Linux mint debian edition (lmde) — как соломинка утопающему

Install diagnostic tools

#apt-get install swaks libnet-ssleay-perl

Test the connection:

$swaks -a -tls -q HELO -s localhost -au your_user -ap '<>'
 === Trying localhost:25...
 === Connected to localhost.
 <-  220 debianwb ESMTP Exim 4.76 Thu, 04 Aug 2011 14:22:02 +0600
  -> EHLO debianwb
 <-  250-debianwb Hello localhost 
 <-  250-SIZE 52428800
 <-  250-PIPELINING
 <-  250-STARTTLS
 <-  250 HELP
  -> STARTTLS
 <-  220 TLS go ahead
 === TLS started w/ cipher DHE-RSA-AES256-SHA
  ~> EHLO debianwb
 <~  250-debianwb Hello localhost 
 <~  250-SIZE 52428800
 <~  250-PIPELINING
 <~  250 HELP
  ~> QUIT
 <~  221 evie closing connection

Note that above we are sending an empty password while testing with the swaks tool.

Some ISPs may block connecting to port 25, and also some broken clients insist TLS on Port 465.

To support these, change /etc/default/exim4 as:

SMTPLISTENEROPTIONS='-oX 465:25 -oP /var/run/exim4/exim.pid'

Also edit /etc/exim4/exim4.conf.template:

#####################################################
### main/03_exim4-config_tlsoptions
#####################################################
tls_on_connect_ports=465
### main/03_exim4-config_tlsoptions
#################################

Check for details.

Почему Jitsi лучше, чем Zoom?

Во-первых, мы не утверждаем, что это так. Но были вопросы о качестве конфиденциальности Zoom, которые заставляют многих людей искать другие варианты. Помимо прочего, Jitsi не требует от вас создания учетной записи или установки плагинов браузера для работы.

Кроме того, Jitsi Meet поставляет с довольно богатым набором функций совершенно бесплатно.

• общий доступ к экрану для презентации или обзоров документов;
• веселые, настраиваемые URL-адреса встреч;
• возможность приглашать столько пользователей, сколько поддерживает ваша инфраструктура;
• совместное редактирование документов;
• интеграция календаря Google и Microsoft;
• интеграция с другими программами для совместной работы, такими как Slack;
• мобильные приложения для Android и Apple.

Сетевые настройки на сервере Debian

Вопрос настройки сети я уже кратко поднимал в теме начальной настройки Debian. Я рекомендую с ней ознакомиться и выполнить некоторые подготовительные действия, чтобы было удобнее работать далее. Сейчас мы подробно разберем все наиболее значимые нюансы сетевых настроек, которые могут пригодиться в повседневной работе.

Первоначальная настройка сети начинается во время установки сервера. Если у вас есть сетевой интерфейс и dhcp сервер в сети, то сеть сконфигурируется автоматически на основе полученных настроек и будет готова к работе. В последствии вы можете выполнить настройку сети в Debian через консоль с помощью программ ip или ifconfig. Наиболее популярным и современным средством на текущий момент является ip, поэтому в дальнейшем рассмотрим вопрос конфигурации сетевых интерфейсов с ее помощью. Про ifconfig тоже не забудем. Рассмотрим ее позже отдельно.

Отдельно стоит такой инструмент управления сетевыми подключениями как Network manager. Он используется в сочетании с графическими оболочками, которых на сервере обычно нет, поэтому вопрос его настройки я не буду рассматривать. Мне просто не на чем это делать, да и не вижу смысла.

Есть 2 различные возможности изменить сеть в Debian:

1. Настройка сети из консоли с помощью указанных ранее консольных программ.
2. С помощью редактирования конфигурационного файла сетевых интерфейсов /etc/network/interfaces.

Мы рассмотрим оба этих варианта. Вводная теоретическая часть окончена, приступаем к практике.

Установка Jitsi Meet в Ubuntu и Debian

В начале подготовим Ubuntu (или Debian) – поставим все необходимые пакеты, которые понадобятся для установки Jitsi Meet.

