Я был «спамером» целых три дня 😱

Внезапно обнаружил, что мой почтовый сервер стал полностью открытым. Если честно, то даже не помню когда вносил какие-то сколь значимые изменения в конфигурацию postfix. С какого перепуга произошло это событие — для меня пока что загадка. Единственное, что косвенно указывало на это — возросшая нагрузка на сервер. Но я «грешил» на другое. Команда mailq сегодня выдала очередь из более чем 100 тысяч сообщений на отправку. Пришлось убивать всю очередь, не искать же нормальные письма в такой куче. Изменил несколько параметров почтовика, вроде бы все более-менее пришло в норму, даже сервер стал отвечать побыстрей. Но тесты все равно выдают, что у меня открытый релей, поэтому завтра, если будет свободное время, придется сбрасывать конфигурацию postfix и dovecot на «заводскую» и настраивать всё заново. Благо, что есть рабочий корпоративный сервер и часть настроек можно перенести оттуда. Впрочем, настройка с нуля поможет освежить мою память в этом плане и, возможно, пересмотреть некоторые настройки безопасности.

В продолжение предыдущей заметки

«Облако» было починено очень просто — изменением прав доступа к каталогу с файлами. Следом возникла другая ошибка — невозможность загрузить любой файл в него. Логи показали, что в этом повинен модуль защиты, который не пропускал файлы размером более 128 Кб. Исправил.
Зеркало баз NOD32, к сожалению, пока что починить не получилось. Но, похоже, что я наткнулся на возможную причину некорректной проверки ключей. Надо списаться с автором скрипта.
Еще один момент, который я поначалу упустил из вида: сервер с контактами и задачами. С ним пришлось повозиться. В итоге все дело оказалось в том, что php-fpm не передает заголовки авторизации и, соответственно, не отправляет данные (логин пользователя и пароль). Этот момент оказался описан в документации к baikal, поэтому на исправление ошибки ушло немного времени. Возможно, что примерно такая же ситуация обстоит и с проверкой ключей NOD32 на их серверах.
Должен отметить, что связка apache-mpm-worker + FastCGI меня очень радует скоростью работы. Если раньше при работе с клиентом Nextcloud на телефоне приходилось ждать пока обновится/загрузится содержимое каталога, то теперь это происходит едва не мгновенно. Видимо, сказывается «тлетворное» влияние HTTP/2 :-)

Итак, попало ко мне в руки хорошее «железо», что стало неплохим поводом обновить свой сервер. Так как конфигурация слишком сильно отличалась от прежней, то систему тоже пришлось ставить заново. Поначалу не могу понять почему установка проходит нормально, а сама система после этого не грузится. Потом припомнил, что Linux с картами Intel HD Graphics так и не научился нормально работать. Что поделать, пришлось отключать в BIOS встроенную видеокарту и ставить внешнюю. Плохо то, что эта внешняя видеокарта предназначалась для установки в компьютер жены. Старое «железо» из сервера тоже должно было пойти на апгрейд ее компьютера.

Увы, но на работе тоже было много работы, поэтому апгрейд двух систем несколько затянулся. Затем пришлось устранять ошибки в работе веб-сервера, ибо я заодно захотел поменять некоторые настройки. Сейчас его работоспособность почти полностью восстановлена за исключением двух субдоменов: «зеркала» обновлений NOD32 и облака. Последнее из них меня волнует меньше всего, доступ к нужным файлам я могу получить и другими способами. А вот «зеркало»... На него слишком много завязано. Работа над ним пока что ведется. Написал разработчику, описал проблему, пока что жду от него ответа.

Также выяснилось, что dovecot не совсем корректно работает с wildcard-сертификатами. Если быть точней, то мне удалось настроить почти все нужные почтовые клиенты (веб-интерфейс, Outlook на телефоне), кроме Thunderbird, установленного на домашнем компьютере. При попытке просмотреть почту с его помощью dovecot ругается на сертификат. Проблема, как оказалось, не новая, но рабочего решения её пока не нашел.
Установил пока что другую видеокарту в компьютер жены, но она оказалась с «битой» памятью, что приводило к периодическим перезагрузкам. Интересно, сможет сервер работать без видеокарты вообще? Пока что пара моих попыток заставить его работать в таком режиме не увенчались успехом — все время «ругался» спикером. Подозреваю, что придется покупать новую, хоть какую-нибудь. Главное, чтобы присутствовала в системе.

Понадобилось недавно каким-то образом запускать внешний скрипт по приходу определенного письма. Начал поиски как это сделать. В Postfix это можно сделать, используя файл aliases, но мне этот способ не подходил, потому что он подразумевает приход письма на определенный почтовый адрес. С Dovecot сильно не разбирался, но вот информацию по Sieve нашел. Немного времени спустя у меня был наполовину рабочий вариант. Наполовину потому, что выполняемая во внешнем скрипте команда напрочь отказалась принимать отправляемые ей данные. Пришлось немного подправить скрипт в самом Sieve, чтобы получить желаемый результат.
Все оказалось очень просто. Для начала нужно включить доступ к плагину vnd.dovecot.execute. Для этого открываем файл с настройками Sieve /etc/dovecot/conf.d/90-sieve.conf и вносим следующие изменения:

plugin {
  sieve_extensions = +vnd.dovecot.execute
  sieve_plugins = sieve_extprograms
  sieve_execute_bin_dir = /etc/dovecot/sieve/execute
}

Все остальные параметры нам не нужны.
В первой строчке включаем доступ к плагину для пользователей. Можно использовать параметр sieve_global_extensions, в таком случае плагин будет работать глобально. Но глобальный скрипт работает ТОЛЬКО если у пользователя нет своего файла скрипта Sieve. Пользователей на моем сервере очень мало, поэтому такой вариант мне не подходит.
Во второй строке мы разрешаем использование плагинов как таковых.
И, наконец, в третьей строке указывает папку, в которой будут находиться эти самые внешние скрипты. Доступ к этой папке для Dovecot, конечно, нужно обеспечить. Подозреваю, что папку можно и не указывать, а в скрипте Sieve просто указать полный путь к запускаемой программе, но проверять лень.
Теперь остается только написать правило обработки входящих писем. Что-то вроде такого:

# rule:[Test rule]
if allof (header :contains "from" "test@example.com", header :contains "subject" "Prikaz 66")
{
        execute "test.sh";
	fileinto "Trash";
	stop;
}

Получив письмо от отправителя test@example.com с темой «Prikaz 66» Sieve запустит на выполнение скрипт /etc/dovecot/sieve/execute/test.sh, затем удалит письмо в корзину и завершит обработку писем.
Знаю, что информации по этой теме в интернете достаточно. Но большая часть из нее, как водится, на английском и содержит много воды. Хотелось сделать небольшую выдержку на более привычном русском языке.

