При попытке установить второй IPsec туннель с маршрутизатора Микротик с прошивкой 6.42.1 до PfSense с прошивкой 2.4.4, не устанавливается соединение на второй фазе. При этом в журнале Микротка появляются записи: failed to pre-process ph2 packet. В записях журнала PfSense может быть: received ATTRIBUTES_NOT_SUPPORTED error notify.
Проблема устранена после выполнения двух условий:
В журнале почтового сервера замечены ошибки:
opendkim[15714]: can’t load key from /etc/opendkim/keys/yoursite.ru.private: Permission denied
opendkim[15714]: 853812117BFD: error loading key ‘mail._domainkey.yoursite.ru’
postfix/cleanup[11933]: 853812117BFD: milter-reject: END-OF-MESSAGE from localhost[127.0.0.1]: 4.7.1 Service unavailable — try again later; from=
Ошибка связана с доступом OpenDKIM к файлу ключа: по умолчанию владелец ключа пользователь root. Для решения проблемы необходимо сменить владельца ключа командой:
sudo chown opendkim:mail /etc/opendkim/keys/selector.private
где selector.private — имя вашего файла ключа.
Также возможно появление ошибок вида:
opendkim[25573]: mail._domainkey.yoursite.ru: key data is not secure: /etc/opendkim/keys/yoursite.ru.private is in group 12 which has multiple users (e.g. «mail»)
opendkim[25573]: B00D22114B3E: error loading key ‘mail._domainkey.yoursite.ru’
postfix/cleanup[28212]: B00D22114B3E: milter-reject: END-OF-MESSAGE from localhost[127.0.0.1]: 4.7.1 Service unavailable — try again later; from=
В это случае, с файла ключа необходимо убрать доступ для группы владельца файла:
sudo chmod 600 /etc/opendkim/keys/selector.private
где selector.private — имя вашего файла ключа.
В журнале почтового сервера замечена ошибка: postfix/smtpd9137: warning: connect to Milter service unix:/var/run/opendkim/opendkim.sock: Permission denied
Для начала необходимо проверить, запущен ли демон OpenDKIM командой:
ls -l /var/run/opendkim
(путь может быть иным, он задаётся в файле /etc/opendkim.conf).
Если сокет отсутствует, необходимо попытаться запустить демона вручную:
service opendkim start
Если же сокет присутствует, то необходимо проверить наличие прав у почтового сервера для доступа к нему. И, в случае отсутствия оных, выдать их: либо изменив UMask в файле /etc/opendkim.conf, либо добавив пользователя, от имени которого работает почтовый сервер, в группу opendkim.
Возможно также, что почтовый сервер запущен с изменённым корневым каталогом (chroot), тогда в файле /etc/opendkim.conf необходимо изменить путь для сокета, указав директорию, доступную почтовому серверу.
При подключении к маршрутизатору Микротик с прошивкой младше версии 6.43, может отобразиться ошибка: router does not support secure connection, please enable Legacy Mode if you want to connect anyway.
В программе Winbox старше версии 3.22 имеется возможность включения устаревшего режима, для подключения к маршрутизатору незащищенным методом. Для включения этого режима, на вкладке Tools программы Winbox, выберите Legacy mode.
