在Ubuntu 20.04配置Samba 4.11服务酷开系统

最近赋闲在家折腾电视，在配置家庭共享时发现酷开系统无论如何都连不上CIFS。
额外的发现，酷开的服务真心是不错的，这里特别表扬一下。

我的共享环境是：
Ubuntu 20.04 + Samba 4.11.6

里面没什么特别配置, 在共享部分加上guest ok和read only

path = /path/to/share/folder
browseable = yes
public = yes
guest ok = yes
read only = yes
available = yes

无论如何，在酷开系统里面访问就是提示需要密码，但无论输入什么密码都是不对的。
在联系酷开技术支持后，得知他们测试的环境都是Ubuntu 14.04或者Ubuntu 16.04。

我同样的配置，在Ubuntu 16.04和Ubuntu 18.04中测试都可以正常通过。

然后查询官方文档Samba 4.11 Features added/changed发现原来是SMB V1(NT1)被弃用了,而酷开系统估计目前只支持SMB v1(NT1）。

SMB1 is disabled by default
The defaults of ‘client min protocol’ and ‘server min protocol’ have been changed to SMB2_02.

This means clients without support for SMB2 or SMB3 are no longer able to connect to smbd (by default).

It also means client tools like smbclient and other, as well as applications making use of libsmbclient are no longer able to connect to servers without SMB2 or SMB3 support (by default).

It’s still possible to allow SMB1 dialects, e.g. NT1, LANMAN2 and LANMAN1 for client and server, as well as CORE and COREPLUS on the client.

Note: that most commandline tools e.g. smbclient, smbcacls and others also support the ‘–option’ argument to overwrite smb.conf options, e.g. –option=’client min protocol=NT1′ might be useful.
As Microsoft no longer installs SMB1 support in recent releases or uninstalls it after 30 days without usage, the Samba Team tries to get remove the SMB1 usage as much as possible.

SMB1 is officially deprecated and might be removed step by step in the following years. If you have a strong requirement for SMB1 (except for supporting old Linux Kernels), please file a bug at https://bugzilla.samba.org and let us know about the details.

LanMan and plaintext authentication deprecated
The “lanman auth” and “encrypt passwords” parameters are deprecated with this release as both are only applicable to SMB1 and are quite insecure. NTLM, NTLMv2 and Kerberos authentication are unaffected, as “encrypt passwords = yes” has been the default since Samba 3.0.0.

If you have a strong requirement for these authentication protocols, please file a bug at https://bugzilla.samba.org and let us know about the details.

最后，我只需要在smb.conf里面添加一行就搞定：

server min protocol = NT1

这里面要注意的是，最低都只能配NT1了，因为LANMAN1和LANMAN2都已经被弃用了。

这里也建议酷开在新的版本中应该要开始支持SMB v2甚至SMB v3，不然等用户系统升级到Windows 10 Version 2004之后，就真没办法使用这个功能了。

install rockmongo to ubuntu 16.04

rockmongo的安装非常简单。

首先，原来的rockmongo（https://github.com/iwind/rockmongo）不支持PHP 7.0，所以不能直接用了。
所以要从这里下载支持支持PHP 7.0的rockmongo: https://github.com/krutpong/rockmongo-php7。

然后就是安装php-mongodb
php-mongodb

最后就是配置config.php。这个根据config.sample.php或者后面的注释简单配置一下就可以了。

重点要写的就是新的mongodb应该是加强了鉴权部分，如果不对权限进行配置的话，使用普通用户登陆，你将会在rockmongo上看到下面这个错误
Argument 1 passed to MongoDB::listCollections() must be of the type array, boolean given, called in /var/www/html/rockmongo/app/models/MDb.php on line 35

同时，在mongodb的日志中，你也可以看到类似下面的错误
Unauthorized not authorized on admin to execute command { getCmdLineOpts: 1 }
Unauthorized not authorized on dbname to execute command { eval: "function (){ return db.getCollectionNames(); }", args: [] }

应该是原来的mongodb允许任意用户列出所有的数据库或者表，但是现在已经不允许了。我们要通过下面命令来授权

首先，建立一个executeFunctions的角色
use admin;
db.createRole( { role: "executeFunctions", privileges: [ { resource: { anyResource: true }, actions: [ "anyAction" ] } ], roles: [] } );

然后将这个角色授权给你的用户
db.grantRolesToUser("username",[ { role: "executeFunctions", db: "admin" } ])

