Воронин

MatrixRTC сервер на базе Synology

Mon, 30 Mar 2026 16:33:28 +0300

развернём свой matrix сервер используя средства synology

для начала подготовим папки, где будят хранится настройки сервера и база PostgreSQL
в каталоге docker создал папку matrix а в ней уже data и db соответственно

так же нам нужно получить id пользователя и группы, uid и gid

затем идём в «Панель управления» -> «Планировщик задач» -> «Создать» -> «Запланированная задача» -> «Скрипт, созданный пользователем»

создаём задачу «MATRIX», указываем пользователя «root» и обязательно отключаем

в расписание обязательно «не повторять»

и пишем скрипт для запуска, нам нужно запустить его один раз для создания структуры

сам скрипт:

#!/bin/bash
docker run --rm \
--user 1026:100 \
-v /volume1/docker/matrix/data:/data \
-e SYNAPSE_CONFIG_PATH=/data/homeserver.yaml \
-e SYNAPSE_SERVER_NAME=matrixchat \
-e SYNAPSE_REPORT_STATS=yes \

в скрипт подставляем «user 1026:100» uid и gid полученные выше

после того как создали задачу, выбираем её в списке и жмём «выполнить», вам потребуется указать пароль текущего пользователя и он должен быть с правами администратора

теперь готовим файл compose.yaml следующего содержимого

services:
  synapse-db:
    image: postgres:16
    container_name: Synapse-DB
    hostname: synapse-db
    security_opt:
      - no-new-privileges:true
    healthcheck:
      test: ["CMD", "pg_isready", "-q", "-d", "synapsedb", "-U", "synapseuser"]
      timeout: 45s
      interval: 10s
      retries: 10
    volumes:
      - /volume1/docker/matrix/db:/var/lib/postgresql/data:rw
    environment:
      - POSTGRES_DB=synapsedb
      - POSTGRES_USER=synapseuser
      - POSTGRES_PASSWORD=synapsepass
      - POSTGRES_INITDB_ARGS=--encoding=UTF-8 --lc-collate=C --lc-ctype=C
    restart: on-failure:5

  synapse:
    image: matrixdotorg/synapse:latest
    container_name: Synapse
    hostname: synapse
    security_opt:
      - no-new-privileges:true
    user: 1026:100
    environment:
      - TZ=Europe/Moscow
      - SYNAPSE_CONFIG_PATH=/data/homeserver.yaml
    volumes:
      - /volume1/docker/matrix/data:/data:rw
    ports:
      - 8450:8008/tcp
    restart: on-failure:5
    depends_on:
      synapse-db:
        condition: service_started

обратите внимание, что пусти /volume1/docker/matrix/db и /volume1/docker/matrix/data должны вести на папки, созданные выше

идём в Container manager, Проект и жмём «создать»

даём название проекту, указываем путь к нашей папке matrix и выбираем с компьютера файл compose.yaml

настройки web портала не трогаем, мы будем настраивать обратный прокси

запускаем

ждём старта проекта

теперь надо остановить проект и отредактировать файл конфигурации нашего сервера

добавляем следующие параметры после названия сервера

enable_registration: true
enable_registration_without_verification: true
enable_group_creation: true

теперь меняем параметры базы данных, заменим следующие строчки

database:
  name: sqlite3
  args:
    database: /data/homeserver.db

на

database:
  name: psycopg2
  args:
    user: synapseuser
    password: synapsepass
    database: synapsedb
    host: synapse-db
    cp_min: 5
    cp_max: 10

при редактировании файла конфигурации важно не ошибиться в отступах

настраиваем обратный прокси

создаём новую запись, указываем имя нашего сервера, например «im.server.ru», порт 443, обязательно включаем HSTS и порт нашего контейнера 8450

создаём заголовки под websocket

выпускаем сертификат для нашего сервера

идём в настройки и назначаем сертификат домену

осталось скачать клиент и подключиться к серверу
https://element.io/download

жмём «редактировать» чтобы сменить сервер на наш

создаём новую учётную запись

мы вошли

поздравляю

как получить id пользователя и группы в synology

Mon, 30 Mar 2026 14:00:17 +0300

чтобы получить id пользователя и группы в synology есть 2 пути:

используем подключение ssh
включаем терминал в панели управления

дальше подключаемся чрез ssh (в windows и linux клиент встроен в систему)

выполните команду id

uid=1026(axl) gid=100(users)

у меня пользователь id (uid) — 1026
id группы (gid) — 100

чуть дольше, делается через web интерфейс, никаких ssh не требуется

идём в «Панель управления» -> «Планировщик задач» -> «Создать» -> «Запланированная задача» -> «Скрипт, созданный пользователем»

создаём задание, которое будет выполняться от имени нужного нам пользователя, обязательно отключаем

указываем «не повторять»

результат получим на почту, укажем адрес

и команда

id

после того как создали задачу, выбираем её в списке и жмём «выполнить»

и ждём, когда нам на почту придём результат

подключаем AI к нашему synology

Fri, 09 Jan 2026 12:41:00 +0300

Я использовал свою систему запущенную на Ollama (Nvidia RTX4090), по производительности просадок нет. Как поднять на debian ollama расписывать не стану, сразу перейду к настройке совместной работы с synology.

