顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - fz150n

頁: 1 2 3 [4]
91
你可以先比照一下列出來的模組:

CGI::SpeedyCGI 0 SpeedyCGI - Speed up perl scripts by running them persistently.  2.22
Crypt::DES 0 Perl DES encryption module  2.03
Digest::HMAC 84 Keyed-Hashing for Message Authentication  1.01
Digest::SHA1 0 Perl interface to the SHA-1 algorithm  2.10
Inline 6 Write Perl subroutines in other programming languages.  1.23
Mail::SpamAssassin 41 Spam detector and markup engine  3.000001
Net::Cmd 13 Network Command class (as used by FTP, SMTP etc)  2.26
Net::SNMP 12 Object oriented interface to SNMP
Net::SSLeay 1 Perl extension for using OpenSSL  1.25
Parse::RecDescent 0 Generate Recursive-Descent Parsers  
Quota 0 Perl interface to file system quotas  1.5.0
Razor2::Client::Agent 18

我不知道你的安裝程序如何,通常會出現這樣的錯誤,
大概都是少了什麼模組,順便回想一下,是不是安裝過程裡面,
有哪些錯誤訊息沒有發現。

上面貼的那些模組,也是從我最近裝的一台機器抓出來的,
同樣是Fedora,只是機器差了些Celeron 550的機種,
我想,你應該可以重新來過一次,確認各個版本的正確性,
並確保安裝過程沒有其他錯誤~

加油~我第一安裝時,弄了一個月耶~

92
最近剛好在裝 IBM x206,用的也是Adaptec HostRAID SATA,
我不確定是否可以套用,但我把安裝步驟寫出來:

1. BIOS裡面將HostRAID Enable,
2. 進入HostRAID建立陣列,
3. 下載驅動程式
4. 安裝時,輸入linux dd(看版本)
5. 插入磁片讓安裝程式載入驅動程式;(好像win2k server)
6. 沒抓到的話,用手動選取 SCSI > Adaptec HostRAID SATA

這樣就能裝系統了,不然會變成載入piix_ata的驅動程式,
單單只使用SATA 或一般IDE硬碟來安裝系統。

93
我用Mylex做的Global Array Manager,
GAM Server裝在Linux Server上面,
GAM Client裝在Windows上面,
透過一個UI以及網路,存取Linux Server的狀態。

這個卡大概也沒什麼人在用了,所以還是自己來比較好~

94
我的環境是 raid-5 5+1 磁碟陣列,(Mylex DAC960)
在Linux底下,只見得到/dev/rd/c0d0 or /dev/rd/c0d0pX等等裝置,
這樣的情形,還可以用SMART作簡單的監控嗎?

我把Smartmontool5.3安裝在其他單純scsi hard drive的機器,
做了簡單的硬碟狀況回報,但是,這種/dev/rd/c0d0的裝置,
smartmontool就好像不支援了?

除了直接巡機房之外,
是否有可以監控磁碟陣列裡面每顆硬碟狀態的工具呢?

我找了好久,是否有人可以稍稍只點一下,哪裡可以找到這樣的工具呢?

謝謝!

95
還記得MailScanner.conf裡面有這一行的設定:
# The site rules are searched for here.
# Normal location on most systems is /etc/mail/spamassassin.
SpamAssassin Site Rules Dir = /etc/mail/spamassassin

把你想重新改分數的規則,寫在local.cf,
(spam.assassin.prefs.conf也可以,只是,不需要全部擠在一起)
或者,最好自己建一個如:0_test_rule.cf,
前面加個零,正常來說,是會影響到載入順序的,
接著,依照我們在台灣收到的垃圾信中文標題,
(你得先會怎麼自己設定規則)
建一些基本的規則先測試,比如:10_sex_1.cf,
裡面可以輸入中文,抬頭的地方把它輸入中文,
重新啟動MailScanner之後,先用你的MailWatch看一下,
你的規則是否已經被載入了,接著,丟幾封信測試一下,
應該很快就能找到你要的了。

記得,沒發生作用時,先將MailScanner重新啟動一下。

96
引述: "craig"
一般是在 /etc/sysconfig/saslauthd 先設定好 FLAGS,
代碼: [選擇]
FLAGS=-O /etc/saslauthd.conf

然後自己加一個 /etc/saslauthd.conf 檔案,
內容大概如下:
代碼: [選擇]
ldap_servers: ldap://127.0.0.1/
ldap_version: 3
ldap_search_base: ou=People,dc=test,dc=com


因為小弟用的是FEDORA,saslauthd是用rpm版本,
當我參照大大們的設定之後,會出現access denied的錯誤,
於是,我小小修改了一下:

1. /etc/sysconfig/saslauthd

# Directory in which to place saslauthd's listening socket, pid file, and so
# on.  This directory must already exist.
SOCKETDIR=/var/run/saslauthd

# Mechanism to use when checking passwords.  Run "saslauthd -v" to get a list
# of which mechanism your installation was compiled to use.
MECH=ldap

# Additional flags to pass to saslauthd on the command line.  See saslauthd(8)
# for the list of accepted flags.
FLAGS=/etc/saslauthd.conf #只有把-O去掉
#因為說實在的小弟不知道原本加的-O是什麼功能,所以我先把他取消。

2. /etc/saslauthd.conf

ldap_servers: ldap://192.168.168.1/
ldap_bind_dn: uid=root,ou=People,dc=annie,dc=local
ldap_bind_pw: 1234
ldap_search_base: ou=People,dc=annie,dc=local
ldap_auth_method: bind
ldap_filter: uid=%u

3. 測試結果:

[root@www sysconfig]# testsaslauthd -u ada -p 1234
0: OK "Success."