之后再登陆应该就没有错误了。

安装Unifi Controller出现的奇怪问题

今天给家里的Unifi设备安装控制器，由于笔记本硬盘容量有限，又要保证系统不会因为日志过多而崩溃，所以在分区时就只给根分区分了5G，而给/var/log分了10G

结果，在安装完Unifi之后，发现死活打开不了控制页面。查看端口又发现所有的Unifi端口正在正常监听中。

打开日志，就看到如下几行：
[2018-05-14 20:23:48,054] INFO db - waiting for db connection...
[2018-05-14 20:23:48,554] INFO db - Connecting to mongodb://127.0.0.1:27117
[2018-05-14 20:26:34,824] ERROR system - [exec] error, rc=100
[2018-05-14 20:26:34,824] INFO db - DbServer stopped

所以以为是mongodb的问题。一查看，果然监听端口列表里面并没有mongodb，于是试着重启mongodb，还是失败。
于是，又在mongodb的日志里面发现了这几行：
2018-05-14T20:23:49.218+0800 [initandlisten] ERROR: Insufficient free space for journal files
2018-05-14T20:23:49.218+0800 [initandlisten] Please make at least 3379MB available in /var/lib/mongodb/journal or use --smallfiles

原来是mongodb要求最低3GB的空余空间，不然直接拒绝启动。而我的根分区安装完系统后只有不到2G的空间了。
于是，又重新给/var/lib/mongodb挂载了一个5G的分区，这次重启mongodb的确是没有问题了，mongodb默认的27017已经开始监听了。

于是又试着重启unifi，谁知道居然还是不行,一看日志，居然还是最开始那四条错误：
[2018-05-14 20:23:48,054] INFO db - waiting for db connection...
[2018-05-14 20:23:48,554] INFO db - Connecting to mongodb://127.0.0.1:27117
[2018-05-14 20:26:34,824] ERROR system - [exec] error, rc=100
[2018-05-14 20:26:34,824] INFO db - DbServer stopped

这也真是见了鬼了，再仔细一看，为什么连的数据库端口是27117？mongodb的默认端口不是27017么？
再一看，/var/log/unifi下面居然还有一个mongod.log,赶紧打开看一看，然后就发现了这个：
2018-05-14T20:23:49.218+0800 [initandlisten] ERROR: Insufficient free space for journal files
2018-05-14T20:23:49.218+0800 [initandlisten] Please make at least 3379MB available in /usr/lib/unifi/data/db/journal or use --smallfiles

我去，原来Unifi Controller居然是自己创建了一个mongodb实例放在/var/lib/unifi/db下面，然后用日志里面的软链指过来。

这要不是我一向惜空间为金，谁还能发现这么一个问题。。。。

The connection was reset deploying war ball in ubuntu

After install Tomcat7 in Ubuntu 16.04, I always get “ERR_CONNECTION_RESET” when deploy war ball.

Finally, I find the reason from here after a few research

The real cause of the issue is the max-file-size limit in WEB-INF/web.xml. The default value is 50M, but my war ball is almost 200MB.

so, I fixed this issue by edit /usr/share/tomcat7-admin/manager/WEB-INF/web.xml
the original settings:


52428800
52428800
0



I changed it to 500MB max by change value for max-file-size and max-request-size


524288000
524288000
0



CISCO UCS – 重启结构互联

原文联链： https://davidring.ie/2015/04/10/cisco-ucs-rebooting-fabric-interconnects/

Begin by connecting to the cluster IP over SSH and checking which FI is Primary/Subordinate:
通过SSH连接到集群IP后，用下面的命令检查主从状态：
FI-A# show cluster state
A: UP, PRIMARY
B: UP, SUBORDINATE

Note: show cluster extended-state will provide more detailed information.
注意： 可以使用show cluster extended-state来获得更多的信息。

Having confirmed the ‘B’ fabric switch is the subordinate connect to FI-B mgmt cli interface:
确认“B” Fabric Switch是从状态后，使用下面命令连接到B的管理接口:
FI-A# connect local-mgmt B

From FI-B local-mgmt interface issue the reboot command:
从FI-B的管理接口执行reboot命令
FI-B(local-mgmt)# reboot
Before rebooting, please take a configuration backup.
Do you still want to reboot? (yes/no):yes

Run the ‘cluster state’ command again to check on the status of FI-B:
再次使用”cluster state”命令检查FI-B的状态：
FI-A(local-mgmt)# show cluster state
A: UP, PRIMARY
B: DOWN, INAPPLICABLE
HA NOT READY
Peer Fabric Interconnect is down