Для начала на м надо сделать модель, которую сможет вызывать synology, для этого я склонировал Qwen/Qwen3-235B-A22B в gpt-4o-mini

echo "FROM qwen3:235b" >> gpt-4o-mini.Modelfile

ollama create gpt-4o-mini -f ./gpt-4o-mini.Modelfile

проверка работы

curl http://localhost:11434/api/generate -d '{ "model": "gpt-4o-mini", "prompt": "Why is the sky blue?" }'

URL по-умолчанию для подключения к локальной Ollama http://ip_нашего_сервера:11434

формат API идентичный OpenAI

теперь в Synology добавляем новую LLM

название указываем своё, ключ API — любой (можно пробел)

открываем «Дополнительные настройки» и прописываем нашу URL

готово

как подружить synology с непроверенными дисками

Tue, 30 Dec 2025 12:37:48 +0300

Многие уже столкнулись с ошибкой совместимости дисков сторонних производителей с новыми моделями серверов synology. Да, это новая политика для продвижения OEM дисков, производимых под своим брендом.

Экономя до 30% стоимости на покупке и ставя диски не synology мы теряем возможность мониторинга smart.

Ежемесячных отчётов и т. д.

и критично это становится, когда мы используем не домашние решения, а большие серверы с дисками SAS, тут разница стоимости дисков может превышать и 500 тыс. руб.

Зато теперь, благодаря, Дейву Расселу у нас есть возможность «подружить» диски сторонних производителей с нашим сервером.

Для применения исправления, нужен доступ к серверу через SSH. Чтобы его включить перейдите в «Панель управления» -> «Терминал» и установите галочку напротив «Включить службу SSH», обязательно смените 22 порт на свой уникальный (49152-65535).

далее подключаемся по SSH (в linux и так понятно) в windows откройте терминал Win+X

подключитесь к серверу

где

адрес_сервера — это имя или ip адрес вашего сервера
пользователь — это логин администратора сервера (именно дефолтного администратора)
порт — порт, который назначили службе SSH (см. выше)

после подключения перейдите в режим администратора (укажите пароль пользователя)

sudo -i

теперь создаём папку opt и скачиваем скрипты

mkdir -m775 /opt
cd /opt
curl -O "https://raw.githubusercontent.com/007revad/Synology_HDD_db/refs/heads/main/syno_hdd_db.sh"
curl -O "https://raw.githubusercontent.com/007revad/Synology_HDD_db/refs/heads/main/syno_hdd_vendor_ids.txt"
chmod 750 /opt/syno_hdd_db.sh

выполните скрипт для обновления базы данных дисков

/opt/syno_hdd_db.sh

скрипт сам определит модель сервера, версию DSM, установленные диски и пропишет их в лист совместимости

и практически сразу диски станут «зелёными»

рекомендую запустить «исправление ошибок данных», чтобы всё было идеально

Скрипт для проверки валидности сертификата сервера

Wed, 24 Dec 2025 18:35:30 +0300

Обратились коллеги, скину скрин ошибки соединения с teamwork

надо проверить валидность сертификата

собственный тест сервера ошибки не выявил

как и собственный тест менеджера подключений

обратите внимание, все соединения защищены шифрованием ssl

давайте, напишем простой скрипт на bash для тестирования серификата на каждом подключении снаружи

#!/bin/bash

HOST="имя сервера" # Замените на ваш домен
#PORT="443"
PORT="27001"
DAYS_THRESHOLD=30 # За сколько дней предупреждать об истечении

# 1. Получаем даты окончания сертификата
# -connect: Подключаемся к хосту:порту
# -servername: Указываем SNI (Server Name Indication) для SNI-серверов
# x509 -noout -dates: Извлекаем даты из сертификата
END_DATE_STR=$(openssl s_client -connect $HOST:$PORT -servername $HOST 2>/dev/null | openssl x509 -noout -dates | grep "notAfter")

if [ -z "$END_DATE_STR" ]; then
    echo "Не удалось получить сертификат или ошибка соединения для $HOST"
    exit 1
fi

# Извлекаем дату в формате 'notAfter=...'
END_DATE=$(echo "$END_DATE_STR" | cut -d '=' -f 2)

# 2. Конвертируем дату в секунды с эпохи Unix
# date -d: Парсит дату
# +%s: Выводит в секундах
END_TIMESTAMP=$(date -d "$END_DATE" +%s)
CURRENT_TIMESTAMP=$(date +%s)

# 3. Вычисляем оставшиеся дни
DAYS_LEFT=$(( (END_TIMESTAMP - CURRENT_TIMESTAMP) / 86400 )) # 86400 секунд в дне

echo "Сертификат для $HOST действителен до: $END_DATE ($DAYS_LEFT дней осталось)"

