Заблокирую Вашу подсеть для доступа из РФ. Быстро. Бесплатно // Павел Д.

с нашей стороны strongswan (пробовали разные версии 5.6.1, 5.6.2, на разных платформах - cent7, fbsd11). С той некая cisco asa. В конфиге пачка rightsubnet подключенных через also. Проблема одна, примерно через сутки живым (INSTALLED, TUNNEL) остается только первый rightsubnet из базового конфига. Меняешь в конфиге на другой, теперь он будет жив. Куда копать?
( ipsec.confСвернуть )

Имеется nginx, установленный на убунте (Server: nginx/1.10.3 (Ubuntu))
В нём сконфигурирована пара https-серверов на одном и том же IP-адресе и порте, но первый использует в server_name пару доменных имён, а второй - просто IP-адрес.

Сертификаты у серверов разные, но почему-то при попытке присоединиться ко второму, используя просто https://IP-адрес/ , вылезает сертификат от первого сервера.
wget ругается, что The certificate's owner does not match hostname ‘IP-адрес’ , а браузеры тоже ругаются на небезопасное соединение и явно показывают сертификат от первого сервера.
Для проверки, что соединение идёт не просто к первому серверу, я попросил администратора поменять у второго сервера root, и первый сервер продолжал работать, а второй начал выдавать код 403, но всё равно используя сертификат от первого.

Вот отчего такое может быть? Как ко второму серверу прицепить его собственный сертификат??

Upd: похоже, использование IP-адреса в качестве имени сайта толком не работает, поэтому nginx и использует сертификат от сервера с доменным именем. Чтобы использовать сертификат от сервера с IP-адресом, в его параметр listen надо добавить default_server, тогда он и будет использоваться для всех соединений, кроме тех, где SNI совпадает с server_name от других серверов, приделанных к этому же IP и порту.

Дано:
SSD Crucial MX500 - 500GB, для ежедневного пользования
и HDD HGST 4TB, для backup - картиночек с забавными котятами и исторических фот.

HDD отформатирован mkfs.ext4 -O metadata_csum,64bit -T largefile
показывает logical и physical block size - 4096 bytes. Годно, для хранения длинных файлов.

SSD, показывает logical - 512 bytes и physical block size - 4096 bytes.
man mkfs.f2fs за опцию -O показывает только encrypt и более, никакой информации не найти в этих ваших интернетах.

Можно ли, и как, отформатировать SSD с logical и physical block size - 4096 bytes?
Знаю, что управляет записью и считыванием данных непосредственно микроконтроллер SSD.

сгенерил ключ
openssl genpkey -algorithm gost2001 -pkeyopt paramset:A -out ca.key

а вытащить оттуда паблик не соображу как...

ps. как из сертификата вытащить я знаю

дано: xenial на далеком хостинге. Надо дать возможность разработчику гонять там genymotion. Через vnc. Но vnc не может в opengl. Ладно, ставлю virtulgl, glxgears запускается, а genymotion нет. Ставлю x2go, genymotion запускается, но не может запустить из под себя vbox. При этом сам по себе vbox запускается без проблем. Ставлю nomachine, genymotion на старте валится в кору. Но! Если зайти через ipkvm и запустить genymotion, то далее в nm оно работает без проблем. Что вписать в xorg.conf чтобы оно заработало сразу?

ceph version 10.2.10

создаем
ceph-disk prepare --dmcrypt --dmcrypt-key-dir /tmp/key/ --fs-type xfs --cluster ceph /dev/sda
1) кладет с прибором на указание положить ключи в /tmp/key
2) в процессе что-то вякает про passphrase, но ввети его не удается