За всеми событиями в жизни как-то пропустил момент, когда Let’s Encrypt стали выдавать бесплатные «wildcard» сертификаты. Иными словами, вы можете получить один сертификат на свой основной домен и все его субдомены разом. Больше не нужно беспокоиться о том, что каждый раз при создании субдомена придется создавать и новый сертификат. Нужно будет просто в конфигурационном файле указать текущий.
В отличие от «стандартного» для генерирования сертификата «wildcard» нужно вручную прописать сервер для запросов. Команда будет выглядеть примерно так:

# certbot certonly --server https://acme-v02.api.letsencrypt.org/directory -d kini24.ru -d *.kini24.ru --agree-tos -m admin@kini24.ru --manual --preferred-challenges dns --must-staple --hsts --uir --staple-ocsp

Пройдемся по параметрам, чтобы было понятней:
—server — указывает на сервер, который мы хотим использовать для создания сертификата;
-d — указываем для каких доменов мы будем создавать сертификат. Советую вам первым указывать основной домен, а не его субдомены. Сэкономите немного времени;
—agree-tos — принимаем условия лицензионного соглашения;
-m — указываем свой адрес электронной почты. Он будет использоваться как логин;
—manual — используем «ручной» режим работы. Думаю, что можно было и не указывать, но я хотел проконтролировать процесс;
—preferred-challenges — указываем предпочтительный способ проверки, что именно вы имеете доступ к администрированию домена (являетесь его владельцем);
Остальные параметры не обязательны, можно их не указывать.
После ввода команды вас спросят не хотите ли вы получать новости от Electronic Frontier Foundation (EFF), основателя сервиса Let’s Encrypt. Ради интереса согласился, отписаться можно в любой момент. Затем был вопрос о том хочу ли я использовать указанный email в качестве логина. Соглашаемся. А вот дальше был один нюанс, который я поначалу не понял, но, в итоге, разобрался. Следующим шагом вас просят внести TXT-запись в ресурсные записи домена. Вносим и ждем, процесс занимает некоторое время. Обычно хватает 15 минут. Нажимаем Enter, чтобы скрипт проверил наличие записи. И вот тут он выдает точно такой же запрос на внесение записи TXT, но с другим значением. Это значение нужно также внести в ресурсные записи. Если быть точней, то первую запись нужно заменить на вторую. Этакая двойная проверка. Снова минуты ожидания и жмем Enter. Если проверка прошла, то сертификат будет создан.
Так как у меня также используется технология HPKP, то нужно еще и генерировать новые ключи для сертификата:

# openssl rsa -in /etc/letsencrypt/live/kini24.ru/privkey.pem -outform der -pubout | openssl dgst -sha256 -binary | openssl enc -base64

Вносим изменения в конфигурационный файл веб-сервера и перезапускаем его:

# systemctl restart httpd2

Работал я несколько лет назад в одной компании, которая занималась сборкой и продажей компьютеров и разной околокомпьютерной техникой. В одни прекрасный момент решили собрать сервер для 1С. Люди собрались знающие, скидали комп в один момент. Поставили все, что нужно, протестировали и запустили в работу. А какое первое правило хорошего системного администратора? Бэкап, бэкап и еще 100 раз бэкап. Вот и занялся я написанием скрипта, который все это проделывал.

Скрипт был простой, в формате bat-файла:

1. Рассылал всем предупреждение, что базы 1С скоро будут недоступны и ждал две минуты, пока все не закроют подключение. Кто не успел, я не виноват.
2. Отключал все сетевые карты, чтобы не было соблазна.
3. Создавал архивы баз 1С.
4. Заново включал сетевые подключения.
5. Перезагружал компьютер.

На все-провсе уходило от 15 до 30 минут, точней было лень считать. Через некоторое время я получил более выгодное предложение о работе и ушел из фирмы.
Около недели назад я получил оттуда звонок с просьбой немного переделать скрипт так, чтобы он копировал все архивы на новенький NAS. Времени свободного почти не было, поэтому отложили на несколько дней. Во второй половине недели подключаюсь к серверу и смотрю что там и как.
Архивация перестала работать из-за того, что скрипт не видел исполняемого файла архиватора. Но резервная копия продолжала создаваться копированием папок с базами до последнего дня. Посмотрел на все это и порадовался — скрипт получился действительно хороший, отработал без сбоев много лет. А я тогда был все-таки догадливым мальчиком и все выполняемые команды очень хорошо прокомментировал.
Немного покопался в системе с командами — в разных версиях серверных систем от мелкомягких некоторые команды могут не выполняться. А потом мне стало лень все это тестировать и я установил xStarter. Программа достаточно известная, алгоритмы работы гибкие, позволяют выполнять множество нужных команд. Давно уже не обновляется, автор, видимо, забросил проект. Есть косяки с некоторыми операциями, но их знание, позволяет их обойти.
В общем, воспользовался этой программой, написал последовательность действий и оставил тестироваться. В первый день или два она по неизвестной причине не запустила создание резервной копии. Затем не смогла подключиться к NAS. Вчера, зайдя на сервер, я обнаружил, что задания нет как такового. Вот это уже удивило, ибо на нескольких других серверах никогда ничего такого не случалось. Написал все заново, установил пароль на редактирование и оставил на ночь.
Утром первым делом пошел смотреть на результат. Бэкап был создан и успешно перенесен на NAS. Добавил в программу отправку мне извещения на электронную почту и отправил номер своей карты для зачисления оплаты за работу.

