https://taisto.org/api.php?action=feedcontributions&user=Minh&feedformat=atom
Taisto - Käyttäjän muokkaukset [fi]
2024-03-28T17:46:00Z
Käyttäjän muokkaukset
MediaWiki 1.33.1
https://taisto.org/index.php?title=Cellmapper&diff=63939
Cellmapper
2019-10-12T13:18:03Z
<p>Minh: </p>
<hr />
<div><languages/><br />
<translate><br />
<br />
'''Tämä ohje on vanhentunut, uudempi ohje täälä: https://mt-tech.fi/cellmapper-mobiilitukiasemakartta/ <br />
'''<br />
<!--T:92--><br />
<div style="text-align: center; margin-bottom: 10px; padding: 3px; background-color: #D7DEF9;"><br />
[[Cellmapper|Käyttöohje]]<br />
[[Cellmapper/FAQ|UKK]]<br />
[[Cellmapper/Beta|Beta]]<br />
[[Cellmapper/Bugs|Bugit]]<br />
</div><br />
<br />
<!--T:1--><br />
Cellmapper on kätevä sovellus 2G/3G/4G tukiasemien paikantamiseen. Ohjelma mittaa loppukäyttäjällä toteutuvaa signaalivoimakkuutta sekä muita verkkotietoja ja niiden avulla mallintaa tukiasemien sijainnit ja kuuluvuuden kartalle. Cellmapperin karttojen tiedot perustuvat sovelluksen käyttäjien älypuhelimilla kerättyyn aineistoon. Sovellus on tuettuna Androidilla, Windows Mobilella ja BlackBerryllä, joista ainoastaan Android-sovellus on aktiivisesti ylläpidetty.<br />
<br />
<!--T:76--><br />
Cellmapperin palvelimet laskevat käyttäjien lähettämästä tiedosta graafisen esityksen Google Mapsin toimittamaan karttaan, jota voi selata suoraan sovelluksesta tai Cellmapperin Internet-sivulta. Malli ei kuitenkaan voi ottaa huomioon esim. muuttuvia tekijöitä, joten luotettavan datan saamiseksi tulisi mittaavaa puhelinta pitää mahdollisimman esteettömässä paikassa. Ihanteelinen mittausmaasto on mahdollisimman esteetöntä, kuten peltoaukeaa tai preeriaa, mutta esim. kaupungissa esteitä ei voi välttää. Mitatessa kannattaa liikkua 1/2-3/4 ympyrää eri etäisyyksillä oletetun tukiaseman ympärillä, jotta saisi mahdollisimman tarkkoja tuloksia. <br />
<br />
RSRP (Reference Signal Received Power) avulla näet oletko lähellä tukiasemaa. Mitä pienempi luki sen vahvempi yhteys on. Tämä myös luonnollisesti tarkoittaa että olet lähellä tukiasemaa. RSRP arvo voi olla -50 - 120 dBm välillä (joskus jopa alle -50dBm joka tarkoittaa että olet tukiaseman vieressä ja yli -120dBm tarkoittaa että tukiasemalle ei oikein ole yhteyttä enään). <br />
<br />
<!--T:77--><br />
Ohjelma tukee reaaliaikaista lähetystä, jolloin puhelimen keräämä data lähetetään Cellmapperin palvelimelle mittauksen lomassa. Voit myös lähettää datan mittauksien jälkeen, sekä uudelleenlähettää jo kerättyä dataa. Tiedostojen latauduttua palvelimelle, palvelin käsittelee ne muutamassa minuutissa, jos kuormitus on vähäistä. Jos palvelin on kovan kuormituksen alla, voi datan käsittely kestää useita tunteja - jopa päivän. Käsittelynopeuden hidastuminen on tiedostettu ongelma, jota on tulevaisuudessa on tarkoitus nopeuttaa.<br />
<br />
<!--T:25--><br />
Cellmapper ei ole vielä saatavilla IOS laitteille sen takia koska niiden käyttämä ohjelmisto estää käyttämästä verkko API:a. Osa Cellmapperin ominaisuuksista vaatii Androidin roottaamisen, mutta ohjelman käyttö onnistuu mainiosti ilman roottaamistakin.<br />
<br />
Cellmapper for Windows Phone on nyt BETA:na ja voit ilmoittautua täältä: http://murobbs.muropaketti.com/threads/cellmapping-cellmapper-client-windows-puhelimille-beta.1274567/<br />
<br />
<!--T:2--><br />
Sovelluksen käytössä on huomioitava:<br />
<br />
<!--T:3--><br />
* Suuri akun kulutus (hakee GPS signaalia ja tarkistaa yhteyden toimintaa)<br />
* Näyttö ei sammu kun sovellus käynnissä -> Kuluttaa lisää akkua. Jos puhelin tukee Cellid 4.2 -rajapintaa, voi näytön sammuttaa mittauksen ajaksi. Amoled-näyttöisessä puhelimessa kannattaa mittauksen ajaksi valita sovelluksen valikosta "tyhjä näyttö", jolloin näytön virrankulutus on olematonta.<br />
* Tukiasemien sijainnin saa parhaiten selville kiertelemällä kaupungissa korttelien ympäri. Syrjemmillä seuduilla hieman suuremman alueen kiertäminen oletetun tukiaseman ympärillä on suositeltavaa. Paras tulos tulee tasaisella, esteettömällä maastolla.<br />
* Varmista että sinulla on riittävän hyvä yhteys tukiasemalle (2G/3G/4G) ja GPS yhteys.<br />
* Sovelluksen käyttö vaatii, että sinulla kyseisen operaattorin liittymä, jolla yhteys 2G/3G/4G verkkoon. Voit paikantaa tukiasemia vain siinä verkossa missä olet. Eli et voi paikantaa 4G tukiasemaa jos olet 3G verkossa ja toisin päin. Usein 2G/3G/4G solut voivat olla samassa tukiasemassa ja niitä voidaan lähettää jopa samasta paneeliantennista.<br />
*Sovellus voi näyttää, että tukiasema kantaa 5-100km:nkin päähän. Joskus tulos olla oikea, mutta usein hyvin kauas kuuluvat solut ovat mittavirheitä. Niitä voi syntyä, jos ohjelman keräämässä verkkodatassa on yhteneväisyyksiä johonkin toiseen tukiasemaan taikka puhelin on laskenut virheellistä GPS-dataa. Tällä hetkellä "orposoluja" ei voi poistaa käyttäjän toimesta vaan ne jäävät kartalle.<br />
<br />
<!--T:26--><br />
Cellmapperiä kehitetään jatkuvasti ja kehityslista löytyy täältä: https://www.cellmapper.net/mw/index.php/Feature_Requests<br />
<br />
<!--T:27--><br />
Tässä linkki suoraan yleisiin kysyttyihin kysymyksiin ja vastauksiin: https://www.cellmapper.net/mw/index.php/FAQ<br />
<br />
<!--T:28--><br />
Jos sinulla on kysyttävää tästä sovelluksesta niin voit kysyä Murobbs foorumilta tai yhteisöstä https://plus.google.com/communities/101488064885764774600<br />
<br />
<!--T:120--><br />
'''Voit lahjoittaa rahaa Cellmapper projektille. Lahjoitusten turvin pyritään pitäämään palvelimet kasassa ja nopeina milloin tahansa. Palvelin maksaa noin 73$ CA kuukaudessa (Kanadan dollaria).<br />
'''<br />
<br />
== Käyttö == <!--T:4--><br />
<br />
<!--T:5--><br />
1. Lataa Androidille <html><a target="_blank" href="https://play.google.com/store/apps/details?id=cellmapper.net.cellmapper"> Cellmapper </a></html> sovellus. (Jolla ei ole tuettu, ota yhteyttä Cellmapperin ylläpitoon jos haluat Jollalle tuen)<br />
<br />
<!--T:6--><br />
2. Ota GPS käyttöön (ei Googlen sijaintipalvelu). Jos GPS ei ole käytössä tulee [[Cellmapper#GPS_Error|GPS virhe]].<br />
<br />
<!--T:29--><br />
Sijaintipalvelut voi ottaa käyttöön Samsungissa: Asetukset -> Sijaintipalvelut -> Käytä GPS sateliittejä.<br />
<br />
<!--T:7--><br />
3. Käynnistä sovellus. Varmista että sinulla on 2G/3G/4G tukiasemaan yhteys, jota haluat mitata. Cellmapper pystyy vain skannamaan nykyistä käyttävää verkkoa. <br />
<br />
<!--T:8--><br />
[[Tiedosto:Screenshot_2015-08-25-10-56-57.png|400px|left]]<br />
<br />
<!--T:93--><br />
[[File:Screenshot_2015-09-23-09-07-23.png|400px]]<br />
<br />
<!--T:9--><br />
Cells välilehdessä näet onko GPS yhdistänyt ('''GPS Fix OK''') ja tukiasemasi tiedot. <br />
<br />
<!--T:10--><br />
Kuvassa on yhdistetty ''Cell 555'' tukiasemaan Elisan LTE verkossa. GPS on määrittänyt (Accuracy) 3m tarkkuudella ja 0/0 satelliitista yhdistetty (on sateliitit yhdistetty mutta joku bugi). Login OK tarkoittaa että olen kirjautunut Cellmapperin sovellukseen. Kirjautumalla sovellukseen nimimerkkisi näkyy Cellmapperin kartassa (selain versiossa).<br />
<br />
<!--T:30--><br />
{| class="wikitable"<br />
|-<br />
! Lyhenne !! Selitys !! Esimerkki <br />
|-<br />
| Cell || Soluntunniste, tällä erotetaan solut toisistaan || Cell 141047<br />
|-<br />
| Sector || Solun sector numero || Sector 21<br />
|-<br />
| MCC (Mobile County Code) || Mobiiliverkon maakoodi || 244 (Finland)<br />
|-<br />
| MNC (Mobile Network Code) || Mobiiliverkon operaattorikoodi || 5 (Elisa), 12 (DNA), 91 (Sonera)<br />
|-<br />
|LTE Cell Global Identify (CGI )<br />
|Yksilöllinen solutunnus. Koostuu arvoista MCC/MNC/LAC/CI joten jokaisella solulla maailmassa on yksilöllinen CGI<br />
|36108053<br />
|-<br />
| LTE Referense Signal Received Quality (RSRQ )|| Signaalin vastaanotto laatu. Arvon tulisi olla -5dBm - -10dBm välillä. Kun arvo ylittää -10dBm niin yhteydessä alkaa olla paljon häiriötä. Mitä pienempi arvo sen parempi. || -6dB<br />
|-<br />
| LTE Signal to Noise Ratio (SINR - Signal-to-interference-plus-noise ratio) || SINR arvon asteikko on -20 - +30dB, mitä isompi sen parempi. Signaaliarvo on ok kun menee yli 15dB, maksiminopeus noin 50Mbps. Noin 25dB tulee olla jos haluaa päästä 100Mbps nopeuksiin. Kaikki nopeusarviot on tarkoitettu 20Mhz kaistanleveydellä.|| 28dB<br />
|-<br />
| LTE Reference Signal Recieved Power (RSRP ) || Ilmaisee vastaanotettavan referenssisignaalin tasoa. -50dBm on paras, hyvä on -90dBm ja -110dBm on heikko. Kun signaali on parempi kuin -90dBm voidaan seurata pelkästään SINR arvoa|| -65dBm<br />
|-<br />
| LTE Received Signal Strenght Indicator (RSSI) || Ilmaisee vastaanotettavan radiosignaalin voimakkuutta. || -51dBm<br />
|-<br />
|UMTS RNC-ID (Radio Network Controller ID)|| tukiasemaohjaimen tunniste ||5<br />
|-<br />
| TAC (Tracking Area Code) || Kertoo useammasta tukiasemasta koostuvan alueen tunnuksen. Näkyy LTE:ssä || 4050<br />
|-<br />
|LAC (Local Area Code)<br />
|Kertoo useammasta tukiasemasta koostuvan alueen tunnuksen. Näkyy 2G ja 3G.<br />
|5005<br />
|}<br />
<br />
<!--T:94--><br />
Riippuen puhelinmalleista miten tietoa näkyy tässä sovelluksen kotinäkymässä. Tämä kuvankaappaus on otettu Samsung S3 4G I9305 laitteella. <br />
<br />
<!--T:95--><br />
Tässä tietoa jos käytössä on uudempi puhelinmalli tai API 4.2. Kysy lisää yhteisöstänmme tai [http://murobbs.muropaketti.com/threads/cellmapper-cellular-tower-map.1237362/ murobbs] ketjussamme.<br />
<br />
<!--T:96--><br />
{| class="wikitable"<br />
|-<br />
! Lyhenne !! Selitys !! Esimerkki <br />
|-<br />
| LTE Phycical Cell Identify (PCI) || LTE verkossa käytetty solun fyysisen kerroksen parametri jolla päätelaite erottaa solut toisistaan. mahdollinen arvo 0-503 ||11<br />
|-<br />
| UMTS Primacy Scrambling Code (PSC) || 3G verkossa käytetty solun fyysisen kerroksen parametri jolla päätelaite erottaa solut toisistaan. mahdollinen arvo 0-8191||47<br />
|-<br />
| Channel Quality Indicator ||DL suunnan signaalitien laatuarvo jonka päätelaite ilmoittaa tukiasemalle. 3G:llä alue 0-30, LTE 0-15. Suurempi luku=parempi laatu.||8<br />
|- <br />
| Cell Identify || Solun parametri jollla päätelaite erottaa RCC/NAS tasolla solut toisistaan||<br />
|-<br />
| Data Source Delay || || 00.006<br />
|-<br />
|Data Source || || oem_ril <br />
|}<br />
<br />
<!--T:97--><br />
Lisätietoa signaaliarvoista: [[Mobiiliverkkotekniikka#Tietoa_signaaliarvoista]]<br />
<br />
4. Ei muuta kuin matkaan! Varmista että GPS ja matkapuhelimen verkon yhteys pysyy! RSRP arvoa tarkkailemalla tiedät oletko lähellä tukiasemaa vai kaukana. Jos on kysyttävää, laita foorumille kysymyksiä...<br />
<br />
=== Kartan käyttö === <!--T:11--><br />
<br />
<!--T:78--><br />
Kartta aukeaa vasemmalta valikosta.<br />
<br />
<!--T:12--><br />
[[Tiedosto:Screenshot_2015-05-25-15-54-27.png|400px]]<br />
<br />
<!--T:13--><br />
Maps välilehdessä näet jo skannattujen tukiasemien arvioitu sijainti. Sovellus automaattisesti näyttää juuri nyt käytettävän verkon tukiasemat (kuvassa Elisan LTE). Tukiasemien sijanteja voi katsoa myös <html><a href="https://www.cellmapper.net/map"> Cellmapperin kartasta </a></html>.<br />
<br />
<!--T:21--><br />
Tukiasema on kartalla punaisena pisteenä mobiilissa ja selaimessa punaisena nuolena. Sininen piste viittaa omaan sijaintiin ja musta viiva kertoo mistä tukiasemasta ollaan yhteydessä. Klikkamalla tukiasemaa näet mustana alueena tukiaseman kantoalueen. Vaalea vihreä tarkoittaa parasta signaalia, tummanvihreä hyvää, musta kohtalaista ja punainen heikointa yhteyttä. <br />
<br />
<!--T:31--><br />
[[Tiedosto:Screenshot 2015-05-25-15-56-16.png|400px]]<br />
<br />
<!--T:14--><br />
'''Select Provider''' (haku ikoni) voit vaihtaa operaattoria ja verkkoa, jos haluat katsoa muiden verkkojen tukiasemia.<br />
<br />
<!--T:23--><br />
Rastita '''Record Data''' niin tukiasemien tietoja kerätään päätelaitteellesi. Tietoja ei lähetetä palvelimelle ellei '''Enable Instand Upload''' ole käytössä tai et ole lähettänyt tietoja manuaalisesti. <br />
<br />
<!--T:24--><br />
[[Tiedosto:Screenshot_2015-05-25-15-55-15.png|400px]]<br />
<br />
=== Lähetä tiedot palvelimelle === <!--T:79--><br />
<br />
<!--T:15--><br />
Lataa tiedot Cellmapperin palvelimelle avaamalla valikosta '''Upload and Statistics'''.<br />
<br />
<!--T:32--><br />
[[Tiedosto:Screenshot 2015-05-25-15-55-26.png|400px]]<br />
<br />
<br />
<!--T:33--><br />
Valitse tämän jälkeen Upload ikoni niin tiedot lähetetään palvelimelle. Suosittelemme että otat käyttöön '''Enable Instand Upload''' vaihtoehto asetuksista.<br />
<br />
<!--T:34--><br />
Sulje Cellmapper käytön jälkeen jotta se ei kuluttaisi päätelaitteesi akkua.<br />
<br />
<!--T:35--><br />
[[Tiedosto:Screenshot_2015-05-25-15-54-35.png|400px]]<br />
<br />
=== Lähetä data palvelimelle uudelleen === <!--T:80--><br />
<br />
<!--T:81--><br />
Lataa tiedot Cellmapperin palvelimelle avaamalla valikosta '''Upload and Statistics'''.<br />
<br />
<!--T:82--><br />
[[File:Screenshot_2015-08-25-21-27-13.png|400px]]<br />
<br />
<!--T:83--><br />
Avaa valikko ja valitse '''Re-Upload'''.<br />
<br />
<!--T:84--><br />
[[File:Screenshot_2015-08-25-21-27-42.png|400px]]<br />
<br />
<!--T:85--><br />
Valitse aloitusajankohta<br />
<br />
<!--T:86--><br />
[[File:Screenshot_2015-08-25-21-27-53.png|400px]]<br />
<br />
<!--T:87--><br />
Valitse päättymisajankohta. <br />
Valitsemalla OK ohjelma alkaa lähettämään valitulta aikaväliltä tallennettua dataa uudelleen palvelimelle, jos datayhteys Internetiin on saatavilla. Datan määrästä riippuen tämä kestää muutamasta sekunnista muutamaan minuuttiin.<br />
<br />
[[Luokka:2G|Cellmapper]]<br />
[[Luokka:3G|Cellmapper]]<br />
[[Luokka:4G|Cellmapper]]<br />
[[Luokka:LTE|Cellmapper]]<br />
[[Luokka:Mobiiliverkko|Cellmapper]]<br />
<br />
== Asetukset == <!--T:36--><br />
<br />
=== Automaattinen tiedon lähettäminen === <!--T:17--><br />
<br />
<!--T:18--><br />
Tämä mahdollistaa automaattisesti tukiasemien tietojen lähettämisen Cellmapperin palvelimelle. Voit tarkastella kaikkia tietoja [http://www.cellmapper.net/map Cellmapperin kartasta]. Tämä ominaisuus jää silloin tällöin jumiin tai ei lähetä tietoja, joten suositeltavaa on lähettää mittauksen päätteeksi tiedot [[Cellmapper#L.C3.A4het.C3.A4_tiedot_palvelimelle|palvelimelle]]<br />
<br />
<!--T:19--><br />
Avaa sovelluksen asetukset ja rastita '''Enable Instant Upload'''<br />
<br />
<!--T:20--><br />
[[File:Screenshot_2015-05-25-15-54-06.png|400px]]<br />
<br />
=== Näytä tukiasemat kartalla === <!--T:62--><br />
<br />
<!--T:63--><br />
Tämä toiminto näyttää tukiasemat kartalla. Oletuksena tämä asetus on käytössä.<br />
<br />
=== Näytä epätarkat tukiasemat === <!--T:64--><br />
<br />
<!--T:65--><br />
Tämä toiminto näyttää epätarkat tukiasemat kartalla. Epätarkka tukiasema tarkoittaa sitä että siinä on vain yksi solu tai sitten tieto on epätarkka signaaliarvojen takia. Voit parantaa tarkkuutta mittaamalla lähempänä tukiasemaa. Myös ympärisäteilevät tukiasemat ovat epätarkkoja. Saat sen tarkaksi siirtämällä tukiaseman oikealle paikalle selaimen kartassa. Oletuksena pois käytöstä.<br />
<br />
=== Android Cell ID API 4.2 === <!--T:66--><br />
<br />
<!--T:67--><br />
Tämä ominaisuus toimii vain Android 4.2 ja Cell ID API 4.2 tukevissa laitteista. Kuitenkin useimmat valmistajat (kuten Google) eivät tue tätä. Eli useimmissa laitteissa tämä ei toimi. Uusissa Samsungeissa saattaa toimia ja suurinosa LG:n ja Sonyn laitteita tämä toimii. OnePlusOne antaa virheellistä tietoa 3G:tä mittailessa mutta 2G ja LTE verkossa toimii hyvin. <br />
<br />
<!--T:98--><br />
Kun käytät API 4.2 puhelimessasi, niin odota hetki ennen mittauksien aloittamista. Puhelin ei näytä heti sovelluksen käynnistyessä oikeaa dataa... Pitäisi näkyä parin sekunnin kuluttua... <br />
<br />
<!--T:72--><br />
Tarkista laitteesi tuki: https://www.cellmapper.net/mw/index.php/Android_4.2_CellID_Support<br />
<br />
<!--T:68--><br />
Kokeilemalla näet toimiiko tämä ominaisuus. Tämä ominaisuus vaatii sovelluksen uudelleenkäynnistyksen. Jos toimii ja laitetta ei löydy listalla, voit lisätä sen itse jos sinulla on wiki käyttäjä, voit myös laittaa vaikka yhteisöömme viestiä niin lisätään laitteesi sinne.<br />
<br />
<!--T:73--><br />
API 4.2 Hyödyt:<br />
<br />
<!--T:74--><br />
* Mahdollistaa näytön sammutuksen<br />
* Mahdollistaa tallentamisen useita soluja samaanaikaan saman operaattorin verkosta. Tämä ei kuitenkaan ole täysin luetettava tapa ja useimmat näkyvät epätarkkoina tukiasemina.<br />
<br />
<!--T:69--><br />
[[Tiedosto:Screenshot 2015-08-05-22-34-14.png|200px|Kuva asetuksista ottaessa API 4.2 käyttöön]]<br />
[[File:Screenshot_2015-12-02-21-59-51.png|200px|API 4.2 käytössä LTE verkossa]]<br />
[[File:Screenshot_2015-12-02-21-51-08.png|200px|API 4.2 käytössä 3G verkossa]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
=== Tarkista GPS ikä === <!--T:70--><br />
<br />
<!--T:71--><br />
Tämä toiminto tarkistaa että GPS tieto on tuoretta. Suositus ottaa käyttöön. <br />
<br />
=== Taajuudet === <!--T:37--><br />
<br />
<!--T:38--><br />
Cellmapper voi mitata mobiiliverkon taajuuksia Samsungin / Sonyn field test modella (tämä '''vaatii root oikeudet'''). Sinun siis tulee rootata puhelimesi (menetät takuun tässä jos tämän teet). Sen jälkeen otat käyttöön Cellmapperin asetuksista '''Read logcat for Samsung/Sony Field Test data'''. Soneran ja DNA LTE taajuudet tulevat automaattisesti selaimen kartalle joten tätä ei tarvita näissä verkoissa. Elisan LTE:tä ei ole mahdollista saada erotettua 800/1800 LTE verkkoja valmiiksi, ainut tapa mittailla rootatuilla Samsung / Sony laitteilla. Tukea kehitetään muillekkin laitteille. Tämä siis ei toimi custom romeissa. Testaa soittaa '''*#0011#''' (vain Samsung) niin näet sieltä Band numeron. Suomessa on käytössä pääasiassa LTE band 20 (800Mhz) ja 3 (1800Mhz) sekä kaupunkialueella 7 (2600Mhz).<br />
<br />
Yhteisverkkoalueella taajuudet ovat vielä työn alla ja mahdollisia virheitä on tällä hetkellä. Suositus on käydä rootatulla laitteilla mittaamassa taajuusdatat Cellmapperiin.<br />
<br />
<!--T:39--><br />
Samsung laitteille ohje (root vaadittu):<br />
# Varmista että puhelimesi on rootattu ja SuperSU toimii<br />
# Ota '''Read logcat for Samsung/Sony Field Test data '''käyttöön asetuksista<br />
# Sulje sovellus ja avaa uudelleen<br />
# Cellmapper sovellusta avatessa aukeaa myös Service Mode. Älä sulje tätä! Mitatessa tulee Service Mode näkyä ruudulla (ei saa näyttöä lukita) tai käyttää Dual Window modea. Muuten ei taajuuksia voida lukea Service Modesta. Jos Service Mode ei aukea, avaa se manuaalisesti soittamalla '''*#0011'''#. Tajuustiedot näkyvät pienen aikaa siirtyessä Service Modesta Cellmapperin kotinäkymään. Kun taajuustiedot häviävät, ei Cellmapper enään mittaa. Taajuustiedot tulevat näkyviin kun palaat Service Modeen.<br />
<br />
Samsung laitteille ilman roottia (BETA):<br />
#Ota Accessiblity asetuksista Cellmapper Field Test Reader käyttöön<br />
#Avaa Cellmapper<br />
#Avaa Service Mode *#0011# soittamalla. Mitatessa Service Mode tulee näkyä ruudulla (näyttöä ei saa lukita). Muuten taajuuksia ei voida lukea Service Modesta. Voit tarkistaa vaihtamalla nopeasti Service Mode ja Cellmapper näkymien välillä taajuuden.<br />
<br />
[[File:Screenshot_20160317-180505.png|200px]]<br />
<br />
Sony:lle laitteille ohje (kokeellinen)<br />
#Kokeile soittaa numeroon *#*#*386#*#* tai *#*#*585*0000#*#* ja pitäisi aueta Tech Mode. Jos tämä ei aukea sinun pitää asentaa tämä. Sony Z1, Z1C ja Z2 malliessa tämä on "Customized UK" firmwaressa valmiina. <br />
#Pidä ohjelma taustalla päällä ja käynnistä Cellmapper. Varmista että Cellmapper näyttöö oikeaa dataa. Kysele lisää apua yhteisöstä.<br />
<br />
<!--T:121--><br />
[[Tiedosto:Screenshot 2015-07-11-16-22-45.png|400px]]<br />
<br />
<!--T:88--><br />
Alla näkymä Cellmapperin pääsivulta, kun ohjelma lukee Samsung ServiceModen tietoja.<br />
<br />
<!--T:89--><br />
[[File:Screenshot_2015-09-29-17-05-49.png|400px]]<br />
<br />
<!--T:40--><br />
Operaattorien LTE Sectorit ja niitä vastaavat taajuudet.<br />
<br />
<!--T:41--><br />
{| class="wikitable"<br />
|-<br />
! Operaattori !! Sector !! Taajuus !! Muuta <br />
|-<br />
| DNA || 1, 2, 3 || 1800Mhz || Ei yhteisverkkoalueella<br />
|-<br />
| DNA || 10, 20, 30, 40 || 800Mhz || Ei yhteisverkkoalueella<br />
|-<br />
| DNA || 11, 12, 13 || 2600Mhz || Ei yhteisverkkoalueella<br />
|-<br />
| Elisa || 1, 2, 3 || 800Mhz / 1800Mhz / 2600Mhz || <br />
|-<br />
| Elisa || 4, 5, 6 || 800Mhz / 1800Mhz / 2600Mhz ||<br />
|-<br />
| Sonera || 11, 21, 31 || 1800Mhz || Ei yhteisverkkoalueella<br />
|-<br />
| Sonera || 12, 22, 32 || 800Mhz || Ei yhteysverkkoalueella<br />
|-<br />
| Sonera || 10, 20, 30 || 2600Mhz || Ei yhteisverkkoalueella<br />
|-<br />
| Yhteisverkko || 11, 12, 13 || 800Mhz ||<br />
|-<br />
| Yhteisverkko || 21, 22, 23 || 1800Mhz ||<br />
|-<br />
| Yhteisverkko || 31, 32, 33 || 1800Mhz ||<br />
|}<br />
<br />
<br />
== Käyttäjät == <!--T:42--><br />
<br />
<!--T:43--><br />
Cellmapper kerää tietoja päätelaitteeltasi mm. sijaintia, laitteesi merkki ja malli, operaattorisi, verkon muita tietoja. (Katso tarkka lista Cellmapperin omilta sivuilta)<br />
<br />
<!--T:44--><br />
Voit rekisteröitä Cellmapperin sovellukseen ja kirjautua siihen helposti Valikko -> Accounts. Sinulta ei vaadita paljonkaan käyttäjätietoja, käyttäjätunnus, sähköposti ja salasana pelkästään. Näet kirjautumisesi tilan '''Cells''' näkymässä: '''Login OK''' .<br />
<br />
<!--T:45--><br />
[[Tiedosto:Screenshot 2015-05-25-15-55-05.png|400px]]<br />
<br />
== Kartta selaimessa == <!--T:46--><br />
<br />
<!--T:47--><br />
Cellmapperin kartta on kätevästi selaimessa saatavilla https://www.cellmapper.net/map osoitteessa. <br />
<br />
<!--T:48--><br />
Valitse vasemmalta: County = Maa, Provider = Operaattorisi, Network = 2G/3G/4G verkko.<br />
<br />
<!--T:49--><br />
[[Tiedosto:Celllmapper map 1.png|800px]]<br />
<br />
<br />
<!--T:50--><br />
Tämän jälkeen latautuu valitsemasi verkon tukiasemat kartalle. Valitsimme esimerkiksi Finland, Sonera, LTE ja suuntasimme Turkuun.<br />
<br />
<!--T:51--><br />
[[Tiedosto:Celllmapper map 2.png|800px]]<br />
<br />
<!--T:52--><br />
Vasemmalta olevasta valikosta voit valita taajuudet mitkä tukiasemat näkyy bands klikkaamalla. Tämä toiminto toimii Suomessa vain Soneran LTE ja DNA LTE verkossa. Filterin alla voi valita '''Show low Accuracy Tower'''s niin näet enemmän tukiasemia. Nämä tukiasemat ovat siis epätarkkoja ja osa tukiasemista voi olla sellaisia tukiasemia jossa yksi tai kaksi solua vain. Myös jos on heikko tarkkuus eivät näy ilman tätä vaihtoehtoa ole määritetty kunnes on mitattu tarkeammin. <br />
<br />
<br />
<!--T:53--><br />
Värien perusteella näet signaalivahvuuden. Vaalea vihreä tarkoittaa hyvää yhteyttä ja tummempi jo heikko yhteyttä. Punainen tarkoittaa yleensä että yhteys on katkeamaisillaan. Jos on mustaa niin se tarkoittaa ettei ole ollenkaan yhteyttä. <br />
[[Tiedosto:Celllmapper map 3.png|800px]]<br />
<br />
<!--T:54--><br />
Klikkaa tukiasemaa niin näet tukiasemasta lisää tietoa. Vasemmalla näet esimerkiksi koska ensimmäiseksi ja viimeksi mitattu, paras signaali mitä tukiaseman soluun saatu yhteyttä (RSPR) sekä taajuuden, jos saatavilla. Yleensä tukiasemassa on kolme solua jotka suuntautuvat eri suuntiin. Jos tukiasema on väärässä sijainnissa ja tiedät oikean sijainnin, voit siirtää tukiasemaa kirjautumalla sisälle Edit Site Data:n alta '''Click here to login in'''. Käyttäjätunnus ja salasana on sama kuin Cellmapperin sovelluksessa.<br />
<br />
<!--T:55--><br />
Extra Data kohdassa voit kirjoittaa lisätietoa tukiasemasta tai muuta sellaista. Tukiasemasta voi liittää esimerkiksi kuvan jos haluat. Tunnukset tänne kannattaa kysellä yhteisöstä.<br />
<br />
=== Kartassa tukiaseman siirtäminen ja poisto === <!--T:99--><br />
<br />
<!--T:100--><br />
''Vain kokeenneille käyttäjille jotka ymmärtävät miten tämä toimii. '''Siirrä vain LTE tukiasemia, älä 2G/3G tukiasemia'''! Laittakaa mielummin suoraan vaikka Taiston ylläpitoon viestiä niin teemme puoleastasi. Turhien tukiasemien poisto / siirto aiheuttavat vain enemmän ongelmia.''<br />
<br />
<!--T:101--><br />
Kirjaudu Cellmapperiin kartta tunnuksilla (ei Cellmapper wiki tai foorumi tunnuksilla) [https://www.cellmapper.net/login tästä], jos sinulla ei ole tunnuksia, voit rekisteröityä [https://www.cellmapper.net/register tästä]. Jos olet unohtanut salasanasi, voit resetoida [https://www.cellmapper.net/reset täältä].<br />
<br />
<!--T:102--><br />
[[File:Cellmapper_map_login_1.png|400px]]<br />
<br />
<!--T:103--><br />
Kun olet kirjautunut onnistuneesti, sivu ilmoittaa Login successful (kirjautuminen onnistui). Tämän jälkeen palaa karttaan [https://www.cellmapper.net/map tästä].<br />
<br />
<!--T:104--><br />
Tukiasemien siirtoon ei ole mitään järkevää ohjetta mutta muista se '''maalaisjärki''' ja nämä vinkit:<br />
<br />
<!--T:105--><br />
* Sateliittikuvista yritä erottaa tukiasemat lähialueelta. <br />
* Katso mastokarttaa. http://testi.jles.me/mastot/<br />
<br />
<!--T:106--><br />
Tämän jälkeen katso miten tukiaseman solut kantavat. 800Mhz kantaa tietenkin pidemmälle kuin 1800Mhz mutta ei tietenkään yli 20km päähän ainakaan kanna, voi olla virheellistä dataa. <br />
<br />
<!--T:107--><br />
* Klikkaa tukiasemaa ja katso minne kantaa. <br />
* Katso RSRP arvot, mitkä ovat maksimit. Pienin on useinkin silloin luotettavin ja lisäksi solun ilman suunta.<br />
<br />
<!--T:108--><br />
Esimerkki: Mikkelistä etelään on paikka Harjunmaa tukiasema eNB ID 142530. Cellmapperillä on joku mitannut keskellä valtatietä 13 mutta haluamme siirtää se tarkalleen oikealle sijainnille.<br />
<br />
<!--T:109--><br />
[[File:Cellmapper_map_move_tower_1.png|400px]]<br />
<br />
<!--T:110--><br />
Vaihtoehtona on tutkia sateliittikuvaa suoraan mutta totta kai kannattaa säästää vaivaa ja katsoa masto karttaa missä mastoja olisi. <br />
<br />
<!--T:111--><br />
[[File:Cellmapper_map_move_tower_2.png|400px]]<br />
<br />
<!--T:112--><br />
Tämä on helppo koska mastoja on vain yksi lähettyvillä ja voidaan olettaa että ei ole muutakaan mastoa siinä lähettyville. Suosittelen maston siirtoa varten sateliittikartan niin näet millaista maastoa alueella on. Vielä kun lähdettiin tarkentamaan mastot kartassa ja samalla Cellmapperin kartasta samaankohtaan niin nähdään mastokin sielä tarkasti. Vedetään hiirellä sitten Cellmapperin kartasta tien varresta tähän sijaintiin. <br />
<br />
<!--T:113--><br />
[[File:Cellmapper_map_move_tower_3.png|400px]] [[File:Cellmapper_map_move_tower_4.png|400px]]<br />
<br />
<!--T:114--><br />
Sivusto kysyy "Are you sure you would like to move site 142530 to 61.866220238889255,26.98739254474674?" Vahvista OK jos on oikealla sijainnilla. Odota hetki kunnes ilmestyy Update Succesfull. Jos tuli virhe, kirjaudu ulos ja kokeile uudelleen. Jos ei auta niin tyhjennä evästeet ja välimuisti ja kokeile vielä uudelleen, muuten ota yhteyttä ylläpitoon. <br />
<br />
<!--T:115--><br />
Nyt tukiasema on siirretty ja Cellmapper generoi uudelleen tukiaseman kantoaluetta. Tässä menee jonkin aikaa riippuen miten tukiasema on ruuhkainen.<br />
<br />
<!--T:116--><br />
Linkki tälle alueelle: http://www.cellmapper.net/map?MCC=244&MNC=91&type=LTE&latitude=61.86903288943261&longitude=26.993256093446345&zoom=15<br />
<br />
<!--T:117--><br />
Tukiasemien poisto ilmoitukset kannattaa laittaa suoraan Murobbs ketjuun. Jos tukiasema kohdistuu juuri kotiisi, voit poistaa sen Delete tower painikkeella. Tukiasema piilotetaan kartalta ja palautuu kartalle jos se myöhemmin uudelleen mittaillaan. <br />
<br />
<!--T:118--><br />
Esimerkki väärästä datasta, suositellaan että vain Cellmapperin käyttäjät jotka tietävät miten virheellinen data tulee poistaa tukiasemat.<br />
<br />
<!--T:119--><br />
[[File:Cellmapper_map_delete_wrong_data_1.png|400px]]<br />
<br />
<br />
</translate><br />
[[Category:Mobiiliverkko]]<br />
[[Category:2G]]<br />
[[Category:3G]]<br />
[[Category:4G]]<br />
[[Category:LTE]]<br />
<br />
[[Luokka:2G|Cellmapper]]<br />
[[Luokka:3G|Cellmapper]]<br />
[[Luokka:4G|Cellmapper]]<br />
[[Luokka:LTE|Cellmapper]]<br />
[[Luokka:Mobiiliverkko|Cellmapper]]</div>
Minh
https://taisto.org/index.php?title=FreeIPA&diff=63938
FreeIPA
2019-07-18T06:59:18Z
<p>Minh: /* Konfigurointi */</p>
<hr />
<div>FreeIPA on avoin lähdekoodilla varustettu suojaus ratkaisu Linuxille, joka tarjoaa käyttäjähallinan ja keskitetyn todennuksen kuten Microsoftin Active Directory. FreeIPA on rakennettu monesta avoimesta lähdekoodista, kuten 389 Directory Server, MIT Kerberos, and SSSD.<br />
<br />
Ohje testattu:<br />
<br />
* Ubuntu 16.04<br />
<br />
== Ennen asennusta ==<br />
<br />
* Määritä isäntänimi. Isäntänimi tulee vastata FQDN:ää.<br />
<br />
Varmista että sinulla on seuraavat portit auki:<br />
<br />
<pre><br />
TCP:<br />
80, 443 HTTP/HTTPS<br />
389,636 LDAP/LDAPS<br />
88,464 KRB Kerberos<br />
53 Bind - DNS<br />
<br />
UDP:<br />
88, 464 Kerberos<br />
53 Bind - DNS<br />
123 NTP<br />
</pre><br />
<br />
UFW:llä<br />
<br />
<pre><br />
sudo ufw default deny incoming<br />
sudo ufw default allow outgoing<br />
sudo ufw allow ssh<br />
sudo ufw allow http<br />
sudo ufw allow https<br />
sudo ufw allow ldap<br />
sudo ufw allow ldaps<br />
sudo ufw allow bind9<br />
sudo ufw allow krb5<br />
sudo ufw allow ntp<br />
sudo ufw allow 88/udp<br />
sudo ufw allow 464/udp<br />
sudo ufw enable<br />
sudo ufw status verbose<br />
</pre><br />
<br />
== Asennus ==<br />
<br />
=== Master palvelin ===<br />
<br />
Asenna pakettihallinnasta freeipa-server paketti<br />
<br />
sudo apt install freeipa-server<br />
<br />
Määritä asennuksessa kerberos domain, palvelin ja Administrator palvelin.<br />
<br />
Aloita määrittäminen <br />
<br />
sudo ipa-server-install<br />
<br />
<pre><br />
<br />
The log file for this installation can be found in /var/log/ipaserver-install.lo g<br />
==============================================================================<br />
This program will set up the FreeIPA Server.<br />
<br />
This includes:<br />
* Configure a stand-alone CA (dogtag) for certificate management<br />
* Configure the Network Time Daemon (ntpd)<br />
* Create and configure an instance of Directory Server<br />
* Create and configure a Kerberos Key Distribution Center (KDC)<br />
* Configure Apache (httpd)<br />
<br />
To accept the default shown in brackets, press the Enter key.<br />
<br />
Do you want to configure integrated DNS (BIND)? [no]: yes<br />
<br />
Enter the fully qualified domain name of the computer<br />
on which you're setting up server software. Using the form<br />
<hostname>.<domainname><br />
Example: master.example.com.<br />
<br />
<br />
Server host name [freeipa.example.org]:<br />
<br />
Warning: skipping DNS resolution of host freeipa.example.org<br />
The domain name has been determined based on the host name.<br />
<br />
Please confirm the domain name [example.org]:<br />
<br />
The kerberos protocol requires a Realm name to be defined.<br />
This is typically the domain name converted to uppercase.<br />
<br />
Please provide a realm name [EXAMPLE.ORG]:<br />
Certain directory server operations require an administrative user.<br />
This user is referred to as the Directory Manager and has full access<br />
to the Directory for system management tasks and will be added to the<br />
instance of directory server created for IPA.<br />
The password must be at least 8 characters long.<br />
<br />
Directory Manager password:<br />
Password (confirm):<br />
<br />
The IPA server requires an administrative user, named 'admin'.<br />
This user is a regular system account used for IPA server administration.<br />
<br />
IPA admin password:<br />
Password (confirm):<br />
<br />
Checking DNS domain example.org., please wait ...<br />
Enter the IP address to use, or press Enter to finish.<br />
Please provide the IP address to be used for this host name: 192.168.1.10<br />
Please provide the IP address to be used for this host name:<br />
Do you want to configure DNS forwarders? [yes]:<br />
Following DNS servers are configured in /etc/resolv.conf: 8.8.8.8. 8.8.4.4 <br />
Do you want to configure these servers as DNS forwarders? [yes]:<br />
All DNS servers from /etc/resolv.conf were added. You can enter additional addre sses now:<br />
Enter an IP address for a DNS forwarder, or press Enter to skip:<br />
Checking DNS forwarders, please wait ...<br />
Do you want to search for missing reverse zones? [yes]:<br />
<br />
The IPA Master Server will be configured with:<br />
Hostname: freeipa.example.org<br />
IP address(es): 192.168.1.10<br />
Domain name: example.org<br />
Realm name: EXAMPLE:org<br />
<br />
BIND DNS server will be configured to serve IPA domain with:<br />
Forwarders: 8.8.8.8 8.8.4.4<br />
Reverse zone(s): No reverse zone<br />
<br />
Continue to configure the system with these values? [no]: yes<br />
</pre><br />
<br />
Asennuksessa menee jonkin aikaa riippuen palvelimen tehoista joten kannattaa antaa aikaa. Asennuksen jälkeen pääset kirjautumaan webhallintaan freeipa.example.org/ipa/ui osoitteella. Käyttäjätunnus on admin ja salasanana minkä annoit asennuksen aikana.<br />
<br />
=== Slave ===<br />
<br />
Masterin lisäksi voi olla useita "Slave" palvelimia jotka replikoivat dataa masterin kanssa. <br />
<br />
Asennetaan replikointia varten Slave palvelin masterin rinnalle.<br />
<br />
sudo apt install freeipa-server freeipa-server-dns bind9 bind9-dyndb-ldap<br />
<br />
Muuta nimipalvelimet sitten FreeIPA palvelimeksi.<br />
<br />
sudo nano /etc/network/interfaces<br />
<br />
<pre><br />
dns-nameservers 192.168.1.10<br />
</pre><br />
<br />
Tai /etc/resolv.conf tiedostoon määrität nimipalvelimen.<br />
<br />
Siirry master palvelimelle ja lisää repl1 (slave) nimipalvelintauluun.<br />
<br />
kinit admin<br />
sudo ipa dnsrecord-add example.org repl1 --a-rec 192.168.2.10<br />
<br />
Palaa takaisin slave palvelimelle.<br />
<br />
Liitä slave palvelin LDAPiin seuraavalla komennolla<br />
<br />
sudo ipa-client-install<br />
<br />
Anna admin@EXAMPLE.ORG salasana.<br />
<br />
Sitten sitten tästä slave palvelin.<br />
<br />
sudo ipa-replica-install<br />
<br />
==== DNS ====<br />
<br />
DNS ei asennu oletuksena slave palvelimille joten se on erikseen asennettava ja konfiguroitava<br />
<br />
sudo ipa-dns-install<br />
<br />
Syötä forwarders nimipalvelimet.<br />
<br />
== Client ==<br />
<br />
Jos haluat, vaihda isäntänimi nyt.<br />
<br />
sudo hostname new-hostname.example.org<br />
<br />
Konfiguroi palvelin käyttämään FreeIPA palvelimien nimipalvelimia<br />
<br />
sudo nano /etc/network/interfaces<br />
<br />
<pre><br />
dns-nameservers 192.168.1.10<br />
</pre><br />
<br />
ja varmista että /etc/resolv.conf tiedostossa on<br />
<br />
nameserver 192.168.1.10<br />
<br />
Testaa toimivuus.<br />
<br />
Asenna seuravalla komennolla freeipa-client paketti<br />
<br />
sudo apt install freeipa-client<br />
<br />
Tällä komennolla asennat ipa-clientin. Sinulla pitää olla DNS-palvelin osoitettu IPA-palvelimiin. Tarkista että tämä toimii.<br />
<br />
sudo ipa-client-install<br />
<br />
Anna ylläpitäjän salasana admin@EXAMPLE.org esimerkiksi.<br />
<br />
Kun asennus on suoritettu voit kirjautua nyt LDAPIn käyttäjätunnuksella.<br />
<br />
ssh admin@client-ip.org<br />
<br />
<br />
=== Kotihakemiston luonti (Ubuntu / Debian) ===<br />
<br />
Debian / Ubuntussa on bugi jonka takia FreeIPA ei luo automaattisesti kotihakemistoja (mkhomedir parametri). Lisätietoa bugista täältä: https://bugs.launchpad.net/ubuntu/+source/freeipa/+bug/1336869<br />
<br />
Tämän voi paikata lisämällä /etc/pam.d/common-session tiedostoon<br />
<br />
session required pam_mkhomedir.so skel=/etc/skel/<br />
<br />
jolloin kotihakemistot luodaan. Tämä täytyy lisätä kaikkiin FreeIPA koneisiin.<br />
<br />
== Konfigurointi ==<br />
<br />
Pääasiassa konfigurointi onnistuu GUI:n kautta tai komentorivillä.<br />
<br />
Komentorivillä muista kirjautua kerberoksella seuraavasti esimerkiksi admin käyttäjälle<br />
<br />
kinit admin<br />
<br />
=== Käyttäjähallinta ===<br />
<br />
Listaa käyttäjätunnukset<br />
<br />
ipa user-find<br />
<br />
Luo uusi käyttäjä. Tämä lisää käyttäjän oletuksena ipausers ryhmään ja pyytää salasanan.<br />
<br />
ipa user-add matti --first=Matti --last=Testi --password<br />
<br />
=== HBAC - Host Basec Access Control === <br />
<br />
Tämä on säännöt työasema/palvelin kohtaisesti ketä saa kirjautua minne esimerkiksi ja millä sekä mistä. Oletuksena sääntö on "allow all" eli kaikilla käyttäjätunnuksella oikeus kirjautua minne tahansa. Tämä ei ole ehkä hyvä sääntö jos on vähän isompi ympäristö ja parempi on sallia käyttäjätilikohtaisesti.<br />
<br />
Lisää kaikki HBAC säännöt:<br />
<br />
ipa hbacrule-find<br />
<br />
Tämä tulostaa oletussäännön<br />
<br />
<pre><br />
-------------------<br />
1 HBAC rule matched<br />
-------------------<br />
Rule name: allow_all<br />
User category: all<br />
Host category: all<br />
Source host category: all<br />
Service category: all<br />
Description: Allow all users to access any host from any host<br />
Enabled: TRUE<br />
----------------------------<br />
Number of entries returned 1<br />
----------------------------<br />
</pre><br />
<br />
Lisätietoa: https://www.freeipa.org/page/Howto/HBAC_and_allow_all<br />
<br />
=== Sudo Rules ===<br />
<br />
Otetaan käyttöön admin käyttäjällemme sudo oikeudet kaikille työasemille helpottamaan hallintaa. FreeIPA:n avulla voit helposti hallinnoida tätä yhdestä paikkaa.<br />
<br />
WEB UI:sta otat käyttöön seuraavasti:<br />
<br />
# Avaa '''Policy''' ja valitse '''Sudo''' alasvetovalikosta '''Sudo rules'''.<br />
# Valitse '''Add''' luodaksesi uuden säännön. Määritä säännölle nimi ja sitten klikkaa '''Add and edit'''.<br />
# Valitse "Who" kohdan alta '''Specified Users and Groups''' ja sieltä sitten '''Add''' lisätäksesi käyttäjän.<br />
# "Accessing" kohdasta valitse '''Any Host''' ja "Via Service" kohdasta '''Any Service'''.<br />
# Tallenna sääntö<br />
<br />
Sääntö on nyt aktiivinen, osassa palvelussa tämä ei heti toimi. Voit joutua käynnistämään palveluita uusiksi tai käynnistämään IPA Clientin omaavan työasema/palvelimen uusiksi.<br />
<br />
Testaa kirjatumalla sisälle<br />
<br />
ssh admin@ipa-client.org<br />
<br />
ja sitten testata sudoa:<br />
<br />
sudo -i<br />
<br />
== FreeIPA integrointi AD:n kanssa ==<br />
<br />
Ohje kuinka konfiguroidaan FreeIPA:n ja Active Directoryn välinen "luottamus".<br />
<br />
* '''FreeIPA:n ja AD:N domain pitää olla eri!''' Tämä on normaali vaatimus yleisestikin Active Directory cross-forest trustissa.<br />
* Varmista ensin että DNS:t toimivat eli Windowsin AD löytää FreeIPA:n nimellä ja FreIPA taas löytää Windows AD:n nimellä ja pingi toimii myös.<br />
<br />
*Ohje ei toimi, palauttaa virheen ''"ipa: ERROR: CIFS server communication error: code "-1073741801", message "Memory allocation error" (both may be "None")"''<br />
<br />
<br />
Asenna FreeIPA palvelimelle<br />
<br />
sudo apt install freeipa-server-trust-ad<br />
<br />
Konfiguroidaan adtrust:<br />
<br />
sudo ipa-adtrust-install --netbios-name=NETBIOSNAME -a password<br />
<br />
Konfiguroi palomuurista portit auki (UFW):<br />
<br />
<pre><br />
sudo ufw allow 135/TCP<br />
sudo ufw allow 138<br />
sudo ufw allow 139<br />
sudo ufw allow 445<br />
</pre><br />
<br />
Kirjaudu ja lisää AD luottamuslistalle<br />
<br />
kinit admin<br />
ipa trust-add --type=ad ad.example.org --admin Administrator --password<br />
<br />
== Linkkejä ==<br />
<br />
https://www.digitalocean.com/community/tutorials/how-to-set-up-centralized-linux-authentication-with-freeipa-on-centos-7<br />
<br />
https://www.digitalocean.com/community/tutorials/how-to-configure-a-freeipa-client-on-ubuntu-16-04<br />
<br />
https://www.freeipa.org/page/Windows_authentication_against_FreeIPA<br />
<br />
https://www.freeipa.org</div>
Minh
https://taisto.org/index.php?title=J%C3%A4rjestelm%C3%A4viesti:Sidebar&diff=63937
Järjestelmäviesti:Sidebar
2019-07-06T13:22:44Z
<p>Minh: </p>
<hr />
<div>* navigation<br />
** mainpage|mainpage-description<br />
** currentevents-url|currentevents<br />
** recentchanges-url|recentchanges<br />
** randompage-url|randompage<br />
** helppage|help<br />
* SEARCH<br />
* TOOLBOX<br />
* LANGUAGES</div>
Minh
https://taisto.org/index.php?title=Mysql&diff=63934
Mysql
2019-07-04T12:10:08Z
<p>Minh: </p>
<hr />
<div><languages/><br />
<translate><br />
<!--T:1--><br />
Mysql on kätevä tietokanta, jota on helppo hallinnoida [[phpmyadmin]] sovelluksella.[[phpmyadmin | Phpmyadmin]] sovelluksen käyttö vaatii HTTP - palvelinohjelmiston (kuten [[Apache2]] tai [[Nginx]]) ja [[Php5]].<br />
<br />
== Asennus == <!--T:2--><br />
<br />
<!--T:3--><br />
[[aptitude]] install mysql-server<br />
<br />
<!--T:4--><br />
Anna mysql root-käyttäjän kirjautumisen salasana asennuksen yhteydessä. Älä unohda salasanaa. Voit luoda myöhemmin lisää käyttäjätilejä ja vaihtaa salasanoja.<br />
<br />
<!--T:5--><br />
Voit käyttää mysql tietokantaa ilman [[phpmyadmin | phpmyadminia]] asentamalla<br />
<br />
<!--T:6--><br />
[[aptitude]] install mysql-client<br />
<br />
<!--T:7--><br />
<gallery><br />
Tiedosto:Debian mysql installation 1.png|Anna MySQL palvelimen pääkäyttäjälle salasana<br />
Tiedosto:Debian mysql installation 2.png|Toista pääkäyttäjän salasana<br />
</gallery><br />
<br />
== MySQL Konfiguraatio == <!--T:8--><br />
<br />
<!--T:9--><br />
Konfigurointi tiedosto löytyy Ubuntussa ja Debianissa:<br />
<br />
<!--T:10--><br />
/etc/mysql/my.cnf<br />
<br />
<!--T:11--><br />
MySQL palvelimen portti jota se kuuntelee. Oletuksena se on 3306.<br />
<br />
<!--T:12--><br />
[client]<br />
port 3306<br />
<br />
<!--T:13--><br />
Osoite jota vain kuuntelee, # risuaita eteen niin kuuntelee kaikkia IP-osoitteita.<br />
<br />
<!--T:14--><br />
bind-address = 127.0.0.1<br />
<br />
== Komentorivi == <!--T:15--><br />
<br />
<!--T:16--><br />
Mysql tietokantaa voi hallita komentorivillä tai kätevästi [[phpmyadmin]] websivu ohjelmistolla.<br />
<br />
<!--T:17--><br />
Voit muodostaa komentorivi näkymään yhteyden: <br />
<br />
<!--T:18--><br />
mysql -u root -p<br />
<br />
<!--T:19--><br />
Anna mysql root käyttäjän salasana<br />
<br />
=== Käyttäjätilit === <!--T:20--><br />
<br />
<!--T:72--><br />
Listaa käyttäjätilit:<br />
<br />
<!--T:73--><br />
select host, user, password from mysql.user\G;<br />
<br />
<br />
<!--T:21--><br />
Uuden kättäjätilin voit luoda komennolla:<br />
<br />
<!--T:22--><br />
CREATE USER 'newuser'@'localhost' IDENTIFIED BY 'password';<br />
<br />
<!--T:23--><br />
Anna oikeudet uudelle käyttäjätilillä. Seuraava komento antaa lähes kaikki oikeudet paitsi muokata käyttäjätilejä.<br />
<br />
<!--T:24--><br />
GRANT ALL PRIVILEGES ON * . * TO 'newuser'@'localhost';<br />
<br />
<!--T:25--><br />
Tämä komento antaa täydelliset oikeudet käyttäjätileille ja tietokantonnoille.<br />
<br />
<!--T:26--><br />
GRANT ALL PRIVILEGES ON * . * TO 'newuser'@'%' WITH GRANT OPTION;<br />
<br />
<!--T:27--><br />
Vahvista oikeudet:<br />
<br />
<!--T:28--><br />
FLUSH PRIVILEGES;<br />
<br />
<!--T:29--><br />
Lisää käyttäjätilille tiettyjä oikeuksia:<br />
<br />
<!--T:30--><br />
GRANT [type of permission] ON [database name].[table name] TO ‘[username]’@'localhost’;<br />
<br />
<!--T:31--><br />
Poista käyttäjätililtä oikeuksia:<br />
<br />
<!--T:32--><br />
REVOKE [type of permission] ON [database name].[table name] FROM ‘[username]’@‘localhost’;<br />
<br />
<!--T:33--><br />
Poista käyttäjätili<br />
<br />
<!--T:34--><br />
DROP USER 'demo'@'localhost';<br />
<br />
=== Luo tietokanta ===<br />
<br />
Luo tietokanta seuraavalla komennolla<br />
<br />
CREATE DATABASE tietokanta;<br />
<br />
Luo tietokannalle käyttäjätili<br />
<br />
CREATE USER 'tietokanta'@'localhost' IDENTIFIED BY 'Qwerty1';<br />
<br />
Lisää tälle käyttäjätilille kaikki oikeudet tähän tietokantaan<br />
<br />
GRANT ALL ON tietokanta.* TO 'tietokanta'@'localhost';<br />
<br />
Vahvista oikeudet<br />
<br />
FLUSH PRIVILEGES;<br />
<br />
== Master ja Slave == <!--T:35--><br />
<br />
<!--T:36--><br />
MySQL palvelimen asynkroninen synkronointi Masterista Slave palvelimiin. <br />
<br />
=== Master === <!--T:37--><br />
<br />
<!--T:38--><br />
Tämä tulee Master palvelimen konfiguraatioon:<br />
<br />
<!--T:39--><br />
nano /etc/mysql/my.cnf<br />
<br />
<!--T:40--><br />
Lisää nämä mysqld loppuun<br />
<br />
<!--T:41--><br />
[mysqld]<br />
...<br />
log-bin=mysql-bin<br />
server-id = 1<br />
auto_increment_increment = 10<br />
auto_increment_offset = 1<br />
<br />
<!--T:42--><br />
Muodosta yhteys MySQL palvelimeen:<br />
<br />
<!--T:43--><br />
mysql -u root -p<br />
<br />
<!--T:44--><br />
Luodaan käyttäjätili replicant, kirjautumisoikeudella mistä tahansa % ja salasanalla password.<br />
<br />
<!--T:45--><br />
create user replicant@'%' identified by 'password';<br />
<br />
<!--T:46--><br />
Määritetään käyttäjälle oikeudet:<br />
<br />
GRANT SELECT, PROCESS, FILE, SUPER, REPLICATION CLIENT, REPLICATION SLAVE, RELOAD ON *.* TO replicant@'%';<br />
Flush Privileges; <br />
<br />
=== Slave === <!--T:47--><br />
<br />
<!--T:48--><br />
Tämä tulee Slave palvelimen konfiguraatioon:<br />
<br />
<!--T:49--><br />
Muodosta yhteys tietokantapalvelimeen ja anna Master palvelimen IP-osoite, käyttäjätunnus ja salasana.<br />
<br />
<!--T:50--><br />
HANGE MASTER TO<br />
MASTER_HOST='10.10.10.100',<br />
MASTER_USER='replicant',<br />
MASTER_PASSWORD='password';<br />
<br />
<!--T:51--><br />
Käynnistä Slave palvelin<br />
<br />
<!--T:52--><br />
Start slave;<br />
<br />
<!--T:53--><br />
Varmista että kaikki toimii:<br />
<br />
<!--T:54--><br />
show slave status\G<br />
<br />
<br />
<!--T:55--><br />
Molempiin suuntiin synkroidessasi, sinun tulee määrittää molemmat palvelimet Slaveksi ja Masteriksi.<br />
<br />
== MYSQL ja PHP5 == <!--T:56--><br />
<br />
<!--T:57--><br />
Voit hakea ja lähettää MySQL tietokantaan tietoa PHP:n avulla. Tämä onnistuu yksinkertaisesti tälläisellä funktiolla:<br />
<br />
<!--T:58--><br />
<?php<br />
mysqli_connect(host,username,password,dbname);<br />
