Re: SSL сертификат на шару.
On 02/01/16 14:30, Oleksandr Gavenko wrote: > Что бы Вы порекомендовали? Посмотреть на DANE/TLSA + DNSSEC. На debian.org работает. -- sergio
Re: SSL сертификат на шару.
есть еще такой вариант http://habrahabr.ru/post/270273/ 2 января 2016 г., 13:30 пользователь Oleksandr Gavenko написал: > Хочу SSL/TLS сертификат на домашнюю страничку. > > Что бы пароли не светились по интернету. > > И что бы имплементации SSL/TLS не ругались о недоверенном сертификате. При > чем > что бы несведущие пользователи могли работать из существующих > распространенных > браузеров. > > Мне в общем кажется что торговря сертификатами - мыльный пузырь. За деньги > подпишут мать родную, личность никто не идентифицирует. Вроде ж достаточно > почтовый ящик или SMS на телефон и оплату совершить, что бы получить > сертификат своего ключа. По итогу спонсируешь космонавтов. > > Есть на 1 год бесплатно сколько угодно раз от: > > https://www.startssl.com/Support?v=1 > > и есть менее интересные условия от других. > > Я попробовал: > > $ sudo apt-get install letsencrypt # из testing или sid, в stable нету > пакета > $ sudo service lighttpd stop # они запустят слушателя на :80 что бы > подтвердить владение доменом > $ sudo letsencrypt certonly -d defun.work > > $ sudo su > # cat /etc/letsencrypt/archive/defun.work/privkey1.pem > /etc/letsencrypt/archive/defun.work/cert1.pem > > /etc/letsencrypt/archive/defun.work/combined.pem > > В /etc/letsencrypt/live/defun.work/ появятся файлы, обновил > /etc/lighttpd/conf-available/10-ssl.conf > > ssl.pemfile = "/etc/letsencrypt/archive/defun.work/comb.pem" > ssl.ca-file = "/etc/letsencrypt/archive/defun.work/chain1.pem" > > запустил lighttpd: > > $ sudo service lighttpd start > > С локального компа: > > bash# curl -v -o /dev/null https://defun.work > * Rebuilt URL to: https://defun.work/ > % Total% Received % Xferd Average Speed TimeTime Time > Current >Dload Upload Total SpentLeft > Speed > 0 00 00 0 0 0 --:--:-- --:--:-- > --:--:-- 0* Trying 149.202.132.30... > * Connected to defun.work (149.202.132.30) port 443 (#0) > * found 182 certificates in /etc/ssl/certs/ca-certificates.crt > * found 732 certificates in /etc/ssl/certs > * ALPN, offering http/1.1 > * SSL connection using TLS1.2 / ECDHE_RSA_AES_256_CBC_SHA384 > *server certificate verification OK > *server certificate status verification SKIPPED > *common name: defun.work (matched) > *server certificate expiration date OK > *server certificate activation date OK > *certificate public key: RSA > *certificate version: #3 > *subject: CN=defun.work > *start date: Fri, 01 Jan 2016 23:16:00 GMT > *expire date: Thu, 31 Mar 2016 23:16:00 GMT > *issuer: C=US,O=Let's Encrypt,CN=Let's Encrypt Authority X1 > *compression: NULL > * ALPN, server did not agree to a protocol > 0 00 00 0 0 0 --:--:-- --:--:-- > --:--:-- 0> GET / HTTP/1.1 > > Host: defun.work > > User-Agent: curl/7.45.0 > > Accept: */* > > > < HTTP/1.1 200 OK > > Срок действия 3 месяца, продлевается также запуском утилиты > > Совсем недавно проект из закрытого тестирования перешел в бету. > > Основанием для проекта - желание бизнеса работать с зашифроваными каналами. > После Сноудена в США все повально перешли на HTTPS. > > Текущая ситуация с регистраторами - просто вымогательство денег, т.к. > регистраторы подписывают шо попало, лишь бы платил. > > Итого - не уничтожить регистраторов (free as beer), а раздавать сертификаты > для шифрования. "Сильные" сертификаты (с выяснением данных по владельцу) > все > также будут за большие деньги. Для этого в браузерах придумали отображать > сайты с такими сертификатами - большой зеленой областью в строке URL. > > Что не понравилось: > > * сделано криво, лишь бы живо > * апстрим какой то заносчивый > * для подстверждения собственности домена - требуют на сервере временно >запустить слушателя на порту 80 или 443 - прерывая свои сервисы, >подтверждение - не плохо, но че бы не на другом порту? > * для получения сертификата нужено запускать от root их поделие (для > записи в >системные каталоги и забиндить порт ниже 2000) > * поменять пути инсталяции сертификатов крайне сложно, это не библиотека, > это >фрейворк > > Что бы Вы порекомендовали? > > -- > Best regards! > >
Re: Определение внешнего накопителя и безопасная остановка.
