?

Log in

No account? Create an account

[icon] Клуб Сисадминов
View:Свежие записи.
View:Архив.
View:Друзья.
View:Личная информация.
You're looking at the latest 10 entries.
Missed some entries? Then simply jump back 10 entries

Security:
Subject:Объявление
Time:11:38 pm
Заблокирую Вашу подсеть для доступа из РФ. Быстро. Бесплатно // Павел Д.
comments: 18 комментариев or Оставить комментарий

Tags:
Security:
Subject:strongswan + asa
Time:01:52 pm
с нашей стороны strongswan (пробовали разные версии 5.6.1, 5.6.2, на разных платформах - cent7, fbsd11). С той некая cisco asa. В конфиге пачка rightsubnet подключенных через also. Проблема одна, примерно через сутки живым (INSTALLED, TUNNEL) остается только первый rightsubnet из базового конфига. Меняешь в конфиге на другой, теперь он будет жив. Куда копать?
ipsec.confСвернуть )
comments: 6 комментариев or Оставить комментарий


[dil]
Tags:, ,
Security:
Subject:Resolved: Сертификаты в nginx
Time:05:09 pm
Имеется nginx, установленный на убунте (Server: nginx/1.10.3 (Ubuntu))
В нём сконфигурирована пара https-серверов на одном и том же IP-адресе и порте, но первый использует в server_name пару доменных имён, а второй - просто IP-адрес.

Сертификаты у серверов разные, но почему-то при попытке присоединиться ко второму, используя просто https://IP-адрес/ , вылезает сертификат от первого сервера.
wget ругается, что The certificate's owner does not match hostname ‘IP-адрес’ , а браузеры тоже ругаются на небезопасное соединение и явно показывают сертификат от первого сервера.
Для проверки, что соединение идёт не просто к первому серверу, я попросил администратора поменять у второго сервера root, и первый сервер продолжал работать, а второй начал выдавать код 403, но всё равно используя сертификат от первого.

Вот отчего такое может быть? Как ко второму серверу прицепить его собственный сертификат??

Upd: похоже, использование IP-адреса в качестве имени сайта толком не работает, поэтому nginx и использует сертификат от сервера с доменным именем. Чтобы использовать сертификат от сервера с IP-адресом, в его параметр listen надо добавить default_server, тогда он и будет использоваться для всех соединений, кроме тех, где SNI совпадает с server_name от других серверов, приделанных к этому же IP и порту.
comments: 17 комментариев or Оставить комментарий

Tags:, , ,
Security:
Subject:512 vs 4096. Логическое и физическое.
Time:08:33 am
Дано:
SSD Crucial MX500 - 500GB, для ежедневного пользования
и HDD HGST 4TB, для backup - картиночек с забавными котятами и исторических фот.

HDD отформатирован mkfs.ext4 -O metadata_csum,64bit -T largefile
показывает logical и physical block size - 4096 bytes. Годно, для хранения длинных файлов.

SSD, показывает logical - 512 bytes и physical block size - 4096 bytes.
man mkfs.f2fs за опцию -O показывает только encrypt и более, никакой информации не найти в этих ваших интернетах.

Можно ли, и как, отформатировать SSD с logical и physical block size - 4096 bytes?
Знаю, что управляет записью и считыванием данных непосредственно микроконтроллер SSD.
comments: 18 комментариев or Оставить комментарий

Tags:
Security:
Subject:openssl - public.key from private.key
Time:12:09 am
сгенерил ключ
openssl genpkey -algorithm gost2001 -pkeyopt paramset:A -out ca.key

а вытащить оттуда паблик не соображу как...

ps. как из сертификата вытащить я знаю
comments: 3 комментария or Оставить комментарий

Security:
Subject:genymotion
Time:10:47 pm
дано: xenial на далеком хостинге. Надо дать возможность разработчику гонять там genymotion. Через vnc. Но vnc не может в opengl. Ладно, ставлю virtulgl, glxgears запускается, а genymotion нет. Ставлю x2go, genymotion запускается, но не может запустить из под себя vbox. При этом сам по себе vbox запускается без проблем. Ставлю nomachine, genymotion на старте валится в кору. Но! Если зайти через ipkvm и запустить genymotion, то далее в nm оно работает без проблем. Что вписать в xorg.conf чтобы оно заработало сразу?
comments: 4 комментария or Оставить комментарий