# 4. Проверка на истечение срока
if [ "$DAYS_LEFT" -lt 0 ]; then
    echo "!!! ВНИМАНИЕ: Сертификат для $HOST истек $((-1 * DAYS_LEFT)) дней назад !!!"
elif [ "$DAYS_LEFT" -le "$DAYS_THRESHOLD" ]; then
    echo "!!! ВНИМАНИЕ: Сертификат для $HOST истекает через $DAYS_LEFT дней (менее $DAYS_THRESHOLD) !!!"
else
    echo "Сертификат для $HOST в порядке."
fi

ну и результат выполнения (проверял 443 и 27001 порты)

traccar на synology

Thu, 06 Jun 2024 18:16:21 +0300

развернём систему traccar в Docker Synology

для начала создадим базу данных
для простоты воспользуемся двумя пакетами MariaDB и phpMyAdmin

открываем phpMyAdmin и задаём нового пользователя

Заполните поля, имя пользователя лучше сделать уникальным, так будет сложнее взломать сервер. И обязательно поставьте галочку, чтобы создалась база с тем же именем

отлично, дальше создаём структуру для хранения изменяемых данных

основную папку

и подпапки

не забудьте на основной папке отключить наследование

и дать права на запись всем

скачайте с git файл конфигурации https://github.com/traccar/traccar/blob/master/setup/traccar.xml

и отредактируйте конфигурацию подключения к базе данных

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE properties SYSTEM 'http://java.sun.com/dtd/properties.dtd'>
<properties>

    <!-- Documentation: https://www.traccar.org/configuration-file/ -->

    <entry key='database.driver'>com.mysql.cj.jdbc.Driver</entry>
    <entry key='database.url'>jdbc:mysql://ip_of_synology:3306/traccar_db?serverTimezone=UTC&amp;useSSL=false&amp;allowMultiQueries=true&amp;autoReconnect=true&amp;useUnicode=yes&amp;characterEncoding=UTF-8&amp;sessionVariables=sql_mode=''</entry>
    <entry key='database.user'>traccar_db</entry>
    <entry key='database.password'>password</entry>

</properties>

файл загрузите на сервер synology в папку /docker/traccar/conf

дальше идём в Docker synology и жмём создать проект

заполняем поля

пишем следующий compose.yaml

version: '3'
services:
  traccar:
    container_name: traccar_latest
    image: traccar/traccar:debian
    volumes:
      - /volume1/docker/traccar/conf/traccar.xml:/opt/traccar/conf/traccar.xml:rw
      - /volume1/docker/traccar/logs:/opt/traccar/logs:rw
    network_mode: 'host'
    restart: always

жмём далее и тут можно было бы сразу создать свой web портал, но приложение использует в работе web интерфейса протокол websocket, а его можно настроить только в «Обратном прокси»

создаём и запускаем

в случае проблем запуска контейнера — смотрите логи docker/traccar/logs/tracker-server.log

дальше осталось настроить «Обратный прокси» и выпустить сертификат

я думаю, вы уже зарегистрировали домен для вашего сервиса

открываем «Панель управления» -> «Дополнительно» -> «Обратный прокси»

создаём правило для вашего домена

не забудем включить поддержку Websocket

так же опционально сделаем подключение через ssl

и Websocket не забываем

остался последний штрих — выпустить Let’s Ecnrypt сертификат

там же идём в настройки

и назначаем сертификат нашему домену

WEB RustDesk на Synology

Tue, 03 Oct 2023 15:29:40 +0300

Если у вас настроен свой сервер ретрансляции в локальной сети, то вы замечали, наверное, что подключение к машинам в LAN происходит великолепно, а вот снаружи не получится.

Есть «костыль», который решит вашу проблему, давайте настроим web сервер для RustDesk, который будет находится в той же сети, что и ретранслятор, и поможет не имея приложения-клиента подключаться к любой машине в LAN.

Воспользуемся Docker на Synology.

Для начала найдём в реестре контейнер rustdesk-web-client

и скачаем его

после скачивания выбираем «Запустить»

пробросим 5000 порт на 35000, чтобы не конфликтовал с synology

остальное оставляем по-умолчанию

теперь просто в браузере открываем на наш synology порт 35000

готово

RustDesk на Synology

Tue, 03 Oct 2023 13:07:38 +0300

запустим свой сервер ретрансляции для RustDesk на Synology

за основу взял статью на официальном сайте: https://rustdesk.com/docs/en/self-host/rustdesk-server-oss/docker/

нам потребуется создать на компьютере файл docker-compose.yml

version: '3'

services:
  hbbs:
    container_name: hbbs
    image: rustdesk/rustdesk-server:latest
    command: hbbs
    volumes:
      - ./data:/root
    network_mode: "host"

    depends_on:
      - hbbr
    restart: unless-stopped


  hbbr:
    container_name: hbbr
    image: rustdesk/rustdesk-server:latest
    command: hbbr
    volumes:
      - ./data:/root
    network_mode: "host"
    restart: unless-stopped

