Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - tuxmartin

Stran: 1 [2] 3 4 ... 37
16
Desktop / Thunderbird neotevírá odkazy v prohlížeči
« kdy: 08. 02. 2022, 22:43:45 »
Ahoj,

pouzivam Thunderbird 91.5.0 (instalovany ze zdroju distribuce) na Ubuntu 21.10 a nejdou mi otevirat odkazy v emailech.
Ten samy problem uz mam od dob instalace Ubutnu 19.10, ktere jsem postupne upgradoval az na 21.10.

Kdyz v mailu kliknu na odkaz, vubec nic se nestane. Musim na nej tedy kliknout pravym tlacitkem a dat zkopirovat. Pote v prohlizeci vlozit. Je to na zabiti.
Na internetu jsem nasel spoustu navodu, kde vetsinou menili nastaveni:
- network.protocol-handler.external-default
- network.protocol-handler.app.http
- network.protocol-handler.app.https
zkusil jsem vsechny kombinace true/false, ale bez vysledku.

Take jsem v Predvolby->Souboty a prilohy->http a Predvolby->Souboty a prilohy->https zkousel ruzne prohlizece. Opet bez vysledku.

Spustim-li Thunderbird z terminalu, tak jen vidim po kliknuti na odkaz v mailu:
Kód: [Vybrat]
[2103851:2103851:0208/223940.727685:FATAL:double_fork_and_exec.cc(131)] execv /opt/google/chrome/chrome_crashpad_handler: Permission denied (13)
Dokazal by mi nekdo prosim poradit, jak problem vyresit? Ten samy Thunderbird na Win10 funguje bez problemu.

17
Server / Re:Postfix - nefunguje blokování domén pomocí DNSBL
« kdy: 08. 12. 2020, 13:02:57 »
Tak jsem na to prisel. Gmail je ok.

Problem je s funkci "Posílání e-mailů z jiné adresy nebo aliasu" https://support.google.com/mail/answer/22370?hl=cs
kdyz si do sve neco@gmail.com schranky pridam pravo posilat z adresy moje@domena.tld - to pak blacklist neodchyti.

18
Server / Re:Postfix - nefunguje blokování domén pomocí DNSBL
« kdy: 08. 12. 2020, 11:17:14 »
Tak podle https://wiki.centos.org/HowTos/postfix_restrictions patri MAIL FROM do  smtp_sender_restrictions tak jsem to pridal. Nyni mam:
Kód: [Vybrat]
127.0.0.1:10040_time_limit   = 3600
smtpd_recipient_restrictions =
                permit_mynetworks
                permit_sasl_authenticated
                reject_unauth_destination
                reject_unlisted_recipient
                check_recipient_access hash:/etc/postfix/recipient
                reject_unknown_reverse_client_hostname
                reject_rbl_client zen.spamhaus.org
                reject_rbl_client b.barracudacentral.org
                reject_rbl_client           dnsbl.mydomain.tld
                reject_rhsbl_helo           dnsbl.mydomain.tld
                reject_rhsbl_sender         dnsbl.mydomain.tld
                reject_rhsbl_reverse_client dnsbl.mydomain.tld
                check_policy_service inet:127.0.0.1:10040
                check_policy_service inet:127.0.0.1:60000

smtpd_sender_restrictions =
                permit_sasl_authenticated
                reject_non_fqdn_sender
                reject_unknown_sender_domain
                reject_unauth_pipelining
                reject_unlisted_sender
                check_sender_access hash:/etc/postfix/sender_access
                reject_rhsbl_sender         dnsbl.mydomain.tld
ale porad to nejde :-(

19
Server / Re:Postfix - nefunguje blokování domén pomocí DNSBL
« kdy: 08. 12. 2020, 11:05:45 »
Chapu, ale to je na strane gmailu a neovlivnim to :-(

Je nejaka jina moznost, jak domenu zablokovat?

20
Server / Re:Postfix - nefunguje blokování domén pomocí DNSBL
« kdy: 08. 12. 2020, 00:28:41 »
Zkus http://www.postfix.org/postconf.5.html#debug_peer_list a podivej se, co to presne dela.

Prave jsem to zkousel a uz jsem aspon prisel na problem

Kód: [Vybrat]
martin@X1 ~ $ dig +short example.net.dnsbl.mydomain.tld A
127.0.0.2
martin@X1 ~ $ dig +short example.net.dnsbl.mydomain.tld TXT
"Protoze posilas spam."
martin@X1 ~ $
martin@X1 ~ $ dig +short net.example.dnsbl.mydomain.tld A
127.0.0.2
martin@X1 ~ $ dig +short net.example.dnsbl.mydomain.tld TXT
"Protoze posilas spam."
martin@X1 ~ $

Kdyz posilam ze serveru, ktery ma DNS A+PTR "example.net", tak to DNSBL odchyti.