$ sudo apt install linuxbrew-wrapper

$ brew install gnupg gnupg2

Далее нам нужно установить пакет Jitsi из официального репозитория проекта. Давайте добавим репозиторий Jitsi к источникам пакетов, чтобы сделать их доступными для установки. Команда curl загружает и устанавливает ключ подписи пакета Jitsi GPG и импортирует его в конфигурацию apt package manager. Команда echo добавляет официальный репозиторий пакетов Jitsi в систему управления пакетами apt и сообщает apt использовать его для установки пакета.

$ curl https://download.jitsi.org/jitsi-key.gpg.key | sudo sh -c ‘gpg –dearmor > /usr/share/keyrings/jitsi-keyring.gpg’

$ echo ‘deb [signed-by=/usr/share/keyrings/jitsi-kcueyring.gpg] https://download.jitsi.org stable/’ | sudo tee /etc/apt/sources.list.d/jitsi-stable.list > /dev/null

Далее, обновите списки пакетов диспетчера из его известных репозиториев и установите пакет Jitsi Meet следующим образом:

$ sudo apt update

$ sudo apt install jitsi-meet

Примечание: Jitsi Meet требует, чтобы его обслуживал HTTP-сервер. Таким образом, установщик в процессе будет пытаться найти HTTP-сервер NGINX или Apache. Если ничего из вышеперечисленного не найдено, то устанавливается NGINX по умолчанию.

Во время установки пакета установщик предложит настроить пакет Jitsi Meet. Первое окно конфигурации предложит нам ввести имя хоста, установить его в поддомен для доступа к Jitsi Meet. В нашем случае поддоменmeet.promobiz.site.

Установщик также запросит генерацию сертификатов SSL/TSL, поэтому выберите первый вариант для создания сертификата, чтобы позже мы могли получить сертификат от Let’s Encrypt, признанный всеми браузерами.

Настройка брандмауэра

Если у вас работает брандмауэр, то прежде чем вы сможете получить доступ к Jitsi Meet из веб-браузера, вам необходимо открыть следующие порты.

$ sudo ufw allow 10000/udp

$ sudo ufw allow 4443/tcp

$ sudo ufw allow 443/tcp

$ sudo ufw allow 80/tcp

$ sudo ufw reload

Генерация сертификата Let’s Encrypt для Jitsi Meet

Чтобы сгенерировать сертификат Let’s Encrypt вам необходимо установить на сервере инструмент certbot.

$ sudo apt install certbot

Выполните следующую команду, чтобы сгенерировать бесплатный SSL-сертификат для Jitsi Meet (при запросе укажите действительный адрес электронной почты).

$ sudo nano /usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh

Проверяем установку

Давайте откроем браузер и проверим, установился ли у нас Jitsi Meet. В нашем примере заходим по адресу meet.promobiz.site и видим, что установка успешно завершена.

Любой, кто имеет доступ к нашему серверу Jitsi Meet, сможет начать встречу особенно, если сервер открыт для всего интернета.

Mailspring

Mailspring – простой и универсальный почтовый сервис. Скачать его, конечно же, можно бесплатно. Но в обычной версии предусмотрены только самые базовые возможности, за расширенный функционал придется платить по 8 долларов в месяц.

Возможности

В базовом предложении Mailspring реализованы следующие функции:

• Подключение нескольких учетных записей.
• Возможность изменения темы, в том числе на черную.
• Наличие расширенного поиска.
• Единый ящик для всех учетных записей.
• Проверка орфографии.
• Перевод сообщений прямо внутри черновика.

А вот какие возможности добавляются при подключении пакета Pro:

• Множество шаблонов для писем.
• Уведомления о прочтении.
• Отслеживание ссылок.
• Напоминание о дальнейших действиях.
• Функция «Отправить позже».
• Просмотр расширенной информации о контактах.

Как установить

Установка данного приложения через «Терминал» возможна только через snap-пакет. Команда будет выглядеть следующим образом:

sudo snap install mailspring

Программу также можно найти и в менеджере приложений.

