> в настройках сервера:
>

 
> ms-dns 100.64.96.1 
> 

Сам дурак. Надо было в /etc/ppp/options.pptpd прописывать а не в /etc/pptpd.conf

> Добрый день.
> Перестала монтироваться XFS.
> mount: /dev/mapper/cryptdisk: can't read superblock.
> root@mc:~# xfs_repair /dev/mapper/cryptdisk
> Phase 1 - find and verify superblock...
> xfs_repair: error - read only 0 of 4096 bytes
> root@mc:~# dmesg | grep XFS
> [26143.846839] XFS (dm-0): last sector read failed
> Есть способ пофиксить это?
> С меня - Огромное Спасибо!

дампить всё что есть с блокового устройства или диска под ним и photorec

Нанять того кто понимает?

> На сайте MYSQL он неплохой если в магазине 50 000 товаров но
> при большем количестве товаров загрузка страниц увеличивается, страница поиска вообще
> стоит, а про фильтры и говорить не стоит.
> Как перейти на Posgresql?

А чем вас спасёт PgSQL? У вас явно архитектурные проблемы, а не проблемы СУБД. Без относительно CMS
Тут уже просится кеширование, например.

> На сайте MYSQL он неплохой если в магазине 50 000 товаров но
> при большем количестве товаров загрузка страниц увеличивается, страница поиска вообще
> стоит, а про фильтры и говорить не стоит.
> Как перейти на Posgresql?

Заменить коннекторы и прогнать SQL тесты кода сайта. Он же покрыт автотестами. Которые покажут были ли уникальные для Марии конструкции, или на Постгре тоже всё работает.

Но простая замена не принесёт счастья.

если  порты  разные  в   конфигурациях , просто   запустите  2 сервер

> Добрый день всем!
> У нас происходит физическое объединение двух предприятий - съезжаемся в одно здание.
> И там, и там используем openvpn для различных нужд, в т.ч.
> и для доступа сотрудников в корпоративную сеть. В сумме абонентов около
> 150 человек. Можно как-то объединить конфигурации (ключи), чтобы не обходить всех
> переходящих сотрудников? Или надо перегенерировать ключи заново? Есть у кого опыт?
> Мне гугл пока не помог. Я пока не теряю надежды, перечитываю
> доку, но рецепта пока не нашёл. Спасибо заранее!

> Добрый день всем!
> У нас происходит физическое объединение двух предприятий - съезжаемся в одно здание.
> И там, и там используем openvpn для различных нужд, в т.ч.
> и для доступа сотрудников в корпоративную сеть. В сумме абонентов около
> 150 человек. Можно как-то объединить конфигурации (ключи), чтобы не обходить всех
> переходящих сотрудников? Или надо перегенерировать ключи заново? Есть у кого опыт?
> Мне гугл пока не помог. Я пока не теряю надежды, перечитываю
> доку, но рецепта пока не нашёл. Спасибо заранее!

Есть несколько вопросов, в зависимости от которых ответ будет "да" или "нет".

1) Если в качестве ключей используются сертификаты от своих центров сертификации, то ключи перегенерировать не требуется. Вы в качестве корневого (доверенного) сертификата можете на сервере и на клиентах указать не один, а несколько. Вам придется всё-таки обновить конфигурацию, добавив второй корневой сертификат - ведь иначе половина сотрудников не будут "доверять" серверу (в зависимости от того, какой именно серверный сертификат вы оставите).
2) Если используются дополнительные возможности в части взаимодействия с клиентами (например, "привязка к конкретным адресам", наличие серверов и подсетей "за клиентами" и прочее) - надо это разбирать в частном порядке. Здесь надо смотреть по конкретным случаям.
3) Используется ли второй фактор авторизации (когда сервер запрашивает дополнительно пароль)

Рецепт "на минималках" может выглядеть примерно так. Это применимо, если у вас простая настройка и из пунктов 2 и 3 выше ничего вами не используется. Обозначим ca1.pem, server1.pem, server1.key, dh1.pem, client1.pem, client1.key - то, что относится к первой организации, а с цифрой 2 - то, что относится ко второй. Давайте решим, что мы оставляем на сервере сертификат от первой организации. Тогда:
0) Обязательный бекап конфигурации VPN.
1) Добавляем второй корневой сертификат в список доверенных: cat ca2.pem >> ca1.pem (обратите внимание на двойной знак >>) или можете просто объединить эти два файла в любом текстовом редакторе.
2) Полученный файл на сервере (ca1.pem), dh1.pem (им заменяем файл dh2.pem на клиентах - если используется настройка "dh" в конфигурации клиентов), новый адрес сервера (изменяем парамерт remote в конфигурациях клиентов) распространяем среди клиентов ВТОРОЙ компании

В реальной жизни этот путь я проходил больше 8 лет назад, поэтому мог что-то забыть.

P.S. Вы же можете, в принципе, просто второй VPN сервер просто разместить у себя и настроить маршрутизацию до ресурсов организации на втором сервере. Тогда вообще "клиентов" обходить не придется, а просто постепенно вместе с сертификатами всех клиентов переведете на общий сервер. Только емкость сети VPN увеличьте - 150 клиентов не поместятся в стандартную подсеть из 256 адресов, так как подключение каждого клиента требует себе два адреса.

> Если включить шифрование, т.е. SSL, и отправлять письма по 465 порту, возникает
> ошибка "Невозможно подключиться к SMTP хосту",

Точно 465, а не 587?

> при этом в логах сервера такая картина:

И кто из них твой рекодер?