В сообщении от [Сб 2016-01-02 16:54 +0200] Oleksandr Gavenko пишет: > Для некоторых устройств (Kindle PaperWhite, Android phones) создаются > устройства хранения, но не создаются разделы. Попробуйте kpartx [1] > В то время как внешний диск c USB подключением от WD на eject только > размонтируется. Блины подолжают крутиться, индикатор работы рподолжает гореть. У меня тоже WD, я вначале размонтирую: udisksctl unmount -b /dev/sdXY потом даю команду: udisksctl power-off -b /dev/sdX Блины останавливаются, можно вытаскивать, но индикатор горит. Мне кажется это особенность WD, потому что если сделать тоже самое с флешкой, то индикатор гаснет. [1]: http://habrahabr.ru/post/127690/ -- Коротаев Руслан http://blog.kr.pp.ru
Re: SSL сертификат на шару.
On Sat, 02 Jan 2016 13:30:25 +0200 Oleksandr Gavenko wrote: > Хочу SSL/TLS сертификат на домашнюю страничку. шой > зеленой областью в строке URL. > > Что не понравилось: > > * сделано криво, лишь бы живо > * апстрим какой то заносчивый > * для подстверждения собственности домена - требуют на сервере > временно запустить слушателя на порту 80 или 443 - прерывая свои Ну так они что проверяют? Что к ним обратился с заявкой на сертификат именно тот человек, который контролирует веб-сервер на данном доменном имени. Поэтому, естественно что они хотят именно на well-known-порту. > сервисы, подтверждение - не плохо, но че бы не на другом порту? > * для получения сертификата нужено запускать от root их поделие (для > записи в системные каталоги и забиндить порт ниже 2000) Опять же, довольно естественно что они хотят убедиться в том, что тот, кто хочет получить сертификат на данный домен, владеет правами рута на этом домене. Ведь они фактически расписываются в том, что данный домен принадлежит владельцу этого секретного ключа. > Что бы Вы порекомендовали? Изучить вопрос повнимательнее. Вообще говоря, есть пара десятков альтернативных клиентов для протокола ACME, который использует letsencrypt. Некоторые из этих клиентов специально рассчитаны на то, чтобы их прочитали, прежде чем запускать. Некоторые - совершенно не обязательно вообще должны запускаться на той же машине, что и веб-сервер, а должны только иметь возможность положить файлик в папку с определенным именем в корне этого веб-сервера. -- Victor Wagner
Определение внешнего накопителя и безопасная остановка.