Ale kdyz jsem si zkusil takhle zablokovat domenu, pro kterou si platim Google Apps, tak muzu bez problemu posilat a DNSBL to vubec neodchyti. Jak je to mozne? Vzdyt "reject_rhsbl_sender" by mel resit From hlavicku.

21
Server / Postfix - nefunguje blokování domén pomocí DNSBL
« kdy: 29. 11. 2020, 20:52:37 »
Snazim se zprovoznit blokovani IP adres a domen v postfixu pomoci vlastniho DNSBL. V main.cf mam:

Kód: [Vybrat]
smtpd_recipient_restrictions =
     permit_mynetworks
     permit_sasl_authenticated
     reject_unauth_destination
     reject_unlisted_recipient
     check_recipient_access hash:/etc/postfix/recipient
     reject_unknown_reverse_client_hostname
     reject_rbl_client           dnsbl.mydomain.tld
     reject_rhsbl_helo           dnsbl.mydomain.tld
     reject_rhsbl_sender         dnsbl.mydomain.tld
     reject_rhsbl_reverse_client dnsbl.mydomain.tld
     check_policy_service inet:127.0.0.1:10040
     check_policy_service inet:127.0.0.1:60000

Vychazel jsem z https://www.linuxbabe.com/mail-server/block-email-spam-postfix :
  • rhs stands for right hand side, i.e, the domain name.
  • reject_rhsbl_helo makes Postfix reject email when the client HELO or EHLO hostname is blacklisted.
  • reject_rhsbl_reverse_client: reject the email when the unverified reverse client hostname is blacklisted. Postfix will fetch the client hostname from PTR record. If the hostname is blacklisted, reject the email.
  • reject_rhsbl_sender makes Postfix reject email when the MAIL FROM domain is blacklisted.
  • reject_rbl_client: This is an IP-based blacklist. When the client IP address is backlisted, reject the email.

Mym cilem je zablokovat emaily z IP 10.20.30.40 a domeny example.net.
Takze chapu-li dobre, mel bych pouzit reject_rbl_client a reject_rhsbl_sender.
Do DNS jsem si pridal:
Kód: [Vybrat]
martin@X1 ~ $ dig +short 40.30.20.10.dnsbl.mydomain.tld A
127.0.0.2
martin@X1 ~ $ dig +short 40.30.20.10.dnsbl.mydomain.tld TXT
"Protoze posilas spam."
martin@X1 ~ $ dig +short example.net.dnsbl.mydomain.tld A
127.0.0.2
martin@X1 ~ $ dig +short example.net.dnsbl.mydomain.tld TXT
"Protoze posilas spam."
martin@X1 ~ $
martin@X1 ~ $ dig +short net.example.dnsbl.mydomain.tld A
127.0.0.2
martin@X1 ~ $ dig +short net.example.dnsbl.mydomain.tld TXT
"Protoze posilas spam."
martin@X1 ~ $

Blokovani podle IP funguje skvele, ale podle domeny ne. Na domene example.net mam google apps, ale v mail from je sparavne @example.net.
Co jsem hledal, IP se zapisuje obracene, ale domena normalne. Zkusil jsem i domenu zapasat obracene, ale nefunguje to.
Tusi nekdo, co delam spatne?

22
Já jsem kvůli tomu svému musel do Debianu přidat pravidlo pro udev. Výrobce to má popsané na webu. Jen jsem narazil na to, že ID v tom pravidlu je citlivé na velikost znaků. V původní verzi návodu bylo 32A3, ale v lsusb hlásí 32a3. Pak to začalo fungovat normálně.

Bez úpravy se to chovalo přesně stejně, tedy to nereagovalo a tlačítko jen svítilo. Bez toho pravidla totiž k zařízení v /dev/ nemá přístup běžný uživatel. Přidáním tagu uaccess má možnost uživatel s tím USB zařízením pracovat a tím to jednoduše začne fungovat.

Tak me to nepomohlo :-(
Pridal jsem radek od vyrobce (+ pro jistotu jeste jednou s velkymi znaky), ale ani po rebootu se problem nevyresil.