4. /var/log/slapd.log的內容

Oct 10 14:19:41 www slapd[6524]: conn=165 op=6 BIND anonymous mech=implicit ssf=0
Oct 10 14:19:41 www slapd[6524]: conn=165 op=6 BIND dn="uid=root,ou=People,dc=annie,dc=local" method=128
Oct 10 14:19:41 www slapd[6524]: conn=165 op=6 BIND dn="uid=root,ou=People,dc=annie,dc=local" mech=SIMPLE ssf=0
Oct 10 14:19:41 www slapd[6524]: conn=165 op=6 RESULT tag=97 err=0 text=
Oct 10 14:19:41 www slapd[6524]: conn=165 op=7 SRCH base="ou=People,dc=annie,dc=local" scope=2 filter="(uid=ada)"
Oct 10 14:19:41 www slapd[6524]: conn=165 op=7 SRCH attr=dn
Oct 10 14:19:41 www slapd[6524]: conn=165 op=7 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 10 14:19:41 www slapd[6524]: conn=165 op=8 BIND anonymous mech=implicit ssf=0
Oct 10 14:19:41 www slapd[6524]: conn=165 op=8 BIND dn="uid=ada,ou=People,dc=annie,dc=local" method=128
Oct 10 14:19:41 www slapd[6524]: conn=165 op=8 BIND dn="uid=ada,ou=People,dc=annie,dc=local" mech=SIMPLE ssf=0

97
謝謝你,我找到了:

偵測Hack入侵...不可不知的小技巧 !!!

感謝~

98
先前有一位前輩寫了一個Script,
就是遇到有人用莫名其妙登入你的主機時,
會馬上發信給兩個使用者,
請問有人知道這篇文章還在嗎?

謝謝~

註:因為我忘了他放在那裡......對不起.....當作灌水好了.....

99
LDAP 討論區 / ldapmodify 的錯誤訊息
« 於: 2004-10-06 00:18 »
我想最主要應該是因為還沒建好base ldif吧?

你看看要不要先把baseDN建立好,(參考一下日京三子的文章)
有了骨幹,加入其他的東西應該就比較好除錯了吧?

日京三子的範例已經可以提供您大部分需要測試的內容,
所以,先K一下文章囉~

100
LDAP 討論區 / [分享]
« 於: 2004-10-04 02:16 »
休假兩天,想要把LDAP搞懂一點,結果,沒有什麼進展,
按照歐來禮那本書的設定,好不容易弄了kerberos來用,
結果,才發現這陣子kerberos出了紕漏,不知該不該繼續...

不過,我有試著裝一台Win 2000 server with AD,
然後在FEDORA上面,試著用Browser把AD的資料拉出來,
結果真的是可以的(哈~我比較笨)
basedn大概就是像dc=fz150n,dc=local
credential的部分,可以用CN=Administrator,CN=Users,$basedn
密碼的話,就用simple,然後輸入當初設定的administrator的密碼,
接著就可以把AD底下的資料全抓出來,甚至修改。

我打算這禮拜把smbldap弄起來,看看自己可不可以把AD全部移轉到FEDORA,
我想,這版上一定有人做出來了,如果願意的話,希望你們也可以分享一下,
如果沒人回應,我會試著把它做出來,然後貼出來大家分享。

呵呵~只是希望啦,Linux實在太強,太有趣了.....

對了,有個東西很好用:Softerra LDAP Administrator
網址在這裡:
http://download.softerra.com/ldap/index.html
我在w2k用這套測試openldap&AD,
個人覺得是所有類似工具裡面最好用的啦,
大家可以試試看,真的不錯,記得去註冊一個試用帳號喔!

101
LDAP 討論區 / [分享]
« 於: 2004-10-02 21:43 »
感謝日京三子,您真是太用心了!繼續繼續~

小弟看的也是同一本書,不過,剛開始弄的時候,還弄到不能登入,
搞到後來才又重灌。

後來到版上貼了之後,沒有得到我想要的答案,因此,我又搞了一陣子
才順利了一點。

我想,順便共襄盛舉一下,雖然我也搞不清楚在Fedora上面這樣做有什麼風險,不過,我也只是想學習一下LDAP的原理及運作,所以,我把其他我會的部分,也貼出來大家參考:

1. Openwebmail 2.40 + OpenLDAP on Linux Fedora Core 2

首先,參考文章之後,我發現總共有兩個方式可以做這樣的認證,
(想試的人,請先確定原本Openwebmail的auth_unix的認證方式已經ok,
還有,要像日京三子所貼,有一個運作正常的LDAP Server,其中包含兩個最重要的 ou - Group & People)

1-1 auth_pam.pl

先安裝這個模組:

http://www.perl.com/CPAN/authors/id/N/NI/NIKIP/Authen-PAM-0.14.tar.gz

perl Makefile.PL
make
make install

要確認安裝過程沒有錯誤。

修改 /var/www/cgi-bin/openwebmail/etc/openwebmail.conf

domainnames                     autol
auth_module                     auth_pam.pl


修改 /var/www/cgi-bin/openwebmail/etc/defaults/auth_pam.conf

servicename                             openwebmail
passwdfile_plaintext                   /etc/passwd
check_nologin                           no
check_shell                               no
check_cobaltuser                       no

修改 /var/www/cgi-bin/openwebmail/auth_pam.pl

如果不想設定/var/www/cgi-bin/openwebmail/etc/defaults/auth_pam.conf
直接把底下兩行改成
my $servicename = "openwebmail";
my $passwdfile_plaintext = "/etc/passwd";

這是原本的,不改的話,比較符合原著的彈性設計:
my $servicename = $conf{'servicename'} || "openwebmail";
my $passwdfile_plaintext = $conf{'passwdfile_plaintext'} || "/etc/passwd";

接著,產生一個 /etc/pam.d/openwebmail  的檔案,內容為:

#%PAM-1.0
auth       sufficient   /lib/security/$ISA/pam_ldap.so
auth       required   /lib/security/$ISA/pam_unix.so
account    required   /lib/security/$ISA/pam_unix.so
account    sufficient     /lib/security/$ISA/pam_ldap.so

