Re: ot_ nextcloud
Mandi! Paride Desimone In chel di` si favelave... > Qualcuno sa come convertire un db mysql di nextcloud in postgresql? Mi > occorre migrare una vm nextcloud con db mysql ad una nuova, con db > postgresql. Urco, la vedo un po' a bagno di sangue... se sei fortunato e lo schema del DB è identico (stesse tabelle, stesso nome dei campi) io tenterei una installazione ex-novo di NC su postgres, poi esporti da Mysql solo i dati in formato 'compatibile' (le insert, insomma) e quindi tenti la migrazione. > Sostanzialmente si tratterebbe di passare da un nextcloud 22 > ad un 25. Ricordati che sarebbe sempre meglio fare tutti i passaggi, 22->23->24->25. > Sapete se esiste nextcloud già pacchettizzato per debian da > qualche parte (Collabora o Onlyoffice, fanno letteralmente impazzire > ogni volta che si varia anche una virgola sul server). Io uso questo repository: https://www.jurisic.org/ https://apt.jurisic.org/ purtroppo il ragazzo NON lascia le vecchie versioni nel reposotory, ma se gli scrivi in privato ti manda il .deb che ti serve. -- Ci sono 3 professori di statistica che vanno a caccia di lepri. ad un tratto ne vedono una. il primo spara... un metro a destra. il secondo spara... un metro a sinistra. il terzo esclama: "l'abbiamo presa". (Gino)
Re: cambiare una opzione su exim4
Mandi! Leonardo Boselli In chel di` si favelave... > avete qualche suggerimento su come fare ? Ma il file di configurazione è stato rigenerato? -- Uno dei più grossi problemi di questo paese è che la maggioranza delle importazioni vengono dall'estero. (George W. Bush)
Re: cambiare una opzione su exim4
Mandi! Leonardo Boselli In chel di` si favelave... > credo ci siano problemi anche da qualche altra parte, vedo che la mia > risposta è stata rifiutata: Si, il tuo IP sembra finito in qualche RBL... -- Non sara` il canto delle sirene che ci innamorera` noi lo conosciamo bene, l'abbiamo sentito gia`(F. De Gregori)
Re: cambiare una opzione su exim4
Mandi! Leonardo Boselli In chel di` si favelave... > ... ma è il TUO server che ha scelto la RBL sbagliata. Il mio MX è il server di ILS/linux.it; se vuoi, discutine con Marco d'Itri... ;-) -- ...coraggio liberisti, buttate giu' le carte tanto ci sara` sempre chi paghera` le spese in questo benedetto assurdo bel paese.(F. Guccini)
Re: mutt mime e html
Mandi! dot...@gmail.com In chel di` si favelave... > Qualche idea? Io ho in .muttrc: auto_view text/html in .mailcap: text/html; /home/gaio/bin/firefox %s; test=test -n "$DISPLAY" e /home/gaio/bin/firefox è uno script che contiene: #!/bin/sh /usr/bin/firefox --new-tab "$1" sleep 2 exit 0 -- The number of UNIX installations has grown to 10, with more expected. (_The UNIX Programmer's Manual_, Second Edition, June 1972)
Re: [Probabile OT]
Mandi! Giuliano Grandin In chel di` si favelave... > Magari qualcuno riesce ad aiutarmi a capire se quei messaggi indicano > problemi seri oppure no? Non ritrovo il link, cito a memoria. 'smartctl' ti dice che il drive 'è nel database'? Se no, siccome interpretando male alcuni dati può fare cavolate enormi, gli smartmontools si mettono in una modalità 'conservativa' e interpretano eslcuisvamente i dati di cui sono certi (a quanto capisco, le specifiche SMART sono un po' come i l codice della pirateria ne 'i pirati dei caraibi'... ;-). Quindi un dato che potrebbe essere 'normale' (stile un contatore che elenca i log inseriti, se questi non sono errori fatali) potrebbe essere un dato che incrementa 'normalmente' e non indica nulla relativamente al fallimento del disco. In questo caso devi identificare correttmente il parametro incriminato, e dire a smartd di 'ignorare gli incrementi', o magari segnalarti quando incrementa ma non segnalarti ogni giorno che è >0. FYI. -- ...il ponte di Messina unirà «non due coste ma due cosche». (Niki Vendola)
Apache, CVE-2023-25690 e Rewrite Rules...
Beccato baco di Apache, debian pubblica:
https://lists.debian.org/debian-lts-announce/2023/04/msg00028.html
in cui inserisce la sibillina:
Unfortunately, fixing these security vulnerabilities may require
changes to configuration files. Some out-of-specification
RewriteRule directives that were previously silently accepted,
are now rejected with error AH10409. For instance, some RewriteRules
that included a back-reference and the flags "[L,NC]" will need to
be written with extra escaping flags such as "[B= ?,BNP,QSA]".
che o uno è un Guru delle Apache rewritre rule, o non ci capisce una sega.
Ad esempio "[L,NC]" vuol dire le rewrite rule che contengono 'L' e 'NC' o
esattamente quelle che contengono 'L,NC'?!
Una rewritre rule come:
RewriteRule ^/\.well-known/carddav
https://%{SERVER_NAME}/remote.php/dav/ [R=301,L]
RewriteRule ^/\.well-known/caldav
https://%{SERVER_NAME}/remote.php/dav/ [R=301,L]
RewriteRule ^/\.well-known/webfinger
https://%{SERVER_NAME}/index.php/.well-known/webfinger [R=301,L]
(nextcloud) è vulnerabile?!
Grazie...
--
If SMB was an animal it would go wolf and most people would have shot it
or put it down humanely. (Rod Boyce)
Re: R: Apache, CVE-2023-25690 e Rewrite Rules...
Mandi! MAURIZI Lorenzo In chel di` si favelave... > Ma nelle regole che hai inserito tu non ci sono backreferences, nel tuo caso > le rewrite rule sono usate per rimbalzare eventuali riferimenti a vecchi path > su un nuovo path statico, senza backreferences, quindi credo che non ci > saranno problemi. Oltre al flag L c'è R=301, cioè impone al browser di fare > redirect con codice 301 (moved permanently), altrimenti il default del flag R > è 302 (moved temporarily). Infatti. Grazie della spiegazione. > Mi rimane il dubbio di cosa voglia dire "Some out-of-specification > RewriteRule directives that were previously silently accepted" > Mi piacerebbe vederne una di queste out-of-specification RewriteRule per > capirne l'errore e la giusta formulazione... Esatto... ho cercato un po' e debian era l'unica a dare qualche spiegazione, ma a tratti resta incomprensibile... ;-) Amen, grazie. -- Per trovare qualcosa sui siti di Ms devi usare Google :-) (Simo Sorce, da samba-it)
Neurodebian?!
In passato mi è capitato di usare spesso il repository Neurodebian: http://neuro.debian.net/ ma ora che sto aggionando alcune macchine, mi rendo conto che il software è sempre meno, non è stato insomma ricompilato per le nuove versioni delle distro. L'iniziativa sta morendo? Qualcuno ha qualche feedback? Grazie. -- Ognuno vada dove vuole andare, ognuno invecchi come gli pare ma non raccontate a me che cos'e` la LIBERTA`.(F. Guccini)
Re: aiuto su samba (forse)
Mandi! ilario.quinson@e.email In chel di` si favelave... > Ho installato samba client, ma ho notato che in manjaro è installato samba > server. > Non so se devo installare il server anche su debian. In linea di massima, no. Non consco Volumio, ma mi puzza da un problema di versione del protocollo; stile Volumio usa solo SMB1, mentre in debian 12 hanno ormai deprecato SMB1 e si parla solo SMB2+. -- And did you exchange a walk on part in the war for a lead role in a cage?(Pink Floyd)
Re: grub non parte con il countdown
Mandi! Piviul In chel di` si favelave... > Ciao a tutti, ho un server, un hp proliant che quando faccio il reboot > talvolta si ferma sulla schermata di grub in attesa che qualche > buonanima prema invio, non parte il countdown in automatico quindi > riavviare remotamente un server può essere un grosso problema ...per > fortuna che gli hp proliant hanno iLO da cui poi è possibile accedere > remotamente alla schermata di grub! > Secondo voi cosa potrebbe essere? Ho dato un'occhiata al log di shutdown > ma non ho trovato niente di rilevante... :( Mai vista una cosa del genere; solitamente o ha il timeout o non ce l'ha, non è che ogni tanto lo usa e ogni tanto no... Per la cronaca, l'opzione è: GRUB_TIMEOUT=5 in /etc/default/grub . Non è che il server ha anche una tastiera fisica attacata e qualcuno ci ha appoggiato sopra qualcosa che preme un tasto? ;-) -- We have joy, we have fun, we have Linux on our Sun.
