Get Social

Где plesk 17 (оникс) хранит открытый ключ dkim?

Как найти postfix public domainkey в сервере plesk для настроек dkim dns?

После активации dkim в панели plesk никаких сервисов (вроде opendkim) не требуется.
Закрытые ключи для доменов (domainkeys) хранятся в «/etc/domainkeys/», но общедоступныx ключей (public) dkim на сервере мы не найдём.

Однако, мы можем легко сгенерировать их:

# openssl rsa -in /etc/domainkeys/somedomain.tld/default -pubout -out /etc/domainkeys/somedomain.tld/public
# writing RSA key

После этого вы увидите:

# cat /etc/domainkeys/somedomain.tld/public
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDNP/0esApEWVmQEtjbT8WGJSyPhKpNvxuxHDSf/TChc1ssgO+DWtXOdFyd/jM1L+vtBUOXLewmrWJ+shnAiZOibyR2LtCvmBZ44K08UvC6Xqnz8Jh9BLv9K0KZ/3tX7UU0DMHQ/zWb1Ya6cWHfkfJc4H+DkqAGQhQPZMk3nrwXVwIDAQAB
-----END PUBLIC KEY-----

И, наконец, можно настроить dkim dns у своего хостинг провайдера, примерно так:
имя: default._domainkey
тип: TXT
значение: "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDNP/0esApEWVmQEtjbT8WGJSyPhKpNvxuxHDSf/TChc1ssgO+DWtXOdFyd/jM1L+vtBUOXLewmrWJ+shnAiZOibyR2LtCvmBZ44K08UvC6Xqnz8Jh9BLv9K0KZ/3tX7UU0DMHQ/zWb1Ya6cWHfkfJc4H+DkqAGQhQPZMk3nrwXVwIDAQAB"

Для проверки коректности dkim можно воспользоваться этим сервисом.

Как разблокировать ip-адрес, заблокированый Fail2ban

Как разблокировать ip-адрес, заблокированый Fail2ban, картинка

Как системному администратору, мне трудно себе представить спокойную жизнь без Fail2ban.

Этот сервис отслеживает логи многих служб, таких как веб-сервер, почтовый сервер, openssh-сервер и так далее. В случае подозрительной активности (как правило, много неудачных авторизаций), он автоматически блокирует (используя правила iptables) на заданное время ip-адрес, с которого были эти авторизации. Настройка Fail2ban – это отдельная тема.

В этой статье поговорим о том, как разблокировать себя или другого пользователя, который по неосторожности несколько раз ввёл неправильный пароль и его заблокировало Fail2ban.

1. Нужно залогиниться по ssh под другим ip-адресом на сервер под root (либо под другим пользователем, но потом выполнить процедуру “su -“, чтобы получить root-права).

2. Чтобы увидеть, какие IP-адреса заблокированы, набрать следующую команду:
iptables -L -n
если вывод команды очень длинный, то можно так:
iptables -L -n | less

3. Далее найти цепочку fail2ban-ssh (мы говорим о блокировке по ssh, если другая служба – искать соответствующую цепочку), где и должен быть наш IP:
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0

4. Чтобы удалить IP адрес из блокировки Fail2ban, нужно выполнить следующую команду (aa.bb.cc.dd – IP, который нужно разблокировать):
iptables -D fail2ban-ssh -s aa.bb.cc.dd -j DROP

После этого пользователь сможет вновь подключиться к серверу по ssh.

Как настроить Nginx в Vesta CP, чтобы получить A+ рейтинг на ssllabs

image - Как настроить Nginx в Vesta CP, чтобы получить A+ рейтинг на ssllabs

Задача: настроить SSL (https) в конфиге Nginx чтобы получить grade A+ тут: https://www.ssllabs.com/ssltest/

Лучше всего отредактировать /usr/local/vesta/data/templates/web/nginx/default.stpl
(тем более, что Vesta CP перезапишет сделанные вручную в конфиге изменения, если что-то будете редактировать из панели)

Открываем в любимом редакторе (конечно же nano 🙂 )
nano /usr/local/vesta/data/templates/web/nginx/default.stpl

Добавляем следующие 4 фрагмента:

1. После %ip%:%proxy_ssl_port% в той же строке:

ssl http2

2. После server_name:

add_header Strict-Transport-Security "max-age=31536000;" always;
ssl_stapling on;
ssl_stapling_verify on;

3. После ssl_certificate_key %ssl_key%;
ssl_dhparam /home/admin/conf/web/dhparams.pem;
(сначала нужно сгенерировать dhparams.pem и положить в нужную папку:
openssl dhparam -out /home/admin/conf/web/dhparams.pem 4096
)

4. (этот фрагмент нельзя просто копипастить из браузера, проверьте на переносы строк)

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_prefer_server_ciphers on;

получится примерно следующее:

server {
listen %ip%:%proxy_ssl_port% ssl http2;
server_name %domain_idn% %alias_idn%;
add_header Strict-Transport-Security "max-age=31536000;" always;
ssl_stapling on;
ssl_stapling_verify on;

ssl on;
ssl_certificate %ssl_pem%;
ssl_certificate_key %ssl_key%;
# ssl_dhparam /home/admin/conf/web/dhparams.pem;
error_log /var/log/%web_system%/domains/%domain%.error.log error;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_prefer_server_ciphers on;

location / {
proxy_pass https://%ip%:%web_ssl_port%;
location ~* ^.+\.(%proxy_extentions%)$ {
root %sdocroot%;
access_log /var/log/%web_system%/domains/%domain%.log combined;
access_log /var/log/%web_system%/domains/%domain%.bytes bytes;
expires max;
try_files $uri @fallback;
}
}

location /error/ {
alias %home%/%user%/web/%domain%/document_errors/;
}

location @fallback {
proxy_pass https://%ip%:%web_ssl_port%;
}

location ~ /\.ht {return 404;}
location ~ /\.svn/ {return 404;}
location ~ /\.git/ {return 404;}
location ~ /\.hg/ {return 404;}
location ~ /\.bzr/ {return 404;}

include %home%/%user%/conf/web/snginx.%domain%.conf*;
}

Страницы:1234