Что-то в последнее время стал больше вызывать негативных чувств, чем положительных. Больше всего негатива вызывает тот факт, что если наименование файлов серий в скачанном сериал не соответствует шаблону, то он воспримет все эти файлы как отдельные фильмы и поместит их в соответствующую категорию. То есть после скачивания торрента нужно еще привести имена файлов в соответствие шаблону. Я не пробовал, но у меня очень большое подозрение, что торрент будет закачан еще раз.
Теперь представьте себе, что вы скачали торрент с сериалом, где 10 сезонов и в каждом из них по 20 серий. Имена серий не подпадают под шаблон Serviio, поэтому он их все помещает в папку «Фильмы». Теперь чтобы найти нужный вам фильм, придется основательно поискать. Более того, «фишка» Serviio в том, что он ищет данные о файле в сети, опираясь на название. Если он некорректно определил, что это сериал, он отыщет соответствующие обложку и название для серий. И тот же «Доктор Хаус» будет отображаться как фильм-ужасы с названием «Дом».
Еще одной «фишкой» является возможность добавить онлайн-источники в список. Тут тоже не все хорошо. Без ручного обновления базы медиафайлов, новый источник в списке вы не увидите. Вроде бы не так уж и сложно это сделать, но мы помним, что каждое сканирование вызывает существенную нагрузку на процессор. И внесенные в базу онлайн-источники никоим образом не попадают в список trakt.tv. Иными словами, вы не сможете никак отследить на какой серии вы остановились.
Про проблемы с русской кодировкой я уже писал. Это можно было бы исправить, создав в планировщике задачу, которая будет сканировать, например, mp3-файлы, определять кодировку данных и, если она не совпадает с UTF-8, менять ее на нужную. Но вы себе представляете как это будет выглядеть?
В общем, сдается мне, что я все-таки откажусь от Serviio в пользу minidlna. У него, по крайней мере, я нашел пока что только один недостаток — слишком много папок. И тот частично можно исправить, указав в файле конфигурации нужные параметры.

На домашнем сервере установлен Alt Linux, у которого свое видение в отношении сторонних программ. Того serviio в репозитории нет, а попытка установить его с сайта провалилась. Скорее всего, тут сыграло роль недостаточное знание мной линукса. Поэтому, в итоге, был выбран путь попроще, который я с начала не заметил. Речь идет об установке serviio в виде docker.
Для начала скачиваем образ на компьютер:

# docker pull lsiocommunity/serviio

Затем, в соответствии с документацией, запускаем, немного изменив параметры запуска под себя:

docker run -d --restart=always --name=serviio -v /mnt/sda/serviio/config:/config -v /mnt/sda/serviio/media:/media -v /mnt/sda/serviio/transcode:/transcode --net=host lsiocommunity/serviio

По пути /mnt/sda у меня находится второй жесткий диск, на котором располагается всякое «барахло».
Поначалу ни одно из устройств в сети не смогло увидеть serviio. Немного поэкспериментировав, понял, что все дело в том, не был открыт один из портов на сервере. В итоге, пришлось открыть порты 8895, 23423, 23424, 23523, 23524 и 1900. Serviio не видели именно из-за порта 8895.
Ну а дальше все было просто: заходим по адресу http://192.168.1.254:23423/console (где 192.168.1.254 — адрес моего сервера) и настраиваем сервер под свои нужды уже в графическом интерфейсе. Тестировал его работу на трех устройствах: ТВ Samsung UE43M5500AU, телефоне на базе Android и компьютере с установленными Alt Linux и VLC. Все три успешно подключились и смогли проиграть фильм с разрешением FullHD. Тормоза оказались только на телефоне, но с него, как говорится, «взятки гладки».

Очередная зарплата ведет к очередным обновлениям

На днях попробовал перенести Transmission и сервер DLNA с роутера на домашний сервер, чтобы немного разгрузить первый. Итогом неожиданно стала сильно возросшая нагрузка на сервер, причем в первых строчках «потребителей» стабильно висели motion и Transmission. Нагрузка была такой, что другие программы периодически не отвечали на запросы, что, в свою очередь, вызвало шквал предупреждений в мой почтовый ящик. Конечно, это меня не устроило, поэтому торрент-клиент был на время отключен. Вызвал небольшое недоумение тот момент, что на роутере Transmission работал, не вызывая такой большой нагрузки на и без того слабый процессор. Лучше был оптимизирован что ли под OpenWrt? Аналогично, судя по отзывам, motion при статичном кадре (то есть когда нет движения) «сжирает» 5-10% процессорного времени. У меня же он поглощал в среднем около 40% на сервере.

Тут должен сделать небольшое отступление. Парой месяцев ранее собирал компьютер для профилактория «Сибиряк», чтобы они могли просматривать камеры видеонаблюдения на ресепшене. Компьютер получился достаточно слабенький, но, если воткнуть в него видеокарту, вполне тянул 8 внутренних камер. Так как видеокарт на складе у меня тогда не было, пришлось воткнуть свою личную. Она у меня все равно просто так лежала. Поставил, настроил, все хорошо. Неделю назад попросили подключить второй монитор на этот компьютер и вывести на него камеры, снимающие вокруг здания. Не вопрос! Заказал второй монитор и видеокарту — свою же нужно «отбить» :-)

Возвращаемся на текущий день. После недолгих раздумий, был куплен новый процессор и кабель HDMI. Процессор был установлен в сервер, что дало достаточно большой прирост мощности, судя по выводу команды top. Также установил туда новую видеокарту, которую приобрел для «Сибиряка». Был вариант установить в профилакторий новую карту, а оттуда забрать свою, но, после сравнительных тестов, оказалось, что установленная мной ранее видюха немного мощней, чем та, которую я приобрел на днях. HDMI кабелем соединил видеорегистратор и телевизор. Были некоторые опасения, что телевизор не увидит картинку с таким нестандартным разрешением, но все обошлось — он просто изменил разрешение на что-то среднее по качеству. В итоге, я теперь могу просматривать камеры на телевизоре в хорошем качестве. Плюс несколько «разгрузил» сервер — теперь нагрузка на процессор стала менее 50%. Правда появился какой-то дребезг от вентилятора, но непонятно от какого — пока снимаешь боковую стенку, он прекращается.