>

Apr  5 13:00:00 mail postfix/smtpd[28191]: connect from ip-5729.redline.net[93.44.86.56] 
> Apr  5 13:00:00 mail postfix/smtpd[28191]: lost connection after UNKNOWN from ip-5729.redline.net[93.44.86.56] 
Если судить по этому сообщению, то сработала проверка PTR
nslookup 93.44.86.56
╚ь :     93-44-86-56.ip96.fastwebnet.it
Address:  93.44.86.56
nslookup ip-5729.redline.net
*** dns.yandex.ru не удалось найти ip-5729.redline.net: Non-existent domain
Как видим, такого хоста ip-5729.redline.net  в прямой зоне вообще нет, а в обратной Италия.  На уровне DNS нарушение RFC 1912  пункт 2.1 
Если хост 93.44.86.56  точно ваш, то исключите  его из проверок PTR и занесите  в доверенные в конфиге постфикса.

> Ув. коллеги.
> На днях меня очередной модный девопс ввел в тяжелое состояние рассказом про
> обновление red-hat подобной системы исключительно черерез yum update && reboot.
> Подскажите пожалуйста, действительно ли достаточно, либо что то нужно все же делать
> кроме этого(если да, есть ли официальные руководства для этого)?
>  Заранее спасибо

rpm-based дистрибутивы уже пару лет как используют dnf и вся документация содержит именно отсылки к этой утилите. Yum же там представляет просто представление команды dnf. Документация у red hat действительно хорошая.  По поводу того достаточно ли просто обновления пакетов и перезапуска сложно сказать по той причине, что если допустим используется драйвер nvidia (поставляемый бинарником) то его может потребоваться переустановить вручную

> Ув. коллеги.
> На днях меня очередной модный девопс ввел в тяжелое состояние рассказом про
> обновление red-hat подобной системы исключительно черерез yum update && reboot.
> Подскажите пожалуйста, действительно ли достаточно, либо что то нужно все же делать
> кроме этого(если да, есть ли официальные руководства для этого)?
>  Заранее спасибо!

В идеальном мире - да. Когда из Yum репо прилетит пакет, который всё сделает. Например.

Сложность в том, что так админить мало кто умеет из админов, и немного кто-то из девопсов.

А если абстрактно, то да, можно..., но чаще примерно вот так: https://www.tecmint.com/upgrade-centos-7-to-centos-8/

>[оверквотинг удален]
> #   sieve_vacation_dont_check_recipient = yes
> #   sieve_vacation_send_from_recipient = yes
> Если нужны еще логи говорите какие, скину.
> Реально не пойму в чем дело... Никак. Без вас не справлюсь!
> Спасибо, за любую помощь!
> P.S. В логах dovecot.log еще такое: Info: conn unix:auth-worker (pid=248417,uid=117):
> auth-worker<641>: sql(kazakov@domain.com,127.0.0.1,<Misc+g75iIl/AAAB>): unknown
> user
> <U04qOA/5KKxX+uuT>): unknown user
> Но думаю это не влияет на полет?

managesieve.conf
protocols = $protocols sieve

# Service definitions

service managesieve-login {
  inet_listener sieve {
    port = 4190
  }
}

https://forum.openwrt.org/t/high-average-load-but-low-cpu-us...

Чем тебе down интерфейсы помешали? ))

>> Команда find показывает, что интерфейс туннеля sit0 значится в следующих папках:\
>> find / -name "sit0*" -print

они как бы не там значатся )))

Забыл написать. Руками снапы удаляются.

Что выяснил:

Саноид удаляет по расписанию снимки с префиксом autosnap_. Снимки, с префиксом syncoid_ он не трогает и трогать не будет (https://github.com/jimsalterjrs/sanoid/issues/25).

Снимки syncoid_, это технические снимки на момент непосредственно запуска syncoid. Они остаются в следствие неудачно завершённой синхронизации, и удалятся, при первой удачной.

Конкретно в моём случае на сервере кончилось место. На резервируемых серверах я бессознательно выделял место, хотя и знал, что места у меня не так уж много. В общем добавил дисков и, надеюсь, со мной такого больше не случится. Как разгребусь, буду искать или делать правило для zabbix, буду признателен, если кто-нибудь подкинет ссылку. Миру - мир!

>[оверквотинг удален]
>            
>            
>            
>            
>       }
>         };
> Filesystem bigpool/encrypted/subvol-103-disk-2 has:
>      0 total snapshots (no current snapshots)
> INFO: pruning snapshots...
> Спасибо!

>[оверквотинг удален]
> Такие ошибки сигнализируют об одной из следующих ситуаций:
> Клиентская программа не выполнила mysql_close() перед выходом.
> Клиент бездействовал на протяжении более чем wait_timeout или interactive_timeout (see
> section 4.5.6.4 SHOW VARIABLES).
> Клиентская программа внезапно завершилась посреди передачи.
> Вполне возможно это связано с roundcube< возможно mysql считает их долгоожидающими клиентами.
> Возможно кто-то  сталкивался с такой ошибкой и подскажет, что делать? Может
> тайминги повысить в mysql?
> Или этот варнинг не критичен и на него можно вполне забить?
> Заранее спасибо всем откликнувшимся!

show variables like '%connections';
+-----------------------+-------+
| Variable_name         | Value |
+-----------------------+-------+
| extra_max_connections | 1     |
| max_connections       | 500   |
| max_user_connections  | 0  

>[оверквотинг удален]
> Такие ошибки сигнализируют об одной из следующих ситуаций:
> Клиентская программа не выполнила mysql_close() перед выходом.
> Клиент бездействовал на протяжении более чем wait_timeout или interactive_timeout (see
> section 4.5.6.4 SHOW VARIABLES).
> Клиентская программа внезапно завершилась посреди передачи.
> Вполне возможно это связано с roundcube< возможно mysql считает их долгоожидающими клиентами.
> Возможно кто-то  сталкивался с такой ошибкой и подскажет, что делать? Может
> тайминги повысить в mysql?
> Или этот варнинг не критичен и на него можно вполне забить?
> Заранее спасибо всем откликнувшимся!