mysqli_close($con);<br />
?><br />
<br />
<!--T:59--><br />
Muokkaa tätä esimerkiksi: <br />
<br />
<!--T:60--><br />
<?php<br />
//Muodostetaan yheyttä tietokantaan<br />
$con = mysqli_connect(127.0.0.1,root,Qwerty123,database);<br />
//Suljetaan yhteys tietokantaan<br />
mysqli_close($con);<br />
?><br />
<br />
<!--T:61--><br />
Eli palvelimen osoite, käyttäjätunnus, salasana ja tietokanta joka valitaan.<br />
<br />
<br />
<!--T:62--><br />
MySQL tietokannasta tulostaminen<br />
<br />
<!--T:63--><br />
<?php<br />
$con=mysqli_connect("127.0.0.1","root","Qwerty123","database");<br />
if (mysqli_connect_errno()) {<br />
echo "Yhdistäminen epäonnistui " . mysqli_connect_error();<br />
}<br />
$result = mysqli_query($con,"SELECT * FROM data");<br />
while($row = mysqli_fetch_array($result)) {<br />
echo $row['mysql'];<br />
}<br />
mysqli_close($con);<br />
?><br />
<br />
<!--T:64--><br />
Huomaa, että tietokantaan täytyy kirjoittaa jotakin että voit tulostaa tietoa sieltä.<br />
<br />
<!--T:65--><br />
Talllenna edelliset konfiguroinnit mysql.php ja laita sitten esim. index.php tiedostoon:<br />
<br />
<!--T:66--><br />
<?php<br />
include_once ('mysql.php');<br />
?><br />
<br />
<!--T:67--><br />
Näin sinun täytyy laittaa kaikkiin haluamaasi php tiedostoon, jotka käyttää tietokantaa.<br />
<br />
== Varmuuskopio == <!--T:68--><br />
<br />
Tässä helppo automatisointisovellus<br />
<br />
<!--T:69--><br />
[[Automysqlbackup]]<br />
<br />
Voit ottaa myös mysqldump komennolla<br />
<br />
mysqldump --all-databases --single-transaction --user=root --password > all_databases.sql<br />
<br />
== Lähteet == <!--T:70--><br />
<br />
<!--T:71--><br />
https://www.digitalocean.com/community/tutorials/how-to-create-a-new-user-and-grant-permissions-in-mysql<br />
</translate><br />
<br />
[[Category:Linux]]<br />
[[Category:Mysql]]<br />
[[Category:PHP5]]</div>
Minh
https://taisto.org/index.php?title=OpenLiteSpeed&diff=63933
OpenLiteSpeed
2019-05-19T16:58:05Z
<p>Minh: </p>
<hr />
<div>OpenLiteSpeed on kaupallisesta [https://www.litespeedtech.com/ LiteSpeed] Webpalvelimesta ilmainen ja avoin versio. <br />
<br />
OpenLiteSpeed-palvelimen parhaita puolia ovat:<br />
* TLS1.3-tuki<br />
* HTTP/2 ja SPDY-tuki<br />
* Tukee Apache2:sesta tuttuja .htaccess tiedostoon syötettäviä uudelleenohjaus (rewrite) sääntöjä.<br />
* WordPress LSCache joka nopeuttaa WordPressin toimintaa<br />
<br />
== Asennus Ubuntulle ==<br />
<br />
Asenna APT Repoihin litespeedin omat repot ja asenna OpenLiteSpeed -palvelin<br />
<br />
<pre><br />
wget -O - http://rpms.litespeedtech.com/debian/enable_lst_debain_repo.sh | sudo bash<br />
sudo apt update<br />
apt-get install openlitespeed<br />
</pre><br />
<br />
Asenna PHP7.3. Oletuksena OpenLiteSpeed asentaa PHP5.6:sen.<br />
<br />
<pre><br />
sudo apt install lsphp73-*<br />
</pre><br />
<br />
Määritä admin-tunnuksen salasana. Oletuksena tämä on 123456. <br />
<br />
<pre><br />
sudo /usr/local/lsws/admin/misc/admpass.sh<br />
</pre><br />
<br />
Käynnistä webpalvelin<br />
<br />
sudo /etc/init.d/lsws start<br />
<br />
Hallinta löytyy http://ip-osoite:7080</div>
Minh
https://taisto.org/index.php?title=Caddy_WebServer&diff=63932
Caddy WebServer
2019-05-19T10:02:02Z
<p>Minh: /* Konfigurointi */</p>
<hr />
<div>Caddy on uusi ja kevyt webpalvelin. <br />
<br />
== Asennus ==<br />
<br />
Asennus onnistuu helposti seuraavalla komennolla<br />
<br />
curl https://getcaddy.com | bash -s personal "http.cache,http.expires,http.minify,http.ratelimit,http.realip,tls.dns.cloudflare"<br />
<br />
Tämä asentaa myös seuraavat laajennukset:<br />
<br />
* http.cache<br />
* http.expires<br />
* http.ratelimit<br />
* tls.dns.cloudflare<br />
<br />
CloudFlare DNS-laajennusta käytetään Let's Encrypt SSL-sertifikaatin varmentamiseen DNS Challengen avulla kun käytetään CloudFlaren välityspalvelinta.<br />
<br />
Salli Caddy-palvelimen käyttämään pienempiä portteja kuin 1024<br />
<br />
sudo setcap cap_net_bind_service=+ep /usr/local/bin/caddy<br />
<br />
Luo konfiguraatioille tärkeät hakemistot<br />
<br />
<pre><br />
sudo mkdir /etc/caddy<br />
sudo chown -R root:www-data /etc/caddy<br />
sudo mkdir /etc/ssl/caddy<br />
sudo chown -R www-data:root /etc/ssl/caddy<br />
sudo chmod 0770 /etc/ssl/caddy<br />
sudo touch /etc/caddy/Caddyfile<br />
sudo mkdir /var/www<br />
sudo chown www-data: /var/www<br />
</pre><br />
<br />
Konfiguroi systemd<br />
<br />
<pre><br />
wget https://raw.githubusercontent.com/mholt/caddy/master/dist/init/linux-systemd/caddy.service<br />
sudo cp caddy.service /etc/systemd/system/<br />
sudo chown root:root /etc/systemd/system/caddy.service<br />
sudo chmod 644 /etc/systemd/system/caddy.service<br />
sudo systemctl daemon-reload<br />
</pre><br />
<br />
Asenna PHP (vapaaehtoinen, mutta tärkeä WordPressiä varten)<br />
<br />
sudo apt install php7.2-fpm php7-2-mysql php7.2-mbstring<br />
<br />
== Konfigurointi ==<br />
<br />
Caddy-palvelimen konfiguraatiot tehdään /etc/caddy/Caddyfile tiedostoon.<br />
<br />
Esimerkki konfiguraatio WordPress-sivua varten<br />
<br />
<pre><br />
examle.org www.example.org {<br />
# Email for Let's Encrypt<br />
tls username@example.org<br />
root /var/www/example.org<br />
gzip<br />
fastcgi / /run/php/php7.2-fpm.sock php {<br />
except /wp-content/upload/<br />
}<br />
rewrite {<br />
if {path} not_match ^\/wp-admin<br />
if {path} not_match ^\/wp-includes<br />
if {path} not_match ^\/wp-content<br />
to {path} {path}/ /index.php?{query}<br />
}<br />
<br />
log / /var/log/caddy/example.org_access.log "{combined}" {<br />
rotate_size 100 # rotate after 100 MB<br />
rotate_age 14 # keep log files for 14 days<br />
rotate_keep 10 # keep at most 10 log files<br />
rotate_compress<br />
}<br />
ratelimit /wp-login.php 5 7 minute<br />
internal /wp-config.php<br />
}<br />
</pre><br />
<br />
Luo lokia varten hakemisto<br />
<br />
mkdir /var/log/caddy<br />
sudo chown www-data:www-data -R /var/log/caddy<br />
<br />
Lataa konfiguraatio uudellen<br />
<br />
sudo service caddy reload</div>
Minh
https://taisto.org/index.php?title=Caddy_WebServer&diff=63931
Caddy WebServer
2019-05-19T10:01:43Z
<p>Minh: /* Konfigurointi */</p>
<hr />
<div>Caddy on uusi ja kevyt webpalvelin. <br />
<br />
== Asennus ==<br />
<br />
Asennus onnistuu helposti seuraavalla komennolla<br />
<br />
curl https://getcaddy.com | bash -s personal "http.cache,http.expires,http.minify,http.ratelimit,http.realip,tls.dns.cloudflare"<br />
<br />
Tämä asentaa myös seuraavat laajennukset:<br />
<br />
* http.cache<br />
* http.expires<br />
* http.ratelimit<br />
* tls.dns.cloudflare<br />
<br />
CloudFlare DNS-laajennusta käytetään Let's Encrypt SSL-sertifikaatin varmentamiseen DNS Challengen avulla kun käytetään CloudFlaren välityspalvelinta.<br />
<br />
Salli Caddy-palvelimen käyttämään pienempiä portteja kuin 1024<br />
<br />
sudo setcap cap_net_bind_service=+ep /usr/local/bin/caddy<br />
<br />
Luo konfiguraatioille tärkeät hakemistot<br />
<br />
<pre><br />
sudo mkdir /etc/caddy<br />
sudo chown -R root:www-data /etc/caddy<br />
sudo mkdir /etc/ssl/caddy<br />
sudo chown -R www-data:root /etc/ssl/caddy<br />
sudo chmod 0770 /etc/ssl/caddy<br />
sudo touch /etc/caddy/Caddyfile<br />
sudo mkdir /var/www<br />
sudo chown www-data: /var/www<br />
</pre><br />
<br />
Konfiguroi systemd<br />
<br />
<pre><br />
wget https://raw.githubusercontent.com/mholt/caddy/master/dist/init/linux-systemd/caddy.service<br />
sudo cp caddy.service /etc/systemd/system/<br />
sudo chown root:root /etc/systemd/system/caddy.service<br />
sudo chmod 644 /etc/systemd/system/caddy.service<br />
sudo systemctl daemon-reload<br />
</pre><br />
<br />
Asenna PHP (vapaaehtoinen, mutta tärkeä WordPressiä varten)<br />
<br />
sudo apt install php7.2-fpm php7-2-mysql php7.2-mbstring<br />
<br />
== Konfigurointi ==<br />
<br />
Caddy-palvelimen konfiguraatiot tehdään /etc/caddy/Caddyfile tiedostoon.<br />
<br />
Esimerkki konfiguraatio WordPress-sivua varten<br />
<br />
<pre><br />
examle.org www.example.org {<br />
# Email for Let's Encrypt<br />
tls username@example.org<br />
root /var/www/example.org<br />
gzip<br />
fastcgi / /run/php/php7.2-fpm.sock php {<br />
except /wp-content/upload/<br />
}<br />
rewrite {<br />
if {path} not_match ^\/wp-admin<br />
if {path} not_match ^\/wp-includes<br />
if {path} not_match ^\/wp-content<br />
to {path} {path}/ /index.php?{query}<br />
}<br />
<br />
log / /var/log/caddy/example.org_access.log "{combined}" {<br />
rotate_size 100 # rotate after 100 MB<br />
rotate_age 14 # keep log files for 14 days<br />
rotate_keep 10 # keep at most 10 log files<br />
rotate_compress<br />
}<br />
ratelimit /wp-login.php 5 7 minute<br />
internal /wp-config.php<br />
}<br />
</pre><br />
<br />
Luo lokia varten hakemisto<br />
<br />
mkdir /var/log/caddy<br />
sudo chown www-data:www-data -R /var/log/caddy</div>
Minh
https://taisto.org/index.php?title=Caddy_WebServer&diff=63930
Caddy WebServer
2019-05-19T10:00:59Z
<p>Minh: </p>
<hr />
<div>Caddy on uusi ja kevyt webpalvelin. <br />
<br />
== Asennus ==<br />
<br />
Asennus onnistuu helposti seuraavalla komennolla<br />
<br />
curl https://getcaddy.com | bash -s personal "http.cache,http.expires,http.minify,http.ratelimit,http.realip,tls.dns.cloudflare"<br />
<br />
Tämä asentaa myös seuraavat laajennukset:<br />
<br />
* http.cache<br />
* http.expires<br />
* http.ratelimit<br />
* tls.dns.cloudflare<br />
<br />
CloudFlare DNS-laajennusta käytetään Let's Encrypt SSL-sertifikaatin varmentamiseen DNS Challengen avulla kun käytetään CloudFlaren välityspalvelinta.<br />
<br />
Salli Caddy-palvelimen käyttämään pienempiä portteja kuin 1024<br />
<br />
sudo setcap cap_net_bind_service=+ep /usr/local/bin/caddy<br />
<br />
Luo konfiguraatioille tärkeät hakemistot<br />
<br />
<pre><br />
sudo mkdir /etc/caddy<br />
sudo chown -R root:www-data /etc/caddy<br />
sudo mkdir /etc/ssl/caddy<br />
sudo chown -R www-data:root /etc/ssl/caddy<br />
sudo chmod 0770 /etc/ssl/caddy<br />
sudo touch /etc/caddy/Caddyfile<br />
sudo mkdir /var/www<br />
sudo chown www-data: /var/www<br />
</pre><br />
<br />
Konfiguroi systemd<br />
<br />
<pre><br />
wget https://raw.githubusercontent.com/mholt/caddy/master/dist/init/linux-systemd/caddy.service<br />
sudo cp caddy.service /etc/systemd/system/<br />
sudo chown root:root /etc/systemd/system/caddy.service<br />
sudo chmod 644 /etc/systemd/system/caddy.service<br />
sudo systemctl daemon-reload<br />
</pre><br />
<br />
Asenna PHP (vapaaehtoinen, mutta tärkeä WordPressiä varten)<br />
<br />
sudo apt install php7.2-fpm php7-2-mysql php7.2-mbstring<br />
<br />
== Konfigurointi ==<br />
<br />
Caddy-palvelimen konfiguraatiot tehdään /etc/caddy/Caddyfile tiedostoon.<br />
<br />
Esimerkki konfiguraatio WordPress-sivua varten<br />
<br />
<pre><br />
examle.org www.example.org {<br />
# Email for Let's Encrypt<br />
tls username@example.org<br />
root /var/www/mt-tech.fi<br />
gzip<br />
fastcgi / /run/php/php7.2-fpm.sock php {<br />
except /wp-content/upload/<br />
}<br />
rewrite {<br />
if {path} not_match ^\/wp-admin<br />
if {path} not_match ^\/wp-includes<br />
if {path} not_match ^\/wp-content<br />
to {path} {path}/ /index.php?{query}<br />
}<br />
<br />
log / /var/log/caddy/mt-tech.fi_access.log "{combined}" {<br />
rotate_size 100 # rotate after 100 MB<br />
rotate_age 14 # keep log files for 14 days<br />
rotate_keep 10 # keep at most 10 log files<br />
rotate_compress<br />
}<br />
ratelimit /wp-login.php 5 7 minute<br />
internal /wp-config.php<br />
}<br />
</pre></div>
Minh
https://taisto.org/index.php?title=OpenLiteSpeed&diff=63929
OpenLiteSpeed
2019-05-19T09:55:58Z
<p>Minh: Ak: Uusi sivu: OpenLiteSpeed on kaupallisesta [https://www.litespeedtech.com/ LiteSpeed] Webpalvelimesta ilmainen ja avoin versio. OpenLiteSpeed-palvelimen parhaita puolia ovat: * TLS1.3-tuki *...</p>
<hr />
<div>OpenLiteSpeed on kaupallisesta [https://www.litespeedtech.com/ LiteSpeed] Webpalvelimesta ilmainen ja avoin versio. <br />
<br />
OpenLiteSpeed-palvelimen parhaita puolia ovat:<br />
* TLS1.3-tuki<br />
* HTTP/2 ja SPDY-tuki<br />
* Tukee Apache2:sesta tuttuja .htaccess tiedostoon syötettäviä uudelleenohjaus (rewrite) sääntöjä.<br />
* WordPress LSCache joka nopeuttaa WordPressin toimintaa<br />
<br />
== Asennus Ubuntulle ==<br />
<br />
Asenna APT Repoihin litespeedin omat repot ja asenna OpenLiteSpeed -palvelin<br />
<br />
<pre><br />
wget -O - http://rpms.litespeedtech.com/debian/enable_lst_debain_repo.sh | sudo bash<br />
sudo apt update<br />
apt-get install openlitespeed<br />
</pre><br />
<br />
Asenna PHP7.3. Oletuksena OpenLiteSpeed asentaa PHP5.6:sen.<br />
<br />
<pre><br />
sudo apt install lsphp73-*<br />
</pre></div>
Minh
https://taisto.org/index.php?title=Caddy_WebServer&diff=63928
Caddy WebServer
2019-05-18T13:13:13Z
<p>Minh: </p>
<hr />
<div>Caddy on uusi ja kevyt webpalvelin. <br />
<br />
== Asennus ==<br />
<br />
Asennus onnistuu helposti seuraavalla komennolla<br />
<br />
curl https://getcaddy.com | bash -s personal "http.cache,http.expires,http.minify,http.ratelimit,http.realip,tls.dns.cloudflare"<br />
<br />
Tämä asentaa myös seuraavat laajennukset:<br />
<br />
* http.cache<br />
* http.expires<br />
* http.ratelimit<br />
* tls.dns.cloudflare<br />
<br />
CloudFlare DNS-laajennusta käytetään Let's Encrypt SSL-sertifikaatin varmentamiseen DNS Challengen avulla kun käytetään CloudFlaren välityspalvelinta.<br />
<br />
Salli Caddy-palvelimen käyttämään pienempiä portteja kuin 1024<br />
<br />
sudo setcap cap_net_bind_service=+ep /usr/local/bin/caddy<br />
<br />
Luo konfiguraatioille tärkeät hakemistot<br />
<br />
<pre><br />
sudo mkdir /etc/caddy<br />
sudo chown -R root:www-data /etc/caddy<br />
sudo mkdir /etc/ssl/caddy<br />
sudo chown -R www-data:root /etc/ssl/caddy<br />
sudo chmod 0770 /etc/ssl/caddy<br />
sudo touch /etc/caddy/Caddyfile<br />
sudo mkdir /var/www<br />
sudo chown www-data: /var/www<br />
</pre><br />
<br />
Konfiguroi systemd<br />
<br />
<pre><br />
wget https://raw.githubusercontent.com/mholt/caddy/master/dist/init/linux-systemd/caddy.service<br />
sudo cp caddy.service /etc/systemd/system/<br />
sudo chown root:root /etc/systemd/system/caddy.service<br />
sudo chmod 644 /etc/systemd/system/caddy.service<br />
sudo systemctl daemon-reload<br />
</pre></div>
Minh
https://taisto.org/index.php?title=Caddy_WebServer&diff=63927
Caddy WebServer
2019-05-18T13:06:38Z
<p>Minh: /* Asennus */</p>
<hr />
<div>Caddy on uusi ja kevyt webpalvelin. <br />
<br />
== Asennus ==<br />
<br />
Asennus onnistuu helposti seuraavalla komennolla<br />
<br />
curl https://getcaddy.com | bash -s personal "http.cache,http.expires,http.ratelimit,tls.dns.cloudflare"<br />
<br />
Tämä asentaa myös seuraavat laajennukset:<br />
<br />
* http.cache<br />
* http.expires<br />
* http.ratelimit<br />
* tls.dns.cloudflare<br />
<br />
CloudFlare DNS-laajennusta käytetään Let's Encrypt SSL-sertifikaatin varmentamiseen DNS Challengen avulla kun käytetään CloudFlaren välityspalvelinta.<br />
<br />
Salli Caddy-palvelimen käyttämään pienempiä portteja kuin 1024<br />
<br />
sudo setcap cap_net_bind_service=+ep /usr/local/bin/caddy<br />
<br />
Luo konfiguraatioille tärkeät hakemistot<br />
<br />
<pre><br />
sudo mkdir /etc/caddy<br />
sudo chown -R root:www-data /etc/caddy<br />
sudo mkdir /etc/ssl/caddy<br />
sudo chown -R www-data:root /etc/ssl/caddy<br />
sudo chmod 0770 /etc/ssl/caddy<br />
sudo touch /etc/caddy/Caddyfile<br />
sudo mkdir /var/www<br />
sudo chown www-data: /var/www<br />
</pre><br />
<br />
Konfiguroi systemd<br />
<br />
<pre><br />
wget https://raw.githubusercontent.com/mholt/caddy/master/dist/init/linux-systemd/caddy.service<br />
sudo cp caddy.service /etc/systemd/system/<br />
sudo chown root:root /etc/systemd/system/caddy.service<br />
sudo chmod 644 /etc/systemd/system/caddy.service<br />
sudo systemctl daemon-reload<br />
</pre></div>
Minh
https://taisto.org/index.php?title=Caddy_WebServer&diff=63926
Caddy WebServer
2019-05-18T12:33:03Z
<p>Minh: Ak: Uusi sivu: Caddy on uusi ja kevyt webpalvelin. == Asennus == Asennus onnistuu helposti seuraavalla komennolla curl https://getcaddy.com | bash -s personal "http.cache,http.expires,http.r...</p>
<hr />
<div>Caddy on uusi ja kevyt webpalvelin. <br />
<br />
== Asennus ==<br />
<br />
Asennus onnistuu helposti seuraavalla komennolla<br />
<br />
curl https://getcaddy.com | bash -s personal "http.cache,http.expires,http.ratelimit,tls.dns.cloudflare"<br />
<br />
Tämä asentaa myös seuraavat laajennukset:<br />
<br />
* http.cache<br />
* http.expires<br />
* http.ratelimit<br />
* tls.dns.cloudflare<br />
<br />
CloudFlare DNS-laajennusta käytetään Let's Encrypt SSL-sertifikaatin varmentamiseen DNS Challengen avulla kun käytetään CloudFlaren välityspalvelinta.</div>
Minh
https://taisto.org/index.php?title=Ssh&diff=63925
Ssh
2019-03-09T18:21:25Z
<p>Minh: /* Konfiguraatio jossa valmiina polku ssh avaimelle */</p>
<hr />
<div><languages/><br />
<translate><br />
<!--T:1--><br />
SSH on käytännöllinen etähallinta palvelu linuxille. <br /><br />
<br />
<!--T:2--><br />
[http://en.wikipedia.org/wiki/Secure_Shell SSH (Secure Shell)] on myös protokolla, mutta tässä artikkelissa käsitellään apt pakettia ssh.<br />
<br />
== Asennus == <!--T:3--><br />
<br />
<!--T:4--><br />
Asennetaan ssh -paketti aptitude:lla.<br />
<br />
<!--T:5--><br />
[[aptitude]] install ssh<br />
<br />
== Konfigurointi == <!--T:6--><br />
<br />
<br />
=== /etc/ssh/sshd_config === <!--T:7--><br />
<br />
<!--T:8--><br />
Tiedostosta löytyy ssh serverin tärkeät konfiguraatiot. <br />
<br />
<!--T:9--><br />
Muokataan sitä nano:lla<br />
<br />
<!--T:10--><br />
[[nano]] /etc/ssh/sshd_config<br />
<br />
<!--T:11--><br />
Portti (TCP, UDP), määritetään numerolla (oletus 22).<br />
Port 22<br />
<br />
<!--T:12--><br />
Kirjautumisen yhteyden aikakatkaisu, määritetään sekunteina (oletus 120).<br />
LoginGraceTime 120<br />
<br />
<!--T:13--><br />
Sallitaan tai estetään root -käyttäjän kirjautuminen ssh:lla, määritetään ''yes'' tai ''no'' (oletus ''yes''). <br />
'''Ehdottomasti suositeltavaa estää root käyttäjän kirjautuminen SSH yhteydellä.'''<br />
<br />
<!--T:14--><br />
PermitRootLogin yes<br />
<br />
<!--T:15--><br />
Autentikoimattomien yhteyksien sallittu määrä, määritetään [vähintään]:[todennäköisyys%]:[enintään]<br />
(todennäköisyys% kasvaa lineaarisesti, kun lähestytään enimmäismäärää)<br />
MaxStartups 10:30:60<br />
<br />
<!--T:16--><br />
Kommentoimattomana (ilman '#' edessä) tulostaa viestin käyttäjän kirjautuessa (käyttäjänimen syöttämisen jälkeen).<br />
Banner /etc/issue.net<br />
Viestiä voi muokata nano:lla<br />
nano /etc/issue.net<br />
<br />
<!--T:17--><br />
Kirjautumisen jälkeen nähtävä viesti:<br />
<br />
<!--T:18--><br />
[[nano]] /etc/motd<br />
<br />
<!--T:19--><br />
Oletusviesti:<br />
<br />
<!--T:20--><br />
The programs included with the Debian GNU/Linux system are free software;<br />
the exact distribution terms for each program are described in the<br />
individual files in /usr/share/doc/*/copyright.<br />
<br />
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent<br />
permitted by applicable law.<br />
<br />
<br />
<br />
<!--T:21--><br />
Lopuksi otetaan muokattu konfiguraatio käyttöön käynnistämällä ssh palvelu uudestaan.<br />
<br />
<!--T:22--><br />
service ssh restart<br />
<br />
<!--T:23--><br />
Suositus on asentaa [[Fail2ban]] SSH-palvelimelle, sillä automaattisia botteja on olemssa ja yrittää hyökätä SSH palvelimiin.<br />
<br />
== Lisäasetukset == <!--T:24--><br />
<br />
<!--T:25--><br />
Salli enintään istuntoja per käyttäjä<br />
<br />
<!--T:26--><br />
MaxSessions 10<br />
<br />
<br />
<!--T:27--><br />
Salli vain käyttäjää matti kirjautumaan SSH yhteydellä.<br />
<br />
<!--T:28--><br />
AllowUsers matti<br />
<br />
<!--T:29--><br />
Sallitaan tietyn käyttäjän tai käyttäjien kirjautuminen vain tietystä LANista<br />
<br />
<!--T:30--><br />
AllowUsers root@''88.148.222.100''<br />
AllowUsers root@''example.com''<br />
AllowUsers root@''192.168.*.*'' Tässä esimerkissä kaikki osoitteesta 192.168.0.0/16 pääsee sisälle<br />
<br />
<!--T:31--><br />
Estä käyttäjää paavo kirjautumaan SSH yhteydellä.<br />
<br />
<!--T:32--><br />
DenyUsers<br />
<br />
<!--T:33--><br />
Salli käyttäjäryhmässä olevien käyttäjien kirjautuminen SSH yhteydellä.<br />
<br />
<!--T:34--><br />
AllowGroups Admins<br />
<br />
<!--T:35--><br />
Estä käyttäjäryhmässä olevia käyttäjiä kirjautumasta SSH yhteydellä.<br />
<br />
<!--T:36--><br />
DenyGroups<br />
<br />
== Autentikointi avainpareilla == <!--T:37--><br />
<br />
Luodaan julkinen ja privaati avain.<br />
<br />
ssh-keygen -t rsa -b 2048<br />
<br />
<br />
Esimerkki tulostus<br />
<br />
<pre><br />
Generating public/private rsa key pair.<br />
Enter file in which to save the key (/root/.ssh/id_rsa):<br />
Enter passphrase (empty for no passphrase):<br />
Enter same passphrase again:<br />
Your identification has been saved in /root/.ssh/id_rsa.<br />
Your public key has been saved in /root/.ssh/id_rsa.pub.<br />
The key fingerprint is:<br />
9a:33:a9:5d:f4:e1:41:26:57:d0:9a:68:5b:37:9c:23 root@server1<br />
The key's randomart image is:<br />
+--[ RSA 2048]----+<br />
| .o. |<br />
| .. |<br />
| ..++ . |<br />
| o=E * |<br />
| .Sooo o |<br />
| =.o o |<br />
| * . o |<br />
| o + |<br />
| . . |<br />
+-----------------+<br />
</pre><br />
<br />
Kopioi privaattiavain toiselle paikkaan josta haluat päästä kirjautumaan.<br />
<br />
ssh-copy-id -i /root/.ssh/id_rsa.pub root@server2<br />
<br />
Luo hakemisto ssh:lle jos sitä ei ole<br />
<br />
mkdir -p ~/.ssh/<br />
<br />
Kopioi public key authorized_keys tiedostoon.<br />
<br />
cat id_rsa.pub >> ~/.ssh<br />
<br />
Testaa kirjautuminen <br />
<br />
ssh root@server1<br />
<br />
=== Avaimet toiselle käyttäjätilille ===<br />
<br />
Luodaan julkinen ja privaattiavain toiselle käyttäjätilille<br />
<br />
ssh-keygen -t rsa -b 2048 -f username<br />
<br />
Tämä tallentaa avaimen käyttäjän nimellä. Lisää username.pub tiedoston sisältö käyttäjän kotikansion alle olevaan authorized_keys tiedostoon<br />
<br />
cat username.pub >> ~/.ssh/authorized_keys<br />
<br />
Testaa kirjautuminen. Lisää -i parametriin privaattiavain tiedosto.<br />
<br />
ssh -i ~/.ssh/username username@server1<br />
<br />
=== Konfiguraatio jossa valmiina polku ssh avaimelle ===<br />
<br />
Luo konfiguraatio tiedosto kotikansion alle<br />
<br />
nano ~/.ssh/config<br />
<br />
Esimerkiksi seuraavanlaiseksi:<br />
<br />
* Host palvelimen IP/Hostname<br />
* IdentifyFile Privaattitiedostopolku<br />
* User jolla kirjaudutaan tälläprivaattiavainta<br />
<pre><br />
Host server1.example.org<br />
IdentityFile ~/.ssh/id_rsa<br />
User username<br />
Host server2.example.org<br />
IdentityFile /backup/home/userName/.ssh/id_rsa<br />
</pre><br />
<br />
Yhdistä palvelimelle<br />
<br />
ssh server1.example.org <br />
<br />
ja pitäisi mennä suoraan sisään ilman -i parametriä.<br />
<br />
[[Luokka:Linux|Ssh]]<br />
<br />
== SSH Tunneli ==<br />
<br />
SSH_tunneli on SSH-protokolan porttiohjaus, joka ei vaadi erityisiä toimenpiteitä ja toimii tavallisen käyttäjän oikeuksilla. Tämä on todella helppo myöskoinn käyttää. <br />
<br />
Salli palvelimen konfiguraatiosta SSH-tunneli <code>/etc/ssh/sshd_config</code> tiedostosta.<br />
<br />
PermitTunnel yes<br />
<br />
Aja sitten asiakasohjelmalla komento. Tämä tekee SSH-porttiohjauksen localhost:8080 server.local palvelimeen. Näin voit yhdistää IP-tunnelin yli server.local palvelimen 8080 porttiin suoraan clientista käsin.<br />
<br />
ssh -L 8080 username@server.local<br />
<br />
Tässä toinen esimerkki, jossa on tehty tunneloini paikallisesta 2222 portista etäkoneen porttiin 22 (ssh). <br />
<br />
ssh -L 2222:server2.local:22 username@server.local<br />
<br />
== SFTP ==<br />
<br />
Konfiguroi SFTP:<br />
<br />
nano /etc/ssh/sshd_config<br />
<br />
<pre><br />
Subsystem sftp internal-sftp<br />
<br />
#Salli vain ryhmän sftp käyttämään SFTP:tä.<br />
Match Group sftp<br />
ChrootDirectory %h<br />
ForceCommand internal-sftp<br />
AllowTCPForwarding no<br />
</pre><br />
<br />
Luo käyttäjät <br />
<br />
adduser mikko<br />
adduser mikko sftp<br />
<br />
Lisää vielä sallitut käyttäjät jotka saa käyttää SSH:ta ja SFTP:tä<br />
<br />
AllowUsers mikko<br />
<br />
Käynnistä lopuksi SSH uudelleen.<br />
<br />
</translate><br />
<br />
[[Luokka:Linux|Ssh]]</div>
Minh
https://taisto.org/index.php?title=Home_Assistant&diff=63924
Home Assistant
2019-03-09T16:29:43Z
<p>Minh: /* Unifi Video Camera */</p>
<hr />
<div>Home Assistant on kotiautomaatio alusta joka on avointa lähdekoodia. Sitä voidaan ajaa Debianinilla virtuaalisesti ja helposti Raspberry Pi:llä.<br />
<br />
Hyvät dokumentaatiot löytyvät täältä: https://www.home-assistant.io/<br />
<br />
Tässä omasssa asennuksessa, toteutin virtuaalikoneella. Käyttöjärjestelmä piti olla Ubuntu 17.10 tai Debian 9 vähintään.<br />
<br />
== Asennus ==<br />
<br />
=== Haas.io asennus ===<br />
<br />
Lisää gpg avain<br />
<br />
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -<br />
<br />
Lisää Source.listiin Docker<br />
<br />
sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable edge"<br />
<br />
Asenna Docker ja muut tarvittavat komponentit<br />
<br />
sudo apt install docker-ce jq avahi-daemon<br />
<br />
Lataa curlilla ja asenna scriptin avulla haas.io dockerille<br />
<br />
curl -sL https://raw.githubusercontent.com/home-assistant/hassio-build/master/install/hassio_install | sudo bash -s<br />
<br />
=== Home Assistant asennus Ubuntulle ===<br />
<br />
https://community.home-assistant.io/t/home-assistant-fresh-on-ubuntu-16-04-server/32722/10<br />
<br />
<pre><br />
sudo apt install python3-dev python3-pip python3-venv<br />
sudo pip3 install --upgrade virtualenv<br />
sudo su -s /bin/bash homeassistant<br />
mkdir /opt/homeassistant<br />
cd /opt/homeassistant<br />
python3 -m venv /opt/homeassistant<br />
source bin/activate<br />
pip3 install homeassistant<br />
</pre><br />
<br />
== Hasbianin ja manuaalisen asennuksen päivittäminen ==<br />
<br />
Päivittäminen onnistuu helposti sudo-oikeudella seuraavanlaisesti<br />
<br />
sudo hassbian-config upgrade homeassistant<br />
<br />
Jos käytössäsi on manuaaliasennus, tee päivitys seuraavalla tavalla<br />
<br />
<pre><br />
sudo su -s /bin/bash homeassistant<br />
cd /opt/homeassistant<br />
python3 -m venv /opt/homeassistant<br />
source bin/activate<br />
pip3 install --upgrade homeassistant<br />
exit<br />
</pre><br />
<br />
Käynnistä Home Assistant uudelleen<br />
<br />
== Konfigurointi ==<br />
<br />
=== APC UPS ===<br />
<br />
Home Assistant tukee APC:n UPS-laitteita, mutta sitä varten tulee asentaa palvelimelle komponentteja. <br />
<br />
sudo apt install apcupsd<br />
<br />
Tämän jälkeen kommentoi DEVICE rivi ja sen interface /etc/apcupsd/apcupsd.conf tiedostosta<br />
<br />
<pre><br />
UPSTYPE usb<br />
#DEVICE /dev/ttyS0<br />
</pre><br />
<br />
Käynnistä palvelu uudelleen<br />
<br />
sudo service apcupsd restart<br />
<br />
Konfiguroi tämän jälkeen Home Assistant<br />
<br />
<pre><br />
- platform: apcupsd<br />
resources:<br />
- bcharge<br />
- linev<br />
- loadpct<br />
- nominv<br />
- nompower<br />
- numxfers<br />
- outputv<br />
- status<br />
- timeleft<br />
- tonbatt<br />
</pre><br />
<br />
=== MQTT - Mosquitto ===<br />
<br />
Asennetaan Mosquitto<br />
<br />
<pre><br />
sudo apt-add-repository ppa:mosquitto-dev/mosquitto-ppa<br />
sudo apt update<br />
sudo apt install mosquitto<br />
</pre><br />
<br />
Konfiguroidaan Mosquitto konfiguraatio tiedostoon omia konfiguraatioita varten local.conf tiedosto.<br />
<br />
sudo nano /etc/mosquitto/conf.d/local.conf<br />
<br />
Lisätään tiedostoon seuraavanlainen konfiguraatio<br />
<br />
<pre><br />
port 1883<br />
allow_anonymous false<br />
password_file /etc/mosquitto/passwd<br />
</pre><br />
<br />
Luo käyttäjätunnus Mosquittoa varten<br />
<br />
sudo mosquitto_passwd -c /etc/mosquitto/passwd mqtt<br />
<br />
Mikäli haluat lisätä useampia käyttäjätunnuksia, poista -c parametri. Käynnistä aina palvelu uudelleen<br />
<br />
Konfiguroidaan home-assistant konfiguraatio tiedostoon. Tunnukset ja salasanat tallennetaan secret.yaml tiedostoon samaan hakemistoon muuttujien taakse.<br />
<br />
<pre><br />
mqtt:<br />
broker: 127.0.0.1<br />
port: 1883<br />
client_id: home-assistant-1<br />
keepalive: 60<br />
username: !secret mqtt_username<br />
password: !secret mqtt_password<br />
protocol: 3.1<br />
</pre><br />
<br />
Käynnistä Mosquitto uudelleen. Jostain syystä restart-attribuutti ei toimi.<br />
<br />
<pre><br />
sudo service mosquitto stop<br />
sudo service mosquitto start<br />
</pre><br />
<br />
=== Xiaomi BLE Temperature and Humidity sensor ===<br />
<br />
Mikäli käytössä Debian/Ubuntu niin asenna seuraavat kirjasto pakettihallinnasta<br />
<br />
sudo apt install libglib2.0-dev<br />
<br />
Tämän jälkeen voit asentaa virtualenviromentissa pipi:llä<br />
<br />
pip3 install bluepy btlewrap</div>
Minh
https://taisto.org/index.php?title=Unifi_Controller&diff=63923
Unifi Controller
2019-01-27T18:04:57Z
<p>Minh: /* Asennus */</p>
<hr />
<div>Unifi Controller on Uniquiti Unifi -sarjalle tarkoitettu hallintaohjelmisto. Ohjelmiston avulla on helppo hallinnoida keskitetystä Ubiquitin Unifi-sarjan tuotteista.<br />
<br />
== Asennus ==<br />
<br />
Mikäli käytössäsi on Ubuntu 18.04 LTS, varmista että asennat Mongodb-version 3.4:sen. 3.6:sella ei toimi kunnolla.<br />
<br />
<pre><br />
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6<br />
echo "deb http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list<br />
sudo apt update<br />
</pre><br />
<br />
Asenna pakettihallinnasta<br />
<br />
echo 'deb http://www.ubnt.com/downloads/unifi/debian stable ubiquiti' | sudo tee /etc/apt/sources.list.d/100-ubnt-unifi.list<br />
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv 06E85760C0A52C50 <br />
sudo apt-get update <br />
sudo apt-get install unifi<br />
<br />
Kirjaudu hallintaan https://ip-osoite:8443<br />
<br />
== Konfigurointi ==<br />
<br />
=== Let's Encrypt ===<br />
<br />
Pikaohje Let's Encrypt sertifikaatin asennukseen Unifi Controlleriin <br />
<br />
Asenna letsencrypt<br />
<br />
sudo apt install letsencrypt<br />
<br />
Kloonaa Githubista<br />
<br />
<pre><br />
git clone https://github.com/stevejenkins/unifi-linux-utils.git<br />
cd unifi-linux-utils<br />
</pre><br />
<br />
Avaa unifi_ssl_import.sh tiedosto<br />
<br />
nano unifi_ssl_import.sh <br />
<br />
Muokkaa tiedostosta:<br />
<br />
* UNIFI_HOSTNAME vastaamaan omaa isäntänimeä<br />
* Mikäli käytössä on Ubuntu/Debian, kommentoi ja poista kommentit riveiltä UNIFI_DIR, JAVA_DIR, KEYSTORE<br />
* Ota käyttöön LE_mode vaihtamalla "no" -> "yes"<br />
<br />
Sulje tiedosto<br />
<br />
chmod +x unifi_ssl_import.sh <br />
<br />
Asenna Let's Encrypt sertifikaatti palvelimelle. Suosittelen esimerkiksi asentamaan Nginx, jotta saat asennettua sertifikaatin [[Letsencrypt#Webroot_menetelm.C3.A4|webroot-mentelmällä]] ja kun sertifikaatti on asennettu omalla isäntänimellä, aja unifi_ssl_import.sh työkalu.<br />
<br />
Uusi automaattisesti cronilla<br />
<br />
0 3 1 */2 * root /usr/lib/letsencrypt renew --quiet && sh /root/unifi-linux-utils/upgrade_unifi_controller.sh<br />
<br />
=== Nginx reverse proxy ===<br />
<br />
Esimerkki konfiguraatio<br />
<br />
<pre><br />
server {<br />
listen 80 default_server;<br />
<br />
include /etc/nginx/snippets/letsencryptauth.conf;<br />
<br />
ssl_dhparam /etc/ssl/certs/dhparam.pem;<br />
<br />
root /var/www/html;<br />
<br />
server_name xxxxx.xxxxx.xxxxx;<br />
<br />
location /inform {<br />
proxy_pass http://localhost:8080/inform;<br />
include /etc/nginx/proxy_params;<br />
}<br />
<br />
location / {<br />
return 301 https://localhost$request_uri;<br />
}<br />
}<br />
<br />
server {<br />
listen 443 ssl http2;<br />
server_name xxxxx.xxxxx.xxxxx;<br />
<br />
ssl on;<br />
<br />
ssl_certificate /etc/letsencrypt/live/xxxxx.xxxxx.xxxxx/fullchain.pem;<br />
ssl_certificate_key /etc/letsencrypt/live/xxxxx.xxxxx.xxxxx/privkey.pem;<br />
ssl_trusted_certificate /etc/nginx/ssl/default/unifi.pem;<br />
ssl_dhparam /etc/ssl/certs/dhparam.pem;<br />
<br />
ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;<br />
ssl_prefer_server_ciphers on;<br />
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<br />
ssl_session_cache shared:SSL:10m;<br />
ssl_session_timeout 5m;<br />
add_header Strict-Transport-Security "max-age=31536000" always;<br />
<br />
server_tokens off;<br />
<br />
proxy_ssl_verify off;<br />
proxy_ssl_session_reuse on;<br />
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<br />
proxy_cache off;<br />
proxy_store off;<br />
<br />
<br />
location /wss {<br />
proxy_pass https://localhost:8443/wss;<br />
proxy_redirect off;<br />
proxy_buffering off;<br />
proxy_set_header Host $http_host;<br />
proxy_set_header X-Real-IP $remote_addr;<br />
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;<br />
proxy_http_version 1.1;<br />
proxy_set_header Upgrade $http_upgrade;<br />
proxy_set_header Connection "Upgrade";<br />
proxy_ssl_verify off;<br />
}<br />
<br />
location / {<br />
proxy_pass https://127.0.0.1:8443;<br />
proxy_set_header Host $host;<br />
proxy_set_header X-Forwarded-Proto $scheme;<br />
proxy_intercept_errors on;<br />
proxy_http_version 1.1;<br />
proxy_set_header Upgrade $http_upgrade;<br />
proxy_set_header Connection "Upgrade";<br />
proxy_set_header X-Real-IP $remote_addr;<br />
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;<br />
}<br />
}<br />
</pre><br />
<br />
== Sivustokohtaiset konfiguraatiot ==<br />
<br />
Sivustokohtaiset konfiguraatiot (Site) tehdään config.properties tiedostoon. Tämä tulee jokaiselle sivustolle erikseen. Osa Unifi:n konfiguroinneista ei löydy graafisesta näkymästä vaan tulee tehdä konfigurointitiedostoon. Lisätietoa tästä: https://help.ubnt.com/hc/en-us/articles/205146040-UniFi-config-properties-File-Explanation<br />
<br />
Sivustot löytyvät Debian/Ubuntu-palvelimella /var/lib/unifi/sites/ hakemistosta. <br />
<br />
Voit tarkistaa konfiguraatiot aina Unifi-laitteella avaamalla sinne konsoliyhteyden ja tarkistamaan /tmp/running.cfg tiedoston sisällön.<br />
<br />
=== Ota käyttöön Beamforming ===<br />
<br />
Beamforming on tekniikka joka auttaa automaattisesti antennien suuntauksessa kun on asiakaslaite heikkommassa signaalissa tarjoten näin paremman yhteyden. Oletuksena toiminto on pois käytöstä.<br />
<br />
Saat lisättyä tämän toiminnon käyttöön seuraavanlaisella komennolla. Korvaa {site_name] sivuston nimellä. default on oletussivu.<br />
<br />
echo 'config.system_cfg.1=radio.1.txbf=3' >> /var/lib/unifi/sites/[site_name]/config.properties<br />
<br />
Tämän jälkeen sinun tulee uudelleen provisioida asetukset asiakaslaitteille.</div>
Minh
https://taisto.org/index.php?title=Modoboa&diff=63922
Modoboa
2019-01-06T08:40:33Z
<p>Minh: /* Päivittäminen */</p>
<hr />
<div>Modoboa on sähköpostin ylläpito ja hallinta järjestelmä helpolla web-hallinnalla.<br />
<br />
Modoboa käyttää:<br />
<br />
* [[Nginx]] + uwsgi<br />
* [[PostgreSQL]] (oletus) / [[Mysql|MySQL]] <br />
* [[Automx]]<br />
* Amavis<br />
* Clamav<br />
* [[Dovecot]]<br />
* [[Postfix]]<br />
* [[Spamassassin|Spamassassin]]<br />
<br />
== Asennus ==<br />
<br />
Asenna vaaditut paketit <br />
<br />
sudo apt install python-virtualenv python-pip virtualenv letsencrypt<br />
<br />
Jos haluat käyttää LDAPia, asenna<br />
<br />
sudo apt install python-ldap python-django-auth-ldap<br />
<br />
Helpoiten omalla asennusohjelmalla. <br />
<br />
<pre><br />
git clone https://github.com/modoboa/modoboa-installer<br />
cd modoboa-installer<br />
sudo ./run.py example.org<br />
</pre><br />
<br />
Ennen asennusta voit kopioida installer.cfg.default installer.cfg:ksi ja muokata sitä. Suosittelen määrittämään tietokantapalvelimelle salasanan.<br />
<br />
Konfiguroi DNS autoconfig.example.org ja mail.example.org osoittaamaan tähän postipalvelimeen. Siirry https://mail.example.org jatkamaan konfigurointia.<br />
<br />
<pre><br />
Welcome to Modoboa installer!<br />
Your mail server will be installed with the following components:<br />
modoboa automx amavis clamav dovecot nginx razor postfix spamassassin uwsgi<br />
Do you confirm? (Y/n) y<br />
The process can be long, feel free to take a coffee and come back later ;)<br />
Starting...<br />
Generating new self-signed certificate<br />
Installing amavis<br />
Installing spamassassin<br />
Installing razor<br />
Installing clamav<br />
Installing modoboa<br />
Installing automx<br />
Installing uwsgi<br />
Installing nginx<br />
Installing postfix<br />
Installing dovecot<br />
Congratulations! You can enjoy Modoboa at https://mail.example.org (admin:password)<br />
</pre><br />
<br />
Oletuskäyttäjätunnus on admin ja salasanana password. Vaihda nämä heti asennuksen yhteydessä.<br />
<br />
== Päivittäminen ==<br />
<br />
Siirry Modoboan hakemistoon<br />
<br />
cd /srv/modoboa<br />
<br />
Aja virtualenv ja määritä sen source<br />
<br />
<pre><br />
sudo -u modoboa -i bash<br />
virtualenv env<br />
source /srv/modoboa/env/bin/activate<br />
</pre><br />
<br />
Asenna Modoboan uusin versio<br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
./pip install modoboa --upgrade<br />
./pip install modoboa_pdfcredentials --upgrade<br />
./pip install modoboa-amavis --upgrade<br />
./pip install modoboa-webmail --upgrade<br />
./pip install modoboa-stats --upgrade<br />
./pip install modoboa-contacts --upgrade<br />
./pip install modoboa-sievefilters --upgrade<br />
./pip install modoboa-postfix-autoreply --upgrade<br />
./pip install modoboa-dmarc --upgrade<br />
./pip install modoboa-radicale --upgrade<br />
</pre><br />
<br />
Käynnistä lopuksi uwsgi uudelleen<br />
sudo service uwsgi restart<br />
<br />
Kopioi staattiset tiedostot ja päivitä tietokannan rakenne<br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
sudo ./python /srv/modoboa/instance/manage.py migrate<br />
sudo ./python /srv/modoboa/instance/manage.py collectstatic<br />
</pre><br />
<br />
Tarkista konffit<br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
./python /srv/modoboa/instance/manage.py check --deploy<br />
</pre><br />
<br />
Varmista täältä vielä lisäohjeistus versiokohtaisesti: https://modoboa.readthedocs.io/en/latest/upgrade.html<br />
<br />
== Konfigurointi ==<br />
<br />
Modoboa voi konfiguroida /srv/modoboa/instance/instance/settings.py tiedostossa olevilla parametreillä. Käynnistä muutosten jälkeen uwsgi uudelleen.<br />
<br />
sudo nano /srv/modoboa/instance/instance/settings.py<br />
<br />
Käynnistä muutosten jälkeen uwsgi uudelleen<br />
<br />
sudo service uwsgi restart<br />
<br />
Jos muutat Postfixin konfiguraatiota (SQL), päivitä ne:<br />
<br />
<pre><br />
sudo ./python /srv/modoboa/instance/manage.py generate_postfix_maps --destdir /etc/postfix --force-overwrite<br />
</pre><br />
<br />
== DMARC ==<br />
<br />
Asennus seuraavilla komennoilla<br />
<br />
<pre><br />
cd /srv/modoboa<br />
virtualenv env<br />
source env/bin/activate<br />
/srv/modoboa/env/bin/pip install modoboa-dmarc<br />
</pre><br />
<br />
Muokkaa <code>/srv/modoboa/instance/instance/manage.py</code> tiedostoa ja lisää sinne MODOBOA_APPS kohtaan <br />
<br />
'modoboa_dmarc'<br />
<br />
Lisää tämä Postfixin master.config tiedostoon <code>/etc/postfix/master.cf</code><br />
<br />
Aja sitten <br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
sudo ./python /srv/modoboa/instance/manage.py migrate modoboa_dmarc<br />
sudo ./python /srv/modoboa/instance/manage.py collectstatic<br />
sudo ./python /srv/modoboa/instance/manage.py load_initial_data<br />
</pre><br />
<br />
<pre><br />
dmarc-rua-parser unix - n n - - pipe<br />
flags= user=vmail:vmail argv=/srv/modoboa/env/bin/python /srv/modoboa/instance/manage.py import_aggregated_report --pipe<br />
</pre><br />
<br />
== Vianmääritys ==<br />
<br />
Tarkista lokit<br />
<br />
uwsgi:<br />
<br />
tail /var/log/uwsgi/app/modoboa_instance.log -f<br />
<br />
Jos edelleenkin saat virhettä, ota käyttöön debug lokit <code>/srv/modoboa/instance/instance/settings.py</code> konfiguraatiosta ja käynnistä uwsgi uudelleen.<br />
<br />
Jos vikaa tulee päivityksen jälkeen tulee ongelmia, palauta aikaisempi versio takaisin.</div>
Minh
https://taisto.org/index.php?title=Postfix&diff=63921
Postfix
2018-12-30T11:06:54Z
<p>Minh: /* Opendkim konfigurointi Postfixiin */</p>
<hr />
<div><languages/><br />
<translate><br />
<!--T:1--><br />
Postfix on sähköpostin välitysohjelmisto (MTA). Postfix on avoimen lisenssillä varustettu ohjelmisto. Tietoturvallisessa ja suorituskykyisessä Postfixissä on hyvä roskapostin suodatus. <br />
<br />
<!--T:2--><br />
Suosittelemme käyttämään myös [[Spamassassin]] ja [[Amavis]] suojaamaan sähköpostipalvelinta roskapostittajilta.<br />
<br />
== Asennus == <!--T:3--><br />
<br />
<!--T:4--><br />
[[aptitude]] install postfix<br />
<br />
<!--T:5--><br />
Seuraa asennusohjelman ohjeita<br />
<br />
<!--T:6--><br />
[[Tiedosto:postfix1.png]]<br />
<br />
<br />
<!--T:7--><br />
Tämän jälkeen sinun tulee antaa palvelimen isäntänimi<br />
<br />
<!--T:8--><br />
esimerkiksi:<br />
<br />
<!--T:9--><br />
mail.example.com<br />
<br />
== Konfigurointi == <!--T:10--><br />
<br />
<br />
<!--T:11--><br />
Avaa konfigurointi tiedosto:<br />
<br />
<!--T:12--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:13--><br />
Tarkista postifixin konfigurointi tiedostossa on määritetty tietokoneen isäntänimi ja palvelimen osoite<br />
<br />
<!--T:14--><br />
myhostname = server.example.com<br />
alias_maps = hash:/etc/aliases<br />
alias_database = hash:/etc/aliases<br />
myorigin = example.com<br />
mydestination = example.com, server.example.com, localhost, localhost.example.com$<br />
#relayhost =<br />
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128<br />
mailbox_command = procmail -a "$EXTENSION"<br />
mailbox_size_limit = 0<br />
recipient_delimiter = +<br />
inet_interfaces = all<br />
<br />
<!--T:15--><br />
Tallenna tiedosto ja avaa seuraavaksi tiedosto<br />
<br />
<!--T:16--><br />
nano /etc/postfix/master.cf<br />
<br />
<!--T:17--><br />
Oletuksena master.cf tiedostossa on sallittu normaali SMTP yhteys portissa 25.<br />
<br />
<!--T:18--><br />
smtp inet n - - - - smtpd<br />
<br />
<br />
<!--T:19--><br />
Oletuksena seuraavat ovat risuaidalla merkitty (#).<br />
<br />
<!--T:20--><br />
Ota käyttöön poistamalla risuaita 587 portissa tapahtuva SMTP tiedonsiirtoa. Sillä voi myös siirtää salattua liikennettä komennolla STARTTLS.<br />
<br />
<!--T:21--><br />
submission inet n - - - - smtpd<br />
-o syslog_name=postfix/submission<br />
-o smtpd_tls_security_level=encrypt<br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
-o milter_macro_daemon_name=ORIGINATING<br />
<br />
<!--T:22--><br />
Ota käyttöön poistamalla risuaita SMTPS yhteys (portissa 465). SSL salaus käytetään tässä yhteydessä oletuksena. SASL todennusta suositellaan käytettäväksi.<br />
<br />
<!--T:23--><br />
smtps inet n - - - - smtpd<br />
-o syslog_name=postfix/smtps<br />
-o smtpd_tls_wrappermode=yes<br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
-o milter_macro_daemon_name=ORIGINATING<br />
<br />
=== Selitetään: === <!--T:24--><br />
<br />
<!--T:25--><br />
Palvelimesi nimi (tarkista että on sama kuin hostname (komento: hostname)):<br />
myhostname = server.example.com<br />
Kirjautumisen tunnukset = sama kuin Debian. Ei muuteta<br />
alias_maps = hash:/etc/aliases<br />
alias_database = hash:/etc/aliases<br />
Domain (määritetään palvelimesi sähköpostiosoitteeseen username@example.com). Oletuksena määritetty /etc/mailname:<br />
myorigin = example.com<br />
Tietokoneen isäntänimet:<br />
mydestination = example.com, server.example.com, localhost, localhost.example.com$<br />
#relayhost = 127.0.0.1:10111<br />
Tämä vaaditaan jos ei ole suoraa yhteyttä verkkoon. <br />
<br />
<!--T:26--><br />
Esimerkkinä Soneran postipalvelin:<br />
relayhost = [mail.inet.fi]:25<br />
<br />
<!--T:27--><br />
DNA postipalvelin:<br />
relayhost = [smtp.dnainternet.net]:25<br />
<br />
<br />
<!--T:28--><br />
Lähiverkkosi:<br />
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128<br />
mailbox_command = procmail -a "$EXTENSION"<br />
mailbox_size_limit = 0<br />
recipient_delimiter = +<br />
Verkkoliitännät<br />
inet_interfaces = all<br />
<br />
<!--T:29--><br />
Sulje tiedosto ja käynnistä postfix uudelleen<br />
<br />
<!--T:30--><br />
service postfix restart<br />
<br />
== Lisäasetukset == <!--T:31--><br />
<br />
=== Virtuaali sähköpostiosoitteet === <!--T:32--><br />
<br />
<!--T:33--><br />
Voit ohjata virtuaali sähköpostiosoitteet esimerkiksi webmaster@example.com ja postmaster@example.com omalle käyttäjällesi.<br />
<br />
<!--T:34--><br />
Avaa tiedosto:<br />
<br />
<!--T:35--><br />
/etc/aliases<br />
<br />
<!--T:36--><br />
# /etc/aliases<br />
mailer-daemon: postmaster<br />
postmaster: root<br />
nobody: root<br />
hostmaster: root<br />
usenet: root<br />
news: root<br />
webmaster: root<br />
www: root<br />
ftp: root<br />
abuse: root<br />
noc: root<br />
security: root<br />
root = [username]<br />
<br />
<!--T:37--><br />
Muuttamalla [username] kohta omaksi käyttäjätiliksi saat kaikki näiden käyttäjätilien sähköpostit samaan sähköpostilaatikkoon. Voit lisätä muitakin osoitteita tiedoston loppuun:<br />
<br />
<!--T:38--><br />
[alias_postinimi] = [käyttäjälle]<br />
<br />
<!--T:39--><br />
Vahvista muutokset<br />
<br />
<!--T:40--><br />
newaliases<br />
<br />
=== Virtuaali domainit === <!--T:41--><br />
<br />
<!--T:42--><br />
Virtuaaliset domainit siis ovat tarkoitettu sähköpostipalvelimelle joka lähettää ja vastaanottaa usealle eri domainille.<br />
<br />
<br />
<!--T:43--><br />
Avaa Postfixin konfigurointi tiedosto main.cf<br />
<br />
<!--T:44--><br />
/etc/postfix/main.cf<br />
<br />
<!--T:45--><br />
Lisää seuraavat rivit:<br />
<br />
<!--T:46--><br />
