500.acl-check-data.conf: после «.ifdef USE_SPAMD» добавляем строку:

warn set acl_m5 = $acl_c_lp

configure: после строки «acl_check_rcpt:» вставляем:

warn set acl_c_lp       = $local_part@$domain

Перед обоими вставками лучше вставить пустую строку.

Файлы для обновления портов и системы сразу после установки доступны в каталоге /usr/share/examples/cvsup. Там же и поправим нужный: в моем случае – файл обновления портов ports-supfile:

# ee /usr/share/examples/cvsup/ports-supfile

# Сервер, с которого обновляться, в моем случае ftp6.ua.FreeBSD.org
*default host=ftp6.ua.FreeBSD.org
*default base=/var/db
*default prefix=/usr
*default release=cvs tag=.
*default delete use-rel-suffix

*default compress

# Обновлять все дерево портов
ports-all

Вот и все, дальше остается только запустить обновление командой:

# csup /usr/share/examples/cvsup/ports-supfile

# cd /usr/ports/net-mgmt/zabbix-server
# make install
┌────────────────────────────────────────────────────────────────────┐
 │                Options for zabbix-server 1.8.1,2                   │
 │ ┌────────────────────────────────────────────────────────────────┐ │
 │ │         [X] MYSQL   Use MySQL backend                          │ │
 │ │         [ ] PGSQL   Use PostgreSQL backend                     │ │
 │ │         [ ] SQLITE  Use SQLite backend                         │ │
 │ │         [ ] IPV6    Support for IPv6                           │ │
 │ │         [ ] LDAP    Support for checking LDAP servers          │ │
 │ │         [X] JABBER  Use jabber media type                      │ │
 │ │         [X] FPING   Use fping for pinging hosts                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 ├─└────────────────────────────────────────────────────────────────┘─┤
 │                       [  OK  ]       Cancel                        │
 └────────────────────────────────────────────────────────────────────┘

Пока он ставится, немного расскажу о идеологии софтины. Состоит она из нескольких частей: сервера, агента, фронтенда. Сервер умеет опрашивать агентов или сами объекты мониторинга (в случае с последними поддерживаются протоколы SNMP и IPMI). Агент ставится на объект мониторинга (версии агента есть для широкого перечня операционных систем, включая винды) и шлет данные на сервер, также умеет выполнять на объекте заданные команды, фронтенд стоит на веб-сервере и показывает весь процесс. К базе данных обращаются сервер и фронтенд, агентам она не нужна. Создаем ее (исходим из того, что MySQL у нас на том же хосте, где zabbix-сервер):

# mysql
CREATE USER 'zabbix'@'localhost' IDENTIFIED BY 'zabbixpassword';
GRANT USAGE ON * . * TO 'zabbix'@'localhost' IDENTIFIED BY 'zabbixpassword' WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0 ;
CREATE DATABASE IF NOT EXISTS `zabbix` ;
GRANT ALL PRIVILEGES ON `zabbix` . * TO 'zabbix'@'localhost';
quit;
# cd /usr/local/share/zabbix/server/create
# cat schema/mysql.sql data/data.sql data/images_mysql.sql | mysql -uzabbix -pzabbixpassword zabbix
# echo zabbix_server_enable=\"YES\" >> /etc/rc.conf
# cp /usr/local/etc/zabbix/zabbix_server.conf.sample /usr/local/etc/zabbix/zabbix_server.conf
# ee /usr/local/etc/zabbix/zabbix_server.conf

Настройки по умолчанию достаточно разумны, потому файл /usr/local/etc/zabbix/zabbix_server.conf небольшой, для справки потом можно будет заглянуть в дефолтный файл:

# Исходящий IP, с него будут осуществляться соединения с агентами и объектами мониторинга
SourceIP=192.168.1.10

# Лог-файл
LogFile=/var/log/zabbix_server.log

# Размер лог-файла, в мегабайтах, 0 отключает ротацию лога
LogFileSize=10

# Уровень дебага, 0 - отключить, 1 - критические ошибки, 2 - ошибки, 3 - предупреждения, 4 - дебаг
DebugLevel=3

# Хост БД
DBHost=localhost

# Название БД
DBName=zabbix

# Пользователь БД
DBUser=zabbix

# Пароль БД
DBPassword=zabbixpassword

# Путь к Mysql-сокету
DBSocket=/tmp/mysql.sock

# Порт SQL-сервера, если используем сокет - не надо
# DBPort=3306

Если заббикс стоит, как в моем случае, в джейле, то на хост-машине надо в /etc/sysctl.conf добавить:

security.jail.sysvipc_allowed=1
kern.ipc.shmall=2097152
kern.ipc.shmmax=2147483648