Re: grub non parte con il countdown
Mandi! Diego Zuccato In chel di` si favelave... > Potrebbe essere l'opzione 'recordfail'? > Puoi provare ad aggiungere a grub.cfg > GRUB_RECORDFAIL_TIMEOUT=$GRUB_TIMEOUT > https://askubuntu.com/questions/1/how-can-i-force-ubuntu-to-boot-on-a-stuck-boot-menu/244752#244752 Ah, si; questa cosa l'ho vista fare a Ubuntu, ma non l'ho mai vista in debian... -- Non mi importa del petrolio, saro` un vile, un anormale ma questa volta alle Crociate non ci voglio andare! (E. Bennato)
Re: Non riesco a connettermi ad un server ssh da un particolare client
Mandi! Federico Di Gregorio In chel di` si favelave... > Riesci a farci avere il log del server? Si, a questo punto sono indispensabili. Una idea che mi viene in mente è che dall'altra parte la chiave abbia una limitazone (from="") e che magari sia cambiato l'IP da dove cerchi di connetterti... -- Solo una sana e consapevole libidine salva il giovane dagli SCOUT e dall'Azione Cattolica! (Zucchero, circa O;-)
Re: samba e vecchi client
Mandi! Piviul In chel di` si favelave... > Come avrete capito sono in una situazione per cui in LAN ho ancora > alcuni client xp. Ora un aggiornamento di windows ha fatto installare > una pacth sul dc che taglia fuori tutti i client xp: non è più possibile > ad un client xp di controllare le credenziali di un utente del dominio. Scusa: quindi hai un dominio AD con uno (o più) domain controller windows? > Ho pensato ad una soluzione e prima di metterla in piedi volevo > confrontarmi con voi, vedere se secondo voi può funzionare. Fatto salvo che sembra, da rumors in lista samba, che Microsoft si sia accorta di aver fattola cavolata eche arriverà patch a fissare la cosa, ma... non puoi semplicemente togliere dal dominio la macchina e farla accedere agli share usando user e pass di dominio? AFAIK è precluso il 'join' al dominio, ma non l'accesso agli share... in caso prova anche ad accedere in nuemrico (\\10.X.Y.Z\Share), solitamente implica la disabilitazione di Kerberos. -- L'unico metodo naturale per arrestare la caduta dei capelli e` il pavimento. (Marco d'Itri)
Re: fail2ban
Mandi! Paride Desimone In chel di` si favelave... > Mi serve che dopo tre tentativi di log errati "ERROR logapache..." banni > l'ip associato. Ma le regole di base di fail2ban fornite con il pacchetto debian non ti bastano? Magari aggiungendo solo un .local per cambiare il numero di tentativi?! -- Il voto e` l'orgasmo della democrazia (Marco Pio Bravo)
Re: Autenticazione mate biometrica con lettore d'impronta
Mandi! Paride Desimone In chel di` si favelave... > qualcuno sa se sia possibile loggarsi su Mate direttamente con il > lettore di impronta? Attualmente mi loggo con password e quando blocco > lo schermo sono in grado di sbloccarlo con il lettore di impronta, ma io > vorrei poter effettuare direttamente il primo login solo con l'impronta > digitale. ...credo si tratti solo di configurare i moduli PAM sottostanti... anche se forse la password è usata anche per sblocare il keyring, e quindi c'è qualche vincolo. Lo so, stavo prima a rispondere: non so. ;) -- Il computer è come la morosa: meno ci mettono mano gli altri e meglio è! ;-) (Enrico)
Re: samba e vecchi client
Mandi! Piviul In chel di` si favelave... >> Scusa: quindi hai un dominio AD con uno (o più) domain controller windows? > no, ho un dominio ad gestito da samba. Ma allora, scusa, non ti basta abbassare il 'min protocol'?! client ipc min protocol = NT1 Lato Samba non è cambiato nulla, non dovrebbero essere sorte incompatibilità con le ultime release, fatto salvo il 'min protocol' che è stato innalzato a 'SMB2'. Lato windows con il patch tuesday di luglio M$ ha inserito una incompatibilità e ha 'scazzato' i dominii NT (e non solo quello, ma principalmente quello). Insomma, non capisco perchè XP non ti si colleghi al dominio, dovrebbe farlo senza problemi... -- Il computer è come la morosa: meno ci mettono mano gli altri e meglio è! ;-) (Enrico)
Re: samba e vecchi client
Mandi! Piviul In chel di` si favelave... >> client ipc min protocol = NT1 > dove? Parliamo di macchine xp che non dialogano con il dominio, scusa, > sarò zuccone ma non capisco... dovrei metterlo nell'smb.conf del DC? Dappertutto. Se hai macchine che non sanno parlare SMB2 e successivi, non hai alternativa nelle recenti Samba ad abbassare il 'min protocol'. > forse per il "non solo quello" che citi? Ma quella è una modifica client side fatta su Win10 e Win11, la patch non è sicuramente finita in Win7 e tanto meno in XP. -- La giustizia militare sta alla giustiza come la musica militare sta alla musica. (George Clemenceau)
Re: Le querce fanno limoni ( o almeno di provano)
Mandi! mauro morichi In chel di` si favelave... > Resta sempre il grande dilemma: Mah. Da un lato il 'blame game' (giocare a scarico delle responsabilità) è una cosa che non sta in piedi, alla lunga. E t voglio vedere a fare causa a IBM. Loro ce l'hanno più grosso, l'avvocato. ;-) Dall'altra, sono anni che sento questo discorso, e tutti quelli che lo facevano alla fin fine usavano CentOS o Fedora. Infatti io sto in un certo senso aspettando con i popcorn in mano... -- La nave è ormai in mano al cuoco di bordo, e ciò che trasmette il megafono del comandante non è più la rotta ma ciò che mangeremo domani. (Sören Kierkegaard)
Re: Stranezza dischi Usb
Mandi! fran...@modula.net In chel di` si favelave... > Qualcuno si è mai imbattuto in qualcosa di simile? L'utente in questione fa parte dei gruppi necessari alla gestione delle chiavette, 'pugdev' mi pare a memoria? -- Il Re di Spagna fece vela, verso l'isola incantata pero` quell'isola non c'era, e mai nessuno l'ha trovata(F. Guccini)
Re: Errore in dmesg di "task kworker"
Mandi! Leandro Noferini
In chel di` si favelave...
> Non sarà che si sta scassando la SD?
AFAIk no, gli errori sono diversi; anche se mi par di ricordare che le SD
non hanno alcun sistema di monitoraggio ala-SMART, quindi muoiono di botto e
basta.
Gli errori che vedi sono segnalazioni del kernel che è 'piantato' a fare
qualcosa che ci mette molto più del tempo necessario e normale; possono
essere benigni, se hai uno storage lento o con bassi IOPS ('che fa poche
cose per volta').
--
L'unico metodo naturale per arrestare la caduta dei capelli
e` il pavimento. (Marco d'Itri)
SSL_OP_IGNORE_UNEXPECTED_EOF a runtime?!
Ho un servizio interno, specie di sacro graal intoccabile, a cui un client (un programmino molto semplice con poche dipendenze e che ovviamente è sacro come il servizio...) si collega via SSL. Su una debian stretch funziona: root@vdctms1:~# openssl s_client -connect 10.7.0.15:10011 CONNECTED(0003) write:errno=0 --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 0 bytes and written 176 bytes Verification: OK --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher: Session-ID: Session-ID-ctx: Master-Key: PSK identity: None PSK identity hint: None SRP username: None Start Time: 1695200417 Timeout : 7200 (sec) Verify return code: 0 (ok) Extended master secret: no Su una buster no: gaio@hermione:~$ openssl s_client -connect 10.7.0.15:10011 CONNECTED(0003) 40D7F2BD1E7F:error:0A000126:SSL routines:ssl3_read_n:unexpected eof while reading:../ssl/record/rec_layer_s3.c:308: --- [...] Inizialmente pensavo fosse colpa di SSLv3, ma come vedete sopra l'handshake funziona perfettamente in TLSv1.2 che è ancora abilitato in buster. Ravanando in rete ho capito che il problema è che il client dovrebbe impostare il flag all'oggetto (SSL_OP_IGNORE_UNEXPECTED_EOF): https://www.openssl.org/docs/manmaster/man3/SSL_CTX_set_options.html https://wiki.openssl.org/index.php/List_of_SSL_OP_Flags perchè nelle recenti versioni è stato aggiunto per sopperire a una vulnerabilità. Ho quindi provato ad aggiungere in /etc/ssl/openssl.cnf in fondo: Options = SSL_OP_IGNORE_UNEXPECTED_EOF ma non è cambiato nulla. Ho anche provato una cosa del tipo: CipherString = ALL Options = SSL_OP_IGNORE_UNEXPECTED_EOF Protocol = -ALL,TLSv1.2 ma l'errore è sempre quello. Cosa sbaglio?! Grazie. -- Non mi interessa sentirmi intelligente guardando in tv dei cretini, preferirei sentirmi un cretino di fronte a persone eccellenti. (Franco Battiato)
Re: SSL_OP_IGNORE_UNEXPECTED_EOF a runtime?!
Mandi! Marco Gaiarin In chel di` si favelave... > Cosa sbaglio?! Grazie. Mi sa che è un baco, si veda: https://github.com/openssl/openssl/issues/18574 Ma ancora qualcosa non mi torna... -- I'm old enough to remember when the Internet wasn't a group of five websites, each consisting of screenshots of text from the other four. (Tom Eastman)
Re: SSL_OP_IGNORE_UNEXPECTED_EOF a runtime?!