好的,關鍵來了,touch /var/www/cgi-bin/openwebmail/openwebmail*.pl
(因為少了這個動作,害我搞了一個下午 :oops: )

好的,可以試試看了~

附註:我在想,因為先前已經改過 /etc/pam.d/system-auth 所以,我覺得不用另外生一個openwebmail的檔案,我先試試看,如果可以再回報上來。

還有,透過pam,再透過ldap認證,給它好像有點.....文雅一點,捨近求遠..我覺得啦~

1-2 auth_ldap.pl

這個比較簡單,

修改 /var/www/cgi-bin/openwebmail/etc/openwebmail.conf

domainnames                     autol
auth_module                     auth_ldap.pl

修改 /var/www/cgi-bin/openwebmail/etc/defaults/auth_ldap.conf

#
# config file for auth_ldap.pl
#

ldaphost    your.LDAP.SERVER.IP # LDAP SERVER IP
ou             People                      # LDAP ORGANIZATIONAL UNIT
cn             Manager                    # LDAP USER
dc1           FIRSTDC                    # FIRST DC
dc2           SECONDDC                # SECOND DC
password   PASSWORD        # LDAP PASSWORD

大概就是這樣囉,注意喔!僅.供.參.考.~
因為我自己在測試的時候,並不是所有的帳號都可以順利進入OWM,
像我有一個spammer的測試帳號,可以登入系統,但是登入OWM時會有:

無法建立使用者目錄! /home/spammer/mail (Permission denied)

2. http的ldap認證:

/etc/httpd/conf/httpd.conf

確定要有這兩樣模組:
LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so

然後在你要認證的地方,加入這些內容:

<Directory "/var/www/html/phpBB2">
    Order allow,deny
    Allow from all
    AuthName "phpBB2 LDAP auth"
    AuthType Basic
    AuthLDAPEnabled on
    AuthLDAPURL ldap://www.fz150n.local/ou=People,dc=fz150n,dc=local?uid?one
    AuthLDAPAuthoritative on
    require valid-user
</Directory>

下次只要有人想要存取這個網頁的時候,就會出現認證的對話框。

最後最後,小弟再度強調,因為是初學者,所以,貼出來的做法並不是最好最保險的,如果照作,可能也沒有辦法很順利完成這些工作,因此還是希望前輩們能出來指正,初學者也能一窺LDAP的奧秘,好嗎?[/list]

102
沒遇過說,除非手動登出,或者你有做其他設定,
但其實通常是鎖住螢幕之類的,完全跳出來的話,
就有其他問題了,我想。

103
你先檢查一下,speedy_suidperl是不是4555的權限,
假設他放在/usr/bin
chmod 4555 /usr/bin/speedy_suidperl

然後,檢查一下,/var/www/cgi-bin/openwebmail/openwebmail*.pl
檔頭第一行是不是
#!/usr/bin/speedy_suidperl -T -- -T /tmp/speedy
權限是不是也都設成4555的模式,

接下來,執行之後,看一下你的log,還是不行,把log貼出來,
大家可以幫忙看。

這是原文節錄,參考一下:

PERSISTENT RUNNING through SpeedyCGI
------------------------------------
SpeedyCGI: http://www.daemoninc.com/SpeedyCGI/

"SpeedyCGI is a way to run perl scripts persistently, which can make
them run much more quickly." - Sam Horrocks.

Openwebmail can get almost 5x to 10x speedup when running with SpeedyCGI.
You can get a quite reactive openwebmail systems on a very old P133 machine :)

Note: Don't try to fly before you can walk...
      Please do this speedup modification only after your openwebmail is working.

1. install SpeedyCGI

   get the latest SpeedyCGI source from
   http://sourceforge.net/project/showfiles.php?group_id=2208
   http://daemoninc.com/SpeedyCGI/CGI-SpeedyCGI-2.22.tar.gz

   cd /tmp
   tar -zxvf path_to_source/CGI-SpeedyCGI-2.22.tar.gz
   cd CGI-SpeedyCGI-2.22
   perl Makefile.PL (ans 'no' with the default)

   then edit speedy/Makefile
   and add " -DIAMSUID" to the end of the line of "DEFINE = "

   make
   make install
   (If you encounter error complaining about install mod_speedy,
    that is okay, you can safely ignore it.)

2. set speedy to setuid root

   Find the speedy binary according to the messages in previous step,
   it is possible-ly at /usr/bin/speedy or /usr/local/bin/speedy.

   Assume it is installed in /usr/bin/speedy

   cp /usr/bin/speedy /usr/bin/speedy_suidperl
   chmod 4555 /usr/bin/speedy_suidperl

3. modify openwebmail for speedy

   The code of openwebmail has already been modified to work with SpeedyCGI,
   so all you have to do is to
   replace the first line of all cgi-bin/openwebmail/openwebmail*pl
   from
   #!/usr/bin/suidperl -T
   to
   #!/usr/bin/speedy_suidperl -T -- -T/tmp/speedy

   The first -T option (before --) is for perl interpreter.
   The second -T/tmp/speedy option is for SpeedyCGI system,
   which means the prefix of temporary files used by SpeedyCGI.

   ps: You will see a lot of /tmp/speedy.number files if your system is
       quite busy, so you may change this to value like /var/run/speedy

4. test you openwebmail for the speedup.