итог в соответсвии с
http://pad.ceph.com/p/osd-key-management

те ключи не в /etc/ceph/dmcrypt-keys, а где-то в недрах.
ключа почему-то два, хотя итоговых устройства 4
/dev/sda :
/dev/sda2 ceph journal (dmcrypt LUKS /dev/dm-3), for /dev/sda1
/dev/sda3 ceph lockbox, active, for /dev/sda1
/dev/sda1 ceph data (dmcrypt LUKS /dev/dm-0), cluster ceph, osd.8, journal /dev/sda2
/dev/sdb :
/dev/sdb2 ceph journal (dmcrypt LUKS /dev/dm-1), for /dev/sdb1
/dev/sdb3 ceph lockbox, active, for /dev/sdb1
/dev/sdb1 ceph data (dmcrypt LUKS /dev/dm-2), cluster ceph, osd.7, journal /dev/sdb2

ключи можно вытащить через ceph config-key get, но использовать непосредственно, тыкая в них cryptsetup, не получается
No key available with this passphrase.

что забыл, где не прав?

С начала 2005 и до конца 2017 - пользовался GMail. Удобно и практично.
И вдрук - обнаружил в себе некие параноидальные отклонения, что не к лицу гордому Nazi панку.

За годный сервис - нужно платить, на данном этапе развития инета.
Сравнение трёх secure e-mail сервисов.

Позитивное - есть они.
И на сегодня, те, что умеют работать и доставляют надёжный сервис:

• ProtonMail


• Mailfence

The former, ProtonMail - просто работает, шифрует мессаги на своих серверах и без судебного ордера нет доступа к мессагам.
Что и делает вопросить - значит, ключи gpg шифрования мессаг имеют они? Получается, да.

The latter, Mailfence. Очень удобная и продуманная система, для работы эффективным менеджерам, оффисным планктонам и WebDAV интеграторам.

Эти сервисы, умеют в настройку custom domains. Платно, конечно.
Достойные и работают, как надо - анонимно и секьюрно.

И теперь - поток ненависти. Это o Lavabit.
Отстегнул 30USD, (лучше бы потратил на Котёнку Кисс или Лигу Брайлле, персон с недостатками зрения), лишь для того, чтобы убедиться в полной беспомощности и отсутствии технической компетенции.

Шлю им письмо, "Мне необходимы данные для настройки домейна, с вашими реквизитами - spf1, DKIM1"
Получаю в ответ - настройки для сервера SMTP/POP.

Обращаюсь снова - "Мне нужны Ваши данные TXT spf1 DKIM1"
"А мы вам всё прислали!"

Ненавижу этих прыщавых soy boys!

Привет.

Образовался тут в одном сервере сетевой адаптер Intel X520 SR2. Как известно про серию X520, она очень любит родные интеловские SFP-модули, и совсем не любит никакие другие. Лечится это установкой параметра allow_unsupported_sfp при загрузке драйвера. Однако лыжи что-то не едут... Согласно мануалу, чтобы установить параметр модуля при загрузке, нужно создать файл с именем вида "module_name.conf" в каталоге /etc/modprobe.d, и прописать туда строчку типа:

options ixgbe allow_unsupported_sfp

Всё проделал, сделал файл /etc/modprobe.d/ixgbe.conf, прописал туда эту строчку, но при ребуте адаптер всё равно не виден. Однако если сделать:

# rmmod ixgbe
# modprobe ixgbe

то адаптер в системе незамедлительно появляется. Возникает закономерный вопрос -- какова это оно игнорирует установку параметра при загрузке?

Подскажите pls на счёт механизма очистки кэша в squid.
Сквид обходит дерево кэша, каждые 15сек открывая и сканируя следущую директорию.
Делает он это всё время в независимости от наличия нагрузки и заполнения кэша. Причём даже таймаут захардкожен.
( кодСвернуть )
Хотелось бы понять - как то можно этим управлять? Какой то более интеллектуальный алгоритм в зависимости от наполнения/нагрузки.
Или вообще выключить если сделать ничего нельзя.
В squid.conf.documented не нашел, закодить могу, но это экстремально неверно IMHO