На этом все, сервер можно запускать:

# touch /var/log/zabbix_server.log
# chown zabbix:zabbix /var/log/zabbix_server.log
# /usr/local/etc/rc.d/zabbix_server start

Теперь займемся фронтендом.

# cd /usr/ports/math/php5-bcmath
# make install
# cd /usr/ports/net-mgmt/zabbix-server/work/zabbix-1.8.1/frontends/php
# cp -R * /usr/local/www/vhosts/zabbix.jared.kiev.ua
# cd /usr/local/www/vhosts/zabbix.jared.kiev.ua/conf/
# cp zabbix.conf.php.example zabbix.conf.php
# ee zabbix.conf.php

Тут вписываем параметры доступа к БД и прочее:

<?php
global $DB;

$DB["TYPE"]             = "MYSQL";
$DB["SERVER"]           = "localhost";
$DB["PORT"]             = "0";
$DB["DATABASE"]         = "zabbix";
$DB["USER"]             = "zabbix";
$DB["PASSWORD"]         = "zabbixpassword";
$ZBX_SERVER             = "localhost";
$ZBX_SERVER_PORT        = "10051";
$ZBX_SERVER_NAME        = "";

$IMAGE_FORMAT_DEFAULT   = IMAGE_FORMAT_PNG;
?>

Все, теперь можно смело заходить в фронтенд с логином Admin и паролем zabbix и заниматься дальнейшей настройкой системы.

# cd /usr/ports/sysutils/fastest_cvsup
# make install

 ┌────────────────────────────────────────────────────────────────────┐
 │                Options for fastest_cvsup 0.2.9_6                   │
 │ ┌────────────────────────────────────────────────────────────────┐ │
 │ │           [ ] ROUNDTRIP  Build with round-trip patch           │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 │ │                                                                │ │
 ├─└────────────────────────────────────────────────────────────────┘─┤
 │                       [  OK  ]       Cancel                        │
 └────────────────────────────────────────────────────────────────────┘

Опции у утилиты достаточно просты и по большому счету, нам понадобится только опция -c, после которой задается 2-буквенный код страны. Дальше она выбирает самый близкий по пингу к нам официальный sup-сервер:

# fastest_cvsup -c ua
>>  Querying servers in countries: ua
--> Connecting to cvsup.ua.freebsd.org [83.218.232.71]...
 - server replied: OK 17 0 SNAP_16_1h CVSup server ready
 - time taken: 14.70 ms
--> Connecting to cvsup2.ua.freebsd.org [62.244.55.197]...
 - server replied: OK 17 0 SNAP_16_1h CVSup server ready
 - time taken: 2.15 ms
--> Connecting to cvsup3.ua.freebsd.org [212.42.64.9]...
 - server replied: OK 17 0 SNAP_16_1h CVSup server ready
 - time taken: 2.93 ms
--> Connecting to cvsup4.ua.freebsd.org [82.193.96.50]...
 - server replied: OK 17 0 SNAP_16_1h CVSup server ready
 - time taken: 1.81 ms
--> Connecting to cvsup5.ua.freebsd.org [213.186.196.224]...
 * error: connect: timeout
--> Connecting to cvsup6.ua.freebsd.org [62.149.2.9]...
 - server replied: OK 17 0 SNAP_16_1h CVSup server ready
 - time taken: 1.99 ms
--> Connecting to cvsup7.ua.freebsd.org [213.186.196.224]...
 * error: connect: timeout
--> Connecting to cvsup8.ua.freebsd.org [83.218.232.71]...
 - server replied: OK 17 0 SNAP_16_1h CVSup server ready
 - time taken: 2.31 ms
--> Connecting to cvsup9.ua.freebsd.org [80.249.224.11]...
 - server replied: OK 17 0 SNAP_16_1h CVSup server ready
 - time taken: 12.62 ms
--> Connecting to cvsup10.ua.freebsd.org [78.152.160.14]...
 - server replied: OK 17 0 SNAP_16_1h CVSup server ready
 - time taken: 16.40 ms
--> Connecting to cvsup11.ua.freebsd.org [217.20.163.35]...
 - server replied: OK 17 0 SNAP_16_1h CVSup server ready
 - time taken: 2.46 ms