Kód: [Vybrat]
# dmesg
[  156.308633] hid-generic 0003:32A3:3201.0008: hiddev1,hidraw1: USB HID v1.00 Device [GoTrust Idem Key] on usb-0000:00:14.0-3.4.4/input1
[  156.309929] input: GoTrust Idem Key as /devices/pci0000:00/0000:00:14.0/usb1/1-3/1-3.4/1-3.4.4/1-3.4.4:1.2/0003:32A3:3201.0009/input/input22
[  156.367306] hid-generic 0003:32A3:3201.0009: input,hidraw2: USB HID v1.01 Keyboard [GoTrust Idem Key] on usb-0000:00:14.0-3.4.4/input2

# lsusb
Bus 001 Device 013: ID 32a3:3201 

# cat /etc/udev/rules.d/70-token.conf
ACTION!="add|change", GOTO="u2f_end"
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1fc9|32a3", ATTRS{idProduct}=="f143|3201", TAG+="uaccess"
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1FC9|32A3", ATTRS{idProduct}=="F143|3201", TAG+="uaccess"
LABEL="u2f_end"

# uname -a
Linux martin 4.15.0-101-generic #102-Ubuntu SMP Mon May 11 10:07:26 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

23
a linux naprimo?
to bude nejake usb nastaveni pro virtual.

No prave linux mint 19.3 naprimo nefunguje.
Kdyz vsak v tom mintu spustim win 10 ve virtualboxu a pripojim do toho virtualu usb token, funguje skvele.

24
Ahoj,
resim tu problem s GoTrust Idem Key, ktery mi prisel od mojeID.
Ve windows 10 chodi skvele. Na notebooku a pc s linux mint 19.3 vsak nefunguje. Kdyz si na mintu dam win10 do virtualboxu a tam pripojim token, tak jde. Ale primo v linuxu ne.

System klic vidi:
Kód: [Vybrat]
[ 8345.063751] usb 1-3.4.4: new full-speed USB device number 17 using xhci_hcd
[ 8345.166279] usb 1-3.4.4: New USB device found, idVendor=32a3, idProduct=3201
[ 8345.166287] usb 1-3.4.4: New USB device strings: Mfr=1, Product=2, SerialNumber=5
[ 8345.166291] usb 1-3.4.4: Product: Idem Key
[ 8345.166295] usb 1-3.4.4: Manufacturer: GoTrust
[ 8345.166299] usb 1-3.4.4: SerialNumber: 203401000800
[ 8345.170900] hid-generic 0003:32A3:3201.0010: hiddev2,hidraw5: USB HID v1.00 Device [GoTrust Idem Key] on usb-0000:00:14.0-3.4.4/input1
[ 8345.172648] input: GoTrust Idem Key as /devices/pci0000:00/0000:00:14.0/usb1/1-3/1-3.4/1-3.4.4/1-3.4.4:1.2/0003:32A3:3201.0011/input/input26
[ 8345.233046] hid-generic 0003:32A3:3201.0011: input,hidraw6: USB HID v1.01 Keyboard [GoTrust Idem Key] on usb-0000:00:14.0-3.4.4/input2

Po pripojeni do USB se na tokenu rozsviti logo,ale tim to konci. Firefox i Chrome se zeptaji na pouziti tokenu, ale po vyzvani o prilozeni prstu se nic nestane. Token sviti dal a i kdyz na nej saham, tak se nic nestane. Po chvili mi Chrome napise hlasku o timeoutu.

Zkousel jsem i upravu udev, napr.:
- https://github.com/Yubico/libu2f-host/blob/master/70-u2f.rules
- https://www.root.cz/clanky/fido-u2f-by-plug-up-levny-prihlasovaci-token-nejen-ke-google/
ale nic z toho nejde (USB VID a PID jsem nahradil za ID sveho tokenu).

Podle https://webauthn.me/debugger (https://www.mojeid.cz/cs/podpora/statni-sprava/#problemy-s-bezpecnostnim-klicem) take nejde.

Dokazal by mi nekdo poradit, co delam spatne?
Co jsem token zkousel na Win10 pro mojeID a Gmail, tak se mi moc libil.
Doufal jsem, ze v linuxu bude fungovat na prvni zasunuti.

25
Server / Postfwd - omezení počtu poslaných zpráv z postfixu
« kdy: 18. 09. 2020, 15:47:06 »
Ahoj,
snazim se rozchodit limitovani poctu odeslanych zprav v postfixu. Nainstaloval jsem si postfwd, ale ted trochu zapasim s nastavenim. Co jsem hledal, kazdy to nastavuje uplne jinak.

Napojeni na postfix mam a to vypada funkcne: https://github.com/postfwd/postfwd#postfwd-with-postfix

Nejsem si vsak jisty obsahem configu /etc/postfix/postfwd.cf:
Kód: [Vybrat]
id=rate_limit_5minutes
 action=rate(client_address/100/300/421 4.7.1 Slow down. Exceeded 100 messages in 5 minutes. Zpomalte. Prekrocil jste limit 100 zprav za 5 minut.)

id=rate_limit_1day
  action=rate(client_address/500/86400/421 4.7.1 Slow down. Exceeded 500 messages in 1 day. Zpomalte. Prekrocil jste limit 500 zprav za 1 den.)

id=rate_limit_2minutes_TEST
  action=rate(client_address/15/120/421 4.7.1 Slow down. Exceeded 15 messages in 2 minutes. Zpomalte. Prekrocil jste limit 15 zprav za 2 minut.)