5. If you are installing openwebmail on a low end machine, then you may
   wish to eliminate the firsttime startup delay of the scripts for the user.
   You may use the preload.pl, it acts as a http client to start
   openwebmail on the web server automatically.

   a. through web interface
      http://your_server/cgi-bin/openwebmail/preload.pl
      Please refer to preload.pl for default password and how to change it.

   b. through command line or you can put the following line in crontab
      to preload the most frequently used scripts into mempry

      0 * * * *   /usr/local/www/cgi-bin/openwebmail/preload.pl -q openwebmail.pl openwebmail-main.pl openwebmail-read.pl

      If your machine has a lot of memory, you may choose to preload all
      openwebmail scripts

      0 * * * *   /usr/local/www/cgi-bin/openwebmail/preload.pl -q --all

104
O'RELLY那本書才剛開始看而已,
上面貼出來的那些做法,是從"LINUX網路管理實務"抄出來,
搞了半天,因為概念並不是很懂,所以才弄得一頭霧水。

我住頭份耶~ :lol:

105
真是謝謝您的回覆,真的!

其實是這樣的,這是我第一次使用OpenLDAP,對於整個LDAP的運作,
只有一點點的概念,這次出了這樣的問題,是由於我按照書上的指示,
一步一步的將OpenLDAP安裝起來,目的是想要透過LDAP,實行系統認證
登入的動作,所以,我花一點點時間,把我做的東西,一一寫出來:

1. 修改slapd.conf
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include      /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/nis.schema
#include         /usr/local/etc/openldap/schema/openldap.schema
# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral   ldap://root.openldap.org

pidfile      /usr/local/var/run/slapd.pid
argsfile   /usr/local/var/run/slapd.args

# Load dynamic backend modules:
modulepath   /usr/local/libexec/openldap
#moduleload   back_bdb.la
#moduleload   back_ldap.la
#moduleload   back_ldbm.la
#moduleload   back_passwd.la
#moduleload   back_shell.la

# Sample security restrictions
#   Require integrity protection (prevent hijacking)
#   Require 112-bit (3DES or better) encryption for updates
#   Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#   Root DSE: allow anyone to read it
#   Subschema (sub)entry DSE: allow anyone to read it
#   Other DSEs:
#      Allow self write access
#      Allow authenticated users read access
#      Allow anonymous users to authenticate
#   Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to * by * read
#   by self write
#   by users read
#   by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# BDB database definitions
#######################################################################

database   bdb
suffix      "dc=ldaptest,dc=local"
rootdn      "uid=root,ou=People,dc=ldaptest,dc=local"
# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
#rootpw      secret
rootpw      {MD5}N89JWrguh3iHveOVkFzFyg==
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory   /usr/local/var/openldap-data
# Indices to maintain
index   objectClass   eq

2. 新增base.ldif
dn: dc=ldaptest,dc=local
objectClass: top
objectClass: domain
domainComponent: ldaptest

3. container.ldif
dn: ou=People,dc=ldaptest,dc=local
objectClass: top
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=ldaptest,dc=local
objectClass: top
objectClass: organizationalUnit
ou: Group

4. group.ldif(使用MigrationTool轉換/etc/group)
dn: cn=root,ou=Group,dc=ldaptest,dc=local
objectClass: posixGroup
objectClass: top
cn: root
userPassword: {crypt}x
gidNumber: 0

dn: cn=bin,ou=Group,dc=ldaptest,dc=local
objectClass: posixGroup
objectClass: top
cn: bin
userPassword: {crypt}x
gidNumber: 1
memberUid: daemon
memberUid: root

dn: cn=daemon,ou=Group,dc=ldaptest,dc=local
objectClass: posixGroup
objectClass: top
cn: daemon
userPassword: {crypt}x
gidNumber: 2
memberUid: bin  

5. user.ldif(使用MigrationTool轉換/etc/passwd and /etc/shadow)
dn: uid=root,ou=People,dc=ldaptest,dc=local
uid: root
cn: root
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}$dfghdfcbpo.urdtghrtsndy
shadowLastChange: 12682
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 0
gidNumber: 0
homeDirectory: /root
gecos: root

dn: uid=bin,ou=People,dc=ldaptest,dc=local
uid: bin
cn: bin
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}vbmvtwegmhpfxdrgtghjfy8yud
shadowLastChange: 12682
shadowMax: 99999
shadowWarning: 7
loginShell: /sbin/nologin
uidNumber: 1
gidNumber: 1
homeDirectory: /bin
gecos: bin

dn: uid=daemon,ou=People,dc=ldaptest,dc=local
uid: daemon
cn: daemon
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}jgkhea6yjncvghser
shadowLastChange: 12682
shadowMax: 99999
shadowWarning: 7
loginShell: /sbin/nologin
uidNumber: 2
gidNumber: 2
homeDirectory: /sbin
gecos: daemon

6. /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        sufficient    /lib/security/$ISA/pam_ldap.so use_first_pass
auth        required      /lib/security/$ISA/pam_deny.so

account     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100
account     required      /lib/security/$ISA/pam_unix.so
account     [default=bad success=ok user_know=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_ldap.so

password    requisite     /lib/security/$ISA/pam_cracklib.so retry=3
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password    sufficient    /lib/security/$ISA/pam_ldap.so use_authtok
password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so
session     sufficient    /lib/security/$ISA/pam_ldap.so
#session     required      /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel umask=0022

7. # /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Legal entries are:
#
#   nisplus or nis+      Use NIS+ (NIS version 3)
#   nis or yp      Use NIS (NIS version 2), also called YP
#   dns         Use DNS (Domain Name Service)
#   files         Use the local files
#   db         Use the local database (.db) files
#   compat         Use NIS on compat mode
#   hesiod         Use Hesiod for user lookups
#   [NOTFOUND=return]   Stop searching if not found so far
#