>>  Speed Daemons:
 - 1st: cvsup4.ua.freebsd.org
 - 2nd: cvsup6.ua.freebsd.org
 - 3rd: cvsup2.ua.freebsd.org

Вот и все, теперь осталось только вписать понравившийся сервер в конфиг.

# /usr/local/etc/rc.d/exim stop
# exim -bd -d+all > /var/log/exim-debug.log 2>&1

Здесь мы потушили Exim и пустили его в ручном режиме с выводом полной информации о его работе (-d+all). Неприятная особенность заключается в том, что Exim пишет лог своей работы в stderr, с которым довольно неудобно работать. Потому конструкция «> /var/log/exim-debug.log 2>&1″ перенаправляет stderr в файл /var/log/exim-debug.log.

Все, теперь можно ждать копии проблемного письма, другие пользователи при этом продолжат спокойно работать. После того, как собрали нужное для устранения ошибки количество информации, останавливаем ручной режим нажатием Ctrl-C и запускаем Exim в нормальном режиме работы:

# /usr/local/etc/rc.d/exim start

# pkg_add -r cvsup-without-gui
# ee /usr/share/examples/cvsup/stable-supfile

Правим *default host=CHANGE_THIS.FreeBSD.org на хост, который нам подходит, в моем случае это ftp6.ua.freebsd.org. Потом подготовим структуру каталогов для джейла (мой джейл будет носить гордое имя mon) и запускаем сам процесс обновления:

# mkdir -p /usr/local/jails/mon
# cvsup -g -L 2 /usr/share/examples/cvsup/stable-supfile

Пока он идет,  добавим несколько строк в файл /etc/rc.conf :

# Говорим syslogd не логгировать ничего из сети, чтоб не мешать логи в кучу
syslogd_flags="-ss"

# Общие настройки для всех джейлов
jail_enable="YES"
jail_devfs_enable="YES"
jail_procfs_enable="YES"

# Тут список джейлов, которые надо запускать при старте системы, указываются через пробел
jail_list="mon"

# Интерфейс, на который система повесит алиасы для джейлов, на самих интерфейсах прописывать ничего не надо
jail_interface="lo0"

jail_exec_start="/bin/sh /etc/rc"
jail_exec_stop="/bin/sh /etc/rc.shutdown"

# Настройки для джейла mon
jail_mon_rootdir="/usr/local/jails/mon"
jail_mon_hostname="mon.jared.kiev.ua"
jail_mon_ip="192.168.10.1"

Заодно поправим /etc/ssh/sshd_config, чтоб при попытке попасть по SSH в джейл мы не попадали на хост-машину:

ListenAddress 192.168.23.1

Теперь, когда исходники обновили, можем собирать всю конструкцию воедино:

# cd /usr/src
# make buildworld
# make installworld DESTDIR=/usr/local/jails/mon
# cd /usr/src/etc
# make distribution DESTDIR=/usr/local/jails/mon

Все, взлетаем и проверяем наличие нашего джейла:

# /etc/rc.d/jail start
Configuring jails:.
Starting jails: mon.jared.kiev.ua.
# jls
   JID  IP Address      Hostname                      Path
     1  192.168.10.1    mon.jared.kiev.ua             /usr/local/jails/mon

Теперь, набрав на хост-машине jexec 1 tcsh, мы запустим в джейле с JID 1 оболочку tcsh и окажемся внутри нашей виртуальной машины.

Полезные sysctl-переменные для джейлов:
security.jail.set_hostname_allowed – если 1, то внутри jail можно поменять имя хоста;
security.jail.socket_unixiproute_only – если 1 , то сокет в jail можно создать только для доменов PF_LOCAL, PF_INET или PF_ROUTE, иначе, возвращается ошибка;
security.jail.sysvipc_allowed – если 1, то то в jail можно получить доступ к глобальному System V IPC;
security.jail.getfsstatroot_only – если 1, то в jail можно получить информацию (df)только о той файловой системе на которой создан jail;
security.jail.allow_raw_sockets – если 1, то в jail можно создавать raw sockets;
security.jail.chflags_allow – если 1, то процессы в jail могут модифицировать флаги ФС.