virtual_alias_domains = example.com<br />
virtual_alias_maps = hash:/etc/postfix/virtual<br />
<br />
<!--T:47--><br />
Luo uusi tiedosto<br />
<br />
<!--T:48--><br />
postmaster@example.com postmaster<br />
info@example.com matti<br />
sales@example.com kalle<br />
# Uncomment entry below to implement a catch-all address<br />
# @example.com aleksi<br />
<br />
<!--T:49--><br />
Älä lisää virtual_alias_domain:ia mydestination domainiksi!<br />
<br />
=== Sähköpostin uudelleenohjaus === <!--T:50--><br />
<br />
<!--T:51--><br />
Sähköpostin uudelleenohjaus matti@example.com -> matti.example2.com esimerkiksi.<br />
<br />
<!--T:52--><br />
Avaa Postfixin konfigurointi tiedosto main.cf<br />
<br />
<!--T:53--><br />
/etc/postfix/main.cf:<br />
<br />
<!--T:54--><br />
Lisää seuraavat rivit tiedostoon:<br />
<br />
<!--T:55--><br />
virtual_alias_domains = example.com<br />
virtual_alias_maps = hash:/etc/postfix/virtual<br />
<br />
<!--T:56--><br />
Luo uusi tiedosto<br />
<br />
<!--T:57--><br />
/etc/postfix/virtual:<br />
<br />
<!--T:58--><br />
Lisää seuraavat rivit tiedostoon<br />
postmaster@example.com postmaster<br />
matti@example.com matti@example2.com<br />
aleksi@example.com aleksi@example3.com<br />
# Uncomment entry below to implement a catch-all address<br />
# @example.com jim@yet-another-site<br />
<br />
<!--T:59--><br />
Uudelleenohjattava sähköpostin domain tulee olla mydestination merkitty. Et voi uudelleenohjata aliaksia /etc/alias<br />
<br />
<!--T:60--><br />
Tarkista konfiguraatio<br />
<br />
<!--T:61--><br />
postmap /etc/postfix/virtual<br />
<br />
== Testataan Postfixin toimintaa == <!--T:62--><br />
<br />
<!--T:63--><br />
Lähetetään testisähköposti:<br />
<br />
<!--T:64--><br />
Asenna tämä sähköpostityökälut jos ei ole asennettu:<br />
<br />
<!--T:65--><br />
apt-get install mailutils<br />
<br />
<!--T:66--><br />
ja sen jälkeen lähetetään sähköpostia:<br />
<br />
<!--T:67--><br />
mail address@domain.com<br />
<br />
<!--T:68--><br />
Komento tulostaa:<br />
Subject: Aiheesi viestille<br />
<br />
<!--T:69--><br />
Tämän jälkeen kirjoita viesti (ja ENTER) ja tulostuu:<br />
<br />
<!--T:70--><br />
CC: <br />
<br />
<!--T:71--><br />
jonka voi jättää tyhjäksi. Lähetä sähköposti näppäinyhdistelmällä CTRL+D.<br />
<br />
== Sähköpostipalvelimen suojaaminen == <!--T:72--><br />
<br />
<!--T:73--><br />
Kun luot oman sähköpostipalvelimen, sitä pitää heti alkaa suojaamaan ahkerasti roskapostittajia vastaan. Suositus on ottaa myös SASL todennus käyttöön.<br />
<br />
=== Roskapostien suodatus === <!--T:74--> <br />
<br />
<!--T:75--><br />
Lisäämällä seuraava koodi pätkä tarkistaa onko lähettäjän verkkotunnus olemassa:<br />
<br />
<!--T:76--><br />
nano /etc/postfix/main.cf<br />
<br />
<br />
<!--T:77--><br />
smtpd_recipient_restrictions = reject_invalid_hostname,<br />
reject_unknown_recipient_domain,<br />
reject_unauth_destination,<br />
reject_rbl_client sbl.spamhaus.org, # Tämä rivi ei Soneran verkkoon<br />
permit<br />
<br />
<!--T:78--><br />
smtpd_helo_restrictions = reject_invalid_helo_hostname,<br />
reject_non_fqdn_helo_hostname,<br />
reject_unknown_helo_hostname<br />
<br />
<!--T:79--><br />
Ja tämä tarkistaa listan onko verkkotunnus merkitty roskapostittajaksi:<br />
<br />
<!--T:80--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:81--><br />
smtpd_client_restrictions = reject_rbl_client dnsbl.sorbs.net<br />
<br />
=== SMTPS SASL todennus === <!--T:82--> <br />
<br />
<!--T:83--><br />
Lisäämällä seuraava rivi, niin estät sähköpostin välitykset muusta kuin omasta verkostasi. SASL tunnistuksen avulla voit lähettää muustakin verkosta<br />
<br />
<!--T:84--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:85--><br />
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject<br />
<br />
Hyödynnä Dovecottia SASL todennuksessa. Tämä toimii siis Dovecotin todennuksen kanssa.<br />
<br />
<pre><br />
# SASL authentication<br />
smtpd_sasl_auth_enable=yes<br />
smtpd_sasl_type = dovecot<br />
smtpd_sasl_path = private/auth<br />
smtpd_sasl_security_options = noanonymous<br />
smtpd_sasl_tls_security_options = noanonymous<br />
</pre><br />
<br />
Lisäksi poista risuaita tiedostosta<br />
<br />
nano /etc/dovecot/conf.d/10-master.conf<br />
<br />
kohdasta<br />
<br />
<pre><br />
# Postfix smtp-auth<br />
unix_listener /var/spool/postfix/private/auth {<br />
mode = 0666<br />
user = postfix<br />
group = postfix<br />
<br />
}<br />
</pre><br />
<br />
<!--T:86--><br />
[[nano]] /etc/postfix/master.cf<br />
<br />
<!--T:87--><br />
Ota seuraavilta riveiltä risuaita pois submission ja smtps kohdasta. Jos haluat SMTP portille myös audikoinnin, lisää tämä seuraavat rivi sen alle.<br />
<br />
<!--T:88--><br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
<br />
=== TLS (STARTSSL) === <!--T:89--><br />
<br />
<!--T:90--><br />
Esimerkki konfiguraatio tiedostosta /etc/postfix/main.cf<br />
<br />
<!--T:91--><br />
<pre><br />
smtpd_use_tls=yes<br />
smtpd_tls_security_level = may<br />
smtp_tls_security_level = may<br />
smtpd_tls_cert_file=/etc/ssl/postfix.cert<br />
smtpd_tls_key_file=/etc/ssl/postfix.key<br />
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt<br />
smtpd_tls_security_level = may<br />
smtpd_tls_auth_only = yes<br />
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache<br />
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3<br />
smtpd_tls_protocols=!SSLv2,!SSLv3,TLSv1,TLSv1.1,TLSv1.2<br />
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 , DES, ADH, !RC4, PSD, SRP, 3DES, eNULL<br />
smtpd_tls_mandatory_ciphers = high<br />
tls_high_cipherlist = AES128+EECDH:AES128+EDH<br />
</pre><br />
<br />
<!--T:92--><br />
Ota käyttöön Submission kohdasta risuaidat pois.<br />
<br />
<!--T:93--><br />
Testaa STARTSSL: https://starttls.info/<br />
<br />
https://checktls.com/<br />
https://ssl-tools.net/mailservers/<br />
<br />
Testaa openssl_client komennolla toimivuuksia<br />
<br />
openssl s_client -connect mail.example.org:587<br />
<br />
==== TLS-Policy ====<br />
<br />
TLS Policyllä eli säännöillä voidaan määrittää missä sivuilla esimerkiksi on pakotettu TLS käyttöön ja missä vaihtoehtoisesti.<br />
<br />
Lisää tämä main.conf tiedostoon<br />
<br />
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy<br />
<br />
Luo tiedosto /etc/postfix/tls_policy . Policyyn määritetään domainit jossa on pakotettu salaus encrypt määritteellä. Testaa lähettämällä gmailiin niin gmail ilmoittaa että sähköposti on salattu.<br />
<br />
<pre><br />
gmail.com encrypt<br />
.gmail.com encrypt<br />
ssl-tools.net encrypt<br />
.ssl-tools.net encrypt<br />
</pre><br />
<br />
Hash sisältö postmap komennolla<br />
<br />
sudo postmap /etc/postfix/tls_policy<br />
<br />
Lataa Postfix konfiguraatio uudelleen<br />
<br />
sudo service postfix reload<br />
<br />
=== Poista lähtevistä sähköposteistä asiakkaan header-tiedot ===<br />
<br />
Tällä tarkoituksena on poistaa esimerkiksi sähköpostiasiakasohjelmalla lähtevien IP-osoitteet suojaten yksityisyyttä. Tiedot kuitenkin tallentuu palvelimen lokiin normaalisti.<br />
<br />
Asenna Postfix-pcre <br />
<br />
sudo apt install postfix-pcre<br />
<br />
Luo uusi tiedosto smtp_header_checks<br />
<br />
sudo nano /etc/postfix/smtp_header_checks<br />
<br />
Ja lisää tiedostoon<br />
<br />
<pre><br />
/^\s*(Received: from)[^\n]*(.*)/ REPLACE $1 [127.0.0.1] (localhost [127.0.0.1])$2<br />
/^\s*User-Agent/ IGNORE<br />
/^\s*X-Enigmail/ IGNORE<br />
/^\s*X-Mailer/ IGNORE<br />
/^\s*X-Originating-IP/ IGNORE<br />
</pre><br />
<br />
Tämä muuttaa from-headeristä kaikki IP-osoitteet 127.0.0.1:seksi. Poistaa asiakasohjelman User-Agentin yms tiedot.<br />
<br />
Lisää tämän jälkeen Postfixin main.conf tiedostoon rivi<br />
<br />
smtp_header_checks = pcre:/etc/postfix/smtp_header_checks<br />
<br />
Ja lataa konfiguraatio uudelleen<br />
<br />
sudo service postfix reload<br />
<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== Telia Postipalvelimen käytössä Relaynä - SMTPS == <!--T:94--><br />
<br />
<!--T:95--><br />
Postfixissä on tuki SSL yhteydelle TLS:n kanssa mutta ei pelkästään SSL kanssa. Tämä seuraava ohje on pelkästään SSL, mutta jos on tuki TLS salaukselle, on suositeltavaa käyttää sitä.<br />
<br />
<!--T:96--><br />
Ohjeen lähde: http://www5.sonera.fi/keskustele/viewtopic.php?f=59&t=9210<br />
<br />
<!--T:97--><br />
SMTPS on salattu SMTP yhteys ja nykyisin suositus olisi käyttää tätä ominaisuutta. <br />
<br />
<!--T:98--><br />
Esimerkkinä on Soneran verkko:<br />
<br />
<!--T:100--><br />
relayhost = [mail.inet.fi]<br />
<br />
<!--T:101--><br />
Nyt olisi aika siirtyä salattuun postiin ja tämä on hieman hankalempi, kun Soneran omat postipalvelimet eivät tue TLS salausta. Postfix ei tue SSL salausta, mutta asennetaan pieni kiertotie niin se onnistuu.<br />
<br />
<!--T:102--><br />
Asennetaan ensin Stunnel<br />
<br />
<!--T:103--><br />
[[aptitude]] install stunnel<br />
<br />
<!--T:104--><br />
Luodaan tiedosto /etc/stunnel/postfix.conf ja kopioi alla oleva koodi:<br />
<br />
<!--T:105--><br />
[ssmtp_c2s]<br />
accept = 127.0.0.1:10111<br />
client = yes<br />
connect = mail.inet.fi:465<br />
delay = yes <br />
<br />
<!--T:106--><br />
ja tämän jälkeen avaa tiedosto: /etc/default/stunnel ja muuta se seuraavanlaiseksi:<br />
<br />
<!--T:107--><br />
# Change to one to enable stunnel automatic startup<br />
# MUUTOS<br />
#ENABLED=0<br />
ENABLED=1<br />
FILES="/etc/stunnel/*.conf"<br />
OPTIONS=""<br />
<br />
# Change to one to enable ppp restart scripts<br />
PPP_RESTART=0<br />
<br />
<!--T:108--><br />
Tämän jälkeen muokkaa /etc/postfix/main.cf seuraavanlaiseksi:<br />
<br />
<!--T:109--><br />
relayhost = 127.0.0.1:10111<br />
<br />
# SASL authentication<br />
smtp_sasl_auth_enable=yes<br />
smtp_sasl_password_maps = hash:/etc/postfix/passwd<br />
smtp_sasl_security_options = noanonymous<br />
smtp_sasl_tls_security_options = noanonymous<br />
<br />
# TLS<br />
smtp_tls_eccert_file =<br />
smtp_tls_eckey_file =<br />
# http://www.postfix.org/TLS_README.html#client_tls_may<br />
smtp_tls_security_level = may<br />
smtpd_tls_received_header = yes<br />
tls_random_source = dev:/dev/urandom<br />
# http://www.postfix.org/TLS_README.html#client_tls_may<br />
smtpd_tls_security_level = may<br />
<br />
Luo tiedosto /etc/postfix/passwd ja kirjoita siihen Soneran sähköpostisi käyttäjätunnus ja salasana<br />
<br />
<!--T:110--><br />
mail.inet.fi:465 KÄYTTÄJÄTUNNUS:SALASANA<br />
<br />
<!--T:111--><br />
Esimerkiksi:<br />
<br />
<!--T:112--><br />
mail.inet.fi:465 etunimi.sukunimi@pp1.inet.fi:taisto<br />
<br />
<!--T:113--><br />
Tämän jälkeen anna tämä komento:<br />
<br />
<!--T:114--><br />
postmap hash:/etc/postfix/passwd<br />
<br />
<!--T:115--><br />
Kokeile toimiiko antamalla seuraava komento:<br />
<br />
<!--T:116--><br />
postmap -q mail.inet.fi:465 /etc/postfix/passwd<br />
<br />
<!--T:117--><br />
Jos komento tulostaa käyttäjätunnuksesi ja salasanasi, kaikki toimii tähän asti<br />
<br />
<br />
<!--T:118--><br />
Estä muiden käyttäjien näkemästä salasanaasi:<br />
<br />
<!--T:119--><br />
chmod go-rwx /etc/postfix/passwd*<br />
<br />
<!--T:120--><br />
Käynnistä lopuksi palvelut uudelleen<br />
<br />
<!--T:121--><br />
service stunnel4 restart<br />
<br />
<!--T:122--><br />
service postfix restart<br />
<br />
== Varasähköpostipalvelin ==<br />
<br />
Varasähköpostipalvelimen avulla varmistat ettei sähköpostit häviä jos ensisijainen sähköpostipalvelin ei olisikaan verkossa. Varasähköpostipalvelimia voi olla useita ja ne tallentavat sähköpostit jonotus listalle odottamaan kunnes ensisijainen sähköpostipalvelin palaa takaisin toimintaan.<br />
<br />
Sinun tulee määrittää MX tietueet DNS palveluun. MX1 on ensisijainen palvelin ja MX2 on toissijainen palvelin. Priority arvolla määritetään mikä palvelin on ensisijainen ja toissijaiset. Pienin arvo (10) on ensisijainen ja suurin arvo (20) on toissijainen.<br />
<br />
<pre><br />
example.com. 86400 IN MX 10 mx1.example.com.<br />
example.com. 86400 IN MX 20 mx2.example.com.<br />
</pre><br />
<br />
Konfiguroidessa MX2 palvelimesta varapalvelin, sinun tulee konfiguroida main.cf tiedostoon<br />
<br />
nano /etc/postfix/main.cf<br />
<br />
Määritä seuraavanlaiset konfiguraatiot. smtpd_recipient_restrictions tulee olla permit_mynetworks ja reject_unauth_destination. Relay_domainissa tulee olla example.org, eli domain joka ohjataan eteenpäin. Tämä määrittää mikä sähköpostidomainien postit ohjataan eteenpäin. relay_recipient_maps tulee olla tyhjä.<br />
<br />
<pre><br />
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination<br />
<br />
relay_domains = $mydestination, example.com<br />
<br />
relay_recipient_maps =<br />
</pre><br />
<br />
Varmista että seuraavat parametrit ovat tyhjiä: mydestination, virtual_alias_domains, virtual_mailbox_domains<br />
<br />
Käynnistä palvelu uudelleen<br />
<br />
service postfix restart<br />
<br />
Testaa sammuttamalla pääsähköpostipalvelin ja lähetä example.org osoitteelle sähköpostia. mail.log voit seurata toimiiko sähköpostit oikein.<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== SPF ==<br />
<br />
SPF tarkoitus ilmoittaa että mistä IP:stä tai osoitteesta on sallittua lähettää tällä domainilla sähköpostia. Tällä vaikeutetaan roskapostittajien ns. domain väärentämisiä. <br />
<br />
Voit luoda tietueet täältä: http://www.spfwizard.net/<br />
<br />
Esimerkki (sallitaan A recordista mail.example.org joka on meidän oma postipalvelin ja estetään muista palvelimista sekä MX palvelimista jotka nimipalvelusta löytyy:<br />
<br />
v=spf1 mx a:mail.example.org -all<br />
<br />
Lisää tietue nimipalveluun. Kysy lisää palveluntarjoajaltasi.<br />
<br />
Asenna sitten Postfix palvelimeesi<br />
<br />
sudo apt install postfix-policyd-spf-python<br />
<br />
Lisää master.cf tiedostoon loppuun<br />
<br />
<pre><br />
policyd-spf unix - n n - 0 spawn<br />
user=policyd-spf argv=/usr/bin/policyd-spf<br />
</pre><br />
<br />
Konfiguroi main.cf. <br />
<br />
<pre><br />
policyd-spf_time_limit = 3600<br />
<br />
<br />
<br />
smtpd_recipient_restrictions =<br />
...<br />
reject_unauth_destination,<br />
check_policy_service unix:private/policyd-spf,<br />
...<br />
</pre><br />
<br />
Varmista että 'check_policy_service' on '''jälkeen''' 'reject_unauth_destination' estääksesi avoimen postipalvelun (käytetään muuten palvelintasi roskapostittamiseen).<br />
<br />
== Greylisting ==<br />
<br />
Asenna Postgrey<br />
<br />
sudo apt install postgrey<br />
<br />
Lisää asennuksen jälkeen /etc/postfix/main.conf tiedostoon check_policy_service inet:127.0.0.1:10023 parametri smtpd_recipient_restrictions kohtaan.<br />
<br />
smtpd_recipient_restrictions<br />
check_policy_service inet:127.0.0.1:10023<br />
<br />
Lataa Postfix-konfiguraatio uudelleen<br />
<br />
sudo postfix reload<br />
<br />
== Opendkim ==<br />
<br />
DKIM (DomainKeys Identified Mail):in avulla estät sähköpostien väärentämisen lisäämällä digitaalisen allekirjoituksen lähtevissä posteissa. Tässä käytetään yksityistä avainta salatakseen lähtevän postin headerin ja julkinen avain lisätään DNS:ään. Vastaanottaja palvelin voi täältä DNS:stä hakea julkisen avaimen ja näin varmistaa että sähköposti tulee oikealta palvelimelta eikä ole muuttunut matkalla. <br />
<br />
Asenna openkim<br />
<br />
<pre><br />
sudo apt-get update<br />
sudo apt-get dist-upgrade<br />
sudo apt-get install opendkim opendkim-tools<br />
</pre><br />
<br />
Lisää Postfix käyttäjä Opendkim ryhmään<br />
<br />
sudo adduser postfix opendkim<br />
<br />
=== Opendkim konfigurointi ===<br />
<br />
Avaa konfigurointi tiedosto<br />
<br />
sudo nano /etc/opendkim.conf<br />
<br />
Konfiguraatio tulisi näyttää tältä:<br />
<br />
<pre><br />
# This is a basic configuration that can easily be adapted to suit a standard<br />
# installation. For more advanced options, see opendkim.conf(5) and/or<br />
# /usr/share/doc/opendkim/examples/opendkim.conf.sample.<br />
<br />
# Log to syslog<br />
Syslog yes<br />
# Required to use local socket with MTAs that access the socket as a non-<br />
# privileged user (e.g. Postfix)<br />
UMask 002<br />
# OpenDKIM user<br />
# Remember to add user postfix to group opendkim<br />
UserID opendkim<br />
<br />
# Map domains in From addresses to keys used to sign messages<br />
KeyTable /etc/opendkim/key.table<br />
SigningTable refile:/etc/opendkim/signing.table<br />
<br />
# Hosts to ignore when verifying signatures<br />
ExternalIgnoreList /etc/opendkim/trusted.hosts<br />
InternalHosts /etc/opendkim/trusted.hosts<br />
<br />
# Commonly-used options; the commented-out versions show the defaults.<br />
Canonicalization relaxed/simple<br />
Mode sv<br />
SubDomains no<br />
#ADSPAction continue<br />
AutoRestart yes<br />
AutoRestartRate 10/1M<br />
Background yes<br />
DNSTimeout 5<br />
SignatureAlgorithm rsa-sha256<br />
<br />
# Always oversign From (sign using actual From and a null From to prevent<br />
# malicious signatures header fields (From and/or others) between the signer<br />
# and the verifier. From is oversigned by default in the Debian package<br />
# because it is often the identity key used by reputation systems and thus<br />
# somewhat security sensitive.<br />
OversignHeaders From<br />
</pre><br />
<br />
Määritä konfigurointi tiedostolle oikeudet<br />
<br />
sudo chmod u=rw,go=r /etc/opendkim.conf<br />
<br />
Luo hakemisto opendkim:ille, avaimille sekä määritä niille oikeudet<br />
<br />
<pre><br />
sudo mkdir /etc/opendkim<br />
sudo mkdir /etc/opendkim/keys<br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod go-rw /etc/opendkim/keys<br />
</pre><br />
<br />
=== Avainten luonti ===<br />
<br />
Luo avainten allekirjoitustaulu. Tiedostossa tulee olla jokaisella riville domain mitä haluat käyttää<br />
<br />
sudo nano /etc/opendkim/signing.table<br />
<br />
<pre><br />
*@example.com example<br />
</pre><br />
<br />
Korvaa example sinun omallasi domainilla. Ensimmäinen osuus @example.org täsmää sähköpostiosoitteeseesi. <br />
<br />
Luo ja avaa key.table tiedosto. Korvaa example.org omalla verkkotunnuksella<br />
<br />
sudo nano /etc/opendkim/key.table<br />
<br />
<pre><br />
example example.com:mail:/etc/opendkim/keys/example.com/mail.private<br />
</pre><br />
<br />
Korvaa example sillä mitä käytit signing.table:ssa "mail" on DNS recordi jonka kirjoitat DNS:sään.<br />
<br />
Luo trusted.hosts tiedosto. <br />
<br />
sudo nano /etc/opendkim/trusted.hosts<br />
<br />
<pre><br />
127.0.0.1<br />
::1<br />
localhost<br />
myhostname<br />
myhostname.example.com<br />
example.com<br />
</pre><br />
<br />
Korvaa myhostname palvelimen nimelläsi ja example domainillasi.<br />
<br />
Määritä oikeudet hakemistoihin<br />
<br />
<pre><br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod -R go-rwx /etc/opendkim/keys<br />
</pre><br />
<br />
Luodaan nyt avaimet DKIMiä varten<br />
<br />
<pre><br />
sudo mkdir /etc/opendkim/keys/example.com<br />
cd /etc/opendkim/keys/example.com/<br />
sudo opendkim-genkey -b 2048 -s mail -d example.com -v<br />
</pre><br />
<br />
Mikäli nimipalvelin ei tue 2048 bittistä niin sitten käytä 1024 bittistä<br />
<br />
sudo opendkim-genkey -b 1024 -s mail -d example.org -v<br />
<br />
Määritä vielä rekurssiiviset oikeudet hakemistoihin<br />
<br />
<pre><br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod -R go-rw /etc/opendkim/keys<br />
</pre><br />
<br />
Käynnistä Opendkim uudelleen<br />
<br />
sudo service opendkim restart<br />
<br />
=== Konfiguroi DNS ===<br />
<br />
Avaa nyt mail.txt tiedosto<br />
<br />
sudo cat /etc/opendkim/keys/example.com/mail.txt<br />
<br />
Tee nimipalvelimeen TXT recordi, esim:<br />
<br />
<pre><br />
mail._domainkey.example.com IN TXT v=DKIM1; k=rsa; s=email; p=<avain><br />
</pre><br />
<br />
Korvaa example.com ja <avain> tiedoston sisällöllä ja domainilla. <br />
<br />
Testaa<br />
<br />
sudo opendkim-testkey -d example.com -s mail<br />
<br />
Jos kaikki on OK sinun ei tulisi saada ollenkaan mitään tulostusta. <br />
<br />
=== Opendkim konfigurointi Postfixiin ===<br />
<br />
Luo hakemisto<br />
<br />
<pre><br />
sudo mkdir /var/spool/postfix/opendkim<br />
sudo chown opendkim:postfix /var/spool/postfix/opendkim<br />
</pre><br />
<br />
Määritä oikea soketti opendkim:ille<br />
<br />
sudo nano /etc/default/opendkim<br />
<br />
Varmista että kaikki on kommentoitu ja lisää alla oleva tiedostoon<br />
<br />
SOCKET="local:/var/spool/postfix/opendkim/opendkim.sock"<br />
<br />
Konfiguroi seuraavaksi main.cnf tiedostoon opendkim asetuksia<br />
<br />
sudo nano /etc/postfix/main.cf<br />
<br />
<pre><br />
# Milter configuration<br />
# OpenDKIM<br />
milter_default_action = accept<br />
milter_protocol = 6<br />
smtpd_milters = local:/var/spool/postfix/opendkim/opendkim.sock<br />
non_smtpd_milters = local:/var/spool/postfix/opendkim/opendkim.sock<br />
</pre><br />
<br />
Käynnistä Postfix ja Opendkim uudelleen<br />
<br />
sudo service postfix restart<br />
<br />
sudo service opendkim restart<br />
<br />
Testaa toimiiko kaikki lähettämällä tyhjän sähköpostin: check-auth@verifier.port25.com . Saat paluupostina viestin jossa näet toimiiko vai ei.<br />
<br />
== Opendmarc ==<br />
<br />
Opendmarcin avulla voit tarkistaa Postfixissä Dmarc-tietueen.<br />
<br />
sudo apt install opendmarc<br />
<br />
Kopioi alkuperäinen konfiguraatio talteen<br />
<br />
sudo mv /etc/opendmarc.conf /etc/opendmarc.conf.bak<br />
<br />
Luo uusi tiedosto<br />
<br />
sudo nano /etc/opendmarc.conf<br />
<br />
Tässä on esimerkkikonfiguraatio<br />
<br />
<pre><br />
AutoRestart Yes<br />
AutoRestartRate 10/1h<br />
<br />
UserID postfix:postfix<br />
Socket inet:54321@localhost<br />
Syslog true<br />
SyslogFacility mail<br />
<br />
AuthservID mail.example.org<br />
#TrustedAuthservIDs other.mail.server, another.mail.server<br />
IgnoreHosts /etc/opendkim/trusted.hosts<br />
<br />
FailureReportsSentBy postmaster@example.org<br />
FailureReportsBcc postmaster@example.org<br />
<br />
RejectFailures false<br />
</pre><br />
<br />
Lisää tämä /etc/default/opendmarc tiedostoon<br />
<br />
SOCKET="inet:54321@localhost"<br />
<br />
Lisää tämä /etc/postfix/main.conf tiedostoon kohtaan smttpd_milters<br />
<br />
smtpd_milters = inet:localhost:54321<br />
<br />
Käynnistä Postfix ja Opendmarc uudelleen<br />
<br />
sudo service opendmarc restart<br />
sudo service postfix restart<br />
<br />
== Postfix toiminta PHP5 kanssa == <!--T:123--><br />
<br />
<!--T:124--><br />
PHP5 sisältää mail funktion. Sinun tulee konfiguroida php.ini tiedostoa <br />
<br />
<!--T:125--><br />
nano /etc/php5/apache2/php.ini<br />
<br />
<!--T:126--><br />
ja muuttaa se tälläiseksi:<br />
<br />
<!--T:127--><br />
; For Unix only. You may supply arguments as well (default: "sendmail -t -i").<br />
; http://php.net/sendmail-path<br />
sendmail_path = "/usr/sbin/sendmail -t -i"<br />
<br />
<!--T:128--><br />
ja käynnistä apache uudelleen<br />
<br />
<!--T:129--><br />
service apache2 restart<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== Postfix AD ==<br />
<br />
Hyvä ohje löytyy ICT-academyn [http://ict-academy.fi/index.php?title=Postfix_Dovecot_ClamAv_Spamassassin#Postfixin_liitt.C3.A4minen_AD:seen Wikistä]<br />
<br />
== Postqueue komentoja ==<br />
<br />
postqueue avulla voit hallinnoida postin liikennettä, esimerkiksi voit estää tietyn lähettäjän s.postien lähtemisen tai saapumisen poistamalla ne<br />
<br />
postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /username@example\.org/ { print $1 }' | tr -d '*!' | postsuper -d -<br />
<br />
Poistaa tietyltä domainilta<br />
<br />
postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /@example\.org/ { print $1 }' | tr -d '*!' | postsuper -d -<br />
<br />
Poistaa kaikki s.postit<br />
<br />
postsuper -d ALL<br />
<br />
Valmiita scriptejä: https://www.saotn.org/delete-mailer-daemon-emails-from-postfix-queue/<br />
<br />
<pre><br />
#!/bin/bash<br />
EMAILADDY=$1<br />
<br />
if [ -z "$EMAILADDY" ]<br />
then<br />
echo "Usage: $0 <email address>"<br />
exit<br />
fi<br />
<br />
echo "Delete all emails addressed to $EMAILADDY from our Postfix queue."<br />
<br />
mailq | tail -n +2 | grep -v '^ *(' | awk -v "address=$EMAILADDY" 'BEGIN { RS = "" }<br />
{<br />
# example conditions:<br />
# if ( $7 == address && $8 == "" )<br />
# if ( $7 == address || $8 == address )<br />
if ( $7 == address )<br />
print $1<br />
}<br />
' | tr -d '*!' | postsuper -d -<br />
</pre><br />
<br />
Voit käyttää tätä ajamalla<br />
<br />
sh mailq2delete.sh username@example.org<br />
<br />
== Virheilmoituksia == <!--T:130--><br />
<br />
Ongelmien sattuessa kannattaa lukea palvelimen lokia:<br />
<br />
/var/log<br />
<br />
<!--T:148--><br />
Tässä lista yleisistä virheilmoituksista mitä ilmenee usein postfixin konfiguroinnista:<br />
<br />
=== Sender address rejected: Domain not found (in reply to RCPT TO command === <!--T:149--><br />
<br />
<!--T:150--><br />
myorigin on määritetty väärin /etc/mailname tiedostosta. Tämän tulee olemaan domainin nimi.<br />
<br />
<!--T:151--><br />
myorigin /etc/mailname<br />
<br />
<!--T:152--><br />
example.com <br />
<br />
=== Client host rejected: Access denied=== <!--T:153--><br />
<br />
<!--T:154--><br />
Relayhost on estänyt sinut, ehkä roskapostien takia.<br />
<br />
=== connect to mx3.hotmail.com[65.55.37.104]:25: No route to host === <!--T:155--><br />
<br />
<!--T:156--><br />
Tarkista Relayhost main.cf tiedostossa. Mahdollisesti sinulla on suljettu suoraan portti 25.<br />
<br />
=== Host or domain name not found. Name service error for name=gmail.con type=A: Host not found === <!--T:157--><br />
<br />
<!--T:158--><br />
DNS Virhe. Tarkista resolv.conf tiedostossa määriteytyt DNS asetukset. Kokeile nslookup komentoa.<br />
<br />
=== Invalid mail address, must be fully qualified domain (in reply to RCPT TO command)) === <!--T:159--><br />
<br />
<!--T:160--><br />
Isäntänimessä ongelma. Varmista että DNS on oikein määritetty ja isäntänimi main.cf tiedostossa.<br />
<br />
=== unable to verify address (in reply to MAIL FROM command)) === <!--T:161--><br />
<br />
<!--T:162--><br />
DNS ongelma. Varmista että sinulla on määritetty oikein A-records DNS palvelimelle ja MX-records. Tarkista /etc/hosts tiedosto. Korjaus:<br />
<br />
<!--T:163--><br />
nano /etc/hosts<br />
<br />
<!--T:164--><br />
127.0.0.1 localhost mail.example.com server<br />
127.0.1.1 example.com mail.example.com server<br />
<br />
== Lähteet == <!--T:140--><br />
<br />
<!--T:141--><br />
http://www.postfix.org/<br />
<br />
<!--T:142--><br />
https://wiki.debian.org/Postfix<br />
<br />
<!--T:143--><br />
http://www.sami-lehtinen.net/blog/securing-email-transport-starttls-postfix-ca-certificates-fingerprint-authority<br />
<br />
http://ary.kleinerman.org/posts/how-to-install-and-setup-a-powerful-mail-server-on-linux/<br />
<br />
</translate></div>
Minh
https://taisto.org/index.php?title=Flarum&diff=63920
Flarum
2018-12-16T19:08:10Z
<p>Minh: /* Asennus */</p>
<hr />
<div>Flarum on uusi, avoimella lähdekoodilla kirjoitettu foorumisovellus. Se on helppo asentaa composerin avulla. Tämä sovellus on BETA tilassa, joten ei suositella asennettavan tuotantoon.<br />
<br />
== Asennus ==<br />
<br />
Virallinen ohje: http://flarum.org/docs/installation/<br />
<br />
Asenna ensimmäiseksi webpalvelin, php, mysql. Vaihtoehtoisesti voit käyttää MariaDB:tä tietokantana tai Apachea webpalvelimena.<br />
<br />
sudo apt install nginx mysql-server mysql-client php7.0 php7.0-fpm php7.0-mbstring, php7.0-mysql, php7.0-json php7.0-gd composer<br />
<br />
BETA 8 jälkeen on vaadittuna PHP7.1: <br />
<br />
sudo apt install nginx mysql-server mysql-client php7.1-fpm php7.1-mbstring php7.1-mysql php7.1-json php7.1-json php7.1-gd php7.1-curl php7.1-xml composer<br />
<br />
Luo hakemisto /forum esimerkiksi. Tänne asennetaan flarum composerin avulla.<br />
<br />
composer create-project flarum/flarum . --stability=beta<br />
<br />
Konfiguroi Nginx<br />
<br />
<pre><br />
location /forum/ { try_files $uri $uri/ /forum/index.php?$query_string; }<br />
location /forum/api { try_files $uri $uri/ /forum/api.php?$query_string; }<br />
location /forum/admin { try_files $uri $uri/ /forum/admin.php?$query_string; }<br />
<br />
location /forum/flarum {<br />
deny all;<br />
return 404;<br />
}<br />
</pre><br />
<br />
Siirry sitten selaimellasi http://palvelimen-ip/forum ja jatkamaan asennusta.<br />
<br />
== Päivittäminen ==<br />
<br />
Tarkista täältä miten päivitys tapahtuu: https://discuss.flarum.org/t/blog?sort=newest<br />
<br />
== Laajennukset ==<br />
<br />
Laajennuksia, analytiikka, suomenkieli paketti ja Google Recaptcha<br />
<br />
<pre><br />
composer require flagrow/flarum-ext-analytics<br />
composer require markokaartinen/flarum-ext-finnish<br />
composer require sijad/flarum-ext-recaptcha<br />
composer require sijad/flarum-ext-links<br />
composer require flagrow/flarum-ext-image-upload <br />
</pre></div>
Minh
https://taisto.org/index.php?title=Flarum&diff=63919
Flarum
2018-12-16T19:07:00Z
<p>Minh: /* Asennus */</p>
<hr />
<div>Flarum on uusi, avoimella lähdekoodilla kirjoitettu foorumisovellus. Se on helppo asentaa composerin avulla. Tämä sovellus on BETA tilassa, joten ei suositella asennettavan tuotantoon.<br />
<br />
== Asennus ==<br />
<br />
Virallinen ohje: http://flarum.org/docs/installation/<br />
<br />
Asenna ensimmäiseksi webpalvelin, php, mysql. Vaihtoehtoisesti voit käyttää MariaDB:tä tietokantana tai Apachea webpalvelimena.<br />
<br />
sudo apt install nginx mysql-server mysql-client php7.0 php7.0-fpm php7.0-mbstring, php7.0-mysql, php7.0-json php7.0-gd composer<br />
<br />
BETA 8 jälkeen on vaadittuna PHP7.1: <br />
<br />
sudo apt install nginx mysql-server mysql-client php7.1-fpm php7.1-mbstring php7.1-mysql php7.1-json php7.1-json php7.1-gd composer<br />
<br />
Luo hakemisto /forum esimerkiksi. Tänne asennetaan flarum composerin avulla.<br />
<br />
composer create-project flarum/flarum . --stability=beta<br />
<br />
Konfiguroi Nginx<br />
<br />
<pre><br />
location /forum/ { try_files $uri $uri/ /forum/index.php?$query_string; }<br />
location /forum/api { try_files $uri $uri/ /forum/api.php?$query_string; }<br />
location /forum/admin { try_files $uri $uri/ /forum/admin.php?$query_string; }<br />
<br />
location /forum/flarum {<br />
deny all;<br />
return 404;<br />
}<br />
</pre><br />
<br />
Siirry sitten selaimellasi http://palvelimen-ip/forum ja jatkamaan asennusta.<br />
<br />
== Päivittäminen ==<br />
<br />
Tarkista täältä miten päivitys tapahtuu: https://discuss.flarum.org/t/blog?sort=newest<br />
<br />
== Laajennukset ==<br />
<br />
Laajennuksia, analytiikka, suomenkieli paketti ja Google Recaptcha<br />
<br />
<pre><br />
composer require flagrow/flarum-ext-analytics<br />
composer require markokaartinen/flarum-ext-finnish<br />
composer require sijad/flarum-ext-recaptcha<br />
composer require sijad/flarum-ext-links<br />
composer require flagrow/flarum-ext-image-upload <br />
</pre></div>
Minh
https://taisto.org/index.php?title=Flarum&diff=63918
Flarum
2018-12-16T19:04:11Z
<p>Minh: /* Asennus */</p>
<hr />
<div>Flarum on uusi, avoimella lähdekoodilla kirjoitettu foorumisovellus. Se on helppo asentaa composerin avulla. Tämä sovellus on BETA tilassa, joten ei suositella asennettavan tuotantoon.<br />
<br />
== Asennus ==<br />
<br />
Virallinen ohje: http://flarum.org/docs/installation/<br />
<br />
Asenna ensimmäiseksi webpalvelin, php, mysql. Vaihtoehtoisesti voit käyttää MariaDB:tä tietokantana tai Apachea webpalvelimena.<br />
<br />
sudo apt install nginx mysql-server mysql-client php7.0 php7.0-fpm php7.0-mbstring, php7.0-mysql, php7.0-json php7.0-gd composer<br />
<br />
BETA 8 jälkeen on vaadittuna PHP7.1: <br />
<br />
sudo apt install php7.1-fpm php7.1-mbstring php7.1-mysql php7.1-json php7.1-<br />
<br />
Luo hakemisto /forum esimerkiksi. Tänne asennetaan flarum composerin avulla.<br />
<br />
composer create-project flarum/flarum . --stability=beta<br />
<br />
Konfiguroi Nginx<br />
<br />
<pre><br />
location /forum/ { try_files $uri $uri/ /forum/index.php?$query_string; }<br />
location /forum/api { try_files $uri $uri/ /forum/api.php?$query_string; }<br />
location /forum/admin { try_files $uri $uri/ /forum/admin.php?$query_string; }<br />
<br />
location /forum/flarum {<br />
deny all;<br />
return 404;<br />
}<br />
</pre><br />
<br />
Siirry sitten selaimellasi http://palvelimen-ip/forum ja jatkamaan asennusta.<br />
<br />
<br />
== Päivittäminen ==<br />
<br />
Tarkista täältä miten päivitys tapahtuu: https://discuss.flarum.org/t/blog?sort=newest<br />
<br />
== Laajennukset ==<br />
<br />
Laajennuksia, analytiikka, suomenkieli paketti ja Google Recaptcha<br />
<br />
<pre><br />
composer require flagrow/flarum-ext-analytics<br />
composer require markokaartinen/flarum-ext-finnish<br />
composer require sijad/flarum-ext-recaptcha<br />
composer require sijad/flarum-ext-links<br />
composer require flagrow/flarum-ext-image-upload <br />
</pre></div>
Minh
https://taisto.org/index.php?title=Flarum&diff=63917
Flarum
2018-12-16T19:02:02Z
<p>Minh: /* Asennus */</p>
<hr />
<div>Flarum on uusi, avoimella lähdekoodilla kirjoitettu foorumisovellus. Se on helppo asentaa composerin avulla. Tämä sovellus on BETA tilassa, joten ei suositella asennettavan tuotantoon.<br />
<br />
== Asennus ==<br />
<br />
Virallinen ohje: http://flarum.org/docs/installation/<br />
<br />
Asenna ensimmäiseksi webpalvelin, php, mysql. Vaihtoehtoisesti voit käyttää MariaDB:tä tietokantana tai Apachea webpalvelimena.<br />
<br />
sudo apt install nginx mysql-server mysql-client php7.0 php7.0-fpm php7.0-mbstring, php7.0-mysql, php7.0-json php7.0-gd composer<br />
<br />
BETA 8 jälkeen on vaadittuna PHP7.1: <br />
<br />
sudo apt install php7.1-fpm php7.1-mbstring php7.1-mysql php7.1-json php7.1-<br />
<br />
Luo hakemisto /forum esimerkiksi. Tänne asennetaan flarum composerin avulla.<br />
<br />
composer create-project flarum/flarum . --stability=beta<br />
<br />
Konfiguroi Nginx<br />
<br />
<pre><br />
location /forum/ { try_files $uri $uri/ /forum/index.php?$query_string; }<br />
location /forum/api { try_files $uri $uri/ /forum/api.php?$query_string; }<br />
location /forum/admin { try_files $uri $uri/ /forum/admin.php?$query_string; }<br />
<br />
location /forum/flarum {<br />
deny all;<br />
return 404;<br />
}<br />
</pre><br />
<br />
Siirry sitten selaimellasi http://palvelimen-ip/forum ja jatkamaan asennusta.<br />
<br />
== Laajennukset ==<br />
<br />
Laajennuksia, analytiikka, suomenkieli paketti ja Google Recaptcha<br />
<br />
<pre><br />
composer require flagrow/flarum-ext-analytics<br />
composer require markokaartinen/flarum-ext-finnish<br />
composer require sijad/flarum-ext-recaptcha<br />
composer require sijad/flarum-ext-links<br />
composer require flagrow/flarum-ext-image-upload <br />
</pre></div>
Minh
https://taisto.org/index.php?title=Plex&diff=63916
Plex
2018-12-15T19:06:18Z
<p>Minh: </p>
<hr />
<div>Plex on ilmainen mediapalvelin kotikäyttöön. Siihen on kätevä tallentaa kaikki mediasisältö ja katsoa niitä missä ja millä laitteella tahansa. <br />
<br />
== Asennus ==<br />
<br />
Lisää APTiin repo<br />
<br />
echo deb https://downloads.plex.tv/repo/deb public main | sudo tee /etc/apt/sources.list.d/plexmediaserver.list<br />
<br />
Lisää avain<br />
<br />
curl https://downloads.plex.tv/plex-keys/PlexSign.key | sudo apt-key add -<br />
<br />
Asenna plexmediaserver<br />
<br />
sudo apt update<br />
sudo apt install plexmediaserver<br />
<br />
== Hauppauge TV-tunerin asennus Plexiin ==<br />
<br />
Asennus onnistuu helposti PPA:n avulla. Käynnistä lopuksi palvelin uusiksi kokonaan.<br />
<br />
<pre><br />
sudo add-apt-repository ppa:b-rad/kernel+mediatree+hauppauge<br />
sudo apt update<br />
sudo apt install linux-image-mediatree linux-headers-mediatree linux-firmware-hauppauge<br />
sudo reboot<br />
</pre></div>
Minh
https://taisto.org/index.php?title=Plex&diff=63915
Plex
2018-12-15T19:04:34Z
<p>Minh: /* Hauppauge TV-tunerin asennus Plexiin */</p>
<hr />
<div>Plex on ilmainen mediapalvelin kotikäyttöön. Siihen on kätevä tallentaa kaikki mediasisältö ja katsoa niitä missä ja millä laitteella tahansa. <br />
<br />
== Asennus ==<br />
<br />
Lisää APTiin repo<br />
<br />
echo deb https://downloads.plex.tv/repo/deb ./public main | sudo tee /etc/apt/sources.list.d/plexmediaserver.list<br />
<br />
Lisää avain<br />
<br />
curl https://downloads.plex.tv/plex-keys/PlexSign.key | sudo apt-key add -<br />
<br />
Asenna plexmediaserver<br />
<br />
sudo apt update<br />
sudo apt install plexmediaserver<br />
<br />
== Hauppauge TV-tunerin asennus Plexiin ==<br />
<br />
Asennus onnistuu helposti PPA:n avulla. Käynnistä lopuksi palvelin uusiksi kokonaan.<br />
<br />
<pre><br />
sudo add-apt-repository ppa:b-rad/kernel+mediatree+hauppauge<br />
sudo apt update<br />
sudo apt install linux-image-mediatree linux-headers-mediatree linux-firmware-hauppauge<br />
sudo reboot<br />
</pre></div>
Minh
https://taisto.org/index.php?title=Postfix&diff=63914
Postfix
2018-12-14T16:53:07Z
<p>Minh: /* SPF */</p>
<hr />
<div><languages/><br />
<translate><br />
<!--T:1--><br />
Postfix on sähköpostin välitysohjelmisto (MTA). Postfix on avoimen lisenssillä varustettu ohjelmisto. Tietoturvallisessa ja suorituskykyisessä Postfixissä on hyvä roskapostin suodatus. <br />
<br />
<!--T:2--><br />
Suosittelemme käyttämään myös [[Spamassassin]] ja [[Amavis]] suojaamaan sähköpostipalvelinta roskapostittajilta.<br />
<br />
== Asennus == <!--T:3--><br />
<br />
<!--T:4--><br />
[[aptitude]] install postfix<br />
<br />
<!--T:5--><br />
Seuraa asennusohjelman ohjeita<br />
<br />
<!--T:6--><br />
[[Tiedosto:postfix1.png]]<br />
<br />
<br />
<!--T:7--><br />
Tämän jälkeen sinun tulee antaa palvelimen isäntänimi<br />
<br />
<!--T:8--><br />
esimerkiksi:<br />
<br />
<!--T:9--><br />
mail.example.com<br />
<br />
== Konfigurointi == <!--T:10--><br />
<br />
<br />
<!--T:11--><br />
Avaa konfigurointi tiedosto:<br />
<br />
<!--T:12--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:13--><br />
Tarkista postifixin konfigurointi tiedostossa on määritetty tietokoneen isäntänimi ja palvelimen osoite<br />
<br />
<!--T:14--><br />
myhostname = server.example.com<br />
alias_maps = hash:/etc/aliases<br />
alias_database = hash:/etc/aliases<br />
myorigin = example.com<br />
mydestination = example.com, server.example.com, localhost, localhost.example.com$<br />
#relayhost =<br />
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128<br />
mailbox_command = procmail -a "$EXTENSION"<br />
mailbox_size_limit = 0<br />
recipient_delimiter = +<br />
inet_interfaces = all<br />
<br />
<!--T:15--><br />
Tallenna tiedosto ja avaa seuraavaksi tiedosto<br />
<br />
<!--T:16--><br />
nano /etc/postfix/master.cf<br />
<br />
<!--T:17--><br />
Oletuksena master.cf tiedostossa on sallittu normaali SMTP yhteys portissa 25.<br />
<br />
<!--T:18--><br />
smtp inet n - - - - smtpd<br />
<br />
<br />
<!--T:19--><br />
Oletuksena seuraavat ovat risuaidalla merkitty (#).<br />
<br />
<!--T:20--><br />
Ota käyttöön poistamalla risuaita 587 portissa tapahtuva SMTP tiedonsiirtoa. Sillä voi myös siirtää salattua liikennettä komennolla STARTTLS.<br />
<br />
<!--T:21--><br />
submission inet n - - - - smtpd<br />
-o syslog_name=postfix/submission<br />
-o smtpd_tls_security_level=encrypt<br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
-o milter_macro_daemon_name=ORIGINATING<br />
<br />
<!--T:22--><br />
Ota käyttöön poistamalla risuaita SMTPS yhteys (portissa 465). SSL salaus käytetään tässä yhteydessä oletuksena. SASL todennusta suositellaan käytettäväksi.<br />
<br />
<!--T:23--><br />
smtps inet n - - - - smtpd<br />
-o syslog_name=postfix/smtps<br />
-o smtpd_tls_wrappermode=yes<br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
-o milter_macro_daemon_name=ORIGINATING<br />
<br />
=== Selitetään: === <!--T:24--><br />
<br />
<!--T:25--><br />
Palvelimesi nimi (tarkista että on sama kuin hostname (komento: hostname)):<br />
myhostname = server.example.com<br />
Kirjautumisen tunnukset = sama kuin Debian. Ei muuteta<br />
alias_maps = hash:/etc/aliases<br />
alias_database = hash:/etc/aliases<br />
Domain (määritetään palvelimesi sähköpostiosoitteeseen username@example.com). Oletuksena määritetty /etc/mailname:<br />
myorigin = example.com<br />
Tietokoneen isäntänimet:<br />
mydestination = example.com, server.example.com, localhost, localhost.example.com$<br />
#relayhost = 127.0.0.1:10111<br />
Tämä vaaditaan jos ei ole suoraa yhteyttä verkkoon. <br />
<br />
<!--T:26--><br />
Esimerkkinä Soneran postipalvelin:<br />
relayhost = [mail.inet.fi]:25<br />
<br />
<!--T:27--><br />
DNA postipalvelin:<br />
relayhost = [smtp.dnainternet.net]:25<br />
<br />
<br />
<!--T:28--><br />
Lähiverkkosi:<br />
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128<br />
mailbox_command = procmail -a "$EXTENSION"<br />
mailbox_size_limit = 0<br />
recipient_delimiter = +<br />
Verkkoliitännät<br />
inet_interfaces = all<br />
<br />
<!--T:29--><br />
Sulje tiedosto ja käynnistä postfix uudelleen<br />
<br />
<!--T:30--><br />
service postfix restart<br />
<br />
== Lisäasetukset == <!--T:31--><br />
<br />
=== Virtuaali sähköpostiosoitteet === <!--T:32--><br />
<br />
<!--T:33--><br />
Voit ohjata virtuaali sähköpostiosoitteet esimerkiksi webmaster@example.com ja postmaster@example.com omalle käyttäjällesi.<br />
<br />
<!--T:34--><br />
Avaa tiedosto:<br />
<br />
<!--T:35--><br />
/etc/aliases<br />
<br />
<!--T:36--><br />
# /etc/aliases<br />
mailer-daemon: postmaster<br />
postmaster: root<br />
nobody: root<br />
hostmaster: root<br />
usenet: root<br />
news: root<br />
webmaster: root<br />
www: root<br />
ftp: root<br />
abuse: root<br />
noc: root<br />
security: root<br />
root = [username]<br />
<br />
<!--T:37--><br />
Muuttamalla [username] kohta omaksi käyttäjätiliksi saat kaikki näiden käyttäjätilien sähköpostit samaan sähköpostilaatikkoon. Voit lisätä muitakin osoitteita tiedoston loppuun:<br />
<br />
<!--T:38--><br />
[alias_postinimi] = [käyttäjälle]<br />
<br />
<!--T:39--><br />
Vahvista muutokset<br />
<br />
<!--T:40--><br />
newaliases<br />
<br />
=== Virtuaali domainit === <!--T:41--><br />
<br />
<!--T:42--><br />
Virtuaaliset domainit siis ovat tarkoitettu sähköpostipalvelimelle joka lähettää ja vastaanottaa usealle eri domainille.<br />
<br />
<br />
<!--T:43--><br />
Avaa Postfixin konfigurointi tiedosto main.cf<br />
<br />
<!--T:44--><br />
/etc/postfix/main.cf<br />
<br />
<!--T:45--><br />
Lisää seuraavat rivit:<br />
<br />
<!--T:46--><br />
virtual_alias_domains = example.com<br />
virtual_alias_maps = hash:/etc/postfix/virtual<br />
<br />
<!--T:47--><br />
Luo uusi tiedosto<br />
<br />
<!--T:48--><br />
postmaster@example.com postmaster<br />
info@example.com matti<br />
sales@example.com kalle<br />
# Uncomment entry below to implement a catch-all address<br />
# @example.com aleksi<br />
<br />
<!--T:49--><br />
Älä lisää virtual_alias_domain:ia mydestination domainiksi!<br />
<br />
=== Sähköpostin uudelleenohjaus === <!--T:50--><br />
<br />
<!--T:51--><br />
Sähköpostin uudelleenohjaus matti@example.com -> matti.example2.com esimerkiksi.<br />
<br />
<!--T:52--><br />
Avaa Postfixin konfigurointi tiedosto main.cf<br />
<br />
<!--T:53--><br />
/etc/postfix/main.cf:<br />
<br />
<!--T:54--><br />
Lisää seuraavat rivit tiedostoon:<br />
<br />
<!--T:55--><br />
virtual_alias_domains = example.com<br />
virtual_alias_maps = hash:/etc/postfix/virtual<br />
<br />
<!--T:56--><br />
Luo uusi tiedosto<br />
<br />
<!--T:57--><br />
/etc/postfix/virtual:<br />
<br />
<!--T:58--><br />
Lisää seuraavat rivit tiedostoon<br />
postmaster@example.com postmaster<br />
matti@example.com matti@example2.com<br />
aleksi@example.com aleksi@example3.com<br />
# Uncomment entry below to implement a catch-all address<br />
# @example.com jim@yet-another-site<br />
<br />
<!--T:59--><br />
Uudelleenohjattava sähköpostin domain tulee olla mydestination merkitty. Et voi uudelleenohjata aliaksia /etc/alias<br />
<br />
<!--T:60--><br />
Tarkista konfiguraatio<br />
<br />
<!--T:61--><br />
postmap /etc/postfix/virtual<br />
<br />
== Testataan Postfixin toimintaa == <!--T:62--><br />
<br />
<!--T:63--><br />
Lähetetään testisähköposti:<br />
<br />
<!--T:64--><br />
Asenna tämä sähköpostityökälut jos ei ole asennettu:<br />
<br />
<!--T:65--><br />
apt-get install mailutils<br />
<br />
<!--T:66--><br />
ja sen jälkeen lähetetään sähköpostia:<br />
<br />
<!--T:67--><br />
mail address@domain.com<br />
<br />
<!--T:68--><br />
Komento tulostaa:<br />
Subject: Aiheesi viestille<br />
<br />
<!--T:69--><br />
Tämän jälkeen kirjoita viesti (ja ENTER) ja tulostuu:<br />
<br />
<!--T:70--><br />
CC: <br />
<br />
<!--T:71--><br />
jonka voi jättää tyhjäksi. Lähetä sähköposti näppäinyhdistelmällä CTRL+D.<br />
<br />
== Sähköpostipalvelimen suojaaminen == <!--T:72--><br />
<br />
<!--T:73--><br />
Kun luot oman sähköpostipalvelimen, sitä pitää heti alkaa suojaamaan ahkerasti roskapostittajia vastaan. Suositus on ottaa myös SASL todennus käyttöön.<br />
<br />
=== Roskapostien suodatus === <!--T:74--> <br />
<br />
<!--T:75--><br />
Lisäämällä seuraava koodi pätkä tarkistaa onko lähettäjän verkkotunnus olemassa:<br />
<br />
<!--T:76--><br />
nano /etc/postfix/main.cf<br />
<br />
<br />
<!--T:77--><br />
smtpd_recipient_restrictions = reject_invalid_hostname,<br />
reject_unknown_recipient_domain,<br />
reject_unauth_destination,<br />
reject_rbl_client sbl.spamhaus.org, # Tämä rivi ei Soneran verkkoon<br />
permit<br />
<br />
<!--T:78--><br />
smtpd_helo_restrictions = reject_invalid_helo_hostname,<br />
reject_non_fqdn_helo_hostname,<br />
reject_unknown_helo_hostname<br />
<br />
<!--T:79--><br />
Ja tämä tarkistaa listan onko verkkotunnus merkitty roskapostittajaksi:<br />
<br />
<!--T:80--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:81--><br />