добавил в 50-server.cnf

wait_timeout=300
Посмотрю чего получится

>[оверквотинг удален]
> Такие ошибки сигнализируют об одной из следующих ситуаций:
> Клиентская программа не выполнила mysql_close() перед выходом.
> Клиент бездействовал на протяжении более чем wait_timeout или interactive_timeout (see
> section 4.5.6.4 SHOW VARIABLES).
> Клиентская программа внезапно завершилась посреди передачи.
> Вполне возможно это связано с roundcube< возможно mysql считает их долгоожидающими клиентами.
> Возможно кто-то  сталкивался с такой ошибкой и подскажет, что делать? Может
> тайминги повысить в mysql?
> Или этот варнинг не критичен и на него можно вполне забить?
> Заранее спасибо всем откликнувшимся!

Добавил в 50-server.cnf:
wait_timeout=300
Посмотрим, что получится

acl_check_mime:
        deny
                message         = We do not accept attachments : $mime_filename
                condition       = ${if match{$mime_filename}{\N\.(rar|zip|7zip|gz|bz2|bzip2)$\N}}
                decode = default
accept

> Доброго времени суток всем! Собсно, сабж! Помнится, 4-ка-8-ка укладывались в гиг с
> небольшим, а тут на днях решил встряхнуть стариной - /usr 3,2
> гига забился на 107% где-то на середине. :( В гугле все
> утвержают, что полутора гиг - за глаза, в хэндбуке тоже схожие
> сведения... А на деле как-то оно не так совсем... :(

для 13.1
/usr/src  2-3Gb
/usr/obj  5-10Gb
это фактическое потребление в зависимости от размера "кластера"

поэтому встряхивать стоит на 30Gb+
Надо же еще место куда все это ставить и еще свободное 10%, шоб UFS/ZFS не тупило.

полутора гиг - это наверно про бинарную установку, мир с таким не соберешь.

> конфиги:
> main.cf
> content_filter = scan:[127.0.0.1]:10024

установлен header_checks ?

$spam_quarantine_to указано в /etc/amavis/conf.d/50-user (если deb-дистрибутив)

>[оверквотинг удален]
> $sa_tag2_level_deflt = 6.31; # add 'spam detected' headers at that level
> $sa_kill_level_deflt = 6.31; # triggers spam evasive actions
> $sa_dsn_cutoff_level = 10;   # spam level beyond which a DSN
> is not sent
> $final_virus_destiny      = D_DISCARD;  # (data not
> lost, see virus quarantine)
> $final_banned_destiny     = D_DISCARD;
> $final_spam_destiny       = D_PASS;
> $final_bad_header_destiny = D_PASS;     # False-positive prone (for spam)
> Спасибо за любую помощь!

Вот, получилось решить, если кому-то интересно, может кому-то время сэкономлю.

Если Вы используете виртуальные домены, то amavis напрямую нужно указать, что они являются локальными. Тогда он будет вставлять заголовки и проверять на спам письма.
/etc/amavis/conf.d/50-user добавил:

@lookup_sql_dsn = (['DBI:mysql:db_name;host=127.0.0.1;port=3306', 'user', 'passwd']);
$sql_select_policy = 'SELECT domain FROM domains WHERE CONCAT("@",domain) IN (%k)';

Всем спасибо за помощь!

Я бы первы делом проверил наличие диеза в конце crontab, а потом собрал бы это в башскрипт и запускал уже его.

В какой crontab добавил? /etc/crontab, crontab -e, /etc/cron.d, /etc/cron.hourly (monthly, daily)? Потому что в первом случае необходимо указывать пользователя, например. Ну и а также which cron и cat /etc/*-release

> Добавил в crontab задание:
> */1 * * * * /usr/bin/python /media/sf_soft/vsc/ping1.py; sleep 20; /usr/bin/python /media/sf_soft/vsc/ping1.py;
> sleep 20; /usr/bin/python /media/sf_soft/vsc/ping1.py
> Но не запустилось.

А вы уверены, что "не запустилось"? Что логи говорят, например syslog?

$ grep CRON /var/log/syslog
Mar  6 11:17:01 mdp-master-1 CRON[16871]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
Mar  6 11:17:01 mdp-master-1 CRON[16873]: (ist) CMD (/home/ist/scripts/check_mdp_containers.sh &)

И, как коллеги выше правильно заметили, неплохо бы вывод отладки включить. Для начала хотя бы так:

*/1 * * * * /usr/bin/python /media/sf_soft/vsc/ping1.py 1>>/tmp/my.log 2>>/tmp/my.log

Изучение вывода может многое подсказать.
За одно неплохо бы разобраться где именно создано задание, в личном кроне или нет.

Разобрался частично.
Проблема  была в том, что поток, который не виделся, был в VLAN.
Возник вопрос - как сделать так, чтоб сетевой интерфейс пропускал внутрь потоки вне зависимости от VLAN (как это работает на виндовой машине) ?

> не вижу смысла

С таким заходом тут скорее получишь аналогичный ответ:
> не вижу смысла

>[оверквотинг удален]
> Centos 7
> Exim+Dovecot+Roundcube+Sieve
> Пытаюсь настроить фильтрацию почты. Фильтр создаю в кубике, но он не отрабатывает.
> Серв находится у хостера. Пробовал обращаться в ТП хостера, они слились.
> Говорят, якобы, deliver не стартует автоматом.
> Прошу помощи у более продвинутых людей в этом вопросе.
> Выкладывать здесь все портянки конфигов, не вижу смысла, поэтому готов предоставить необходимую
> инфу по запросу.
> Заранее благодарен в помощи.
> Спасибо.

Подскажите, как правильно зайти, что надо предоставить, какие конфиги??? Просто я настраивал по некоторым манам инета.

> Возник вот такой вопрос:
> какова длительность работы передатчика Wifi при отправке 1 IP-пакета?
> По другому, если IP-пакеты отправляются скажем по 100 пакетов в сек. сколько
> времени за эту секунду работает передатчик Wi-Fi?

Вопрос сферический и в вакууме.
1. Какой стандарт вафли? А то знаете ли между b и ac "небольшая" разница да есть.
2. Какой размер пакета?
3. Какие именно пакеты tcp/udp/icmp ?
4. Ретрансмиты тоже могут иметь место быть.
5. Откуда и куда отправляются? А то может принимающая сторона на 2400/none сидит и вы например ждете подтверждения tcp пакета.