Для некоторых устройств (Kindle PaperWhite, Android phones) создаются устройства хранения, но не создаются разделы. Руками можно вызвать: $ sudo partprobe /dev/sdd И тогда появится /dev/sdd1, который тут же подхватывается "usbmount". udev правило смогу написать, но интересно почему не работает из коробки? Далее Kindle PaperWhite переходит в режим зарядки по: $ sudo eject /mnt/usb В то время как внешний диск c USB подключением от WD на eject только размонтируется. Блины подолжают крутиться, индикатор работы рподолжает гореть. Нагуглил: bash# sudo hdparm -y /dev/sdd У меня индикатор продолжает гореть, но блины останавливаются (idling/spinning-down): /dev/sdd: issuing standby command HDIO_DRIVE_CMD(standby) failed: Invalid argument Порывшись в мане попробовал использовать более агресивную опцию: $ sudo hdparm -Y /dev/sdd В итоге блины остановились, индикатор мерцает, при чем программа не возвращает управление в терминал: /dev/sdd: issuing sleep command а через 5 сек блины снова заработали и выплюнулось: HDIO_DRIVE_CMD(sleep) failed: Invalid argument Как останавливать устройства? Я зачастую делал sync, устройство поморгает и я выжергивал. По идее дисковые устройства умеют паркова головки после отключения питания. Потому главное сбросить кеш. Так? Есть какие виджеты для извлечения внешних устройств? У меня Fvwm, зубило и напильник напоготове. -- Best regards!
Re: SSL сертификат на шару.
On Sat, Jan 02, 2016 at 02:49:24PM +0200, Oleksandr Gavenko wrote: > On 2016-01-02, Иван Лох wrote: > > >> * для подстверждения собственности домена - требуют на сервере временно > >>запустить слушателя на порту 80 или 443 - прерывая свои сервисы, > >>подтверждение - не плохо, но че бы не на другом порту? > > > > Потому, что этот другой порт с вероятностью закрыт файрволом ))) > > > Неприятно останавливать на неопределенное время WEB сервер. Для apache есть plugin python-letsencrypt-apache можно не останавливать
Re: SSL сертификат на шару.
On 2016-01-02, Иван Лох wrote:
>> * для подстверждения собственности домена - требуют на сервере временно
>>запустить слушателя на порту 80 или 443 - прерывая свои сервисы,
>>подтверждение - не плохо, но че бы не на другом порту?
>
> Потому, что этот другой порт с вероятностью закрыт файрволом )))
>
Неприятно останавливать на неопределенное время WEB сервер.
Если бы они ложились куда то контекстом.
Например была возможность зарегистирировать CGI обработчик по произвольному
пути в основном сервере.
Я не углублялса конечно и сделал по основной рекомендации офиц. мануала.
В тикетах пишут запускать в контейнере или как:
--standalone --standalone-supported-challenges http-01 --http-01-port
и перенаправить:
location /.well-known/acme-challenge {
proxy_pass http://localhost:1086;
proxy_set_header Host$host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto https;
}
Можно перенаправлять iptable, если узнать на каком адресе их долбилка
слушателя.
https://community.letsencrypt.org/t/le-client-needs-to-bind-to-port-80-which-im-already-using/2739/3
https://community.letsencrypt.org/t/nginx-docker-setup-for-le/2621/1
https://github.com/letsencrypt/letsencrypt/issues/542
Не пробовал как оно работает. Апстрим по вопросу выделения произвольного порта
крайне недружелюбен:
https://github.com/letsencrypt/acme-spec/issues/33
Они сервис-провайдеры, слово за ними, но аргументов не слышат.
>> * для получения сертификата нужено запускать от root их поделие (для записи
>> в
>>системные каталоги и забиндить порт ниже 2000)
>> * поменять пути инсталяции сертификатов крайне сложно, это не библиотека,
>> это
>>фрейворк
>
> Там есть выбор. Можно просто указать корень веб сервера. Можно сгенерировать
> файл
> в режиме manual и положить его на сайт в определенное место.
letsencrypt --text --email u...@example.com --domains my.com --agree-tos
--renew-by-default --manual certonly
Он просит положить файлик по определенному пути на web сервер:
Make sure your web server displays the following content at
http://example.com/.well-known/acme-challenge/-wxqfbY
before continuing:
-wUxxbY.8Vb-u7-fvIUeB44_xnoKLi23-n4A2uxxj8M
В принципе немного адаптировать настройки web-сервера что бы он раздавал
контент по /.well-known/acme-challenge - не столь сложно.