# To use db, put the "db" in front of "files" for entries you want to be
# looked up first in the databases
#
# Example:
#passwd:    db files nisplus nis
#shadow:    db files nisplus nis
#group:     db files nisplus nis

passwd:     ldap files
shadow:     ldap files
group:      ldap files

#hosts:     db files nisplus nis dns
hosts:      files dns

# Example - obey only what nisplus tells us...
#services:   nisplus [NOTFOUND=return] files
#networks:   nisplus [NOTFOUND=return] files
#protocols:  nisplus [NOTFOUND=return] files
#rpc:        nisplus [NOTFOUND=return] files
#ethers:     nisplus [NOTFOUND=return] files
#netmasks:   nisplus [NOTFOUND=return] files    

bootparams: nisplus [NOTFOUND=return] files

ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files

netgroup:   files

publickey:  nisplus

automount:  files
aliases:    files nisplus

我自己有重新使用OpenLDAP的src編譯過,所以路徑不太一樣,
但是整個設定過程大概就是改了這些檔案。

您說的log,講真的,我不知道要去哪裡找耶~
不過,我用 -d 1的方式,節路了一段error給你看一下:

error :

ber_get_next
ber_get_next on fd 17 failed errno=0 (Success)
connection_read(17): input error=-2 id=28, closing.
connection_closing: readying conn=28 sd=17 for close
connection_close: conn=28 sd=17
connection_get(24): got connid=35
connection_read(24): checking for input on id=35
ber_get_next
ber_get_next on fd 24 failed errno=0 (Success)
connection_read(24): input error=-2 id=35, closing.
connection_closing: readying conn=35 sd=24 for close
connection_close: conn=35 sd=24
connection_get(25): got connid=36
connection_read(25): checking for input on id=36
ber_get_next
ber_get_next on fd 25 failed errno=0 (Success)
connection_read(25): input error=-2 id=36, closing.
connection_closing: readying conn=36 sd=25 for close
connection_close: conn=36 sd=25
do_search
ber_scanf fmt ({miiiib) ber:
>>> dnPrettyNormal: <dc=ldaptest,dc=local>
=> ldap_bv2dn(dc=ldaptest,dc=local,0)
ldap_err2string
<= ldap_bv2dn(dc=ldaptest,dc=local)=0 Success
=> ldap_dn2bv(272)
ldap_err2string
<= ldap_dn2bv(dc=ldaptest,dc=local)=0 Success
=> ldap_dn2bv(272)
ldap_err2string
<= ldap_dn2bv(dc=ldaptest,dc=local)=0 Success
<<< dnPrettyNormal: <dc=ldaptest,dc=local>, <dc=ldaptest,dc=local>
ber_scanf fmt ({mm}) ber:
ber_scanf fmt ({mm}) ber:
ber_scanf fmt ({M}}) ber:
==> limits_get: conn=37 op=1 dn="[anonymous]"
=> bdb_search
bdb_dn2entry("dc=ldaptest,dc=local")
=> bdb_dn2id( "dc=ldaptest,dc=local" )
<= bdb_dn2id: get failed: DB_NOTFOUND: No matching key/data pair found (-30990)
send_ldap_result: conn=37 op=1 p=3
send_ldap_response: msgid=2 tag=101 err=32
ber_flush: 14 bytes to sd 26
connection_get(18): got connid=29
connection_read(18): checking for input on id=29
ber_get_next
ber_get_next on fd 18 failed errno=0 (Success)
connection_read(18): input error=-2 id=29, closing.
connection_closing: readying conn=29 sd=18 for close
connection_close: conn=29 sd=18
connection_get(26): got connid=37
connection_read(26): checking for input on id=37
ber_get_next
ber_get_next on fd 26 failed errno=0 (Success)
connection_read(26): input error=-2 id=37, closing.
connection_closing: readying conn=37 sd=26 for close
connection_close: conn=37 sd=26

大概就是這樣了,我還是會努力的把O'RELLY那本LDAP看完,
或許,我就可以更能進入狀況了!

謝謝!

106
這幾天買了書來學OPENLDAP,旗標出版的,我按照書上的指示,
全安裝好了,結果,除了root之外,竟然沒有辦法登入?
剛剛我把/etc/pam.d/system-auth裡面的幾行註解掉了,
結果就能照平常的帳號密碼登入FEDORA,所以,
可不可以請大家告訴小弟,該怎麼設定,才能在登入console
的時候,正常的配合OpenLDAP認證呢?
謝謝!
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
#auth        sufficient    /lib/security/$ISA/pam_ldap.so use_first_pass
auth        required      /lib/security/$ISA/pam_deny.so

account     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100
account     required      /lib/security/$ISA/pam_unix.so
#account     [default=bad success=ok user_know=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_ldap.so

password    requisite     /lib/security/$ISA/pam_cracklib.so retry=3
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
#password    sufficient    /lib/security/$ISA/pam_ldap.so use_authtok
password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so
#session     optional      /lib/security/$ISA/pam_ldap.so :(

107
你的動作只是將Linux底下的user摳給samba來用,
這樣做並不包含密碼檔的~

所以,你得下一個這樣的指令:

smbpasswd USERNAME

然後,輸入兩次密碼,這樣就可以了。

不信的話,你把/etc/samba/smbpasswd這個檔案打開,
每個user的設定大概都長這樣:
root:0:xxxxxxxxxxx:xxxxxxxxxxxxxx

不過,話又說回來了,我發現好像沒有辦法直接將現有的
Linux user連名帶碼的丟給samba用?

有沒有人有這樣的解決方案呢?

