[網管]vlan 與 802.1Q

huihui 說要研究這個......

先把看懂的記下來：

[碎碎唸]能力不足，煩另請高明

在下義務管理的電子郵件主機被主任嫌垃圾信過濾太差了！

我是沒有認真的去做過統計到底效果是怎樣，只是每天一早收信時，個人的信箱除固定收到主機 security report 之外，大概過濾掉幾十到一百多封的垃圾信，只偶爾有少數漏網之魚罷了。至少過濾掉 95% 以上的垃圾信吧。公開的網管人員帳號收到的垃圾信應該是全校最多了吧？！

好啦，我承認沒花學校半毛錢的 postfix + procmail + spamassasin 過濾垃圾信的效果真的不如 google 的 gmail ，這樣還不滿意，只好拿掉 procmail + spamassassin ，讓學校另請高明做垃圾郵件防治，我管不了啦。

huihui ，對不起你啦！

準備搬家到 blogger

有鑑於學校的網管義工大概不用做了，放在學校的 blog 也就不是很穏了，加上 blog 放在學校，想要大鳴大放總是有顧忌，還是趁早搬出來比較好。

就來試試 blogger 吧，如果用得習慣，準備把整個 lss 實驗室搬過來這裡。

最快幹掉一個主機的方法

經常看到有人不小心下了一個指令：

rm -rf /

造成慘劇。但是，如果有心要讓慘劇發生的話，這個方法其實不太好。為什麼？因為只要來得及強迫停止執行、關機……等，沒刪掉的檔案還是救得回來。

目前我想得到的最邪惡的方法是：

dd if=/dev/null of=/dev/sda bs=1m

把硬碟最開頭的 1MB 幹掉，又快又方便。雖然其他的部份沒有清掉，但是想要救回，大概也要進實驗室了吧？ @@

今天聽到了一些事，讓我感覺以前做了太多白工傻事。應該要把兩台乾淨的主機還給學校才對，不需要做什麼義工了。

有人能提供更快速邪惡的方法嗎？哈…哈…哈…

[SLAX]SLAX實驗室開張

伙伴 huihui 交代要做一個 DNS LiveCD ，而且催了好幾遍，於是找上 SLAX ，玩了兩天做出來了。據說這兩天就要上線試用看看。

重點是，這東西還 真好玩 ！

所以， SLAX 實驗室就開張了。

SLAX 是基於 slackware linux 版本的 LiveCD ，重點在輕薄短小，把大小控制在 180 MB 以下，能燒進 8 公分的小光碟隨身攜帶，又要有桌面系統、應用程式…… 。

自己客製化 SLAX 也是非常方便的，因為 SLAX 使用模組來組織整個 OS ，而包裝、修改模組的工作也很方便。這回，就是用 192 MB 的 SLAX server edition 再精簡化後，改成只有大約 80 MB 的 DNS LiveCD 。其實，熟練以後，整個客製化過程也不會太久，花了兩天，是因為要從頭熟悉 SLAX 架構，以及再重溫久遠之前玩 slackware linux 的回憶。真正客製化的過程，應該半個小時就足夠了。

最近會先把 SLAX DNS LiveCD 的心得先整理記下來。

[VirtualBox]Panic: CPU too old for this kernal.

為了轉台到 Ubuntu ，裝了個 innotek VirtualBox 來安裝 ubuntu-7.10-server-i386.iso 。好容易裝起來了，結果如下：

上網查了一下，好像是 VirtualBox 的問題。殘念 -_-

有大德能指點一下明燈嗎？若沒有，只好去用還要註冊碼的 VMWare 了。

[postfix procmail spamassassin]搞定垃圾郵件過濾最終解決方案

搞了一個禮拜的東西，記一下，做個紀念！

遇到的問題：

1. amavisd-new 在當時無法從套件庫安裝。 解決方法：考慮大量相依性問題 ( 可能還有缺少的很多套件 ) ，放棄使用。
2. procmail 必需能搭配郵件目錄使用 Maildir/ 格式，而非 mbox 檔案格式。 解決方法：見前一篇「 [postfix procmail Maildir]procmail 與 Maildir 信箱格式的搭配」。
3. 有人很少 ( 或根本 ) 不收信，家目錄的 quota 用完後，無法收信會讓 spamd / spamc 的執行環境錯亂無法過濾垃圾郵件。 本篇目的就是解決這個問題。

使用 procmail 替代直接遞送 mail box ，是造成上述問題的原因。如果是由 postfix 遞送郵件到收件人信箱，無法遞送時 ( 如我遇到的收件者信箱 quota exceeded 問題 ) 會由 postfix 退信。但是如果是由 promail 遞送到收件者信箱， postfix 把信交給 procmail 時，就算完工了，而 procmail 則是無法退信 ( 註1 ) ，於是送信到預設的 mbox 信箱去了。

我決定採用 Postfix After-Queue Content Filter 裡的 Simple content filter ，讓 procmail 做為 mail filter ( 註2 ) ，將郵件 pipe 給 spamc 過濾加標籤，再 pipe 給 sendmail ，讓郵件重回 postfix 的 mail queue ，讓 postfix 做最後的遞送到收件人信箱。如此，就可以解決收件人信箱 quota exceeded 的問題了。

