Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:debian_upgrade_11_12 [2024/01/26 14:49] – [SpamAssassin] niccolo
+++ doc:appunti:linux:sa:debian_upgrade_11_12 [2024/04/16 12:30] (current) – [Accesso SSH a vecchie installazioni] niccolo
@@ Line 67: / Line 67: @@
 ===== ClamAV =====
-Se si utilizza il demone **clamd** su socket TCP è necessario fare una modifica ai file di configurazione di Systemd perché l'opzione **TCPSocket** in ''/etc/clamav/clamd.conf'' non è sufficiente. Manca infatti l'autorizzazione da parte del sottosistema ad attivare un socket.
+Se si utilizza il demone **clamd** su socket TCP è necessario fare una modifica ai file di configurazione di Systemd perché l'opzione **TCPSocket** in ''/etc/clamav/clamd.conf'' non è sufficiente. Manca infatti l'autorizzazione da parte del sottosistema ad attivare un socket. Vedere **[[rspamd_spamassassin#clamav_on_tcp_socket_in_debian_12|ClamAV on TCP socket in Debian 12]]**.
 In pratica si crea una unit di Systemd nel file **/etc/systemd/system/clamav-daemon.socket.d/tcp-socket.conf** con le seguenti dichiarzioni:
@@ Line 80: / Line 80: @@
 <code>
 systemctl daemon-reload
+systemctl restart clamav-daemon.socket
 systemctl restart clamav-daemon.service
 </code>
-Vedere anche **[[rspamd_spamassassin#clamav_on_tcp_socket_in_debian_12|ClamAV on TCP socket in Debian 12]]**.
@@ Line 131: / Line 131: @@
 <code>
 # The --cipher option is used to connect OpenVPN older than 2.6.0 using pre-shared keys.
+# Notice that AES-256-GCM is not supported in pre-shared keys mode.
 #cipher AES-256-CBC
 #
@@ Line 194: / Line 195: @@
 ALTER DATABASE cacti CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 </code>
+=== Modifica collation_server ===
+Cacti suggerisce di impostare il **collation_server = utf8mb4_unicode_ci**, mentre Debian lo imposta a ''utf8mb4_general_ci''. La modifica va fatta nel file **/etc/mysql/mariadb.conf.d/50-server.cnf**.
 Per consentire alla procedura PHP di aggiungere e/o modificare template ecc., si devono dare (temporaneamente) i seguenti permessi:
@@ Line 210: / Line 216: @@
 Il wizard segnala come anomalia che l'impostazione **innodb** di MySQL sarebbe **UNSET**. In effetti sembra che già tutte le tabelle della nostra installazione siano gestite dal motore InnoDB (è l'impostazione predefinita del server **MariaDB 10.11.3**).
-Per verificare l'impostazione predefinita collegarsi al database **mysql** ed eseguire **%%SHOW ENGINES%%**. Per verificare le tabelle del database **cacti** collegarsi a quel database ed eseguire **%%SHOW TABLE STATUS%%** e controllare per ogni riga il valore del campo **Engine**. Eventualmente convertire le tabelle che fossero ancora **MyISAM**.
+Per verificare l'impostazione predefinita collegarsi al database **mysql** ed eseguire uno dei comandi seguenti:
+<code sql>
+SHOW ENGINES;
+SELECT @@default_storage_engine;
+</code>
+Per verificare le tabelle del database **cacti** collegarsi a quel database ed eseguire **%%SHOW TABLE STATUS%%** e controllare per ogni riga il valore del campo **Engine**. Eventualmente convertire le tabelle che fossero ancora **MyISAM**.
+La sintassi è del tipo:
+<code sql>
+ALTER TABLE table_name ENGINE=InnoDB;
+</code>
 Le tabelle che usan l'engine **Memory** dovrebbero servire per le installazioni con migliaia di data source e i //Remote Data Collectors//; in tal caso è necessario abilitare l'opzione **On-demand RRD Updating** in //Console// => //Configuration// => //Settings// => //Performance//.
+=== Altre impostazioni MariaDB ===
+Altre impostazioni suggerite dal Cacti Server v1.2.24 Installation Wizard possono essere inserite in un file **/etc/mysql/mariadb.conf.d/99-local.cnf**:
+<file>
+max_heap_table_size = 256M
+tmp_table_size = 256M
+innodb_doublewrite = OFF
+innodb_buffer_pool_size = 4G
+</file>
+Verificare che le impostazioni siano coerenti con il proprio server, in particolar modo ''innodb_buffer_pool_size'' si suggerisce di impostarlo al 25% della memoria totale.
 === Riattivazione icone azione grafico ===
@@ Line 261: / Line 293: @@
 Altri programmi KDE beneficieranno delle icone installate, ad esempio l'emulatore terminale **Konsole** oppure l'editor di testi **Kate**.
+===== Accesso SSH a vecchie installazioni =====
+L'accesso **SSH** da una nuova installazione **Debian 12 Bookworm** verso vecchie installazioni (es. **Debian 4 Etch**) fallisce a causa delle impostazioni predefinite del client SSH, con messaggi del tipo:
+<code>
+Unable to negotiate with 83.149.110.120 port 22: no matching key exchange method found.
+Their offer: diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
+</code>
+oppure:
+<code>
+Unable to negotiate with 83.149.110.120 port 22: no matching host key type found.
+Their offer: ssh-rsa,ssh-dss
+</code>
+o anche:
+<code>
+debug1: Next authentication method: publickey
+debug1: Offering public key: /home/niccolo/.ssh/id_rsa RSA SHA256:...
+debug1: send_pubkey_test: no mutual signature algorithm
+</code>
+La soluzione è forzare uno o più dei seguenti parametri:
+  * **KexAlgorithms**
+  * **HostKeyAlgorithms**
+  * **PubkeyAcceptedKeyTypes**
+<code>
+ssh \
+    -o KexAlgorithms=+diffie-hellman-group1-sha1 \
+    -o HostKeyAlgorithms=+ssh-dss \
+    -o PubkeyAcceptedKeyTypes=+ssh-rsa \
+    root@83.149.110.120
+</code>