на Synology создайте папку RustDesk в структуре /volume1/docker

далее в папке RustDesk создайте папку data

и дайте на неё полные права для записи

теперь откройте Container Manager и нажмите кнопку создать

заполните соответствующие поля и укажите путь к файлу docker-compose.yml на компьютере

настройки веб-портала я пропустил

создаём и запускаем

ждём когда скачаются соответствующие образы и сформируются контейнеры

всё готово и наш проект запустился

внутри него два зависимых контейнера

можно смотреть их свойства, например, журнал сервера

а в папке /volume1/docker/RustDesk появился файл compose.yaml

в папке data структура файлов и нужный нам для подключения публичный ключ

готово

PS не забудьте дать доступ к портам вашего synology

TCP (21115, 21116, 21117, 21118, 21119)
UDP (21116)

Ставим Rustdesk на synology

Wed, 09 Aug 2023 14:19:05 +0300

Воспользуемся пакетом «Container manager»

Для вашей простоты я уже подготовил рабочие конфигурации, вам лишь осталось немного подготовить сервер, для этого создайте папку общего доступа RustDesk. Все настройки безопасности по-умолчанию.

внутри папки общего доступа создадим подпапки, в них будут храниться настройки сервиса

Затем в «Container manager» найдите и загрузите образ rustdesk/rustdesk-server

ну, а теперь самое простое, ниже выкладываю листинги настроенных конфигураций контейнеров

сохраните этот в файл с именем hbbr.json

{
   "CapAdd" : null,
   "CapDrop" : null,
   "cmd" : "hbbr",
   "cpu_priority" : 50,
   "enable_publish_all_ports" : false,
   "enable_restart_policy" : false,
   "enable_service_portal" : null,
   "enabled" : true,
   "env_variables" : [
      {
         "key" : "PATH",
         "value" : "/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
      }
   ],
   "exporting" : false,
   "id" : "79ece58ece789b007f88a1940cc2a93737b47eca9de138e4a99d46efa4fa274e",
   "image" : "rustdesk/rustdesk-server:latest",
   "is_ddsm" : false,
   "is_package" : false,
   "labels" : {
      "org.opencontainers.image.created" : "2022-09-02T10:46:15.873Z",
      "org.opencontainers.image.description" : "RustDesk Server Program",
      "org.opencontainers.image.licenses" : "AGPL-3.0",
      "org.opencontainers.image.revision" : "4bdc205fca189e2d3e8207d2a68c0dd9c166429d",
      "org.opencontainers.image.source" : "https://github.com/rustdesk/rustdesk-server",
      "org.opencontainers.image.title" : "rustdesk-server",
      "org.opencontainers.image.url" : "https://github.com/rustdesk/rustdesk-server",
      "org.opencontainers.image.version" : "1.1.6-1"
   },
   "links" : [],
   "memory_limit" : 0,
   "name" : "hbbr",
   "network" : [
      {
         "driver" : "host",
         "name" : "host"
      }
   ],
   "network_mode" : "host",
   "port_bindings" : [],
   "privileged" : false,
   "services" : null,
   "shortcut" : {
      "enable_shortcut" : false,
      "enable_status_page" : false,
      "enable_web_page" : false,
      "web_page_url" : ""
   },
   "use_host_network" : true,
   "version" : 2,
   "volume_bindings" : [
      {
         "host_volume_file" : "/RustDesk/hbbr",
         "is_directory" : true,
         "mount_point" : "/root",
         "type" : "rw"
      }
   ]
}

и второй файл сохраните с именем hbbs.json и обязательно отредактируйте, заменив SYNOLOGY_IP на ip вашего сервера

{
   "CapAdd" : null,
   "CapDrop" : null,
   "cmd" : "hbbs -r SYNOLOGY_IP",
   "cpu_priority" : 50,
   "enable_publish_all_ports" : false,
   "enable_restart_policy" : false,
   "enable_service_portal" : null,
   "enabled" : true,
   "env_variables" : [
      {
         "key" : "PATH",
         "value" : "/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
      }
   ],
   "exporting" : false,
   "id" : "5072e615b973f22d24e46b3517cd999ee1a04d317d3dad8c6cc47fb074e16953",
   "image" : "rustdesk/rustdesk-server:latest",
   "is_ddsm" : false,
   "is_package" : false,
   "labels" : {
      "org.opencontainers.image.created" : "2022-09-02T10:46:15.873Z",
      "org.opencontainers.image.description" : "RustDesk Server Program",
      "org.opencontainers.image.licenses" : "AGPL-3.0",
      "org.opencontainers.image.revision" : "4bdc205fca189e2d3e8207d2a68c0dd9c166429d",
      "org.opencontainers.image.source" : "https://github.com/rustdesk/rustdesk-server",
      "org.opencontainers.image.title" : "rustdesk-server",
      "org.opencontainers.image.url" : "https://github.com/rustdesk/rustdesk-server",
      "org.opencontainers.image.version" : "1.1.6-1"
   },
   "links" : [],
   "memory_limit" : 0,
   "name" : "hbbs",
   "network" : [
      {
         "driver" : "host",
         "name" : "host"
      }
   ],
   "network_mode" : "host",
   "port_bindings" : [],
   "privileged" : false,
   "services" : null,
   "shortcut" : {
      "enable_shortcut" : false,
      "enable_status_page" : false,
      "enable_web_page" : false,
      "web_page_url" : ""
   },
   "use_host_network" : true,
   "version" : 2,
   "volume_bindings" : [
      {
         "host_volume_file" : "/RustDesk/hbbs",
         "is_directory" : true,
         "mount_point" : "/root",
         "type" : "rw"
      }
   ]
}