Mandi! Davide Prina In chel di` si favelave... > secondo me è dovuto a modifiche nelle librerie OpenSSL. E fin li... > Non hai indicato cosa c'è su 10.7.0.15, presuppongo che ci sa anche > li una stretch o che il tuo server sia stato stato compilato con > librerie OpenSSL vecchie. Non lo so. Potrei chiedere, ma a naso una fedora paleozoica, conoscendo il collega... > nel tuo caso penso tu possa risolvere ricompilando il server con > librerie recenti e mettendo su strech un client OpenSSL recente. GAC. ;-) Il problema è che a quanto capisco openssl è customizzabile sul file di configurazione, e permette di impostare tutta una serie di flag. Ma nonostante io (penso di) averlo fatto correttamente, sembra bellamente ignorarlo. E da strace sembra leggere il file corretto... Poi è ovvio che se hanno tolto algoritmi non ci posso fare nulla, ma se come sospetto li hanno solo disattivati, con la configurazione dovrei essere in grado di riattivarli... Mah... -- Mio figlio Christian diceva che la morte doveva essere qualcosa di bello, visto che nessuno ritornava. (Yolande Mukagasana)
Re: uso di rsync con cartella smb
Mandi! Giuseppe Naponiello In chel di` si favelave... > Ommioddio, scusate tutti!!! Sarà la febbre, sarà che è sabato o > semplicemente sono rintronato marcio...bastava lanciare rsync da utente > root!!! Sicuramente aiuta. ;-) Considera anche che potrebbero essere definite e utili/necessarie ACL e attributi estesi sugli share samba, quindi verifica se è necesario copiare anche quelli (e questo se ovviamnte le macchine sono sullo stess dominio). -- Le vie del Signore sono infinite. E' la segnaletica che lascia a desiderare...
Re: Server smtp in sola spedizione semplice
Mandi! Piviul In chel di` si favelave... > se vuoi mandare una mail ad una casella di posta devi per forza > colloquiare con l'smtp che gestisce la casella di posta. Ora i server > smtp accettano posta soltanto da indirizzi ip che hanno i record DKIM, > DMARC e SPF. Questo implica che tu debba avere un ip pubblico e il cui > DNS contiene appunto questi record... in altre parole non ne vale la > pena, conviene pagare il tuo provider; altrimenti ti fai un account > gratuito con un altro provider[¹] che ti offre gratuitamente il servizio > di smtp ed usi quello tertium non datur. Tutto giusto. Aggiungo che nella configurzone standard dei MTA Debina dovrebbe esserci una opzione per riscrivere tutti i sender di modo da usare questa unica casella, perchè far uscire email con 'root@miodominio.local' spesso non è possibile neanche con SMTP autenticato. Inoltre, se la macchina in questione è accessibile, puoi anche ribaltare il problema e tienti la posta in locale, e te la leggi/scarichi con IMAP. -- Firma il contratto, non farti pregare se vuoi far parte delle persone serie (E. Bennato)
Re: Configurazione minima di samba che non mi funziona bene
Mandi! Leandro Noferini In chel di` si favelave... > Come risolvo? se stai usando una versione sufficientemente recente di samba, è il nuovo comportamento predefinito, non c'è più il browsing della rete. Dietro ci sono ottimi motivi... comunque... un 'testparm' di server e client aiuterebbe, comunque. -- Io ammiro gli americani per come fanno le trattative: prima di tutto pensano a se stessi, poi a se stessi, e solo alla fine a se stessi. (Ignacio Lula da Silva)
Re: Configurazione minima di samba che non mi funziona bene
Mandi! Leandro Noferini In chel di` si favelave... > root@nasone:~# samba --version > Version 4.13.13-Debian Sufficientemente recente, SMB1 dovrebbe essere già disabilitato di default. > [global] Ma molte cose non mi tornano. > disable netbios = Yes Ecco, magari... disable netbios (G) Enabling this parameter will disable netbios support in Samba. Netbios is the only available form of browsing in all windows versions except for 2000 and XP. Note Clients that only support netbios won't be able to see your samba server when netbios support is disabled. Default: disable netbios = no > fruit:nfs_aces = no > fruit:copyfile = yes > fruit:aapl = yes Ma hai client Mac? > Client: > # Global parameters > [global] > client min protocol = SMB2 se non era disailitato lato sever, lo è di sicuro lato client. ;) -- La CIA ha scoperto chi porta il carbonchio... la befanchia!!!
Re: stranezze UPS
Mandi! Piviul In chel di` si favelave... > come è possibile? Concordo sulla risposta: il carico era diverso tra il server e il tuo pc, quindi le batterie (di entrambi) hanno abbastanza 'spunta' per un pc ma non per i server; posso assicurarti che se succede che salta la luce per lungo tempo, poi una buona parte dei miei UPS non parte, o parte ma smette di segnalare le baterie scariche dopo qualche ora... Considera che in condizioni normali le batterie durano dai 2 ai 3 anni, raramente oltre. > Altro indizio strano... sul server se avvio il demone apcupsd incomincia > a raffica (5 messaggi al minuto circa) mandarmi qualcosa tipo: >> pbs-nas Communications with UPS SmartUPS-750 restored se hai nei log del kernel anche il distacco e il riattacco della relativa periferica USB, verifica di non avere un cavo danneggiato, o magari dai una disossidata alla porta USB (a UPS spento e batterie staccate, of course). -- Ventiquattromilapensierialsecondofluisconoinarrestabili alimentando voglie e necessita`. (CSI)
Re: Configurazione minima di samba che non mi funziona bene
Mandi! fran...@modula.net In chel di` si favelave... > Il browsing di rete adesso è gestito dal servzio Wsdd (Web Services > Network Discovery). Ecco come si chiamava! ;-) -- Molti italiani sognavano di vedere Berlusconi in un cellulare, prima o poi...(Stardust®, da i.n.n-a)
Re: Configurazione minima di samba che non mi funziona bene
Mandi! Leandro Noferini In chel di` si favelave... > Non mi pare però che sia cambiato gran che! Beh, lo ha disabilitato anche lato client... ad owni modo la soluzione con wsdd mi are più elegante... >> Ma hai client Mac? > Una volta questa era una comunità pura ma le traversie della vita hanno > visto una contaminazione _inaccettabile_! ;) Ah, i figli! ;-) -- Di questa cavolo di pianura, di questa gente senza misura, che gia` confonde la notte e il giorno, e la partenza con il ritorno, e la richezza con i rumore, ed il diritto con il favore (F. De Gregori)
Re: pam_sss(login:account): Access denied for user
Mandi! Piviul In chel di` si favelave... > Allora volevo provare a vedere se riuscivo a configurare anche debian > con sssd. Ho seguito questa guida[¹] Tu pestare grossa merda... ;-) SSSD nasce come un 'fork' di winbindd fatto da RH quando aveva bisogno di qualcosa che funzionasse con AD e il team samba era ancora troppo indietro. Poi non so cosa sia successo, ma le due cose hanno inziato a divergere e da una certa versione di samba in poi sssd è diventato sostanzialmente incompatibile con samba; va anche detto che ormai winbind fa decentemente quello che fa sssd. Se chiedi in lista samba di sssd, comunque, ottieni solo Rowland che ti ringhia dietro. ;-) Non so cosa di preciso tu voglia fare, ma se è l'offilne logon funziona perfettamente anche con winbind; unica nota, NON devi usare RFC2703, attualmete c'è un baco e la cache non funziona. -- Berlusconi: "Quando scendo io in campo per la sinistra non c'è scampo" É proprio vero che siamo un paese di poeti, santi e navigatori...
C'è sempre la prima volta... Server Supermicro...
Mi hanno fatto dono di un bel server SuperMicro; so giochicchiare con iLO e iDRAC, ma ancora no con IPMI 'plain' (e il server non è realmente mio, quindi non vorrei perdere troppo tempo...). Il fornitore ha questo, sembra: https://www.supermicro.com/en/solutions/management-software/ipmi-utilities Ma in debian c'è pacchettizzato sia 'ipmitool' che 'openipmi'. Mi interessa veramente poco: poter resettare il BMC dall'host, e avere i log hardware della macchina in syslog. Bastano?! Quali dei due? Grazie. -- Ragazzi, lavoriamo per il Signore: la paga non è un granchè, ma la pensione è roba dell'altro Mondo!!! (letta su una maglietta, da Stefy)
Re: C'è sempre la prima volta... Server Supermicro...