以下是各項設定：

[postfix procmail Maildir]procmail 與 Maildir 信箱格式的搭配

以前使用 procmail + spamassassin 過濾垃圾信，只會搭配 mbox 信箱使用，後來為了設定用戶信箱的 qutoa ，將信箱格式改為 Maildir/ 目錄信箱格式，就不再使用 procmail ，而改用 amavisd-new 了。

現在放棄 amavisd-new ，回頭改用 procmail ，搭配 Maildir/ 的問題得想辦法解決。終於給我搞定了，紀錄如下：

[spamassassin]自己動手安裝spamc/spamd

上週升級 mail 主機的痛苦之一，是套件庫裡雖有 spamassassin ，但是少了 spamc / spamd 。學校的 mail 主機，真正在用的人雖然不多，但是垃圾著實不少，還是得用 spamc / spamd 來得安全些。

既然套件庫沒有，那就自己抓 source 來安裝吧。

[碎碎唸]升級主機的作業系統要懂得忍

上週把 mail 主機的 Mandriva 升級為最新的 2008.0 Free 版本，結果，讓我一週來吃不好睡不好，日子難過。為什麼？因為我升級的「太早」。

為什麼，因為我不懂得要忍一下，沒有等到台灣的 mirror 站完全 mirror 完所有套件。

mail 主機的 email 服務，我是使用 postfix + amavisd-new + spamassassin ( spamd / spamc ) 的組合做 spam filter 。最早是用 postfix + procmail + spamassassin ，但是因為資源有限，必需控管用戶信箱的 quota ，所以 postfix 改用 Maildir/ 格式的信箱。但是當時 procmail 搞不定 Maildir/ 格式信箱，只能使用 mbox 格式，不合用。後來就改用 amavisd-new 當 postfix 的 filter server 取代使用 mailbox_command 的 procmail 。

在 Mandrake 2006 時，因為 postfix / amavisd-new / spamassassin / spamd /spamc 都有現成的套件，而且相依性的處理很好，只要簡單的 urpmi xxx ，然後修改設定檔就可以搞定了。

這回升級到 2008.0 Free 時，問題可大了：

[poppassd]使用 MD5 密碼

poppassd 透過 pam 來改密碼，預設是使用 DES 編碼，要改用比較安全的 MD5 ，要修改 /etc/pam.d/poppassd

#%PAM-1.0
auth required pam_pwdb.so shadow nullok
account required pam_pwdb.so
password required pam_cracklib.so retry=3
password required pam_pwdb.so md5 use_authtok nullok

在第四行的 pam_pwdb.so 加上 md5 參數就行了。

[poppassd]500 Old password is incorrect

以前用 SquirrelMail 時，有一個 change_password plugin 很好用，我是用 poppassd backend ，可以讓使用者直接在 webmail 裡修改自己帳號的密碼。

後來因故放棄 SquirrelMail 後，改用 V-webmail ，界面什麼都不錯，中文問題也修得差不多了，就是沒有線上改密碼的功能。於是，動手把 SquirrelMail 的 change_password plugin 裡的 poppassd beckend 給移植過來用，效果蠻不錯的。

最近將 Mail 主機升級 ( 其實是重新安裝 ) 成 Mandriva 2008.0 Free ，結果慘劇發生，完全相同的程式碼，不管輸入的密碼是多麼的正確，一律給錯：

500 Old password is incorrect

好不容易終於解決了。因為是 poppassd 的問題，所以，解決這個問題後， SquirrelMail 的 change_password plugin 不能換密碼的問題也可以一併解決。

[碎碎唸]這個可能要用電腦…

huihui 今天有感而發，寫了這篇「這個可能要用電腦…」。以下的內容原本是那篇文章的回應，後來想想，這樣的言論還是放自己的 blog 好了。

對於那些 動不動 / 一有機會 就把「這個可能要用電腦…」掛在嘴邊的業務執行人員，想理所當然的把工作推給「懂電腦的人」，我想回應你們幾句話：

「沒那個屁股，就不要吃那堆泄藥。」

「這可能要用電腦…」「可以啊，自己做」

「我又不會？」「那就不要用電腦做啊！」

「你比較厲害啦！」「要你管。」

「這一定得用電腦啦！」「既然如此，幹嘛不早學？」

「這個馬上就要，我做不出來。」「那是你家的事。」

「我不管了，就給他開天窗吧。」「那還是你家的事。」

就這樣。

[ssh]Server refused our key

為了讓努力不懈的大陸網友能有繼續努力永不休止的機會， Server 的 ssh 全面使用 ssh-key 認證，密碼登入沒有了。

不過，改用過程中發生一件怪事，我的帳號沒有問題，可以用 ssh-key 登入 ssh console / sftp ，但是同事的帳號卻發生 "Server refused our key" 的訊息拒絕連線。

經過一番檢查，原來是 ~/.ssh/authorized_keys 的權限錯了。

[hack]使用SSL連線的管理界面

伙伴 huihui 最近在玩 ca 認證主機，幫 blog 簽了一個 SSL 憑證，要試試虛擬主機是否能使用獨立的憑證。

試完了，想說 SSL 憑證不用白不用，於是動手改一改 LifeType 程式，看看能否做到後台管理界面都在 SSL 連線下作業，至少 login 時輸入帳號密碼會比較安全。

初步試驗算蠻成功的，只修改兩個地方：