далее идём в «Container manager» -> Контейнер -> Импорт -> С локального устройства

и выбираем по очереди наши json файлы

после того, как мы их импортировали — можно запускать «Действие» -> «Пуск»

теперь идём в Журнал контейнера hbbs и ищем запись, куда сохранён публичный ключ

файл лежит в папке, которую мы делали выше

готово! все молодцы.

замена вложения в почтовом сообщении

Mon, 31 Jul 2023 19:29:26 +0300

действуем в несколько этапов:

подключаем к нашей почте клиент Thunderbird
устанавливаем расширение ImportExportTools NG
загружаем письмо на локальный компьютер
редактируем содержимое письма
загружаем обратно письмо на сервер

первый пункт я пропущу, т. к. для этого есть официальные инструкции (не важно какой у вас почтовый сервер)

для того, чтобы установить расширение, нажмите Alt и в меню выберите «Инструменты» -> «Дополнения и темы»

через поиск найдите расширение ImportExportTools NG и установите его

далее мы получаем сообщение с вложением (роза)

далее скачиваем письмо в формате eml

если пользуетесь windows — то проще воспользоваться Total Commander и Notepad++, если другая платформа — пишите в комментарии, я дополню инструкцию

получаем такой файл

готовим документ, на который нам надо заменить исходный, кодируем его в формат base64
отметьте файл для кодирования и в меню выберите «Кодировать (MIME, UUE, XXE)...»

кодируем в ту же папку, выбрав формат «MIME (Base64)»

был файл «.jpeg», стал «.b64»

открываем файл в редакторе Notepad++ и копируем кодированную часть сообщения, пропуская технический заголовок (с 6 строки и до конца)

теперь открываем для редактирования файл eml, если видите ошибку при открытии — завершите Thunderbird

закодированные вложения хранятся в конце письма, т. к. изначально почтовый протокол поддерживал передачу только текста, то и бинарные файлы кодируются в текст, обратите внимание:
1 — разделитель
2 — служебный заголовок вложения
3 — само тело вложения

нам надо заменить само тело вложения, не затрагиваем заголовки и разделитель

после замены, уберите из атрибутов (в заголовке вложения) размер файла, он изменился, по понятным причинам, а почтовую программу не будем смущать, просто удалите строку

сохраните письмо!
осталось загрузить его обратно н сервер

правый клик на папке «Входящие» -> «ImportExportTools NG» -> «Импортировать файл eml»

загружаем наше отредактированное письмо и мы получаем два идентичных письма во «Входящих»

одно с розой (обратите внимание на объем сложения)

второе с зимнем цветком

даже имена вложенных файлов остались идентичны

это самый надёжный способ замены вложения в существующем письме

черный и белый список для postfix

Thu, 29 Jun 2023 14:09:04 +0300

Делаем черный и белый список для postfix.

создаем файл /etc/postfix/rbl_override

sudo mcedit /etc/postfix/rbl_override

пишем в него, узлы, которые хотим исключить из проверки

1.2.3.4 OK
1.2.3.5 OK
mail.freemailer.tld OK

преобразуем

sudo postmap /etc/postfix/rbl_override

осталось подключить к нашей системе, для этого отредактируем /etc/postfix/main.c

sudo mcedit /etc/postfix/main.cf

находим раздел smtpd_recipient_restrictions и добавляем check_client_access hash:/etc/postfix/rbl_override после reject_unauth_destination

теперь просто перегружаем службу postfix

sudo service postfix restart

proxmox, настраиваем резервирование на внешний USB диск

Wed, 28 Jun 2023 17:44:12 +0300

С целью защиты своих данных, я придумал бэкапить виртуальные машины на внешний жесткий диск. Для этого был приобретён seagate на 4Тб.

Давайте познакомим его с нашим proxmox. После подключения переходим через web интерфейс и убеждаемся видит ли его система.