smtpd_client_restrictions = reject_rbl_client dnsbl.sorbs.net<br />
<br />
=== SMTPS SASL todennus === <!--T:82--> <br />
<br />
<!--T:83--><br />
Lisäämällä seuraava rivi, niin estät sähköpostin välitykset muusta kuin omasta verkostasi. SASL tunnistuksen avulla voit lähettää muustakin verkosta<br />
<br />
<!--T:84--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:85--><br />
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject<br />
<br />
Hyödynnä Dovecottia SASL todennuksessa. Tämä toimii siis Dovecotin todennuksen kanssa.<br />
<br />
<pre><br />
# SASL authentication<br />
smtpd_sasl_auth_enable=yes<br />
smtpd_sasl_type = dovecot<br />
smtpd_sasl_path = private/auth<br />
smtpd_sasl_security_options = noanonymous<br />
smtpd_sasl_tls_security_options = noanonymous<br />
</pre><br />
<br />
Lisäksi poista risuaita tiedostosta<br />
<br />
nano /etc/dovecot/conf.d/10-master.conf<br />
<br />
kohdasta<br />
<br />
<pre><br />
# Postfix smtp-auth<br />
unix_listener /var/spool/postfix/private/auth {<br />
mode = 0666<br />
user = postfix<br />
group = postfix<br />
<br />
}<br />
</pre><br />
<br />
<!--T:86--><br />
[[nano]] /etc/postfix/master.cf<br />
<br />
<!--T:87--><br />
Ota seuraavilta riveiltä risuaita pois submission ja smtps kohdasta. Jos haluat SMTP portille myös audikoinnin, lisää tämä seuraavat rivi sen alle.<br />
<br />
<!--T:88--><br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
<br />
=== TLS (STARTSSL) === <!--T:89--><br />
<br />
<!--T:90--><br />
Esimerkki konfiguraatio tiedostosta /etc/postfix/main.cf<br />
<br />
<!--T:91--><br />
<pre><br />
smtpd_use_tls=yes<br />
smtpd_tls_security_level = may<br />
smtp_tls_security_level = may<br />
smtpd_tls_cert_file=/etc/ssl/postfix.cert<br />
smtpd_tls_key_file=/etc/ssl/postfix.key<br />
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt<br />
smtpd_tls_security_level = may<br />
smtpd_tls_auth_only = yes<br />
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache<br />
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3<br />
smtpd_tls_protocols=!SSLv2,!SSLv3,TLSv1,TLSv1.1,TLSv1.2<br />
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 , DES, ADH, !RC4, PSD, SRP, 3DES, eNULL<br />
smtpd_tls_mandatory_ciphers = high<br />
tls_high_cipherlist = AES128+EECDH:AES128+EDH<br />
</pre><br />
<br />
<!--T:92--><br />
Ota käyttöön Submission kohdasta risuaidat pois.<br />
<br />
<!--T:93--><br />
Testaa STARTSSL: https://starttls.info/<br />
<br />
https://checktls.com/<br />
https://ssl-tools.net/mailservers/<br />
<br />
Testaa openssl_client komennolla toimivuuksia<br />
<br />
openssl s_client -connect mail.example.org:587<br />
<br />
==== TLS-Policy ====<br />
<br />
TLS Policyllä eli säännöillä voidaan määrittää missä sivuilla esimerkiksi on pakotettu TLS käyttöön ja missä vaihtoehtoisesti.<br />
<br />
Lisää tämä main.conf tiedostoon<br />
<br />
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy<br />
<br />
Luo tiedosto /etc/postfix/tls_policy . Policyyn määritetään domainit jossa on pakotettu salaus encrypt määritteellä. Testaa lähettämällä gmailiin niin gmail ilmoittaa että sähköposti on salattu.<br />
<br />
<pre><br />
gmail.com encrypt<br />
.gmail.com encrypt<br />
ssl-tools.net encrypt<br />
.ssl-tools.net encrypt<br />
</pre><br />
<br />
Hash sisältö postmap komennolla<br />
<br />
sudo postmap /etc/postfix/tls_policy<br />
<br />
Lataa Postfix konfiguraatio uudelleen<br />
<br />
sudo service postfix reload<br />
<br />
=== Poista lähtevistä sähköposteistä asiakkaan header-tiedot ===<br />
<br />
Tällä tarkoituksena on poistaa esimerkiksi sähköpostiasiakasohjelmalla lähtevien IP-osoitteet suojaten yksityisyyttä. Tiedot kuitenkin tallentuu palvelimen lokiin normaalisti.<br />
<br />
Asenna Postfix-pcre <br />
<br />
sudo apt install postfix-pcre<br />
<br />
Luo uusi tiedosto smtp_header_checks<br />
<br />
sudo nano /etc/postfix/smtp_header_checks<br />
<br />
Ja lisää tiedostoon<br />
<br />
<pre><br />
/^\s*(Received: from)[^\n]*(.*)/ REPLACE $1 [127.0.0.1] (localhost [127.0.0.1])$2<br />
/^\s*User-Agent/ IGNORE<br />
/^\s*X-Enigmail/ IGNORE<br />
/^\s*X-Mailer/ IGNORE<br />
/^\s*X-Originating-IP/ IGNORE<br />
</pre><br />
<br />
Tämä muuttaa from-headeristä kaikki IP-osoitteet 127.0.0.1:seksi. Poistaa asiakasohjelman User-Agentin yms tiedot.<br />
<br />
Lisää tämän jälkeen Postfixin main.conf tiedostoon rivi<br />
<br />
smtp_header_checks = pcre:/etc/postfix/smtp_header_checks<br />
<br />
Ja lataa konfiguraatio uudelleen<br />
<br />
sudo service postfix reload<br />
<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== Telia Postipalvelimen käytössä Relaynä - SMTPS == <!--T:94--><br />
<br />
<!--T:95--><br />
Postfixissä on tuki SSL yhteydelle TLS:n kanssa mutta ei pelkästään SSL kanssa. Tämä seuraava ohje on pelkästään SSL, mutta jos on tuki TLS salaukselle, on suositeltavaa käyttää sitä.<br />
<br />
<!--T:96--><br />
Ohjeen lähde: http://www5.sonera.fi/keskustele/viewtopic.php?f=59&t=9210<br />
<br />
<!--T:97--><br />
SMTPS on salattu SMTP yhteys ja nykyisin suositus olisi käyttää tätä ominaisuutta. <br />
<br />
<!--T:98--><br />
Esimerkkinä on Soneran verkko:<br />
<br />
<!--T:100--><br />
relayhost = [mail.inet.fi]<br />
<br />
<!--T:101--><br />
Nyt olisi aika siirtyä salattuun postiin ja tämä on hieman hankalempi, kun Soneran omat postipalvelimet eivät tue TLS salausta. Postfix ei tue SSL salausta, mutta asennetaan pieni kiertotie niin se onnistuu.<br />
<br />
<!--T:102--><br />
Asennetaan ensin Stunnel<br />
<br />
<!--T:103--><br />
[[aptitude]] install stunnel<br />
<br />
<!--T:104--><br />
Luodaan tiedosto /etc/stunnel/postfix.conf ja kopioi alla oleva koodi:<br />
<br />
<!--T:105--><br />
[ssmtp_c2s]<br />
accept = 127.0.0.1:10111<br />
client = yes<br />
connect = mail.inet.fi:465<br />
delay = yes <br />
<br />
<!--T:106--><br />
ja tämän jälkeen avaa tiedosto: /etc/default/stunnel ja muuta se seuraavanlaiseksi:<br />
<br />
<!--T:107--><br />
# Change to one to enable stunnel automatic startup<br />
# MUUTOS<br />
#ENABLED=0<br />
ENABLED=1<br />
FILES="/etc/stunnel/*.conf"<br />
OPTIONS=""<br />
<br />
# Change to one to enable ppp restart scripts<br />
PPP_RESTART=0<br />
<br />
<!--T:108--><br />
Tämän jälkeen muokkaa /etc/postfix/main.cf seuraavanlaiseksi:<br />
<br />
<!--T:109--><br />
relayhost = 127.0.0.1:10111<br />
<br />
# SASL authentication<br />
smtp_sasl_auth_enable=yes<br />
smtp_sasl_password_maps = hash:/etc/postfix/passwd<br />
smtp_sasl_security_options = noanonymous<br />
smtp_sasl_tls_security_options = noanonymous<br />
<br />
# TLS<br />
smtp_tls_eccert_file =<br />
smtp_tls_eckey_file =<br />
# http://www.postfix.org/TLS_README.html#client_tls_may<br />
smtp_tls_security_level = may<br />
smtpd_tls_received_header = yes<br />
tls_random_source = dev:/dev/urandom<br />
# http://www.postfix.org/TLS_README.html#client_tls_may<br />
smtpd_tls_security_level = may<br />
<br />
Luo tiedosto /etc/postfix/passwd ja kirjoita siihen Soneran sähköpostisi käyttäjätunnus ja salasana<br />
<br />
<!--T:110--><br />
mail.inet.fi:465 KÄYTTÄJÄTUNNUS:SALASANA<br />
<br />
<!--T:111--><br />
Esimerkiksi:<br />
<br />
<!--T:112--><br />
mail.inet.fi:465 etunimi.sukunimi@pp1.inet.fi:taisto<br />
<br />
<!--T:113--><br />
Tämän jälkeen anna tämä komento:<br />
<br />
<!--T:114--><br />
postmap hash:/etc/postfix/passwd<br />
<br />
<!--T:115--><br />
Kokeile toimiiko antamalla seuraava komento:<br />
<br />
<!--T:116--><br />
postmap -q mail.inet.fi:465 /etc/postfix/passwd<br />
<br />
<!--T:117--><br />
Jos komento tulostaa käyttäjätunnuksesi ja salasanasi, kaikki toimii tähän asti<br />
<br />
<br />
<!--T:118--><br />
Estä muiden käyttäjien näkemästä salasanaasi:<br />
<br />
<!--T:119--><br />
chmod go-rwx /etc/postfix/passwd*<br />
<br />
<!--T:120--><br />
Käynnistä lopuksi palvelut uudelleen<br />
<br />
<!--T:121--><br />
service stunnel4 restart<br />
<br />
<!--T:122--><br />
service postfix restart<br />
<br />
== Varasähköpostipalvelin ==<br />
<br />
Varasähköpostipalvelimen avulla varmistat ettei sähköpostit häviä jos ensisijainen sähköpostipalvelin ei olisikaan verkossa. Varasähköpostipalvelimia voi olla useita ja ne tallentavat sähköpostit jonotus listalle odottamaan kunnes ensisijainen sähköpostipalvelin palaa takaisin toimintaan.<br />
<br />
Sinun tulee määrittää MX tietueet DNS palveluun. MX1 on ensisijainen palvelin ja MX2 on toissijainen palvelin. Priority arvolla määritetään mikä palvelin on ensisijainen ja toissijaiset. Pienin arvo (10) on ensisijainen ja suurin arvo (20) on toissijainen.<br />
<br />
<pre><br />
example.com. 86400 IN MX 10 mx1.example.com.<br />
example.com. 86400 IN MX 20 mx2.example.com.<br />
</pre><br />
<br />
Konfiguroidessa MX2 palvelimesta varapalvelin, sinun tulee konfiguroida main.cf tiedostoon<br />
<br />
nano /etc/postfix/main.cf<br />
<br />
Määritä seuraavanlaiset konfiguraatiot. smtpd_recipient_restrictions tulee olla permit_mynetworks ja reject_unauth_destination. Relay_domainissa tulee olla example.org, eli domain joka ohjataan eteenpäin. Tämä määrittää mikä sähköpostidomainien postit ohjataan eteenpäin. relay_recipient_maps tulee olla tyhjä.<br />
<br />
<pre><br />
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination<br />
<br />
relay_domains = $mydestination, example.com<br />
<br />
relay_recipient_maps =<br />
</pre><br />
<br />
Varmista että seuraavat parametrit ovat tyhjiä: mydestination, virtual_alias_domains, virtual_mailbox_domains<br />
<br />
Käynnistä palvelu uudelleen<br />
<br />
service postfix restart<br />
<br />
Testaa sammuttamalla pääsähköpostipalvelin ja lähetä example.org osoitteelle sähköpostia. mail.log voit seurata toimiiko sähköpostit oikein.<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== SPF ==<br />
<br />
SPF tarkoitus ilmoittaa että mistä IP:stä tai osoitteesta on sallittua lähettää tällä domainilla sähköpostia. Tällä vaikeutetaan roskapostittajien ns. domain väärentämisiä. <br />
<br />
Voit luoda tietueet täältä: http://www.spfwizard.net/<br />
<br />
Esimerkki (sallitaan A recordista mail.example.org joka on meidän oma postipalvelin ja estetään muista palvelimista sekä MX palvelimista jotka nimipalvelusta löytyy:<br />
<br />
v=spf1 mx a:mail.example.org -all<br />
<br />
Lisää tietue nimipalveluun. Kysy lisää palveluntarjoajaltasi.<br />
<br />
Asenna sitten Postfix palvelimeesi<br />
<br />
sudo apt install postfix-policyd-spf-python<br />
<br />
Lisää master.cf tiedostoon loppuun<br />
<br />
<pre><br />
policyd-spf unix - n n - 0 spawn<br />
user=policyd-spf argv=/usr/bin/policyd-spf<br />
</pre><br />
<br />
Konfiguroi main.cf. <br />
<br />
<pre><br />
policyd-spf_time_limit = 3600<br />
<br />
<br />
<br />
smtpd_recipient_restrictions =<br />
...<br />
reject_unauth_destination,<br />
check_policy_service unix:private/policyd-spf,<br />
...<br />
</pre><br />
<br />
Varmista että 'check_policy_service' on '''jälkeen''' 'reject_unauth_destination' estääksesi avoimen postipalvelun (käytetään muuten palvelintasi roskapostittamiseen).<br />
<br />
== Greylisting ==<br />
<br />
Asenna Postgrey<br />
<br />
sudo apt install postgrey<br />
<br />
Lisää asennuksen jälkeen /etc/postfix/main.conf tiedostoon check_policy_service inet:127.0.0.1:10023 parametri smtpd_recipient_restrictions kohtaan.<br />
<br />
smtpd_recipient_restrictions<br />
check_policy_service inet:127.0.0.1:10023<br />
<br />
Lataa Postfix-konfiguraatio uudelleen<br />
<br />
sudo postfix reload<br />
<br />
== Opendkim ==<br />
<br />
DKIM (DomainKeys Identified Mail):in avulla estät sähköpostien väärentämisen lisäämällä digitaalisen allekirjoituksen lähtevissä posteissa. Tässä käytetään yksityistä avainta salatakseen lähtevän postin headerin ja julkinen avain lisätään DNS:ään. Vastaanottaja palvelin voi täältä DNS:stä hakea julkisen avaimen ja näin varmistaa että sähköposti tulee oikealta palvelimelta eikä ole muuttunut matkalla. <br />
<br />
Asenna openkim<br />
<br />
<pre><br />
sudo apt-get update<br />
sudo apt-get dist-upgrade<br />
sudo apt-get install opendkim opendkim-tools<br />
</pre><br />
<br />
Lisää Postfix käyttäjä Opendkim ryhmään<br />
<br />
sudo adduser postfix opendkim<br />
<br />
=== Opendkim konfigurointi ===<br />
<br />
Avaa konfigurointi tiedosto<br />
<br />
sudo nano /etc/opendkim.conf<br />
<br />
Konfiguraatio tulisi näyttää tältä:<br />
<br />
<pre><br />
# This is a basic configuration that can easily be adapted to suit a standard<br />
# installation. For more advanced options, see opendkim.conf(5) and/or<br />
# /usr/share/doc/opendkim/examples/opendkim.conf.sample.<br />
<br />
# Log to syslog<br />
Syslog yes<br />
# Required to use local socket with MTAs that access the socket as a non-<br />
# privileged user (e.g. Postfix)<br />
UMask 002<br />
# OpenDKIM user<br />
# Remember to add user postfix to group opendkim<br />
UserID opendkim<br />
<br />
# Map domains in From addresses to keys used to sign messages<br />
KeyTable /etc/opendkim/key.table<br />
SigningTable refile:/etc/opendkim/signing.table<br />
<br />
# Hosts to ignore when verifying signatures<br />
ExternalIgnoreList /etc/opendkim/trusted.hosts<br />
InternalHosts /etc/opendkim/trusted.hosts<br />
<br />
# Commonly-used options; the commented-out versions show the defaults.<br />
Canonicalization relaxed/simple<br />
Mode sv<br />
SubDomains no<br />
#ADSPAction continue<br />
AutoRestart yes<br />
AutoRestartRate 10/1M<br />
Background yes<br />
DNSTimeout 5<br />
SignatureAlgorithm rsa-sha256<br />
<br />
# Always oversign From (sign using actual From and a null From to prevent<br />
# malicious signatures header fields (From and/or others) between the signer<br />
# and the verifier. From is oversigned by default in the Debian package<br />
# because it is often the identity key used by reputation systems and thus<br />
# somewhat security sensitive.<br />
OversignHeaders From<br />
</pre><br />
<br />
Määritä konfigurointi tiedostolle oikeudet<br />
<br />
sudo chmod u=rw,go=r /etc/opendkim.conf<br />
<br />
Luo hakemisto opendkim:ille, avaimille sekä määritä niille oikeudet<br />
<br />
<pre><br />
sudo mkdir /etc/opendkim<br />
sudo mkdir /etc/opendkim/keys<br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod go-rw /etc/opendkim/keys<br />
</pre><br />
<br />
=== Avainten luonti ===<br />
<br />
Luo avainten allekirjoitustaulu. Tiedostossa tulee olla jokaisella riville domain mitä haluat käyttää<br />
<br />
sudo nano /etc/opendkim/signing.table<br />
<br />
<pre><br />
*@example.com example<br />
</pre><br />
<br />
Korvaa example sinun omallasi domainilla. Ensimmäinen osuus @example.org täsmää sähköpostiosoitteeseesi. <br />
<br />
Luo ja avaa key.table tiedosto. Korvaa example.org omalla verkkotunnuksella<br />
<br />
sudo nano /etc/opendkim/key.table<br />
<br />
<pre><br />
example example.com:mail:/etc/opendkim/keys/example.com/mail.private<br />
</pre><br />
<br />
Korvaa example sillä mitä käytit signing.table:ssa "mail" on DNS recordi jonka kirjoitat DNS:sään.<br />
<br />
Luo trusted.hosts tiedosto. <br />
<br />
sudo nano /etc/opendkim/trusted.hosts<br />
<br />
<pre><br />
127.0.0.1<br />
::1<br />
localhost<br />
myhostname<br />
myhostname.example.com<br />
example.com<br />
</pre><br />
<br />
Korvaa myhostname palvelimen nimelläsi ja example domainillasi.<br />
<br />
Määritä oikeudet hakemistoihin<br />
<br />
<pre><br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod -R go-rwx /etc/opendkim/keys<br />
</pre><br />
<br />
Luodaan nyt avaimet DKIMiä varten<br />
<br />
<pre><br />
sudo mkdir /etc/opendkim/keys/example.com<br />
cd /etc/opendkim/keys/example.com/<br />
sudo opendkim-genkey -b 2048 -s mail -d example.com -v<br />
</pre><br />
<br />
Mikäli nimipalvelin ei tue 2048 bittistä niin sitten käytä 1024 bittistä<br />
<br />
sudo opendkim-genkey -b 1024 -s mail -d example.org -v<br />
<br />
Määritä vielä rekurssiiviset oikeudet hakemistoihin<br />
<br />
<pre><br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod -R go-rw /etc/opendkim/keys<br />
</pre><br />
<br />
Käynnistä Opendkim uudelleen<br />
<br />
sudo service opendkim restart<br />
<br />
=== Konfiguroi DNS ===<br />
<br />
Avaa nyt mail.txt tiedosto<br />
<br />
sudo cat /etc/opendkim/keys/example.com/mail.txt<br />
<br />
Tee nimipalvelimeen TXT recordi, esim:<br />
<br />
<pre><br />
mail._domainkey.example.com IN TXT v=DKIM1; k=rsa; s=email; p=<avain><br />
</pre><br />
<br />
Korvaa example.com ja <avain> tiedoston sisällöllä ja domainilla. <br />
<br />
Testaa<br />
<br />
sudo opendkim-testkey -d example.com -s mail<br />
<br />
Jos kaikki on OK sinun ei tulisi saada ollenkaan mitään tulostusta. <br />
<br />
=== Opendkim konfigurointi Postfixiin ===<br />
<br />
Luo hakemisto<br />
<br />
<pre><br />
sudo mkdir /var/spool/postfix/opendkim<br />
sudo chown opendkim:postfix /var/spool/postfix/opendkim<br />
</pre><br />
<br />
Määritä oikea soketti opendkim:ille<br />
<br />
sudo nano /etc/default/opendkim<br />
<br />
Varmista että kaikki on kommentoitu ja lisää alla oleva tiedostoon<br />
<br />
SOCKET="local:/var/spool/postfix/opendkim/opendkim.sock"<br />
<br />
Konfiguroi seuraavaksi main.cnf tiedostoon opendkim asetuksia<br />
<br />
sudo nano /etc/postfix/main.cnf<br />
<br />
<pre><br />
# Milter configuration<br />
# OpenDKIM<br />
milter_default_action = accept<br />
milter_protocol = 6<br />
smtpd_milters = local:/var/spool/postfix/opendkim/opendkim.sock<br />
non_smtpd_milters = local:/var/spool/postfix/opendkim/opendkim.sock<br />
</pre><br />
<br />
Käynnistä Postfix ja Opendkim uudelleen<br />
<br />
sudo service postfix restart<br />
<br />
sudo service opendkim restart<br />
<br />
Testaa toimiiko kaikki lähettämällä tyhjän sähköpostin: check-auth@verifier.port25.com . Saat paluupostina viestin jossa näet toimiiko vai ei.<br />
<br />
== Opendmarc ==<br />
<br />
Opendmarcin avulla voit tarkistaa Postfixissä Dmarc-tietueen.<br />
<br />
sudo apt install opendmarc<br />
<br />
Kopioi alkuperäinen konfiguraatio talteen<br />
<br />
sudo mv /etc/opendmarc.conf /etc/opendmarc.conf.bak<br />
<br />
Luo uusi tiedosto<br />
<br />
sudo nano /etc/opendmarc.conf<br />
<br />
Tässä on esimerkkikonfiguraatio<br />
<br />
<pre><br />
AutoRestart Yes<br />
AutoRestartRate 10/1h<br />
<br />
UserID postfix:postfix<br />
Socket inet:54321@localhost<br />
Syslog true<br />
SyslogFacility mail<br />
<br />
AuthservID mail.example.org<br />
#TrustedAuthservIDs other.mail.server, another.mail.server<br />
IgnoreHosts /etc/opendkim/trusted.hosts<br />
<br />
FailureReportsSentBy postmaster@example.org<br />
FailureReportsBcc postmaster@example.org<br />
<br />
RejectFailures false<br />
</pre><br />
<br />
Lisää tämä /etc/default/opendmarc tiedostoon<br />
<br />
SOCKET="inet:54321@localhost"<br />
<br />
Lisää tämä /etc/postfix/main.conf tiedostoon kohtaan smttpd_milters<br />
<br />
smtpd_milters = inet:localhost:54321<br />
<br />
Käynnistä Postfix ja Opendmarc uudelleen<br />
<br />
sudo service opendmarc restart<br />
sudo service postfix restart<br />
<br />
== Postfix toiminta PHP5 kanssa == <!--T:123--><br />
<br />
<!--T:124--><br />
PHP5 sisältää mail funktion. Sinun tulee konfiguroida php.ini tiedostoa <br />
<br />
<!--T:125--><br />
nano /etc/php5/apache2/php.ini<br />
<br />
<!--T:126--><br />
ja muuttaa se tälläiseksi:<br />
<br />
<!--T:127--><br />
; For Unix only. You may supply arguments as well (default: "sendmail -t -i").<br />
; http://php.net/sendmail-path<br />
sendmail_path = "/usr/sbin/sendmail -t -i"<br />
<br />
<!--T:128--><br />
ja käynnistä apache uudelleen<br />
<br />
<!--T:129--><br />
service apache2 restart<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== Postfix AD ==<br />
<br />
Hyvä ohje löytyy ICT-academyn [http://ict-academy.fi/index.php?title=Postfix_Dovecot_ClamAv_Spamassassin#Postfixin_liitt.C3.A4minen_AD:seen Wikistä]<br />
<br />
== Postqueue komentoja ==<br />
<br />
postqueue avulla voit hallinnoida postin liikennettä, esimerkiksi voit estää tietyn lähettäjän s.postien lähtemisen tai saapumisen poistamalla ne<br />
<br />
postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /username@example\.org/ { print $1 }' | tr -d '*!' | postsuper -d -<br />
<br />
Poistaa tietyltä domainilta<br />
<br />
postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /@example\.org/ { print $1 }' | tr -d '*!' | postsuper -d -<br />
<br />
Poistaa kaikki s.postit<br />
<br />
postsuper -d ALL<br />
<br />
Valmiita scriptejä: https://www.saotn.org/delete-mailer-daemon-emails-from-postfix-queue/<br />
<br />
<pre><br />
#!/bin/bash<br />
EMAILADDY=$1<br />
<br />
if [ -z "$EMAILADDY" ]<br />
then<br />
echo "Usage: $0 <email address>"<br />
exit<br />
fi<br />
<br />
echo "Delete all emails addressed to $EMAILADDY from our Postfix queue."<br />
<br />
mailq | tail -n +2 | grep -v '^ *(' | awk -v "address=$EMAILADDY" 'BEGIN { RS = "" }<br />
{<br />
# example conditions:<br />
# if ( $7 == address && $8 == "" )<br />
# if ( $7 == address || $8 == address )<br />
if ( $7 == address )<br />
print $1<br />
}<br />
' | tr -d '*!' | postsuper -d -<br />
</pre><br />
<br />
Voit käyttää tätä ajamalla<br />
<br />
sh mailq2delete.sh username@example.org<br />
<br />
== Virheilmoituksia == <!--T:130--><br />
<br />
Ongelmien sattuessa kannattaa lukea palvelimen lokia:<br />
<br />
/var/log<br />
<br />
<!--T:148--><br />
Tässä lista yleisistä virheilmoituksista mitä ilmenee usein postfixin konfiguroinnista:<br />
<br />
=== Sender address rejected: Domain not found (in reply to RCPT TO command === <!--T:149--><br />
<br />
<!--T:150--><br />
myorigin on määritetty väärin /etc/mailname tiedostosta. Tämän tulee olemaan domainin nimi.<br />
<br />
<!--T:151--><br />
myorigin /etc/mailname<br />
<br />
<!--T:152--><br />
example.com <br />
<br />
=== Client host rejected: Access denied=== <!--T:153--><br />
<br />
<!--T:154--><br />
Relayhost on estänyt sinut, ehkä roskapostien takia.<br />
<br />
=== connect to mx3.hotmail.com[65.55.37.104]:25: No route to host === <!--T:155--><br />
<br />
<!--T:156--><br />
Tarkista Relayhost main.cf tiedostossa. Mahdollisesti sinulla on suljettu suoraan portti 25.<br />
<br />
=== Host or domain name not found. Name service error for name=gmail.con type=A: Host not found === <!--T:157--><br />
<br />
<!--T:158--><br />
DNS Virhe. Tarkista resolv.conf tiedostossa määriteytyt DNS asetukset. Kokeile nslookup komentoa.<br />
<br />
=== Invalid mail address, must be fully qualified domain (in reply to RCPT TO command)) === <!--T:159--><br />
<br />
<!--T:160--><br />
Isäntänimessä ongelma. Varmista että DNS on oikein määritetty ja isäntänimi main.cf tiedostossa.<br />
<br />
=== unable to verify address (in reply to MAIL FROM command)) === <!--T:161--><br />
<br />
<!--T:162--><br />
DNS ongelma. Varmista että sinulla on määritetty oikein A-records DNS palvelimelle ja MX-records. Tarkista /etc/hosts tiedosto. Korjaus:<br />
<br />
<!--T:163--><br />
nano /etc/hosts<br />
<br />
<!--T:164--><br />
127.0.0.1 localhost mail.example.com server<br />
127.0.1.1 example.com mail.example.com server<br />
<br />
== Lähteet == <!--T:140--><br />
<br />
<!--T:141--><br />
http://www.postfix.org/<br />
<br />
<!--T:142--><br />
https://wiki.debian.org/Postfix<br />
<br />
<!--T:143--><br />
http://www.sami-lehtinen.net/blog/securing-email-transport-starttls-postfix-ca-certificates-fingerprint-authority<br />
<br />
http://ary.kleinerman.org/posts/how-to-install-and-setup-a-powerful-mail-server-on-linux/<br />
<br />
</translate></div>
Minh
https://taisto.org/index.php?title=Modoboa&diff=63913
Modoboa
2018-12-04T16:30:04Z
<p>Minh: /* Asennus */</p>
<hr />
<div>Modoboa on sähköpostin ylläpito ja hallinta järjestelmä helpolla web-hallinnalla.<br />
<br />
Modoboa käyttää:<br />
<br />
* [[Nginx]] + uwsgi<br />
* [[PostgreSQL]] (oletus) / [[Mysql|MySQL]] <br />
* [[Automx]]<br />
* Amavis<br />
* Clamav<br />
* [[Dovecot]]<br />
* [[Postfix]]<br />
* [[Spamassassin|Spamassassin]]<br />
<br />
== Asennus ==<br />
<br />
Asenna vaaditut paketit <br />
<br />
sudo apt install python-virtualenv python-pip virtualenv letsencrypt<br />
<br />
Jos haluat käyttää LDAPia, asenna<br />
<br />
sudo apt install python-ldap python-django-auth-ldap<br />
<br />
Helpoiten omalla asennusohjelmalla. <br />
<br />
<pre><br />
git clone https://github.com/modoboa/modoboa-installer<br />
cd modoboa-installer<br />
sudo ./run.py example.org<br />
</pre><br />
<br />
Ennen asennusta voit kopioida installer.cfg.default installer.cfg:ksi ja muokata sitä. Suosittelen määrittämään tietokantapalvelimelle salasanan.<br />
<br />
Konfiguroi DNS autoconfig.example.org ja mail.example.org osoittaamaan tähän postipalvelimeen. Siirry https://mail.example.org jatkamaan konfigurointia.<br />
<br />
<pre><br />
Welcome to Modoboa installer!<br />
Your mail server will be installed with the following components:<br />
modoboa automx amavis clamav dovecot nginx razor postfix spamassassin uwsgi<br />
Do you confirm? (Y/n) y<br />
The process can be long, feel free to take a coffee and come back later ;)<br />
Starting...<br />
Generating new self-signed certificate<br />
Installing amavis<br />
Installing spamassassin<br />
Installing razor<br />
Installing clamav<br />
Installing modoboa<br />
Installing automx<br />
Installing uwsgi<br />
Installing nginx<br />
Installing postfix<br />
Installing dovecot<br />
Congratulations! You can enjoy Modoboa at https://mail.example.org (admin:password)<br />
</pre><br />
<br />
Oletuskäyttäjätunnus on admin ja salasanana password. Vaihda nämä heti asennuksen yhteydessä.<br />
<br />
== Päivittäminen ==<br />
<br />
Siirry Modoboan hakemistoon<br />
<br />
cd /srv/modoboa<br />
<br />
Aja virtualenv ja määritä sen source<br />
<br />
su modoboa<br />
virtualenv env<br />
source env/bin/activate<br />
<br />
Asenna Modoboan uusin versio<br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
./pip install modoboa --upgrade<br />
./pip install modoboa_pdfcredentials --upgrade<br />
./pip install modoboa-amavis --upgrade<br />
./pip install modoboa-webmail --upgrade<br />
./pip install modoboa-stats --upgrade<br />
./pip install modoboa-contacts --upgrade<br />
./pip install modoboa-sievefilters --upgrade<br />
./pip install modoboa-postfix-autoreply --upgrade<br />
./pip install modoboa-dmarc --upgrade<br />
./pip install modoboa-radicale --upgrade<br />
</pre><br />
<br />
Käynnistä lopuksi uwsgi uudelleen<br />
sudo service uwsgi restart<br />
<br />
Kopioi staattiset tiedostot ja päivitä tietokannan rakenne<br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
sudo ./python /srv/modoboa/instance/manage.py migrate<br />
sudo ./python /srv/modoboa/instance/manage.py collectstatic<br />
</pre><br />
<br />
Tarkista konffit<br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
./python /srv/modoboa/instance/manage.py check --deploy<br />
</pre><br />
<br />
Varmista täältä vielä lisäohjeistus versiokohtaisesti: https://modoboa.readthedocs.io/en/latest/upgrade.html<br />
<br />
== Konfigurointi ==<br />
<br />
Modoboa voi konfiguroida /srv/modoboa/instance/instance/settings.py tiedostossa olevilla parametreillä. Käynnistä muutosten jälkeen uwsgi uudelleen.<br />
<br />
sudo nano /srv/modoboa/instance/instance/settings.py<br />
<br />
Käynnistä muutosten jälkeen uwsgi uudelleen<br />
<br />
sudo service uwsgi restart<br />
<br />
Jos muutat Postfixin konfiguraatiota (SQL), päivitä ne:<br />
<br />
<pre><br />
sudo ./python /srv/modoboa/instance/manage.py generate_postfix_maps --destdir /etc/postfix --force-overwrite<br />
</pre><br />
<br />
== DMARC ==<br />
<br />
Asennus seuraavilla komennoilla<br />
<br />
<pre><br />
cd /srv/modoboa<br />
virtualenv env<br />
source env/bin/activate<br />
/srv/modoboa/env/bin/pip install modoboa-dmarc<br />
</pre><br />
<br />
Muokkaa <code>/srv/modoboa/instance/instance/manage.py</code> tiedostoa ja lisää sinne MODOBOA_APPS kohtaan <br />
<br />
'modoboa_dmarc'<br />
<br />
Lisää tämä Postfixin master.config tiedostoon <code>/etc/postfix/master.cf</code><br />
<br />
Aja sitten <br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
sudo ./python /srv/modoboa/instance/manage.py migrate modoboa_dmarc<br />
sudo ./python /srv/modoboa/instance/manage.py collectstatic<br />
sudo ./python /srv/modoboa/instance/manage.py load_initial_data<br />
</pre><br />
<br />
<pre><br />
dmarc-rua-parser unix - n n - - pipe<br />
flags= user=vmail:vmail argv=/srv/modoboa/env/bin/python /srv/modoboa/instance/manage.py import_aggregated_report --pipe<br />
</pre><br />
<br />
== Vianmääritys ==<br />
<br />
Tarkista lokit<br />
<br />
uwsgi:<br />
<br />
tail /var/log/uwsgi/app/modoboa_instance.log -f<br />
<br />
Jos edelleenkin saat virhettä, ota käyttöön debug lokit <code>/srv/modoboa/instance/instance/settings.py</code> konfiguraatiosta ja käynnistä uwsgi uudelleen.<br />
<br />
Jos vikaa tulee päivityksen jälkeen tulee ongelmia, palauta aikaisempi versio takaisin.</div>
Minh
https://taisto.org/index.php?title=LemonLDAP::NG&diff=63912
LemonLDAP::NG
2018-12-03T18:22:17Z
<p>Minh: /* Portaalin kustomointi */</p>
<hr />
<div>LemonLDAP::NG on Single Sign On (SSO) sovellus ja se on avointa lähdekoodia. Tätä käytetään hallinnoimaan kirjautumisia verkkosivuilla esimerkiksi keskitetysti. Voit yhdistää tähän eri salasana tietokantoja, esimerkiksi LDAP.<br />
<br />
Tutustu täältä: https://lemonldap-ng.org/<br />
<br />
== Asennus ==<br />
<br />
Asenna dependerit<br />
<br />
sudo apt install libmouse-perl libnet-ldap-perl libcache-cache-perl libdbi-perl perl-modules libwww-perl libcache-cache-perl libxml-simple-perl libsoap-lite-perl libhtml-template-perl libregexp-assemble-perl libregexp-common-perl libjs-jquery libxml-libxml-perl libcrypt-rijndael-perl libio-string-perl libxml-libxslt-perl libconfig-inifiles-perl libjson-perl libstring-random-perl libemail-date-format-perl libmime-lite-perl libcrypt-openssl-rsa-perl libdigest-hmac-perl libdigest-sha-perl libclone-perl libauthen-sasl-perl libnet-cidr-lite-perl libcrypt-openssl-x509-perl libauthcas-perl libtest-pod-perl libtest-mockobject-perl libauthen-captcha-perl libnet-openid-consumer-perl libnet-openid-server-perl libunicode-string-perl libconvert-pem-perl libmoose-perl libplack-perl libauthen-captcha-perl liblasso-perl<br />
<br />
Lisää APT-source.listiin<br />
<br />
sudo nano /etc/apt/sources.list.d/lemonldap-ng.list<br />
<br />
tiedostoon<br />
<br />
<pre><br />
# LemonLDAP::NG repository<br />
deb https://lemonldap-ng.org/deb stable main<br />
deb-src https://lemonldap-ng.org/deb stable main<br />
</pre><br />
<br />
Lataa GPG allekirjoitus avain ja asenna se<br />
<br />
wget https://lemonldap-ng.org/_media/rpm-gpg-key-ow2<br />
sudo apt-key add rpm-gpg-key-ow2<br />
<br />
Asenna lemonldap-ng paketti<br />
<br />
sudo apt update & sudo apt install lemonldap-ng<br />
<br />
Jos käytät Nginx asenna lisäksi<br />
<br />
sudo apt install lemonldap-ng-fastcgi-server<br />
<br />
Muokkaa oletusdomain omaksi ow2.orgiksi. muuta tämä omaksi domainiksi. Ja aja sitten tämä komentorivillä. Tämä päivittää kaikki konfiguraatioihin oma domain nimesi.<br />
<br />
sudo sed -i 's/example\.com/ow2.org/g' /etc/lemonldap-ng/* /var/lib/lemonldap-ng/conf/lmConf-1.js /var/lib/lemonldap-ng/test/index.pl<br />
<br />
Konfiguroi hosts<br />
<br />
echo "127.0.0.1 reload.example.com" >> /etc/hosts<br />
<br />
Konfiguroi nimipalvelimellesi auth ja manager alidomainit osoittamaan LemonLDAP palvelinta.<br />
<br />
== Päivitys 1.9 -> 2.0-versioon ==<br />
<br />
Tämä on iso päivitys LemonLDAPissa, joten tee varmuuskopio tietokannoista ja konfiguraatiosta. Tässä päivityksessä hajoaa useita komponentteja ja moni asia tulee tehdä uudelleen eli varmuuskopiointi on hyvä juttu.<br />
<br />
Valmistautuminen:<br />
<br />
* Päivitä palvelimen kaikki paketit uusimpaan versioon<br />
* Määritä /etc/apt/sources.list.d/lemonldap-ng.list 2.0-versio 1.9 tilalle. Mikäli käytät stablea aikaisemmin niin 2.0 on nykyisin stable (vakaa).<br />
* Tarkista muutokset mitä muuttuu täältä: https://lemonldap-ng.org/documentation/2.0/upgrade<br />
<br />
Mitä minulla meni rikki?<br />
<br />
* Teema -> Suosittelen vaihtamaan teema mikäli muokattu bootstrap:iksi, joka alkuperäinen teema. Teema hakemiston sijainti nimittäin muuttui tässä päivityksessä.<br />
* Nginx TLS-konfiguraatio piti tehdä uusiksi sillä paljon muutoksia tapahtui tässä päivityksessä.<br />
* Palautin lisäksi konfiguraation takaisin ja poistin kaikki sessionit taulusta. <br />
<br />
Päivitysprosessi:<br />
<br />
sudo apt dist-upgrade <br />
<br />
Mikäli olet muokannut Nginx / Apache2-konfiguraatiota, niin anna päivitysohjelman yliajaa ne ja päivitä niihin sen jälkeen muutoksesi.<br />
<br />
== Konfigurointi ==<br />
<br />
=== Nginx ===<br />
<br />
Asensithan lemonldap-ng-fastcgi-server paketin?<br />
<br />
Paketti automaattisesti luo symlinkit sites-available hakemistoon Nginxään mutta otaaksesi käyttöön tee toinen symlinkki sites-enabled hakemistoon<br />
<br />
<pre><br />
sudo ln -s /etc/nginx/sites-available/handler-nginx.conf /etc/nginx/sites-enabled/<br />
sudo ln -s /etc/nginx/sites-available/manager-nginx.conf /etc/nginx/sites-enabled/<br />
sudo ln -s /etc/nginx/sites-available/portal-nginx.conf /etc/nginx/sites-enabled/<br />
sudo ln -s /etc/nginx/sites-available/test-nginx.conf /etc/nginx/sites-enabled/<br />
</pre><br />
<br />
Ja lataa Nginx konfiguraatio uudelleen<br />
<br />
sudo service nginx reload<br />
<br />
=== Konfigurointi Backend ===<br />
<br />
Asenna ensin MySQL moduuli<br />
<br />
sudo apt install libdbd-mysql-perl<br />
<br />
Oletuksena LemonLDAP tallentaa konfiguraatiot tiedostoon, JSON muodossa. Jos olet tekemässä Multi-Node instanssia, suosittelen siirtämään tietokannan esimerkiksi MySQL:ään.<br />
<br />
* Luo tietokanta lemonldap<br />
* Tietokantaan käyttöoikeus käyttäjälle lemonldap.<br />
<br />
Luo tietokantaan taulu lmconfig:<br />
<br />
<syntaxhighlight lang="sql"><br />
CREATE TABLE lmConfig (<br />
cfgNum INT(11) NOT NULL,<br />
FIELD VARCHAR(255) NOT NULL DEFAULT '',<br />
VALUE longblob,<br />
PRIMARY KEY (cfgNum,FIELD)<br />
);<br />
</syntaxhighlight><br />
<br />
Luo lemonldap-ng.ini tiedostosta kopio<br />
<br />
sudo cp /etc/lemonldap-ng/lemonldap-ng.ini /tmp/lemonldap-ng.ini<br />
<br />
Avaa tämä kopio /etc/lemonldap-ng/lemonldap-ng.ini.new ja konfiguroi sinne tietokantapalvelimesi asetukset. <br />
<br />
<pre><br />
[configuration]<br />
type = RDBI<br />
dbiChain = DBI:mysql:database=lemonldap-ng;host=1.2.3.4<br />
dbiUser = lemonldap<br />
dbiPassword = password<br />
; optional<br />
dbiTable = mytablename<br />
</pre><br />
<br />
Kommentoi pois "type=File" konfiguraatiosta. Tallenna ja sulje.<br />
<br />
Aja seuraava komento siirtäessä vanhan konfiguraation uudelle backendille.<br />
<br />
sudo /usr/share/lemonldap-ng/bin/convertConfig --current /etc/lemonldap-ng/lemonldap-ng.ini /tmp/lemonldap-ng.ini<br />
<br />
Sitten siirrä varmuuskopioi vanha konfigurointi tiedosto<br />
<br />
sudo mv /etc/lemonldap-ng/lemonldap-ng.ini /etc/lemonldap-ng/lemonldap-ng.ini.bak<br />
<br />
ja korvaa uudella<br />
<br />
sudo mv /tmp/lemonldap-ng.ini /etc/lemonldap-ng/lemonldap-ng.ini<br />
<br />
Käynnistä Apache2 / lemonldap-ng-fastcgi-server uudelleen<br />
<br />
sudo service apache2 restart<br />
<br />
sudo service lemonldap-ng-fastcgi-server restart<br />
<br />
=== Webhallinta (manager) ===<br />
<br />
Siirry manageriin jatkaaksesi konfigurointia. <br />
<br />
Kirjaudu oletustunnuksella <code>dwho</code> ja salasanalla <code>dwho</code><br />
<br />
==== Konfiguroi SSO:n eväste, verkkotunnus ja portaalin osoite ====<br />
<br />
* Portal URL on verkko-osoite jonne ohjataan kaikki todennuspyynöt. Se konfiguroidaan <code>General Parameters -> Portal -> URL</code> alta.<br />
* Evästeet ovat todella tärkeitä ja sielä pitää olla oikea verkkotunnus käytössä. Voit sallia evästeiden käytön useamman verkkotunnuksen kanssa. Asetukset löytyy <code>General Parameters -> Cookies</code> alta.<br />
<br />
==== SAML käyttöön ====<br />
<br />
Otat käyttöön Managerista: General parameters -> SAML alta.<br />
<br />
[[File:LemonLDAP_SAML_enable_1.PNG|400px]]<br />
<br />
==== Istunnot MySQL/MariaDB:hen ==== <br />
<br />
Oletuksena LemonLDAP tallentaa istunnot tiedostoon. Tämä tekee vaikeammaksi toteuttaa HA-ratkaisua jossa olisi useita LemonLDAP istansseja. Kun tallennat istunnot tietokantaan kuten MySQL, voit synkronoida nämä istunnot helpommin palvelimiesi välillä. <br />
<br />
Luo lemonldap tietokantaan taulu sessions<br />
<br />
<syntaxhighlight lang="sql"><br />
CREATE TABLE sessions (<br />
id VARCHAR(64) NOT NULL PRIMARY KEY,<br />
a_session text,<br />
_whatToTrace VARCHAR(64),<br />
_session_kind VARCHAR(15),<br />
_utime BIGINT,<br />
ipAddr VARCHAR(15)<br />
);<br />
CREATE INDEX uid1 ON sessions (_whatToTrace) USING BTREE;<br />
CREATE INDEX _s1 ON sessions (_session_kind);<br />
CREATE INDEX _u1 ON sessions (_utime);<br />
CREATE INDEX ip1 ON sessions (ipAddr) USING BTREE;<br />
<br />
CREATE TABLE psessions (<br />
id CHAR(32) NOT NULL PRIMARY KEY,<br />
a_session text<br />
);<br />
</syntaxhighlight><br />
<br />
Tietokantaan luo käyttäjätili jolla kaikki oikeudet tähän tietokantaan.<br />
<br />
Sitten Managerissa <code>General Parameters -> Sessions -> Sessions Storage</code> määritä sinne seuraavat asetukset MySQLää varten. DataSource ja Lock DataSource voit käyttää samoja tunnuksia ja salasanoja. Index riviä ei tule Persistent session ollenkaan.<br />
<br />
<pre><br />
DataSource dbi:mysql:dbname=lemonldap;host=127.0.0.1<br />
UserName lemonldap<br />
Password lemonldap_password<br />
TableName sessions<br />
LockDataSource dbi:mysql:dbname=lemonldap;host=127.0.0.1<br />
LockUserName lemonldap<br />
LockPassword lemonldap_password<br />
Index _whatToTrace ipAddr _session_kind _utime<br />
</pre><br />
<br />
[[File:LemonLDAP_Manager_Session_Module_parameters.png|400px]]<br />
<br />
Muuta sitten Apache::Session modules arvoksi: <code>Apache::Session::Browseable::MySQL</code> ja tallenna konfiguraatio. Jos sinulla ei ole <code>Session::Browseable::MySQL</code> asennettuna, asenna se cpanin avulla.<br />
<br />
sudo cpan install Session::Browseable::MySQL<br />
<br />
Teimme lisäksi Persistent sessions konfiguraation taulun, määritä vastaavanlainen tietokanta-asetukset manageriin.<br />
<br />
=== Todennusmoduulit ===<br />
<br />
Todennusmoduulien (eng. Authentication module) voit käyttää LemonLDAPia kirjautumaan esimerkiksi LDAPin, Googlen (OpenID Connect), Facebookin ja Twitterin kautta.<br />
<br />
Lisää todennusmoduulit managerista:<br />
<br />
* <code>General Parameters -> '''Authentication parameters</code><br />
* Valitse Authenticatin module alta mitä moduulia haluat käyttää. Lisäksi konfiguroi Users ja Password moduulit.<br />
<br />
Tuetut moduulit löytyvät dokuemntaaatiosta https://lemonldap-ng.org/documentation/latest/start#authentication_users_and_password_databases<br />
<br />
==== LDAP ====<br />
<br />
LemonLDAP integroituu täydellisesti aikaisemman LDAP tai Active Directory palvelun kanssa. Olen itse testannut tätä FreeIPA:n kanssa mutta pitäisi olla yhteensopiva myös Active Directorynkin kanssa.<br />
<br />
Määritä LDAP asetukset täältä: General Parameters -> Authentcation parameters -> LDAP parameters -> Connections alta määritä LDAPin yhteysasetukset.<br />
<br />
Esimerkki<br />
<br />
* Server Host eli palvelimen isäntänimi tai IP-osoite, esimerkiksi ldaps://192.168.99.10. Voit lisätä useita palvelimia erottamalla ne pilkulla, esim ldaps://192.168.99.10, ldaps://192.168.99.11<br />
* Server port 636<br />
* User search base: dc=example, dc=local<br />
* Account: uid=accounting,cn=users,cn=accounts,dc=example,dc=org<br />
* Pssword: XXXXXX<br />
* Timeout: 120<br />
* Version: 3<br />
<br />
Lisää sitten myös exported variabled eli muuttujat LDAPista.<br />
<br />
[[File:LemonLDAP_LDAP_exported_variables.PNG|400px]]<br />
<br />
Seuraavaksi konfiugroi ryhmät Groups valikon alta. <br />
<br />
* Search base: cn=groups, cn=accounts,dc=example,dc=org<br />
* Object class: groupOfNames<br />
* Target attribute: member<br />
* User source attribute: dn<br />
* Searched attributes: cn<br />
<br />
Password välilehdessä voit määrittää salasana käytänteet, käytämme esimerkiksi näitä:<br />
<br />
[[File:LemonLDAP_LDAP_password_settings.PNG|400px]]<br />
<br />
==== Todennus Google-tilin avulla ====<br />
<br />
Googlen tulee konfiguroida OpenID Connectin avulla. <br />
<br />
* Rekisteröidy ensin Google Developer käyttäjäksi täälä: https://console.developers.google.com/<br />
* Valitse API Manager alta Creditials. Luodaan uudet tilitiedot.<br />
* Valitse sitten '''Oauth Client ID'''.<br />
<br />
[[File:LemonLDAP_luo_creditials_api_manager.png|400px]]<br />
<br />
Määritä sitten Client ID:lle:<br />
<br />
* Name: Demo Login<br />
* Authorized Javacript Origins: Määritä tähän isäntänimet joilla saa kirjautua.<br />
* Authorized redirect URIs: Määritä tähän osoite mihin uudelleenohjataan takaisin. Esimerkiksi https://auth.example.org/?openidcallback=1<br />
<br />
Palaa nyt LemonLDAP Manageiin. Luo uusi '''OpenID Connect providers''' ja nimeä se esimerkiksi "google":ksi.<br />
<br />
* META data kohdasta lataa tiedot täältä: https://accounts.google.com/.well-known/openid-configuration<br />
* JWKS data kohdasta lataa tiedot täältä: https://www.googleapis.com/oauth2/v3/certs<br />
* Kopioi Configurations -> Client ID ja Client Secretit Googlen API Managerista. <br />
<br />
Tallenna ja testaa.<br />
<br />
==== Todennus Twitter-tilin avulla ====<br />
<br />
Asenna vaadittu moduuli<br />
<br />
sudo apt install libnet-twitter-perl<br />
<br />
== Portaalin kustomointi ==<br />
<br />
Portaalia voi kustomoida HTML / CSS / JS:llä suoraan /usr/share/lemonldap-ng/portal-skins hakemistossa.<br />
<br />
LemonLDAP 1.9 versiossa ja vanhemmissa<br />
<pre><br />
cd /usr/share/lemonldap-ng/portal-skins/<br />
cd myskin/<br />
cp -a ../bootstrap/fonts/ .<br />
cp -a ../bootstrap/js/ .<br />
cp -a ../bootstrap/css/ .<br />
mkdir images<br />
</pre><br />
<br />
LemonLDAP 2.0 ja uudemmissa muuttui rakenne:<br />
<pre><br />
cd /usr/share/lemonldap-ng/portal/templates/<br />
</pre><br />
<br />
== SSO käyttöön eri palveluissa ==<br />
<br />
Tässä ohjeita miten palvelut saadaan kirjautumaan LemonLDAPin SSO:n kautta.<br />
<br />
Mene Manageriin _-> OpenID Connect Relaying parties ja luo uusi OpenID Relaying party. Nimeä se haluamallasi tavalla.<br />
<br />
Options tabin alta:<br />
<br />
* Auhthentication<br />
** Client ID - Asiakkaan tunnus, generoi tunnus jota käytät sovelluksessa.<br />
** Client secret: Asiakkaan tunnuksen salausavain, jota käytetään sovelluksessa. Generoi oma.<br />
* Display<br />
** Display name: Sovelluksen nimi<br />
** Logo: Sovelluksen kuvake<br />
* Redirection addresses: Uudelleenohjaus osoitteet, erotetaan välilyönnillä. Eli nämä ovat redirect_uri parametrissä.<br />
<br />
=== LemonLDAP - Gitlab ===<br />
<br />
==== Oauth2 ====<br />
<br />
Avaa <code>/etc/gitlab/gitlab.rb</code> konfigurointi tiedosto<br />
<br />
Konfiguroi se seuraavanlaiseksi<br />
<br />
<pre><br />
gitlab_rails['omniauth_enabled'] = true<br />
gitlab_rails['omniauth_allow_single_sign_on'] = ['oauth2_generic']<br />
gitlab_rails['omniauth_block_auto_created_users'] = false<br />
gitlab_rails['omniauth_providers'] = [<br />
{<br />
'name' => 'oauth2_generic',<br />
'app_id' => 'random_key', #Change this to own app id<br />
'app_secret' => 'random_key', #Change this to own app key<br />
'args' => {<br />
"scope" => "openid,profile,email",<br />
client_options: {<br />
'site' => 'https://auth.example.org', # including port if necessary<br />
'authorize_url' => '/oauth2/authorize',<br />
'token_url' => '/oauth2/token',<br />
'user_info_url' => '/oauth2/userinfo',<br />
},<br />
user_response_structure: {<br />
root_path: ['data', 'user'],<br />
attributes: { nickname: 'username', first_name: 'name', last_name: 'family_name', email: 'email' } <br />
},<br />
}<br />
}<br />
]<br />
</pre><br />
<br />
Sulje tiedosto ja aja seuraava komento lataaksesi konfiguraation uudelleen<br />
<br />
sudo gitlab-ctl reconfigure<br />
<br />
Linkkejä:<br />
<br />
https://gitlab.com/satorix/omniauth-oauth2-generic<br />
<br />
==== SAML ====<br />
<br />
Lisää nämä Gitlabin konfiguraatioon<br />
<br />
<pre><br />
gitlab_rails['omniauth_providers'] = [<br />
{<br />
name: 'saml',<br />
args: {<br />
assertion_consumer_service_url: 'https://gitlab.example.org/users/auth/saml/callback',<br />
idp_cert: '-----BEGIN CERTIFICATE-----XXXXXXXXXXXXXXXXXXXXX',<br />
idp_sso_target_url: 'https://auth.example.org/saml/SingleSignOn',<br />
issuer: 'gitlab.example.org',<br />
},<br />
# label: 'saml' # optional label for SAML login button, defaults to "Saml"<br />
}<br />
]<br />
</pre><br />
<br />
Lataa Managerista SAML metatiedot https://gitlab.example.org/users/auth/saml/metadata<br />
<br />
=== Grafana ===<br />
<br />
Esimerkki konfiguraatio Grafanaan... Lisää tämä <code>/etc/grafana/grafana.ini</code> tiedostoon.<br />
<br />
<pre><br />
[auth.generic_oauth]<br />
enabled = true<br />
allow_sign_up = true<br />
client_id = XXXXXXYYYYXXXXYYYYXX<br />
client_secret = XXXXXXYYYYXXXXYYYYXX<br />
scopes = openid,profile,email<br />
auth_url = https://auth.example.org/oauth2/authorize<br />
token_url = https://auth.example.org/oauth2/token<br />
api_url = https://auth.example.org/oauth2/userinfo<br />
</pre><br />
<br />
Huomaa että redirect URI:n tulee olla http://grafana.example.org:3000/login/generic_oauth riippuen missä portissa ajat sitä. Oletuksena 3000 portti.<br />
<br />
Konfiguroi sitten LemonLDAPin Manageri:<br />
<br />
* Ota käyttöön OpenID Connect, <code>General Parameters -> Issuer modules -> OpenID Connect -> Activation -> On </code><br />
* Luo uusi '''OpenID Connect Relaying Parties'''.<br />
* Määritä exported attributet: <code>email:mail, family_name:sn, name:cn</code><br />
* Options alta konfiguroi Auhtentication, tulee olla samat avaimet kuin Grafanassa tai tulee virheilmoitus. Generoi avaimet itse.<br />