In any case, based on this logic, in theory the maximum time a packet can exist in the network is 4.25 minutes (255 seconds).

В какой секции делаете?

>[оверквотинг удален]
>   transport = remote_smtp
>   route_data = ${lookup{$domain}lsearch{/usr/local/etc/exim/exchange}}
>   no_more
> /usr/local/etc/exim/exchange
> domain.ru: x.x.x.x::25
> По такой схеме ВСЯ почта перенаправляется на Exchange. Читал мануал, искал в
> интернете решение, но не нашел.
> Буду очень признателен в помощи решения данного вопроса.
> FreeBSD 13.1
> Exim - 4.96

В секции Route

в логах то что? не просто же так винбинды запускаются и запускаються.

> Добрый день.
> Есть сервер freebsd 11. Он является шлюзом, vpn-сервером, а также на нем
> установлена samba.
> Вчера днем, на сервере стали создаваться процессы "/usr/local/sbin/winbindd -d 1 --configfile=/usr/local/etc/smb4.conf".
> За полтора дня их создалось примерно 300 шт.
> После ребута сервера, процессы начали создаваться заново.
> Подскажите пожалуйста в чем может быть причина.

Включить логгирование самбы и посмотреть эти логи.

> Недавно стали в exim появляется такой лог:

Велик могучим русских языка!

>[оверквотинг удален]
> Недавно стали в exim появляется такой лог:
> 2023-01-16 10:14:56 1pHKds-0005gz-JZ <= <> H=124.18.229.35.bc.googleusercontent.com
> (02ca8320cfa9838ecd672eaafe3b5410b9bc) [35.229.18.124] P=esmtpa A=plain_server:
> S=17314 id=228ec7648bedc7ca89236aeeba7f10f94105@hotmail.com
> 2023-01-16 10:14:58 1pHKds-0005gz-JZ => dialogoo@rtij.nl R=dnslookup T=remote_smtp
> H=strange.soleus.nu [94.142.246.148] X=TLS1.3:ECDHE_RSA_AES_256_GCM_SHA384:256
> CV=yes K C="250 2.0.0 Ok: 17960 bytes queued as 22C9B5FFFC"
> 2023-01-16 10:14:58 1pHKds-0005gz-JZ Completed
> Т.е. происходит каким-то образом отправка спама. И не указано акаунт (A=plain_server:)
> из под которого была отправка. Кто-нибудь сталкивался с таким?

Владимир, выпилите реле и не подставляйте свой exim первому встречному.

>[оверквотинг удален]
> Недавно стали в exim появляется такой лог:
> 2023-01-16 10:14:56 1pHKds-0005gz-JZ <= <> H=124.18.229.35.bc.googleusercontent.com
> (02ca8320cfa9838ecd672eaafe3b5410b9bc) [35.229.18.124] P=esmtpa A=plain_server:
> S=17314 id=228ec7648bedc7ca89236aeeba7f10f94105@hotmail.com
> 2023-01-16 10:14:58 1pHKds-0005gz-JZ => dialogoo@rtij.nl R=dnslookup T=remote_smtp
> H=strange.soleus.nu [94.142.246.148] X=TLS1.3:ECDHE_RSA_AES_256_GCM_SHA384:256
> CV=yes K C="250 2.0.0 Ok: 17960 bytes queued as 22C9B5FFFC"
> 2023-01-16 10:14:58 1pHKds-0005gz-JZ Completed
> Т.е. происходит каким-то образом отправка спама. И не указано акаунт (A=plain_server:)
> из под которого была отправка. Кто-нибудь сталкивался с таким?

Судя по логам это простой штатный рикошет. То есть служебное сообщение от пустого пользователя, которое содержит информацию о невозможности доставки. Рикошет возникает в ответ на входящее письмо на несуществующий твой адрес.

orapwd, 'sys@<TNS> as sysdba' не использует пароль из БД, а из парольного файла

>[оверквотинг удален]
> cc -c -DPERL_CORE -DHAS_FPSETMASK -DHAS_FLOATINGPOINT_H -DUSE_THREAD_SAFE_LOCALE -fno-strict-aliasing
> -pipe -fstack-protector-strong -I/usr/local/include -std=c99 -O2 -pipe -fstack-protector-strong
> -fno-strict-aliasing -Wall -Werror=pointer-arith -Werror=vla -Wextra -Wno-long-long
> -Wno-declaration-after-statement -Wc++-compat -Wwrite-strings -DPIC -fPIC locale.c
> locale.c:5615:55: error: use of undeclared identifier 'PL_C_locale_obj'
>         if (cur_obj != LC_GLOBAL_LOCALE
> && cur_obj != PL_C_locale_obj) {
> При ручной установке из дистрибутива проблема не наблюдается.
> Как обойти (решить проблему)? Установив perl вручную, при обновлении любого другого пакета
> portupgrade снова пытается собирать perl из порта и выдает ошибку.

FreeBSD 11.4 errata fix branch (not officially supported).