Mandi! Diego Zuccato In chel di` si favelave... >> Mi interessa veramente poco: poter resettare il BMC dall'host, e avere i log >> hardware della macchina in syslog. > Per i log non ti so aiutare (non mi sono mai posto il problema). Con > ipmitool so che i comandi si mandano tranquillamente anche via rete > (utile p.e. per accendere un host spento o per resettarne uno bloccato, > magari prima modificandogli la sequenza di boot per procedere con una > reinstallazione da FAI :) ). OK, grazie per le info. Cercherò di capire a che cosa serve openipmi e a vedere se fa quello che sto cercando... -- ma l'impresa eccezionale, dammi retta e` essere normale (L. Dalla)
Re: winbind offline logon [ERA Re: pam_sss(login:account): Access denied for user]
Mandi! Piviul In chel di` si favelave... > A voi invece va sempre? Si. Metti qui un 'testparm' che vediamo. -- Dai diamanti non nasce niente dal letame nascono i fior (F. De Andre`)
Re: UPS su server con 2 alimentatori
Mandi! Piviul In chel di` si favelave... > ...o c'è qualche altro modo? Fai domande complicate... ;-) Concordo con gli altri: se hai due UPS, li incrociamo. Ovviamente nella configurazione del controlo degli UPS, devi stare attento ma tendenzialmente è meglio così, perchè se succede qualcosa nella 'zona morta' (è saltata la corrente ma ancora il server non si è spento) il server si spegne correttamente. Se ovviamente hai una 'linea rossa', puoi mettere un alimentatore sotto UPS e l'altro in linea rossa. MAI e poi MAI colegare direttamnete un alimentatore alla linea normale, sono parecchio delicati e rischieresti solo di rovinarli... -- ...buffoni che campate di versi senza forza avrete soldi e gloria, ma non avete scorza; (F. Guccini)
Re: winbind offline logon [ERA Re: pam_sss(login:account): Access denied for user]
Mandi! Piviul In chel di` si favelave... >> Si. Metti qui un 'testparm' che vediamo. > # Global parameters Scusa, ma questo è il domain member, vero? > [global] [...] > obey pam restrictions = Yes > pam password change = Yes > panic action = /usr/share/samba/panic-action %d > passwd chat = *Enter\snew\s*\spassword:* %n\n > *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . > passwd program = /usr/bin/passwd %u > unix password sync = Yes se si, questi non servono a nulla... > server role = standalone server Direi idem... > winbind enum groups = Yes > winbind enum users = Yes > winbind expand groups = 1 qui togli; > winbind refresh tickets = Yes questo non ricordo... > winbind offline logon = Yes > winbind request timeout = 10 Ottimo. segui: https://wiki.samba.org/index.php/PAM_Offline_Authentication dovrebbe bastare... -- Che ruolo può avere all'interno di una società uno che non parla ed il cui curriculum é misero? IL Presidente.(Si Può Fare - Nello)
Re: aggiornamento formware hp proliant
Mandi! Piviul In chel di` si favelave... > Altrimenti qualcuno ha qualche suggerimento? Allora, HP ha ristretto il download dei firmware a chi ha un contratto di assistenza attivo (quindi, garanzia o contratto di estensione). MA rilascia comunuqe i firmware che sono 'critical'; quindi vai nella pagina del firmware della macchina in questione, vai sulle revisioni, e vai indietro finchè ne trovi uno 'critical'. Solitamente non sono troppo vecchi. Scaricati l'EXE per windows e dallo in pasto, così come è, alla iLO. Purtroppo il giochino della iLO NON funziona per gli altri firmware (controller, ...); di quelli scaricati l'RPM e vai di alien. ;-) -- Bisogna saper scegliere il tempo non arrivarci per contrarieta`(F. Guccini)
Re: UPS su server con 2 alimentatori
Mandi! Piviul In chel di` si favelave... > Inoltre quale sarebbe il vantaggio di alimentarli da ups differenti? A > me sembra che si inserisca solo confusione, un quid di casualità nello > shutdown in caso di assenza prolungata di corrente che renda le cose più > fumose. Diciamo che i server non dovrebbero spegnersi mai, e distribuire il carico in questo modo da maggiori garanzie, in generale. Vero che espone a 'zone morte' (la corrente torna a shutdown eseguito e prima che l'UPS, gli UPS, si siano spenti), ma il rischio di un spegnimento improvviso è sicuramente maggiore. Un server spento lo accendi via iDRAC/iLO/... -- Se si insegna a un bambino a programmare in qualche linguaggio informatico, questo esercizio logico lo renderà padrone e non schiavo del computer. (Umberto Eco)
Re: winbind offline logon [ERA Re: pam_sss(login:account): Access denied for user]
Mandi! Piviul In chel di` si favelave... > Cos'altro devo guardare? Hai verificato che il file /etc/security/pam_winbind.conf esista e che contanga quanto nel wiki? -- E i professori dell'altroieri stanno affrettandosi a cambiare altare hanno indossato le nuove maschere e rincominciano a respirare (F. De Gregori)
Re: aggiornamento formware hp proliant
Mandi! Piviul In chel di` si favelave... > L'unico aggiornamento che sono riuscito a trovare riguarda iLO, per il > bios anche se dice che è critico (raccomandato) ci vuole un contratto. Vero. MA se arrivi alla pagina del bios: https://support.hpe.com/connect/s/softwaredetails?language=it&softwareId=MTX_0be8a0d8f06a491bbccc434186 vedi che in basso a sn ci sono le revisioni; una (la 2.96_05-17-2022) è marcata come critical, ed è scaricabile. https://support.hpe.com/connect/s/softwaredetails?language=it&softwareId=MTX_6abac704c0e149548008362d7b >> Purtroppo il giochino della iLO NON funziona per gli altri firmware >> (controller, ...); di quelli scaricati l'RPM e vai di alien. ;-) > questa non l'ho capita... L'interfaccia web di iLO ti permette di caricare solo il firmware dell'iLO stesso e il BIOS; per le altre cose puoi usare i pacchetti host, che sono degli RPM ma basta dargli una botta di alien. -- ...e andate chissa` dove per non pagar le tasse col ghigno e l'ignoranza dei primi della classe. (F. Guccini)
Re: UPS su server con 2 alimentatori
Mandi! Piviul In chel di` si favelave... > Ma voi fate la calibrazione della batteria? Farla diminuisce la durata > della stessa? Solo, come consigliato dal vendor, quando cambio le batterie. Oppure se l'ups mi da segnali brutti, al che di solito con un test delle batterie lo uccido. ;-) -- Anything written for and running under UNIX should be y2k compliant. Unix will be fine until the end of the world, which will occur Tuesday, January 19, 2038 at 3:14:07 AM (GMT).(Scott Pallack)
Re: Decoder Wi-Fi
Mandi! pinguino In chel di` si favelave... > In questo periodo di switch-off, per passare al nuovo digitale terrestre > con i nuovi standard DVB-T2 sto valutando l'acquisto di un nuovo decoder. Se hai banda a sufficienza considera anche lì'opzione di comprarti uno scatolotto con Kodi (io consigio Vero: https://osmc.tv/vero/ ) e usare un addon come 'World Live TV': https://telegra.ph/Installazione-di-World-Live-TV-Helper-con-repo-04-20 Se hai un raspberry (consiglio 3 o superiore) che ti cresce in casa, puoi provare a installare OSMC sul raspberry: https://osmc.tv/download/ intanto per vedere come va... -- Se non hai riso per una settimana la tua vita comincia a perdere significato. Soprattutto se sei cinese. (M. Muraro)
Re: Decoder Wi-Fi
Mandi! Marco Ciampa In chel di` si favelave... > Ho un raspberry 3 con LibreELEC 9.2.8 (credo Kodi 18.9). Il punto è > questo: vedo i film in FHD h265 e h264 perfettamente... se non installo > un LibreELEC di versione più recente quelli più recenti vanno a > scatti, non so perché... Mi sono comprato il Vero 4k+ proprio perchè ero stufo di perdere tempo con i raspberry... che per certe cose vanno da dio, ma sicuramente non i 3 come media center. > e indovina un po? l'addon come 'World Live TV' non si installa sul mio > LibreElec/Kodi per problemi di dipendenze... Io ho kodi 20.2, addon versione 1.2.10. -- tutti chiusi in tante celle fanno a chi parla piu' forte per non dir che stelle e morte fan paura (F. Guccini)
Re: winbind offline logon [ERA Re: pam_sss(login:account): Access denied for user]
Mandi! Piviul In chel di` si favelave... > c'è qualcos'altro? Tieni conto che l'offline logon funziona ma in modo > un po' a singhiozzi. Come dicevo se avvio il pc senza connessione di > rete per poter effettuare il logon offline devo entrare nella console e > riavviare winbind. Guarda, avevo fatto tante prove con un portatile Ubuntu 22.04, ma che poi vedo nessuno usa. Quindi magari è così... > sssd invece non sbaglia un colpo, ma vedrò di non farlo sapere a Rawland! ;) Eh... ;-) -- Utopia aveva una sorella maggiore, che si chiamava Verita` senza errore (Nomadi)
Re: Decoder Wi-Fi
Mandi! Piviul In chel di` si favelave... > Grazie Marco, molto interessante... e mi sembra di aver capito che è > anche basato su debian? Si, dentro c'è debian. -- La BBS e' come il mio frigorifero... da tanti anni fa in silenzio un ottimo lavoro, al punto tale che mi accorgo della sua utilita' solo quando manca la corrente e tutto quello che contiene diventa inutilizzabile. (E. Margelli)
Re: winbind offline logon [ERA Re: pam_sss(login:account): Access denied for user]
Mandi! Piviul In chel di` si favelave... > beh, non trovi che sia grave? Se la rete c'è, l'offline logon non serve Oh si, certo; ma adesso non so dove è finito quel portatile, e non ho tempo di andarlo a cercare... se mi verrà a cercare lui, vi faccio sapere. ;-) -- We certainly would not want to have the same kind of democracy as they have in Iraq (President Vladimir Putin, responding to U.S. President George W. Bush's suggestion that Russia should be more democratic, taken from NewsWeek)
Re: AI Intelligenza Artificiale
Mandi! pinguino In chel di` si favelave... > Vorrei capire meglio quale è la situazione dell'Intelligenza Artificiale > attuale. In generale, ti consiglio di partire da qui: https://www.guerredirete.it/generazione-ai-ecco-il-nostro-ebook/ https://www.peacelink.it/cybercultura/a/49825.html -- Don't be tempted by the shiny apple, don't you eat of a bitter fruit, hunger only for a taste of justice, hunger only for a world of truth, 'cause all that you have is your soul (Tracy Chapman)
Re: autenticazione ldaps
Mandi! Piviul In chel di` si favelave... > Ricordo che in passato avevo avuto un problema similare e il problema > era dovuto al fatto che il certificato del server era autofirmato. Non > ricordo bene cosa abbia fatto ma credo solo di avere inserito in > /etc/ldap/ldap.conf del client TLS_REQCERT never Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato generato il certificato di slapd. -- Poor people gonna rise up and get their share poor people gonna rise up and take what's theirs (T. Chapman)
IPV6-ignoranza...
da un amico sto giocando con Yunohost. Veramente carino... e ovviamente debian based. Volevo assegnare al server yunohost un indirizzo statico, e fino a ipv4 ci arrivo, basta modificare /etc/network/interfaces. Ma se volessi assegnare un IPv6 statico? Come determino il set di indirizzi assegnato dal router, come scelgo quale assegnare, come scrivo /etc/network/interfaces? Si, sono proprio ignorante... ;-) -- E sempre allegri bisogna stare, che il nostro piangere fa male al Re fa male al ricco, al Cardinale, diventan tristi se noi piangiam...(Fo, Jannacci)
OpenVPN, Letsencrypt, Windows.