По итогу они хотят проверять через 80 порт только потому что обычно рядовой
пользователь не сможет подкинуть файлы в /srv/www или открыть слушатель на 80
Защита от использования не превилегироваными пользователями их сервиса.
--
Best regards!
Re: systemd
On 2015-12-26, Evgeny Zubok wrote: > Пока да. stable пока живет c SysV. У меня толко libsystemd0 притащена по > зависимостям, но это не systemd. Я даже, каюсь, специально включил > Debian Popularity Contest, чтобы он сообщал в Debian о том, ще не вмерла > SysV, а то в последнее время там стало модным на popcon в спорах о > нужности ссылаться, а ведь большинство админов и пользователей popcon > сразу вырубают на корню. :) Я держу popcon, потому что FVWM перекочевала из CD1 то ли в CD2, то ли в CD3. Когда был на мобильном инете - было актуально тягать образы. Это не изменило судьбу пакета (( -- Best regards!
Re: Как включается acl в Debian?
On 2015-12-23, dimas wrote: > 2015-356 14:42 Oleksandr Gavenko wrote: >> Но я смог выставить ACL на файл: > а не включена ли часом > CONFIG_EXT4_USE_FOR_EXT23=y > ? > ext4-драйвер с этой опцией используется и для ext2/3 (отдельно соответствующие > драйвера можно отключить), но, видимо, в некоторых моментах возникают подобные > странности > Да, так и есть: CONFIG_EXT4_USE_FOR_EXT23=y Спасибо за подсказку! Это обьясняет почему работает без: CONFIG_EXT3_FS_POSIX_ACL=y CONFIG_EXT2_FS_POSIX_ACL=y но еще не ясно где FS помечена на поддержку ACL: $ df -h | grep /home /dev/sda4 102G 78G 19G 81% /home $ sudo tune2fs -l /dev/sda4 ... Default mount options:(none) ... $ grep -i acl /etc/fstab || echo fail fail $ sudo file -sL /dev/sda4 /dev/sda4: Linux rev 1.0 ext3 filesystem data, UUID=97f9b420-edea-49e7-bf72-7e737c8f3008, volume name "linuxhome" (needs journal recovery) (large files) В памяти всплывает что где то там появляется пометка автоматом если установить атрибут acl, но не могу вспомнить и найти где видел это утверждение. -- Best regards!
Re: SSL сертификат на шару.
On Sat, Jan 02, 2016 at 01:30:25PM +0200, Oleksandr Gavenko wrote: > * апстрим какой то заносчивый > * для подстверждения собственности домена - требуют на сервере временно >запустить слушателя на порту 80 или 443 - прерывая свои сервисы, >подтверждение - не плохо, но че бы не на другом порту? Потому, что этот другой порт с вероятностью закрыт файрволом ))) > * для получения сертификата нужено запускать от root их поделие (для записи в >системные каталоги и забиндить порт ниже 2000) > * поменять пути инсталяции сертификатов крайне сложно, это не библиотека, это >фрейворк Там есть выбор. Можно просто указать корень веб сервера. Можно сгенерировать файл в режиме manual и положить его на сайт в определенное место.
Re: Интернет-банк Авангард
On 2015-12-30, Max Dmitrichenko wrote: > В общем вопросы: > 1) Куда её положить согласно Debian way? > 2) Как жабе вправить мозг на счёт путей с либами? Обычно в таких случаях запускают: $ strace -f -o strace.log firefox и смотрят где пытается найти библиотеку. Можно более селективно: $ strace -f -e open -o strace.log firefox но когда не знаешь что понадобится, лучше иметь все под рукой. -- Best regards!
SSL сертификат на шару.