Меня не покидала мысль, что телевизор поддерживает DLNA, несмотря на то, что на официальном сайте это не указано. Зато было указано на нескольких других. Попытка не пытка...
Есть у меня переделанный роутер D-Link DIR-825 с установленной OpenWrt. Внутрь встроен жесткий диск, на котором располагается собственно система и множество других программ. В частности, клиент Transmission. Это очень удобно — с любого устройства можно поставить торрент на закачку. Плюс к этому он все равно работает круглые сутки, пусть скачивает :-)

Прочитав днем про настройку DLNA на OpenWrt, подключился к роутеру и  установил пакет luci-i18n-minidlna-en, который потянул за собой собственно сервер DLNA и другие необходимые пакеты. Настройка была минимальной: задал каталоги где искать видео- и аудиофайлы, куда писать логи и каталог с кэшем. Ну и, конечно, запустил его. Поначалу нагрузка на роутер сильно возросла: сервер «сожрал» почти 60% процессорного времени и почти половину оперативной памяти. Из всех других пакетов, которые я ставил, ни один столько не забирал себе. Понадеявшись на то, что это только на время поиска файлов, отключился, чтобы вечером заняться этим вопросом уже дома.

Мои надежды оправдались — после завершения поиска нагрузка стала почти нулевой. Но меня уже больше интересовало как телевизор отреагирует (и отреагирует ли вообще?) на наличие DLNA сервера в локальной сети. Но сомнения оказались напрасны — все оказалось намного проще. Телевизор не только обнаружил сервер в сети, но и сразу отобразил его в списках доступных источников. Немного напрягло только то, что приходится «продираться» через кучу каталогов, чтобы найти нужное видео, но тут уже ничего не поделаешь, видимо.
В конечном результате я достиг того, чего хотел — теперь нет необходимости копировать скачанный торрент на флэшку, подключать её к телевизору и только тогда начинать смотреть фильм. Сейчас можно просто открыть роутер на телевизоре, выбрать нужный фильм и начать просмотр. С учетом того, что я не поленился подключить ТВ кабелем к роутеру, «лагов» пока что не наблюдается, скорость приличная. Но тут еще буду экспериментировать.
Днем ранее, кстати, также удалось вывести содержимое экрана смартфона на телевизор, включив на первом режим беспроводного дисплея. Смартфон тут же просканировал и нашел телевизор. Оставалось только подтвердить сопряжение устройств на самом ТВ.

Опишу предыдущее состояние системы.

1. Есть не один десяток охранно-пожарных систем (ОПС) типа «Гранит», которые при открытии дверей на объекте шлют смс оператору на центральном пульте. Тот, в свою очередь, либо вызывает ГБР (группа быстрого реагирования), либо «пропускает» событие. В целях резервирования сообщения с «Гранитов» рассылаются не на один номер телефона, а на несколько: охрана и руководство. По моим прикидкам это, минимум, три номера. Скорее всего, их больше. По расходам это выходит более 8 тысяч в месяц. Сумма небольшая, но, если есть возможность, то почему бы ее не уменьшить? «Плюсом» будет то, что получатели смогут отключить оповещения, что в случае с смс почти невозможно. Из текущих «минусов» — постоянные глюки то с телефоном, то с программой синхронизации смс на компьютере. Раз в несколько дней приходится или перезапускать программу, или перезагружать телефон.
2. Также существует сервер видеонаблюдения, который в постоянном режиме пишет порядка полусотни камер, расположенных на территории завода и не только. Старый сервер, несмотря на свою мощность, потихоньку выходит из строя. БОльшая часть дисков уже была заменена на более специализированные под данную функцию, но периодические выходы из строя начинают утомлять. Особенно это стало заметно, когда человек, занимающийся видеонаблюдением на заводе, уехал на несколько месяцев в отпуск — накопил за несколько лет работы. Он, конечно, оставил вместо себя человека, но он, во-первых, не всегда находится на территории, а во-вторых, делает всё «на отьебись». Что лично меня, например, не устраивает.

Пару месяцев назад был куплен новый сервер под видеонаблюдение. По тестам он несколько превосходит текущий, но последний построен на базе i7-3770, новый же — на базе Xeon (не помню сейчас какой именно). Новый установил параллельно существующему, был установлен Linux с графической оболочкой и тестовая версия сервера видеонаблюдения. Не обошлось, конечно, без бубна и небольших танцев, но, в итоге, все заработало как нужно. В таком состоянии он и был оставлен до конца недели на тестирование. Лично мне Linux больше импонирует, как более устойчивая и быстрая система, по сравнению с Windows. Конечно, у меня свои требования — по ним он полностью выигрывает.
Я не зря упомянул в начале «Граниты». Перед новым годом у меня, в порядке не совсем трезвых размышлений возникла мысль несколько сократить расходы на смс, путем установки какого-то компьютера, на который они и будут приходить. То есть, на данном шаге мы сокращаем количество сообщений, которые рассылают «Граниты» до одного за раз. Затем компьютер уже посредством интернета дублирует эти сообщения на другие телефоны в любой мессенджер: Telegram, Whatsapp и т. п. Благо, что практически каждый человек нынче пользуется хотя бы одним из них.
Но, увы, так как я был не совсем трезв, то поутру вся выстроенная мной схема «убежала» из головы, остался только принцип построения. Благо, что я в порыве воодушевления позвонил товарищу, который занимается установкой и обслуживанием этих «Гранитов» и примерно рассказал, что я хочу получить. Через день он мне напомнил об этом, заодно и прояснили некоторые моменты.
Суть заключается в том, что на какой-то компьютер устанавливается Asterisk, который и занимается приемом и пересылкой сообщений в мессенджеры. Тем более, что знакомый попросил меня разобраться с этой системой, чтобы в дальнейшем внедрить ее на своем предприятии.
Если сервер видеонаблюдения на Linux покажет свою «состоятельность», то почему бы на него не возложить и функции обработки сообщений от ОПС?
В то же время у себя дома вернулся к старой схеме, только немного ее изменив. Как писал ранее, перед новым годом был куплен регистратор, к которому была подключена камера более высокого качества. Регистратор может рассылать оповещения только на почту и, к тому же, только в текстовом виде, что меня не устраивало. Сообщений на одно событие могло быть несколько, по какой причине он разделял одно событие на несколько — неизвестно. Пришлось снова запустить motion, установленный на сервере, брать поток с регистратора и тогда я смог получить и картинку события и текст. Считаю огромным «плюсом» motion то, что он позволяет при возникновении какого-либо события (обнаружено движение, завершена запись видеофайла, завершено сохранение скриншота и т. п.) запустить на выполнение любой внешний скрипт, в котором уже можно делать все, что угодно. Как бонус, можно будет провести кабель от регистратора на телевизор и в прямом эфире просматривать что творится в коридоре.