1.go to /usr/ports/lang/per5.34(36)
2.run "make config" and deselect PERL_MALLOC option
3.now retry make install

> нужно контейнер вывести не через тот который основной

выводи, разрешаем
а если серьёзно - позовите админа, за деньги, вы девляпсы не доросли ещё до понимания маршрутизации, в том числе PBR, пакетных фильтров, натов итд итп
вы даже не доросли до того чтоб вопрос нормально задать, вот окуда нам знать что у вас там с сетью на хосте и на контэйнерах накручено? по предоставленным тобой данным нормальный ответ даже гадалки дать не смогут  

> токая ситуация товарищи, нужна ваша помощь
> есть docker контейнер и несколько внешних ip
> нужно контейнер вывести не через тот который основной
> заранее спасибо

docker по default формирует правила masq, а раз masq -- значит snat происходит согласно правила маршрутизации. Соответственно, еесли в рутинг будет прописаны соответствующая маршрутизация то и работать будет соответственно.
В mangle маркаем пакета по входящему интерфейсу, в rule прописываем таблицу, в таблице указываем default маршрут.
Ну, или тупо вместо default masq прописываем -j snat

>[оверквотинг удален]
>  - по возможности, ссылка должна быть адресована конкретному сотруднику
>  - ссылки должны автоматически аннулироваться со временем
>  - файлы не должны храниться в общей куче, чтобы избежать просмотра/скачки
> другими пользователями
>  - должен вестись лог доступа к таким файлам
> Что можно использовать для этого?
> PS: пока идея - некоторый сервис, в который можно заливать файлы и
> получать ссылку, ссылку кидаем в мессенджер, после получения файла получателем, ссылка
> удаляется, файл остается, логи пишутся, чтобы потом можно было посмотреть что,
> кто и кому.

а харды пользователей ты уже шифруешь или нет?

Вайфай тоже выпилил или ещё нет?

Прямо сейчас по СТС идет какая-то часть "Миссия невыполнима".
"Красный портфель" - тебе подойдет лучше всего.

Что вы как маленькие?

Сотрудник А. с правами доступа к Коммерческой Тайне пишет заявление в Службу Безопастности с обоснованием необходимости предоставления доступа к Коммерческой Тайне сотруднику Б.
После того как заявление было завизировано Начальником Службы Безопастности и Генеральным Директором
пользователь А. распечатывает документ на бланках с соответсвующим грифом секретности и помещает документ содержащий Коммерческую Тайну в папку цвет которой соответсвуют уровню секретности документа.

Также распечатывается документ с правилами обращения информацией содержащей Коммерческую Тайну и перечислением анальных кар вслучае нарушения оных правил в 3х экземплярах.

После подписания сотрудником Б. соответсвующего Документа Об Анальных Карах всё заносится в соответсвующий журнал находящийся в ведении Службы Безопстности и подписывается сотрудниками А. Б. и сотрудником Службы Безопастности.

Из доступного в опенсорсе - ближе всего Nextcloud. Там есть механизмы шаринга файлов на юзера и на группу юзеров. Вы шарите - у юзера в его файловой иерархии файл "появляется". Можно отозвать и файл исчезнет. Срок действия есть. По ссылке там тоже есть, но доступ анонимный. Аудита из коробки нет толкового. Даже не думайте, что сами сможете что-то в нем допиливать - не потянете. Подойдет как есть - берите. Нет - нет.

Более хардкорное решение - minio. Ссылки на скачивание создавать можно, политики доступа и идентити менеджмент там тоже есть.
https://min.io/docs/minio/linux/reference/minio-mc/mc-share-...
https://min.io/docs/minio/linux/administration/identity-acce...
https://min.io/docs/minio/linux/administration/identity-acce...
Совместимость по апи с S3 как приятный бонус - клиенты, fuse. Высокая производительность.

>[оверквотинг удален]
>  - по возможности, ссылка должна быть адресована конкретному сотруднику
>  - ссылки должны автоматически аннулироваться со временем
>  - файлы не должны храниться в общей куче, чтобы избежать просмотра/скачки
> другими пользователями
>  - должен вестись лог доступа к таким файлам
> Что можно использовать для этого?
> PS: пока идея - некоторый сервис, в который можно заливать файлы и
> получать ссылку, ссылку кидаем в мессенджер, после получения файла получателем, ссылка
> удаляется, файл остается, логи пишутся, чтобы потом можно было посмотреть что,
> кто и кому.

Почитайте https://wiki.astralinux.ru - особенно на предмет мандатного доступа. Они там даже на гос.уровне сертификацию прошли и на академическом уровне доказали защищенность своей разработки. Там (в вике) много на эту тему интересного. Может, натолкнёт на дельные мысли. Может, вам, вообще, сама астра подойдёт...

Пожалуйста, без обид.

Может не стоит с такими, как у тебя, знаниями базовых сетевых технологий, поднимать собственный почтовый сервер? Может где-нибудь на Гугле или Яндексе почту арендуешь? Это совсем не дорого. Тем более, домен ты уже купил.

В интернете уже ТАК много спама! Не усугубляй.

твой сервер по 25 порту недоступен снаружи

https://mxtoolbox.com/SuperTool.aspx?action=smtp%3a146....

>[оверквотинг удален]
> c ya.ru:
> Status: 4.4.1
> Diagnostic-Code: X-Yandex; connect to mail.titovym.ru[146.66.174.166]:25:
>     Connection timed out
> Не сказать, что я с большим пониманием копировал конфиги уже 13 раз
> с перепроверкой. Готов предоставить, если кто готов читать, целиком или частью.
> Просто есть ощущение что я глобально толкаю дверь не в ту
> сторону. Внутри сервера от виртуальных пользователей почта ходит без проблем. Наружу
> - без проблем. Обратно - не отвечает. Файрвол открыт, нат проброшен,
> порты слушаются, летсэнкрипт получен. Помогите, кто чем может...

1.
146.66.174.166    -  это лично твой адрес, выделенный тебе провайдером  на постоянно?
Если нет, то запрашивай такой у прова. И пока не получишь, о своем почтовике забудь.
Выделенный белый IP услуга платная, но не дорогая.

Если  этот адрес точно твой, то на фаервол у тебя 25  порт закрыт . Смотри на рутере к прову  и в Centos  в Firewalld
2.  
nslookup  146.66.174.166

╚ь :     mail.titov.tk
Address:  146.66.174.166

mail.titov.tk   НЕ РАВНО  mail.titovym.ru
FQDN в прямой и обратной зоне не совпадают, а по RFC 1912  2.1 для почтовиков должны совпадать.  Нужно править имя в обратной зоне, для этого нужно обратиться к провайдеру.
Это инфа на будущее.