* Konfiguroi lisäksi '''Allowed redirection address for login''', se tulee olla <code>http://grafana.example.org:3000/login/generic_oauth</code>, eli osoite mistä kirjaudut niin palauttaa takaisin.<br />
<br />
Testaa sitten toimiiko, muista käynnistää grafana uusiksi.<br />
<br />
=== Mediawiki ===<br />
<br />
* Lataa ja asenna Plugin Mediawikiin: https://github.com/Schine/MW-OAuth2Client<br />
<br />
Liittyvä issue täälä: https://github.com/Schine/MW-OAuth2Client/issues/2<br />
<br />
=== Nextcloud ===<br />
<br />
Ohje testattu [[Nextcloud]] 12 version kanssa. Käytä apunasi virallista dokumentaatiota https://lemonldap-ng.org/documentation/latest/applications/nextcloud<br />
<br />
* Ota käyttöön '''SAML Authentication''' moduuli Managerista käyttöön. Sen saat käyttöön '''General Parameters''' -> '''issuer Modules''' -> SAML -> '''Activation''' -> ON<br />
* Ota käyttöön Nextcloudin Apps (sovelluksista) SAML laajennos käyttöön. Huomaathan että kun otat laajennoksen käyttöön et voi enään kirjautua Nextcloudin omilla tunnuksilla. Varmista tällöin että SAMLin avulla kirjautuvalla on järjestelmävalvojan oikeuden.<br />
<br />
Konfiguroi SAML Nextcloudissa seuraavasti:<br />
<br />
* Attribute to map the UID to: uid<br />
* IDP Identify: https://auth.example.org/saml/metadata<br />
* URL Target of the IdP: https://auth.example.org/saml/SingleSignOn<br />
<br />
Lataa sitten metadata valitsemalla '''Download metadata XML'''.<br />
<br />
Luo sitten '''SAML service providers''' nimellä nextcloud Managerista.<br />
<br />
* Metadata kohtaan lataa juuri äskettäin lataamasi metatiedosto. Saat sen http://nextcloud.example.org/index.php/apps/user_saml/metadata ladattua.<br />
* Lisää '''Exported attributes''' kohtaan vähintään uid.<br />
<br />
=== WordPress ===<br />
<br />
<br />
* Lataa ja asenna Plugini WordPressiin: https://github.com/daggerhart/openid-connect-generic<br />
* Konfiguroi sinne määritetyt tiedot<br />
<br />
<pre><br />
Login Type: OpenID Connect button on login form (käytä tätä ainakin testauksessa)<br />
OpenID Scope: email profile openid<br />
Login Endpoint URL: https://auth.example.org/oauth2/authorize<br />
Userinfo Endpoint URL: https://auth.example.org/oauth2/userinfo<br />
Token Validation Endpoint URL: https://auth.example.org/oauth2/token<br />
End Session Endpoint URL: https://auth.example.org/oauth2/logout<br />
Identity key: sub<br />
Nickname Key: preferred_username<br />
Email Formatting: {email}<br />
Display Name Formatting: {given_name}<br />
Link Existing Users: TRUE<br />
Redirect Back to Origin Page: TRUE<br />
</pre><br />
<br />
Lisää manageriin uusi '''OpenID Conenct Relaying Party'''.<br />
<br />
* Exported attributes:<br />
<br />
<pre><br />
email - mail<br />
given_name - givenName<br />
preferred_username - displayName<br />
sub - uid<br />
</pre><br />
<br />
* Options<br />
** Authentication: Generoi tänne Client ID ja Client secret<br />
** ID Token signature algorithm: RS256<br />
** Allowed redirection address for login: https://wordpressurl/wp-admin/admin-ajax.php?action=openid-connect-authorize<br />
** Allowed redirection address for logout: https://wordpress-url/wp-login.php/loggedout https://wordpress-url<br />
<br />
Kokeile nyt kirjautua.<br />
<br />
== Linkkejä ==<br />
<br />
https://elatov.github.io/2014/02/lemonldap-ng-ldap-saml-google-apps/</div>
Minh
https://taisto.org/index.php?title=Nginx&diff=63911
Nginx
2018-12-01T10:52:30Z
<p>Minh: /* Nginx + CloudFlare */</p>
<hr />
<div><languages/><br />
<translate><br />
<!--T:1--><br />
Nginx (lausuntaan engine-x) on toiseksi yleisin webbipalvelin Apachen jälkeen. Nginx käytetään nykyisin todella paljon suurissa palvelinkeskuksissa, esim. Google ja Facebook käyttävät tätä webbipalvelinta. Nginx sisältää HTTP, proxy ja sähköpostipalvelut.<br />
<br />
== Asennus == <!--T:2--><br />
<br />
<!--T:3--><br />
Asennetaan Nginx<br />
<br />
<!--T:4--><br />
[[aptitude]] install nginx<br />
<br />
<!--T:5--><br />
Käynnistä palvelu<br />
<br />
<!--T:6--><br />
service nginx start<br />
<br />
=== Debian ===<br />
<br />
<!--T:7--><br />
Jos haluat uudemman version (Nginx 1.8) lisää source.list tiedostoon dotdeb repot<br />
<br />
<!--T:8--><br />
nano /etc/apt/source.list<br />
<br />
<!--T:9--><br />
<pre><br />
deb http://packages.dotdeb.org wheezy all<br />
deb-src http://packages.dotdeb.org wheezy all<br />
<br />
<!--T:10--><br />
deb http://packages.dotdeb.org wheezy-php56 all<br />
deb-src http://packages.dotdeb.org wheezy-php56 all<br />
</pre><br />
<br />
<!--T:11--><br />
Sulje ja tallenna. Lisää lisäksi GnuPG avain<br />
<br />
<!--T:12--><br />
wget https://www.dotdeb.org/dotdeb.gpg<br />
sudo apt-key add dotdeb.gpg<br />
<br />
<!--T:13--><br />
Tämän jälkeen aja komento <br />
<br />
<!--T:14--><br />
aptitude update && aptitude dist-upgrade && aptitude install nginx<br />
<br />
<!--T:15--><br />
Tarkista Nginx versio<br />
<br />
<!--T:16--><br />
nginx -v<br />
<br />
=== Ubuntu ===<br />
<br />
Luo nginx varten source.list.d alle source.listi.<br />
<br />
sudo nano /etc/apt/source.list.d/nginx.list<br />
<br />
<pre><br />
deb http://nginx.org/packages/mainline/ubuntu/ xenial nginx<br />
deb-src http://nginx.org/packages/mainline/ubuntu/ xenial nginx<br />
</pre><br />
<br />
Lataa PGP avain<br />
wget https://nginx.org/keys/nginx_signing.key<br />
sudo apt-key add nginx_signing.key<br />
<br />
Päivitä pakettilistaus ja asenna nginx<br />
<br />
sudo apt update<br />
sudo apt install nginx<br />
<br />
== Webbipalvelimen Konfigurointi == <!--T:17--><br />
<br />
<!--T:18--><br />
Nginx konfiguraatio hakemisto on:<br />
<br />
<!--T:19--><br />
/etc/nginx<br />
<br />
<!--T:20--><br />
Avaa ja muokkaa tiedostoa<br />
<br />
<!--T:21--><br />
/etc/nginx/sites-enabled/default<br />
<br />
<!--T:22--><br />
Kirjoita tiedostoon seuraavasti:<br />
<br />
<br />
<br />
<!--T:23--><br />
server {<br />
listen 80;<br />
server_name example.org www.example.org;<br />
root /var/www;<br />
index index.html index.htm;<br />
access_log /var/log/nginx/access.log;<br />
error_log /var/log/nginx/error.log;<br />
}<br />
<br />
=== Virtuaalipalvelimet === <!--T:24--><br />
<br />
<!--T:25--><br />
http {<br />
<br />
server {<br />
# Virtuaalipalvelin 1<br />
}<br />
<br />
server {<br />
# Virtuaalipalvelin 2<br />
}<br />
}<br />
<br />
<!--T:26--><br />
Virtuaalipalvelimeen voit määrittää myös IP-osoitteen ja portin, jota palvelin kuuntelee. Tuettuna on myös IPv6 osoitteet, mutta tämä on laitettava hakasulkeisiin.<br />
<br />
<!--T:27--><br />
listen 127.0.0.1:8080;<br />
<br />
<!--T:28--><br />
Oletus virtuaalipalvelin:<br />
<br />
<!--T:29--><br />
listen 80 default_server;<br />
<br />
<!--T:30--><br />
Määritetään palvelimen nimi, johon se vastaa. Tämä voi myös merkitä asteriksilläkin.<br />
<br />
<!--T:31--><br />
server_name example.org www.example.org;<br />
<br />
=== Sijainnit === <!--T:32--><br />
<br />
<!--T:33--><br />
location /some/path/<br />
<br />
==== Aliakset ==== <!--T:34--><br />
<br />
<!--T:35--><br />
location /i/ {<br />
alias /data/w3/images/;<br />
}<br />
<br />
==== Tiedostolistaukset ==== <!--T:36--><br />
<br />
<!--T:37--><br />
location /testing {<br />
autoindex on;<br />
autoindex_exact_size off;<br />
autoindex_localtime on;<br />
}<br />
<br />
=== Virhesivut === <!--T:38--><br />
<br />
<!--T:39--><br />
error_page direktiivillä voit määrittää virhesivut. Määritä HTTP virhekoodi. Lista virhekoodeista löytyy täältä http://en.wikipedia.org/wiki/List_of_HTTP_status_codes<br />
<br />
<!--T:40--><br />
error_page 404 /404.html;<br />
<br />
<br />
<br />
<!--T:41--><br />
Kokeile muodostaa palvelimeen yhteys verkkoselaimella. Sivuston sisältöä voit muokata hakemistosta:<br />
<br />
<!--T:42--><br />
/var/www<br />
<br />
<!--T:43--><br />
hakemistossa<br />
<br />
=== Salasanasuojattu sivu === <!--T:44--><br />
<br />
<!--T:45--><br />
Lisätään ''/etc/nginx/sites-enabled/default'' tiedostoon pari riviä<br />
<br />
<!--T:46--><br />
location / {<br />
auth_basic "''Tähän voit määritellä ilmoituksen minkä haluat sivuille pyrkijöille ilmestyvän''";<br />
auth_basic_user_file ''tähän polkun tiedostoon josta löytyy salasanat käyttäjille'';<br />
}<br />
<br />
<!--T:47--><br />
Sitten tehdään tiedosto salasanoille<br />
<br />
<!--T:48--><br />
nano /var/www/.password<br />
<br />
<!--T:49--><br />
tiedosto on siis piilotettu<br />
<br />
<!--T:50--><br />
htpasswd -c /var/www/salaista/.password johannes<br />
<br />
<!--T:51--><br />
näin tehtiin käyttäjä<br />
<br />
=== Pakkaaminen === <!--T:52--><br />
<br />
<!--T:53--><br />
Verkkosivut kannattaa pakata ennen lähettämistä, sillä se säästää kaistaa ja aikaa.<br />
<br />
<br />
<!--T:54--><br />
Otetaan käyttöön gzip pakkaus<br />
gzip on;<br />
Poistetaan käytöstä jos on IE6<br />
gzip_disable "msie6";<br />
gzip_vary on;<br />
gzip_proxied any;<br />
gzip_comp_level 6;<br />
Määritä gzip:n pakkauksen taso. Arvo voi olla 1 - 9 välillä.<br />
gzip_buffers 16 8k;<br />
gzip_http_version 1.1;<br />
gziptyypit, css, json, javascript, xml, rss.<br />
gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript;<br />
<br />
<!--T:55--><br />
Tarkempi ohje Nginx sivuilla: http://nginx.org/en/docs/http/ngx_http_gzip_module.html<br />
<br />
<!--T:56--><br />
Testaa onko verkkosivu pakattu: http://nginx.org/en/docs/http/ngx_http_gzip_module.html<br />
<br />
=== Suojaaminen === <!--T:57--><br />
<br />
<!--T:58--><br />
Estä Nginx version lähettäminen<br />
<br />
<!--T:59--><br />
Avaa Nginx konfigurointi tiedosto<br />
<br />
<!--T:60--><br />
nano /etc/nginx/nginx.conf<br />
<br />
<!--T:61--><br />
ja muuta server-tokens arvoksi off.<br />
<br />
<!--T:62--><br />
server_tokens off;<br />
<br />
<!--T:63--><br />
Estä tietyt User-agentit ja hakukonebotit:<br />
<br />
<!--T:64--><br />
Avaa sites-enabled sivuston konfiguroinnit ja lisää server { alle.<br />
<br />
<!--T:65--><br />
## Block download agenta<br />
if ($http_user_agent ~* LWP::Simple|wget|libwww-perl) {<br />
return 403;<br />
}<br />
<br />
<!--T:66--><br />
## Block some nasty robots<br />
if ($http_user_agent ~ (msnbot|Purebot|Baiduspider|Lipperhey|Mail.Ru|scrapbot) ) {<br />
return 403;<br />
}<br />
<br />
<!--T:67--><br />
Estä spämmit<br />
<br />
<!--T:68--><br />
## Deny referal spam<br />
if ( $http_referer ~* (jewelry|viagra|nude|girl|nudit|casino|poker|porn|sex|teen|babes) ) {<br />
return 403; <br />
}<br />
<br />
<!--T:69--><br />
Estä maakohtaisesti:<br />
<br />
<!--T:70--><br />
Sinun tulee ladata tietokanta ja purkaa pakattu gz tiedosto.<br />
<br />
<!--T:71--><br />
http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz<br />
<br />
<!--T:72--><br />
ja siirää sitten nginx hakemistoon sekä määrittää /etc/nginx/nginx.conf tiedostoon: <br />
<br />
<!--T:73--><br />
geoip_country /etc/nginx/GeoIP.dat;<br />
<br />
<!--T:74--><br />
ja lisätä sitten sivusi konfiguraatioon maat jotka estetään. Esimerkissä on Kiina, Korea ja Yhdistyneet Kuningaskunnat (Iso-Britannia)<br />
<br />
<!--T:75--><br />
if ($geoip_country_code ~ (CN|KR|UK) ) {<br />
return 403;<br />
}<br />
<br />
<!--T:76--><br />
Estä suoralinkitys sivustosi materiaaliin. Vaihda mywebsite.com omaksi domainiksi.<br />
<br />
<!--T:77--><br />
location ~ .(gif|png|jpe?g)$ {<br />
valid_referers none blocked mywebsite.com *.mywebsite.com;<br />
if ($invalid_referer) {<br />
return 403;<br />
}<br />
}<br />
<br />
== Välityspalvelin ==<br />
<br />
Esimerkki konfiguraatio Nginx käyttämisestä Reverse Proxynä.<br />
<br />
<pre><br />
location / {<br />
proxy_set_header Host $host;<br />
proxy_set_header X-Real-IP $remote_addr;<br />
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;<br />
proxy_set_header X-Forwarded-Proto $scheme;<br />
<br />
# Fix the “It appears that your reverse proxy set up is broken" error.<br />
proxy_pass https://127.0.0.1;<br />
proxy_read_timeout 90;<br />
<br />
#Redirect http to https<br />
proxy_redirect http://127.0.0.1:8080 https://ssl.proxy.local;<br />
}<br />
</pre><br />
<br />
<br />
== PHP asennus == <!--T:78--><br />
<br />
<!--T:79--><br />
Asenna PHP5-fpm paketti pakettihallinnasta<br />
<br />
<!--T:80--><br />
apt-get install php5-fpm<br />
<br />
<!--T:81--><br />
Aptitude komento ei toimi Nginx kanssa.<br />
<br />
<!--T:82--><br />
nano /etc/php5/fpm/php.ini<br />
<br />
<!--T:83--><br />
Etsi rivi cgi.fix_pathinfo=1 ja muokkaa 1 -> 0.<br />
<br />
<!--T:84--><br />
Lisää seuraava rivi ''/etc/nginx/mime.types'' tiedostoon:<br />
<br />
<!--T:85--><br />
text/php php php5;<br />
<br />
<!--T:86--><br />
Lisää tämä ''/etc/nginx/sites-enabled/default'' tiedostoon:<br />
<br />
<!--T:87--><br />
server {<br />
...<br />
index index.html index.htm index.php;<br />
...<br />
location ~ \.php$ {<br />
try_files $uri =404;<br />
fastcgi_split_path_info ^(.+\.php)(/.+)$;<br />
# NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini<br />
<br />
# With php5-cgi alone:<br />
#fastcgi_pass 127.0.0.1:9000;<br />
# With php5-fpm:<br />
fastcgi_pass unix:/var/run/php5-fpm.sock;<br />
fastcgi_index index.php;<br />
include fastcgi_params;<br />
}<br />
}<br />
<br />
<!--T:88--><br />
Luo .php tiedosto, esim. index.php ja lisää sinne seuraava rivi:<br />
<br />
<!--T:89--><br />
<?php phpinfo (); ?><br />
<br />
<!--T:90--><br />
Avaa selain ja suuntaa palvelimesi IP-osoitteeseen ja sinulle pitäisi tulostua tietoa PHP:stä<br />
<br />
[[Luokka:Linux|Nginx]]<br />
<br />
== HTTPS == <!--T:91--><br />
<br />
<!--T:92--><br />
Lisää seuraava konfigurointi tiedostoosi:<br />
<br />
<!--T:93--><br />
<pre><br />
server {<br />
listen 443 ssl;<br />
server_name www.example.com;<br />
ssl on;<br />
ssl_certificate www.example.com.crt;<br />
ssl_certificate_key www.example.com.key;<br />
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<br />
ssl_ciphers HIGH:!aNULL:!MD5;<br />
...<br />
}<br />
</pre><br />
<br />
<br />
<!--T:94--><br />
Muuta tästä SSL sertifikaatti tiedostojesi sijainti:<br />
<br />
<!--T:95--><br />
SSL sertifikaatti:<br />
ssl_certificate www.example.com.crt;<br />
SSL avain:<br />
ssl_certificate_key www.example.com.key;<br />
<br />
=== SSL Chipper === <!--T:96--><br />
<br />
<!--T:97--><br />
Yksinkertainen SSL:<br />
<br />
<!--T:98--><br />
ssl_ciphers 'AES256+EECDH:AES256+EDH';<br />
<br />
<!--T:99--><br />
Suosittu yhteensopivuuden kanssa:<br />
<br />
<!--T:100--><br />
<pre><br />
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!CAMELLIA';<br />
</pre><br />
<br />
[[Luokka:Linux|Nginx]]<br />
<br />
=== DH Param === <!--T:101--><br />
<br />
<!--T:102--><br />
Luo DH Param. Tämä vie hetken: <br />
<br />
<!--T:103--><br />
sudo openssl dhparam 2048 -out /etc/ssl/dhparam.pem<br />
<br />
<!--T:104--><br />
Avaa Nginx konfigurointi tiedosto sites-enabled hakemistosta ja liitä SSL konffeihin: <br />
<br />
<!--T:105--><br />
ssl_dhparam /etc/ssl/dhparam.pem;<br />
<br />
=== SPDY ===<br />
<br />
SPDY on protokola joka parantaa verkkosivun suorituskykyä. Tämä toimii vain jos palvelin sekä asiakas tukevat tätä. Googlen palvelut esimerkiksi tukevat tätä.<br />
<br />
Käyttöönotto on helppoa, tarvitset vain Nginx 1.4 mutta suositellaan 1.5 tai uudempaa.<br />
<br />
Muuta vhost konfiguraatiosta<br />
<br />
listen 443 ssl; -> listen 443 ssl spdy;<br />
<br />
ja lataa konfiguraatio uudelleen<br />
<br />
service nginx reload<br />
<br />
Testaa toimivuus: https://spdycheck.org/<br />
<br />
=== Http2 ===<br />
<br />
Http2 on päivitetty versio http1.1:stä ja sen pohjana on SPDY. Nginx versio 1.9 jälkeiset versiot tukevat tätä.<br />
<br />
Muuta vhostiin:<br />
<br />
listen 443 ssl; -> listen 443 ssl http2;<br />
<br />
ja lataa konfiguraatio uudelleen<br />
<br />
service nginx reload<br />
<br />
[[Luokka:Linux|Nginx]]<br />
<br />
=== Esimerkki === <!--T:106--><br />
<br />
<!--T:107--><br />
<pre><br />
server {<br />
listen [::]:443 default_server;<br />
<br />
ssl on;<br />
ssl_certificate_key /etc/ssl/cert/raymii_org.pem;<br />
ssl_certificate /etc/ssl/cert/ca-bundle.pem;<br />
<br />
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';<br />
<br />
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<br />
ssl_session_cache shared:SSL:10m;<br />
ssl_session_timeout 5m;<br />
<br />
ssl_stapling on;<br />
ssl_stapling_verify on;<br />
resolver 8.8.4.4 8.8.8.8 valid=300s;<br />
resolver_timeout 10s;<br />
<br />
ssl_prefer_server_ciphers on;<br />
ssl_dhparam /etc/ssl/certs/dhparam.pem;<br />
<br />
add_header Strict-Transport-Security "max-age=31536000";<br />
add_header X-Frame-Options SAMEORIGIN;<br />
add_header X-Content-Type-Options nosniff;<br />
<br />
<br />
root /var/www/;<br />
index index.html index.htm;<br />
server_name raymii.org;<br />
<br />
}<br />
</pre><br />
<br />
<!--T:108--><br />
Uudelleenohjaus HTTP -> HTTPS<br />
<br />
<!--T:109--><br />
return 301 https://$server_name$request_uri;<br />
<br />
[[Luokka:Linux|Nginx]]<br />
<br />
== Uudelleenohjaus -> index.php == <!--T:110--><br />
<br />
<!--T:111--><br />
location / {<br />
if (-f $request_filename) {<br />
expires 30d;<br />
break;<br />
}<br />
if (!-e $request_filename) {<br />
rewrite ^(.+)$ /index.php?q=$1 last;<br />
}<br />
}<br />
<br />
<br />
== Nginx + CloudFlare ==<br />
<br />
Käyttäessäsi Nginx:llä CloudFlaren proxyä tallentuu lokiin vain CloudFlaren IP-osoitteet. Tälläin pitää hakea IP-osoite tiedot CloudFlarelta tulevalta real_ip_headeristä jotta lokiin tallentuisi kävijän IP-osoite.<br />
<br />
Lisää alla oleva konfiguraatioon<br />
<br />
<pre><br />
server {<br />
...<br />
# Cloudflare<br />
set_real_ip_from 103.21.244.0/22;<br />
set_real_ip_from 103.22.200.0/22;<br />
set_real_ip_from 103.31.4.0/22;<br />
set_real_ip_from 104.16.0.0/12;<br />
set_real_ip_from 108.162.192.0/18;<br />
set_real_ip_from 141.101.64.0/18;<br />
set_real_ip_from 162.158.0.0/15;<br />
set_real_ip_from 172.64.0.0/13;<br />
set_real_ip_from 173.245.48.0/20;<br />
set_real_ip_from 188.114.96.0/20;<br />
set_real_ip_from 190.93.240.0/20;<br />
set_real_ip_from 197.234.240.0/22;<br />
set_real_ip_from 198.41.128.0/17;<br />
set_real_ip_from 199.27.128.0/21;<br />
set_real_ip_from 2400:cb00::/32;<br />
set_real_ip_from 2405:8100::/32;<br />
set_real_ip_from 2405:b500::/32;<br />
set_real_ip_from 2606:4700::/32;<br />
set_real_ip_from 2803:f800::/32;<br />
real_ip_header CF-Connecting-IP;<br />
...<br />
}<br />
</pre><br />
<br />
[[Luokka:Linux|Nginx]]<br />
<br />
== Lisätietoa == <!--T:112--><br />
<br />
<!--T:113--><br />
https://www.omaserveri.info/virtuaalipalvelimen-luominen-nginxissa/<br />
<br />
<!--T:114--><br />
https://www.digitalocean.com/community/tutorials/understanding-the-nginx-configuration-file-structure-and-configuration-contexts<br />
<br />
== Lähteet == <!--T:115--><br />
<br />
<!--T:116--><br />
http://wiki.nginx.org/Install<br />
<br />
<!--T:117--><br />
https://www.digitalocean.com/community/tutorials/how-to-install-linux-nginx-mysql-php-lemp-stack-on-ubuntu-14-04<br />
<br />
<!--T:118--><br />
https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html<br />
<br />
<!--T:119--><br />
https://bjornjohansen.no/optimizing-https-nginx<br />
<br />
</translate></div>
Minh
https://taisto.org/index.php?title=LemonLDAP::NG&diff=63910
LemonLDAP::NG
2018-12-01T10:47:54Z
<p>Minh: /* Asennus */</p>
<hr />
<div>LemonLDAP::NG on Single Sign On (SSO) sovellus ja se on avointa lähdekoodia. Tätä käytetään hallinnoimaan kirjautumisia verkkosivuilla esimerkiksi keskitetysti. Voit yhdistää tähän eri salasana tietokantoja, esimerkiksi LDAP.<br />
<br />
Tutustu täältä: https://lemonldap-ng.org/<br />
<br />
== Asennus ==<br />
<br />
Asenna dependerit<br />
<br />
sudo apt install libmouse-perl libnet-ldap-perl libcache-cache-perl libdbi-perl perl-modules libwww-perl libcache-cache-perl libxml-simple-perl libsoap-lite-perl libhtml-template-perl libregexp-assemble-perl libregexp-common-perl libjs-jquery libxml-libxml-perl libcrypt-rijndael-perl libio-string-perl libxml-libxslt-perl libconfig-inifiles-perl libjson-perl libstring-random-perl libemail-date-format-perl libmime-lite-perl libcrypt-openssl-rsa-perl libdigest-hmac-perl libdigest-sha-perl libclone-perl libauthen-sasl-perl libnet-cidr-lite-perl libcrypt-openssl-x509-perl libauthcas-perl libtest-pod-perl libtest-mockobject-perl libauthen-captcha-perl libnet-openid-consumer-perl libnet-openid-server-perl libunicode-string-perl libconvert-pem-perl libmoose-perl libplack-perl libauthen-captcha-perl liblasso-perl<br />
<br />
Lisää APT-source.listiin<br />
<br />
sudo nano /etc/apt/sources.list.d/lemonldap-ng.list<br />
<br />
tiedostoon<br />
<br />
<pre><br />
# LemonLDAP::NG repository<br />
deb https://lemonldap-ng.org/deb stable main<br />
deb-src https://lemonldap-ng.org/deb stable main<br />
</pre><br />
<br />
Lataa GPG allekirjoitus avain ja asenna se<br />
<br />
wget https://lemonldap-ng.org/_media/rpm-gpg-key-ow2<br />
sudo apt-key add rpm-gpg-key-ow2<br />
<br />
Asenna lemonldap-ng paketti<br />
<br />
sudo apt update & sudo apt install lemonldap-ng<br />
<br />
Jos käytät Nginx asenna lisäksi<br />
<br />
sudo apt install lemonldap-ng-fastcgi-server<br />
<br />
Muokkaa oletusdomain omaksi ow2.orgiksi. muuta tämä omaksi domainiksi. Ja aja sitten tämä komentorivillä. Tämä päivittää kaikki konfiguraatioihin oma domain nimesi.<br />
<br />
sudo sed -i 's/example\.com/ow2.org/g' /etc/lemonldap-ng/* /var/lib/lemonldap-ng/conf/lmConf-1.js /var/lib/lemonldap-ng/test/index.pl<br />
<br />
Konfiguroi hosts<br />
<br />
echo "127.0.0.1 reload.example.com" >> /etc/hosts<br />
<br />
Konfiguroi nimipalvelimellesi auth ja manager alidomainit osoittamaan LemonLDAP palvelinta.<br />
<br />
== Päivitys 1.9 -> 2.0-versioon ==<br />
<br />
Tämä on iso päivitys LemonLDAPissa, joten tee varmuuskopio tietokannoista ja konfiguraatiosta. Tässä päivityksessä hajoaa useita komponentteja ja moni asia tulee tehdä uudelleen eli varmuuskopiointi on hyvä juttu.<br />
<br />
Valmistautuminen:<br />
<br />
* Päivitä palvelimen kaikki paketit uusimpaan versioon<br />
* Määritä /etc/apt/sources.list.d/lemonldap-ng.list 2.0-versio 1.9 tilalle. Mikäli käytät stablea aikaisemmin niin 2.0 on nykyisin stable (vakaa).<br />
* Tarkista muutokset mitä muuttuu täältä: https://lemonldap-ng.org/documentation/2.0/upgrade<br />
<br />
Mitä minulla meni rikki?<br />
<br />
* Teema -> Suosittelen vaihtamaan teema mikäli muokattu bootstrap:iksi, joka alkuperäinen teema. Teema hakemiston sijainti nimittäin muuttui tässä päivityksessä.<br />
* Nginx TLS-konfiguraatio piti tehdä uusiksi sillä paljon muutoksia tapahtui tässä päivityksessä.<br />
* Palautin lisäksi konfiguraation takaisin ja poistin kaikki sessionit taulusta. <br />
<br />
Päivitysprosessi:<br />
<br />
sudo apt dist-upgrade <br />
<br />
Mikäli olet muokannut Nginx / Apache2-konfiguraatiota, niin anna päivitysohjelman yliajaa ne ja päivitä niihin sen jälkeen muutoksesi.<br />
<br />
== Konfigurointi ==<br />
<br />
=== Nginx ===<br />
<br />
Asensithan lemonldap-ng-fastcgi-server paketin?<br />
<br />
Paketti automaattisesti luo symlinkit sites-available hakemistoon Nginxään mutta otaaksesi käyttöön tee toinen symlinkki sites-enabled hakemistoon<br />
<br />
<pre><br />
sudo ln -s /etc/nginx/sites-available/handler-nginx.conf /etc/nginx/sites-enabled/<br />
sudo ln -s /etc/nginx/sites-available/manager-nginx.conf /etc/nginx/sites-enabled/<br />
sudo ln -s /etc/nginx/sites-available/portal-nginx.conf /etc/nginx/sites-enabled/<br />
sudo ln -s /etc/nginx/sites-available/test-nginx.conf /etc/nginx/sites-enabled/<br />
</pre><br />
<br />
Ja lataa Nginx konfiguraatio uudelleen<br />
<br />
sudo service nginx reload<br />
<br />
=== Konfigurointi Backend ===<br />
<br />
Asenna ensin MySQL moduuli<br />
<br />
sudo apt install libdbd-mysql-perl<br />
<br />
Oletuksena LemonLDAP tallentaa konfiguraatiot tiedostoon, JSON muodossa. Jos olet tekemässä Multi-Node instanssia, suosittelen siirtämään tietokannan esimerkiksi MySQL:ään.<br />
<br />
* Luo tietokanta lemonldap<br />
* Tietokantaan käyttöoikeus käyttäjälle lemonldap.<br />
<br />
Luo tietokantaan taulu lmconfig:<br />
<br />
<syntaxhighlight lang="sql"><br />
CREATE TABLE lmConfig (<br />
cfgNum INT(11) NOT NULL,<br />
FIELD VARCHAR(255) NOT NULL DEFAULT '',<br />
VALUE longblob,<br />
PRIMARY KEY (cfgNum,FIELD)<br />
);<br />
</syntaxhighlight><br />
<br />
Luo lemonldap-ng.ini tiedostosta kopio<br />
<br />
sudo cp /etc/lemonldap-ng/lemonldap-ng.ini /tmp/lemonldap-ng.ini<br />
<br />
Avaa tämä kopio /etc/lemonldap-ng/lemonldap-ng.ini.new ja konfiguroi sinne tietokantapalvelimesi asetukset. <br />
<br />
<pre><br />
[configuration]<br />
type = RDBI<br />
dbiChain = DBI:mysql:database=lemonldap-ng;host=1.2.3.4<br />
dbiUser = lemonldap<br />
dbiPassword = password<br />
; optional<br />
dbiTable = mytablename<br />
</pre><br />
<br />
Kommentoi pois "type=File" konfiguraatiosta. Tallenna ja sulje.<br />
<br />
Aja seuraava komento siirtäessä vanhan konfiguraation uudelle backendille.<br />
<br />
sudo /usr/share/lemonldap-ng/bin/convertConfig --current /etc/lemonldap-ng/lemonldap-ng.ini /tmp/lemonldap-ng.ini<br />
<br />
Sitten siirrä varmuuskopioi vanha konfigurointi tiedosto<br />
<br />
sudo mv /etc/lemonldap-ng/lemonldap-ng.ini /etc/lemonldap-ng/lemonldap-ng.ini.bak<br />
<br />
ja korvaa uudella<br />
<br />
sudo mv /tmp/lemonldap-ng.ini /etc/lemonldap-ng/lemonldap-ng.ini<br />
<br />
Käynnistä Apache2 / lemonldap-ng-fastcgi-server uudelleen<br />
<br />
sudo service apache2 restart<br />
<br />
sudo service lemonldap-ng-fastcgi-server restart<br />
<br />
=== Webhallinta (manager) ===<br />
<br />
Siirry manageriin jatkaaksesi konfigurointia. <br />
<br />
Kirjaudu oletustunnuksella <code>dwho</code> ja salasanalla <code>dwho</code><br />
<br />
==== Konfiguroi SSO:n eväste, verkkotunnus ja portaalin osoite ====<br />
<br />
* Portal URL on verkko-osoite jonne ohjataan kaikki todennuspyynöt. Se konfiguroidaan <code>General Parameters -> Portal -> URL</code> alta.<br />
* Evästeet ovat todella tärkeitä ja sielä pitää olla oikea verkkotunnus käytössä. Voit sallia evästeiden käytön useamman verkkotunnuksen kanssa. Asetukset löytyy <code>General Parameters -> Cookies</code> alta.<br />
<br />
==== SAML käyttöön ====<br />
<br />
Otat käyttöön Managerista: General parameters -> SAML alta.<br />
<br />
[[File:LemonLDAP_SAML_enable_1.PNG|400px]]<br />
<br />
==== Istunnot MySQL/MariaDB:hen ==== <br />
<br />
Oletuksena LemonLDAP tallentaa istunnot tiedostoon. Tämä tekee vaikeammaksi toteuttaa HA-ratkaisua jossa olisi useita LemonLDAP istansseja. Kun tallennat istunnot tietokantaan kuten MySQL, voit synkronoida nämä istunnot helpommin palvelimiesi välillä. <br />
<br />
Luo lemonldap tietokantaan taulu sessions<br />
<br />
<syntaxhighlight lang="sql"><br />
CREATE TABLE sessions (<br />
id VARCHAR(64) NOT NULL PRIMARY KEY,<br />
a_session text,<br />
_whatToTrace VARCHAR(64),<br />
_session_kind VARCHAR(15),<br />
_utime BIGINT,<br />
ipAddr VARCHAR(15)<br />
);<br />
CREATE INDEX uid1 ON sessions (_whatToTrace) USING BTREE;<br />
CREATE INDEX _s1 ON sessions (_session_kind);<br />
CREATE INDEX _u1 ON sessions (_utime);<br />
CREATE INDEX ip1 ON sessions (ipAddr) USING BTREE;<br />
<br />
CREATE TABLE psessions (<br />
id CHAR(32) NOT NULL PRIMARY KEY,<br />
a_session text<br />
);<br />
</syntaxhighlight><br />
<br />
Tietokantaan luo käyttäjätili jolla kaikki oikeudet tähän tietokantaan.<br />
<br />
Sitten Managerissa <code>General Parameters -> Sessions -> Sessions Storage</code> määritä sinne seuraavat asetukset MySQLää varten. DataSource ja Lock DataSource voit käyttää samoja tunnuksia ja salasanoja. Index riviä ei tule Persistent session ollenkaan.<br />
<br />
<pre><br />
DataSource dbi:mysql:dbname=lemonldap;host=127.0.0.1<br />
UserName lemonldap<br />
Password lemonldap_password<br />
TableName sessions<br />
LockDataSource dbi:mysql:dbname=lemonldap;host=127.0.0.1<br />
LockUserName lemonldap<br />
LockPassword lemonldap_password<br />
Index _whatToTrace ipAddr _session_kind _utime<br />
</pre><br />
<br />
[[File:LemonLDAP_Manager_Session_Module_parameters.png|400px]]<br />
<br />
Muuta sitten Apache::Session modules arvoksi: <code>Apache::Session::Browseable::MySQL</code> ja tallenna konfiguraatio. Jos sinulla ei ole <code>Session::Browseable::MySQL</code> asennettuna, asenna se cpanin avulla.<br />
<br />
sudo cpan install Session::Browseable::MySQL<br />
<br />
Teimme lisäksi Persistent sessions konfiguraation taulun, määritä vastaavanlainen tietokanta-asetukset manageriin.<br />
<br />
=== Todennusmoduulit ===<br />
<br />
Todennusmoduulien (eng. Authentication module) voit käyttää LemonLDAPia kirjautumaan esimerkiksi LDAPin, Googlen (OpenID Connect), Facebookin ja Twitterin kautta.<br />
<br />
Lisää todennusmoduulit managerista:<br />
<br />
* <code>General Parameters -> '''Authentication parameters</code><br />
* Valitse Authenticatin module alta mitä moduulia haluat käyttää. Lisäksi konfiguroi Users ja Password moduulit.<br />
<br />
Tuetut moduulit löytyvät dokuemntaaatiosta https://lemonldap-ng.org/documentation/latest/start#authentication_users_and_password_databases<br />
<br />
==== LDAP ====<br />
<br />
LemonLDAP integroituu täydellisesti aikaisemman LDAP tai Active Directory palvelun kanssa. Olen itse testannut tätä FreeIPA:n kanssa mutta pitäisi olla yhteensopiva myös Active Directorynkin kanssa.<br />
<br />
Määritä LDAP asetukset täältä: General Parameters -> Authentcation parameters -> LDAP parameters -> Connections alta määritä LDAPin yhteysasetukset.<br />
<br />
Esimerkki<br />
<br />
* Server Host eli palvelimen isäntänimi tai IP-osoite, esimerkiksi ldaps://192.168.99.10. Voit lisätä useita palvelimia erottamalla ne pilkulla, esim ldaps://192.168.99.10, ldaps://192.168.99.11<br />
* Server port 636<br />
* User search base: dc=example, dc=local<br />
* Account: uid=accounting,cn=users,cn=accounts,dc=example,dc=org<br />
* Pssword: XXXXXX<br />
* Timeout: 120<br />
* Version: 3<br />
<br />
Lisää sitten myös exported variabled eli muuttujat LDAPista.<br />
<br />
[[File:LemonLDAP_LDAP_exported_variables.PNG|400px]]<br />
<br />
Seuraavaksi konfiugroi ryhmät Groups valikon alta. <br />
<br />
* Search base: cn=groups, cn=accounts,dc=example,dc=org<br />
* Object class: groupOfNames<br />
* Target attribute: member<br />
* User source attribute: dn<br />
* Searched attributes: cn<br />
<br />
Password välilehdessä voit määrittää salasana käytänteet, käytämme esimerkiksi näitä:<br />
<br />
[[File:LemonLDAP_LDAP_password_settings.PNG|400px]]<br />
<br />
==== Todennus Google-tilin avulla ====<br />
<br />
Googlen tulee konfiguroida OpenID Connectin avulla. <br />
<br />
* Rekisteröidy ensin Google Developer käyttäjäksi täälä: https://console.developers.google.com/<br />
* Valitse API Manager alta Creditials. Luodaan uudet tilitiedot.<br />
* Valitse sitten '''Oauth Client ID'''.<br />
<br />
[[File:LemonLDAP_luo_creditials_api_manager.png|400px]]<br />
<br />
Määritä sitten Client ID:lle:<br />
<br />
* Name: Demo Login<br />
* Authorized Javacript Origins: Määritä tähän isäntänimet joilla saa kirjautua.<br />
* Authorized redirect URIs: Määritä tähän osoite mihin uudelleenohjataan takaisin. Esimerkiksi https://auth.example.org/?openidcallback=1<br />
<br />
Palaa nyt LemonLDAP Manageiin. Luo uusi '''OpenID Connect providers''' ja nimeä se esimerkiksi "google":ksi.<br />
<br />
* META data kohdasta lataa tiedot täältä: https://accounts.google.com/.well-known/openid-configuration<br />
* JWKS data kohdasta lataa tiedot täältä: https://www.googleapis.com/oauth2/v3/certs<br />
* Kopioi Configurations -> Client ID ja Client Secretit Googlen API Managerista. <br />
<br />
Tallenna ja testaa.<br />
<br />
==== Todennus Twitter-tilin avulla ====<br />
<br />
Asenna vaadittu moduuli<br />
<br />
sudo apt install libnet-twitter-perl<br />
<br />
== Portaalin kustomointi ==<br />
<br />
Portaalia voi kustomoida HTML / CSS / JS:llä suoraan /usr/share/lemonldap-ng/portal-skins hakemistossa.<br />
<br />
<pre><br />
cd /usr/share/lemonldap-ng/portal-skins/<br />
cd myskin/<br />
cp -a ../bootstrap/fonts/ .<br />
cp -a ../bootstrap/js/ .<br />
cp -a ../bootstrap/css/ .<br />
mkdir images<br />
</pre><br />
<br />
== SSO käyttöön eri palveluissa ==<br />
<br />
Tässä ohjeita miten palvelut saadaan kirjautumaan LemonLDAPin SSO:n kautta.<br />
<br />
Mene Manageriin _-> OpenID Connect Relaying parties ja luo uusi OpenID Relaying party. Nimeä se haluamallasi tavalla.<br />
<br />
Options tabin alta:<br />
<br />
* Auhthentication<br />
** Client ID - Asiakkaan tunnus, generoi tunnus jota käytät sovelluksessa.<br />
** Client secret: Asiakkaan tunnuksen salausavain, jota käytetään sovelluksessa. Generoi oma.<br />
* Display<br />
** Display name: Sovelluksen nimi<br />
** Logo: Sovelluksen kuvake<br />
* Redirection addresses: Uudelleenohjaus osoitteet, erotetaan välilyönnillä. Eli nämä ovat redirect_uri parametrissä.<br />
<br />
=== LemonLDAP - Gitlab ===<br />
<br />
==== Oauth2 ====<br />
<br />
Avaa <code>/etc/gitlab/gitlab.rb</code> konfigurointi tiedosto<br />
<br />
Konfiguroi se seuraavanlaiseksi<br />
<br />
<pre><br />
gitlab_rails['omniauth_enabled'] = true<br />
gitlab_rails['omniauth_allow_single_sign_on'] = ['oauth2_generic']<br />
gitlab_rails['omniauth_block_auto_created_users'] = false<br />
gitlab_rails['omniauth_providers'] = [<br />
{<br />
'name' => 'oauth2_generic',<br />
'app_id' => 'random_key', #Change this to own app id<br />
'app_secret' => 'random_key', #Change this to own app key<br />
'args' => {<br />
"scope" => "openid,profile,email",<br />
client_options: {<br />
'site' => 'https://auth.example.org', # including port if necessary<br />
'authorize_url' => '/oauth2/authorize',<br />
'token_url' => '/oauth2/token',<br />
'user_info_url' => '/oauth2/userinfo',<br />
},<br />
user_response_structure: {<br />
root_path: ['data', 'user'],<br />
attributes: { nickname: 'username', first_name: 'name', last_name: 'family_name', email: 'email' } <br />
},<br />
}<br />
}<br />
]<br />
</pre><br />
<br />
Sulje tiedosto ja aja seuraava komento lataaksesi konfiguraation uudelleen<br />
<br />
sudo gitlab-ctl reconfigure<br />
<br />
Linkkejä:<br />
<br />
https://gitlab.com/satorix/omniauth-oauth2-generic<br />
<br />
==== SAML ====<br />
<br />
Lisää nämä Gitlabin konfiguraatioon<br />
<br />
<pre><br />
gitlab_rails['omniauth_providers'] = [<br />
{<br />
name: 'saml',<br />
args: {<br />
assertion_consumer_service_url: 'https://gitlab.example.org/users/auth/saml/callback',<br />
idp_cert: '-----BEGIN CERTIFICATE-----XXXXXXXXXXXXXXXXXXXXX',<br />
idp_sso_target_url: 'https://auth.example.org/saml/SingleSignOn',<br />
issuer: 'gitlab.example.org',<br />
},<br />
# label: 'saml' # optional label for SAML login button, defaults to "Saml"<br />
}<br />
]<br />
</pre><br />
<br />
Lataa Managerista SAML metatiedot https://gitlab.example.org/users/auth/saml/metadata<br />
<br />
=== Grafana ===<br />
<br />
Esimerkki konfiguraatio Grafanaan... Lisää tämä <code>/etc/grafana/grafana.ini</code> tiedostoon.<br />
<br />
<pre><br />
[auth.generic_oauth]<br />
enabled = true<br />
allow_sign_up = true<br />
client_id = XXXXXXYYYYXXXXYYYYXX<br />
client_secret = XXXXXXYYYYXXXXYYYYXX<br />
scopes = openid,profile,email<br />
auth_url = https://auth.example.org/oauth2/authorize<br />
token_url = https://auth.example.org/oauth2/token<br />
api_url = https://auth.example.org/oauth2/userinfo<br />
</pre><br />
<br />
Huomaa että redirect URI:n tulee olla http://grafana.example.org:3000/login/generic_oauth riippuen missä portissa ajat sitä. Oletuksena 3000 portti.<br />
<br />
Konfiguroi sitten LemonLDAPin Manageri:<br />
<br />
* Ota käyttöön OpenID Connect, <code>General Parameters -> Issuer modules -> OpenID Connect -> Activation -> On </code><br />
* Luo uusi '''OpenID Connect Relaying Parties'''.<br />
* Määritä exported attributet: <code>email:mail, family_name:sn, name:cn</code><br />
* Options alta konfiguroi Auhtentication, tulee olla samat avaimet kuin Grafanassa tai tulee virheilmoitus. Generoi avaimet itse.<br />
* Konfiguroi lisäksi '''Allowed redirection address for login''', se tulee olla <code>http://grafana.example.org:3000/login/generic_oauth</code>, eli osoite mistä kirjaudut niin palauttaa takaisin.<br />
<br />
Testaa sitten toimiiko, muista käynnistää grafana uusiksi.<br />
<br />
=== Mediawiki ===<br />
<br />
* Lataa ja asenna Plugin Mediawikiin: https://github.com/Schine/MW-OAuth2Client<br />
<br />
Liittyvä issue täälä: https://github.com/Schine/MW-OAuth2Client/issues/2<br />
<br />
=== Nextcloud ===<br />
<br />
Ohje testattu [[Nextcloud]] 12 version kanssa. Käytä apunasi virallista dokumentaatiota https://lemonldap-ng.org/documentation/latest/applications/nextcloud<br />
<br />
* Ota käyttöön '''SAML Authentication''' moduuli Managerista käyttöön. Sen saat käyttöön '''General Parameters''' -> '''issuer Modules''' -> SAML -> '''Activation''' -> ON<br />
* Ota käyttöön Nextcloudin Apps (sovelluksista) SAML laajennos käyttöön. Huomaathan että kun otat laajennoksen käyttöön et voi enään kirjautua Nextcloudin omilla tunnuksilla. Varmista tällöin että SAMLin avulla kirjautuvalla on järjestelmävalvojan oikeuden.<br />
<br />
Konfiguroi SAML Nextcloudissa seuraavasti:<br />
<br />
* Attribute to map the UID to: uid<br />
* IDP Identify: https://auth.example.org/saml/metadata<br />
* URL Target of the IdP: https://auth.example.org/saml/SingleSignOn<br />
<br />
Lataa sitten metadata valitsemalla '''Download metadata XML'''.<br />
<br />
Luo sitten '''SAML service providers''' nimellä nextcloud Managerista.<br />
<br />
* Metadata kohtaan lataa juuri äskettäin lataamasi metatiedosto. Saat sen http://nextcloud.example.org/index.php/apps/user_saml/metadata ladattua.<br />
* Lisää '''Exported attributes''' kohtaan vähintään uid.<br />
<br />
=== WordPress ===<br />
<br />
<br />
* Lataa ja asenna Plugini WordPressiin: https://github.com/daggerhart/openid-connect-generic<br />
* Konfiguroi sinne määritetyt tiedot<br />
<br />
<pre><br />
Login Type: OpenID Connect button on login form (käytä tätä ainakin testauksessa)<br />
OpenID Scope: email profile openid<br />
Login Endpoint URL: https://auth.example.org/oauth2/authorize<br />
Userinfo Endpoint URL: https://auth.example.org/oauth2/userinfo<br />
Token Validation Endpoint URL: https://auth.example.org/oauth2/token<br />
End Session Endpoint URL: https://auth.example.org/oauth2/logout<br />
Identity key: sub<br />
Nickname Key: preferred_username<br />
Email Formatting: {email}<br />
Display Name Formatting: {given_name}<br />
Link Existing Users: TRUE<br />
Redirect Back to Origin Page: TRUE<br />
</pre><br />
<br />
Lisää manageriin uusi '''OpenID Conenct Relaying Party'''.<br />
<br />
* Exported attributes:<br />
<br />
<pre><br />
email - mail<br />
given_name - givenName<br />
preferred_username - displayName<br />
sub - uid<br />
</pre><br />
<br />
* Options<br />
** Authentication: Generoi tänne Client ID ja Client secret<br />
** ID Token signature algorithm: RS256<br />
** Allowed redirection address for login: https://wordpressurl/wp-admin/admin-ajax.php?action=openid-connect-authorize<br />
** Allowed redirection address for logout: https://wordpress-url/wp-login.php/loggedout https://wordpress-url<br />
<br />
Kokeile nyt kirjautua.<br />
<br />
== Linkkejä ==<br />
<br />
https://elatov.github.io/2014/02/lemonldap-ng-ldap-saml-google-apps/</div>
Minh
https://taisto.org/index.php?title=Modoboa&diff=63909
Modoboa
2018-11-17T13:55:54Z
<p>Minh: /* Konfigurointi */</p>
<hr />
<div>Modoboa on sähköpostin ylläpito ja hallinta järjestelmä helpolla web-hallinnalla.<br />
<br />
Modoboa käyttää:<br />
<br />
* [[Nginx]] + uwsgi<br />
* [[PostgreSQL]] (oletus) / [[Mysql|MySQL]] <br />
* [[Automx]]<br />
* Amavis<br />
* Clamav<br />
* [[Dovecot]]<br />
* [[Postfix]]<br />
* [[Spamassassin|Spamassassin]]<br />
<br />
== Asennus ==<br />
<br />
Asenna vaaditut paketit <br />
<br />
sudo apt install python-virtualenv python-pip letsencrypt<br />
<br />
Jos haluat käyttää LDAPia, asenna<br />
<br />
sudo apt install python-ldap python-django-auth-ldap<br />
<br />
Helpoiten omalla asennusohjelmalla. <br />
<br />
<pre><br />
git clone https://github.com/modoboa/modoboa-installer<br />
cd modoboa-installer<br />
sudo ./run.py example.org<br />
</pre><br />
<br />
Ennen asennusta voit kopioida installer.cfg.default installer.cfg:ksi ja muokata sitä. Suosittelen määrittämään tietokantapalvelimelle salasanan.<br />
<br />
Konfiguroi DNS autoconfig.example.org ja mail.example.org osoittaamaan tähän postipalvelimeen. Siirry https://mail.example.org jatkamaan konfigurointia.<br />
<br />
<pre><br />
Welcome to Modoboa installer!<br />
Your mail server will be installed with the following components:<br />
modoboa automx amavis clamav dovecot nginx razor postfix spamassassin uwsgi<br />
Do you confirm? (Y/n) y<br />
The process can be long, feel free to take a coffee and come back later ;)<br />
Starting...<br />
Generating new self-signed certificate<br />
Installing amavis<br />
Installing spamassassin<br />
Installing razor<br />
Installing clamav<br />
Installing modoboa<br />
Installing automx<br />
Installing uwsgi<br />
Installing nginx<br />
Installing postfix<br />
Installing dovecot<br />
Congratulations! You can enjoy Modoboa at https://mail.example.org (admin:password)<br />
</pre><br />
<br />
Oletuskäyttäjätunnus on admin ja salasanana password. Vaihda nämä heti asennuksen yhteydessä.<br />
<br />
== Päivittäminen ==<br />
<br />
Siirry Modoboan hakemistoon<br />
<br />
cd /srv/modoboa<br />
<br />
Aja virtualenv ja määritä sen source<br />
<br />
su modoboa<br />
virtualenv env<br />
source env/bin/activate<br />
<br />
Asenna Modoboan uusin versio<br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
./pip install modoboa --upgrade<br />
./pip install modoboa_pdfcredentials --upgrade<br />
./pip install modoboa-amavis --upgrade<br />
./pip install modoboa-webmail --upgrade<br />
./pip install modoboa-stats --upgrade<br />
./pip install modoboa-contacts --upgrade<br />
./pip install modoboa-sievefilters --upgrade<br />
./pip install modoboa-postfix-autoreply --upgrade<br />
./pip install modoboa-dmarc --upgrade<br />
./pip install modoboa-radicale --upgrade<br />
</pre><br />
<br />
Käynnistä lopuksi uwsgi uudelleen<br />
sudo service uwsgi restart<br />
<br />
Kopioi staattiset tiedostot ja päivitä tietokannan rakenne<br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
sudo ./python /srv/modoboa/instance/manage.py migrate<br />
sudo ./python /srv/modoboa/instance/manage.py collectstatic<br />
</pre><br />
<br />
Tarkista konffit<br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
./python /srv/modoboa/instance/manage.py check --deploy<br />
</pre><br />
<br />
Varmista täältä vielä lisäohjeistus versiokohtaisesti: https://modoboa.readthedocs.io/en/latest/upgrade.html<br />
<br />
== Konfigurointi ==<br />
<br />
Modoboa voi konfiguroida /srv/modoboa/instance/instance/settings.py tiedostossa olevilla parametreillä. Käynnistä muutosten jälkeen uwsgi uudelleen.<br />
<br />
sudo nano /srv/modoboa/instance/instance/settings.py<br />
<br />
Käynnistä muutosten jälkeen uwsgi uudelleen<br />
<br />
sudo service uwsgi restart<br />
<br />
Jos muutat Postfixin konfiguraatiota (SQL), päivitä ne:<br />
<br />
<pre><br />
sudo ./python /srv/modoboa/instance/manage.py generate_postfix_maps --destdir /etc/postfix --force-overwrite<br />
</pre><br />
<br />
== DMARC ==<br />
<br />
Asennus seuraavilla komennoilla<br />
<br />
<pre><br />
cd /srv/modoboa<br />
virtualenv env<br />
source env/bin/activate<br />
/srv/modoboa/env/bin/pip install modoboa-dmarc<br />
</pre><br />
<br />
Muokkaa <code>/srv/modoboa/instance/instance/manage.py</code> tiedostoa ja lisää sinne MODOBOA_APPS kohtaan <br />
<br />
'modoboa_dmarc'<br />
<br />
Lisää tämä Postfixin master.config tiedostoon <code>/etc/postfix/master.cf</code><br />
<br />
Aja sitten <br />
<br />
<pre><br />
cd /srv/modoboa/env/bin<br />
sudo ./python /srv/modoboa/instance/manage.py migrate modoboa_dmarc<br />
sudo ./python /srv/modoboa/instance/manage.py collectstatic<br />
sudo ./python /srv/modoboa/instance/manage.py load_initial_data<br />
</pre><br />
<br />
<pre><br />
dmarc-rua-parser unix - n n - - pipe<br />
flags= user=vmail:vmail argv=/srv/modoboa/env/bin/python /srv/modoboa/instance/manage.py import_aggregated_report --pipe<br />
</pre><br />
<br />
== Vianmääritys ==<br />
<br />
Tarkista lokit<br />
<br />
uwsgi:<br />
<br />
tail /var/log/uwsgi/app/modoboa_instance.log -f<br />
<br />
Jos edelleenkin saat virhettä, ota käyttöön debug lokit <code>/srv/modoboa/instance/instance/settings.py</code> konfiguraatiosta ja käynnistä uwsgi uudelleen.<br />
<br />
Jos vikaa tulee päivityksen jälkeen tulee ongelmia, palauta aikaisempi versio takaisin.</div>
Minh
https://taisto.org/index.php?title=Mdadm&diff=63908
Mdadm
2018-10-15T11:15:27Z
<p>Minh: /* RAIDin korjaaminen */</p>
<hr />
<div>Mdadm on Linuxille softaraid ohjelmisto.<br />
<br />
== Asennus ==<br />
<br />
apt-get install mdadm<br />
<br />
== Käyttö ==<br />
<br />
Peruskomento jolla luodaan RAID.<br />
<br />
mdadm --create /dev/md0 <blah><br />
<br />
Monitoroi /dev/md0<br />
<br />
mdadm --monitor /dev/md0<br />
<br />
Näytä RAID tiedot<br />
<br />
mdadm --detail /dev/md0<br />
<br />
=== RAID 0 ===<br />
<br />
Luo RAID 0 /dev/md0 kahdella kiintolevyllä, jotka ovat /dev/sdb ja /dev/sdc <br />
<br />
mdadm --create --verbose /dev/md0 --level=stripe --raid-devices=2 /dev/sdb /dev/sdc<br />
<br />
=== RAID 1 ===<br />
<br />
Luodaan peili eli RAID 1 /dev/mdo kahdella kiintolevyllä, jotka ovat /dev/sdb ja /dev/sdc<br />
<br />
mdadm --create --verbose /dev/md0 --level=mirror --raid-devices=2 /dev/sdb /dev/sdc<br />
<br />
=== Lisää RAIDiin kiintolevy ===<br />
<br />
Lisää RAIDiin /dev/md0 kiintolevy /dev/sde<br />
<br />
mdadm --manage /dev/md0 --add /dev/sde<br />
<br />
=== Poista RAID ===<br />
