działa.

W panelu home mam ustawione dnsy:

fns1.42.pl oraz fns2.42.pl

być może powinienem ustawić także ns1.szarlej.eu ?

edit: nie ustawie bo dla ns1.szarlej.eu home wypluwa brak rekordów soa więc to nie to.