Так уж получилось, что шкаф с сервером стоит на лестничной площадке, которой никто не пользуется. Шкаф обычный, деревянный. Внутри всего две полки: на одной, нижней, стоит сам сервер, на второй, повыше, стоит ИБП.
Вчера немного задержался на работе — экспериментировал с астериском. Заходит женщина и сообщает, что с этой лестницы бежит вода. Почти бегом направляюсь туда, открываю дверь — бежит водичка. Потихоньку, но бежит. Поднимаюсь на площадку между пролетами, где собственно шкаф и стоит, и вижу, что выдавило трубу и оттуда неспешно вытекает вода. Площадку уже всю затопило, а потом все пошло вниз. Открыл шкаф, проверил, что там все нормально. Прикинул, что вода сюда не должна добраться, немного успокоился. Пока ждал хоть кого-то из техников, вставил трубу обратно, чтобы хотя бы поменьше бежало. Вода почти перестала бежать. Приехал техник, посмотрел, чуть приподнял трубу, оставил на завтра местным сантехникам. Сказал, что ребята починят утром.
Утром приходят «ребята», спрашивают ключ от лестничного пролета. Знают, что он только у меня есть. Сказал им, что там открыто и они могут работать. Только перед уходом пусть разблокируют автоматическую защелку.
Через час или два решают посмотреть как и что они там починили. Дверь закрыта, пришлось возвращаться за ключами. Открыл дверь, поднялся на площадку, осматриваюсь. Нихера они, короче, не сделали! Даже гребаный чопик между трубой и стеной не вставили, чтобы ее еще раз не выдавило. В общем, как обычно, хочешь сделать хорошо — сделай сам. Пока что подыскиваю какой-нибудь подходящий чопик и подумываю собрать туда какой-нибудь датчик: влажности, температуры, протечки воды. Чтобы в случае, если такое повторится, заранее знать об этом. Впереди все-таки достаточно длинные выходные.

Товарищ попросил разобраться с Asterisk, чтобы в будущем использовать в своей сети. Ну а мне что, все равно скучно, а тут вроде есть чем заняться...
Поставил на свой сервер 11-ю версию и начал экспериментировать с параметрами. Многое было непонятно. Первое, с чего решил начать — позвонить на номер, услышать какой-то ответ и положить трубку. Так сказать, аналог «hello, world!» Но сходу разобраться не получалось — какие-то не совсем непонятные конструкции. Что, куда, зачем? Решил все-таки поискать хоть какую-то документацию. Нашел книжку от издательства, которое, на мой взгляд, всегда выпускало очень качественные пособия и начал читать. Нетерпение заставило пропустить первые несколько частей книги — все равно там были какие-то благодарности, объяснения зачем ставить Asterisk и для чего он нужен, выбор подходящего оборудования и прочее. При все этом утверждалось, что работать он может даже на «железе» роутера. В ссылках, кстати, попадалась инструкция как установить его на роутеры Keenetic.
Читаю дальше. Все очень хорошо разжевано, все становится понятно. Через несколько минут сделал свой первый «hello world», практически буквально: звоню, слышу ответ по русски «Привет, мир!» и в логах вижу, что звонок завершается. Но телефон, с которого я звонил, никаких сигналов завершения разговора не подает и трубку не ложит. Плюс сыпятся непонятные ошибки. Погуглив, понял, что такие ошибки относятся только к тем системам, которые находятся за NAT и источник ошибок надо искать в этом направлении. Перепроверил настройки своего роутера — все нужные порты проброшены, все должно работать. Ладно, отложил это пока в сторону.
Следующим шагом стала настройка разговора между двумя внутренними абонентами. Завел две учетных записи в системе с разными номерами, переделал диалплан, поставил программу на компьютер и настроил свой телефон на работу с SIP-звонками. Звонки проходят нормально, а вот разговор не завершается у вызывающего абонента. Пришлось все-таки разбираться, не нравится мне такой расклад. В общем и целом, пришлось указать Asterisk адреса внутренней и внешней сетей, а также сказать, что он работает за NAT, и все заработало. Звонки идут, разговор завершается нормально.
Сегодня продолжу чтение по мере возможности. Система оказалась достаточно легкой в освоении, чем-то похожей на Postfix по конфигурации.