<br />
Pysäytä RAID<br />
<br />
mdadm --stop /dev/md0<br />
<br />
Nollaa superblockit kaikista laitteista<br />
<br />
mdadm --zero-superblock /dev/sda<br />
<br />
mdadm --zero-superblock /dev/sdX...<br />
<br />
=== Päivitä RAID 1 -> RAID 5:ksi kun lisäät esimerkiksi uusia levyjä ===<br />
<br />
Levyt tulisi olla pääsääntöisesti samanlaisia että RAIDi toimisi oikein ja ehjiä. RAID5:ssa yksi levy toimii varmuuskopioivana.<br />
<br />
Ennen kun aloitat, varmuuskopioi kaikki tiedot. <br />
<br />
Lisää uusi levy RAIDiin<br />
<br />
sudo mdadm /dev/md0 --add /dev/sde<br />
<br />
Nyt levy on lisätty varaksi RAIDiin mutta ei käytännössä käytä tätä levyä.<br />
<br />
Päivitä RAID 1 -> RAID 5:seen.<br />
<br />
sudo mdadm /dev/md0 --grow --level=5 --chunk=512<br />
<br />
Määritä uusi levymäärä RAIDissa<br />
<br />
sudo mdadm --grow /dev/md0 --raid-devices 3<br />
<br />
Laajenna arrayn kokoa<br />
<br />
sudo mdadm --grow /dev/md0 --size=max<br />
<br />
Laajenna levytilaa maksimiin<br />
<br />
sudo e2fsck -f /dev/md0<br />
sudo resize2fs /dev/md0<br />
<br />
=== RAIDin korjaaminen ===<br />
<br />
Joskus RAIDikin voi hajota ja vaatii jo korjausta eli ei lähde pelittämään esimerkiksi käynnistyksen yhteydessä. Älä hätäile, tiedot on tallessa varsinkin kun levyt on ehjiä ja RAID 0 ei käytetty ;)<br />
<br />
Pysäytä RAID<br />
<br />
sudo mdadm --stop /dev/md0<br />
<br />
Jos olet onnekas niin seuraava komento voi jo pelastaa RAIDisi:<br />
<br />
sudo mdadm --assemble /dev/md0 --scan --force<br />
<br />
Tarkista tila<br />
<br />
mdadm --detail /dev/md0</div>
Minh
https://taisto.org/index.php?title=Stubby&diff=63907
Stubby
2018-10-02T07:23:05Z
<p>Minh: /* Asenna ja konfiguroi */</p>
<hr />
<div>Stubby toimii paikallisena DNS over TLS-resolverina ja salaa DNS-liikenteen paikalliselta läppäriltä DNS-palvelimelle asti tarjoten parempaa yksityisyyden suojaa loppukäyttäjälle.<br />
<br />
Testattu Ubuntu 18.04 LTS:llä. Pakettia ei löydy Ubuntu 16.04 LTS:ssä.<br />
<br />
== Asenna ja konfiguroi ==<br />
<br />
Asenna Stubby pakettihallinnasta<br />
<br />
sudo apt install stubby<br />
<br />
Kopioi alkuperäinen konfiguraatio varmuuden vuoksi eri tiedostoon<br />
<br />
sudo cp /etc/stubby/stubby.yml /etc/stubby/stubby.yml.orig<br />
<br />
Avaa konfigurointi tiedosto<br />
<br />
sudo nano /etc/stubby/stubby.yml<br />
<br />
Ota käyttöön DNSSEC-tarkistus poistamalla komentit seuraavilta riveiltä<br />
dnssec_return_status: GETDNS_EXTENSION_TRUE<br />
dnssec_trust_anchors: "/etc/unbound/getdns-root.key"<br />
<br />
Konfiguroi Upstream-palvelimiksi CloudFlaren DNS-palvelimet<br />
<br />
- address_data: 1.1.1.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
- address_data: 1.0.0.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
<br />
Asenna Unbound-anchor DNSSEC tarkistusta varten<br />
<br />
sudo apt install unbound-anchor<br />
sudo mkdir /etc/unbound<br />
sudo unbound-anchor -a /etc/unbound/getdns-root.key<br />
<br />
Käynnistä Stubby uudelleen<br />
<br />
sudo service stubby stop<br />
sudo service stubby start<br />
<br />
== Integraatio Pi-holen kanssa ==<br />
<br />
Mikäli haluat käyttää Stubbya esimerkiksi Pi-holessa, niin muuta portiksi 5353<br />
<br />
listen_addresses:<br />
- 127.0.0.1@5353<br />
- 0::1@5353<br />
<br />
Avaa sitten Pi-holen konfiguraatio tiedosto<br />
<br />
sudo nano /etc/dnsmasq.d/02-stubby.conf<br />
<br />
ja lisää nimipalvelimeksi Stubby-palvelu<br />
<br />
server=127.0.0.1#5353<br />
<br />
Käynnistä Pi-hole ja Stubby uudelleen<br />
<br />
Voit testata toimivuutta digillä<br />
<br />
dig @127.0.0.1 -p 5353 taisto.org</div>
Minh
https://taisto.org/index.php?title=Telia_IPTV_asetukset&diff=63906
Telia IPTV asetukset
2018-10-01T21:04:08Z
<p>Minh: </p>
<hr />
<div><languages/><br />
<translate><br />
<!--T:1--><br />
Tässä ohjeessa neuvotaan Sonera Viihteen IPTV digiboksin käyttö toisilla palvelureitittimillä. Sonera Viihteen mukana tulee nykyisin [[Inteno DG301AL]] ja se on todettu tietoturva aukkoiseksi ja heikoksi.<br />
<br />
<!--T:2--><br />
Olemme todenneet että Mikrotikin reitittimellä toimii parhaiten. Asuksella on ongelmana 4:3 kuva (valkoisilla reunoilla).<br />
<br />
<!--T:3--><br />
Keskustele [http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-muulla-kuin-Soneran-palvelureitittimell%C3%A4/m-p/97162#M991 Soneran Klaanissa] aiheesta ja kysy sieltä apua ohjeisiin. <br />
<br />
== Yleiset asetukset == <!--T:4--><br />
<br />
<!--T:5--><br />
Sinun tulee määrittää seuraavat asetukset reitittimesi asetuksiin. Soneran IPTV vaatii että verkossa on multicast VLAN 252 (IPTV) ja normaali verkkoliikenne VLAN 1 (tallennukset ja ohjelmakirjasto).<br />
<br />
<!--T:6--><br />
IPTV:VID 252 PRIO 0<br />
INTERNET: VID 1 PRIO 0<br />
<br />
IGMP Proxy Enable<br />
<br />
<br />
<!--T:7--><br />
VID = VLAN ID<br />
<br />
<!--T:8--><br />
PRIO = Priorisointi<br />
<br />
== Reititin kohtaiset asetukset == <!--T:9--><br />
<br />
=== Asus DSL-N55U === <!--T:10--><br />
<br />
<!--T:11--><br />
https://dl.dropboxusercontent.com/u/46176780/asus_dsl-n55u_settings.jpg<br />
<br />
<gallery><br />
Tiedosto:Asus dsl-n55u settings.jpg<br />
</gallery><br />
=== Asus RT-AC56U ja Asus RT-N56U === <!--T:12--><br />
<br />
<!--T:13--><br />
Testattu Asus RT-N56U:lla.<br />
<br />
<!--T:14--><br />
http://murobbs.plaza.fi/internet-tietoturva-ja-muu-tietoliikenne/685233-sonera-kotitv-iptv-75.html#post1714391870<br />
<br />
<!--T:15--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-77#post-1709453694<br />
<br />
<!--T:16--><br />
LAN -> IPTV-tabi<br />
Select ISP profile: Manual<br />
Internet VID tyhjä PRIO 0<br />
LAN port 4 VID 252 PRIO 0<br />
LAN port 3 VID tyhjä PRIO 0<br />
<br />
Special applications:<br />
Use DHCP routes Microsoft<br />
Enable multicast routing (IGMP Proxy) Enable<br />
Enable efficient multicast forwarding (IGMP Snooping) Enable<br />
UDP Proxy (Udpxy) 0<br />
<br />
<!--T:17--><br />
<gallery><br />
Tiedosto:SoneraIPTVAsusRTN56U.png<br />
</gallery><br />
<br />
=== Linux === <!--T:37--><br />
<br />
<!--T:38--><br />
[[Igmpproxy]]<br />
<br />
=== Asus RT-N66U === <!--T:18--><br />
<br />
<!--T:19--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-76#post-1709438782<br />
<br />
<!--T:20--><br />
<html> <img style="max-width:800px;" src="https://i.imgur.com/8ZVvY.jpg" title="Asus RT-N66U IPTV asetukset"/> </html><br />
<br />
=== RouterOS === <!--T:21--><br />
<br />
<!--T:22--><br />
[[RouterOS_IPTV]]<br />
<br />
=== OpenWRT === <!--T:39--><br />
<br />
<!--T:40--><br />
http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-muulla-kuin-Soneran-palvelureitittimell%C3%A4/m-p/99674/highlight/false#M1354<br />
<br />
<!--T:41--><br />
/etc/network/interfaces<br />
<br />
<!--T:42--><br />
<pre><br />
onfig interface 'loopback'<br />
option ifname 'lo'<br />
option proto 'static'<br />
option ipaddr '127.0.0.1'<br />
option netmask '255.0.0.0'<br />
<br />
<!--T:43--><br />
config globals 'globals'<br />
option ula_prefix 'fd05:643b:6a84::/48'<br />
<br />
<!--T:44--><br />
config interface 'lan'<br />
option force_link '1'<br />
option type 'bridge'<br />
option igmp_snooping '1'<br />
option proto 'static'<br />
option ipaddr '192.168.1.1'<br />
option netmask '255.255.255.0'<br />
option ip6assign '60'<br />
option ifname 'eth0.1'<br />
option macaddr '00:01:02:03:04:05'<br />
<br />
<!--T:45--><br />
config interface 'lan_iptv'<br />
option proto static<br />
option ifname eth0.3<br />
option ipaddr 192.168.2.1<br />
option netmask 255.255.255.0<br />
<br />
<!--T:46--><br />
config interface 'wan_iptv'<br />
option proto 'dhcp'<br />
option ifname 'ptm0.252'<br />
option defaultroute 0<br />
<br />
<!--T:47--><br />
config switch<br />
option name 'switch0'<br />
option reset '1'<br />
option enable_vlan '1'<br />
<br />
<!--T:48--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '1'<br />
option ports '0 1 2 6t'<br />
<br />
<!--T:49--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '2'<br />
option ports '5 6t'<br />
<br />
<!--T:50--><br />
config interface 'eth_wan'<br />
option proto 'dhcp'<br />
option ifname 'eth0.2'<br />
option macaddr 'xx:xx:xx:xx:xx:C8'<br />
<br />
<!--T:51--><br />
config interface 'wan'<br />
option proto 'dhcp'<br />
option ifname 'ptm0'<br />
option service 'Data'<br />
option wan_instance '3.1.2.1'<br />
option macaddr 'xx:xx:xx:xx:xx:C9'<br />
<br />
config vdsl 'dsl'<br />
option annex 'b'<br />
option firmware '/lib/firmware/vdsl_b.bin'<br />
option tone 'bv'<br />
option xfer_mode 'ptm'<br />
<br />
<!--T:52--><br />
config atm-bridge<br />
option unit '0'<br />
option atmdev '0'<br />
option encaps 'llc'<br />
option payload 'bridged'<br />
option vci '33'<br />
option vpi '0'<br />
<br />
<!--T:53--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '3'<br />
option ifname 'eth0.3'<br />
option ports '4 6t'<br />
</pre><br />
<br />
<!--T:54--><br />
/etc/config/igmpproxy<br />
<br />
<!--T:55--><br />
<pre><br />
config igmpproxy<br />
option quickleave 1<br />
<br />
<!--T:56--><br />
config phyint<br />
option network wan_iptv<br />
option direction upstream<br />
list altnet 0.0.0.0/0<br />
<br />
<!--T:57--><br />
config phyint<br />
option network lan_iptv<br />
option direction downstream<br />
</pre><br />
<br />
<!--T:58--><br />
/etc/config/firewall<br />
<br />
<!--T:59--><br />
<pre><br />
config zone<br />
option name lan_iptv<br />
list network 'lan_iptv'<br />
option input ACCEPT<br />
option output ACCEPT<br />
option forward ACCEPT<br />
<br />
<!--T:60--><br />
config zone<br />
option name wan<br />
list network 'wan'<br />
list network 'wan6'<br />
option input REJECT<br />
option output ACCEPT<br />
option forward REJECT<br />
option masq 1<br />
option mtu_fix 1<br />
<br />
<!--T:61--><br />
config zone<br />
option name wan_iptv<br />
list network 'wan_iptv'<br />
option input REJECT<br />
option output ACCEPT<br />
option forward REJECT<br />
option masq 1<br />
<br />
<!--T:62--><br />
config forwarding<br />
option src lan<br />
option dest wan<br />
<br />
<!--T:63--><br />
config forwarding<br />
option src lan_iptv<br />
option dest wan_iptv<br />
<br />
<!--T:64--><br />
config forwarding<br />
option src lan_iptv<br />
option dest wan<br />
<br />
<!--T:65--><br />
config rule<br />
option src wan_iptv<br />
option proto igmp<br />
option target ACCEPT<br />
<br />
<!--T:66--><br />
config rule<br />
option src wan_iptv<br />
option proto udp<br />
option dest lan_iptv<br />
option dest_ip 224.0.0.0/4<br />
option target ACCEPT<br />
option family ipv4<br />
</pre><br />
<br />
<!--T:67--><br />
Lähde: https://forum.openwrt.org/viewtopic.php?pid=266536#p266536<br />
<br />
=== Telewell === <!--T:23--><br />
<br />
<!--T:24--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-82#post-1710111932<br />
<br />
==== TW-EA510 ==== <!--T:25--><br />
<br />
<!--T:26--><br />
https://telewell.fi/files/tw-eav510v1_sonera_viihde_ethernet-liittyma.pdf<br />
<br />
<!--T:27--><br />
https://telewell.fi/files/TW-EA510_v3c_sonera_iptv.pdf<br />
<br />
<!--T:72--><br />
https://telewell.fi/files/sonera_viihde_ja_tw-eav510v6.pdf<br />
<br />
== Ei toimivat laitteet == <!--T:68--><br />
<br />
<!--T:69--><br />
* [http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-ja-Asus-DSL-N55U/m-p/99476#M1325 Asus DSL-N56U] <br />
<br />
<!--T:70--><br />
* [http://murobbs.muropaketti.com/threads/sonera-100-10-vdsl2.627084/page-25#post-1714780687 Asus DSL-N66U] (firmware version 1.0.7.7)<br />
<br />
<!--T:71--><br />
<gallery><br />
File:AsusDSL-66U IPTV.png<br />
</gallery><br />
<br />
== Telia Viihde IPTV kanavat tietokoneelle == <!--T:28--><br />
<br />
<!--T:29--><br />
Tämä vaatii siis reitittimen joka tulee Multicast:iä ja IGMP liikennettä. Toimii vain Soneran verkossa (toki tunnelilla toimii ulospäinkin).<br />
<br />
<!--T:30--><br />
Lataa ja asenna [http://www.videolan.org/vlc/ VLC Player]. Kopio alla olevat osoitteet ja tallenna se iptv.m3u tiedostoksi. Avaa tiedosto VLC Player:illä.<br />
<br />
<!--T:31--><br />
Androidille: https://play.google.com/store/apps/details?id=org.videolan.vlc.betav7neon<br />
<br />
<!--T:32--><br />
<pre><br />
#EXTM3U<br />
#EXTINF:0,YLE1<br />
udp://@239.16.116.1:5555<br />
#EXTINF:0,YLE2<br />
udp://@239.16.116.2:5555<br />
#EXTINF:0,MTV3<br />
udp://@239.16.116.3:5555<br />
#EXTINF:0,Nelonen<br />
udp://@239.16.116.4:5555<br />
#EXTINF:0,YLE Teema ja FEM<br />
udp://@239.16.116.5:5555<br />
#EXTINF:0,Sub<br />
udp://@239.16.116.6:5555<br />
#EXTINF:0,Liv<br />
udp://@239.16.116.8:5555<br />
#EXTINF:0,TV5<br />
udp://@239.16.116.13:5555<br />
#EXTINF:0,Kutonen<br />
udp://@239.16.116.10:5555<br />
#EXTINF:0,FOX TV<br />
udp://@239.16.116.12:5555<br />
#EXTINF:0,JIM<br />
udp://@239.16.116.14:5555<br />
#EXTINF:0,AVA<br />
udp://@239.16.117.145:5555<br />
#EXTINF:0,Hero<br />
udp://@239.16.117.143:5555<br />
#EXTINF:0,Bloomberg<br />
udp://@239.16.117.142:5555<br />
#EXTINF:0,TV7<br />
udp://@239.16.116.11:5555<br />
#EXTINF:0,RU TV<br />
udp://@239.16.117.141:5555<br />
#EXTINF:0,Russia Today<br />
udp://@239.16.117.140:5555<br />
#EXTINF:0,YLEN KLASSINEN<br />
udp://@239.16.116.15:5555<br />
#EXTINF:0,YLEN MONDO<br />
udp://@239.16.116.55:5555<br />
#EXTINF:0,YLEN PUHE<br />
udp://@239.16.116.56:5555<br />
#EXTINF:0,YLE1 HD<br />
udp://@239.16.117.146:5555<br />
#EXTINF:0,YLE2 HD<br />
udp://@239.16.117.147:5555<br />
#EXTINF:0,MTV3 HD<br />
udp://@239.16.117.37:5555<br />
#EXTINF:0,Nelonen HD<br />
udp://@239.16.116.143:5555<br />
#EXTINF:0,YLE Teema & FEM HD<br />
udp://@239.16.117.148:5555<br />
#EXTINF:0,Sub HD<br />
udp://@239.16.116.70:5555<br />
#EXTINF:0,Liv HD<br />
udp://@239.16.116.125:5555<br />
#EXTINF:0,TV5 HD<br />
udp://@239.16.116.122:5555<br />
#EXTINF:0,Kutonen HD<br />
udp://@239.16.116.127:5555<br />
#EXTINF:0,JIM HD<br />
udp://@239.16.116.123:5555<br />
#EXTINF:0,AVA HD<br />
udp://@239.16.116.71:5555<br />
#EXTINF:0,Hero HD<br />
udp://@239.16.116.124:5555<br />
#EXTINF:0,Frii HD<br />
udp://@239.16.116.128:5555<br />
</pre><br />
<br />
<!--T:33--><br />
Muissa kanavissa on salaus, joten niitä ei tahdo saada auki...<br />
<br />
== Lähteet == <!--T:34--><br />
<br />
<!--T:35--><br />
http://klaani.sonera.fi/t5/Palstan-arkisto/Koti-TV-n-k%C3%A4ytt%C3%B6-muulla-reitittimell%C3%A4-kuin-Thomson-TG784/m-p/15997#M15980<br />
<br />
<!--T:36--><br />
https://www.dvdplaza.fi/forums/showthread.php/80550-Sonera-KotiTV-IPTV-palvelu/page2<br />
</translate><br />
<br />
[[Category:Sonera Viihde IPTV]]</div>
Minh
https://taisto.org/index.php?title=Telia_IPTV_asetukset&diff=63905
Telia IPTV asetukset
2018-10-01T20:19:35Z
<p>Minh: </p>
<hr />
<div><languages/><br />
<translate><br />
<!--T:1--><br />
Tässä ohjeessa neuvotaan Sonera Viihteen IPTV digiboksin käyttö toisilla palvelureitittimillä. Sonera Viihteen mukana tulee nykyisin [[Inteno DG301AL]] ja se on todettu tietoturva aukkoiseksi ja heikoksi.<br />
<br />
<!--T:2--><br />
Olemme todenneet että Mikrotikin reitittimellä toimii parhaiten. Asuksella on ongelmana 4:3 kuva (valkoisilla reunoilla).<br />
<br />
<!--T:3--><br />
Keskustele [http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-muulla-kuin-Soneran-palvelureitittimell%C3%A4/m-p/97162#M991 Soneran Klaanissa] aiheesta ja kysy sieltä apua ohjeisiin. <br />
<br />
== Yleiset asetukset == <!--T:4--><br />
<br />
<!--T:5--><br />
Sinun tulee määrittää seuraavat asetukset reitittimesi asetuksiin. Soneran IPTV vaatii että verkossa on multicast VLAN 252 (IPTV) ja normaali verkkoliikenne VLAN 1 (tallennukset ja ohjelmakirjasto).<br />
<br />
<!--T:6--><br />
IPTV:VID 252 PRIO 0<br />
INTERNET: VID 1 PRIO 0<br />
<br />
IGMP Proxy Enable<br />
<br />
<br />
<!--T:7--><br />
VID = VLAN ID<br />
<br />
<!--T:8--><br />
PRIO = Priorisointi<br />
<br />
== Reititin kohtaiset asetukset == <!--T:9--><br />
<br />
=== Asus DSL-N55U === <!--T:10--><br />
<br />
<!--T:11--><br />
https://dl.dropboxusercontent.com/u/46176780/asus_dsl-n55u_settings.jpg<br />
<br />
<gallery><br />
Tiedosto:Asus dsl-n55u settings.jpg<br />
</gallery><br />
=== Asus RT-AC56U ja Asus RT-N56U === <!--T:12--><br />
<br />
<!--T:13--><br />
Testattu Asus RT-N56U:lla.<br />
<br />
<!--T:14--><br />
http://murobbs.plaza.fi/internet-tietoturva-ja-muu-tietoliikenne/685233-sonera-kotitv-iptv-75.html#post1714391870<br />
<br />
<!--T:15--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-77#post-1709453694<br />
<br />
<!--T:16--><br />
LAN -> IPTV-tabi<br />
Select ISP profile: Manual<br />
Internet VID tyhjä PRIO 0<br />
LAN port 4 VID 252 PRIO 0<br />
LAN port 3 VID tyhjä PRIO 0<br />
<br />
Special applications:<br />
Use DHCP routes Microsoft<br />
Enable multicast routing (IGMP Proxy) Enable<br />
Enable efficient multicast forwarding (IGMP Snooping) Enable<br />
UDP Proxy (Udpxy) 0<br />
<br />
<!--T:17--><br />
<gallery><br />
Tiedosto:SoneraIPTVAsusRTN56U.png<br />
</gallery><br />
<br />
=== Linux === <!--T:37--><br />
<br />
<!--T:38--><br />
[[Igmpproxy]]<br />
<br />
=== Asus RT-N66U === <!--T:18--><br />
<br />
<!--T:19--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-76#post-1709438782<br />
<br />
<!--T:20--><br />
<html> <img style="max-width:800px;" src="https://i.imgur.com/8ZVvY.jpg" title="Asus RT-N66U IPTV asetukset"/> </html><br />
<br />
=== RouterOS === <!--T:21--><br />
<br />
<!--T:22--><br />
[[RouterOS_IPTV]]<br />
<br />
=== OpenWRT === <!--T:39--><br />
<br />
<!--T:40--><br />
http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-muulla-kuin-Soneran-palvelureitittimell%C3%A4/m-p/99674/highlight/false#M1354<br />
<br />
<!--T:41--><br />
/etc/network/interfaces<br />
<br />
<!--T:42--><br />
<pre><br />
onfig interface 'loopback'<br />
option ifname 'lo'<br />
option proto 'static'<br />
option ipaddr '127.0.0.1'<br />
option netmask '255.0.0.0'<br />
<br />
<!--T:43--><br />
config globals 'globals'<br />
option ula_prefix 'fd05:643b:6a84::/48'<br />
<br />
<!--T:44--><br />
config interface 'lan'<br />
option force_link '1'<br />
option type 'bridge'<br />
option igmp_snooping '1'<br />
option proto 'static'<br />
option ipaddr '192.168.1.1'<br />
option netmask '255.255.255.0'<br />
option ip6assign '60'<br />
option ifname 'eth0.1'<br />
option macaddr '00:01:02:03:04:05'<br />
<br />
<!--T:45--><br />
config interface 'lan_iptv'<br />
option proto static<br />
option ifname eth0.3<br />
option ipaddr 192.168.2.1<br />
option netmask 255.255.255.0<br />
<br />
<!--T:46--><br />
config interface 'wan_iptv'<br />
option proto 'dhcp'<br />
option ifname 'ptm0.252'<br />
option defaultroute 0<br />
<br />
<!--T:47--><br />
config switch<br />
option name 'switch0'<br />
option reset '1'<br />
option enable_vlan '1'<br />
<br />
<!--T:48--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '1'<br />
option ports '0 1 2 6t'<br />
<br />
<!--T:49--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '2'<br />
option ports '5 6t'<br />
<br />
<!--T:50--><br />
config interface 'eth_wan'<br />
option proto 'dhcp'<br />
option ifname 'eth0.2'<br />
option macaddr 'xx:xx:xx:xx:xx:C8'<br />
<br />
<!--T:51--><br />
config interface 'wan'<br />
option proto 'dhcp'<br />
option ifname 'ptm0'<br />
option service 'Data'<br />
option wan_instance '3.1.2.1'<br />
option macaddr 'xx:xx:xx:xx:xx:C9'<br />
<br />
config vdsl 'dsl'<br />
option annex 'b'<br />
option firmware '/lib/firmware/vdsl_b.bin'<br />
option tone 'bv'<br />
option xfer_mode 'ptm'<br />
<br />
<!--T:52--><br />
config atm-bridge<br />
option unit '0'<br />
option atmdev '0'<br />
option encaps 'llc'<br />
option payload 'bridged'<br />
option vci '33'<br />
option vpi '0'<br />
<br />
<!--T:53--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '3'<br />
option ifname 'eth0.3'<br />
option ports '4 6t'<br />
</pre><br />
<br />
<!--T:54--><br />
/etc/config/igmpproxy<br />
<br />
<!--T:55--><br />
<pre><br />
config igmpproxy<br />
option quickleave 1<br />
<br />
<!--T:56--><br />
config phyint<br />
option network wan_iptv<br />
option direction upstream<br />
list altnet 0.0.0.0/0<br />
<br />
<!--T:57--><br />
config phyint<br />
option network lan_iptv<br />
option direction downstream<br />
</pre><br />
<br />
<!--T:58--><br />
/etc/config/firewall<br />
<br />
<!--T:59--><br />
<pre><br />
config zone<br />
option name lan_iptv<br />
list network 'lan_iptv'<br />
option input ACCEPT<br />
option output ACCEPT<br />
option forward ACCEPT<br />
<br />
<!--T:60--><br />
config zone<br />
option name wan<br />
list network 'wan'<br />
list network 'wan6'<br />
option input REJECT<br />
option output ACCEPT<br />
option forward REJECT<br />
option masq 1<br />
option mtu_fix 1<br />
<br />
<!--T:61--><br />
config zone<br />
option name wan_iptv<br />
list network 'wan_iptv'<br />
option input REJECT<br />
option output ACCEPT<br />
option forward REJECT<br />
option masq 1<br />
<br />
<!--T:62--><br />
config forwarding<br />
option src lan<br />
option dest wan<br />
<br />
<!--T:63--><br />
config forwarding<br />
option src lan_iptv<br />
option dest wan_iptv<br />
<br />
<!--T:64--><br />
config forwarding<br />
option src lan_iptv<br />
option dest wan<br />
<br />
<!--T:65--><br />
config rule<br />
option src wan_iptv<br />
option proto igmp<br />
option target ACCEPT<br />
<br />
<!--T:66--><br />
config rule<br />
option src wan_iptv<br />
option proto udp<br />
option dest lan_iptv<br />
option dest_ip 224.0.0.0/4<br />
option target ACCEPT<br />
option family ipv4<br />
</pre><br />
<br />
<!--T:67--><br />
Lähde: https://forum.openwrt.org/viewtopic.php?pid=266536#p266536<br />
<br />
=== Telewell === <!--T:23--><br />
<br />
<!--T:24--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-82#post-1710111932<br />
<br />
==== TW-EA510 ==== <!--T:25--><br />
<br />
<!--T:26--><br />
https://telewell.fi/files/tw-eav510v1_sonera_viihde_ethernet-liittyma.pdf<br />
<br />
<!--T:27--><br />
https://telewell.fi/files/TW-EA510_v3c_sonera_iptv.pdf<br />
<br />
<!--T:72--><br />
https://telewell.fi/files/sonera_viihde_ja_tw-eav510v6.pdf<br />
<br />
== Ei toimivat laitteet == <!--T:68--><br />
<br />
<!--T:69--><br />
* [http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-ja-Asus-DSL-N55U/m-p/99476#M1325 Asus DSL-N56U] <br />
<br />
<!--T:70--><br />
* [http://murobbs.muropaketti.com/threads/sonera-100-10-vdsl2.627084/page-25#post-1714780687 Asus DSL-N66U] (firmware version 1.0.7.7)<br />
<br />
<!--T:71--><br />
<gallery><br />
File:AsusDSL-66U IPTV.png<br />
</gallery><br />
<br />
== Telia Viihde IPTV kanavat tietokoneelle == <!--T:28--><br />
<br />
<!--T:29--><br />
Tämä vaatii siis reitittimen joka tulee Multicast:iä ja IGMP liikennettä. Toimii vain Soneran verkossa (toki tunnelilla toimii ulospäinkin).<br />
<br />
<!--T:30--><br />
Lataa ja asenna [http://www.videolan.org/vlc/ VLC Player]. Kopio alla olevat osoitteet ja tallenna se iptv.m3u tiedostoksi. Avaa tiedosto VLC Player:illä.<br />
<br />
<!--T:31--><br />
Androidille: https://play.google.com/store/apps/details?id=org.videolan.vlc.betav7neon<br />
<br />
<!--T:32--><br />
<pre><br />
#EXTM3U<br />
#EXTINF:0,YLE1<br />
udp://@239.16.116.1:5555<br />
#EXTINF:0,YLE2<br />
udp://@239.16.116.2:5555<br />
#EXTINF:0,MTV3<br />
udp://@239.16.116.3:5555<br />
#EXTINF:0,Nelonen<br />
udp://@239.16.116.4:5555<br />
#EXTINF:0,YLE Teema ja FEM<br />
udp://@239.16.116.5:5555<br />
#EXTINF:0,Sub<br />
udp://@239.16.116.6:5555<br />
#EXTINF:0,Liv<br />
udp://@239.16.116.8:5555<br />
#EXTINF:0,TV5<br />
udp://@239.16.116.13:5555<br />
#EXTINF:0,Kutonen<br />
udp://@239.16.116.10:5555<br />
#EXTINF:0,FOX TV<br />
udp://@239.16.116.12:5555<br />
#EXTINF:0,JIM<br />
udp://@239.16.116.14:5555<br />
#EXTINF:0,AVA<br />
udp://@239.16.117.145:5555<br />
#EXTINF:0,Hero<br />
udp://@239.16.117.143:5555<br />
#EXTINF:0,Bloomberg<br />
udp://@239.16.117.142:5555<br />
#EXTINF:0,TV7<br />
udp://@239.16.116.11:5555<br />
#EXTINF:0,RU TV<br />
udp://@239.16.117.141:5555<br />
#EXTINF:0,Russia Today<br />
udp://@239.16.117.140:5555<br />
#EXTINF:0,YLEN KLASSINEN<br />
udp://@239.16.116.15:5555<br />
#EXTINF:0,YLEN MONDO<br />
udp://@239.16.116.55:5555<br />
#EXTINF:0,YLEN PUHE<br />
udp://@239.16.116.56:5555<br />
#EXTINF:0,YLE1 HD<br />
udp://@239.16.117.146:5555<br />
#EXTINF:0,YLE2 HD<br />
udp://@239.16.117.147:5555<br />
#EXTINF:0,MTV3 HD<br />
udp://@239.16.117.37:5555<br />
#EXTINF:0,Nelonen HD<br />
udp://@239.16.116.143:5555<br />
#EXTINF:0,YLE FEM HD<br />
udp://@239.16.117.148:5555<br />
#EXTINF:0,Sub HD<br />
udp://@239.16.116.70:5555<br />
#EXTINF:0,TV5 HD<br />
udp://@239.16.116.122:5555<br />
#EXTINF:0,Kutonen HD<br />
udp://@239.16.116.127:5555<br />
#EXTINF:0,AVA HD<br />
udp://@239.16.116.71:5555<br />
#EXTINF:0,Hero HD<br />
udp://@239.16.116.124:5555<br />
#EXTINF:0,Frii HD<br />
udp://@239.16.116.128:5555<br />
</pre><br />
<br />
<!--T:33--><br />
Muissa kanavissa on salaus, joten niitä ei tahdo saada auki...<br />
<br />
== Lähteet == <!--T:34--><br />
<br />
<!--T:35--><br />
http://klaani.sonera.fi/t5/Palstan-arkisto/Koti-TV-n-k%C3%A4ytt%C3%B6-muulla-reitittimell%C3%A4-kuin-Thomson-TG784/m-p/15997#M15980<br />
<br />
<!--T:36--><br />
https://www.dvdplaza.fi/forums/showthread.php/80550-Sonera-KotiTV-IPTV-palvelu/page2<br />
</translate><br />
<br />
[[Category:Sonera Viihde IPTV]]</div>
Minh
https://taisto.org/index.php?title=Doh-proxy&diff=63904
Doh-proxy
2018-09-23T18:39:17Z
<p>Minh: </p>
<hr />
<div>DNS over HTTPS Proxy on välityspalvelin tarjoten salatun DNS-palvelun yli HTTPS yhteyden ohittaakseen palomuurit, missä toiset menetelmät ovat estettyjä. Lisätietoa tästä doh-proxystä: https://facebookexperimental.github.io/doh-proxy/<br />
<br />
== Asennus ja konfigurointi ==<br />
<br />
Tässä ohjeesssa asennetaan Ubuntu 16.04:selle.<br />
<br />
<pre><br />
sudo apt install python3-pip<br />
sudo pip3 install doh-proxy<br />
sudo apt install nginx<br />
</pre><br />
<br />
Luo käyttäjätili palvelulle ja luo hakemisto doh-proxyn konfigurointia varten<br />
<br />
<pre><br />
sudo useradd -r -s /bin/false doh-proxy<br />
sudo mkdir /var/lib/doh-proxy<br />
sudo chown doh-proxy: /var/lib/doh-proxy \<br />
sudo chown 700 /var/lib/doh-proxy<br />
</pre><br />
<br />
Luo systemd käynnistyssovellus, joka käynnistää palvelun joka bootissa<br />
<br />
sudo nano /etc/systemd/system/doh-httpproxy\@.service<br />
<br />
<pre><br />
[Unit]<br />
Description=DOH HTTP Proxy on %I<br />
After=syslog.target network.target<br />
Before=nginx.target<br />
<br />
[Service]<br />
Type=simple<br />
ExecStart=/usr/local/bin/doh-httpproxy --upstream-resolver ::1 --level DEBUG --listen-address=::1 --port 8081<br />
Restart=always<br />
User=doh-proxy<br />
Group=doh-proxy<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
systemctl daemon-reload<br />
</pre><br />
<br />
Konfiguroidaan doh-proxy prosessi portille 8081<br />
<br />
<pre><br />
sudo cp /etc/systemd/system/doh-httpproxy\@.service /etc/systemd/system/doh-httpproxy\@$8081.service<br />
sudo systemctl enable doh-httpproxy@$8081<br />
sudo systemctl start doh-httpproxy@$8081<br />
</pre><br />
<br />
Tämän jälkeen konfiguroi Nginx proxyksi ja sille SSL-sertifikaatti. Varmista että sertifikaatti uusiutuu automaattisesti. Esimerkki konfiguraatio:<br />
<br />
<pre><br />
location /dns-query {<br />
proxy_set_header Host $http_host;<br />
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;<br />
proxy_redirect off;<br />
proxy_buffering off;<br />
proxy_pass http://[::1]:8081;<br />
}<br />
</pre></div>
Minh
https://taisto.org/index.php?title=Doh-proxy&diff=63903
Doh-proxy
2018-09-23T18:09:18Z
<p>Minh: </p>
<hr />
<div>DNS over HTTPS Proxy on välityspalvelin tarjoten salatun DNS-palvelun yli HTTPS yhteyden ohittaakseen palomuurit, missä toiset menetelmät ovat estettyjä. Lisätietoa tästä doh-proxystä: https://facebookexperimental.github.io/doh-proxy/<br />
<br />
== Asennus ==<br />
<br />
Tässä ohjeesssa asennetaan Ubuntu 16.04:selle.<br />
<br />
<pre><br />
sudo apt install python3-pip<br />
sudo pip3 install doh-proxy<br />
sudo apt install nginx<br />
</pre><br />
<br />
Luo käyttäjätili palvelulle ja luo hakemisto doh-proxyn konfigurointia varten<br />
<br />
<pre><br />
sudo useradd -r -s /bin/false doh-proxy<br />
sudo mkdir /var/lib/doh-proxy<br />
sudo chown doh-proxy: /var/lib/doh-proxy \<br />
sudo chown 700 /var/lib/doh-proxy<br />
</pre><br />
<br />
Luo systemd käynnistyssovellus, joka käynnistää palvelun joka bootissa<br />
<br />
sudo nano /etc/systemd/system/doh-httpproxy\@.service<br />
<br />
<pre><br />
[Unit]<br />
Description=DOH HTTP Proxy on %I<br />
After=syslog.target network.target<br />
Before=nginx.target<br />
<br />
[Service]<br />
Type=simple<br />
ExecStart=/usr/local/bin/doh-httpproxy --upstream-resolver ::1 --level DEBUG --listen-address=::1 --port 8081<br />
Restart=always<br />
User=doh-proxy<br />
Group=doh-proxy<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
systemctl daemon-reload<br />
</pre><br />
<br />
Konfiguroidaan doh-proxy prosessi portille 8081<br />
<br />
<pre><br />
sudo cp /etc/systemd/system/doh-httpproxy\@.service /etc/systemd/system/doh-httpproxy\@$8081.service<br />
sudo systemctl enable doh-httpproxy@$8081<br />
sudo systemctl start doh-httpproxy@$8081<br />
</pre><br />
<br />
Tämän jälkeen konfiguroi Nginx proxyksi.</div>
Minh
https://taisto.org/index.php?title=Doh-proxy&diff=63902
Doh-proxy
2018-09-23T18:07:48Z
<p>Minh: </p>
<hr />
<div>DNS over HTTPS Proxy on välityspalvelin tarjoten salatun DNS-palvelun yli HTTPS yhteyden ohittaakseen palomuurit, missä toiset menetelmät ovat estettyjä. Lisätietoa tästä doh-proxystä: https://facebookexperimental.github.io/doh-proxy/<br />
<br />
== Asennus ==<br />
<br />
Tässä ohjeesssa asennetaan Ubuntu 16.04:selle.<br />
<br />
<pre><br />
sudo apt install python3-pip<br />
sudo pip3 install doh-proxy<br />
sudo apt install nginx<br />
</pre><br />
<br />
Luo käyttäjätili palvelulle ja luo hakemisto doh-proxyn konfigurointia varten<br />
<br />
<pre><br />
sudo useradd -r -s /bin/false doh-proxy<br />
sudo mkdir /var/lib/doh-proxy<br />
sudo chown doh-proxy: /var/lib/doh-proxy \<br />
sudo chown 700 /var/lib/doh-proxy<br />
</pre><br />
<br />
Luo systemd käynnistyssovellus, joka käynnistää palvelun joka bootissa<br />
<br />
sudo nano /etc/systemd/system/doh-httpproxy\@.service<br />
<br />
<pre><br />
[Unit]<br />
Description=DOH HTTP Proxy on %I<br />
After=syslog.target network.target<br />
Before=nginx.target<br />
<br />
[Service]<br />
Type=simple<br />
ExecStart=/usr/local/bin/doh-proxy --upstream-resolver ::1 --level DEBUG --listen-address=::1 --port 8081<br />
Restart=always<br />
User=doh-proxy<br />
Group=doh-proxy<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
systemctl daemon-reload<br />
</pre><br />
<br />
Konfiguroidaan doh-proxy prosessi portille 8081<br />
<br />
<pre><br />
sudo cp /etc/systemd/system/doh-httpproxy\@.service /etc/systemd/system/doh-httpproxy\@$8081.service<br />
sudo systemctl enable doh-httpproxy@$8081<br />
sudo systemctl start doh-httpproxy@$8081<br />
</pre><br />
<br />
Tämän jälkeen konfiguroi Nginx proxyksi.</div>
Minh
https://taisto.org/index.php?title=Doh-proxy&diff=63901
Doh-proxy
2018-09-23T18:07:40Z
<p>Minh: </p>
<hr />
<div>DNS over HTTPS Proxy on välityspalvelin tarjoten salatun DNS-palvelun yli HTTPS yhteyden ohittaakseen palomuurit, missä toiset menetelmät ovat estettyjä. Lisätietoa tästä doh-proxystä: https://facebookexperimental.github.io/doh-proxy/<br />
<br />
== Asennus ==<br />
<br />
Tässä ohjeesssa asennetaan Ubuntu 16.04:selle.<br />
<br />
<pre><br />
sudo apt install python3-pip<br />
sudo pip3 install doh-proxy<br />
sudo apt install nginx<br />
</pre><br />
<br />
Luo käyttäjätili palvelulle ja luo hakemisto doh-proxyn konfigurointia varten<br />
<br />
<pre><br />
sudo useradd -r -s /bin/false doh-proxy<br />
sudo mkdir /var/lib/doh-proxy<br />
sudo chown doh-proxy: /var/lib/doh-proxy \<br />
sudo chown 700 /var/lib/doh-proxy<br />
</pre><br />
<br />
Luo systemd käynnistyssovellus, joka käynnistää palvelun joka bootissa<br />
<br />
sudo nano /etc/systemd/system/doh-httpproxy\@.service<br />
<br />
<pre><br />
[Unit]<br />
Description=DOH HTTP Proxy on %I<br />
After=syslog.target network.target<br />
Before=nginx.target<br />
<br />
[Service]<br />
Type=simple<br />
ExecStart=/usr/local/bin/doh-proxy --upstream-resolver ::1 --level DEBUG --listen-address=::1 --port %I<br />
Restart=always<br />
User=doh-proxy<br />
Group=doh-proxy<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
systemctl daemon-reload<br />
</pre><br />
<br />
Konfiguroidaan doh-proxy prosessi portille 8081<br />
<br />
<pre><br />
sudo cp /etc/systemd/system/doh-httpproxy\@.service /etc/systemd/system/doh-httpproxy\@$8081.service<br />
sudo systemctl enable doh-httpproxy@$8081<br />
sudo systemctl start doh-httpproxy@$8081<br />
</pre><br />
<br />
Tämän jälkeen konfiguroi Nginx proxyksi.</div>
Minh
https://taisto.org/index.php?title=Doh-proxy&diff=63900
Doh-proxy
2018-09-23T17:57:12Z
<p>Minh: Ak: Uusi sivu: DNS over HTTPS Proxy on välityspalvelin tarjoten salatun DNS-palvelun yli HTTPS yhteyden ohittaakseen palomuurit, missä toiset menetelmät ovat estettyjä. Lisätietoa tästä do...</p>
<hr />
<div>DNS over HTTPS Proxy on välityspalvelin tarjoten salatun DNS-palvelun yli HTTPS yhteyden ohittaakseen palomuurit, missä toiset menetelmät ovat estettyjä. Lisätietoa tästä doh-proxystä: https://facebookexperimental.github.io/doh-proxy/<br />
<br />
== Asennus ==<br />
<br />
Tässä ohjeesssa asennetaan Ubuntu 16.04:selle.<br />
<br />
<pre><br />
sudo apt install python3-pip<br />
sudo pip3 install doh-proxy<br />
sudo apt install nginx<br />
</pre><br />
<br />
Luo käyttäjätili palvelulle ja luo hakemisto doh-proxyn konfigurointia varten<br />
<br />
<pre><br />
sudo useradd -r -s /bin/false doh-proxy<br />
sudo mkdir /var/lib/doh-proxy<br />
sudo chown doh-proxy: /var/lib/doh-proxy \<br />
sudo chown 700 /var/lib/doh-proxy<br />
</pre><br />
<br />
Luo systemd käynnistyssovellus, joka käynnistää palvelun joka bootissa<br />
<br />
sudo nano /etc/systemd/system/doh-httpproxy\@.service<br />
<br />
<pre><br />
[Unit]<br />
Description=DOH HTTP Proxy on %I<br />
After=syslog.target network.target<br />
Before=nginx.target<br />
<br />
[Service]<br />
Type=simple<br />
ExecStart=/bin/doh-httpproxy --upstream-resolver ::1 --level DEBUG --listen-address=::1 --port %I<br />
Restart=always<br />
User=doh-proxy<br />
Group=doh-proxy<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
systemctl daemon-reload<br />
</pre><br />
<br />
Konfiguroidaan doh-proxy prosessi portille 8081<br />
<br />
<pre><br />
sudo cp /etc/systemd/system/doh-httpproxy\@.service /etc/systemd/system/doh-httpproxy\@$8081.service<br />
sudo systemctl enable doh-httpproxy@$8081<br />
sudo systemctl start doh-httpproxy@$8081<br />
</pre><br />
<br />
Tämän jälkeen konfiguroi Nginx proxyksi.</div>
Minh
https://taisto.org/index.php?title=Xrdp&diff=63899
Xrdp
2018-09-19T07:39:50Z
<p>Minh: </p>
<hr />
<div>Linuxia hallinnoidaan usein SSH yhteydellä, mutta RDP (Microsoft Remote Desktop Protocol) on myös hyvä työkalu ja toimii tällä hetkellä parhaiten Xfce työpöytäympäristössä.<br />
<br />
<br />
Aluksi asennetaan terminaalin kautta paketti nimeltä xrdp.<br />
<br />
apt install xrdp<br />
<br />
Tämän jälkeen sinun ei kirjaimellisesti tarvitse tehdä mitään muuta, kuin käynnistää xrdp.<br />
<br />
service xrdp start<br />
<br />
Lisäämällä tämän käynnistät xrdp palvelun myös koneen uudelleenkäynnistyksen yhteydessä<br />
<br />
update-rc xrdp start<br />
<br />
Sitten käynnistät windows remote desktop yhteyden koneeltasi:<br />
<br />
<gallery><br />
File: Remotedesktop.png<br />
</gallery><br />
<br />
Tässä kohtaa painat ok jos olet varma, että yhdistät oikeaan koneeseen:<br />
<br />
<gallery><br />
File: Pressok.png<br />
</gallery><br />
<br />
Nyt kirjoitat käyttäjänimen ja salasanan kirjautuaksesi etätyöpöytään:<br />
<br />
<gallery><br />
File: Kiinnihostissa.png<br />
</gallery><br />
<br />
<br />
Voila, Hallitset linux jakeluasi:<br />
<br />
<gallery><br />
File: Valmis.png<br />
</gallery><br />
<br />
[[Luokka:Linux|Xrdp]]</div>
Minh
https://taisto.org/index.php?title=Postfix&diff=63898
Postfix
2018-09-18T17:39:20Z
<p>Minh: /* Opendkim konfigurointi Postfixiin */</p>
<hr />
<div><languages/><br />
<translate><br />
<!--T:1--><br />
Postfix on sähköpostin välitysohjelmisto (MTA). Postfix on avoimen lisenssillä varustettu ohjelmisto. Tietoturvallisessa ja suorituskykyisessä Postfixissä on hyvä roskapostin suodatus. <br />
<br />
<!--T:2--><br />
Suosittelemme käyttämään myös [[Spamassassin]] ja [[Amavis]] suojaamaan sähköpostipalvelinta roskapostittajilta.<br />
<br />
== Asennus == <!--T:3--><br />
<br />
<!--T:4--><br />
[[aptitude]] install postfix<br />
<br />
<!--T:5--><br />
Seuraa asennusohjelman ohjeita<br />
<br />
<!--T:6--><br />
[[Tiedosto:postfix1.png]]<br />
<br />
<br />
<!--T:7--><br />
Tämän jälkeen sinun tulee antaa palvelimen isäntänimi<br />
<br />
<!--T:8--><br />
esimerkiksi:<br />
<br />
<!--T:9--><br />
mail.example.com<br />
<br />
== Konfigurointi == <!--T:10--><br />
<br />
<br />
<!--T:11--><br />
Avaa konfigurointi tiedosto:<br />
<br />
<!--T:12--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:13--><br />
Tarkista postifixin konfigurointi tiedostossa on määritetty tietokoneen isäntänimi ja palvelimen osoite<br />
<br />
<!--T:14--><br />
myhostname = server.example.com<br />
alias_maps = hash:/etc/aliases<br />
alias_database = hash:/etc/aliases<br />
myorigin = example.com<br />
mydestination = example.com, server.example.com, localhost, localhost.example.com$<br />
#relayhost =<br />
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128<br />
mailbox_command = procmail -a "$EXTENSION"<br />
mailbox_size_limit = 0<br />
recipient_delimiter = +<br />
inet_interfaces = all<br />
<br />
<!--T:15--><br />
Tallenna tiedosto ja avaa seuraavaksi tiedosto<br />
<br />
<!--T:16--><br />
nano /etc/postfix/master.cf<br />
<br />
<!--T:17--><br />
Oletuksena master.cf tiedostossa on sallittu normaali SMTP yhteys portissa 25.<br />
<br />
<!--T:18--><br />
smtp inet n - - - - smtpd<br />
<br />
<br />
<!--T:19--><br />
Oletuksena seuraavat ovat risuaidalla merkitty (#).<br />
<br />
<!--T:20--><br />
Ota käyttöön poistamalla risuaita 587 portissa tapahtuva SMTP tiedonsiirtoa. Sillä voi myös siirtää salattua liikennettä komennolla STARTTLS.<br />
<br />
<!--T:21--><br />
submission inet n - - - - smtpd<br />
-o syslog_name=postfix/submission<br />
-o smtpd_tls_security_level=encrypt<br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
-o milter_macro_daemon_name=ORIGINATING<br />
<br />
<!--T:22--><br />
Ota käyttöön poistamalla risuaita SMTPS yhteys (portissa 465). SSL salaus käytetään tässä yhteydessä oletuksena. SASL todennusta suositellaan käytettäväksi.<br />
<br />
<!--T:23--><br />
smtps inet n - - - - smtpd<br />
-o syslog_name=postfix/smtps<br />
-o smtpd_tls_wrappermode=yes<br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
-o milter_macro_daemon_name=ORIGINATING<br />
<br />
=== Selitetään: === <!--T:24--><br />
<br />
<!--T:25--><br />
Palvelimesi nimi (tarkista että on sama kuin hostname (komento: hostname)):<br />
myhostname = server.example.com<br />
Kirjautumisen tunnukset = sama kuin Debian. Ei muuteta<br />
alias_maps = hash:/etc/aliases<br />
alias_database = hash:/etc/aliases<br />
Domain (määritetään palvelimesi sähköpostiosoitteeseen username@example.com). Oletuksena määritetty /etc/mailname:<br />
myorigin = example.com<br />
Tietokoneen isäntänimet:<br />
mydestination = example.com, server.example.com, localhost, localhost.example.com$<br />
#relayhost = 127.0.0.1:10111<br />
Tämä vaaditaan jos ei ole suoraa yhteyttä verkkoon. <br />
<br />
<!--T:26--><br />
Esimerkkinä Soneran postipalvelin:<br />
relayhost = [mail.inet.fi]:25<br />
<br />
<!--T:27--><br />
DNA postipalvelin:<br />
relayhost = [smtp.dnainternet.net]:25<br />
<br />
<br />
<!--T:28--><br />
Lähiverkkosi:<br />
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128<br />
mailbox_command = procmail -a "$EXTENSION"<br />
mailbox_size_limit = 0<br />
recipient_delimiter = +<br />
Verkkoliitännät<br />
inet_interfaces = all<br />
<br />
<!--T:29--><br />
Sulje tiedosto ja käynnistä postfix uudelleen<br />
<br />
<!--T:30--><br />
service postfix restart<br />
<br />
== Lisäasetukset == <!--T:31--><br />
<br />
=== Virtuaali sähköpostiosoitteet === <!--T:32--><br />
<br />
<!--T:33--><br />
Voit ohjata virtuaali sähköpostiosoitteet esimerkiksi webmaster@example.com ja postmaster@example.com omalle käyttäjällesi.<br />
<br />
<!--T:34--><br />
Avaa tiedosto:<br />
<br />
<!--T:35--><br />
/etc/aliases<br />
<br />
<!--T:36--><br />
# /etc/aliases<br />
mailer-daemon: postmaster<br />
postmaster: root<br />
nobody: root<br />
hostmaster: root<br />
usenet: root<br />
news: root<br />
webmaster: root<br />
www: root<br />
ftp: root<br />
abuse: root<br />
noc: root<br />
security: root<br />
root = [username]<br />
<br />
<!--T:37--><br />
Muuttamalla [username] kohta omaksi käyttäjätiliksi saat kaikki näiden käyttäjätilien sähköpostit samaan sähköpostilaatikkoon. Voit lisätä muitakin osoitteita tiedoston loppuun:<br />
<br />
<!--T:38--><br />
[alias_postinimi] = [käyttäjälle]<br />
<br />
<!--T:39--><br />
Vahvista muutokset<br />
<br />
<!--T:40--><br />
newaliases<br />
<br />
=== Virtuaali domainit === <!--T:41--><br />
<br />
<!--T:42--><br />
Virtuaaliset domainit siis ovat tarkoitettu sähköpostipalvelimelle joka lähettää ja vastaanottaa usealle eri domainille.<br />
<br />
<br />
<!--T:43--><br />
Avaa Postfixin konfigurointi tiedosto main.cf<br />
<br />
<!--T:44--><br />
/etc/postfix/main.cf<br />
<br />
<!--T:45--><br />
Lisää seuraavat rivit:<br />
<br />
<!--T:46--><br />
virtual_alias_domains = example.com<br />
virtual_alias_maps = hash:/etc/postfix/virtual<br />
<br />
<!--T:47--><br />
Luo uusi tiedosto<br />
<br />
<!--T:48--><br />
postmaster@example.com postmaster<br />
info@example.com matti<br />
sales@example.com kalle<br />
# Uncomment entry below to implement a catch-all address<br />
# @example.com aleksi<br />
<br />
<!--T:49--><br />
Älä lisää virtual_alias_domain:ia mydestination domainiksi!<br />
<br />
=== Sähköpostin uudelleenohjaus === <!--T:50--><br />
<br />
<!--T:51--><br />
Sähköpostin uudelleenohjaus matti@example.com -> matti.example2.com esimerkiksi.<br />
<br />
<!--T:52--><br />
Avaa Postfixin konfigurointi tiedosto main.cf<br />
<br />
<!--T:53--><br />
/etc/postfix/main.cf:<br />
<br />
<!--T:54--><br />
Lisää seuraavat rivit tiedostoon:<br />
<br />
<!--T:55--><br />
virtual_alias_domains = example.com<br />
virtual_alias_maps = hash:/etc/postfix/virtual<br />
<br />
<!--T:56--><br />
Luo uusi tiedosto<br />
<br />
<!--T:57--><br />
/etc/postfix/virtual:<br />
<br />
<!--T:58--><br />
Lisää seuraavat rivit tiedostoon<br />
postmaster@example.com postmaster<br />
matti@example.com matti@example2.com<br />
aleksi@example.com aleksi@example3.com<br />
# Uncomment entry below to implement a catch-all address<br />
# @example.com jim@yet-another-site<br />
<br />
<!--T:59--><br />
Uudelleenohjattava sähköpostin domain tulee olla mydestination merkitty. Et voi uudelleenohjata aliaksia /etc/alias<br />
<br />
<!--T:60--><br />
Tarkista konfiguraatio<br />
<br />
<!--T:61--><br />
postmap /etc/postfix/virtual<br />
<br />
== Testataan Postfixin toimintaa == <!--T:62--><br />
<br />
<!--T:63--><br />
Lähetetään testisähköposti:<br />
<br />
<!--T:64--><br />
Asenna tämä sähköpostityökälut jos ei ole asennettu:<br />
<br />
<!--T:65--><br />
apt-get install mailutils<br />
<br />
<!--T:66--><br />
ja sen jälkeen lähetetään sähköpostia:<br />
<br />
<!--T:67--><br />
mail address@domain.com<br />
<br />
<!--T:68--><br />
Komento tulostaa:<br />
Subject: Aiheesi viestille<br />
<br />
<!--T:69--><br />
Tämän jälkeen kirjoita viesti (ja ENTER) ja tulostuu:<br />
<br />
<!--T:70--><br />
CC: <br />
<br />
<!--T:71--><br />
jonka voi jättää tyhjäksi. Lähetä sähköposti näppäinyhdistelmällä CTRL+D.<br />
<br />
== Sähköpostipalvelimen suojaaminen == <!--T:72--><br />
<br />
<!--T:73--><br />
Kun luot oman sähköpostipalvelimen, sitä pitää heti alkaa suojaamaan ahkerasti roskapostittajia vastaan. Suositus on ottaa myös SASL todennus käyttöön.<br />
<br />
=== Roskapostien suodatus === <!--T:74--> <br />
<br />
<!--T:75--><br />
Lisäämällä seuraava koodi pätkä tarkistaa onko lähettäjän verkkotunnus olemassa:<br />
<br />
<!--T:76--><br />
nano /etc/postfix/main.cf<br />
<br />
<br />
<!--T:77--><br />
smtpd_recipient_restrictions = reject_invalid_hostname,<br />
reject_unknown_recipient_domain,<br />
reject_unauth_destination,<br />
reject_rbl_client sbl.spamhaus.org, # Tämä rivi ei Soneran verkkoon<br />
permit<br />
<br />
<!--T:78--><br />
smtpd_helo_restrictions = reject_invalid_helo_hostname,<br />
reject_non_fqdn_helo_hostname,<br />
reject_unknown_helo_hostname<br />
<br />
<!--T:79--><br />
Ja tämä tarkistaa listan onko verkkotunnus merkitty roskapostittajaksi:<br />
<br />
<!--T:80--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:81--><br />
smtpd_client_restrictions = reject_rbl_client dnsbl.sorbs.net<br />
<br />
=== SMTPS SASL todennus === <!--T:82--> <br />
<br />
<!--T:83--><br />
Lisäämällä seuraava rivi, niin estät sähköpostin välitykset muusta kuin omasta verkostasi. SASL tunnistuksen avulla voit lähettää muustakin verkosta<br />
<br />
<!--T:84--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:85--><br />
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject<br />
<br />
Hyödynnä Dovecottia SASL todennuksessa. Tämä toimii siis Dovecotin todennuksen kanssa.<br />
<br />
<pre><br />
# SASL authentication<br />
smtpd_sasl_auth_enable=yes<br />
smtpd_sasl_type = dovecot<br />
smtpd_sasl_path = private/auth<br />
smtpd_sasl_security_options = noanonymous<br />
smtpd_sasl_tls_security_options = noanonymous<br />
</pre><br />
<br />
Lisäksi poista risuaita tiedostosta<br />
<br />