P.S.
И таки да, https://biz.mail.ru/mail/private/   до 5000  ящиков  бесплатно.

> Доброй консоли,
> Пытаюсь развернуть собственный домашний почтовый сервер, postfix + dovecot. Без изысков,
> в минимальной конфигурации. Арендовал себе имя,
> dig txt @77.88.8.2 titovym.ru +short
> "v=spf1 ip4:146.66.174.166 mx:mail.titovym.ru ~all"

Посмотри что о тебе расскажет https://mxtoolbox.com/
https://mxtoolbox.com/SuperTool.aspx?action=mx%3atitovy...

добавляю вывод radiusd -X при попытке аутентификации пользовател

занчени if (0)

Ready to process requests
(0) Received Access-Request Id 254 from 10.8.150.118:1645 to 10.70.42.77:1645 length 178
(0)   User-Name = "host/WNAMTest.stand.ru"
(0)   Service-Type = Framed-User
(0)   Framed-MTU = 1504
(0)   Called-Station-Id = "00-17-E0-1C-15-87"
(0)   Calling-Station-Id = "00-E0-4C-31-0E-67"
(0)   EAP-Message = 0x0201001b01686f73742f574e414d546573742e7374616e642e7275
(0)   Message-Authenticator = 0x05f0beadc58cb570784f655631e40bff
(0)   NAS-Port-Type = Ethernet
(0)   NAS-Port = 50005
(0)   NAS-Port-Id = "FastEthernet0/5"
(0)   NAS-IP-Address = 10.8.150.118
(0) # Executing section authorize from file /etc/raddb/sites-enabled/inner-tunnel
(0)   authorize {
(0)     policy filter_username {
(0)       if (&User-Name) {
(0)       if (&User-Name)  -> TRUE
(0)       if (&User-Name)  {
(0)         if (&User-Name =~ / /) {
(0)         if (&User-Name =~ / /)  -> FALSE
(0)         if (&User-Name =~ /@[^@]*@/ ) {
(0)         if (&User-Name =~ /@[^@]*@/ )  -> FALSE
(0)         if (&User-Name =~ /\.\./ ) {
(0)         if (&User-Name =~ /\.\./ )  -> FALSE
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))   -> FALSE
(0)         if (&User-Name =~ /\.$/)  {
(0)         if (&User-Name =~ /\.$/)   -> FALSE
(0)         if (&User-Name =~ /@\./)  {
(0)         if (&User-Name =~ /@\./)   -> FALSE
(0)       } # if (&User-Name)  = notfound
(0)     } # policy filter_username = notfound
(0)     [chap] = noop
(0)     [mschap] = noop
(0) suffix: Checking for suffix after "@"
(0) suffix: No '@' in User-Name = "host/WNAMTest.stand.ru", looking up realm NULL
(0) suffix: No such realm "NULL"
(0)     [suffix] = noop
(0)     update control {
(0)       &Proxy-To-Realm := LOCAL
(0)     } # update control = noop
(0) eap: Peer sent EAP Response (code 2) ID 1 length 27
(0) eap: EAP-Identity reply, returning 'ok' so we can short-circuit the rest of authorize
(0)     [eap] = ok
(0)   } # authorize = ok
(0) Found Auth-Type = eap
(0) # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
(0)   authenticate {
(0) eap: Peer sent packet with method EAP Identity (1)
(0) eap: Calling submodule eap_peap to process data
(0) eap_peap: Initiating new TLS session
(0) eap_peap: [eaptls start] = request
(0) eap: Sending EAP Request (code 1) ID 2 length 6
(0) eap: EAP session adding &reply:State = 0x8e1144788e135d5a
(0)     [eap] = handled
(0)   } # authenticate = handled
(0) Using Post-Auth-Type Challenge
(0) Post-Auth-Type sub-section not found.  Ignoring.
(0) # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
(0) Sent Access-Challenge Id 254 from 10.70.42.77:1645 to 10.8.150.118:1645 length 0
(0)   EAP-Message = 0x010200061920
(0)   Message-Authenticator = 0x00000000000000000000000000000000
(0)   State = 0x8e1144788e135d5aaaf63b261b53a370
(0) Finished request
Waking up in 4.9 seconds.
(1) Received Access-Request Id 255 from 10.8.150.118:1645 to 10.70.42.77:1645 length 373
(1)   User-Name = "host/WNAMTest.stand.ru"
(1)   Service-Type = Framed-User
(1)   Framed-MTU = 1504
(1)   Called-Station-Id = "00-17-E0-1C-15-87"
(1)   Calling-Station-Id = "00-E0-4C-31-0E-67"
(1)   EAP-Message = 0x020200cc1980000000c216030300bd010000b90303639061b3946a0116999001e2cec4eebcc744aa45dd6d3db2d7101612d3e71cf720813f3268239d3d77179cefc9e73f95ba89586d214ebee8e831a945798c53993a002ac02cc02bc030c02f009f009ec024c023c028c027c00ac009c014c013009d009c003d003c0035002f000a01000046000500050100000000000a00080006001d00170018000b00020100000d001a00180804080508060401050102010403050302030202060106030023000000170000ff01000100
(1)   Message-Authenticator = 0x57980fece321d5b7e48eb9f464877726
(1)   NAS-Port-Type = Ethernet
(1)   NAS-Port = 50005
(1)   NAS-Port-Id = "FastEthernet0/5"
(1)   State = 0x8e1144788e135d5aaaf63b261b53a370
(1)   NAS-IP-Address = 10.8.150.118
(1) session-state: No cached attributes
(1) # Executing section authorize from file /etc/raddb/sites-enabled/inner-tunnel
(1)   authorize {
(1)     policy filter_username {
(1)       if (&User-Name) {
(1)       if (&User-Name)  -> TRUE
(1)       if (&User-Name)  {
(1)         if (&User-Name =~ / /) {
(1)         if (&User-Name =~ / /)  -> FALSE
(1)         if (&User-Name =~ /@[^@]*@/ ) {
(1)         if (&User-Name =~ /@[^@]*@/ )  -> FALSE
(1)         if (&User-Name =~ /\.\./ ) {
(1)         if (&User-Name =~ /\.\./ )  -> FALSE
(1)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