Хочу SSL/TLS сертификат на домашнюю страничку. Что бы пароли не светились по интернету. И что бы имплементации SSL/TLS не ругались о недоверенном сертификате. При чем что бы несведущие пользователи могли работать из существующих распространенных браузеров. Мне в общем кажется что торговря сертификатами - мыльный пузырь. За деньги подпишут мать родную, личность никто не идентифицирует. Вроде ж достаточно почтовый ящик или SMS на телефон и оплату совершить, что бы получить сертификат своего ключа. По итогу спонсируешь космонавтов. Есть на 1 год бесплатно сколько угодно раз от: https://www.startssl.com/Support?v=1 и есть менее интересные условия от других. Я попробовал: $ sudo apt-get install letsencrypt # из testing или sid, в stable нету пакета $ sudo service lighttpd stop # они запустят слушателя на :80 что бы подтвердить владение доменом $ sudo letsencrypt certonly -d defun.work $ sudo su # cat /etc/letsencrypt/archive/defun.work/privkey1.pem /etc/letsencrypt/archive/defun.work/cert1.pem > /etc/letsencrypt/archive/defun.work/combined.pem В /etc/letsencrypt/live/defun.work/ появятся файлы, обновил /etc/lighttpd/conf-available/10-ssl.conf ssl.pemfile = "/etc/letsencrypt/archive/defun.work/comb.pem" ssl.ca-file = "/etc/letsencrypt/archive/defun.work/chain1.pem" запустил lighttpd: $ sudo service lighttpd start С локального компа: bash# curl -v -o /dev/null https://defun.work * Rebuilt URL to: https://defun.work/ % Total% Received % Xferd Average Speed TimeTime Time Current Dload Upload Total SpentLeft Speed 0 00 00 0 0 0 --:--:-- --:--:-- --:--:-- 0* Trying 149.202.132.30... * Connected to defun.work (149.202.132.30) port 443 (#0) * found 182 certificates in /etc/ssl/certs/ca-certificates.crt * found 732 certificates in /etc/ssl/certs * ALPN, offering http/1.1 * SSL connection using TLS1.2 / ECDHE_RSA_AES_256_CBC_SHA384 *server certificate verification OK *server certificate status verification SKIPPED *common name: defun.work (matched) *server certificate expiration date OK *server certificate activation date OK *certificate public key: RSA *certificate version: #3 *subject: CN=defun.work *start date: Fri, 01 Jan 2016 23:16:00 GMT *expire date: Thu, 31 Mar 2016 23:16:00 GMT *issuer: C=US,O=Let's Encrypt,CN=Let's Encrypt Authority X1 *compression: NULL * ALPN, server did not agree to a protocol 0 00 00 0 0 0 --:--:-- --:--:-- --:--:-- 0> GET / HTTP/1.1 > Host: defun.work > User-Agent: curl/7.45.0 > Accept: */* > < HTTP/1.1 200 OK Срок действия 3 месяца, продлевается также запуском утилиты Совсем недавно проект из закрытого тестирования перешел в бету. Основанием для проекта - желание бизнеса работать с зашифроваными каналами. После Сноудена в США все повально перешли на HTTPS. Текущая ситуация с регистраторами - просто вымогательство денег, т.к. регистраторы подписывают шо попало, лишь бы платил. Итого - не уничтожить регистраторов (free as beer), а раздавать сертификаты для шифрования. "Сильные" сертификаты (с выяснением данных по владельцу) все также будут за большие деньги. Для этого в браузерах придумали отображать сайты с такими сертификатами - большой зеленой областью в строке URL. Что не понравилось: * сделано криво, лишь бы живо * апстрим какой то заносчивый * для подстверждения собственности домена - требуют на сервере временно запустить слушателя на порту 80 или 443 - прерывая свои сервисы, подтверждение - не плохо, но че бы не на другом порту? * для получения сертификата нужено запускать от root их поделие (для записи в системные каталоги и забиндить порт ниже 2000) * поменять пути инсталяции сертификатов крайне сложно, это не библиотека, это фрейворк Что бы Вы порекомендовали? -- Best regards!