108
不是灌水~ :D

實在是想說,或許版上的人不一定都會習慣上TANet的Linux版,
所以,小弟把先前在BBS貼的文章,轉了過來,希望能提供
給這方面有興趣的人參考。

-------------------------------------------------------------------
發信人: fz150@cis_nctu (帥帥達), 信區: 'Linux'
標  題: Re: MailScanner安裝心得---Part-I
發信站: 交大資科_BBS (Tue Sep  7 23:44:16 2004)
來  源: 220-141-34-239.dynamic.hinet.net

今天才發現根本沒說使用的是什麼系統,
所以除了補充我的硬體環境之外,並增加了一些下載連結,因為,
今天試著連結過去下載時,只要是sourceforge.org的,大部分都
不能直接抓,所以我把Project的網址也貼進來。

安裝系統:RedHat Fedora Core2

測試主機:
ASUS P4B
512 Mb SDRAM
P4 2.4GHz
15 Gb ATA-100 HDD(其他兩個ATA-133是Windows作業系統)

另外,我將我的perl modules列了出來,希望可以提供參考:

以RPM安裝的module :

perl-URI-1.30-1
perl-HTML-Tagset-3.03-29
perl-XML-Parser-2.34-2
perl-libxml-enno-1.02-30
perl-MailTools-1.50-1
perl-Archive-Zip-1.13-1
perl-Compress-Zlib-1.33-4
perl-5.8.3-18
perl-DBI-1.40-4
perl-DBD-MySQL-2.9003-4
perl-DateManip-5.42a-1
perl-HTML-Parser-3.35-5
perl-libwww-perl-5.79-1
perl-libxml-perl-0.07-29
perl-XML-Encoding-1.01-25
perl-Net-CIDR-0.09-3
perl-TimeDate-1.1301-3
perl-MIME-tools-5.411-pl4.3
perl-Convert-BinHex-1.119-2
perl-Parse-RecDescent-1.94-3
perl-suidperl-5.8.3-18.1
perl-Filter-1.30-5
perl-Parse-Yapp-1.05-31
perl-XML-Dumper-0.71-1
perl-DBD-Pg-1.31-5
perl-IO-stringy-2.108-1
perl-Convert-TNEF-0.17-1
perl-Text-Iconv-1.2-fc2

以CAPN安裝的模組:

Authen::SASL
DBD::mysql
Net::LDAP
CGI::SpeedyCGI
Convert::ASN1
Digest::BubbleBabble
Digest::HMAC
Digest::SHA1
Gaim
Inline
Mail::ClamAV
Mail::SpamAssassin
Net::DNS
Net::SSLeay
Pod::Escapes
Pod::Simple
Razor2::Client::Agent
Test::Builder::Tester
Test::Pod
XML::SAX::Base

-----------------------------------------------------------------------
1. 安裝MailScaner主程式:
http://www.sng.ecs.soton.ac.uk/mailscanner/files/4/tar/MailScanner-install-4.33.3-1.tar.gz
tar xzvf MailScanner-4.33.3-1.rpm.tar.gz
進入解壓縮後的目錄,執行:

./install.sh

接著,請執行下面指令,往後不需直接啟動Sendmail,
因為MailScanner會自行呼叫sendmail。
(請勿直接啟動sendmail)

service sendmail stop
chkconfig sendmail off
chkconfig --level 2345 MailScanner on
service MailScanner start

建議等相關軟體安裝完畢再啟動MailScanner,
先啟動也無所謂,等裝好要測試了,就輸入:
/etc/init.d/MailScanner restart

2. 安裝Spamassassin 3.0(或2.64)

Spamassassin 2.64是目前最穩定的版本,因為我想,既然要測試,
乾脆就拉新版的來裝,如果您急於上線測試,裝2.64就好。

先安裝Digest-SHA1-2.10.tar.gz

http://search.cpan.org/CPAN/authors/id/G/GA/GAAS/Digest-SHA1-2.10.tar.gz

tar xzvf Digest-SHA1-2.10.tar.gz
cd Digest-SHA1-2.10
perl Makefile.PL
make
make install
(先別把目錄刪除,因為等會安裝razor-agents-2.61時,需要重新來一次)

接著安裝Spamassassin 3.0
tar xzvf Mail-SpamAssassin-3.0.0-rc2.tar.gz
perl Makefile.PL

如果出現任何錯誤,如某個module::name找不到,
試著上網先找到相關模組,安裝完,重新作一次perl Makefile.PL
一般都會在這兩個地方找得到:
www.cpan.org
www.sourceforge.org

make
make install

以下3-5相關套件不一定要裝,請視需要而定(首次安裝的話,建議跳過去)。

3. 安裝razor
(以下網路位置可能有更動,如果找不到,請到http://www.sourceforge.org/搜尋。)

先裝 razor-agents-sdk

http://voxel.dl.sourceforge.net/sourceforge/razor/razor-agents-sdk-2.03.tar.gz
http://sourceforge.net/projects/razor/

tar xzvf razor-agents-sdk-2.03.tar.gz
cd razor-agents-sdk-2.03
perl Makefile.PL
make
make install

再裝 razor-agents

http://aleron.dl.sourceforge.net/sourceforge/razor/razor-agents-2.61.tar.gz
http://sourceforge.net/projects/razor/

tar xzvf razor-agents-2.61.tar.gz
cd razor-agents-2.61

perl Makefile.PL
(如前說過,如果出現Digest::SHA1 not found,請重新安裝一次Digest::SHA1)

make
make install

接著執行razor-client

razor-client

出現以下訊息:
Creating symlink razor-client <== /usr/bin/razor-check
Creating symlink razor-client <== /usr/bin/razor-report
Creating symlink razor-client <== /usr/bin/razor-revoke
Creating symlink razor-client <== /usr/bin/razor-admin

接著輸入:
razor-admin --register -user=你的電子郵件或名稱 -pass=你的密碼
正常的話,會出現以下的訊息:
Register successful.  Identity stored in /root/.razor/identity-你的電子郵件或名稱

4. 安裝Pyzor

http://easynews.dl.sourceforge.net/sourceforge/pyzor/pyzor-0.4.0.tar.bz2
http://sourceforge.net/projects/razor/

如果不熟bzip2的解壓縮,可以到x-windows底下先解開來,再狠一點,
丟給windows底下的winrar幫你解...^_^

bzip2 -d pyzor-0.4.0.tar.bz2
tar xvf pyzor-0.4.0.tar
cd pyzor-0.4.0

python setup.py build
python setup.py install

更改權限:

chmod -R a+rX /usr/share/doc/pyzor
chmod -R a+rX /usr/lib/python2.3/site-packages/pyzor
(或chmod -R a+rX /usr/lib/python2.2/site-packages/pyzor)
chmod -R a+rX /usr/bin/pyzor /usr/bin/pyzord