Синхронизация. Такое простое понятие, но иногда ее очень сложно настроить...
Уже много лет я использую такую программу — EssentialPIM. Это облегченный вариант MS Outlook, но со своими «плюшками». Такими, например, как встроенная база паролей. Она может быть установлена на компьютер, может храниться на переносном USB-накопителе и работает под управлением Windows. Под Linux в Wine она тоже работает (по крайней мере, у меня), но при этом приходится мириться с некоторыми недостатками в интерфейсе и работе с почтой. Есть клиент для Android. Имеет возможность синхронизации с другими серверами или устройствами, но, увы, их «ассортимент» крайне мал. С некоторыми «плясками с бубном» можно сделать импорт/экспорт данных из другой программы. В общем, как и у любой программы, есть свои недостатки. Порой выводящие из себя.
На текущий момент я прихожу к мысли, что пора бы уже отказаться от использования этой программы в пользу других. Но, скорее, не программ, как таковых, а служб. То есть хранить данные на одном сервере, который бы мог предоставить возможность синхронизации с большинством устройств и программ, чтобы они были доступны мне в любой момент, вне зависимости от того, каким устройством или программой я сейчас пользуюсь. Требования примерно следующие.

Контакты. Самое важное, наверное, в жизни каждого человека. Они должны быть везде: в мобильном телефоне, почтовых клиентах, мессенджерах. Самый простой вариант для меня пока что — использовать сервер CardDav.
Пароли. Второй по важности пункт. Немного поразмыслив, пришел к выводу, что мне хватит, если они будут работать в браузерах и храниться в телефоне. Посмотреть и вбить куда-то пароль я должен в любом месте, при помощи телефона или браузера.
Почта. Тут все более-менее просто. Вся почта в итоге оказывается на моем сервере, откуда я могу ее достать. Исключение пока что составляет почтовый ящик от компании Google. Почему-то не могу заставить себя настроить сбор почты с него. Пока что нахожусь в неспешных поисках почтового клиента для Android, который удовлетворял бы мои потребности.
Задачи, дела. Тут тоже все просто: телефон и почтовый клиент. Снова самый простой способ — сервер CalDav.
Заметки. Не самый важный, но порой очень нужный пункт. Большое количество сервисов предоставляют такой функционал по умолчанию.
Файлы. Тут синхронизация не нужна как таковая, но некоторые файлы было бы удобно всегда иметь под рукой. Например, в том же телефоне. Или на USB-накопителе.

База для каждого из вышеперечисленных пунктов должна быть одна. Иными словами, если брать те же контакты, то я должен видеть один и тот же список что в телефоне, что в почтовом клиенте. Или в любой другой программе. Допускается и даже приветствуется небольшая фильтрация, когда программа будет скрывать контакты, которые она не может использовать. Как, например, совершенно бесполезен для почтового клиента контакт в списке, у которого не указан адрес электронной почты.
Еще одним требованием является возможность быстрого и удобного редактирования данных. Например, при знакомстве с человеком я внес номер его телефона в свой. Позже, придя домой, могу захотеть внести дополнительные данные в контакт уже не через телефон, а на компьютере. Просто потому что так удобней набирать.

Следующим требованием является стандартность протоколов обмена информацией. С контактами и календарем все понятно — есть стандартные и давно работающие протоколы. С заметками и файлами проблем быть не должно, есть даже выбор. А вот с паролями не все так просто. Поиски продолжаются, пока что работает вариант синхронизации с Nextcloud, но он немного меня не устраивает: клиент для Android находится в состоянии «альфа», расширение для Firefox вроде бы работает, но моя «пятая точка» чует какой-то подвох.

Ради интереса установил Xabber на телефон. Это «чистый» jabber-клиент, ничего лишнего. Раз уж у меня аська и агент mail.ru подключены через мой сервер, то почему бы мне не снести ранее установленный IM+ с кучей аккаунтов (больше расход трафика, больше сжирает батареи) и не попробовать вышеупомянутый клиент. Сравнить заодно сколько заряда на него будет уходить и сколько трафика. За последний не особо беспокоюсь — тарифные 5 Гб я еще ни разу полностью не использовал. Почему не сменю тариф на более дешевый с меньшим объемом трафика? Да просто потому, что редко, очень редко, но мне может понадобиться скачать, например, большой файл где-то в ебенях у клиента.
Итак, Xabber установлен, данные учетной записи на сервере введены, но подключаться он не хочет — выдает ошибку по таймауту. Перебор некоторых очевидных для меня вариантов результата не принес, поэтому пришлось идти в гугл и спросить «у ясеня». «Ясень» мне выдал один любопытный результат. Для того, чтобы использовать связку Openfire+Xabber необходимо в настройках безопасности выбрать «Old SSL» и в качестве порта указать 5223. После этих настроек Xabber вполне корректно подключается и работает.
После этого сразу выявился один нюанс: несмотря на то, что у меня два подключенных транспорта на сервере (mrim и icq), в списке контактов в группе «Transports» показывается всего один активный. Но в списке контактов присутствуют также клиенты, подключенные через агента mail.ru. Будем считать это маленьким багом и не будем обращать на это внимание.
Если честно, то я бы еще добавил сюда транспорт для whatsapp и telegram, больше никакие «общалки» я не использую, успешно отбиваясь от предложений установить viber и прочие. Отказался бы и от двух вышеперечисленных, но в одной приходится общаться с игроками своей фракции, а в whatsapp порой пишут клиенты. Неужели никому не надоедает этот «зоопарк» мессенджеров? В свое время, несколькими годами ранее, я по той же причине удалил аккаунты из «одноклассников», «вконтакте» и прочих соцсетях, оставив только одну «лазейку» — facebook. Что, надо сказать, совершенно случайно совпало с выходом в эфир небезывестного фильма.