adduser —home /var/www/challenges \
—shell /bin/sh \
—disabled-password \
—disabled-login \
letsencrypt
mkdir -p /etc/letsencrypt/domains
cd /etc/letsencrypt/
openssl dhparam -out dhparam.pem 2048
openssl genrsa 4096 > account.key
cd /var/www/challenges
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
DOMAINS=( site1.ru site2.com )
DOMAIN_ROOT=/etc/letsencrypt/domains
ACCOUNT_KEY=/etc/letsencrypt/account.key
ACME_DIR=/var/www/challenges
ACME_TINY=${ACME_DIR}/acme_tiny.py
[ -d ${DOMAIN_ROOT} ] || { echo "ERROR: DOMAIN_ROOT dir does not exists"; exit 1; }
[ -f ${ACCOUNT_KEY} ] || { echo "ERROR: ACCOUNT_KEY not found."; exit 1; }
[ -d ${ACME_DIR} ] || { echo "ERROR: ACME_DIR dir does not exists"; exit 1; }
[ -f "$ACME_TINY" ] || { echo "ERROR: ACME_TINY not found."; exit 1; }
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > ${DOMAIN_ROOT}/intermediate.pem
for DOMAIN in "${DOMAINS[@]}"
do
if [ ! -f "${DOMAIN_ROOT}/${DOMAIN}.key" ]; then
echo "INFO: Generation private key for $DOMAIN";
openssl genrsa 4096 > ${DOMAIN_ROOT}/${DOMAIN}.key
openssl req -new -sha256 -key ${DOMAIN_ROOT}/${DOMAIN}.key -subj "/CN=${DOMAIN}" > ${DOMAIN_ROOT}/${DOMAIN}.csr
fi
echo "INFO: Generation cert for $DOMAIN";
python ${ACME_TINY} --account-key ${ACCOUNT_KEY} --csr ${DOMAIN_ROOT}/${DOMAIN}.csr --acme-dir ${ACME_DIR} > ${DOMAIN_ROOT}/${DOMAIN}.crt || exit 1
cat ${DOMAIN_ROOT}/${DOMAIN}.crt ${DOMAIN_ROOT}/intermediate.pem > ${DOMAIN_ROOT}/${DOMAIN}.pem
done
sudo service nginx reload
chmod 755 /etc/letsencrypt
chown -R letsencrypt: /etc/letsencrypt /var/www/challenges
location ^~ /.well-known/acme-challenge/ {
alias /var/www/challenges/;
try_files $uri =404;
allow all;
}
include /etc/nginx/acme;
/bin/bash /var/www/challenges/acme-tiny.sh
server {
server_name site1.ru www.site1.ru;
listen 80;
include acme;
# включим переадресацию на https-версию сайта
location / {
return 301 https://$host$request_uri;
}
}
server {
server_name site1.ru www.site1.ru;
listen 443 ssl;
# включим шифрование
ssl on;
ssl_certificate /etc/letsencrypt/domains/alluborka.ru.pem;
ssl_certificate_key /etc/letsencrypt/domains/alluborka.ru.key;
ssl_dhparam /etc/letsencrypt/dhparam.pem;
ssl_stapling on;
ssl_stapling_verify on;
# исключим возврат на http-версию сайта
add_header Strict-Transport-Security "max-age=31536000";
# явно "сломаем" все картинки с http://
add_header Content-Security-Policy "img-src https: data:; upgrade-insecure-requests";
...
}
SHELL=/bin/sh PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin 0 0 1 * * letsencrypt /bin/bash /var/www/challenges/acme-tiny.sh >> /var/log/acme_tiny.log
sudo touch /var/log/acme_tiny.log
sudo chown letsencrypt: /var/log/acme_tiny.log
При попытке подключения из локальной сети к рабочему столу удалённого сервера, по VPN-туннелю между маршрутизатором Mikrotik и удалённым сервером, процесс подключения надолго зацикливается на двух этапах:
Настройка удалённого сеанса…
Защита удалённого подключения…
Данная проблема наблюдается при активном правиле fasttrack connection фильтра фаервола. Причём, даже, если это правило расположено в таблице ниже правил, касающихся маршрутизации VPN трафика. Отключение этого правила, способствует восстановлению правильной маршрутизации пакетов и установлению RDP-подключений.
После очередного обновления ОС Hive, майнер Ethermine не запускается, miner log содержит записи:
CUDA Error : Insufficient CUDA driver 9010
Error: No usable mining devices found
Такое случается, когда майнер требует наличия более свежей версии CUDA. Для её обновления, необходимо выполнить команду nvidia-driver-update на воркере. После чего перезапустить майнер.
Имеются пользователи, которые подключаются к системе только по SFTP и не имеют файла профиля оболочки. Требуется установить маску режима создания пользовательских файлов, непосредственно в конфигурационном файле sshd.
umask можно задать как для отдельного пользователя, так и для группы пользователей, для этого, достаточно в файле /etc/ssh/sshd_config указать директивы:
Match Group имя_группы
ForceCommand internal-sftp -u маска
где маска указывается в десятичной системе (например, маска «002» указывается как «2»)
При этом, должна быть задействована подсистема internal-sftp:
Subsystem sftp internal-sftp
При использовании PfSense в качестве маршрутизатора с несколькими IP-адресами, из разных подсетей, на одном интерфейсе, может возникнуть ситуация, когда пакеты с одного IP не отправляются, а в журнале отображаются ошибки: arpresolve: can’t allocate llinfo.
В этом случае необходимо убедиться, что у шлюза, используемого для данного IP, включена опция Use non-local gateway в расширенных настройках.