5. 安裝DCC

http://www.rhyolite.com/anti-spam/dcc/source/dcc-dccd.tar.Z
http://www.rhyolite.com/anti-spam/dcc/

tar xzvf dcc-dccd.tar.Z
cd dcc-dccd-1.2.51
./configure
make
make install

6. MailScanner-mrtg

確定是否安裝mrtg:
rpm -qa | grep mrtg

如果沒有:
http://download.fedora.redhat.com/pub/fedora/linux/core/2/i386/os/Fedora/RPMS/mrtg-2.10.5-3.i386.rpm

rpm -ivh mrtg-2.10.5-3.i386.rpm

不用裝最新版的,你的Fedora光碟底下也有。

下載MailScanner-mrtg

http://unc.dl.sourceforge.net/sourceforge/mailscannermrtg/mailscanner-mrtg-0.08.01-1.noarch.rpm
http://sourceforge.net/projects/mailscannermrtg/

rpm -ivh mailscanner-mrtg-0.08.01-1.noarch.rpm

建立一個檔案夾:
mkdir /var/spool/mailscanner-mrtg

修改fstab

vi /etc/fstab
增加以下兩行(記憶體要夠多!)

none    /var/spool/MailScanner/incoming         tmpfs   defaults        0 0
none    /var/spool/mailscanner-mrtg             tmpfs   defaults        0 0

加入第一行,順便連MailScanner的處理速度都加快了!
(這是MailScanner官方文件建議的做法,不是我自己掰的喔~)

接著修改及確認/etc/MailScanner/mailscanner-mrtg.conf

MailScanner Work Directory = /var/spool/MailScanner/incoming
...
Spool Directory = /var/spool/mailscanner-mrtg
...
Quarantine Directory = /var/spool/MailScanner/quarantine
...
Use SNMP = no
snmp留給熟悉snmp的人去踹~

以後你就可以在網址列輸入:
http://your.host.ip/mailscanner-mrtg/
觀看你的郵件流量。

到Goole找找,有更詳細的設定!

目前為止,還沒將MailScaner啟動,好的,先裝防毒軟體:

7. ClamAV

http://prdownloads.sourceforge.net/clamav/clamav-0.75.1.tar.gz

tar xzvf clamav-0.75.1.tar.gz
cd clamav-0.75.1
./configure
make
make install

如果在/var/log/maillog發現update clamav失敗時,請將freshclam拷貝一份到/usr/bin
cp /usr/local/bin/freshclam /usr/bin/freshclam

如果在MailScanner裡面使用clamavmodule出現問題的話,也請將libcalmav摳一份到/usr/lib:
cp /usr/local/lib/libclam*.* /usr/lib

當然,如果你會cp link的指令,就用link就好了。

注意,在沒有指定額外的路徑時:
ClamAV的執行檔在:
/usr/local/bin:
cdcc
clamav-config
clamdscan
clamscan
dccproc
freshclam
sigtool

設定檔在:
/usr/local/etc:
clamav.conf
freshclam.conf

病毒碼在:
/usr/local/share/clamav:
daily.cvd
main.cvd

7-1 clamavmodule(加快MailScanner掃毒的效率)

安裝clamavmodule至少需要安裝這兩個套件:
http://download.fedora.redhat.com/pub/fedora/linux/core/2/i386/os/Fedora/RPMS/perl-Inline-0.44-13.i386.rpm
http://download.fedora.redhat.com/pub/fedora/linux/core/2/i386/os/Fedora/RPMS/perl-Parse-RecDescent-1.94-3.noarch.rpm

如果安裝過程出現錯誤,請先把安裝程式找不到的模組裝上,如果還是不行,
請務必很仔細的檢查發生錯誤的地方,大致上常見的問題有模組不正確(Inline比較有問題,
或ClamAV主程式安裝時就有問題),要很有耐心,因為後面還有MailWatch,如果這個裝不起來,
那MailWatch就更不用裝了,如果一次就裝起來,表示你真的真的很厲害也很幸運!

http://search.cpan.org/CPAN/authors/id/S/SA/SABECK/Mail-ClamAV-0.11.tar.gz
tar xzvf Mail-ClamAV-0.11.tar.gz
cd Mail-ClamAV-0.11
perl Makefile.PL
make
make install

小小收工一下,開始動手改/etc/MailScanner/MailScanner.conf

8. 修改/etc/MailScanner/MailScanner.conf

MailScanner的作者Julian Field是個天才,寫的東西卻很嚴謹又平易近人,
我想,設定檔內容雖然多,有時間一定要好好讀,這裡只是一些基本
的設定,幫助您的系統順利運作,不過,還是強調一點,有時間一定要好好
的將所有內容讀一遍喔!

%org-name% = 輸入你喜歡的名稱但不能有任何空白
File Command = /usr/bin/file
Virus Scanners = clamavmodule #可以先用clamav試試。
Monitors for ClamAV Updates = /usr/local/share/clamav/*.cvd
Detailed Spam Report = yes
Include Scores In SpamAssassin Report = yes
Always Include SpamAssassin Report = yes
Notify Senders = no
Notify Senders Of Viruses = no
Notify Senders Of Blocked Filenames Or Filetypes = no
Notify Senders Of Other Blocked Content = no
Scanned Modify Subject = end #每一封被掃描過的信,主旨都會加一段{Scanned}
Scanned Subject Text = {Scanned} #可以是中文
Spam Subject Text = {Spam?}#可以是中文
High Scoring Spam Subject Text = {Garbage?}#可以是中文
Spam Checks = yes
Use SpamAssassin = yes
Required SpamAssassin Score = 6
High SpamAssassin Score = 10
Spam Actions = deliver
High Scoring Spam Actions = store
SpamAssassin Site Rules Dir = /etc/mail/spamassassin
SpamAssassin Default Rules Dir = /usr/share/spamassassin
Debug SpamAssassin = yes