Mi sono infliato in un bel guaio. ,-) Pensando di fare una gallata, e testandola con Linux, sto usando per una rete remota OpenVPN con dei certficarti letsencrypt; su linux basta che metta il certificate bundle (/etc/ssl/certs/ca-certificates.crt) come CA e sono a posto. Con Android, allo stesso modo verifica il certificato tra quelli trusted installati e gestiti. Ma su windows devo passargli la CA. Ed è vero che posso prenderla da: https://letsencrypt.org/certificates/ ma se cambia mi fotto tutti i client, dovrei mettere in peidi un meccanismo per verficare quando cambia la CA e ripropagarla (ma sono client remoti, potrebbe essere tropo tardi). Ho dato una occhata alla documentazione, sicuramente windows ha nel suo 'ceriticate store' i ceritifcati dela CA di Letsencypt ma... come faccio a dirgli di cercarselo li?! Spero di essermi spiegato, grazie. -- La CIA ha scoperto chi porta il carbonchio... la befanchia!!!
Re: Iptables e errori
Mandi! Leonardo Boselli In chel di` si favelave... > Dope messo fail2ban vedo che da una certa sottortete arrivano la > generalità degli attacchi quindi ho aggiunto una regola: ma iptables mi 'aggiunto' in che senso? Hai aggiunto una rule di fail2ban, o hai fatto proprio 'iptables -A'?! > Chain f2b-sshd (1 references) > target prot opt source destination > REJECT 0-- 43.133.60.2510.0.0.0/0reject-with > icmp-port-unreachable > REJECT 0-- 36.110.228.254 0.0.0.0/0reject-with > icmp-port-unreachable > REJECT 0-- 223.17.0.181 0.0.0.0/0reject-with > icmp-port-unreachable > REJECT 0-- 120.48.9.61 0.0.0.0/0reject-with > icmp-port-unreachable > RETURN 0-- 0.0.0.0/00.0.0.0/0 > REJECT 0-- 180.101.88.0/21 0.0.0.0/0reject-with > icmp-port-unreachable Se hai fatti 'iptables -A' è normale perchè 'A' è 'APPEND'. Usa 'iptables -I', che inserisce in testa. -- Le camere deliberano lo stato di guerra e conferiscono al Governo i poteri necessari. (art. 78 Costituzione)
Re: IPV6-ignoranza...
Mandi! Leonardo Boselli In chel di` si favelave... > attacchi una macchina qualsiasi alla stessa rete senza indirizzo statico > e vedi cosa offre Pensavo, speravo, ci fosse un metodo più 'cool'... ;-) -- Worrying about case in a Windows (AD) context is one of the quickest paths to insanity. (Patrick Goetz)
Re: autenticazione ldaps
Mandi! Paride Desimone In chel di` si favelave... > Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never > mi dava problemi. Come hai copiato la CA? -- Stanno arrivando da lontano con il futuro nella mano sotto la pioggia (A. Venditti)
Re: OpenVPN, Letsencrypt, Windows.
Mandi! Piviul In chel di` si favelave... > Ciao Marco, non vorrei sembrarti importuno ma come alternativa alla > gestione di vpn da pc su cui non abbiamo controllo, hai mai preso in > considerazione un proxy tipo guacamole[¹]? Solo in linea teorica, ma in questo caso mi serve proprio la VPN... -- Io ammiro gli americani per come fanno le trattative: prima di tutto pensano a se stessi, poi a se stessi, e solo alla fine a se stessi. (Ignacio Lula da Silva)
Re: autenticazione ldaps
Mandi! Paride Desimone In chel di` si favelave... > Qualcuno per caso conosce opensuse e sa come poter farem o ha > suggerimenti? ...non conosco OpenSUSE, ma non credo che ci sia molta differenza; al di la dei diversi modi di configurare le cose le cose da fare sono sempre quelle: installare i moduli LDAP per PAM e NSS (ed eventuali servizia contorno, come nslcd se necessario), configurre PAM, configurare nsswitch.conf. -- Con Windows sei in vacanza: ti diverti senza pensare a ciò che fai, ma dopo un po' finisce. In Linux entri nella vita reale: Devi tirar fuori le palle!(Alain Modolo)
Re: imapfilter & mutt con posta gmail e office365
Mandi! Gollum1 In chel di` si favelave... > Qualcuno ho tempo e voglia di assistermi per capire in cosa sto sbagliando? Non so nulla di o365, ma per Google lascia perdere e usa ela 'App Password': https://support.google.com/accounts/answer/185833?hl=en -- La nave è ormai in mano al cuoco di bordo, e ciò che trasmette il megafono del comandante non è più la rotta ma ciò che mangeremo domani. (Sören Kierkegaard)
Re: imapfilter & mutt con posta gmail e office365
Mandi! Gollum1 In chel di` si favelave... > e invece ci sono riuscito... In teoria, anche se i documenti google sono scritti in googlolese, sono le 'less secure password' ad essere state dismesse, ma le app password rimangono. -- Documentation is like sex: when it is good, it is very, very good; and when it is bad, it is better than nothing. (from texinfo documentation) Dick Brandon
Re: imapfilter & mutt con posta gmail e office365
Mandi! Gollum1 In chel di` si favelave... > no... no... ci sono riuscito realtmente, con mutt riesco ad accedere Ecco, appena possiile documenta bene il tutto. ;-) -- Molti italiani sognavano di vedere Berlusconi in un cellulare, prima o poi...(Stardust®, da i.n.n-a)
Re: Problemi server HPE con Debian 12.5
Mandi! Diego Zuccato In chel di` si favelave... > un contratto di assistenza, ma sarebbero utili gli aggiornamenti del > BIOS)... Sono disponibili gli aggiornamenti marcati come 'critical', per la cronaca... > ora dovrebbe essere il default. Propendo per un bug nel BIOS riguardo la Anche io. Prova a fare un aggiornamento del bios e vedere se si risolve... -- Errare è umano, ma per fare veramente casino ci vuole la password di root (Zio Budda)
OpenVPN e dominio DNS...
Ho bisogno di passare a del client OpenVPN più di un dominio; lato server la conf è: push "dhcp-option DOMAIN miodominio.it" push "dhcp-option DOMAIN sotto1.miodominio.it" push "dhcp-option DOMAIN sotto2.miodominio.it" push "dhcp-option DNS 192.168.1.1" con un client linux, vedo OpenVPN che parla con il network manager e gli passa correttamente tutti e tre i dominii di ricerca: Feb 27 22:11:09 hermione systemd-resolved[1116]: tun0: Bus client set search domain list to: miodominio.it, sotto1.miodominio.it, sotto2.miodominio.it Ma qualcosa non mi torna: se provo a pingare un host nel primo dominio (stile miohost1.miodominio.it, pingando 'miohost1') funziona, ma se provo a pingare 'miohost2' che sta nel secondo dominio, non risolve. Insomma, sembra che la ricerca dei dominii si fermi al primo. Ovviamente in FQDN funziona. Cosa sbaglio?! Grazie. -- Le parti si impegnano [...] ad astenersi nelle relazioni internazionali dalla minaccia o dall'uso della forza in ogni modo in contrasto con gli scopi delle Nazioni Unite.(art.1 Trattato NATO)
Re: Come convertire cups spool driverless application/octect-stream
Mandi! Piviul In chel di` si favelave... > tolgono i backends qual è la strada giusta? Non lo so, ma sono curiosissimo. Se alla fine riescia far funzionare tutto, riesci a docuentare la cosa a pro di tutti? Poi, 'Driverless' e MOPRIA sono la stessa cosa? Che relazione c'è? -- Internet it's the largest equivalence class in the reflexive transitive symmetric closure of the relationship: ``can be reached by an IP packet from''. (Seth Breidbart)
Re: OpenVPN e dominio DNS...