#!/bin/sh
echo "DELETE FROM exim_greylist WHERE record_expires < now();" | /usr/local/bin/mysql -u<имя sql-пользователя> -p<пароль sql-пользователя> <название БД экзима>

Теперь присвоим скрипту исполняемый бит:

# chmod 700 /root/scripts/exim-clear-greylist.sh

и добавим его запуск в /etc/crontab:

# echo "0       0       *       *       *       root    /root/scripts/exim-clear-greylist.sh" >> /etc/crontab
Все, теперь раз в сутки база будет очищаться от записей, у которых истек срок действия.

По умолчанию Zabbix предлагает отправку SMS через GSM-модем, подключенный к zabbix-серверу, в моем случае такого нет, однако есть масса служб, которые предлагают отправку смс за деньги. Я остановился на сервисе turbosms.com.ua, вроде как самый недорогой, плюс имеет очевидный плюс – позволяет отправлять SMS простыми SQL-запросами к их MySQL-базе.

Будем считать, что сам заббикс у нас стоит (про его установку я как-нибудь напишу многабукаф, не в авральном режиме). Заходим в Administration – Media Types и жмем кнопку Create Media Type. Указываем любое удобное нам имя, тип Script и название скрипта. Сам скрипт при этом должен лежать в каталоге, определенном параметром AlertScriptsPath в /usr/local/etc/zabbix/zabbix_server.conf.

Скрипт в итоге получился такой (на perl):

#!/usr/bin/perl

use strict;
use POSIX;
use DBI;

my $phone=@ARGV[0];
my $subj=@ARGV[1];
my $msg=@ARGV[2];

my $driver = "mysql";
my $user = "Mylogin";
my $password = "Mypassword";
my $database = "users";
my $dsn = "DBI:$driver:host=77.120.116.10:3306;database=$database";
my $dbh = DBI->connect($dsn, $user, $password);

my $sql = $dbh->prepare("INSERT INTO Mylogin (number, sign, message) VALUES ('$phone', 'MyISP', '$msg')");
$sql->execute;

Сделано по-быстрому, но работает.

#!/bin/sh

# Переменные

# Строка, которая должна присутствовать в имени процесса
process="usr/local/sbin/squid"

# Строка, которая должна оттствовать в имени процесса
process_exclude="grep"

# Количество процессов, при котором надо делать рестарт
process_number="0"

# Команда для перезапуска
restart_string="/usr/local/etc/rc.d/squid restart"

# Путь к ps
ps="/bin/ps"

# Путь к grep
grep="/usr/bin/grep"

if [ `$ps -ax | $grep $process | $grep -v $process_exclude | wc -l` -le "$process_number" ]
then
 echo $process is down, restarted!
 $restart_string
fi

Как видно, все достаточно просто, если количество процессов меньше или равно $process_number, выполняется $restart_string и выводится сообщение, которое позже придет к нам с ежедневным письмом-отчетом. Если с количеством процессов все хорошо, скрипт просто завершает свою работу. Для выполнения скрипта раз в 5 минут добавим в /etc/crontab строчку:

*/5     *       *       *       *       root    /root/scripts/check_squid.sh

Вот и все, от себя добавлю, что этим способом можно мониторить и передергивать любые процессы, не только squid.

# chown -R exim:mail /var/log/exim
# chown -R exim:mail /var/mail
# chown -R exim:mail /var/spool
# rm /usr/sbin/sendmail
# ln -s /usr/local/sbin/exim /usr/sbin/sendmail
# rm /usr/bin/mailq
# ln -s /usr/local/sbin/exim /usr/bin/mailq

Проверим правильность нашей конфигурации exim, выполнив exim -bV. Должно вывести что-то вроде такого:

Exim version 4.71 #0 (FreeBSD 7.2) built 20-Jan-2010 17:40:29
Copyright (c) University of Cambridge, 1995 - 2007
Probably Berkeley DB version 1.8x (native mode)
Support for: crypteq iconv() use_setclassresources PAM Perl Expand_dlfunc OpenSSL Content_Scanning DKIM Old_Demime Experimental_SPF
Lookups: lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmnz dnsdb dsearch mysql nis nis0 passwd
Authenticators: cram_md5 dovecot plaintext spa
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/maildir/mailstore/mbx autoreply lmtp pipe smtp
Fixed never_users: 0
Size of off_t: 8
OpenSSL compile-time version: OpenSSL 0.9.8e 23 Feb 2007
OpenSSL runtime version: OpenSSL 0.9.8e 23 Feb 2007
Configuration file is /usr/local/etc/exim/configure

Если ошибок нет, идем дальше. К этому времени мы уже создали локальный домен и как минимум постмастера в нем, проверим распознавание локальной почты к нему (тут меняем jared@jared.kiev.ua на созданного пользователя):

# exim -bt jared@jared.kiev.ua
jared@jared.kiev.ua -> /var/mail/jared.kiev.ua/jared
 transport = virtual_delivery

Если ошибок нет, проверим распознавание почты на внешние адреса:

# exim -bt support@microsoft.com
support@microsoft.com
 router = dnslookup, transport = remote_smtp
 host mail.messaging.microsoft.com [65.55.88.22] MX=10

Будем считать, что все прошло хорошо и можно пробовать отправлять настоящие тестовые письма локальному пользователю и себе любимому на внешний ящик:

# exim -v jared@jared.kiev.ua
From: jared@jared.kiev.ua
To: jared@jared.kiev.ua
Subject: test

This is a test
^D
LOG: MAIN
 <= root@jared.kiev.ua U=root P=local S=363 T="test"
# delivering 1NZ4L1-0004bb-6B
LOG: MAIN
 => /var/mail/jared.kiev.ua/jared <jared@jared.kiev.ua> R=virtual_domains T=virtual_delivery
LOG: MAIN
 Completed

# exim -v jared@mail.ru
From: jared@jared.kiev.ua
To: jared@mail.ru
Subject: test 2

This is a test #2
^D
LOG: MAIN
  <= root@jared.kiev.ua U=root P=local S=362 T="test 2"
# delivering 1NZ4Sz-0004cT-DY
Connecting to mail.mail.ru [193.84.77.159]:25 from 123.123.123.123 ... connected
  SMTP<< 220 mail.mail.ru, ESMTP EXIM 4.71
  SMTP>> EHLO mail.mail.ru
  SMTP<< 250-mail.mail.ru Hello mail.mail.ru [123.123.123.123]
         250-SIZE 52428800
         250-PIPELINING
         250-AUTH PLAIN LOGIN CRAM-MD5
         250-STARTTLS
         250 HELP
  SMTP>> STARTTLS
  SMTP<< 220 TLS go ahead
  SMTP>> EHLO mail.mail.ru
  SMTP<< 250-mail.mail.ru Hello mail.mail.ru [123.123.123.123]
         250-SIZE 52428800
         250-PIPELINING
         250-AUTH PLAIN LOGIN CRAM-MD5
         250 HELP
  SMTP>> MAIL FROM:<root@jared.kiev.ua> SIZE=1396
  SMTP>> RCPT TO:<jared@mail.ru>
  SMTP>> DATA
  SMTP<< 250 OK

Вот в принципе и все, дальше можно проверять разные варианты авторизиции, но, как показывает практика, эта секция, как правило, работает сразу, кому интересно – вот статья Wombat-a, а мы будем потихоньку запускаться:

# /usr/local/etc/rc.d/exim start

В итоге в /var/log/exim/mainlog должно появиться такое сообщение:

2010-01-24 17:09:58 exim 4.71 daemon started: pid=17604, -q30m, listening for SMTP on [123.123.123.123]:25

Теперь еще для пущей красоты добавим в файл /etc/crontab строку

0       0       *       *       *       /usr/local/sbin/exicyclog

Вуаля, мы взлетели. Спасибо за выбор нашей авиакомпании, желаю приятного полета! )

Почтовый сервер как у провайдера, часть 1: Exim

Почтовый сервер как у провайдера, часть 2: ClamAV, SpamAssassin, Dovecot

Почтовый сервер как у провайдера, часть 3: Vexim

Почтовый сервер как у провайдера, часть 4: взлетаем