Откроем наш PVE сервер, раздел Disks

Обновим список устройств и увидим диск с типом USB

Почему наш диск /dev/sda, поинтересуетесь вы, да потому что первый диск NVMe подключен через m.2 разъем

Для начала очистим диск от заводских разметок

Затем проведём инициализацию

Теперь перейдём в раздел Directory и создадим новую директорию

Выберем наш диск /dev/sda, укажем файловую систему ext4, название директории backup и не забудем галочку «Add storage»

Когда задача будет выполнена — идём в Datacenter и выбираем Storage

В списке доступных хранений будет наша директория на диске USB

Откроем свойства и убедимся, что у нас в списке доступных функций есть VZDump backup file

Теперь можно настроить ротацию хранения, например хранить 5 последних копий

В том же разделе Datacenter перейдём в Backup и добавим новую задачу

Укажем наш PVE сервер, хранилище backup, расписание «ежедневно в 4:30», все виртуальные машины, в режиме Snapshot, с уведомлением на почту в случае ошибки

Готово! Вы молодцы.

переносим базу SpamAssassin bayes в MySQL

Tue, 13 Jun 2023 17:59:28 +0300

для начала проверим версию SpamAssassin

$ sudo spamassassin -V
SpamAssassin version 3.4.6
  running on Perl version 5.32.1

в нашем случае это 3.4.6

теперь качаем нужный файл со структурой mysql

$ cd ~
$ wget http://svn.apache.org/repos/asf/spamassassin/tags/spamassassin_release_3_4_6/sql/bayes_mysql.sql

подключаемся к движку базы и загружаем структуру

$ mysql -uroot -p
MariaDB [(none)]> CREATE DATABASE sa_bayes;
MariaDB [(none)]> USE sa_bayes;
MariaDB [(none)]> SOURCE ~/bayes_mysql.sql;

создадим пользователя sa_user с паролем Pa$$W0rd (замените на свой) и правами на нашу базу

MariaDB [(none)]> GRANT SELECT, INSERT, UPDATE, DELETE ON sa_bayes.* TO sa_user@localhost IDENTIFIED BY 'Pa$$W0rd';
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [sa_bayes]> quit;

отредактируем конфиг /etc/mail/spamassassin/local.cf

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1

# Store bayesian data in MySQL.
# Please make sure you have correct server address, port and database name.
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa_bayes:127.0.0.1:3306

# Store bayesian data in PostgreSQL.
# Please make sure you have correct server address, port and database name.
#bayes_store_module Mail::SpamAssassin::BayesStore::PgSQL
#bayes_sql_dsn      DBI:Pg:database=sa_bayes;host=127.0.0.1;port=5432

# SQL username and password.
bayes_sql_username sa_user
bayes_sql_password Pa$$W0rd

# Override the username used for storing data in the database.
# This could be used to group users together to share bayesian filter data.
# You can also use this config option to trick sa-learn to learn data as a specific user.
#bayes_sql_override_username vmail
bayes_sql_override_username amavis

рестартим службу

$ sudo service amavis restart

проверяем, скармливаем тестовое сообщение

$ sa-learn --spam --username=amavis /usr/share/doc/spamassassin/examples/sample-spam.txt
Learned tokens from 1 message(s) (1 message(s) examined)

и проверим наполняемость базы

$ mysql -uroot -p
MariaDB [(none)]> USE sa_bayes;
MariaDB [sa_bayes]> SELECT username,spam_count,ham_count FROM bayes_vars;
+----------+------------+-----------+
| username | spam_count | ham_count |
+----------+------------+-----------+
| amavis   |          1 |         1 |
+----------+------------+-----------+
1 row in set (0,000 sec)
MariaDB [sa_bayes]> quit;

и не забудьте отредактировать файл резервирования /var/vmail/backup/backup_mysql.sh, чтобы добавить и нашу базу

# Databases we should backup.
# Multiple databases MUST be seperated by SPACE.
export DATABASES='mysql vmail roundcubemail amavisd iredadmin sogo iredapd sa_bayes'

PS мне скрипт резервирования не пришлось менять, там уже быза бала прописана

iRedMail и Roundcube

Tue, 30 May 2023 17:16:55 +0300

После установки и настройки iRedMail мы получаем удобный почтовый клиент Roundcube.

Давайте немного его улучшим для работы.

установим необходимые компоненты и обновим существующие модули

sudo apt install composer php-ldap

cd /opt/www/roundcubemail
sudo composer update

установим и включим контекстное меню

sudo composer require johndoh/contextmenu

установим и включим календарь

sudo composer require kolab/calendar

отредактируем файл с конфигурацией Roundcube /opt/www/roundcubemail/config/config.inc.php

// PLUGINS
$config['plugins'] = [
        'managesieve',
        'password',
        'zipdownload',
        'acl',
        'markasjunk',
        'contextmenu',
        'libkolab',
        'libcalendaring',
        'calendar',
];

убедитесь, что у вас в списке плагинов есть ’acl’ и ’markasjunk’, первый отвечает за расшаривание почтовых папок, второй за манипуляции со СПАМ сообщениями.