Mandi! Giuseppe Sacco In chel di` si favelave... > In openvpn 2.5.0 si usa l'opzione DOMAIN per indicare il dominio principale, > cioè quello nel quale c'è l'host (client) stesso, e DOMAIN-SEARCH per quelli > aggiuntivi. Hai provato? > fonte: https://community.openvpn.net/openvpn/ticket/1209 L'avevo trovato, ma il baco non chiarisce se è una cosa implementata, da che versione (sono su buster ancora e la manpage non la riporta) ma soprattutto se funziona. Ho fatto una prova e non sembra funzionare... ma effettivamente buster è ancora alla 2.4.7 ... -- Gli ippopotami non fanno niente, basta la presenza ippopotami non si nasce, si diventa (R. Vecchioni)
Bullseye e squidguard...
Stavo tentando di configurare squid e squidguard come faccio di solito, su bullseye, ma qualcosa non torna. La configurazione è corretta, e se la lancio a mano parte: root@vcoreacpn1:/etc/squid# su - proxy -s /bin/sh -c '/usr/bin/squidGuard -d -c /etc/squidguard/squidGuard.conf' 2024-03-01 14:36:46 [1708037] INFO: New setting: dbhome: /var/lib/squidguard/db 2024-03-01 14:36:46 [1708037] INFO: New setting: logdir: /var/log/squidguard 2024-03-01 14:36:46 [1708037] init iplist /var/lib/squidguard/db/local/staff [...] 2024-03-01 14:36:46 [1708037] init urllist /var/lib/squidguard/db/ut1/dating/urls 2024-03-01 14:36:46 [1708037] INFO: loading dbfile /var/lib/squidguard/db/ut1/dating/urls.db 2024-03-01 14:36:46 [1708037] INFO: squidGuard 1.6.0 started (1709300206.114) 2024-03-01 14:36:46 [1708037] INFO: squidGuard ready for requests (1709300206.153) ma se provo a eseguirlo da squid con: url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf url_rewrite_children 10 ottengo un flood in syslog e in cache.log di squid di: 2024/03/01 14:22:59 kid1| Starting new helpers 2024/03/01 14:22:59 kid1| helperOpenServers: Starting 1/10 'squidGuard' processes 2024/03/01 14:22:59 kid2| ipcCreate: /usr/bin/squidGuard: (13) Permission denied 2024/03/01 14:22:59 kid2| WARNING: redirector #Hlpr175 exited cosa sbaglio?! Ho cercato in rete ma a parte qualcuno che ha effettivamente fatto errori di permessi, non ho trovato nulla. Il log di squidguard resta immacolato e vuoto. Grazie. -- Mentre Utopia andava via allegramente perche` vedeva il futuro presente Verita` le sussurrava a capo chino: ``stai confondendo desiderio e destino'' (I Nomadi)
Re: OpenVPN e dominio DNS...
Mandi! Giuseppe Sacco In chel di` si favelave... > È nel changelog della 2.5.0, dove riporta che puoi usare l'opzione nella > configurazione e che il parametro viene poi gestito dallo script richiamato > da "--up". https://github.com/OpenVPN/openvpn/blob/v2.5.0/Changes.rst > > Non ho una buster sottomano, ma su trixie il manuale ne parla e io uso > /etc/openvpn/update-systemd-resolved (del pacchetto openvpn-systemd-resolved) > come script "--up", il quale funziona perfettamente. > > La versione 2.5.0 o successiva è presente anche su bookworm, bullseye e nei > backport per buster: > https://packages.debian.org/search?suite=buster-backports&searchon=names&keywords=openvpn > > Invece il pacchetto di integrazione con resolved di systemd è presente da > bullseye in poi, quindi su buster dovrai cercare un'altra soluzione che > utilizzi resolvconf o altro. Grazie! -- E i professori dell'altroieri stanno affrettandosi a cambiare altare hanno indossato le nuove maschere e rincominciano a respirare (F. De Gregori)
Re: Bullseye e squidguard...
Mandi! Alessandro Baggi In chel di` si favelave... > 1. Apparmor con profilo per squid? Ah, ecco, vedi... root@vcoreacpn1:~# apparmor_status apparmor module is loaded. 9 profiles are loaded. 9 profiles are in enforce mode. /usr/bin/man /usr/sbin/ntpd /usr/sbin/squid lsb_release man_filter man_groff named nvidia_modprobe nvidia_modprobe//kmod 0 profiles are in complain mode. 12 processes have profiles defined. 12 processes are in enforce mode. /usr/sbin/ntpd (444) /usr/sbin/squid (1707739) /usr/sbin/squid (1707741) /usr/sbin/squid (1707742) /usr/sbin/squid (1707743) /usr/lib/squid/pinger (1744240) /usr/sbin/squid /usr/lib/squid/log_file_daemon (1752035) /usr/sbin/squid /usr/lib/squid/log_file_daemon (1752036) /usr/sbin/squid /usr/lib/squid/pinger (1752037) /usr/sbin/squid /usr/lib/squid/log_file_daemon (1752038) /usr/sbin/squid /usr/lib/squid/pinger (1752039) /usr/sbin/squid /usr/sbin/named (2431) named 0 processes are in complain mode. 0 processes are unconfined but have a profile defined. Ho trovato anche: https://bugs.launchpad.net/ubuntu/+source/squid3/+bug/1787409 quindi c'è una patch, almeno per ubuntu... > 2. Il permission denied è relativo a squid che richiama squidguard o il > permission denied è dato da squidGuard? > 3. Cercando in rete sembra che ipcCreate sia una funzione di squidGuard > (non ho visto cosa fa) quindi potrebbe essere questa funzione. Boh... ma squidguard non emette alcun log, quindi non si capisce. > 4. Problemi con i db di squidGuard? Lo escludo. ora resta da capire cosa è meglio fare... -- La tua tana sta in collina, Dr. Dobermann, seimilioni a metro quadro e tua moglie sembra proprio una regina, pero` e` la moglie di un ladro. (F. De Gregori)
Re: imapfilter & mutt con posta gmail e office365
Mandi! Gollum1 In chel di` si favelave... > Molto volentieri, appena riesco a sistemare anche imapfilter documento > tutto... Novità?! ;-) -- I politici dovrebbero leggere fantascienza, non western o storie di polizia. (Arthur C. Clarke)
Re: Bullseye e squidguard...
Mandi! Alessandro Baggi In chel di` si favelave... > io per prima cosa disabiliterei il profilo apparmor di squid e poi > avviare il tutto. Funziona. Ma mi pare strano che manchi da qualsiasi configurazione e/o documentazione... io ho alzato questo: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1066094 vediamo come va. ;-) -- La BBS e' come il mio frigorifero... da tanti anni fa in silenzio un ottimo lavoro, al punto tale che mi accorgo della sua utilita' solo quando manca la corrente e tutto quello che contiene diventa inutilizzabile. (E. Margelli)
Squid e cartelle mancanti...
Ho aggiuornato un mio proxy squid a bullseye, e ho iniziato a ricevere nei log: Mar 18 01:34:16 vcoreacpn1 squid[1277]: openDone (2) No such file or directory Mar 18 01:34:16 vcoreacpn1 squid[1277]: #011/var/spool/squid/00/02/04FE ora, va detto che solo da questa versione squid sembra usare syslog per i log, quindi magari gli errori c'erano anche prima ma erano in 'cache.log' e nessuno li guarava. ;-) Ad ogni modo, google mi dice ch sono errori dovuti a una corruzione della cache, e che dovrebbero sistemarsi con un 'squid -z'; che però ho fatto una mezza dozzina di volte senza beneficio. Ora li zittisco ma... sono curioso... ;-) -- I segreti per restare a galla tu li conosci meglio di me. Ed e` per questo che non mi piaci e grazie al cielo io non piaccio a te (F. De Gregori)
ZFS e checksum error...
ZFS mi stupisce sempre... ad ogni modo, è colpa mia. Sono andato a ravanare in un server di backup per togliere un controller, ho sicuramente fatto casino con i cavi e ho allentato un connettore di alimentazione. Morale della favola, qualche giorno dopo tutti i dischi di un pool hanno iniziato a dare errori (fisici e logici). Ho spento il server, sistemato il cablaggio, fatto ripartire e ovviamente è partito il 'resilver' del pool, che ha già terminato due dischi e sta lavorando sugli altri due: zpool status -v rpool-backup pool: rpool-backup state: DEGRADED status: One or more devices is currently being resilvered. The pool will continue to function, possibly in a degraded state. action: Wait for the resilver to complete. scan: resilver in progress since Mon Mar 18 14:01:02 2024 458G scanned at 294M/s, 84.4G issued at 54.1M/s, 13.5T total 20.4G resilvered, 0.61% done, 3 days 00:15:17 to go config: NAME STATE READ WRITE CKSUM rpool-backup DEGRADED 0 0 0 raidz1-0 DEGRADED 0 0 0 ata-ST8000VN004-3CP101_WWZ1MBA8 DEGRADED 0 0 1.71K too many errors (resilvering) ata-ST8000VN004-3CP101_WWZ1Q7F1 DEGRADED 0 0 1.49K too many errors ata-ST8000VN004-3CP101_WRQ0WQ44 DEGRADED 0 0 1.54K too many errors ata-ST8000VN004-3CP101_WWZ1RFL5 ONLINE 0 0 3.06K (resilvering) cache scsi-33001438037cd8921 ONLINE 0 0 0 la prima domanda è: TRE GIORNI?!?! la seconda domanda è: mi elenca una serie di file (una ventina) con errori permanenti e non risolvibili dal checksumming; ma come dicevo questo è un server di backup, non mi interessa: errors: Permanent errors have been detected in the following files: rpool-backup:<0x63f216> rpool-backup:<0x63f218> rpool-backup:<0x108d421> rpool-backup:<0x63ee2b> [...] /rpool-backup/vz/dump/vzdump-qemu-156-2024_03_16-23_53_30.vma.zst /rpool-backup/vz/dump/vzdump-lxc-125-2024_03_16-23_57_05.tar.zst ho provato ad eliminare qualche file, ma la riga è rimasta in quel modo: rpool-backup:<0x63f216> come posso dirgli: butta pure via i file corrotti e fregatene? Sto cercando dappertutto come fare, ma a parte fare un ripristino dei file, una ricosruzione del pool... non trovo info per una cosa che (io) reputo così semplice... Grazie. -- Chi ha tagliato i ponti con la fantasia non si accorgera` di niente (E. Bennato)
Re: ZFS e checksum error...