詳細內容請參考下列非常棒的網頁:
http://www.study-area.net/tips/v_scan1.htm
http://atm.ee.nsysu.edu.tw/~fgtseng/system/mailscanner.html
http://www.vbird.org/somepaper/20030905-mailscanner-conf.htm

ftp://ohaha.ks.edu.tw/pub/sample/MailScanner/tw.tar.gz
你可以下載ohaha所辛苦製作的中文回報檔,解壓後,將tw目錄放到:
/etc/MailScanner/reports,然後修改:

%report-dir% = /etc/MailScanner/reports/tw

好的,重新啟動MailScanner吧!隨時監控/var/log/maillog
幫助您調整系統。

MailWatch也是非常好用的工具,舉凡MailScanner下的一舉一動,
都可以藉由MailWatch結合MySQL資料庫監控。

如果需要MailWatch的安裝步驟,請寫信給我,因為我還沒寫呢~
不過,喜歡自己踹的人,可以自己拉tarball回來,邊看邊裝。

小弟技術還不純熟,說穿了就那幾招,高手看完如果覺得哪裡的指令
下得不好,請寫信告訴我,小弟感激不盡!

對了!MailScanner有Webmin的模組,有興趣的人可以裝來用:
http://lushsoft.dyndns.org/mailscanner-webmin/webmin-module-0.9.wbm
記得先備份你所有的設定檔。

fz150
fz150n67@hotmail.com
--
 * Post by fz150 from 220-141-34-239.dynamic.hinet.net
 * Origin: ★ 交通大學資訊科學系 BBS ★ <bbs.cis.nctu.edu.tw: 140.113.23.3>

109
小弟提供一下比較彈性的做法,參考一下:
MailScanner.conf

Spam Actions = diliver forward spammer@localhost

開一個專屬的廣告信箱,spammer,
判斷為廣告信的,仍然寄給user,同時轉一封給spammer,
順便可以通知User,一但收到信時,轉一份給spammer@localhost,
(同樣的信,不會被學習兩次)
如此一來,就可以善用bayes資料庫,有效建立判斷機制,
記得喔!廣告信數量小於200封信時,bayes是起不了作用的,

至於那種極高分的"垃圾信",直接做掉就好了,
但是你的系統負荷如果不高,可以考慮把他轉為"隔離",
然後配合MailWatch來檢視是否真的要殺掉,或學習為廣告信:

High Scoring Spam Actions = delete(or store)

110
那個clamavmodule真的不好裝,不過,
我從開使用MailScanner到現在,一直都用他,
而且覺得效果也挺好的,我把先前寫的文章貼出來,
希望您能參考看看:

---------------------------------------------------------------------------
(前略)
7. ClamAV

http://prdownloads.sourceforge.net/clamav/clamav-0.75.1.tar.gz

tar xzvf clamav-0.75.1.tar.gz
cd clamav-0.75.1
./configure
make
make install

如果在/var/log/maillog發現update clamav失敗時,請將freshclam拷貝一份到/usr/bin
cp /usr/local/bin/freshclam /usr/bin/freshclam

如果在MailScanner裡面使用clamavmodule出現問題的話,也請將libcalmav摳一份到/usr/lib:
cp /usr/local/lib/libclam*.* /usr/lib

當然,如果你會link的指令,就用link就好了。

注意,在沒有指定額外的路徑時:
ClamAV的執行檔在:
/usr/local/bin:
cdcc
clamav-config
clamdscan
clamscan
dccproc
freshclam
sigtool

設定檔在:
/usr/local/etc:
clamav.conf
freshclam.conf

病毒碼在:
/usr/local/share/clamav:
daily.cvd
main.cvd

7-1 clamavmodule(加快MailScanner掃毒的效率)

安裝clamavmodule至少需要安裝這兩個套件:
http://download.fedora.redhat.com/pub/fedora/linux/core/2/i386/os/Fedora/RPMS/perl-Inline-0.44-13.i386.rpm
http://download.fedora.redhat.com/pub/fedora/linux/core/2/i386/os/Fedora/RPMS/perl-Parse-RecDescent-1.94-3.noarch.rpm

如果安裝過程出現錯誤,請先把安裝程式找不到的模組裝上,如果還是不行,
請務必很仔細的檢查發生錯誤的地方,大致上常見的問題有模組不正確(Inline比較有問題,
或ClamAV主程式安裝時就有問題),要很有耐心,因為後面還有MailWatch,如果這個裝不起來,
那MailWatch就更不用裝了,如果一次就裝起來,表示你真的真的很厲害也很幸運!

http://search.cpan.org/CPAN/authors/id/S/SA/SABECK/Mail-ClamAV-0.11.tar.gz
tar xzvf Mail-ClamAV-0.11.tar.gz
cd Mail-ClamAV-0.11
perl Makefile.PL
make
make install

111
Linux 討論版 / 使用mailscanner-mrtg有錯誤訊息
« 於: 2004-09-17 22:41 »
那個MailScanner-mrtg的錯誤訊息不必這麼累的~
其實,你只要把mailscanner-mrtg所出現的那個錯誤目錄,
改一下,比如說:(自己建一個目錄)

/var/spool/mailscanner-mrtg

接著,修改/etc/fstab,加入底下這兩行:

none   /var/spool/MailScanner/incoming      tmpfs   defaults   0 0
none   /var/spool/mailscanner-mrtg      tmpfs   defaults   0 0

不但問題解決了,順便連MailScanner的速度都加快了!

試試看,一定可以的,我後來是參考MailScanner的文件自己動手改的,
再也沒收到這樣的錯誤。

頁: 1 2 3 [4]