Once the cluster enters a HA READY status, make FI-B the Primary switch in order to reboot FI-A:
一旦集群恢复到”HA READY”状态，将FI-B设计为主状态：
FI-A(local-mgmt)# cluster lead b

Note: After initiating a fail over the SSH session will disconnect, re-connect to the cluster and confirm cluster state.
注意：SSH连接将会在命令执行后断开，你需要重新连接到集群
Connect to local mgmt ‘a’ and reboot FI-A:
连接到FI-A的管理接口，然后重启FI-A：
FI-B# connect local-mgmt a
FI-A(local-mgmt)# reboot
Before rebooting, please take a configuration backup.
Do you still want to reboot? (yes/no):yes

Confirm HA READY status before setting FI-A back to PRIMARY:
确认集群处于HA READY状态后，将FI-A重新设置为主状态：

FI-B# show cluster state
B: UP, PRIMARY
A: UP, SUBORDINATE
HA READY

Set FI-A as PRIMARY, this will need to be set from current PRIMARY FI-B mgmt interface:
要将FI-A设置为主状态，你需要连接到FI-B的管理接口进行操作：
FI-B# connect local-mgmt b
FI-B(local-mgmt)# cluster lead a

Nginx loadbalancer 捕获并重定义后端返回的错误

最近被要求用Nginx做一个前端，要求把所有的请求发送给后端。
而后端框架做的又比较傻，错误页面做的非常不友好。但是开发人员又不知道怎么直接（或者不愿意）修改后端的错误页面，要求在前端进行处理。

以下就是处理方法了。
首先，我们要添加下面这条语句，用来捕获后端返回的错误代码：

proxy_intercept_errors  on;

这句语句开启后，Nginx就会捕获后端一切300或者大于300的返回代码，当然也就包括404，500等等。

返回之后，就是要重新定义错误代码页面：

error_page 404 =301     https://www.tangjianwei.com/localcontent/index404.html;
error_page 500 502 503 504 =301         https://www.tangjianwei.com/localcontent/index500.html;

由于默认所有的请求都会发给后面，我们还要把上面的链接地址给排除出来：

location ~ /localcontent {
}

建立MikroTik与Barracuda之间的IPSec VPN

上次还在吐槽Unifi USG的IPSec VPN功能弱，结果现在来了一个更弱的。
或许不是弱，只是MikroTik对IPSec的解读与别家不同，导致我对MikroTik的误会很深。

首先，就是MikroTik应该是不支持IKEv2的，起码我使用的v6.27版是不支持的。

这样，Barracuda这边也就只能使用IKEv1来进行配置。具体配置方式，请参考官方配置文档。

这里推荐的配置参数是：

• Phase 1
1. Encyption: AES256
2. Hash Meth.: MD5
3. DH-Group: Group 14
• Phase 2
1. Encyption: AES256
2. Has Meth.: MD5
3. DH-Group: Group 14
4. Enable Perfect Forward Secrecy: 勾选
• Local Networks
1. Local IKE Gateway: Barracuda的外网IP
• Remote Networks
1. Remote IKE Gateway: MikroTik的固定IP，如果没有固定IP，也可以使用域名，但是不能填入0.0.0.0/0
• Identify
1. Identification Type: Shared Secret
• Peer Identification
1. Shared Secret: 任意字符串，在MikroTik中也要用到

MikroTik的设置是最麻烦的，特别是Tunnel的设置。MikroTik不像其他工具，填入相关的IP地址段后，可以自动生成Tunnel，而这里必须一个一个的手功建立。