Настройка firewall (iptables) в Debian

В качестве firewall в Debian по-умолчанию используется iptables, его и будем настраивать. Изначально фаервол полностью открыт и пропускает весь трафик. Проверить список правил iptables можно следующей командой:

# iptables -L -v -n

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Обращаю пристальное внимание на то, что настраивать firewall без прямого доступа к консоли сервера не следует. Особенно, если вы не очень разбираетесь в этом и копируете команды с сайта

Шанс ошибиться очень высок. Вы просто потеряете удаленный доступ к серверу.

Создадим файл с правилами iptables:

# mcedit /etc/iptables.sh

Очень подробно вопрос настройки iptables я рассмотрел отдельно, рекомендую ознакомиться. Хотя в примере другая ОС linux, принципиальной разницы нет, настройки iptables абсолютно одинаковые, так как правила одни и те же.

Добавляем набор простых правил для базовой настройки. Все необходимое вы потом сможете сами открыть или закрыть по аналогии с существующими правилами:

#!/bin/bash
#
# Объявление переменных
export IPT="iptables"

# Активный сетевой интерфейс
export WAN=ens18
export WAN_IP=10.20.1.16

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# разрешаем пинги
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT

# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из-за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

# Открываем порт для ssh (!!!не забудьте указать свой порт, который вы изменили ранее!!!)
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
# Открываем порт для web сервера
$IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT

# Записываем правила в файл
/sbin/iptables-save > /etc/iptables_rules

Даем файлу права на запуск:

# chmod 0740 /etc/iptables.sh

Запускаем скрипт:

sh /etc/iptables.sh

Проверяем правила:

# iptables -L -v -n

Проверяем, что правила записались в файл /etc/iptables_rules. Если их там нет, то записываем их вручную.

# /sbin/iptables-save > /etc/iptables_rules

Правила применились и произошла их запись в файл /etc/iptables_rules. Теперь нужно сделать так, чтобы они применялись при загрузке сервера. Для этого делаем следующее. Открываем файл /etc/network/interfaces и добавляем в него строку pre-up iptables-restore < /etc/iptables_rules Должно получиться вот так:

# cat /etc/network/interfaces

allow-hotplug eth0
iface eth0 inet dhcp
pre-up iptables-restore < /etc/iptables_rules

Для проверки перезагрузите сервер и посмотрите правила iptables. Должен загрузиться настроенный набор правил из файла /etc/iptables_rules.

Настройка сетевой карты

Иногда возникают ситуации, когда необходимо настроить или изменить настройки сетевой карты. Сразу отмечу, что настраивать сетевую карту можно только на реальном железе. На виртуальном, скорее всего, ни одна из предложенных дальше команд не приведет к какому-нибудь результату. У виртуальных сетевых адаптеров просто нет настроек. Для начала посмотрим, какие сетевые карты есть на сервере:

В моем случае это единственная сетевая карта фирмы Qualcomm. Теперь установим утилиту ethtool для настройки сетевой карты:

Посмотрим информацию о сетевой карте:

Указана текущая скорость, на которой работает карточка. Ее можно сменить в случае необходимости:

Этой командой можно изменить скорость сетевой карточки до 100Mb/s в случае, если там стояла другая скорость. Смотрим, что получилось:

Показал просто для примера, вряд ли кому-то понадобится уменьшать скорость. Чаще нужно выполнить обратное преобразование. У меня была ситуация, когда сетевая карта упорно не хотела работать на скорость 1Gb, хотя поддерживала такую работу, и свитч был гигабитный. Долго бился и пробовал различные утилиты для изменения скорости. Оказалось, что патч корд был 4-х жильный из комплекта какого-то роутера

Им воспользовались для подключения и даже не обратили внимание на то, что он не поддерживает работу по гигабиту

У утилиты ethtool много параметров, с помощью которых можно настроить сетевую карту. Пример этих параметров можно посмотреть на сайте redhat.

TypeApp Mail

Когда я посмотрела на интерфейс приложения TypeApp Mail, мне почему-то сразу же вспомнился Mail.Ru. Одним им, конечно же, дело не ограничивается – здесь можно подключить учетные записи любых сервисов, и приложение проведет их автоматическую настройку. Лимита на количество профилей тоже не имеется.