Bud omezim vsechny uzivatele nejednou, nebo nefunguje omezeni vubec.
Co delam spatne?
Cilem je pro kazdou jednu schranku samostatne mit tyto limity.

Diky za pomoc.

26
Nezbyva, nez doufat.
Vse mam objednano. Deska dorazi v patek a procesor v utery.

27
K původnímu dotazu: porovnáváte naprosto obecný popis M.2 rozhraní a popis konkrétní základní desky. M.2 může přenášet PCI-E ale nemusí. U desky se o tom nepíše. Chtělo by to dotaz na podporu.

To neni tak uplne pravda. Na webu asusu je u te desky napsano:
- 1 x M.2 Socket 1 with E key, type 2230 for WIFI/BT devices support PCIE/USB mode
- 1 x M.2 Socket 3, M Key, podpora úložných zařízení typu 2260/2280 (režimy SATA i PCIE)

takze teoreticky by nemel byt problem. Spis se bojim nejakeho mozneho uefi whitelistu.

28
Server / Re:Omezení využítí RAM ClamAV antiviru
« kdy: 22. 08. 2020, 12:21:05 »
Tak si to jednou denne namountuj skrze nfs a pusti skener ze stroje kde mas 16G ram.
Kdyz uz nesmyslne setris pameti, ze tam davas jen 2/4G, tak je zbytecne tam mit spusteno trvale neco, co se pouziva jednou denne.

Tohle prece neni reseni. Ja ten clamav klidne necham trvale vypnuty a zapnu si ho jen behem testovani. Ale musi prece jit omezit mnozstvi ram.

29
Server / Omezení využítí RAM ClamAV antiviru
« kdy: 22. 08. 2020, 10:55:34 »
Instaluji ClamAV na webservery a cronem jednou denne skenuji /var/www. Obcas se najde neco skodliveho nahraneho do WordPressu.

Mam vsak problem s vyuzit RAM u ClamAV. Na serverech, kde bezi jen par webu mam bezne 2/4GB RAM. ClamAV si z toho dokaze vzit klidne 40% pameti.

Zkousel jsem to vsemozne omezit, ale bez uspechu. Kdyz napr. nastavim limit pres systemd:
Kód: [Vybrat]
# /etc/systemd/system/clamav-daemon.service.d/99-memory.conf
[Service]
MemoryAccounting=true
MemoryHigh=500M
MemoryMax=512M
tak na nekterych serverech ClamAV jede, ale po case spadne. Nekde se ani nespusti a hned spadne. Proc se treba nechova vsude stejne? Jsou to stejne verze Debianu i ClamAV.

V configu ClamAV jsem take nic moc pouzitelneho nenasel.

Chapu, ze antivir potrebuje RAM, ale musi to mit nejake meze. Vubec by mi nevadilo pomalejsi skenovani s malym vyuzitim RAM.

Ted koukam na jeden webserver s Debianem 9 a 16GB RAM. ClamAV jen kdyz bezi (nic ted neskenuje) ma podle htopu zabrano 7% RAM.
Kdyz si vsak vezme 40% z dostupnych 2GB RAM, je to hodne spatne.

Jak se to da omezit?

30
Pro OpenVPN, nginx a dalsi aplikace pouzivam Diffie-Hellman, ktery si generuju. Pro kazdou app jiny. Kdyz mam na serveru 10x bezici OpenVPN, kazda ma svuj vlastni vygenerovany DH.
Na virtualech to trva more casu (obzvlaste pro 4096b). Pri pouziti haveged mam zase obavy o bezpecnost.

Co jsem vsak koukal na ukazkove configy od Mozilly na ssl-config.mozilla.org, tak oni DH negeneruji, ale stahuji:
Citace
# curl https://ssl-config.mozilla.org/ffdhe2048.txt > /path/to/dhparam
ssl_dhparam /path/to/dhparam;
https://ssl-config.mozilla.org/#server=nginx&version=1.17.7&config=intermediate&openssl=1.1.1d&guideline=5.6

Jak to tedy je? Ma smysl ho generovat? Nebo si mam stahnout vyse uvedeny soubor od Mozilly a pouzivat ho uplne ve vsech aplikacich?

Nebo je dobry kompromis si DH generovat sam, ale pouzivat haveged?

Nejsem expert na sifrovani. Vim, na co DH slouzi, ale uz nevim jak s generovaim. Proto bych uvital radu.

Stran: 1 [2] 3 4 ... 37