(1)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))   -> FALSE
(1)         if (&User-Name =~ /\.$/)  {
(1)         if (&User-Name =~ /\.$/)   -> FALSE
(1)         if (&User-Name =~ /@\./)  {
(1)         if (&User-Name =~ /@\./)   -> FALSE
(1)       } # if (&User-Name)  = notfound
(1)     } # policy filter_username = notfound
(1)     [chap] = noop
(1)     [mschap] = noop
(1) suffix: Checking for suffix after "@"
(1) suffix: No '@' in User-Name = "host/WNAMTest.stand.ru", looking up realm NULL
(1) suffix: No such realm "NULL"
(1)     [suffix] = noop
(1)     update control {
(1)       &Proxy-To-Realm := LOCAL
(1)     } # update control = noop
(1) eap: Peer sent EAP Response (code 2) ID 2 length 204
(1) eap: Continuing tunnel setup
(1)     [eap] = ok
(1)   } # authorize = ok
(1) Found Auth-Type = eap
(1) # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
(1)   authenticate {
(1) eap: Expiring EAP session with state 0x8e1144788e135d5a
(1) eap: Finished EAP session with state 0x8e1144788e135d5a
(1) eap: Previous EAP request found for state 0x8e1144788e135d5a, released from the list
(1) eap: Peer sent packet with method EAP PEAP (25)
(1) eap: Calling submodule eap_peap to process data
(1) eap_peap: Continuing EAP-TLS
(1) eap_peap: Peer indicated complete TLS record size will be 194 bytes
(1) eap_peap: Got complete TLS record (194 bytes)
(1) eap_peap: [eaptls verify] = length included
(1) eap_peap: (other): before SSL initialization
(1) eap_peap: TLS_accept: before SSL initialization
(1) eap_peap: TLS_accept: before SSL initialization
(1) eap_peap: <<< recv TLS 1.3  [length 00bd]
(1) eap_peap: TLS_accept: SSLv3/TLS read client hello
(1) eap_peap: >>> send TLS 1.2  [length 003d]
(1) eap_peap: TLS_accept: SSLv3/TLS write server hello
(1) eap_peap: >>> send TLS 1.2  [length 0903]
(1) eap_peap: TLS_accept: SSLv3/TLS write certificate
(1) eap_peap: >>> send TLS 1.2  [length 014d]
(1) eap_peap: TLS_accept: SSLv3/TLS write key exchange
(1) eap_peap: >>> send TLS 1.2  [length 0004]
(1) eap_peap: TLS_accept: SSLv3/TLS write server done
(1) eap_peap: TLS_accept: Need to read more data: SSLv3/TLS write server done
(1) eap_peap: TLS - In Handshake Phase
(1) eap_peap: TLS - got 2725 bytes of data
(1) eap_peap: [eaptls process] = handled
(1) eap: Sending EAP Request (code 1) ID 3 length 1004
(1) eap: EAP session adding &reply:State = 0x8e1144788f125d5a
(1)     [eap] = handled
(1)   } # authenticate = handled
(1) Using Post-Auth-Type Challenge
(1) Post-Auth-Type sub-section not found.  Ignoring.
(1) # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
(1) Sent Access-Challenge Id 255 from 10.70.42.77:1645 to 10.8.150.118:1645 length 0
(1)   EAP-Message = 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
(1)   Message-Authenticator = 0x00000000000000000000000000000000
(1)   State = 0x8e1144788f125d5aaaf63b261b53a370
(1) Finished request
Waking up in 4.9 seconds.
(2) Received Access-Request Id 0 from 10.8.150.118:1645 to 10.70.42.77:1645 length 175
(2)   User-Name = "host/WNAMTest.stand.ru"
(2)   Service-Type = Framed-User
(2)   Framed-MTU = 1504
(2)   Called-Station-Id = "00-17-E0-1C-15-87"
(2)   Calling-Station-Id = "00-E0-4C-31-0E-67"
(2)   EAP-Message = 0x020300061900
(2)   Message-Authenticator = 0xaf565cd95e610e00b93fc948a081b99d
(2)   NAS-Port-Type = Ethernet
(2)   NAS-Port = 50005
(2)   NAS-Port-Id = "FastEthernet0/5"
(2)   State = 0x8e1144788f125d5aaaf63b261b53a370
(2)   NAS-IP-Address = 10.8.150.118
(2) session-state: No cached attributes
(2) # Executing section authorize from file /etc/raddb/sites-enabled/inner-tunnel
(2)   authorize {
(2)     policy filter_username {
(2)       if (&User-Name) {
(2)       if (&User-Name)  -> TRUE
(2)       if (&User-Name)  {
(2)         if (&User-Name =~ / /) {
(2)         if (&User-Name =~ / /)  -> FALSE
(2)         if (&User-Name =~ /@[^@]*@/ ) {
(2)         if (&User-Name =~ /@[^@]*@/ )  -> FALSE
(2)         if (&User-Name =~ /\.\./ ) {
(2)         if (&User-Name =~ /\.\./ )  -> FALSE
(2)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
(2)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))   -> FALSE
(2)         if (&User-Name =~ /\.$/)  {
(2)         if (&User-Name =~ /\.$/)   -> FALSE
(2)         if (&User-Name =~ /@\./)  {
(2)         if (&User-Name =~ /@\./)   -> FALSE
(2)       } # if (&User-Name)  = notfound
(2)     } # policy filter_username = notfound
(2)     [chap] = noop
(2)     [mschap] = noop
(2) suffix: Checking for suffix after "@"
(2) suffix: No '@' in User-Name = "host/WNAMTest.stand.ru", looking up realm NULL
(2) suffix: No such realm "NULL"
(2)     [suffix] = noop
(2)     update control {
(2)       &Proxy-To-Realm := LOCAL
(2)     } # update control = noop
(2) eap: Peer sent EAP Response (code 2) ID 3 length 6
(2) eap: Continuing tunnel setup
(2)     [eap] = ok