• 依次点击： IP — IPSec
• 点击： Peers
• 点击 Add New
1. Address: 填入Barracuda的外网IP，与上面的Local IKE Gateway应该是一致的
2. Port： 没特别的原因的话，使用默认的500
3. Auth.Method: 选择 pre shared key
4. secret: 填入上面Barracuda中的“Shared Secret”
5. Exchange Mode: 请选择 main
6. Send Initial Contact: 请勾选
7. Proposal Check: 请选择 strict
8. Hash Algorithm: 请选择md5
9. Encryption Algorithm: 请只勾选 aes-256
10. DH Group: 请选择 modp2048
• 最后点击OK
• 然后点击： Proposals
• 点击： Add New:
1. Enabled: 请勾选
2. Name: 任意字符串，比如myproposal
3. Auth. Algorithms: 请只勾选md5
4. Encr. Algorithms: 请只勾选aes-256 cbc
5. PFS Group: 请选择 modp2048
• 最后点击OK
• 然后点击： Policies
• 点击: Add New
1. Enabled： 请勾选
2. Src. Address：请填入本地要广播的地址段，比如192.168.88.0/24
3. Dst. Address：请填入对端（barracuda）的地址段，比如192.168.77.0/24
4. Protocal: 请选择 255(all)
5. Action: encrypt
6. Level: 请选择unique
7. IPSec Protocols: 请选择esp
8. Tunnel: 请勾选
9. SA Src. Address：MiroTik的外网IP，也可以填入0.0.0.0
10. SA Dst. Address：请填入Barracuda的外网IP
11. Proposal：请选择开始创建的proposal:myproposal
• 点击 OK

IPSec VPN建立到这里就结束了，接下来就自己去配置相关的firewall吧。

建立Unifi USG到Barracuda Firewall的IPSec VPN

首先就是Barracuda设置，这里我们选用IKE2，具体的设置可以参考官方配置：

这里，我们要修改的几处：

1. Authentication
• Authentication Method: 选择Pre-shared key
• Shared Secred : 就是Unifi里面的Pre-Shared Key
2. Phase 1
• Encryption: 选择 AES256
• Hash: 选择默认的MD5
• DH-Group: 选择Group 2（不知道为什么，Group 14总是不成功)
3. Phase 2
• Encrypton: 选择AES256
• Hash: 选择MD5
• DH-Group: 选择Disable PFS
4. Network Settings
• Advanced: 如果有多网段广播，必须勾选One VPN Tunnel per Subnet Pair
5. Network Local
• Local ID: 留空
• Remote ID： 留空

接下来就是Unifi USG的设置了。
在正式开始之前，我必须吐槽一下Unifi Controller对IPSec VPN的支持：太弱了，实在是太弱了。VPN类型（VPN Type)居然是Beta，Beta也就算了，居然还只有三种：Auto IPsec VTI， Manual IPsec和OpenVPN。
然后，IPSec里面能选的参数实在是太少了，少得我真的都不知道怎么配置了。当然了，如果你会Unifi Commandline，里面可选的还是非常多的。
做为菜鸟，我们就选用Unifi Controller来做吧。

• 首先，点击Settings
• 点击“Networks”
• 点击”+ CREATE NEW NETWORK”
1. Name: 使用任意字符串，建议使用有一定意义的
2. Purpose: 选择 “Site-to-Site VPN”
3. VPN Type: 选择 “Manual IPsec”
4. Enable: 没特殊情况，请勾选
5. Remote Subnets: 点击”+ ADD SUBNET”,然后输入远程IP地址段
6. Peer IP: Barracuda的外网IP,(Local Gateway)
7. Local WAN IP: 本地的外网IP(Remote Gateway)
8. Pre-Shared Key: 就是Barracuda里面的Shared Secred
9. IPSec Profile:请选择Customized
10. 点开“+ ADVANCED OPTIONS”
11. Key Exchange Version： 选择”IKEv2″
12. Encryption: 选择”AES-256″
13. Hash: 选择 “MD5”
14. DH Group: 选择 “2”
15. PFS： 请不要勾选
16. Dynamic Routing: 请不要勾选
• 点击”SAVE”保存

大功造成！

使用爱快路由建立到亚马逊云的IPSec VPN

最近在测试AWS云中国区服务，然后发现国内目前居然还不能直接使用IPSec VPN接口，具体原因不明，但是官方已经提供了解决方案。

官方的解决方案要求使用Cisco，实测同样的参数，使用爱快其实也是可以连接的。
由于官方的OpenSWAN使用的ike是aes128-sha1;modp1024，而phase2alg是aes128-sha1