включим возможность отмечать сообщения как СПАМ

отредактируем файл с конфигурацией ’markasjunk’ /opt/www/roundcubemail/plugins/markasjunk/config.inc.php
и укажем следующие значения для параметров:

$config['markasjunk2_learning_driver'] = 'cmd_learn';
$config['markasjunk2_spam_cmd'] = '/usr/bin/sa-learn --spam --username=amavis %f';
$config['markasjunk2_ham_cmd'] = '/usr/bin/sa-learn --ham --spam --username=amavis %f';

PS не забудьте разрешить php исполнение внешних команд, для этого отредактируйте файл /etc/php/7.4/fpm/php.ini

и удалите в параметре disable_functions значение shell_exec

disable_functions = posix_uname,eval,pcntl_wexitstatus,posix_getpwuid,xmlrpc_entity_decode,pcntl_wifstopped,pcntl_wifexited,pcntl_wifsignaled,phpAds_XmlRpc,pcntl_strerror,ftp_exec,pcntl_wtermsig,mysql_pconnect,proc_nice,pcntl_sigtimedwait,posix_kill,pcntl_sigprocmask,fput,phpinfo,system,phpAds_remoteInfo,ftp_login,inject_code,posix_mkfifo,highlight_file,escapeshellcmd,show_source,pcntl_wifcontinued,fp,pcntl_alarm,pcntl_wait,ini_alter,posix_setpgid,parse_ini_file,ftp_raw,pcntl_waitpid,pcntl_getpriority,ftp_connect,pcntl_signal_dispatch,pcntl_wstopsig,ini_restore,ftp_put,passthru,proc_terminate,posix_setsid,pcntl_signal,pcntl_setpriority,phpAds_xmlrpcEncode,pcntl_exec,ftp_nb_fput,ftp_get,phpAds_xmlrpcDecode,pcntl_sigwaitinfo,pcntl_get_last_error,ftp_rawlist,pcntl_fork,posix_setuid

ну и перезапустим php

sudo service php7.4-fpm restart

Более полный список расширений вы сможете найти по ссылке: https://packagist.org/?type=roundcube-plugin

Fedora и драйверы Nvidia

Fri, 19 May 2023 10:42:44 +0300

Когда вы попробуете установить драйверы, скаченные с официального сервера Nvidia, вам сообщат, что инсталляция возможна только с отключенной графической оболочкой.

Как запустить систему без Иксов, установить видеодрайвер и опять вернуться к графической оболочке?

всё просто (отключаем графику)

sudo systemctl set-default multi-user.target
sudo reboot

логинимся в терминале и устанавливаем драйверы

возвращаем всё обратно

sudo systemctl set-default graphical.target
sudo reboot

Обновляем clamav на территории РФ

Wed, 03 May 2023 13:20:54 +0300

Есть проблемы с антивирусом clamav на территории РФ, после первоначальной установки он у вас просто не запустится, т. к. не сможет обновить свои базы, как решить?

sudo mcedit /etc/clamav/freshclam.conf

редактируем конец файла, указав зеркало «pivotal-clamav-mirror.s3.amazonaws.com»

Checks 24
#DatabaseMirror db.local.clamav.net
#DatabaseMirror database.clamav.net
DatabaseMirror pivotal-clamav-mirror.s3.amazonaws.com

удалим старый файл с данными об обновлении баз

sudo rm /var/lib/clamav/freshclam.dat

останавливаем службу обновления антивируса

sudo systemctl stop clamav-freshclam.service

запускаем обновление баз вручную

sudo freshclam

запускаем службу обновления антивируса

sudo systemctl start clamav-freshclam.service

Увеличиваем размер принимаемого сообщения в iRedMail

Wed, 03 May 2023 13:18:44 +0300

Увеличим размер почтового сообщения до 35Мб

меняем настройки postfix

postconf -e message_size_limit=36700160
postconf -e mailbox_size_limit=36700160

перечитываем изменения службой postfix

sudo systemctl reload postfix

редактируем php.ini

sudo mcedit /etc/php/7.4/fpm/php.ini

ищем переменные и меняем значения на нужные нам

memory_limit = 256M;
upload_max_filesize = 35M;
post_max_size = 37M;

рестартим php

sudo systemctl restart php7.4-fpm

редактируем конфиг roundcube

sudo mcedit /opt/www/roundcubemail/config/config.inc.php

ищем настройку максимального размера сообщения и меняем значение

$config['max_message_size'] = '35M';

редактируем конфиг nginx

sudo mcedit /etc/nginx/conf-enabled/client_max_body_size.conf

ищем переменную и меняем значение на своё

client_max_body_size 100m;

проверяем правильность конфига

sudo nginx -t

перечитываем изменения службой nginx

sudo systemctl reload nginx

Выпускаем сертификат Let’s encrypt и настраиваем автоматический перевыпуск в iRedMail