Самое приятное в клиенте, пожалуй, это именно интерфейс. Добавить новый профиль не составит проблем, переключаться между почтовыми ящиками тоже. Есть поддержка ночной темы, встроенный поиск, сортировка и фильтрация писем.

Возможности

Несмотря на свою простоту, приложение производит довольно хорошее впечатление, и вот какие функции особенно «бросаются в глаза»:

• Наличие ночной темы.
• Подключение неограниченного количества электронных ящиков, причем с любых почтовых сервисов.
• Быстрая и удобная фильтрация.

Команда для установки

Приложение поддерживается многими дистрибутивами Linux. Для установки на Ubuntu, Debian или Mint нужно дать следующий запрос в командной строке:

sudo snap install typeapp-mail

TLS and authentication

Generating a local certificate

Generate a certificate using:

# bash /usr/share/doc/exim4-base/examples/exim-gencert

It will generate exim.crt and exim.key in /etc/exim4/

Instead of generating a certificate, you may simply copy certificates that you have purchased or generated previously.

Edit /etc/exim4/exim4.conf.localmacros and add the following line:

MAIN_TLS_ENABLE = yes

This, of course, may be already enabled in the main configuration template «exim4.conf.template»

As with any change to the configuration, run update-exim4.conf then restart exim (service exim4 restart) or, if you’re using systemd; systemclt restart exim4.service.

Dual stack RSA/ECDSA configuration

If you wish to support both ECDSA and RSA algorithms, you can provide more than one certificate:

tls_certificate = /etc/exim4/exim_ecdsa.crt : /etc/exim4/exim_rsa.crt
tls_privatekey = /etc/exim4/exim_ecdsa.key : /etc/exim4/exim_rsa.key

Exim will select a certificate to present to the client based on the selected cipher. The priority order for ciphers will affect which certificate is used.

Communicating with a smarthost

Every company seems to configure their server differently and puts different restrictions on how you can send mail. This makes configuring Exim4 difficult to describe as a general case. Adding tls makes things even more complicated. However you should always use tls (if available) so that your login is sent encrypted.

I’m going to describe a setup that should work in most cases when you are sending mail using a single account to a single smarthost.

1. Select one of the smarthost options when running dpkg-reconfigure exim4-config. When specifying the smarthost, include both the smarthost server name and the port it wants you to use (e.g. example.com::465). Note the double colons.
2. Add authentication credentials for a specific server to /etc/exim4/passwd.client:

   :: (e.g. server.example.com:[email protected]:abdc1243)or specify credentials for every server:*:: (e.g. *:[email protected]:abdc1243)

3. Add the following lines to /etc/exim4/exim4.conf.localmacros (you may need to create it if it doesn’t exist):

   MAIN_TLS_ENABLE = 1
   REMOTE_SMTP_SMARTHOST_HOSTS_REQUIRE_TLS = *
   TLS_ON_CONNECT_PORTS = 465
   REQUIRE_PROTOCOL = smtps

4. Add the following to /etc/exim4/exim4.conf.template after .ifdef REMOTE_SMTP_SMARTHOST_HOSTS_REQUIRE_TLS ... .endif

   .ifdef REQUIRE_PROTOCOL
       protocol = REQUIRE_PROTOCOL
   .endif

5. Add the following after .ifdef MAIN_TLS_ENABLE

   .ifdef TLS_ON_CONNECT_PORTS
       tls_on_connect_ports = TLS_ON_CONNECT_PORTS
   .endif

6. The SMTP server may reject mail without a proper «»From:»» address. Add a line to /etc/email-addresses to link each linux user to an email address e.g.

   root:[email protected]

7. Run update-exim4.conf followed by service exim4 restart

Установка Debian 11

Debian 11, как и предыдущий релиз имеет три способа установки. Два из них доступно во время загрузки: Graphical Debian installer и Debian Installer, с графической оболочкой и без. Но также имеется графический установщик Calamares, доступный после запуска Live-системы. Именно его мы и будем использовать, хотя он имеет несколько особенностей.