        ike=aes128-sha1;modp1024
        phase2alg=aes128-sha1

个人觉得安全等级比较弱。所以我建议改ike为aes256-md5;modp2048，改phase2alg为aes256-md5

        ike=aes256-md5;modp2048
        phase2alg=aes256-md5

爱快端的设置如下：

• 依次点击 “服务中心” — “VPN服务” — “IPSec VPN”
• 然后点击下方的 “添加”
• 然后依次按自己的情况填入以下情况：
  1. 状态： 勾选启用
  2. 名称：任何填入字符串（建议有一定标示意义，比如”office-2-aws”
  3. 对方IP/域名：填入AWS外网IP（官方示例的则是EIP：54.223.152.218）
  4. 本地子网：填入你本地的IP地址段（官方示例的则是Cisco端的内网段，10.1.2.0/24）
  5. 对方子网：填入你要访问的AWS地址段（官方示例中的192.168.2.0/24）
  6. 线路：根据自己的要求选择，一般情况下选自动即可，除非你有多个公网
  7. IKE版本: 选择“IKEv1”
  8. IKE协商模式： 选择“主模式”
  9. IKE存活时间：默认的3即可
  10. IKE提议：依次按ike参数选（不修改官方示例参数则选AES128-SHA1-MODP1024，我则是选AES256-MD5-MODP2048）
  11. 认证方式：请选择“共享密钥”
  12. 预共享密钥：填入你的共享密钥（官方示例中是“aws123”，建议修改为复杂一点的长一点的字符串）
  13. 本地标识：请留空
  14. 对方标识：请留空
  15. ESP存活时间：默认的1即可
  16. ESP加密算法：按phase2alg选择（官方示例中选“aes128”，我则是选“aes256”）
  17. ESP认证算法：按phase2alg选择（官方示例中选“sha1”，我则是选“md5”）
  18. 允许压缩：不允许（不勾选）

CodeCombat相关： 安息之云山峰 峰会之门

Python过关代码

# 突破重围，进入圣殿，消灭食人魔首领
def summonbyType():
    summonTypies = ["soldier", "archer", "griffin-rider"]
    type = len(hero.built) % len(summonTypies)
    if hero.gold > hero.costOf(summonTypies[type]):
        hero.summon(summonTypies[type])

def commandAmy(soldier):
    enemy = soldier.findNearestEnemy()
    if enemy:
        hero.command(soldier, "attack", enemy)
    else:
        enemy = findFirstTarget()
        if enemy:
            hero.command(soldier, "attack", enemy)
        else:
            hero.command(soldier, "defend", hero)

def collectCion():
    item = hero.findNearestItem()
    if hero.distanceTo(item) < 30:
        hero.moveXY(item.pos.x, item.pos.y)

def commandPaladins(paladin):
    target = findFirstTarget()
    if paladin.health < 250:
        hero.command(paladin, "shield")
    else:
        if paladin.canCast("heal"):
            healtarget = findWeakestFriend()
            if hero.health < hero.maxHealth / 2:
                hero.command(paladin, "cast", "heal", hero)
            elif healtarget:
                hero.command(paladin, "cast", "heal", healtarget)
        else:
            if target and target.health > 0:
                hero.command(paladin, "attack", target)
            else:
                target = paladin.findNearestEnemy()
                if target:
                    hero.command(paladin, "attack", target)
                else:
                    hero.command(paladin, "defend", hero)
    pass

def commandGriffin(griffin):
    enemy = findFirstTarget()
    if enemy:
        hero.command(griffin, "attack", enemy)
    else:
        enemy = griffin.findNearestEnemy()
        if enemy:
            hero.command(griffin, "attack", enemy)
        else:
            hero.command(griffin, "defend", hero)

def findWeakestFriend():
    friends = hero.findFriends()
    friendIndex = 0
    weakestHealth = 99999
    weakestFriend = None
    while friendIndex < len(friends):
        friend = friends[friendIndex]
        if friend.health < weakestHealth:
            weakestHealth = friend.health
            weakestFriend = friend
        friendIndex += 1
    return weakestFriend

def findFirstTarget():
    Catapults = hero.findNearest(hero.findByType('catapult'))
    Towers = hero.findNearest(hero.findByType('tower'))
    Warlocks = hero.findNearest(hero.findByType('warlock'))
    
    if Catapults:
        return Catapults
    elif Towers:
        return Towers
    elif Warlocks:
        return Warlocks

while True:
    friends = hero.findFriends()
    collectCion()
    summonbyType()
    for friend in friends:
        if friend.type == "soldier" or friend.type == "archer":
            commandAmy(friend)
        elif friend.type == "griffin-rider":
            commandGriffin(friend)
        elif friend.type == "paladin":
            commandPaladins(friend)
    
    enemy = findFirstTarget()
    if enemy and enemy.health > 0:
        if hero.canCast("chain-lightning", enemy):
            hero.cast("chain-lightning", enemy)
        else:
            hero.attack(enemy)
    else:
        enemy = hero.findNearestEnemy()
        hero.attack(enemy)