> come posso dirgli: butta pure via i file corrotti e fregatene? Mi rispondo da solo: zpool clear -F rpool-backup -- Voi non ci crederete la mia ragazza sogna (R. Vecchioni)
Re: ZFS e checksum error...
>> come posso dirgli: butta pure via i file corrotti e fregatene? > Mi rispondo da solo: > zpool clear -F rpool-backup Col piffero, questo azzera gli errori ma non li corregge... basta uno scrub e tornano fuori... -- I matti tutta la vita dentro la notte chiusi a chiave (F. De Gregori)
Bookworm, syslog, date...
Sto iniziando ad aggiornamre qualche macchina a bookworm. Su una, mi trovo nei log (syslog, /var/log/syslog) delle righe fate così: 2024-04-02T11:35:17.723221+02:00 hostame servizio[]: invece che: Apr 2 11:33:44 hostame servizio[]: la cosa strana è che per lo stesso servizio alcune righe sono giuste, altre no... insomma, non sembra colpa del servizio. Cosa sto sbagliando?! Grazie. -- Vendere no, non passa tra i miei rischi, non comprate i miei dischi e sputatemi addosso. (F. Guccini)
Re: Bookworm, syslog, date...
Mandi! Davide Prina
In chel di` si favelave...
> Io sto usando testing. Se faccio
Il problema è che io sto usandouna stable, bullseye:
root@vnclpb1:~# cat /etc/debian_version
12.5
root@vnclpb1:~# uname -a
Linux vnclpb1 5.15.131-2-pve #1 SMP PVE 5.15.131-3 (2023-12-01T13:42Z) x86_64
GNU/Linux
root@vnclpb1:~# dpkg -l | grep syslog
ii rsyslog 8.2302.0-1
amd64reliable system and kernel logging daemon
e una seconda installazione gemella NON ha questo comportamento:
root@vncacpn1:~# cat /etc/debian_version
12.5
root@vncacpn1:~# uname -a
Linux vncacpn1 5.15.108-1-pve #1 SMP PVE 5.15.108-2 (2023-07-20T10:06Z) x86_64
GNU/Linux
root@vncacpn1:~# dpkg -l | grep syslog
ii rsyslog 8.2302.0-1
amd64reliable system and kernel logging daemon
Ma... ora mi accorgo che su una (vnclpb1) ho accettato il file rsyslogd.conf di
default e sull'altra (vncacpn1) no; e infatti:
gaio@hermione:~$ diff -ud /tmp/rsyslog.conf.vncacpn1 /tmp/rsyslog.conf.vnclpb1
--- /tmp/rsyslog.conf.vncacpn1 2024-04-08 14:31:22.006540116 +0200
+++ /tmp/rsyslog.conf.vnclpb1 2024-04-08 14:31:41.834681412 +0200
@@ -26,12 +26,6 @@
###
#
-# Use traditional timestamp format.
-# To enable high precision timestamps, comment out the following line.
-#
-$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
-
-#
# Set the default permissions for all log files.
#
$FileOwner root
quindi rsyslog da bullseye passa ad usare il 'nuovo formato', rimuovendo la
compatibilità.
La soluzione, per logcheck, è quella di riscrivere le regole, da:
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ ...
a
^(\w{3} [ :[:digit:]]{11}|[0-9T:.+-]{32}) [._[:alnum:]-]+ ...
e ovviamente ci vorrà un po' di tempo... intanto abbiamo la compatibilità.
Mai in pace... ;-)
--
In amore ci vuole fortuna, ma anche un bel culo non guasta.
(Fabio Fazio)
Re: Smart Home
Mandi! Diego Zuccato In chel di` si favelave... > Una cosa da tenere sempre presente è la graceful degradation: cerca di [...] > Stesso discorso per il controllo luci: è "dannoso" che il comando locale > (pulsante o interruttore) non controlli la lampada se manca la connessione. Ecco, appunto; ho una istanza HA in casa e ci gioco, ma continuo a chiedermi se ne vale la pena per questo... già quando non funziona internet mamma, moglie e figlie rompono le balle, immagino la mattina che il bagno è freddo perchè la VM di HA si è piantata... Come poter gestire bene questo aspetto? C'è qualcosa da 'leggere' per capire? -- Voi non ci crederete la mia ragazza sogna (R. Vecchioni)
Password chiave ssh e seahorse...
Sei anni fa con il portatile nuovo ho generato una nuova chiave ssh. Mi è parso sensato impostare una password, password che seahorse si è salvato. E che io mi sono dimenticato. Qualche anno fa mi ero accorto, accedendo da remoto al portatile e da li cercando di fare ssh (quindi senza agente), ma ho sempre pensato che tanto la password era in seahorse... Orbene, ora devo tirarla fuori da li; a quanto ho capito con la password di login io 'sblocco' il portachiavi seahorse, che quindi ha all'interno la mia password della chiave ssh. Come la caccio fuori da li? Grazie. -- La tua tana sta in collina, Dr. Dobermann, seimilioni a metro quadro e tua moglie sembra proprio una regina, pero` e` la moglie di un ladro. (F. De Gregori)
Re: [OT] batterie UPS
Mandi! Piviul In chel di` si favelave... > Voi dove le ordinate? Normalmente al negozio locale, ma non 'consumer', solitamente le CSB da una catena di elettronica locale (Elco), oppure le Yuasa da Manhattan (che ha la sede qui a sacile ma vende online): https://www.manhattanshop.it/ In generale concordo, devono essere le linee specifiche per UPS. Altro suggerimento, siccome non si sa quanto vecchie sno le batterie e non vengno precaricate prima della spedizione, fare sempre un test di scarica (calibrazione) appena installato il pacco batterie nuovo. -- La nave è ormai in mano al cuoco di bordo, e ciò che trasmette il megafono del comandante non è più la rotta ma ciò che mangeremo domani. (Sören Kierkegaard)
Re: [OT] batterie UPS
Mandi! StealthMode Hu In chel di` si favelave... > Leave the I.T. stuff to the I.T. Professionals. ...e mo' come gli si spiega 'te spiccio casa'? ;-) -- Software patents are like smoke: «it started with an experiment to improve health. It tasted quite good and it soon became a fashion statement. But today smoking kills not only those who smoke but also those who breathe nearby.» (Marten Mickos)
Re: Password chiave ssh e seahorse...
Mandi! Davide Prina In chel di` si favelave... > secondo me non puoi ricavarti direttamente la password dimenticata in nessun > modo, anche perché non viene mai salvata la password ma un suo hash. Ecco, lo sospettavo... > di importante... ti conviene rigenerarti la chiave. ...io MI sono rigenerato la chiave, semplicemente volevo portarmi dietro per un po' di tempo il vecchio '.ssh' da usarsi quando trovo un server dove non ho installato la nuova chiave e sono troppo pigro per entrare con user e password. ;-) -- E sempre allegri bisogna stare, che il nostro piangere fa male al Re fa male al ricco, al Cardinale, diventan tristi se noi piangiam...(Fo, Jannacci)
Re: Password chiave ssh e seahorse...
Mandi! Diego Zuccato In chel di` si favelave... > vecchia che poi usa per sbloccare la chiave ssh. Comunque la prova che > farei è: Eh, il problema è che io prima ho creato la chiave, poi l'ho importata in seahorse... -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Cluster Linux con Debian.
Mandi! Gollum1 In chel di` si favelave... > Mi date qualche suggerimento su come metterli in cluster? Proxmox? ;-) -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Password chiave ssh e seahorse...