nano /etc/dovecot/conf.d/10-master.conf<br />
<br />
kohdasta<br />
<br />
<pre><br />
# Postfix smtp-auth<br />
unix_listener /var/spool/postfix/private/auth {<br />
mode = 0666<br />
user = postfix<br />
group = postfix<br />
<br />
}<br />
</pre><br />
<br />
<!--T:86--><br />
[[nano]] /etc/postfix/master.cf<br />
<br />
<!--T:87--><br />
Ota seuraavilta riveiltä risuaita pois submission ja smtps kohdasta. Jos haluat SMTP portille myös audikoinnin, lisää tämä seuraavat rivi sen alle.<br />
<br />
<!--T:88--><br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
<br />
=== TLS (STARTSSL) === <!--T:89--><br />
<br />
<!--T:90--><br />
Esimerkki konfiguraatio tiedostosta /etc/postfix/main.cf<br />
<br />
<!--T:91--><br />
<pre><br />
smtpd_use_tls=yes<br />
smtpd_tls_security_level = may<br />
smtp_tls_security_level = may<br />
smtpd_tls_cert_file=/etc/ssl/postfix.cert<br />
smtpd_tls_key_file=/etc/ssl/postfix.key<br />
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt<br />
smtpd_tls_security_level = may<br />
smtpd_tls_auth_only = yes<br />
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache<br />
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3<br />
smtpd_tls_protocols=!SSLv2,!SSLv3,TLSv1,TLSv1.1,TLSv1.2<br />
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 , DES, ADH, !RC4, PSD, SRP, 3DES, eNULL<br />
smtpd_tls_mandatory_ciphers = high<br />
tls_high_cipherlist = AES128+EECDH:AES128+EDH<br />
</pre><br />
<br />
<!--T:92--><br />
Ota käyttöön Submission kohdasta risuaidat pois.<br />
<br />
<!--T:93--><br />
Testaa STARTSSL: https://starttls.info/<br />
<br />
https://checktls.com/<br />
https://ssl-tools.net/mailservers/<br />
<br />
Testaa openssl_client komennolla toimivuuksia<br />
<br />
openssl s_client -connect mail.example.org:587<br />
<br />
==== TLS-Policy ====<br />
<br />
TLS Policyllä eli säännöillä voidaan määrittää missä sivuilla esimerkiksi on pakotettu TLS käyttöön ja missä vaihtoehtoisesti.<br />
<br />
Lisää tämä main.conf tiedostoon<br />
<br />
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy<br />
<br />
Luo tiedosto /etc/postfix/tls_policy . Policyyn määritetään domainit jossa on pakotettu salaus encrypt määritteellä. Testaa lähettämällä gmailiin niin gmail ilmoittaa että sähköposti on salattu.<br />
<br />
<pre><br />
gmail.com encrypt<br />
.gmail.com encrypt<br />
ssl-tools.net encrypt<br />
.ssl-tools.net encrypt<br />
</pre><br />
<br />
Hash sisältö postmap komennolla<br />
<br />
sudo postmap /etc/postfix/tls_policy<br />
<br />
Lataa Postfix konfiguraatio uudelleen<br />
<br />
sudo service postfix reload<br />
<br />
=== Poista lähtevistä sähköposteistä asiakkaan header-tiedot ===<br />
<br />
Tällä tarkoituksena on poistaa esimerkiksi sähköpostiasiakasohjelmalla lähtevien IP-osoitteet suojaten yksityisyyttä. Tiedot kuitenkin tallentuu palvelimen lokiin normaalisti.<br />
<br />
Asenna Postfix-pcre <br />
<br />
sudo apt install postfix-pcre<br />
<br />
Luo uusi tiedosto smtp_header_checks<br />
<br />
sudo nano /etc/postfix/smtp_header_checks<br />
<br />
Ja lisää tiedostoon<br />
<br />
<pre><br />
/^\s*(Received: from)[^\n]*(.*)/ REPLACE $1 [127.0.0.1] (localhost [127.0.0.1])$2<br />
/^\s*User-Agent/ IGNORE<br />
/^\s*X-Enigmail/ IGNORE<br />
/^\s*X-Mailer/ IGNORE<br />
/^\s*X-Originating-IP/ IGNORE<br />
</pre><br />
<br />
Tämä muuttaa from-headeristä kaikki IP-osoitteet 127.0.0.1:seksi. Poistaa asiakasohjelman User-Agentin yms tiedot.<br />
<br />
Lisää tämän jälkeen Postfixin main.conf tiedostoon rivi<br />
<br />
smtp_header_checks = pcre:/etc/postfix/smtp_header_checks<br />
<br />
Ja lataa konfiguraatio uudelleen<br />
<br />
sudo service postfix reload<br />
<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== Telia Postipalvelimen käytössä Relaynä - SMTPS == <!--T:94--><br />
<br />
<!--T:95--><br />
Postfixissä on tuki SSL yhteydelle TLS:n kanssa mutta ei pelkästään SSL kanssa. Tämä seuraava ohje on pelkästään SSL, mutta jos on tuki TLS salaukselle, on suositeltavaa käyttää sitä.<br />
<br />
<!--T:96--><br />
Ohjeen lähde: http://www5.sonera.fi/keskustele/viewtopic.php?f=59&t=9210<br />
<br />
<!--T:97--><br />
SMTPS on salattu SMTP yhteys ja nykyisin suositus olisi käyttää tätä ominaisuutta. <br />
<br />
<!--T:98--><br />
Esimerkkinä on Soneran verkko:<br />
<br />
<!--T:100--><br />
relayhost = [mail.inet.fi]<br />
<br />
<!--T:101--><br />
Nyt olisi aika siirtyä salattuun postiin ja tämä on hieman hankalempi, kun Soneran omat postipalvelimet eivät tue TLS salausta. Postfix ei tue SSL salausta, mutta asennetaan pieni kiertotie niin se onnistuu.<br />
<br />
<!--T:102--><br />
Asennetaan ensin Stunnel<br />
<br />
<!--T:103--><br />
[[aptitude]] install stunnel<br />
<br />
<!--T:104--><br />
Luodaan tiedosto /etc/stunnel/postfix.conf ja kopioi alla oleva koodi:<br />
<br />
<!--T:105--><br />
[ssmtp_c2s]<br />
accept = 127.0.0.1:10111<br />
client = yes<br />
connect = mail.inet.fi:465<br />
delay = yes <br />
<br />
<!--T:106--><br />
ja tämän jälkeen avaa tiedosto: /etc/default/stunnel ja muuta se seuraavanlaiseksi:<br />
<br />
<!--T:107--><br />
# Change to one to enable stunnel automatic startup<br />
# MUUTOS<br />
#ENABLED=0<br />
ENABLED=1<br />
FILES="/etc/stunnel/*.conf"<br />
OPTIONS=""<br />
<br />
# Change to one to enable ppp restart scripts<br />
PPP_RESTART=0<br />
<br />
<!--T:108--><br />
Tämän jälkeen muokkaa /etc/postfix/main.cf seuraavanlaiseksi:<br />
<br />
<!--T:109--><br />
relayhost = 127.0.0.1:10111<br />
<br />
# SASL authentication<br />
smtp_sasl_auth_enable=yes<br />
smtp_sasl_password_maps = hash:/etc/postfix/passwd<br />
smtp_sasl_security_options = noanonymous<br />
smtp_sasl_tls_security_options = noanonymous<br />
<br />
# TLS<br />
smtp_tls_eccert_file =<br />
smtp_tls_eckey_file =<br />
# http://www.postfix.org/TLS_README.html#client_tls_may<br />
smtp_tls_security_level = may<br />
smtpd_tls_received_header = yes<br />
tls_random_source = dev:/dev/urandom<br />
# http://www.postfix.org/TLS_README.html#client_tls_may<br />
smtpd_tls_security_level = may<br />
<br />
Luo tiedosto /etc/postfix/passwd ja kirjoita siihen Soneran sähköpostisi käyttäjätunnus ja salasana<br />
<br />
<!--T:110--><br />
mail.inet.fi:465 KÄYTTÄJÄTUNNUS:SALASANA<br />
<br />
<!--T:111--><br />
Esimerkiksi:<br />
<br />
<!--T:112--><br />
mail.inet.fi:465 etunimi.sukunimi@pp1.inet.fi:taisto<br />
<br />
<!--T:113--><br />
Tämän jälkeen anna tämä komento:<br />
<br />
<!--T:114--><br />
postmap hash:/etc/postfix/passwd<br />
<br />
<!--T:115--><br />
Kokeile toimiiko antamalla seuraava komento:<br />
<br />
<!--T:116--><br />
postmap -q mail.inet.fi:465 /etc/postfix/passwd<br />
<br />
<!--T:117--><br />
Jos komento tulostaa käyttäjätunnuksesi ja salasanasi, kaikki toimii tähän asti<br />
<br />
<br />
<!--T:118--><br />
Estä muiden käyttäjien näkemästä salasanaasi:<br />
<br />
<!--T:119--><br />
chmod go-rwx /etc/postfix/passwd*<br />
<br />
<!--T:120--><br />
Käynnistä lopuksi palvelut uudelleen<br />
<br />
<!--T:121--><br />
service stunnel4 restart<br />
<br />
<!--T:122--><br />
service postfix restart<br />
<br />
== Varasähköpostipalvelin ==<br />
<br />
Varasähköpostipalvelimen avulla varmistat ettei sähköpostit häviä jos ensisijainen sähköpostipalvelin ei olisikaan verkossa. Varasähköpostipalvelimia voi olla useita ja ne tallentavat sähköpostit jonotus listalle odottamaan kunnes ensisijainen sähköpostipalvelin palaa takaisin toimintaan.<br />
<br />
Sinun tulee määrittää MX tietueet DNS palveluun. MX1 on ensisijainen palvelin ja MX2 on toissijainen palvelin. Priority arvolla määritetään mikä palvelin on ensisijainen ja toissijaiset. Pienin arvo (10) on ensisijainen ja suurin arvo (20) on toissijainen.<br />
<br />
<pre><br />
example.com. 86400 IN MX 10 mx1.example.com.<br />
example.com. 86400 IN MX 20 mx2.example.com.<br />
</pre><br />
<br />
Konfiguroidessa MX2 palvelimesta varapalvelin, sinun tulee konfiguroida main.cf tiedostoon<br />
<br />
nano /etc/postfix/main.cf<br />
<br />
Määritä seuraavanlaiset konfiguraatiot. smtpd_recipient_restrictions tulee olla permit_mynetworks ja reject_unauth_destination. Relay_domainissa tulee olla example.org, eli domain joka ohjataan eteenpäin. Tämä määrittää mikä sähköpostidomainien postit ohjataan eteenpäin. relay_recipient_maps tulee olla tyhjä.<br />
<br />
<pre><br />
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination<br />
<br />
relay_domains = $mydestination, example.com<br />
<br />
relay_recipient_maps =<br />
</pre><br />
<br />
Varmista että seuraavat parametrit ovat tyhjiä: mydestination, virtual_alias_domains, virtual_mailbox_domains<br />
<br />
Käynnistä palvelu uudelleen<br />
<br />
service postfix restart<br />
<br />
Testaa sammuttamalla pääsähköpostipalvelin ja lähetä example.org osoitteelle sähköpostia. mail.log voit seurata toimiiko sähköpostit oikein.<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== SPF ==<br />
<br />
SPF tarkoitus ilmoittaa että mistä IP:stä tai osoitteesta on sallittua lähettää tällä domainilla sähköpostia. Tällä vaikeutetaan roskapostittajien ns. domain väärentämisiä. <br />
<br />
Voit luoda tietueet täältä: http://www.spfwizard.net/<br />
<br />
Esimerkki (sallitaan A recordista mail.example.org joka on meidän oma postipalvelin ja estetään muista palvelimista sekä MX palvelimista jotka nimipalvelusta löytyy:<br />
<br />
v=spf1 mx a:mail.example.org -all<br />
<br />
Lisää tietue nimipalveluun. Kysy lisää palveluntarjoajaltasi.<br />
<br />
Asenna sitten Postfix palvelimeesi<br />
<br />
sudo apt install postfix-policyd-spf-python<br />
<br />
Lisää master.cf tiedostoon loppuun<br />
<br />
<pre><br />
policyd-spf unix - n n - 0 spawn<br />
user=policyd-spf argv=/usr/bin/policyd-spf<br />
</pre><br />
<br />
Konfiguroi main.cf. <br />
<br />
<pre><br />
policyd-spf_time_limit = 3600<br />
<br />
<br />
<br />
smtpd_recipient_restrictions =<br />
...<br />
reject_unauth_destination,<br />
check_policy_service unix:private/policyd-spf,<br />
...<br />
</pre><br />
<br />
Varmista että 'check_policy_service' on '''jälkeen''' 'reject_unauth_destination' estääksesi avoimen postipalvelun (käytetään muuten palvelintasi roskapostittamiseen).<br />
<br />
== Opendkim ==<br />
<br />
DKIM (DomainKeys Identified Mail):in avulla estät sähköpostien väärentämisen lisäämällä digitaalisen allekirjoituksen lähtevissä posteissa. Tässä käytetään yksityistä avainta salatakseen lähtevän postin headerin ja julkinen avain lisätään DNS:ään. Vastaanottaja palvelin voi täältä DNS:stä hakea julkisen avaimen ja näin varmistaa että sähköposti tulee oikealta palvelimelta eikä ole muuttunut matkalla. <br />
<br />
Asenna openkim<br />
<br />
<pre><br />
sudo apt-get update<br />
sudo apt-get dist-upgrade<br />
sudo apt-get install opendkim opendkim-tools<br />
</pre><br />
<br />
Lisää Postfix käyttäjä Opendkim ryhmään<br />
<br />
sudo adduser postfix opendkim<br />
<br />
=== Opendkim konfigurointi ===<br />
<br />
Avaa konfigurointi tiedosto<br />
<br />
sudo nano /etc/opendkim.conf<br />
<br />
Konfiguraatio tulisi näyttää tältä:<br />
<br />
<pre><br />
# This is a basic configuration that can easily be adapted to suit a standard<br />
# installation. For more advanced options, see opendkim.conf(5) and/or<br />
# /usr/share/doc/opendkim/examples/opendkim.conf.sample.<br />
<br />
# Log to syslog<br />
Syslog yes<br />
# Required to use local socket with MTAs that access the socket as a non-<br />
# privileged user (e.g. Postfix)<br />
UMask 002<br />
# OpenDKIM user<br />
# Remember to add user postfix to group opendkim<br />
UserID opendkim<br />
<br />
# Map domains in From addresses to keys used to sign messages<br />
KeyTable /etc/opendkim/key.table<br />
SigningTable refile:/etc/opendkim/signing.table<br />
<br />
# Hosts to ignore when verifying signatures<br />
ExternalIgnoreList /etc/opendkim/trusted.hosts<br />
InternalHosts /etc/opendkim/trusted.hosts<br />
<br />
# Commonly-used options; the commented-out versions show the defaults.<br />
Canonicalization relaxed/simple<br />
Mode sv<br />
SubDomains no<br />
#ADSPAction continue<br />
AutoRestart yes<br />
AutoRestartRate 10/1M<br />
Background yes<br />
DNSTimeout 5<br />
SignatureAlgorithm rsa-sha256<br />
<br />
# Always oversign From (sign using actual From and a null From to prevent<br />
# malicious signatures header fields (From and/or others) between the signer<br />
# and the verifier. From is oversigned by default in the Debian package<br />
# because it is often the identity key used by reputation systems and thus<br />
# somewhat security sensitive.<br />
OversignHeaders From<br />
</pre><br />
<br />
Määritä konfigurointi tiedostolle oikeudet<br />
<br />
sudo chmod u=rw,go=r /etc/opendkim.conf<br />
<br />
Luo hakemisto opendkim:ille, avaimille sekä määritä niille oikeudet<br />
<br />
<pre><br />
sudo mkdir /etc/opendkim<br />
sudo mkdir /etc/opendkim/keys<br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod go-rw /etc/opendkim/keys<br />
</pre><br />
<br />
=== Avainten luonti ===<br />
<br />
Luo avainten allekirjoitustaulu. Tiedostossa tulee olla jokaisella riville domain mitä haluat käyttää<br />
<br />
sudo nano /etc/opendkim/signing.table<br />
<br />
<pre><br />
*@example.com example<br />
</pre><br />
<br />
Korvaa example sinun omallasi domainilla. Ensimmäinen osuus @example.org täsmää sähköpostiosoitteeseesi. <br />
<br />
Luo ja avaa key.table tiedosto. Korvaa example.org omalla verkkotunnuksella<br />
<br />
sudo nano /etc/opendkim/key.table<br />
<br />
<pre><br />
example example.com:mail:/etc/opendkim/keys/example.com/mail.private<br />
</pre><br />
<br />
Korvaa example sillä mitä käytit signing.table:ssa "mail" on DNS recordi jonka kirjoitat DNS:sään.<br />
<br />
Luo trusted.hosts tiedosto. <br />
<br />
sudo nano /etc/opendkim/trusted.hosts<br />
<br />
<pre><br />
127.0.0.1<br />
::1<br />
localhost<br />
myhostname<br />
myhostname.example.com<br />
example.com<br />
</pre><br />
<br />
Korvaa myhostname palvelimen nimelläsi ja example domainillasi.<br />
<br />
Määritä oikeudet hakemistoihin<br />
<br />
<pre><br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod -R go-rwx /etc/opendkim/keys<br />
</pre><br />
<br />
Luodaan nyt avaimet DKIMiä varten<br />
<br />
<pre><br />
sudo mkdir /etc/opendkim/keys/example.com<br />
cd /etc/opendkim/keys/example.com/<br />
sudo opendkim-genkey -b 2048 -s mail -d example.com -v<br />
</pre><br />
<br />
Mikäli nimipalvelin ei tue 2048 bittistä niin sitten käytä 1024 bittistä<br />
<br />
sudo opendkim-genkey -b 1024 -s mail -d example.org -v<br />
<br />
Määritä vielä rekurssiiviset oikeudet hakemistoihin<br />
<br />
<pre><br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod -R go-rw /etc/opendkim/keys<br />
</pre><br />
<br />
Käynnistä Opendkim uudelleen<br />
<br />
sudo service opendkim restart<br />
<br />
=== Konfiguroi DNS ===<br />
<br />
Avaa nyt mail.txt tiedosto<br />
<br />
sudo cat /etc/opendkim/keys/example.com/mail.txt<br />
<br />
Tee nimipalvelimeen TXT recordi, esim:<br />
<br />
<pre><br />
mail._domainkey.example.com IN TXT v=DKIM1; k=rsa; s=email; p=<avain><br />
</pre><br />
<br />
Korvaa example.com ja <avain> tiedoston sisällöllä ja domainilla. <br />
<br />
Testaa<br />
<br />
sudo opendkim-testkey -d example.com -s mail<br />
<br />
Jos kaikki on OK sinun ei tulisi saada ollenkaan mitään tulostusta. <br />
<br />
=== Opendkim konfigurointi Postfixiin ===<br />
<br />
Luo hakemisto<br />
<br />
<pre><br />
sudo mkdir /var/spool/postfix/opendkim<br />
sudo chown opendkim:postfix /var/spool/postfix/opendkim<br />
</pre><br />
<br />
Määritä oikea soketti opendkim:ille<br />
<br />
sudo nano /etc/default/opendkim<br />
<br />
Varmista että kaikki on kommentoitu ja lisää alla oleva tiedostoon<br />
<br />
SOCKET="local:/var/spool/postfix/opendkim/opendkim.sock"<br />
<br />
Konfiguroi seuraavaksi main.cnf tiedostoon opendkim asetuksia<br />
<br />
sudo nano /etc/postfix/main.cnf<br />
<br />
<pre><br />
# Milter configuration<br />
# OpenDKIM<br />
milter_default_action = accept<br />
milter_protocol = 6<br />
smtpd_milters = local:/var/spool/postfix/opendkim/opendkim.sock<br />
non_smtpd_milters = local:/var/spool/postfix/opendkim/opendkim.sock<br />
</pre><br />
<br />
Käynnistä Postfix ja Opendkim uudelleen<br />
<br />
sudo service postfix restart<br />
<br />
sudo service opendkim restart<br />
<br />
Testaa toimiiko kaikki lähettämällä tyhjän sähköpostin: check-auth@verifier.port25.com . Saat paluupostina viestin jossa näet toimiiko vai ei.<br />
<br />
== Opendmarc ==<br />
<br />
Opendmarcin avulla voit tarkistaa Postfixissä Dmarc-tietueen.<br />
<br />
sudo apt install opendmarc<br />
<br />
Kopioi alkuperäinen konfiguraatio talteen<br />
<br />
sudo mv /etc/opendmarc.conf /etc/opendmarc.conf.bak<br />
<br />
Luo uusi tiedosto<br />
<br />
sudo nano /etc/opendmarc.conf<br />
<br />
Tässä on esimerkkikonfiguraatio<br />
<br />
<pre><br />
AutoRestart Yes<br />
AutoRestartRate 10/1h<br />
<br />
UserID postfix:postfix<br />
Socket inet:54321@localhost<br />
Syslog true<br />
SyslogFacility mail<br />
<br />
AuthservID mail.example.org<br />
#TrustedAuthservIDs other.mail.server, another.mail.server<br />
IgnoreHosts /etc/opendkim/trusted.hosts<br />
<br />
FailureReportsSentBy postmaster@example.org<br />
FailureReportsBcc postmaster@example.org<br />
<br />
RejectFailures false<br />
</pre><br />
<br />
Lisää tämä /etc/default/opendmarc tiedostoon<br />
<br />
SOCKET="inet:54321@localhost"<br />
<br />
Lisää tämä /etc/postfix/main.conf tiedostoon kohtaan smttpd_milters<br />
<br />
smtpd_milters = inet:localhost:54321<br />
<br />
Käynnistä Postfix ja Opendmarc uudelleen<br />
<br />
sudo service opendmarc restart<br />
sudo service postfix restart<br />
<br />
== Postfix toiminta PHP5 kanssa == <!--T:123--><br />
<br />
<!--T:124--><br />
PHP5 sisältää mail funktion. Sinun tulee konfiguroida php.ini tiedostoa <br />
<br />
<!--T:125--><br />
nano /etc/php5/apache2/php.ini<br />
<br />
<!--T:126--><br />
ja muuttaa se tälläiseksi:<br />
<br />
<!--T:127--><br />
; For Unix only. You may supply arguments as well (default: "sendmail -t -i").<br />
; http://php.net/sendmail-path<br />
sendmail_path = "/usr/sbin/sendmail -t -i"<br />
<br />
<!--T:128--><br />
ja käynnistä apache uudelleen<br />
<br />
<!--T:129--><br />
service apache2 restart<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== Postfix AD ==<br />
<br />
Hyvä ohje löytyy ICT-academyn [http://ict-academy.fi/index.php?title=Postfix_Dovecot_ClamAv_Spamassassin#Postfixin_liitt.C3.A4minen_AD:seen Wikistä]<br />
<br />
== Postqueue komentoja ==<br />
<br />
postqueue avulla voit hallinnoida postin liikennettä, esimerkiksi voit estää tietyn lähettäjän s.postien lähtemisen tai saapumisen poistamalla ne<br />
<br />
postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /username@example\.org/ { print $1 }' | tr -d '*!' | postsuper -d -<br />
<br />
Poistaa tietyltä domainilta<br />
<br />
postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /@example\.org/ { print $1 }' | tr -d '*!' | postsuper -d -<br />
<br />
Poistaa kaikki s.postit<br />
<br />
postsuper -d ALL<br />
<br />
Valmiita scriptejä: https://www.saotn.org/delete-mailer-daemon-emails-from-postfix-queue/<br />
<br />
<pre><br />
#!/bin/bash<br />
EMAILADDY=$1<br />
<br />
if [ -z "$EMAILADDY" ]<br />
then<br />
echo "Usage: $0 <email address>"<br />
exit<br />
fi<br />
<br />
echo "Delete all emails addressed to $EMAILADDY from our Postfix queue."<br />
<br />
mailq | tail -n +2 | grep -v '^ *(' | awk -v "address=$EMAILADDY" 'BEGIN { RS = "" }<br />
{<br />
# example conditions:<br />
# if ( $7 == address && $8 == "" )<br />
# if ( $7 == address || $8 == address )<br />
if ( $7 == address )<br />
print $1<br />
}<br />
' | tr -d '*!' | postsuper -d -<br />
</pre><br />
<br />
Voit käyttää tätä ajamalla<br />
<br />
sh mailq2delete.sh username@example.org<br />
<br />
== Virheilmoituksia == <!--T:130--><br />
<br />
Ongelmien sattuessa kannattaa lukea palvelimen lokia:<br />
<br />
/var/log<br />
<br />
<!--T:148--><br />
Tässä lista yleisistä virheilmoituksista mitä ilmenee usein postfixin konfiguroinnista:<br />
<br />
=== Sender address rejected: Domain not found (in reply to RCPT TO command === <!--T:149--><br />
<br />
<!--T:150--><br />
myorigin on määritetty väärin /etc/mailname tiedostosta. Tämän tulee olemaan domainin nimi.<br />
<br />
<!--T:151--><br />
myorigin /etc/mailname<br />
<br />
<!--T:152--><br />
example.com <br />
<br />
=== Client host rejected: Access denied=== <!--T:153--><br />
<br />
<!--T:154--><br />
Relayhost on estänyt sinut, ehkä roskapostien takia.<br />
<br />
=== connect to mx3.hotmail.com[65.55.37.104]:25: No route to host === <!--T:155--><br />
<br />
<!--T:156--><br />
Tarkista Relayhost main.cf tiedostossa. Mahdollisesti sinulla on suljettu suoraan portti 25.<br />
<br />
=== Host or domain name not found. Name service error for name=gmail.con type=A: Host not found === <!--T:157--><br />
<br />
<!--T:158--><br />
DNS Virhe. Tarkista resolv.conf tiedostossa määriteytyt DNS asetukset. Kokeile nslookup komentoa.<br />
<br />
=== Invalid mail address, must be fully qualified domain (in reply to RCPT TO command)) === <!--T:159--><br />
<br />
<!--T:160--><br />
Isäntänimessä ongelma. Varmista että DNS on oikein määritetty ja isäntänimi main.cf tiedostossa.<br />
<br />
=== unable to verify address (in reply to MAIL FROM command)) === <!--T:161--><br />
<br />
<!--T:162--><br />
DNS ongelma. Varmista että sinulla on määritetty oikein A-records DNS palvelimelle ja MX-records. Tarkista /etc/hosts tiedosto. Korjaus:<br />
<br />
<!--T:163--><br />
nano /etc/hosts<br />
<br />
<!--T:164--><br />
127.0.0.1 localhost mail.example.com server<br />
127.0.1.1 example.com mail.example.com server<br />
<br />
== Lähteet == <!--T:140--><br />
<br />
<!--T:141--><br />
http://www.postfix.org/<br />
<br />
<!--T:142--><br />
https://wiki.debian.org/Postfix<br />
<br />
<!--T:143--><br />
http://www.sami-lehtinen.net/blog/securing-email-transport-starttls-postfix-ca-certificates-fingerprint-authority<br />
<br />
http://ary.kleinerman.org/posts/how-to-install-and-setup-a-powerful-mail-server-on-linux/<br />
<br />
</translate></div>
Minh
https://taisto.org/index.php?title=Postfix&diff=63897
Postfix
2018-09-18T17:31:09Z
<p>Minh: /* Avainten luonti */</p>
<hr />
<div><languages/><br />
<translate><br />
<!--T:1--><br />
Postfix on sähköpostin välitysohjelmisto (MTA). Postfix on avoimen lisenssillä varustettu ohjelmisto. Tietoturvallisessa ja suorituskykyisessä Postfixissä on hyvä roskapostin suodatus. <br />
<br />
<!--T:2--><br />
Suosittelemme käyttämään myös [[Spamassassin]] ja [[Amavis]] suojaamaan sähköpostipalvelinta roskapostittajilta.<br />
<br />
== Asennus == <!--T:3--><br />
<br />
<!--T:4--><br />
[[aptitude]] install postfix<br />
<br />
<!--T:5--><br />
Seuraa asennusohjelman ohjeita<br />
<br />
<!--T:6--><br />
[[Tiedosto:postfix1.png]]<br />
<br />
<br />
<!--T:7--><br />
Tämän jälkeen sinun tulee antaa palvelimen isäntänimi<br />
<br />
<!--T:8--><br />
esimerkiksi:<br />
<br />
<!--T:9--><br />
mail.example.com<br />
<br />
== Konfigurointi == <!--T:10--><br />
<br />
<br />
<!--T:11--><br />
Avaa konfigurointi tiedosto:<br />
<br />
<!--T:12--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:13--><br />
Tarkista postifixin konfigurointi tiedostossa on määritetty tietokoneen isäntänimi ja palvelimen osoite<br />
<br />
<!--T:14--><br />
myhostname = server.example.com<br />
alias_maps = hash:/etc/aliases<br />
alias_database = hash:/etc/aliases<br />
myorigin = example.com<br />
mydestination = example.com, server.example.com, localhost, localhost.example.com$<br />
#relayhost =<br />
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128<br />
mailbox_command = procmail -a "$EXTENSION"<br />
mailbox_size_limit = 0<br />
recipient_delimiter = +<br />
inet_interfaces = all<br />
<br />
<!--T:15--><br />
Tallenna tiedosto ja avaa seuraavaksi tiedosto<br />
<br />
<!--T:16--><br />
nano /etc/postfix/master.cf<br />
<br />
<!--T:17--><br />
Oletuksena master.cf tiedostossa on sallittu normaali SMTP yhteys portissa 25.<br />
<br />
<!--T:18--><br />
smtp inet n - - - - smtpd<br />
<br />
<br />
<!--T:19--><br />
Oletuksena seuraavat ovat risuaidalla merkitty (#).<br />
<br />
<!--T:20--><br />
Ota käyttöön poistamalla risuaita 587 portissa tapahtuva SMTP tiedonsiirtoa. Sillä voi myös siirtää salattua liikennettä komennolla STARTTLS.<br />
<br />
<!--T:21--><br />
submission inet n - - - - smtpd<br />
-o syslog_name=postfix/submission<br />
-o smtpd_tls_security_level=encrypt<br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
-o milter_macro_daemon_name=ORIGINATING<br />
<br />
<!--T:22--><br />
Ota käyttöön poistamalla risuaita SMTPS yhteys (portissa 465). SSL salaus käytetään tässä yhteydessä oletuksena. SASL todennusta suositellaan käytettäväksi.<br />
<br />
<!--T:23--><br />
smtps inet n - - - - smtpd<br />
-o syslog_name=postfix/smtps<br />
-o smtpd_tls_wrappermode=yes<br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
-o milter_macro_daemon_name=ORIGINATING<br />
<br />
=== Selitetään: === <!--T:24--><br />
<br />
<!--T:25--><br />
Palvelimesi nimi (tarkista että on sama kuin hostname (komento: hostname)):<br />
myhostname = server.example.com<br />
Kirjautumisen tunnukset = sama kuin Debian. Ei muuteta<br />
alias_maps = hash:/etc/aliases<br />
alias_database = hash:/etc/aliases<br />
Domain (määritetään palvelimesi sähköpostiosoitteeseen username@example.com). Oletuksena määritetty /etc/mailname:<br />
myorigin = example.com<br />
Tietokoneen isäntänimet:<br />
mydestination = example.com, server.example.com, localhost, localhost.example.com$<br />
#relayhost = 127.0.0.1:10111<br />
Tämä vaaditaan jos ei ole suoraa yhteyttä verkkoon. <br />
<br />
<!--T:26--><br />
Esimerkkinä Soneran postipalvelin:<br />
relayhost = [mail.inet.fi]:25<br />
<br />
<!--T:27--><br />
DNA postipalvelin:<br />
relayhost = [smtp.dnainternet.net]:25<br />
<br />
<br />
<!--T:28--><br />
Lähiverkkosi:<br />
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128<br />
mailbox_command = procmail -a "$EXTENSION"<br />
mailbox_size_limit = 0<br />
recipient_delimiter = +<br />
Verkkoliitännät<br />
inet_interfaces = all<br />
<br />
<!--T:29--><br />
Sulje tiedosto ja käynnistä postfix uudelleen<br />
<br />
<!--T:30--><br />
service postfix restart<br />
<br />
== Lisäasetukset == <!--T:31--><br />
<br />
=== Virtuaali sähköpostiosoitteet === <!--T:32--><br />
<br />
<!--T:33--><br />
Voit ohjata virtuaali sähköpostiosoitteet esimerkiksi webmaster@example.com ja postmaster@example.com omalle käyttäjällesi.<br />
<br />
<!--T:34--><br />
Avaa tiedosto:<br />
<br />
<!--T:35--><br />
/etc/aliases<br />
<br />
<!--T:36--><br />
# /etc/aliases<br />
mailer-daemon: postmaster<br />
postmaster: root<br />
nobody: root<br />
hostmaster: root<br />
usenet: root<br />
news: root<br />
webmaster: root<br />
www: root<br />
ftp: root<br />
abuse: root<br />
noc: root<br />
security: root<br />
root = [username]<br />
<br />
<!--T:37--><br />
Muuttamalla [username] kohta omaksi käyttäjätiliksi saat kaikki näiden käyttäjätilien sähköpostit samaan sähköpostilaatikkoon. Voit lisätä muitakin osoitteita tiedoston loppuun:<br />
<br />
<!--T:38--><br />
[alias_postinimi] = [käyttäjälle]<br />
<br />
<!--T:39--><br />
Vahvista muutokset<br />
<br />
<!--T:40--><br />
newaliases<br />
<br />
=== Virtuaali domainit === <!--T:41--><br />
<br />
<!--T:42--><br />
Virtuaaliset domainit siis ovat tarkoitettu sähköpostipalvelimelle joka lähettää ja vastaanottaa usealle eri domainille.<br />
<br />
<br />
<!--T:43--><br />
Avaa Postfixin konfigurointi tiedosto main.cf<br />
<br />
<!--T:44--><br />
/etc/postfix/main.cf<br />
<br />
<!--T:45--><br />
Lisää seuraavat rivit:<br />
<br />
<!--T:46--><br />
virtual_alias_domains = example.com<br />
virtual_alias_maps = hash:/etc/postfix/virtual<br />
<br />
<!--T:47--><br />
Luo uusi tiedosto<br />
<br />
<!--T:48--><br />
postmaster@example.com postmaster<br />
info@example.com matti<br />
sales@example.com kalle<br />
# Uncomment entry below to implement a catch-all address<br />
# @example.com aleksi<br />
<br />
<!--T:49--><br />
Älä lisää virtual_alias_domain:ia mydestination domainiksi!<br />
<br />
=== Sähköpostin uudelleenohjaus === <!--T:50--><br />
<br />
<!--T:51--><br />
Sähköpostin uudelleenohjaus matti@example.com -> matti.example2.com esimerkiksi.<br />
<br />
<!--T:52--><br />
Avaa Postfixin konfigurointi tiedosto main.cf<br />
<br />
<!--T:53--><br />
/etc/postfix/main.cf:<br />
<br />
<!--T:54--><br />
Lisää seuraavat rivit tiedostoon:<br />
<br />
<!--T:55--><br />
virtual_alias_domains = example.com<br />
virtual_alias_maps = hash:/etc/postfix/virtual<br />
<br />
<!--T:56--><br />
Luo uusi tiedosto<br />
<br />
<!--T:57--><br />
/etc/postfix/virtual:<br />
<br />
<!--T:58--><br />
Lisää seuraavat rivit tiedostoon<br />
postmaster@example.com postmaster<br />
matti@example.com matti@example2.com<br />
aleksi@example.com aleksi@example3.com<br />
# Uncomment entry below to implement a catch-all address<br />
# @example.com jim@yet-another-site<br />
<br />
<!--T:59--><br />
Uudelleenohjattava sähköpostin domain tulee olla mydestination merkitty. Et voi uudelleenohjata aliaksia /etc/alias<br />
<br />
<!--T:60--><br />
Tarkista konfiguraatio<br />
<br />
<!--T:61--><br />
postmap /etc/postfix/virtual<br />
<br />
== Testataan Postfixin toimintaa == <!--T:62--><br />
<br />
<!--T:63--><br />
Lähetetään testisähköposti:<br />
<br />
<!--T:64--><br />
Asenna tämä sähköpostityökälut jos ei ole asennettu:<br />
<br />
<!--T:65--><br />
apt-get install mailutils<br />
<br />
<!--T:66--><br />
ja sen jälkeen lähetetään sähköpostia:<br />
<br />
<!--T:67--><br />
mail address@domain.com<br />
<br />
<!--T:68--><br />
Komento tulostaa:<br />
Subject: Aiheesi viestille<br />
<br />
<!--T:69--><br />
Tämän jälkeen kirjoita viesti (ja ENTER) ja tulostuu:<br />
<br />
<!--T:70--><br />
CC: <br />
<br />
<!--T:71--><br />
jonka voi jättää tyhjäksi. Lähetä sähköposti näppäinyhdistelmällä CTRL+D.<br />
<br />
== Sähköpostipalvelimen suojaaminen == <!--T:72--><br />
<br />
<!--T:73--><br />
Kun luot oman sähköpostipalvelimen, sitä pitää heti alkaa suojaamaan ahkerasti roskapostittajia vastaan. Suositus on ottaa myös SASL todennus käyttöön.<br />
<br />
=== Roskapostien suodatus === <!--T:74--> <br />
<br />
<!--T:75--><br />
Lisäämällä seuraava koodi pätkä tarkistaa onko lähettäjän verkkotunnus olemassa:<br />
<br />
<!--T:76--><br />
nano /etc/postfix/main.cf<br />
<br />
<br />
<!--T:77--><br />
smtpd_recipient_restrictions = reject_invalid_hostname,<br />
reject_unknown_recipient_domain,<br />
reject_unauth_destination,<br />
reject_rbl_client sbl.spamhaus.org, # Tämä rivi ei Soneran verkkoon<br />
permit<br />
<br />
<!--T:78--><br />
smtpd_helo_restrictions = reject_invalid_helo_hostname,<br />
reject_non_fqdn_helo_hostname,<br />
reject_unknown_helo_hostname<br />
<br />
<!--T:79--><br />
Ja tämä tarkistaa listan onko verkkotunnus merkitty roskapostittajaksi:<br />
<br />
<!--T:80--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:81--><br />
smtpd_client_restrictions = reject_rbl_client dnsbl.sorbs.net<br />
<br />
=== SMTPS SASL todennus === <!--T:82--> <br />
<br />
<!--T:83--><br />
Lisäämällä seuraava rivi, niin estät sähköpostin välitykset muusta kuin omasta verkostasi. SASL tunnistuksen avulla voit lähettää muustakin verkosta<br />
<br />
<!--T:84--><br />
[[nano]] /etc/postfix/main.cf<br />
<br />
<!--T:85--><br />
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject<br />
<br />
Hyödynnä Dovecottia SASL todennuksessa. Tämä toimii siis Dovecotin todennuksen kanssa.<br />
<br />
<pre><br />
# SASL authentication<br />
smtpd_sasl_auth_enable=yes<br />
smtpd_sasl_type = dovecot<br />
smtpd_sasl_path = private/auth<br />
smtpd_sasl_security_options = noanonymous<br />
smtpd_sasl_tls_security_options = noanonymous<br />
</pre><br />
<br />
Lisäksi poista risuaita tiedostosta<br />
<br />
nano /etc/dovecot/conf.d/10-master.conf<br />
<br />
kohdasta<br />
<br />
<pre><br />
# Postfix smtp-auth<br />
unix_listener /var/spool/postfix/private/auth {<br />
mode = 0666<br />
user = postfix<br />
group = postfix<br />
<br />
}<br />
</pre><br />
<br />
<!--T:86--><br />
[[nano]] /etc/postfix/master.cf<br />
<br />
<!--T:87--><br />
Ota seuraavilta riveiltä risuaita pois submission ja smtps kohdasta. Jos haluat SMTP portille myös audikoinnin, lisää tämä seuraavat rivi sen alle.<br />
<br />
<!--T:88--><br />
-o smtpd_sasl_auth_enable=yes<br />
-o smtpd_client_restrictions=permit_sasl_authenticated,reject<br />
<br />
=== TLS (STARTSSL) === <!--T:89--><br />
<br />
<!--T:90--><br />
Esimerkki konfiguraatio tiedostosta /etc/postfix/main.cf<br />
<br />
<!--T:91--><br />
<pre><br />
smtpd_use_tls=yes<br />
smtpd_tls_security_level = may<br />
smtp_tls_security_level = may<br />
smtpd_tls_cert_file=/etc/ssl/postfix.cert<br />
smtpd_tls_key_file=/etc/ssl/postfix.key<br />
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt<br />
smtpd_tls_security_level = may<br />
smtpd_tls_auth_only = yes<br />
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache<br />
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3<br />
smtpd_tls_protocols=!SSLv2,!SSLv3,TLSv1,TLSv1.1,TLSv1.2<br />
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 , DES, ADH, !RC4, PSD, SRP, 3DES, eNULL<br />
smtpd_tls_mandatory_ciphers = high<br />
tls_high_cipherlist = AES128+EECDH:AES128+EDH<br />
</pre><br />
<br />
<!--T:92--><br />
Ota käyttöön Submission kohdasta risuaidat pois.<br />
<br />
<!--T:93--><br />
Testaa STARTSSL: https://starttls.info/<br />
<br />
https://checktls.com/<br />
https://ssl-tools.net/mailservers/<br />
<br />
Testaa openssl_client komennolla toimivuuksia<br />
<br />
openssl s_client -connect mail.example.org:587<br />
<br />
==== TLS-Policy ====<br />
<br />
TLS Policyllä eli säännöillä voidaan määrittää missä sivuilla esimerkiksi on pakotettu TLS käyttöön ja missä vaihtoehtoisesti.<br />
<br />
Lisää tämä main.conf tiedostoon<br />
<br />
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy<br />
<br />
Luo tiedosto /etc/postfix/tls_policy . Policyyn määritetään domainit jossa on pakotettu salaus encrypt määritteellä. Testaa lähettämällä gmailiin niin gmail ilmoittaa että sähköposti on salattu.<br />
<br />
<pre><br />
gmail.com encrypt<br />
.gmail.com encrypt<br />
ssl-tools.net encrypt<br />
.ssl-tools.net encrypt<br />
</pre><br />
<br />
Hash sisältö postmap komennolla<br />
<br />
sudo postmap /etc/postfix/tls_policy<br />
<br />
Lataa Postfix konfiguraatio uudelleen<br />
<br />
sudo service postfix reload<br />
<br />
=== Poista lähtevistä sähköposteistä asiakkaan header-tiedot ===<br />
<br />
Tällä tarkoituksena on poistaa esimerkiksi sähköpostiasiakasohjelmalla lähtevien IP-osoitteet suojaten yksityisyyttä. Tiedot kuitenkin tallentuu palvelimen lokiin normaalisti.<br />
<br />
Asenna Postfix-pcre <br />
<br />
sudo apt install postfix-pcre<br />
<br />
Luo uusi tiedosto smtp_header_checks<br />
<br />
sudo nano /etc/postfix/smtp_header_checks<br />
<br />
Ja lisää tiedostoon<br />
<br />
<pre><br />
/^\s*(Received: from)[^\n]*(.*)/ REPLACE $1 [127.0.0.1] (localhost [127.0.0.1])$2<br />
/^\s*User-Agent/ IGNORE<br />
/^\s*X-Enigmail/ IGNORE<br />
/^\s*X-Mailer/ IGNORE<br />
/^\s*X-Originating-IP/ IGNORE<br />
</pre><br />
<br />
Tämä muuttaa from-headeristä kaikki IP-osoitteet 127.0.0.1:seksi. Poistaa asiakasohjelman User-Agentin yms tiedot.<br />
<br />
Lisää tämän jälkeen Postfixin main.conf tiedostoon rivi<br />
<br />
smtp_header_checks = pcre:/etc/postfix/smtp_header_checks<br />
<br />
Ja lataa konfiguraatio uudelleen<br />
<br />
sudo service postfix reload<br />
<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== Telia Postipalvelimen käytössä Relaynä - SMTPS == <!--T:94--><br />
<br />
<!--T:95--><br />
Postfixissä on tuki SSL yhteydelle TLS:n kanssa mutta ei pelkästään SSL kanssa. Tämä seuraava ohje on pelkästään SSL, mutta jos on tuki TLS salaukselle, on suositeltavaa käyttää sitä.<br />
<br />
<!--T:96--><br />
Ohjeen lähde: http://www5.sonera.fi/keskustele/viewtopic.php?f=59&t=9210<br />
<br />
<!--T:97--><br />
SMTPS on salattu SMTP yhteys ja nykyisin suositus olisi käyttää tätä ominaisuutta. <br />
<br />
<!--T:98--><br />
Esimerkkinä on Soneran verkko:<br />
<br />
<!--T:100--><br />
relayhost = [mail.inet.fi]<br />
<br />
<!--T:101--><br />
Nyt olisi aika siirtyä salattuun postiin ja tämä on hieman hankalempi, kun Soneran omat postipalvelimet eivät tue TLS salausta. Postfix ei tue SSL salausta, mutta asennetaan pieni kiertotie niin se onnistuu.<br />
<br />
<!--T:102--><br />
Asennetaan ensin Stunnel<br />
<br />
<!--T:103--><br />
[[aptitude]] install stunnel<br />
<br />
<!--T:104--><br />
Luodaan tiedosto /etc/stunnel/postfix.conf ja kopioi alla oleva koodi:<br />
<br />
<!--T:105--><br />
[ssmtp_c2s]<br />
accept = 127.0.0.1:10111<br />
client = yes<br />
connect = mail.inet.fi:465<br />
delay = yes <br />
<br />
<!--T:106--><br />
ja tämän jälkeen avaa tiedosto: /etc/default/stunnel ja muuta se seuraavanlaiseksi:<br />
<br />
<!--T:107--><br />
# Change to one to enable stunnel automatic startup<br />
# MUUTOS<br />
#ENABLED=0<br />
ENABLED=1<br />
FILES="/etc/stunnel/*.conf"<br />
OPTIONS=""<br />
<br />
# Change to one to enable ppp restart scripts<br />
PPP_RESTART=0<br />
<br />
<!--T:108--><br />
Tämän jälkeen muokkaa /etc/postfix/main.cf seuraavanlaiseksi:<br />
<br />
<!--T:109--><br />
relayhost = 127.0.0.1:10111<br />
<br />
# SASL authentication<br />
smtp_sasl_auth_enable=yes<br />
smtp_sasl_password_maps = hash:/etc/postfix/passwd<br />
smtp_sasl_security_options = noanonymous<br />
smtp_sasl_tls_security_options = noanonymous<br />
<br />
# TLS<br />
smtp_tls_eccert_file =<br />
smtp_tls_eckey_file =<br />
# http://www.postfix.org/TLS_README.html#client_tls_may<br />
smtp_tls_security_level = may<br />
smtpd_tls_received_header = yes<br />
tls_random_source = dev:/dev/urandom<br />
# http://www.postfix.org/TLS_README.html#client_tls_may<br />
smtpd_tls_security_level = may<br />
<br />
Luo tiedosto /etc/postfix/passwd ja kirjoita siihen Soneran sähköpostisi käyttäjätunnus ja salasana<br />
<br />
<!--T:110--><br />
mail.inet.fi:465 KÄYTTÄJÄTUNNUS:SALASANA<br />
<br />
<!--T:111--><br />
Esimerkiksi:<br />
<br />
<!--T:112--><br />
mail.inet.fi:465 etunimi.sukunimi@pp1.inet.fi:taisto<br />
<br />
<!--T:113--><br />
Tämän jälkeen anna tämä komento:<br />
<br />
<!--T:114--><br />
postmap hash:/etc/postfix/passwd<br />
<br />
<!--T:115--><br />
Kokeile toimiiko antamalla seuraava komento:<br />
<br />
<!--T:116--><br />
postmap -q mail.inet.fi:465 /etc/postfix/passwd<br />
<br />
<!--T:117--><br />
Jos komento tulostaa käyttäjätunnuksesi ja salasanasi, kaikki toimii tähän asti<br />
<br />
<br />
<!--T:118--><br />
Estä muiden käyttäjien näkemästä salasanaasi:<br />
<br />
<!--T:119--><br />
chmod go-rwx /etc/postfix/passwd*<br />
<br />
<!--T:120--><br />
Käynnistä lopuksi palvelut uudelleen<br />
<br />
<!--T:121--><br />
service stunnel4 restart<br />
<br />
<!--T:122--><br />
service postfix restart<br />
<br />
== Varasähköpostipalvelin ==<br />
<br />
Varasähköpostipalvelimen avulla varmistat ettei sähköpostit häviä jos ensisijainen sähköpostipalvelin ei olisikaan verkossa. Varasähköpostipalvelimia voi olla useita ja ne tallentavat sähköpostit jonotus listalle odottamaan kunnes ensisijainen sähköpostipalvelin palaa takaisin toimintaan.<br />
<br />
Sinun tulee määrittää MX tietueet DNS palveluun. MX1 on ensisijainen palvelin ja MX2 on toissijainen palvelin. Priority arvolla määritetään mikä palvelin on ensisijainen ja toissijaiset. Pienin arvo (10) on ensisijainen ja suurin arvo (20) on toissijainen.<br />
<br />
<pre><br />
example.com. 86400 IN MX 10 mx1.example.com.<br />
example.com. 86400 IN MX 20 mx2.example.com.<br />
</pre><br />
<br />
Konfiguroidessa MX2 palvelimesta varapalvelin, sinun tulee konfiguroida main.cf tiedostoon<br />
<br />
nano /etc/postfix/main.cf<br />
<br />
Määritä seuraavanlaiset konfiguraatiot. smtpd_recipient_restrictions tulee olla permit_mynetworks ja reject_unauth_destination. Relay_domainissa tulee olla example.org, eli domain joka ohjataan eteenpäin. Tämä määrittää mikä sähköpostidomainien postit ohjataan eteenpäin. relay_recipient_maps tulee olla tyhjä.<br />
<br />
<pre><br />
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination<br />
<br />
relay_domains = $mydestination, example.com<br />
<br />
relay_recipient_maps =<br />
</pre><br />
<br />
Varmista että seuraavat parametrit ovat tyhjiä: mydestination, virtual_alias_domains, virtual_mailbox_domains<br />
<br />
Käynnistä palvelu uudelleen<br />
<br />
service postfix restart<br />
<br />
Testaa sammuttamalla pääsähköpostipalvelin ja lähetä example.org osoitteelle sähköpostia. mail.log voit seurata toimiiko sähköpostit oikein.<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== SPF ==<br />
<br />
SPF tarkoitus ilmoittaa että mistä IP:stä tai osoitteesta on sallittua lähettää tällä domainilla sähköpostia. Tällä vaikeutetaan roskapostittajien ns. domain väärentämisiä. <br />
<br />
Voit luoda tietueet täältä: http://www.spfwizard.net/<br />
<br />
Esimerkki (sallitaan A recordista mail.example.org joka on meidän oma postipalvelin ja estetään muista palvelimista sekä MX palvelimista jotka nimipalvelusta löytyy:<br />
<br />
v=spf1 mx a:mail.example.org -all<br />
<br />
Lisää tietue nimipalveluun. Kysy lisää palveluntarjoajaltasi.<br />
<br />
Asenna sitten Postfix palvelimeesi<br />
<br />
sudo apt install postfix-policyd-spf-python<br />
<br />
Lisää master.cf tiedostoon loppuun<br />
<br />
<pre><br />
policyd-spf unix - n n - 0 spawn<br />
user=policyd-spf argv=/usr/bin/policyd-spf<br />
</pre><br />
<br />
Konfiguroi main.cf. <br />
<br />
<pre><br />
policyd-spf_time_limit = 3600<br />
<br />
<br />
<br />
smtpd_recipient_restrictions =<br />
...<br />
reject_unauth_destination,<br />
check_policy_service unix:private/policyd-spf,<br />
...<br />
</pre><br />
<br />
Varmista että 'check_policy_service' on '''jälkeen''' 'reject_unauth_destination' estääksesi avoimen postipalvelun (käytetään muuten palvelintasi roskapostittamiseen).<br />
<br />
== Opendkim ==<br />
<br />
DKIM (DomainKeys Identified Mail):in avulla estät sähköpostien väärentämisen lisäämällä digitaalisen allekirjoituksen lähtevissä posteissa. Tässä käytetään yksityistä avainta salatakseen lähtevän postin headerin ja julkinen avain lisätään DNS:ään. Vastaanottaja palvelin voi täältä DNS:stä hakea julkisen avaimen ja näin varmistaa että sähköposti tulee oikealta palvelimelta eikä ole muuttunut matkalla. <br />
<br />
Asenna openkim<br />
<br />
<pre><br />
sudo apt-get update<br />
sudo apt-get dist-upgrade<br />
sudo apt-get install opendkim opendkim-tools<br />
</pre><br />
<br />
Lisää Postfix käyttäjä Opendkim ryhmään<br />
<br />
sudo adduser postfix opendkim<br />
<br />
=== Opendkim konfigurointi ===<br />
<br />
Avaa konfigurointi tiedosto<br />
<br />
sudo nano /etc/opendkim.conf<br />
<br />
Konfiguraatio tulisi näyttää tältä:<br />
<br />
<pre><br />
# This is a basic configuration that can easily be adapted to suit a standard<br />
# installation. For more advanced options, see opendkim.conf(5) and/or<br />
# /usr/share/doc/opendkim/examples/opendkim.conf.sample.<br />
<br />
# Log to syslog<br />
Syslog yes<br />
# Required to use local socket with MTAs that access the socket as a non-<br />
# privileged user (e.g. Postfix)<br />
UMask 002<br />
# OpenDKIM user<br />
# Remember to add user postfix to group opendkim<br />
UserID opendkim<br />
<br />
# Map domains in From addresses to keys used to sign messages<br />
KeyTable /etc/opendkim/key.table<br />
SigningTable refile:/etc/opendkim/signing.table<br />
<br />
# Hosts to ignore when verifying signatures<br />
ExternalIgnoreList /etc/opendkim/trusted.hosts<br />
InternalHosts /etc/opendkim/trusted.hosts<br />
<br />
# Commonly-used options; the commented-out versions show the defaults.<br />
Canonicalization relaxed/simple<br />
Mode sv<br />
SubDomains no<br />
#ADSPAction continue<br />
AutoRestart yes<br />
AutoRestartRate 10/1M<br />
Background yes<br />
DNSTimeout 5<br />
SignatureAlgorithm rsa-sha256<br />
<br />
# Always oversign From (sign using actual From and a null From to prevent<br />
# malicious signatures header fields (From and/or others) between the signer<br />
# and the verifier. From is oversigned by default in the Debian package<br />
# because it is often the identity key used by reputation systems and thus<br />
# somewhat security sensitive.<br />
OversignHeaders From<br />
</pre><br />
<br />
Määritä konfigurointi tiedostolle oikeudet<br />
<br />
sudo chmod u=rw,go=r /etc/opendkim.conf<br />
<br />
Luo hakemisto opendkim:ille, avaimille sekä määritä niille oikeudet<br />
<br />
<pre><br />
sudo mkdir /etc/opendkim<br />
sudo mkdir /etc/opendkim/keys<br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod go-rw /etc/opendkim/keys<br />
</pre><br />
<br />
=== Avainten luonti ===<br />
<br />
Luo avainten allekirjoitustaulu. Tiedostossa tulee olla jokaisella riville domain mitä haluat käyttää<br />
<br />
sudo nano /etc/opendkim/signing.table<br />
<br />
<pre><br />
*@example.com example<br />
</pre><br />
<br />
Korvaa example sinun omallasi domainilla. Ensimmäinen osuus @example.org täsmää sähköpostiosoitteeseesi. <br />
<br />
Luo ja avaa key.table tiedosto. Korvaa example.org omalla verkkotunnuksella<br />
<br />
sudo nano /etc/opendkim/key.table<br />
<br />
<pre><br />
example example.com:mail:/etc/opendkim/keys/example.com/mail.private<br />
</pre><br />
<br />
Korvaa example sillä mitä käytit signing.table:ssa "mail" on DNS recordi jonka kirjoitat DNS:sään.<br />
<br />
Luo trusted.hosts tiedosto. <br />
<br />
sudo nano /etc/opendkim/trusted.hosts<br />
<br />
<pre><br />
127.0.0.1<br />
::1<br />
localhost<br />