Wed, 03 May 2023 13:16:05 +0300

устанавливаем certbot

sudo apt update
sudo apt install certbot

запрашиваем новый сертификат для домена mail.{domain}.ru

sudo certbot certonly --webroot --agree-tos --email postmaster@{domain}.ru -d mail.{domain}.ru -w /var/www/html/

открываем конфиги nginx и если нужно вносим изменения, сначала для http

sudo mcedit /etc/nginx/sites-enabled/00-default.conf

убедились, чтобы эти поля были раскомментированы

enable listen [::]:80;

затем для https

sudo mcedit /etc/nginx/sites-enabled/00-default-ssl.conf

убедились, чтобы эти поля были раскомментированы

add listen [::]:443 ssl http2;

проверяем правильность конфига

sudo nginx -t

перечитываем изменения службой nginx

sudo systemctl reload nginx

редактируем поти к сертификатам, самоподписанные меняем на let’s encrypt

sudo mcedit /etc/nginx/templates/ssl.tmpl

находим

ssl_certificate /etc/ssl/certs/iRedMail.crt;
ssl_certificate_key /etc/ssl/private/iRedMail.key;

меняем на это

ssl_certificate /etc/letsencrypt/live/mail.{domain}.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mail.{domain}.ru/privkey.pem;

проверяем правильность конфига

sudo nginx -t

перечитываем изменения службой nginx

sudo systemctl reload nginx

правим кофиг postfix

sudo mcedit /etc/postfix/main.cf

находим

smtpd_tls_key_file = /etc/ssl/private/iRedMail.key
smtpd_tls_cert_file = /etc/ssl/certs/iRedMail.crt
smtpd_tls_CAfile = /etc/ssl/certs/iRedMail.crt

заменяем

smtpd_tls_key_file = /etc/letsencrypt/live/mail.{domain}.ru/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.{domain}.ru/cert.pem
smtpd_tls_CAfile = /etc/letsencrypt/live/mail.{domain}.ru/chain.pem

перечитываем изменения службой postfix

sudo systemctl reload postfix

правим другой кофиг postfix, указываем на необходимость использования tls

sudo mcedit /etc/postfix/master.cf

добавляем

465     inet  n       -       n       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o content_filter=smtp-amavis:[127.0.0.1]:10026

перечитываем изменения службой postfix

sudo systemctl reload postfix

правим конфиг dovecot

sudo mcedit /etc/dovecot/dovecot.conf

находим

ssl_cert = </etc/ssl/certs/iRedMail.crt
ssl_key = </etc/ssl/private/iRedMail.key

заменяем

ssl_cert = </etc/letsencrypt/live/mail.{domain}.ru/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.{domain}.ru/privkey.pem

перечитываем изменения службой dovecot

sudo systemctl reload dovecot

осталось добавить в ротацию перевыпуск сертификата, для этого редактируем crontab

sudo crontab -e

add

# перевыпуск сертификатов Let's Encrypt
43 3 9 * * /usr/bin/certbot renew --post-hook "/usr/bin/systemctl reload nginx; /usr/bin/systemctl reload dovecot; /usr/bin/systemctl reload postfix"
45 3 9 * * /usr/sbin/service nginx reload
46 3 9 * * /usr/sbin/service postfix reload
47 3 9 * * /usr/sbin/service dovecot reload

не забудьте оставить пустую строку в конце (такие требования синтаксиса crontab)

Отключаем протокол pop3 iRedMail

Wed, 03 May 2023 13:13:34 +0300

Редактируем конфиг dovecot

sudo mcedit /etc/dovecot/dovecot.conf

меняем

# Enabled mail protocols.
protocols = pop3 imap sieve lmtp

на

# Enabled mail protocols.
protocols = imap sieve lmtp

перезапускаем dovecot

sudo service dovecot restart

Cистема индексации lucene для Dovecot (debian)

Wed, 03 May 2023 13:10:17 +0300

Крайне рекомендую установить систему индексации lucene, когда ваших писем перевалит за 10 тыс., вы вспомните меня добрым словом 😉

установим из репозиториев

sudo apt update
sudo apt install dovecot-lucene

теперь редактируем конфиг dovecot

sudo mcedit /etc/dovecot/dovecot.conf

ищем

mail_plugins = quota mailbox_alias acl mail_log notify

меняем на

mail_plugins = quota mailbox_alias acl mail_log notify fts fts_lucene

ищем

plugin {
    # Quota configuration.
    # Reference: http://wiki2.dovecot.org/Quota/Configuration
    quota = dict:user::proxy::quotadict

меняем на

plugin {
    fts = lucene
    fts_lucene = whitespace_chars=@. normalize default_language=russian
    fts_autoindex = yes

    # Quota configuration.
    # Reference: http://wiki2.dovecot.org/Quota/Configuration
    quota = dict:user::proxy::quotadict

осталось только перезапустить dovecot

sudo service dovecot restart