Mandi! Diego Zuccato In chel di` si favelave... > Hai già provato con lo script da > http://ins3cure.blogspot.com/2012/07/extracting-gnome-keyring-credentials.html > ? Urco... conosco poco il pitone, ma sembra pitone2, e quel: import gnomekeyring in cima non trova cosa importare... > Seahorse deve avere nel suo db (criptato con la tua pass di login) la > pass per decriptare la chiave segreta ssh... Esatto. Deve esserci un modo per cacciarla fuori... -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Smart Home
Mandi! Diego Zuccato In chel di` si favelave... > Su indomus.it ci sono guide per tutti i gusti, piuttosto ben fatte. Sto leggendo qualcosa., grazie... ;-) -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Procmail condizionato a DKIM
Mandi! Leonardo Boselli In chel di` si favelave... > è possibile mettere una regola su procmail che faccia cose differenti se: > A. DKIM è verificato > B. DKIM è assente o temporaneamente non verificabile > C. DKIM è non verificato ? Mai fatto, ma se il MTA mette uno header DKIM, basta testare lo stesso header in procmail... -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Procmail condizionato a DKIM
Mandi! Leonardo Boselli In chel di` si favelave... >> Mai fatto, ma se il MTA mette uno header DKIM, basta testare lo stesso >> header in procmail... > e quale è il comando per testarlo ? Aaah... scusa, pensavo avessi una infarinatura. man procmailex (e poi per rifinire 'man procmailrc'); non sto canzonando, le manpage sono scritte benissimo e sono una lettura piacevolissima! -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Procmail condizionato a DKIM
Mandi! Leonardo Boselli In chel di` si favelave... > Il MTA non mi mette un header se è verificato o meno, perché tutti i > messaggi sono accettati. > L'hader presente contiene la firma, che va verificata. > Quello che mi serve è come dire a procmail di fare la verifica e in base > ai tre casi (OK, NO, non so) seguire regole diverse. 'fare una verifica' intendi eseguire uno script esterno? Basta usare '?' per mandare in pipe ad uno script esterno e testarne l'exit status. Ma se riesci ad aggiungere uno header, è meglio... scusa ma non capisco cosa vuoi fare... -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: [OT] Acquisto modem fibra
Mandi! Giuseppe Sacco In chel di` si favelave... > ti faccio una proposta alternativa, Debian based :-) Anche io uso una (VM) debian e PPPoE; attenzione che la VLLAN cambia con il fornitore, devi farti dare i dati dal provider. E sono obbligati a darteli. In alternativa puoi prendere (nuovo o usato) un router che preferisci supportato da OpenWRT e installarci quello: https://openwrt.org/toh/start a quel punto l'uso del PPPoE ti da garanzia di poter gestire tutto. -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Procmail condizionato a DKIM
Mandi! Leonardo Boselli In chel di` si favelave... > esatto: ma quale è lo script esterno che prendendo in input on messggio mi > fa la verifica della firma dkim ? Ti ha già risposto Federico... > chi mi garantisce che lo header non sia stato inserito per strada ? Ah. Crdo che la regola di base di exim rigeneri in ogni caso lo header, quindi toglie un eventuale header inserito 'per strada' e mette il suo. -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Password chiave ssh e seahorse...
Mandi! Diego Zuccato In chel di` si favelave... > Questo "chiede" a gnome-keyring/seahorse di sputare la chiave che ha nel > suo db. Avanzi perlomeno una buona birra alla prima occasione! Grazie!!! Letta la password, importata la vecchia chiave nel nuovo PC. E ovviamente quando ho visto la password ho pensato: ma certo, era ovvio. ;-) -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: [OT] Acquisto modem fibra
Mandi! Giancarlo Martini In chel di` si favelave... > se uso una sbc devo rinunciare al servizio voce o è sufficiente un telefono > voip? Basta un telefono VoIP che perli 'SIP', ovvero tutti. Se vuoi farti del male, puoi installare Asterisk. Se ti basta un cordless, i Gigaset hanno qualche modello VoIP molto carino. Ma volendo ti basta un vecchio cellulare e una app softphone, mi dicono che va bene pjsip. -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: OpenWisp
Mandi! Piviul In chel di` si favelave... > Qualcuno lo utilizza o ha qualche feedback su openwisp? No. Ma mi sono segnato il link... mlto interessante! -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Una riflessione e un confronto
Mandi! Mario Vittorio Guenzi In chel di` si favelave... > Giro a voi il quesito e vi ringrazio in anticipo per le opinioni che > vorrete fornirmi. Allora, ho diversi proxy in azienda. Confermo, statistiche alla mano, che non serve più a molto, se non a fare cache degli aggiornamenti (ma se hai WSUS...). Vero che si potrebbe fare SSL Bump, ma è un casino dal punto di vista tecnico e legale. Vero che puoi fare filtro, ma siccome tutti i siti sono in SSL dovresti fare ssl bump per rispondere con una pagine intelleggibile, e siamo al punto precedente. MA continuo a pensare che ne valga la pena: ormai praticamnete tutto supporta il proxy (pc, tv, tablet, stampanti, ...) e è estremamente più comodo che aprire regole di firewall in giro... --
Re: flashing samknows router
Mandi! Piviul In chel di` si favelave... > Ho trovato qualche forum in giro che raccontano più o meno come fare ma > non ci ho cavato un ragno dal buco. Se invece fai riferimento a questo? https://openwrt.org/toh/tp-link/tl-wdr3600_v1 Ma hai accesso al router in qualche modo? web? ssh? C'è qualche versione del firmware originale? L'unica cosa: non vedo nella pagina modo di accedere alla seriale... --
Re: flashing samknows router
Mandi! Piviul In chel di` si favelave... > Mi sa che ho poche speranze... Boh, non è detto. una semplice ricerca con google mi porta a questo: https://forum.openwrt.org/t/solved-debrick-tl-wdr3600/47041/21?page=2 e abbiamo la piedinatura della seriale; se hai un minimo di manualità con il saldatore, inizia a saldare GND, RX e TX (NO VCC, lascialo perdere). Se sei come me negato e/o non hai l'attrezzatura, chiedi in giro a qualcuno. Basta che saldi un paio di centimetri di filo, per poterci collegare la seriale. Poi ti devi procurare un cavo 'Serial TTL', ormai normalmente USB. ne vendono di già fatti: https://www.adafruit.com/product/954 Ma se hai un vecchio adattatore Nokia CA-42 te lo puoi fare: https://community.cisco.com/t5/collaboration-knowledge-base/ex90-make-console-cable-using-ca42-usb-data-cable/ta-p/3147724 Una volta ottenuto le due cose, puoi collegarti in console e a quel punto segui le istruzioni per il 'debricking'; normal,mente si tratta di caricare una immagine via TFTP e poi, una volta avviata, flasharla. ma dipende. una cosa alla volta. ;-) --
Re: flashing samknows router
Mandi! Piviul In chel di` si favelave... > Mi sembra molto complicato Purtroppo sembra, e poi dopo poco ti ritrovi a cercare la seriale del tostapane... ;-))) --
Re: Gestione failover linea dati e DNS
Mandi! Piviul In chel di` si favelave... > Mi sono spiegato? > È possibile fare una cosa del genere? Si, ma il meccansimo degli MX ha già una sua ridondanza 'interna', quindi non mi comploicherei la vita... inserisci semplicemente due record MX verso i due IP con lo stesso peso, poi ci penseranno i tuoi mittenti a decidere quale MX scegliere... e usare l'altro se uno non è disponibile. ;-) --
Squid, never_direct e invece direct...
Situazione: piccola sede che non ha accesso diretto a internet, solo scamuffi per collegarsi a grande sede. Consifurato squid che ha un 'cache_peer' che punta al proxy di grande sede, e in acl un bel: never_direct allow all Ma lui benedetto insiste a cercare di andare diretto, becandosi ovviamente un 503: 1720023385.832 0 proudfoot.dyn.tms.ud.lnf.it TAG_NONE/503 0 CONNECT www.googleapis.com:443 - HIER_NONE/- - 1720023387.729 3 proudfoot.dyn.tms.ud.lnf.it TAG_NONE/503 0 CONNECT addons-pa.clients6.google.com:443 - HIER_NONE/- - 1720023390.658 0 proudfoot.dyn.tms.ud.lnf.it TAG_NONE/503 0 CONNECT www.googleapis.com:443 - HIER_NONE/- - 1720023400.263 6 proudfoot.dyn.tms.ud.lnf.it TAG_NONE/503 0 CONNECT mtalk.google.com:443 - HIER_NONE/- - Perchè?! In 'cache.log' vedo spesso: 2024/07/03 18:17:42 kid2| Detected DEAD Parent: proxy.pp.lnf.it 2024/07/03 18:17:42 kid2| Detected REVIVED Parent: proxy.pp.lnf.it ma son sicuro che ne connettività ne il padre hanno problemi... --
Re: Squid, never_direct e invece direct...
Mandi! Marco Gaiarin In chel di` si favelave... > Perchè?! Strano. Se disabilito ICP con 'no-query' nella definizione del 'cache-peer', funziona tutto perfettamente. Le ACL del padre sono a posto. Cosa posso verificare? --
Re: Samba netlogon
Mandi! Mario Vittorio Guenzi In chel di` si favelave... > se io nel mio smb.conf sul server share scrivo E già partiamo male. AD? Se si, [netlogon] e [sysvol] DEVONO sare sui DC, non sui DM; e devono puntare alle cartelle create in fase di provisioning del DC (che poi va replicata in tutti i DC, e solo i DC). Se è NT, devo essere sincero non ho mai visto la sintassi: > [netlogon] > path = \\cabrini/var/lib/samba/sysvol/intranet.lan/scripts con il puntare a uno share di rete; mi sa che quello che cerchi è DFS, ma non ci ho mai sbattuto la testa... --
Re: Samba netlogon
Mandi! Mario Vittorio Guenzi In chel di` si favelave... > la replica di sysvol funziona gia' con un altro sistema il mio quesito > e' come fare in modo che se il DC cabrini e' per un motivo qualsiasi off > line l'utenza quando fa login vada a pescarsi i files.bat di logon per > montare le share da uno degli altri due DC. Già i client 'montano' sysvol e netlogon dal primo DC disponibile, non devi fare nulla... fino a che hai un DC vivo, funziona. Tu sincerati solo di sincronizzare sysvol... --