(2)   } # authorize = ok
(2) Found Auth-Type = eap
(2) # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
(2)   authenticate {
(2) eap: Expiring EAP session with state 0x8e1144788f125d5a
(2) eap: Finished EAP session with state 0x8e1144788f125d5a
(2) eap: Previous EAP request found for state 0x8e1144788f125d5a, released from the list
(2) eap: Peer sent packet with method EAP PEAP (25)
(2) eap: Calling submodule eap_peap to process data
(2) eap_peap: Continuing EAP-TLS
(2) eap_peap: Peer ACKed our handshake fragment
(2) eap_peap: [eaptls verify] = request
(2) eap_peap: [eaptls process] = handled
(2) eap: Sending EAP Request (code 1) ID 4 length 1000
(2) eap: EAP session adding &reply:State = 0x8e1144788c155d5a
(2)     [eap] = handled
(2)   } # authenticate = handled
(2) Using Post-Auth-Type Challenge
(2) Post-Auth-Type sub-section not found.  Ignoring.
(2) # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
(2) Sent Access-Challenge Id 0 from 10.70.42.77:1645 to 10.8.150.118:1645 length 0
(2)   EAP-Message = 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
(2)   Message-Authenticator = 0x00000000000000000000000000000000
(2)   State = 0x8e1144788c155d5aaaf63b261b53a370
(2) Finished request
Waking up in 4.9 seconds.
(3) Received Access-Request Id 1 from 10.8.150.118:1645 to 10.70.42.77:1645 length 175
(3)   User-Name = "host/WNAMTest.stand.ru"
(3)   Service-Type = Framed-User
(3)   Framed-MTU = 1504
(3)   Called-Station-Id = "00-17-E0-1C-15-87"
(3)   Calling-Station-Id = "00-E0-4C-31-0E-67"
(3)   EAP-Message = 0x020400061900
(3)   Message-Authenticator = 0x1f56bf12588e8191c2539fa98dc4746f
(3)   NAS-Port-Type = Ethernet
(3)   NAS-Port = 50005
(3)   NAS-Port-Id = "FastEthernet0/5"
(3)   State = 0x8e1144788c155d5aaaf63b261b53a370
(3)   NAS-IP-Address = 10.8.150.118
(3) session-state: No cached attributes
(3) # Executing section authorize from file /etc/raddb/sites-enabled/inner-tunnel
(3)   authorize {
(3)     policy filter_username {
(3)       if (&User-Name) {
(3)       if (&User-Name)  -> TRUE
(3)       if (&User-Name)  {
(3)         if (&User-Name =~ / /) {
(3)         if (&User-Name =~ / /)  -> FALSE
(3)         if (&User-Name =~ /@[^@]*@/ ) {
(3)         if (&User-Name =~ /@[^@]*@/ )  -> FALSE
(3)         if (&User-Name =~ /\.\./ ) {
(3)         if (&User-Name =~ /\.\./ )  -> FALSE
(3)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
(3)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))   -> FALSE
(3)         if (&User-Name =~ /\.$/)  {
(3)         if (&User-Name =~ /\.$/)   -> FALSE
(3)         if (&User-Name =~ /@\./)  {
(3)         if (&User-Name =~ /@\./)   -> FALSE
(3)       } # if (&User-Name)  = notfound
(3)     } # policy filter_username = notfound
(3)     [chap] = noop
(3)     [mschap] = noop
(3) suffix: Checking for suffix after "@"
(3) suffix: No '@' in User-Name = "host/WNAMTest.stand.ru", looking up realm NULL
(3) suffix: No such realm "NULL"
(3)     [suffix] = noop
(3)     update control {
(3)       &Proxy-To-Realm := LOCAL
(3)     } # update control = noop
(3) eap: Peer sent EAP Response (code 2) ID 4 length 6
(3) eap: Continuing tunnel setup
(3)     [eap] = ok
(3)   } # authorize = ok
(3) Found Auth-Type = eap
(3) # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
(3)   authenticate {
(3) eap: Expiring EAP session with state 0x8e1144788c155d5a
(3) eap: Finished EAP session with state 0x8e1144788c155d5a
(3) eap: Previous EAP request found for state 0x8e1144788c155d5a, released from the list
(3) eap: Peer sent packet with method EAP PEAP (25)
(3) eap: Calling submodule eap_peap to process data
(3) eap_peap: Continuing EAP-TLS
(3) eap_peap: Peer ACKed our handshake fragment
(3) eap_peap: [eaptls verify] = request
(3) eap_peap: [eaptls process] = handled
(3) eap: Sending EAP Request (code 1) ID 5 length 743
(3) eap: EAP session adding &reply:State = 0x8e1144788d145d5a
(3)     [eap] = handled
(3)   } # authenticate = handled
(3) Using Post-Auth-Type Challenge
(3) Post-Auth-Type sub-section not found.  Ignoring.
(3) # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
(3) Sent Access-Challenge Id 1 from 10.70.42.77:1645 to 10.8.150.118:1645 length 0
(3)   EAP-Message = 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
(3)   Message-Authenticator = 0x00000000000000000000000000000000
(3)   State = 0x8e1144788d145d5aaaf63b261b53a370
(3) Finished request
Waking up in 4.9 seconds.

Информации как-то слишком мало чтобы попытаться помочь.

Но спрошу если можно - а почему такое старое использовать? 8 лет семерке, скоро и поддержка закончится.

Попробуйте что-нибудь новое, хотя бы девятку Rocky Linux, если хочется RHEL-based, может как-то само исправится?

в alsamixer включи научники

> Когда запускаю pavucontrol, в Playback видно, что приложение выдаёт его (дёргается синяя

Посмотри, куда именно выдаёт, может быть выбран какой-нибудь HDMI.