«Переклинило» меня на очередном эксперименте — подключаться к icq и mail.ru через транспорты своего jabber-сервера. Разницы для меня никакой, в то же время нужно заводить только одну учетную запись в клиенте. Плюс к этому вся история переписки будет храниться опять же на моем сервере.
Все оказалось и просто и сложно одновременно. Сложность заключалась в том, чтобы найти компонент для использования транспорта. Ссылка на компонент в популярной статье о подключении транспорта оказалась не рабочей, но нашлась на другом ресурсе. Благо, что человек выложил архив с нужными файлами на своем сайте. Настройка заняла буквально несколько минут.
Для начала распаковал архив в домашний каталог. Изменил конфигурацию под свой сервер:

[main]
name = xmpp.kini24.ru
password = пароль_для_регистрации_компонента_на_сервере
# -- optional --
admins = admin@kini24.ru
# -- defaults --
server = 127.0.0.1
disconame = Mail.ru IM
port = 5275
reconnect = on
probe = on
show_version = on
show_os = on
psyco = off
# -- http proxy for avatars (default is none) --
# http_proxy = http://localhost:3128
# -- PID file (default is none) --
# pidfile = /var/run/mrim.pid

[profile]
type = xml
dir = /var/spool/mrim

[logger]
logfile = /var/log/openfire/mrim.log
loglevel = info
# --- logger defaults ---
# timestamp = %%d/%%m/%%y-%%H:%%M:%%S
# xml_formatting = off

Затем открыл веб-интерфейс Openfire и в разделе Настройки сервера — Внешние устройства — Разрешено подключаться (да, вот такой дурацкий перевод) добавил поддомен и пароль для подключения компонента. Без этого при попытке запуска компонента я получал только кучу сообщений типа

31/10/17-10:30:21 Connecting to XMPP server
31/10/17-10:30:22 Connection to server lost

Затем запустил транспорт:

/usr/bin/python mrim.py -c mrim.conf

Вернулся в Openfire, открыл Сеансы — Компонент сеансов, где и увидел что транспорт подключился к серверу. Затем прошел регистрацию в своем клиенте Miranda NG и попробовал написать своему другу. Полученный от него ответ оказал, что все работает нормально. Перед этим пришлось, правда, ответить на кучу запросов авторизации.
Осталось только добавить запуск транспорта в автозагрузку и настройка полностью завершена.

Есть такая замечательная программа как EssentialPIM. Она представляет собой почти аналог Microsoft Outlook, но с некоторыми особенностями. Например, она имеет portable-вариант, что позволяет ее хранить на флэшке и запускать в любом месте. Вторым «плюсом» я считаю модуль хранения паролей — это та фишка, которой мне зверски не хватало в Outlook, чтобы остаться с ним навсегда. Третьим серьезным «плюсом» можно считать более простой интерфейс. Я всегда ратовал за user-friendly. Много лет я использовал эту программу, был вполне ею доволен. Но, как обычно, всему приходит конец.
«Минусы» программы:

1. Использование таблиц в заметках почти невозможно. Если вы хотите скопировать какую-то таблицу из интернета и добавить ее в заметки в программе, то будьте готовы к тому, что границы таблицы будут невидимыми. И это не изменить. Хоть убейтесь!
2. Если вам нужно вставить текст без сохранения форматирования используйте комбинацию Ctrl+G. Это, казалось бы, безобидное отклонение вызовет некоторые неудобства. Например, попробуйте использовать ту же комбинацию для вставки текста в письмо через буфер обмена. Вы будете неприятно удивлены результатом.

Про остальное даже не хочется вспоминать и писать. Если есть желание, то почитайте форум программы. Согласен, баги есть у каждой программы. Согласен, что, если разработчик программы — это один человек, а не команда, то решение проблем может затянуться. Но должен сказать, что за много лет использования программы, проблем было решено не так уж и много. В оправдание можно написать, что:
а) написание портативной версии программы, работающей через firebird, требует определенного мастерства;
б) в своем роде программа все-таки является уникальной. Я перебрал много аналогов, но всегда оставался ими недоволен.
А теперь о том, что меня заставило написать этот пост. Сразу оговорюсь, что программу я использую далеко не один год и даже приобрел пожизненную лицензию.

1. Я хочу полной мобильности и совместимости. Это значит, что я хочу в любой точке планеты получить доступ к своим данным, которые будут доступны только мне. На любом устройстве: компьютере, телефоне, SmartTV, RaspberryPi, ESP8266... Утрирую, конечно, чисто для примера. И защита этих данных стоит далеко не на последнем месте.
2. Храниться данные должны в одном месте, но с автоматическим резервированием, которое не требует моего участия и ожидания, пока программа сделает копию базы. В Windows бэкап базы на флэшке сейчас занимает более 10 минут, тогда как в Linux — 2 минуты максимум.
3. Совместимость приводит к тому, что требуется много сервисов, каждый из которых контролирует свой фронт работ. Например, если брать EPIM, то я не могу сделать в ней синхронизацию с каким-нибудь сервером LDAP или CardDAV, который я, например, могу использовать в качестве базы контактов почтового сервиса. Нет, с CardDAV я могу сделать синхронизацию, но сейчас это больше похоже на покупку оборудования компании D-Link — никогда не знаешь, что тебе попадется — или проработает много лет, или будет постоянно глючить. В общем, лотерея.
4. Забудьте о том, чтобы хранить документы в их «первозданном» виде, который совместим с пакетом MS Office или, хотя бы, LibreOffice. Даже если у вас получится, то скопировать его «наружу» у вас не выйдет. Просто обломайтесь! Хрен вам! Но можете хранить их в качестве вложений в заметку. Тогда да, все будет хорошо. Но... Читайте следующий пункт.
5. Если вы решите просмотреть файл, прикрепленный к заметке, или, не дай бог, вложенный в письмо, то вас снова ждет сюрприз — он, скорее всего, не откроется. Потому что будет удален ДО того как успеет запуститься программа, ассоциированная с этим типом файла. Единственным выходом здесь является повторная попытка открыть файл, не закрывая уже запущенного приложения.
6. Исходя из предыдущих пунктов, в список сервисов добавляется еще «облако», которое будет позволять хранить и редактировать документы офисного формата: документы, таблицы, просто текстовые файлы. Например, тот же Nextcloud с подключенным модулем OnlyOffice. Должен сказать, очень неплохая замена стандартному пакету MS Office.