Шаг 1. Запуск Live-системы

Для запуска системы выберите Debian Live with Localisation Support.

После этого найдите русский язык и продолжите запуск системы.

Шаг 2. Первоначальная настройка Live-системы

Первоначальная настройка открывается лишь при первом запуске системы, а в случае с Live-образом, это происходит постоянно, так как его состояние не сохраняется. Доступен только ранее выбранный русский язык, поэтому просто нажимаем Далее.

И опять нажимаем Далее, русская раскладка выбрана по умолчанию.

Можете отключить определение местоположения, но тогда придётся вручную выбирать населённый пункт, если того требует приложение, например Погода.

Подключив учётные записи некоторые приложения смогут получать информацию с ваших аккаунтов. Например, Календарь свяжется с сервером Google и загрузит ваши события (справедливо для оболочки GNOME).

Настройка завершена, можно приступать к следующему этапу.

Оболочка рабочего стола GNOME также покажет советы по использованию интерфейса. Можете закрыть это окно, если знаете, как работать с чистой оболочкой.

Шаг 3. Запуск установщика

Установщик находится в док-панели, которая станет доступна при нажатии кнопки Обзор.

Мы выбрали самый простой установщик Calamares, поэтому стоит сразу оговорить его отличия от стандартного установщика Debian. Последний имеет большее количество настроек: задание имени домена сети и пароля root, согласие на установку загрузчика и так далее. Обычному пользователю это может даже навредить, если он не уверен в своих действиях.

Установщик сам выставляет текущий язык системы. Просто нажимаем Далее.

Часовой пояс проще всего выбрать на карте, время в верхней панели поменяется автоматически.

По умолчанию раскладка выбрана на основании языка системы.

Шаг 7. Разметка диска

Если устанавливаете систему на компьютер без операционной системы, то просто выбирайте автоматический режим Стереть диск. В нижней части изображена разметка после установки. Calamares по умолчанию выделяет около 8 ГБ под файл подкачки, стандартный установщик в свою очередь всего 1 ГБ.

Также обратите внимание на то, что установщик сам выбирает таблицу разметки диска. В нашем случае в первой строчке есть надпись BIOS, поэтому применится разметка MBR

С UEFI будет создан ещё один раздел объёмом 300 МБ под загрузчик.

Ручная разметка заметно сложнее, но она позволяет задать все параметры самостоятельно, в том числе установить дистрибутив параллельно основной системе. В случае с EFI и неразмеченным накопителем будет необходимо создать раздел FAT32 с точкой монтирования /boot/efi и флагом Boot. Аналогичным образом создаётся раздел под файл подкачки с одноимённой файловой системой, хотя рядовому пользователю вовсе не обязательно выделять под это отдельный раздел, в основном он нужен для спящего режима.

В общем случае достаточно иметь один единственный раздел (помимо EFI) с точкой монтирования . Также можете выделить раздел под /home, а подробнее о разметке диска узнать из нашей статьи.

Шаг 8. Создание пользователя

Как было сказано ранее, Calamares не задаёт пароль root, поэтому вашей учётной записи будут предоставлены права суперпользователя. В текущей версии установщика имеется незначительный баг, раскладки клавиатуры перепутаны местами.

Перед началом установки вам будет предложено ознакомиться c вносимыми изменениями.

Шаг 10. Установка

На следующем этапе пойдёт автоматическая установка Debian 11. К сожалению, посмотреть терминал нельзя, узнать подробности не получится.

По завершении процесса перезагрузите компьютер.

Перед самой перезагрузкой не забудьте извлечь флэш-накопитель.

Шаг 12. Первоначальная настройка

Первоначальную настройку мы рассмотрели на втором шаге. Единственное, что стоит отметить, при использовании Calamares после выбора раскладки остаётся только выбранная. Со стандартным установщиком таких проблем не возникает, английская раскладка не отключается.

Как видите, выбор раскладки в панели исчез, установлена только русская раскладка.