myhostname<br />
myhostname.example.com<br />
example.com<br />
</pre><br />
<br />
Korvaa myhostname palvelimen nimelläsi ja example domainillasi.<br />
<br />
Määritä oikeudet hakemistoihin<br />
<br />
<pre><br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod -R go-rwx /etc/opendkim/keys<br />
</pre><br />
<br />
Luodaan nyt avaimet DKIMiä varten<br />
<br />
<pre><br />
sudo mkdir /etc/opendkim/keys/example.com<br />
cd /etc/opendkim/keys/example.com/<br />
sudo opendkim-genkey -b 2048 -s mail -d example.com -v<br />
</pre><br />
<br />
Mikäli nimipalvelin ei tue 2048 bittistä niin sitten käytä 1024 bittistä<br />
<br />
sudo opendkim-genkey -b 1024 -s mail -d example.org -v<br />
<br />
Määritä vielä rekurssiiviset oikeudet hakemistoihin<br />
<br />
<pre><br />
sudo chown -R opendkim:opendkim /etc/opendkim<br />
sudo chmod -R go-rw /etc/opendkim/keys<br />
</pre><br />
<br />
Käynnistä Opendkim uudelleen<br />
<br />
sudo service opendkim restart<br />
<br />
=== Konfiguroi DNS ===<br />
<br />
Avaa nyt mail.txt tiedosto<br />
<br />
sudo cat /etc/opendkim/keys/example.com/mail.txt<br />
<br />
Tee nimipalvelimeen TXT recordi, esim:<br />
<br />
<pre><br />
mail._domainkey.example.com IN TXT v=DKIM1; k=rsa; s=email; p=<avain><br />
</pre><br />
<br />
Korvaa example.com ja <avain> tiedoston sisällöllä ja domainilla. <br />
<br />
Testaa<br />
<br />
sudo opendkim-testkey -d example.com -s mail<br />
<br />
Jos kaikki on OK sinun ei tulisi saada ollenkaan mitään tulostusta. <br />
<br />
=== Opendkim konfigurointi Postfixiin ===<br />
<br />
Luo hakemisto<br />
<br />
<pre><br />
sudo mkdir /var/spool/postfix/opendkim<br />
sudo chown opendkim:postfix /var/spool/postfix/opendkim<br />
</pre><br />
<br />
Määritä oikea soketti opendkim:ille<br />
<br />
sudo nano /etc/default/opendkim<br />
<br />
Varmiata että kaikki on kommentoitu ja lisää alla oleva tiedostoon<br />
<br />
SOCKET="local:/var/spool/postfix/opendkim/opendkim.sock"<br />
<br />
Konfiguroi seuraavaksi main.cnf tiedostoon opendkim asetuksia<br />
<br />
sudo nano /etc/postfix/main.cnf<br />
<br />
<pre><br />
# Milter configuration<br />
# OpenDKIM<br />
milter_default_action = accept<br />
milter_protocol = 6<br />
smtpd_milters = local:/var/spool/postfix/opendkim/opendkim.sock<br />
non_smtpd_milters = local:/var/spool/postfix/opendkim/opendkim.sock<br />
</pre><br />
<br />
Käynnistä Postfix ja Opendkim uudelleen<br />
<br />
sudo service postfix restart<br />
<br />
sudo service opendkim restart<br />
<br />
Testaa toimiiko kaikki lähettämällä tyhjän sähköpostin: check-auth@verifier.port25.com . Saat paluupostina viestin jossa näet toimiiko vai ei.<br />
<br />
== Opendmarc ==<br />
<br />
Opendmarcin avulla voit tarkistaa Postfixissä Dmarc-tietueen.<br />
<br />
sudo apt install opendmarc<br />
<br />
Kopioi alkuperäinen konfiguraatio talteen<br />
<br />
sudo mv /etc/opendmarc.conf /etc/opendmarc.conf.bak<br />
<br />
Luo uusi tiedosto<br />
<br />
sudo nano /etc/opendmarc.conf<br />
<br />
Tässä on esimerkkikonfiguraatio<br />
<br />
<pre><br />
AutoRestart Yes<br />
AutoRestartRate 10/1h<br />
<br />
UserID postfix:postfix<br />
Socket inet:54321@localhost<br />
Syslog true<br />
SyslogFacility mail<br />
<br />
AuthservID mail.example.org<br />
#TrustedAuthservIDs other.mail.server, another.mail.server<br />
IgnoreHosts /etc/opendkim/trusted.hosts<br />
<br />
FailureReportsSentBy postmaster@example.org<br />
FailureReportsBcc postmaster@example.org<br />
<br />
RejectFailures false<br />
</pre><br />
<br />
Lisää tämä /etc/default/opendmarc tiedostoon<br />
<br />
SOCKET="inet:54321@localhost"<br />
<br />
Lisää tämä /etc/postfix/main.conf tiedostoon kohtaan smttpd_milters<br />
<br />
smtpd_milters = inet:localhost:54321<br />
<br />
Käynnistä Postfix ja Opendmarc uudelleen<br />
<br />
sudo service opendmarc restart<br />
sudo service postfix restart<br />
<br />
== Postfix toiminta PHP5 kanssa == <!--T:123--><br />
<br />
<!--T:124--><br />
PHP5 sisältää mail funktion. Sinun tulee konfiguroida php.ini tiedostoa <br />
<br />
<!--T:125--><br />
nano /etc/php5/apache2/php.ini<br />
<br />
<!--T:126--><br />
ja muuttaa se tälläiseksi:<br />
<br />
<!--T:127--><br />
; For Unix only. You may supply arguments as well (default: "sendmail -t -i").<br />
; http://php.net/sendmail-path<br />
sendmail_path = "/usr/sbin/sendmail -t -i"<br />
<br />
<!--T:128--><br />
ja käynnistä apache uudelleen<br />
<br />
<!--T:129--><br />
service apache2 restart<br />
<br />
[[Luokka:Linux|Postfix]]<br />
<br />
== Postfix AD ==<br />
<br />
Hyvä ohje löytyy ICT-academyn [http://ict-academy.fi/index.php?title=Postfix_Dovecot_ClamAv_Spamassassin#Postfixin_liitt.C3.A4minen_AD:seen Wikistä]<br />
<br />
== Postqueue komentoja ==<br />
<br />
postqueue avulla voit hallinnoida postin liikennettä, esimerkiksi voit estää tietyn lähettäjän s.postien lähtemisen tai saapumisen poistamalla ne<br />
<br />
postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /username@example\.org/ { print $1 }' | tr -d '*!' | postsuper -d -<br />
<br />
Poistaa tietyltä domainilta<br />
<br />
postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /@example\.org/ { print $1 }' | tr -d '*!' | postsuper -d -<br />
<br />
Poistaa kaikki s.postit<br />
<br />
postsuper -d ALL<br />
<br />
Valmiita scriptejä: https://www.saotn.org/delete-mailer-daemon-emails-from-postfix-queue/<br />
<br />
<pre><br />
#!/bin/bash<br />
EMAILADDY=$1<br />
<br />
if [ -z "$EMAILADDY" ]<br />
then<br />
echo "Usage: $0 <email address>"<br />
exit<br />
fi<br />
<br />
echo "Delete all emails addressed to $EMAILADDY from our Postfix queue."<br />
<br />
mailq | tail -n +2 | grep -v '^ *(' | awk -v "address=$EMAILADDY" 'BEGIN { RS = "" }<br />
{<br />
# example conditions:<br />
# if ( $7 == address && $8 == "" )<br />
# if ( $7 == address || $8 == address )<br />
if ( $7 == address )<br />
print $1<br />
}<br />
' | tr -d '*!' | postsuper -d -<br />
</pre><br />
<br />
Voit käyttää tätä ajamalla<br />
<br />
sh mailq2delete.sh username@example.org<br />
<br />
== Virheilmoituksia == <!--T:130--><br />
<br />
Ongelmien sattuessa kannattaa lukea palvelimen lokia:<br />
<br />
/var/log<br />
<br />
<!--T:148--><br />
Tässä lista yleisistä virheilmoituksista mitä ilmenee usein postfixin konfiguroinnista:<br />
<br />
=== Sender address rejected: Domain not found (in reply to RCPT TO command === <!--T:149--><br />
<br />
<!--T:150--><br />
myorigin on määritetty väärin /etc/mailname tiedostosta. Tämän tulee olemaan domainin nimi.<br />
<br />
<!--T:151--><br />
myorigin /etc/mailname<br />
<br />
<!--T:152--><br />
example.com <br />
<br />
=== Client host rejected: Access denied=== <!--T:153--><br />
<br />
<!--T:154--><br />
Relayhost on estänyt sinut, ehkä roskapostien takia.<br />
<br />
=== connect to mx3.hotmail.com[65.55.37.104]:25: No route to host === <!--T:155--><br />
<br />
<!--T:156--><br />
Tarkista Relayhost main.cf tiedostossa. Mahdollisesti sinulla on suljettu suoraan portti 25.<br />
<br />
=== Host or domain name not found. Name service error for name=gmail.con type=A: Host not found === <!--T:157--><br />
<br />
<!--T:158--><br />
DNS Virhe. Tarkista resolv.conf tiedostossa määriteytyt DNS asetukset. Kokeile nslookup komentoa.<br />
<br />
=== Invalid mail address, must be fully qualified domain (in reply to RCPT TO command)) === <!--T:159--><br />
<br />
<!--T:160--><br />
Isäntänimessä ongelma. Varmista että DNS on oikein määritetty ja isäntänimi main.cf tiedostossa.<br />
<br />
=== unable to verify address (in reply to MAIL FROM command)) === <!--T:161--><br />
<br />
<!--T:162--><br />
DNS ongelma. Varmista että sinulla on määritetty oikein A-records DNS palvelimelle ja MX-records. Tarkista /etc/hosts tiedosto. Korjaus:<br />
<br />
<!--T:163--><br />
nano /etc/hosts<br />
<br />
<!--T:164--><br />
127.0.0.1 localhost mail.example.com server<br />
127.0.1.1 example.com mail.example.com server<br />
<br />
== Lähteet == <!--T:140--><br />
<br />
<!--T:141--><br />
http://www.postfix.org/<br />
<br />
<!--T:142--><br />
https://wiki.debian.org/Postfix<br />
<br />
<!--T:143--><br />
http://www.sami-lehtinen.net/blog/securing-email-transport-starttls-postfix-ca-certificates-fingerprint-authority<br />
<br />
http://ary.kleinerman.org/posts/how-to-install-and-setup-a-powerful-mail-server-on-linux/<br />
<br />
</translate></div>
Minh
https://taisto.org/index.php?title=Home_Assistant&diff=63896
Home Assistant
2018-09-18T15:16:48Z
<p>Minh: </p>
<hr />
<div>Home Assistant on kotiautomaatio alusta joka on avointa lähdekoodia. Sitä voidaan ajaa Debianinilla virtuaalisesti ja helposti Raspberry Pi:llä.<br />
<br />
Hyvät dokumentaatiot löytyvät täältä: https://www.home-assistant.io/<br />
<br />
Tässä omasssa asennuksessa, toteutin virtuaalikoneella. Käyttöjärjestelmä piti olla Ubuntu 17.10 tai Debian 9 vähintään.<br />
<br />
== Asennus ==<br />
<br />
=== Haas.io asennus ===<br />
<br />
Lisää gpg avain<br />
<br />
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -<br />
<br />
Lisää Source.listiin Docker<br />
<br />
sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable edge"<br />
<br />
Asenna Docker ja muut tarvittavat komponentit<br />
<br />
sudo apt install docker-ce jq avahi-daemon<br />
<br />
Lataa curlilla ja asenna scriptin avulla haas.io dockerille<br />
<br />
curl -sL https://raw.githubusercontent.com/home-assistant/hassio-build/master/install/hassio_install | sudo bash -s<br />
<br />
=== Home Assistant asennus Ubuntulle ===<br />
<br />
https://community.home-assistant.io/t/home-assistant-fresh-on-ubuntu-16-04-server/32722/10<br />
<br />
<pre><br />
sudo apt install python3-dev python3-pip python3-venv<br />
sudo pip3 install --upgrade virtualenv<br />
sudo su -s /bin/bash homeassistant<br />
mkdir /opt/homeassistant<br />
cd /opt/homeassistant<br />
python3 -m venv /opt/homeassistant<br />
source bin/activate<br />
pip3 install homeassistant<br />
</pre><br />
<br />
== Hasbianin ja manuaalisen asennuksen päivittäminen ==<br />
<br />
Päivittäminen onnistuu helposti sudo-oikeudella seuraavanlaisesti<br />
<br />
sudo hassbian-config upgrade homeassistant<br />
<br />
Jos käytössäsi on manuaaliasennus, tee päivitys seuraavalla tavalla<br />
<br />
<pre><br />
sudo su -s /bin/bash homeassistant<br />
cd /opt/homeassistant<br />
python3 -m venv /opt/homeassistant<br />
source bin/activate<br />
pip3 install --upgrade homeassistant<br />
exit<br />
</pre><br />
<br />
Käynnistä Home Assistant uudelleen<br />
<br />
== Konfigurointi ==<br />
<br />
=== APC UPS ===<br />
<br />
Home Assistant tukee APC:n UPS-laitteita, mutta sitä varten tulee asentaa palvelimelle komponentteja. <br />
<br />
sudo apt install apcupsd<br />
<br />
Tämän jälkeen kommentoi DEVICE rivi ja sen interface /etc/apcupsd/apcupsd.conf tiedostosta<br />
<br />
<pre><br />
UPSTYPE usb<br />
#DEVICE /dev/ttyS0<br />
</pre><br />
<br />
Käynnistä palvelu uudelleen<br />
<br />
sudo service apcupsd restart<br />
<br />
Konfiguroi tämän jälkeen Home Assistant<br />
<br />
<pre><br />
- platform: apcupsd<br />
resources:<br />
- bcharge<br />
- linev<br />
- loadpct<br />
- nominv<br />
- nompower<br />
- numxfers<br />
- outputv<br />
- status<br />
- timeleft<br />
- tonbatt<br />
</pre><br />
<br />
=== Unifi Video Camera ===<br />
<br />
Home Assistant tukee Unifi Video kameroita, käyttäen NVR:n rajapintaa. Tässä on semmoinen pieni ongelma, sillä Unifi NVR-käyttää salaamattomana rajapintaa oletuksena, kun se on määritetty näin pluginissa. Muutin pluginista kaksi riviä pakottaen sen HTTPS:lle. Tietysti tässä tapauksessa sinulla tulee olla voimassaoleva SSL-sertifikaatti asennettua NVR:ään.<br />
<br />
Avaa nvr.py tiedosto. Tämä voi sijaita eri paikassa riippuen miten olet Home Assistantin asentanut.<br />
<br />
/srv/homeassistant/lib/python3.6/site-packages/uvcclient/nvr.py <br />
<br />
Muuta tiedostosta kahdesta paikkaa arvot httplib.HTTPConnection -> httplib.HTTPSConnection ja tallenna tiedosto. <br />
<br />
Konfiguroi sitten configuration.yaml tiedostoon:<br />
<br />
<pre><br />
camera:<br />
- platform: uvc<br />
nvr: HOSTNAME<br />
port: 7443<br />
password: CAMERA_PASSWORD<br />
key: !secret API_KEY<br />
</pre><br />
<br />
=== MQTT - Mosquitto ===<br />
<br />
Asennetaan Mosquitto<br />
<br />
<pre><br />
sudo apt-add-repository ppa:mosquitto-dev/mosquitto-ppa<br />
sudo apt update<br />
sudo apt install mosquitto<br />
</pre><br />
<br />
Konfiguroidaan Mosquitto konfiguraatio tiedostoon omia konfiguraatioita varten local.conf tiedosto.<br />
<br />
sudo nano /etc/mosquitto/conf.d/local.conf<br />
<br />
Lisätään tiedostoon seuraavanlainen konfiguraatio<br />
<br />
<pre><br />
port 1883<br />
allow_anonymous false<br />
password_file /etc/mosquitto/passwd<br />
</pre><br />
<br />
Luo käyttäjätunnus Mosquittoa varten<br />
<br />
sudo mosquitto_passwd -c /etc/mosquitto/passwd mqtt<br />
<br />
Mikäli haluat lisätä useampia käyttäjätunnuksia, poista -c parametri. Käynnistä aina palvelu uudelleen<br />
<br />
Konfiguroidaan home-assistant konfiguraatio tiedostoon. Tunnukset ja salasanat tallennetaan secret.yaml tiedostoon samaan hakemistoon muuttujien taakse.<br />
<br />
<pre><br />
mqtt:<br />
broker: 127.0.0.1<br />
port: 1883<br />
client_id: home-assistant-1<br />
keepalive: 60<br />
username: !secret mqtt_username<br />
password: !secret mqtt_password<br />
protocol: 3.1<br />
</pre><br />
<br />
Käynnistä Mosquitto uudelleen. Jostain syystä restart-attribuutti ei toimi.<br />
<br />
<pre><br />
sudo service mosquitto stop<br />
sudo service mosquitto start<br />
</pre><br />
<br />
=== Xiaomi BLE Temperature and Humidity sensor ===<br />
<br />
Mikäli käytössä Debian/Ubuntu niin asenna seuraavat kirjasto pakettihallinnasta<br />
<br />
sudo apt install libglib2.0-dev<br />
<br />
Tämän jälkeen voit asentaa virtualenviromentissa pipi:llä<br />
<br />
pip3 install bluepy btlewrap</div>
Minh
https://taisto.org/index.php?title=Stubby&diff=63895
Stubby
2018-09-16T15:45:13Z
<p>Minh: </p>
<hr />
<div>Stubby toimii paikallisena DNS over TLS-resolverina ja salaa DNS-liikenteen paikalliselta läppäriltä DNS-palvelimelle asti tarjoten parempaa yksityisyyden suojaa loppukäyttäjälle.<br />
<br />
Testattu Ubuntu 18.04 LTS:llä. Pakettia ei löydy Ubuntu 16.04 LTS:ssä.<br />
<br />
== Asenna ja konfiguroi ==<br />
<br />
Asenna Stubby pakettihallinnasta<br />
<br />
sudo apt install stubby<br />
<br />
Kopioi alkuperäinen konfiguraatio varmuuden vuoksi eri tiedostoon<br />
<br />
sudo cp /etc/stubby/stubby.yml /etc/stubby/stubby.yml.orig<br />
<br />
Avaa konfigurointi tiedosto<br />
<br />
sudo nano /etc/stubby/stubby.yml<br />
<br />
Ota käyttöön DNSSEC-tarkistus poistamalla komentit seuraavilta riveiltä<br />
dnssec_return_status: GETDNS_EXTENSION_TRUE<br />
dnssec_trust_anchors: "/etc/unbound/getdns-root.key"<br />
<br />
Konfiguroi Upstream-palvelimiksi CloudFlaren DNS-palvelimet<br />
<br />
- address_data: 1.1.1.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
- address_data: 1.0.0.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
<br />
Asenna Unbound-anchor DNSSEC tarkistusta varten<br />
<br />
sudo apt install unbound-anchor<br />
sudo unbound-anchor -a /etc/unbound/getdns-root.key<br />
<br />
Käynnistä Stubby uudelleen<br />
<br />
sudo service stubby stop<br />
sudo service stubby start<br />
<br />
== Integraatio Pi-holen kanssa ==<br />
<br />
Mikäli haluat käyttää Stubbya esimerkiksi Pi-holessa, niin muuta portiksi 5353<br />
<br />
listen_addresses:<br />
- 127.0.0.1@5353<br />
- 0::1@5353<br />
<br />
Avaa sitten Pi-holen konfiguraatio tiedosto<br />
<br />
sudo nano /etc/dnsmasq.d/02-stubby.conf<br />
<br />
ja lisää nimipalvelimeksi Stubby-palvelu<br />
<br />
server=127.0.0.1#5353<br />
<br />
Käynnistä Pi-hole ja Stubby uudelleen<br />
<br />
Voit testata toimivuutta digillä<br />
<br />
dig @127.0.0.1 -p 5353 taisto.org</div>
Minh
https://taisto.org/index.php?title=Telia_IPTV_asetukset&diff=63894
Telia IPTV asetukset
2018-09-16T12:26:32Z
<p>Minh: </p>
<hr />
<div><languages/><br />
<translate><br />
<!--T:1--><br />
Tässä ohjeessa neuvotaan Sonera Viihteen IPTV digiboksin käyttö toisilla palvelureitittimillä. Sonera Viihteen mukana tulee nykyisin [[Inteno DG301AL]] ja se on todettu tietoturva aukkoiseksi ja heikoksi.<br />
<br />
<!--T:2--><br />
Olemme todenneet että Mikrotikin reitittimellä toimii parhaiten. Asuksella on ongelmana 4:3 kuva (valkoisilla reunoilla).<br />
<br />
<!--T:3--><br />
Keskustele [http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-muulla-kuin-Soneran-palvelureitittimell%C3%A4/m-p/97162#M991 Soneran Klaanissa] aiheesta ja kysy sieltä apua ohjeisiin. <br />
<br />
== Yleiset asetukset == <!--T:4--><br />
<br />
<!--T:5--><br />
Sinun tulee määrittää seuraavat asetukset reitittimesi asetuksiin. Soneran IPTV vaatii että verkossa on multicast VLAN 252 (IPTV) ja normaali verkkoliikenne VLAN 1 (tallennukset ja ohjelmakirjasto).<br />
<br />
<!--T:6--><br />
IPTV:VID 252 PRIO 0<br />
INTERNET: VID 1 PRIO 0<br />
<br />
IGMP Proxy Enable<br />
<br />
<br />
<!--T:7--><br />
VID = VLAN ID<br />
<br />
<!--T:8--><br />
PRIO = Priorisointi<br />
<br />
== Reititin kohtaiset asetukset == <!--T:9--><br />
<br />
=== Asus DSL-N55U === <!--T:10--><br />
<br />
<!--T:11--><br />
https://dl.dropboxusercontent.com/u/46176780/asus_dsl-n55u_settings.jpg<br />
<br />
<gallery><br />
Tiedosto:Asus dsl-n55u settings.jpg<br />
</gallery><br />
=== Asus RT-AC56U ja Asus RT-N56U === <!--T:12--><br />
<br />
<!--T:13--><br />
Testattu Asus RT-N56U:lla.<br />
<br />
<!--T:14--><br />
http://murobbs.plaza.fi/internet-tietoturva-ja-muu-tietoliikenne/685233-sonera-kotitv-iptv-75.html#post1714391870<br />
<br />
<!--T:15--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-77#post-1709453694<br />
<br />
<!--T:16--><br />
LAN -> IPTV-tabi<br />
Select ISP profile: Manual<br />
Internet VID tyhjä PRIO 0<br />
LAN port 4 VID 252 PRIO 0<br />
LAN port 3 VID tyhjä PRIO 0<br />
<br />
Special applications:<br />
Use DHCP routes Microsoft<br />
Enable multicast routing (IGMP Proxy) Enable<br />
Enable efficient multicast forwarding (IGMP Snooping) Enable<br />
UDP Proxy (Udpxy) 0<br />
<br />
<!--T:17--><br />
<gallery><br />
Tiedosto:SoneraIPTVAsusRTN56U.png<br />
</gallery><br />
<br />
=== Linux === <!--T:37--><br />
<br />
<!--T:38--><br />
[[Igmpproxy]]<br />
<br />
=== Asus RT-N66U === <!--T:18--><br />
<br />
<!--T:19--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-76#post-1709438782<br />
<br />
<!--T:20--><br />
<html> <img style="max-width:800px;" src="https://i.imgur.com/8ZVvY.jpg" title="Asus RT-N66U IPTV asetukset"/> </html><br />
<br />
=== RouterOS === <!--T:21--><br />
<br />
<!--T:22--><br />
[[RouterOS_IPTV]]<br />
<br />
=== OpenWRT === <!--T:39--><br />
<br />
<!--T:40--><br />
http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-muulla-kuin-Soneran-palvelureitittimell%C3%A4/m-p/99674/highlight/false#M1354<br />
<br />
<!--T:41--><br />
/etc/network/interfaces<br />
<br />
<!--T:42--><br />
<pre><br />
onfig interface 'loopback'<br />
option ifname 'lo'<br />
option proto 'static'<br />
option ipaddr '127.0.0.1'<br />
option netmask '255.0.0.0'<br />
<br />
<!--T:43--><br />
config globals 'globals'<br />
option ula_prefix 'fd05:643b:6a84::/48'<br />
<br />
<!--T:44--><br />
config interface 'lan'<br />
option force_link '1'<br />
option type 'bridge'<br />
option igmp_snooping '1'<br />
option proto 'static'<br />
option ipaddr '192.168.1.1'<br />
option netmask '255.255.255.0'<br />
option ip6assign '60'<br />
option ifname 'eth0.1'<br />
option macaddr '00:01:02:03:04:05'<br />
<br />
<!--T:45--><br />
config interface 'lan_iptv'<br />
option proto static<br />
option ifname eth0.3<br />
option ipaddr 192.168.2.1<br />
option netmask 255.255.255.0<br />
<br />
<!--T:46--><br />
config interface 'wan_iptv'<br />
option proto 'dhcp'<br />
option ifname 'ptm0.252'<br />
option defaultroute 0<br />
<br />
<!--T:47--><br />
config switch<br />
option name 'switch0'<br />
option reset '1'<br />
option enable_vlan '1'<br />
<br />
<!--T:48--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '1'<br />
option ports '0 1 2 6t'<br />
<br />
<!--T:49--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '2'<br />
option ports '5 6t'<br />
<br />
<!--T:50--><br />
config interface 'eth_wan'<br />
option proto 'dhcp'<br />
option ifname 'eth0.2'<br />
option macaddr 'xx:xx:xx:xx:xx:C8'<br />
<br />
<!--T:51--><br />
config interface 'wan'<br />
option proto 'dhcp'<br />
option ifname 'ptm0'<br />
option service 'Data'<br />
option wan_instance '3.1.2.1'<br />
option macaddr 'xx:xx:xx:xx:xx:C9'<br />
<br />
config vdsl 'dsl'<br />
option annex 'b'<br />
option firmware '/lib/firmware/vdsl_b.bin'<br />
option tone 'bv'<br />
option xfer_mode 'ptm'<br />
<br />
<!--T:52--><br />
config atm-bridge<br />
option unit '0'<br />
option atmdev '0'<br />
option encaps 'llc'<br />
option payload 'bridged'<br />
option vci '33'<br />
option vpi '0'<br />
<br />
<!--T:53--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '3'<br />
option ifname 'eth0.3'<br />
option ports '4 6t'<br />
</pre><br />
<br />
<!--T:54--><br />
/etc/config/igmpproxy<br />
<br />
<!--T:55--><br />
<pre><br />
config igmpproxy<br />
option quickleave 1<br />
<br />
<!--T:56--><br />
config phyint<br />
option network wan_iptv<br />
option direction upstream<br />
list altnet 0.0.0.0/0<br />
<br />
<!--T:57--><br />
config phyint<br />
option network lan_iptv<br />
option direction downstream<br />
</pre><br />
<br />
<!--T:58--><br />
/etc/config/firewall<br />
<br />
<!--T:59--><br />
<pre><br />
config zone<br />
option name lan_iptv<br />
list network 'lan_iptv'<br />
option input ACCEPT<br />
option output ACCEPT<br />
option forward ACCEPT<br />
<br />
<!--T:60--><br />
config zone<br />
option name wan<br />
list network 'wan'<br />
list network 'wan6'<br />
option input REJECT<br />
option output ACCEPT<br />
option forward REJECT<br />
option masq 1<br />
option mtu_fix 1<br />
<br />
<!--T:61--><br />
config zone<br />
option name wan_iptv<br />
list network 'wan_iptv'<br />
option input REJECT<br />
option output ACCEPT<br />
option forward REJECT<br />
option masq 1<br />
<br />
<!--T:62--><br />
config forwarding<br />
option src lan<br />
option dest wan<br />
<br />
<!--T:63--><br />
config forwarding<br />
option src lan_iptv<br />
option dest wan_iptv<br />
<br />
<!--T:64--><br />
config forwarding<br />
option src lan_iptv<br />
option dest wan<br />
<br />
<!--T:65--><br />
config rule<br />
option src wan_iptv<br />
option proto igmp<br />
option target ACCEPT<br />
<br />
<!--T:66--><br />
config rule<br />
option src wan_iptv<br />
option proto udp<br />
option dest lan_iptv<br />
option dest_ip 224.0.0.0/4<br />
option target ACCEPT<br />
option family ipv4<br />
</pre><br />
<br />
<!--T:67--><br />
Lähde: https://forum.openwrt.org/viewtopic.php?pid=266536#p266536<br />
<br />
=== Telewell === <!--T:23--><br />
<br />
<!--T:24--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-82#post-1710111932<br />
<br />
==== TW-EA510 ==== <!--T:25--><br />
<br />
<!--T:26--><br />
https://telewell.fi/files/tw-eav510v1_sonera_viihde_ethernet-liittyma.pdf<br />
<br />
<!--T:27--><br />
https://telewell.fi/files/TW-EA510_v3c_sonera_iptv.pdf<br />
<br />
<!--T:72--><br />
https://telewell.fi/files/sonera_viihde_ja_tw-eav510v6.pdf<br />
<br />
== Ei toimivat laitteet == <!--T:68--><br />
<br />
<!--T:69--><br />
* [http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-ja-Asus-DSL-N55U/m-p/99476#M1325 Asus DSL-N56U] <br />
<br />
<!--T:70--><br />
* [http://murobbs.muropaketti.com/threads/sonera-100-10-vdsl2.627084/page-25#post-1714780687 Asus DSL-N66U] (firmware version 1.0.7.7)<br />
<br />
<!--T:71--><br />
<gallery><br />
File:AsusDSL-66U IPTV.png<br />
</gallery><br />
<br />
== Telia Viihde IPTV kanavat tietokoneelle == <!--T:28--><br />
<br />
<!--T:29--><br />
Tämä vaatii siis reitittimen joka tulee Multicast:iä ja IGMP liikennettä. Toimii vain Soneran verkossa (toki tunnelilla toimii ulospäinkin).<br />
<br />
<!--T:30--><br />
Lataa ja asenna [http://www.videolan.org/vlc/ VLC Player]. Kopio alla olevat osoitteet ja tallenna se iptv.m3u tiedostoksi. Avaa tiedosto VLC Player:illä.<br />
<br />
<!--T:31--><br />
Androidille: https://play.google.com/store/apps/details?id=org.videolan.vlc.betav7neon<br />
<br />
<!--T:32--><br />
<pre><br />
#EXTM3U<br />
#EXTINF:0,YLE1<br />
udp://@239.16.116.1:5555<br />
#EXTINF:0,YLE2<br />
udp://@239.16.116.2:5555<br />
#EXTINF:0,MTV3<br />
udp://@239.16.116.3:5555<br />
#EXTINF:0,Nelonen<br />
udp://@239.16.116.4:5555<br />
#EXTINF:0,YLE Teema ja FEM<br />
udp://@239.16.116.5:5555<br />
#EXTINF:0,Sub<br />
udp://@239.16.116.6:5555<br />
#EXTINF:0,Liv<br />
udp://@239.16.116.8:5555<br />
#EXTINF:0,TV5<br />
udp://@239.16.116.13:5555<br />
#EXTINF:0,Kutonen<br />
udp://@239.16.116.10:5555<br />
#EXTINF:0,FOX TV<br />
udp://@239.16.116.12:5555<br />
#EXTINF:0,JIM<br />
udp://@239.16.116.14:5555<br />
#EXTINF:0,AVA<br />
udp://@239.16.117.145:5555<br />
#EXTINF:0,Hero<br />
udp://@239.16.117.143:5555<br />
#EXTINF:0,Bloomberg<br />
udp://@239.16.117.142:5555<br />
#EXTINF:0,TV7<br />
udp://@239.16.116.11:5555<br />
#EXTINF:0,RU TV<br />
udp://@239.16.117.141:5555<br />
#EXTINF:0,Russia Today<br />
udp://@239.16.117.140:5555<br />
#EXTINF:0,YLEN KLASSINEN<br />
udp://@239.16.116.15:5555<br />
#EXTINF:0,YLEN MONDO<br />
udp://@239.16.116.55:5555<br />
#EXTINF:0,YLEN PUHE<br />
udp://@239.16.116.56:5555<br />
#EXTINF:0,YLE1 HD<br />
udp://@239.16.117.146:5555<br />
#EXTINF:0,YLE2 HD<br />
udp://@239.16.117.147:5555<br />
#EXTINF:0,MTV3 HD<br />
udp://@239.16.117.37:5555<br />
#EXTINF:0,Nelonen HD<br />
udp://@239.16.116.143:5555<br />
#EXTINF:0,YLE FEM HD<br />
udp://@239.16.117.148:5555<br />
#EXTINF:0,Sub HD<br />
udp://@239.16.116.70:5555<br />
#EXTINF:0,TV5 HD<br />
udp://@239.16.116.122:5555<br />
#EXTINF:0,Kutonen HD<br />
udp://@239.16.116.127:5555<br />
#EXTINF:0,AVA HD<br />
udp://@239.16.116.71:5555<br />
#EXTINF:0,Hero HD<br />
udp://@239.16.117.124:5555<br />
#EXTINF:0,YLE TEEMA HD<br />
udp://@239.16.117.149:5555<br />
</pre><br />
<br />
<!--T:33--><br />
Muissa kanavissa on salaus, joten niitä ei tahdo saada auki...<br />
<br />
== Lähteet == <!--T:34--><br />
<br />
<!--T:35--><br />
http://klaani.sonera.fi/t5/Palstan-arkisto/Koti-TV-n-k%C3%A4ytt%C3%B6-muulla-reitittimell%C3%A4-kuin-Thomson-TG784/m-p/15997#M15980<br />
<br />
<!--T:36--><br />
https://www.dvdplaza.fi/forums/showthread.php/80550-Sonera-KotiTV-IPTV-palvelu/page2<br />
</translate><br />
<br />
[[Category:Sonera Viihde IPTV]]</div>
Minh
https://taisto.org/index.php?title=Telia_IPTV_asetukset&diff=63893
Telia IPTV asetukset
2018-09-16T12:23:57Z
<p>Minh: </p>
<hr />
<div><languages/><br />
<translate><br />
<!--T:1--><br />
Tässä ohjeessa neuvotaan Sonera Viihteen IPTV digiboksin käyttö toisilla palvelureitittimillä. Sonera Viihteen mukana tulee nykyisin [[Inteno DG301AL]] ja se on todettu tietoturva aukkoiseksi ja heikoksi.<br />
<br />
<!--T:2--><br />
Olemme todenneet että Mikrotikin reitittimellä toimii parhaiten. Asuksella on ongelmana 4:3 kuva (valkoisilla reunoilla).<br />
<br />
<!--T:3--><br />
Keskustele [http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-muulla-kuin-Soneran-palvelureitittimell%C3%A4/m-p/97162#M991 Soneran Klaanissa] aiheesta ja kysy sieltä apua ohjeisiin. <br />
<br />
== Yleiset asetukset == <!--T:4--><br />
<br />
<!--T:5--><br />
Sinun tulee määrittää seuraavat asetukset reitittimesi asetuksiin. Soneran IPTV vaatii että verkossa on multicast VLAN 252 (IPTV) ja normaali verkkoliikenne VLAN 1 (tallennukset ja ohjelmakirjasto).<br />
<br />
<!--T:6--><br />
IPTV:VID 252 PRIO 0<br />
INTERNET: VID 1 PRIO 0<br />
<br />
IGMP Proxy Enable<br />
<br />
<br />
<!--T:7--><br />
VID = VLAN ID<br />
<br />
<!--T:8--><br />
PRIO = Priorisointi<br />
<br />
== Reititin kohtaiset asetukset == <!--T:9--><br />
<br />
=== Asus DSL-N55U === <!--T:10--><br />
<br />
<!--T:11--><br />
https://dl.dropboxusercontent.com/u/46176780/asus_dsl-n55u_settings.jpg<br />
<br />
<gallery><br />
Tiedosto:Asus dsl-n55u settings.jpg<br />
</gallery><br />
=== Asus RT-AC56U ja Asus RT-N56U === <!--T:12--><br />
<br />
<!--T:13--><br />
Testattu Asus RT-N56U:lla.<br />
<br />
<!--T:14--><br />
http://murobbs.plaza.fi/internet-tietoturva-ja-muu-tietoliikenne/685233-sonera-kotitv-iptv-75.html#post1714391870<br />
<br />
<!--T:15--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-77#post-1709453694<br />
<br />
<!--T:16--><br />
LAN -> IPTV-tabi<br />
Select ISP profile: Manual<br />
Internet VID tyhjä PRIO 0<br />
LAN port 4 VID 252 PRIO 0<br />
LAN port 3 VID tyhjä PRIO 0<br />
<br />
Special applications:<br />
Use DHCP routes Microsoft<br />
Enable multicast routing (IGMP Proxy) Enable<br />
Enable efficient multicast forwarding (IGMP Snooping) Enable<br />
UDP Proxy (Udpxy) 0<br />
<br />
<!--T:17--><br />
<gallery><br />
Tiedosto:SoneraIPTVAsusRTN56U.png<br />
</gallery><br />
<br />
=== Linux === <!--T:37--><br />
<br />
<!--T:38--><br />
[[Igmpproxy]]<br />
<br />
=== Asus RT-N66U === <!--T:18--><br />
<br />
<!--T:19--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-76#post-1709438782<br />
<br />
<!--T:20--><br />
<html> <img style="max-width:800px;" src="https://i.imgur.com/8ZVvY.jpg" title="Asus RT-N66U IPTV asetukset"/> </html><br />
<br />
=== RouterOS === <!--T:21--><br />
<br />
<!--T:22--><br />
[[RouterOS_IPTV]]<br />
<br />
=== OpenWRT === <!--T:39--><br />
<br />
<!--T:40--><br />
http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-muulla-kuin-Soneran-palvelureitittimell%C3%A4/m-p/99674/highlight/false#M1354<br />
<br />
<!--T:41--><br />
/etc/network/interfaces<br />
<br />
<!--T:42--><br />
<pre><br />
onfig interface 'loopback'<br />
option ifname 'lo'<br />
option proto 'static'<br />
option ipaddr '127.0.0.1'<br />
option netmask '255.0.0.0'<br />
<br />
<!--T:43--><br />
config globals 'globals'<br />
option ula_prefix 'fd05:643b:6a84::/48'<br />
<br />
<!--T:44--><br />
config interface 'lan'<br />
option force_link '1'<br />
option type 'bridge'<br />
option igmp_snooping '1'<br />
option proto 'static'<br />
option ipaddr '192.168.1.1'<br />
option netmask '255.255.255.0'<br />
option ip6assign '60'<br />
option ifname 'eth0.1'<br />
option macaddr '00:01:02:03:04:05'<br />
<br />
<!--T:45--><br />
config interface 'lan_iptv'<br />
option proto static<br />
option ifname eth0.3<br />
option ipaddr 192.168.2.1<br />
option netmask 255.255.255.0<br />
<br />
<!--T:46--><br />
config interface 'wan_iptv'<br />
option proto 'dhcp'<br />
option ifname 'ptm0.252'<br />
option defaultroute 0<br />
<br />
<!--T:47--><br />
config switch<br />
option name 'switch0'<br />
option reset '1'<br />
option enable_vlan '1'<br />
<br />
<!--T:48--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '1'<br />
option ports '0 1 2 6t'<br />
<br />
<!--T:49--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '2'<br />
option ports '5 6t'<br />
<br />
<!--T:50--><br />
config interface 'eth_wan'<br />
option proto 'dhcp'<br />
option ifname 'eth0.2'<br />
option macaddr 'xx:xx:xx:xx:xx:C8'<br />
<br />
<!--T:51--><br />
config interface 'wan'<br />
option proto 'dhcp'<br />
option ifname 'ptm0'<br />
option service 'Data'<br />
option wan_instance '3.1.2.1'<br />
option macaddr 'xx:xx:xx:xx:xx:C9'<br />
<br />
config vdsl 'dsl'<br />
option annex 'b'<br />
option firmware '/lib/firmware/vdsl_b.bin'<br />
option tone 'bv'<br />
option xfer_mode 'ptm'<br />
<br />
<!--T:52--><br />
config atm-bridge<br />
option unit '0'<br />
option atmdev '0'<br />
option encaps 'llc'<br />
option payload 'bridged'<br />
option vci '33'<br />
option vpi '0'<br />
<br />
<!--T:53--><br />
config switch_vlan<br />
option device 'switch0'<br />
option vlan '3'<br />
option ifname 'eth0.3'<br />
option ports '4 6t'<br />
</pre><br />
<br />
<!--T:54--><br />
/etc/config/igmpproxy<br />
<br />
<!--T:55--><br />
<pre><br />
config igmpproxy<br />
option quickleave 1<br />
<br />
<!--T:56--><br />
config phyint<br />
option network wan_iptv<br />
option direction upstream<br />
list altnet 0.0.0.0/0<br />
<br />
<!--T:57--><br />
config phyint<br />
option network lan_iptv<br />
option direction downstream<br />
</pre><br />
<br />
<!--T:58--><br />
/etc/config/firewall<br />
<br />
<!--T:59--><br />
<pre><br />
config zone<br />
option name lan_iptv<br />
list network 'lan_iptv'<br />
option input ACCEPT<br />
option output ACCEPT<br />
option forward ACCEPT<br />
<br />
<!--T:60--><br />
config zone<br />
option name wan<br />
list network 'wan'<br />
list network 'wan6'<br />
option input REJECT<br />
option output ACCEPT<br />
option forward REJECT<br />
option masq 1<br />
option mtu_fix 1<br />
<br />
<!--T:61--><br />
config zone<br />
option name wan_iptv<br />
list network 'wan_iptv'<br />
option input REJECT<br />
option output ACCEPT<br />
option forward REJECT<br />
option masq 1<br />
<br />
<!--T:62--><br />
config forwarding<br />
option src lan<br />
option dest wan<br />
<br />
<!--T:63--><br />
config forwarding<br />
option src lan_iptv<br />
option dest wan_iptv<br />
<br />
<!--T:64--><br />
config forwarding<br />
option src lan_iptv<br />
option dest wan<br />
<br />
<!--T:65--><br />
config rule<br />
option src wan_iptv<br />
option proto igmp<br />
option target ACCEPT<br />
<br />
<!--T:66--><br />
config rule<br />
option src wan_iptv<br />
option proto udp<br />
option dest lan_iptv<br />
option dest_ip 224.0.0.0/4<br />
option target ACCEPT<br />
option family ipv4<br />
</pre><br />
<br />
<!--T:67--><br />
Lähde: https://forum.openwrt.org/viewtopic.php?pid=266536#p266536<br />
<br />
=== Telewell === <!--T:23--><br />
<br />
<!--T:24--><br />
http://murobbs.muropaketti.com/threads/sonera-kotitv-iptv.685233/page-82#post-1710111932<br />
<br />
==== TW-EA510 ==== <!--T:25--><br />
<br />
<!--T:26--><br />
https://telewell.fi/files/tw-eav510v1_sonera_viihde_ethernet-liittyma.pdf<br />
<br />
<!--T:27--><br />
https://telewell.fi/files/TW-EA510_v3c_sonera_iptv.pdf<br />
<br />
<!--T:72--><br />
https://telewell.fi/files/sonera_viihde_ja_tw-eav510v6.pdf<br />
<br />
== Ei toimivat laitteet == <!--T:68--><br />
<br />
<!--T:69--><br />
* [http://klaani.sonera.fi/t5/Tekninen-keskustelu/Sonera-Viihde-ja-Asus-DSL-N55U/m-p/99476#M1325 Asus DSL-N56U] <br />
<br />
<!--T:70--><br />
* [http://murobbs.muropaketti.com/threads/sonera-100-10-vdsl2.627084/page-25#post-1714780687 Asus DSL-N66U] (firmware version 1.0.7.7)<br />
<br />
<!--T:71--><br />
<gallery><br />
File:AsusDSL-66U IPTV.png<br />
</gallery><br />
<br />
== Telia Viihde IPTV kanavat tietokoneelle == <!--T:28--><br />
<br />
<!--T:29--><br />
Tämä vaatii siis reitittimen joka tulee Multicast:iä ja IGMP liikennettä. Toimii vain Soneran verkossa (toki tunnelilla toimii ulospäinkin).<br />
<br />
<!--T:30--><br />
Lataa ja asenna [http://www.videolan.org/vlc/ VLC Player]. Kopio alla olevat osoitteet ja tallenna se iptv.m3u tiedostoksi. Avaa tiedosto VLC Player:illä.<br />
<br />
<!--T:31--><br />
Androidille: https://play.google.com/store/apps/details?id=org.videolan.vlc.betav7neon<br />
<br />
<!--T:32--><br />
<pre><br />
#EXTM3U<br />
#EXTINF:0,YLE1<br />
udp://@239.16.116.1:5555<br />
#EXTINF:0,YLE2<br />
udp://@239.16.116.2:5555<br />
#EXTINF:0,MTV3<br />
udp://@239.16.116.3:5555<br />
#EXTINF:0,Nelonen<br />
udp://@239.16.116.4:5555<br />
#EXTINF:0,YLE Teema ja FEM<br />
udp://@239.16.116.5:5555<br />
#EXTINF:0,Sub<br />
udp://@239.16.116.6:5555<br />
#EXTINF:0,Liv<br />
udp://@239.16.116.8:5555<br />
#EXTINF:0,TV5<br />
udp://@239.16.116.13:5555<br />
#EXTINF:0,Kutonen<br />
udp://@239.16.116.10:5555<br />
#EXTINF:0,FOX TV<br />
udp://@239.16.116.12:5555<br />
#EXTINF:0,JIM<br />
udp://@239.16.116.14:5555<br />
#EXTINF:0,AVA<br />
udp://@239.16.117.145:5555<br />
#EXTINF:0,Hero<br />
udp://@239.16.117.143:5555<br />
#EXTINF:0,Bloomberg<br />
udp://@239.16.117.142:5555<br />
#EXTINF:0,TV7<br />
udp://@239.16.116.11:5555<br />
#EXTINF:0,RU TV<br />
udp://@239.16.117.141:5555<br />
#EXTINF:0,Russia Today<br />
udp://@239.16.117.140:5555<br />
#EXTINF:0,YLEN KLASSINEN<br />
udp://@239.16.116.15:5555<br />
#EXTINF:0,YLEN MONDO<br />
udp://@239.16.116.55:5555<br />
#EXTINF:0,YLEN PUHE<br />
udp://@239.16.116.56:5555<br />
#EXTINF:0,YLE1 HD<br />
udp://@239.16.117.146:5555<br />
#EXTINF:0,YLE2 HD<br />
udp://@239.16.117.147:5555<br />
#EXTINF:0,MTV3 HD<br />
udp://@239.16.117.37:5555<br />
#EXTINF:0,Nelonen HD<br />
udp://@239.16.116.143:5555<br />
#EXTINF:0,YLE FEM HD<br />
udp://@239.16.117.148:5555<br />
#EXTINF:0,Sub HD<br />
udp://@239.16.116.70:5555<br />
#EXTINF:0,TV5 HD<br />
udp://@239.16.116.122:5555<br />
#EXTINF:0,Kutonen HD<br />
udp://@239.16.116.127:5555<br />
#EXTINF:0,AVA HD<br />
udp://@239.16.116.71:5555<br />
#EXTINF:0,YLE TEEMA HD<br />
udp://@239.16.117.149:5555<br />
</pre><br />
<br />
<!--T:33--><br />
Muissa kanavissa on salaus, joten niitä ei tahdo saada auki...<br />
<br />
== Lähteet == <!--T:34--><br />
<br />
<!--T:35--><br />
http://klaani.sonera.fi/t5/Palstan-arkisto/Koti-TV-n-k%C3%A4ytt%C3%B6-muulla-reitittimell%C3%A4-kuin-Thomson-TG784/m-p/15997#M15980<br />
<br />
<!--T:36--><br />
https://www.dvdplaza.fi/forums/showthread.php/80550-Sonera-KotiTV-IPTV-palvelu/page2<br />
</translate><br />
<br />
[[Category:Sonera Viihde IPTV]]</div>
Minh
https://taisto.org/index.php?title=Stubby&diff=63892
Stubby
2018-09-15T21:36:19Z
<p>Minh: /* Asenna ja konfiguroi */</p>
<hr />
<div>Stubby toimii paikallisena DNS over TLS-resolverina ja salaa DNS-liikenteen paikalliselta läppäriltä DNS-palvelimelle asti tarjoten parempaa yksityisyyden suojaa loppukäyttäjälle.<br />
<br />
== Asenna ja konfiguroi ==<br />
<br />
Asenna Stubby pakettihallinnasta<br />
<br />
sudo apt install stubby<br />
<br />
Kopioi alkuperäinen konfiguraatio varmuuden vuoksi eri tiedostoon<br />
<br />
sudo cp /etc/stubby/stubby.yml /etc/stubby/stubby.yml.orig<br />
<br />
Avaa konfigurointi tiedosto<br />
<br />
sudo nano /etc/stubby/stubby.yml<br />
<br />
Ota käyttöön DNSSEC-tarkistus poistamalla komentit seuraavilta riveiltä<br />
dnssec_return_status: GETDNS_EXTENSION_TRUE<br />
dnssec_trust_anchors: "/etc/unbound/getdns-root.key"<br />
<br />
Konfiguroi Upstream-palvelimiksi CloudFlaren DNS-palvelimet<br />
<br />
- address_data: 1.1.1.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
- address_data: 1.0.0.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
<br />
Asenna Unbound-anchor DNSSEC tarkistusta varten<br />
<br />
sudo apt install unbound-anchor<br />
sudo unbound-anchor -a /etc/unbound/getdns-root.key<br />
<br />
Käynnistä Stubby uudelleen<br />
<br />
sudo service stubby stop<br />
sudo service stubby start<br />
<br />
== Integraatio Pi-holen kanssa ==<br />
<br />
Mikäli haluat käyttää Stubbya esimerkiksi Pi-holessa, niin muuta portiksi 5353<br />
<br />
listen_addresses:<br />
- 127.0.0.1@5353<br />
- 0::1@5353<br />
<br />
Avaa sitten Pi-holen konfiguraatio tiedosto<br />
<br />
sudo nano /etc/dnsmasq.d/02-stubby.conf<br />
<br />
ja lisää nimipalvelimeksi Stubby-palvelu<br />
<br />
server=127.0.0.1#5353<br />
<br />
Käynnistä Pi-hole ja Stubby uudelleen<br />
<br />
Voit testata toimivuutta digillä<br />
<br />
dig @127.0.0.1 -p 5353 taisto.org</div>
Minh
https://taisto.org/index.php?title=Stubby&diff=63891
Stubby
2018-09-15T21:32:41Z
<p>Minh: /* Integraatio Pi-holen kanssa */</p>
<hr />
<div>Stubby toimii paikallisena DNS over TLS-resolverina ja salaa DNS-liikenteen paikalliselta läppäriltä DNS-palvelimelle asti tarjoten parempaa yksityisyyden suojaa loppukäyttäjälle.<br />
<br />
== Asenna ja konfiguroi ==<br />
<br />
Asenna Stubby pakettihallinnasta<br />
<br />
sudo apt install stubby<br />
<br />
Kopioi alkuperäinen konfiguraatio varmuuden vuoksi eri tiedostoon<br />
<br />
sudo cp /etc/stubby/stubby.yml /etc/stubby/stubby.yml.orig<br />
<br />
Avaa konfigurointi tiedosto<br />
<br />
sudo nano /etc/stubby/stubby.yml<br />
<br />
Ota käyttöön DNSSEC-tarkistus poistamalla komentit seuraavilta riveiltä<br />
dnssec_return_status: GETDNS_EXTENSION_TRUE<br />
dnssec_trust_anchors: "/etc/unbound/getdns-root.key"<br />
<br />
Konfiguroi Upstream-palvelimiksi CloudFlaren DNS-palvelimet<br />
<br />
- address_data: 1.1.1.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
- address_data: 1.0.0.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
<br />
Käynnistä Stubby uudelleen<br />
<br />
sudo service stubby stop<br />
sudo service stubby start<br />
<br />
== Integraatio Pi-holen kanssa ==<br />
<br />
Mikäli haluat käyttää Stubbya esimerkiksi Pi-holessa, niin muuta portiksi 5353<br />
<br />
listen_addresses:<br />
- 127.0.0.1@5353<br />
- 0::1@5353<br />
<br />
Avaa sitten Pi-holen konfiguraatio tiedosto<br />
<br />
sudo nano /etc/dnsmasq.d/02-stubby.conf<br />
<br />
ja lisää nimipalvelimeksi Stubby-palvelu<br />
<br />
server=127.0.0.1#5353<br />
<br />
Käynnistä Pi-hole ja Stubby uudelleen<br />
<br />
Voit testata toimivuutta digillä<br />
<br />
dig @127.0.0.1 -p 5353 taisto.org</div>
Minh
https://taisto.org/index.php?title=Stubby&diff=63890
Stubby
2018-09-15T21:31:58Z
<p>Minh: /* Integraatio Pi-holen kanssa */</p>
<hr />
<div>Stubby toimii paikallisena DNS over TLS-resolverina ja salaa DNS-liikenteen paikalliselta läppäriltä DNS-palvelimelle asti tarjoten parempaa yksityisyyden suojaa loppukäyttäjälle.<br />
<br />
== Asenna ja konfiguroi ==<br />
<br />
Asenna Stubby pakettihallinnasta<br />
<br />
sudo apt install stubby<br />
<br />
Kopioi alkuperäinen konfiguraatio varmuuden vuoksi eri tiedostoon<br />
<br />
sudo cp /etc/stubby/stubby.yml /etc/stubby/stubby.yml.orig<br />
<br />
Avaa konfigurointi tiedosto<br />
<br />
sudo nano /etc/stubby/stubby.yml<br />
<br />
Ota käyttöön DNSSEC-tarkistus poistamalla komentit seuraavilta riveiltä<br />
dnssec_return_status: GETDNS_EXTENSION_TRUE<br />
dnssec_trust_anchors: "/etc/unbound/getdns-root.key"<br />
<br />
Konfiguroi Upstream-palvelimiksi CloudFlaren DNS-palvelimet<br />
<br />
- address_data: 1.1.1.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
- address_data: 1.0.0.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
<br />
Käynnistä Stubby uudelleen<br />
<br />
sudo service stubby stop<br />
sudo service stubby start<br />
<br />
== Integraatio Pi-holen kanssa ==<br />
<br />
Mikäli haluat käyttää Stubbya esimerkiksi Pi-holessa, niin muuta portiksi 5353<br />
<br />
listen_addresses:<br />
- 127.0.0.1@5353<br />
- 0::1@5353<br />
<br />
Avaa sitten Pi-holen konfiguraatio tiedosto<br />
<br />
sudo nano /etc/dnsmasq.d/02-stubby.conf<br />
<br />
ja lisää nimipalvelimeksi Stubby-palvelu<br />
<br />
server=127.0.0.1#5353<br />
<br />
Käynnistä Pi-hole ja Stubby uudelleen</div>
Minh
https://taisto.org/index.php?title=Stubby&diff=63889
Stubby
2018-09-15T21:31:43Z
<p>Minh: </p>
<hr />
<div>Stubby toimii paikallisena DNS over TLS-resolverina ja salaa DNS-liikenteen paikalliselta läppäriltä DNS-palvelimelle asti tarjoten parempaa yksityisyyden suojaa loppukäyttäjälle.<br />
<br />
== Asenna ja konfiguroi ==<br />
<br />
Asenna Stubby pakettihallinnasta<br />
<br />
sudo apt install stubby<br />
<br />
Kopioi alkuperäinen konfiguraatio varmuuden vuoksi eri tiedostoon<br />
<br />
sudo cp /etc/stubby/stubby.yml /etc/stubby/stubby.yml.orig<br />
<br />
Avaa konfigurointi tiedosto<br />
<br />
sudo nano /etc/stubby/stubby.yml<br />
<br />
Ota käyttöön DNSSEC-tarkistus poistamalla komentit seuraavilta riveiltä<br />
dnssec_return_status: GETDNS_EXTENSION_TRUE<br />
dnssec_trust_anchors: "/etc/unbound/getdns-root.key"<br />
<br />
Konfiguroi Upstream-palvelimiksi CloudFlaren DNS-palvelimet<br />
<br />
- address_data: 1.1.1.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
- address_data: 1.0.0.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
<br />
Käynnistä Stubby uudelleen<br />
<br />
sudo service stubby stop<br />
sudo service stubby start<br />
<br />
== Integraatio Pi-holen kanssa ==<br />
<br />
Mikäli haluat käyttää Stubbya esimerkiksi Pi-holessa, niin muuta portiksi 5353<br />
<br />
listen_addresses:<br />
- 127.0.0.1@5353<br />
- 0::1@5353<br />
<br />
Avaa sitten Pi-holen konfiguraatio tiedosto<br />
<br />
sudo nano /etc/dnsmasq.d/02-stubby.conf<br />
<br />
ja lisää nimipalvelimeksi Stubby-palvelu<br />
<br />
server=127.0.0.1#5353<br />
<br />
Käynnistä Pi-hole uudelleen</div>
Minh
https://taisto.org/index.php?title=Stubby&diff=63888
Stubby
2018-09-15T21:29:25Z
<p>Minh: Ak: Uusi sivu: Stubby toimii paikallisena DNS over TLS-resolverina ja salaa DNS-liikenteen paikalliselta läppäriltä DNS-palvelimelle asti tarjoten parempaa yksityisyyden suojaa loppukäyttäj...</p>
<hr />
<div>Stubby toimii paikallisena DNS over TLS-resolverina ja salaa DNS-liikenteen paikalliselta läppäriltä DNS-palvelimelle asti tarjoten parempaa yksityisyyden suojaa loppukäyttäjälle.<br />
<br />
== Asenna ja konfiguroi ==<br />
<br />
Asenna Stubby pakettihallinnasta<br />
<br />
sudo apt install stubby<br />
<br />
Kopioi alkuperäinen konfiguraatio varmuuden vuoksi eri tiedostoon<br />
<br />
sudo cp /etc/stubby/stubby.yml /etc/stubby/stubby.yml.orig<br />
<br />
Avaa konfigurointi tiedosto<br />
<br />
sudo nano /etc/stubby/stubby.yml<br />
<br />
Ota käyttöön DNSSEC-tarkistus poistamalla komentit seuraavilta riveiltä<br />
dnssec_return_status: GETDNS_EXTENSION_TRUE<br />
dnssec_trust_anchors: "/etc/unbound/getdns-root.key"<br />
<br />
Konfiguroi Upstream-palvelimiksi CloudFlaren DNS-palvelimet<br />
<br />
- address_data: 1.1.1.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
- address_data: 1.0.0.1<br />
tls_port: 853<br />
tls_auth_name: "cloudflare-dns.com"<br />
<br />
Käynnistä Stubby uudelleen<br />
<br />
sudo service stubby stop<br />
sudo service stubby start<br />
<br />
Mikäli haluat käyttää Stubbya esimerkiksi Pi-holessa, niin muuta portiksi 5353<br />
<br />
listen_addresses:<br />
- 127.0.0.1@5353<br />
- 0::1@5353</div>
Minh