По сути, написать можно многое чего я хотел бы видеть в этой программе. В первую очередь, ей не хватает гибкости в настройках и синхронизации. Да, компания развернула свое облако, которое позволяет проводить синхронизацию с программой. Но платно, разумеется. И была бы цена адекватной...
В тоже время разработчики достаточно консервативны в плане добавления дополнительных функций. В начале использования программы мне было бы очень удобно, например, иметь в списке возможностей также RSS-ридер. Просто потому, что некоторые производители оборудования, с которым я тогда работал, публиковали новости на самом сайте и в формате rss. Но не будешь же каждый день заходить на сайт, чтобы проверить нет ли там чего нового? Работы и без того хватает.
По итогу размышлений, я пришел к выводу, что для удовлетворения всех моих пожеланий мне придется разворачивать свой сервер, подключая нужные службы по мере необходимости. Немного «спасает» меня тот факт, что на одной из предыдущих работ мне пришлось столкнуться с linux и разобраться с ним, чтобы иметь возможность корректно настраивать сервер. Вследствие этого пришлось полностью перейти на него дома. И, в конечном счете, дома появился свой сервер, на котором крутится этот сайт, почта, сервер jabber, Nextcloud, сервер baikal и еще много чего. Остается только одно маленькое «но» — объединить все эти службы :-) Половина работы, в принципе, проделана, остаются нюансы.

Ура! Свершилось! Удалось-таки подружить OnlyOffice и Nextcloud.
Все предыдущие эксперименты с ними заканчивались неудачно. OnlyOffice ни в какую не хотел запускаться. Самой большой проблемой было то, что они располагались на одном сервере, в отличие от настоятельной рекомендации разработчиков располагать Nextcloud и OnlyOffice на разных компьютерах. Переворошил кучу сайтов, попробовал самые разные конфигурации — ни в какую. Не хотел, паршивец, запускаться и все тут.
Сегодня наткнулся в хелпцентре разработчиков на одну статью, в которой было описание как настроить проксирование данных с HTTPS на HTTP на одном сервере. Слегка изменил конфигурацию домена и — вуаля! Имеем полноценный редактор документов в режиме онлайн.

В итоге конфигурация домена для OnlyOffice приобрела такой вид:

<VirtualHost *:443>
    ServerName office.kini24.ru:443
    ServerAdmin admin@kini24.ru

    # SSL configuration, you may want to take the easy route instead and use Lets Encrypt!
    SSLEngine on
    SSLCertificateFile      /etc/letsencrypt/live/office.kini24.ru/fullchain.pem
    SSLCertificateChainFile /etc/letsencrypt/live/office.kini24.ru/chain.pem
    SSLCertificateKeyFile   /etc/letsencrypt/live/office.kini24.ru/privkey.pem
    SSLProtocol             all -SSLv2 -SSLv3
    SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
    SSLHonorCipherOrder on

    #Proxysettings
    # Encoded slashes need to be allowed 
    AllowEncodedSlashes On

    # keep the host
    ProxyPreserveHost On
    ProxyRequests Off

    SetEnvIf Host "^(.*)$" THE_HOST=$1
    RequestHeader setifempty X-Forwarded-Proto https
    RequestHeader setifempty X-Forwarded-Host %{THE_HOST}e
    ProxyAddHeaders Off

    ProxyPassMatch (.*)(\/websocket)$ "ws://127.0.0.1/$1$2"
    ProxyPass / http://127.0.0.1:9980/
    ProxyPassReverse / http://127.0.0.1:9980/
</VirtualHost>

SSLCipherSuite можно, конечно, сократить, но это уже мелочи. Все, что ниже настроек SSL, является обязательным для корректной работы редактора. Сам OnlyOffice установлен в виде докера:

# docker run -i -t -d -p 0.0.0.0:9980:80 -p 9443:443 --restart=always -v /opt/onlyoffice/DocumentServer/logs:/var/log/onlyoffice -v /opt/onlyoffice/DocumentServer/data:/var/www/onlyoffice/Data -v /opt/onlyoffice/DocumentServer/lib:/var/lib/onlyoffice -v /opt/onlyoffice/DocumentServer/db:/var/lib/postgresql onlyoffice/documentserver

Часто вирусные файлы приходят в виде тех же vbs скриптов, упакованных в архив. Я не буду говорить про другие форматы, их не так уж и много, но каждый из них может доставить кучу неприятностей. Особенно если это будет шифровальщик.
Так уж сложилось, что несмотря на все ухищрения, используя стандартные методы, нельзя заставить ClamAV проверять архивы на наличие файлов определенного типа. Он может только попытаться определить заражен ли тот или иной файл в архиве, но со скриптами у него явные проблемы. Скрипт по сути представляет собой обычный текстовый файл, поэтому найти в нем код вируса достаточно проблематично.
Часть этого вопроса удалось решить, заставив postfix отбрасывать письма, в которые вложены файлы из «черного» списка. Но он не может работать с архивами, увы. Это был первый, так сказать этап, который успешно показал себя.
Вторым этапом стал поиск файлов в архивах при помощи ClamAV. Оказывается, можно все-таки заставить его проверять архивы на наличие нужных файлов. Неслучайно копаясь в интернете, наткнулся на эту вот замечательную статью. Использовав информацию из нее, подкинул созданный файл в папку с антивирусными базами ClamAV и перегрузил его. Никаких исправлений в файлы конфигураций вносить не пришлось, он сразу его подхватил. Далее я отправил письмо, полученное утром, и содержащее vbs-скрипт в архиве .7z через этот сервер. Хотел было поймать процесс обработки письма, но не успел. Впрочем, через минуту мне на почту упало сообщение от антивируса, что письмо обработано, найден архив с «вредным» файлом и что письмо было заблокировано. Это было все, чего я добивался.

Virus name: rules_block_7z_vbs.UNOFFICIAL
Sender: *****@*****.ru
Recipient(s): *****@*****.ru

Quarantined to: /var/tmp/virus.yHPWqV

Сам файл с нужными определениями состоит из строк вида

rules_block_exe:CL_TYPE_MAIL:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:*

Здесь самыми интересными для нас являются три поля: имя правила, тип правила и расширение файла. Имя и тип задаются первыми двумя параметрами, разделенными двоеточием. Затем идет имя файла с расширением в виде regexp-строки. Оставшиеся параметры оставляем без изменений. Расширение файла указывается в обоих регистрах.