Security:
Subject:ceph + luks
Time:02:41 pm
ceph version 10.2.10

создаем
ceph-disk prepare --dmcrypt --dmcrypt-key-dir /tmp/key/ --fs-type xfs --cluster ceph /dev/sda
1) кладет с прибором на указание положить ключи в /tmp/key
2) в процессе что-то вякает про passphrase, но ввети его не удается

итог в соответсвии с
http://pad.ceph.com/p/osd-key-management

те ключи не в /etc/ceph/dmcrypt-keys, а где-то в недрах.
ключа почему-то два, хотя итоговых устройства 4
/dev/sda :
/dev/sda2 ceph journal (dmcrypt LUKS /dev/dm-3), for /dev/sda1
/dev/sda3 ceph lockbox, active, for /dev/sda1
/dev/sda1 ceph data (dmcrypt LUKS /dev/dm-0), cluster ceph, osd.8, journal /dev/sda2
/dev/sdb :
/dev/sdb2 ceph journal (dmcrypt LUKS /dev/dm-1), for /dev/sdb1
/dev/sdb3 ceph lockbox, active, for /dev/sdb1
/dev/sdb1 ceph data (dmcrypt LUKS /dev/dm-2), cluster ceph, osd.7, journal /dev/sdb2

ключи можно вытащить через ceph config-key get, но использовать непосредственно, тыкая в них cryptsetup, не получается
No key available with this passphrase.

что забыл, где не прав?
comments: 1 комментарий or Оставить комментарий

Tags:, ,
Security:
Subject:Аналитика и практический опыт: Secure e-mail providers
Time:04:25 pm
С начала 2005 и до конца 2017 - пользовался GMail. Удобно и практично.
И вдрук - обнаружил в себе некие параноидальные отклонения, что не к лицу гордому Nazi панку.

За годный сервис - нужно платить, на данном этапе развития инета.
Сравнение трёх secure e-mail сервисов.

Позитивное - есть они.
И на сегодня, те, что умеют работать и доставляют надёжный сервис:

  • ProtonMail

  • Mailfence

The former, ProtonMail - просто работает, шифрует мессаги на своих серверах и без судебного ордера нет доступа к мессагам.
Что и делает вопросить - значит, ключи gpg шифрования мессаг имеют они? Получается, да.

The latter, Mailfence. Очень удобная и продуманная система, для работы эффективным менеджерам, оффисным планктонам и WebDAV интеграторам.

Эти сервисы, умеют в настройку custom domains. Платно, конечно.
Достойные и работают, как надо - анонимно и секьюрно.

И теперь - поток ненависти. Это o Lavabit.
Отстегнул 30USD, (лучше бы потратил на Котёнку Кисс или Лигу Брайлле, персон с недостатками зрения), лишь для того, чтобы убедиться в полной беспомощности и отсутствии технической компетенции.

Шлю им письмо, "Мне необходимы данные для настройки домейна, с вашими реквизитами - spf1, DKIM1"
Получаю в ответ - настройки для сервера SMTP/POP.

Обращаюсь снова - "Мне нужны Ваши данные TXT spf1 DKIM1"
"А мы вам всё прислали!"

Ненавижу этих прыщавых soy boys!
comments: 30 комментариев or Оставить комментарий

Security:
Subject:Установить параметр модуля ядра при загрузке в CentOS
Time:12:13 pm
Привет.

Образовался тут в одном сервере сетевой адаптер Intel X520 SR2. Как известно про серию X520, она очень любит родные интеловские SFP-модули, и совсем не любит никакие другие. Лечится это установкой параметра allow_unsupported_sfp при загрузке драйвера. Однако лыжи что-то не едут... Согласно мануалу, чтобы установить параметр модуля при загрузке, нужно создать файл с именем вида "module_name.conf" в каталоге /etc/modprobe.d, и прописать туда строчку типа:
options ixgbe allow_unsupported_sfp

Всё проделал, сделал файл /etc/modprobe.d/ixgbe.conf, прописал туда эту строчку, но при ребуте адаптер всё равно не виден. Однако если сделать:

# rmmod ixgbe
# modprobe ixgbe

то адаптер в системе незамедлительно появляется. Возникает закономерный вопрос -- какова это оно игнорирует установку параметра при загрузке?
comments: 16 комментариев or Оставить комментарий

Security:
Subject:squid: настройка очистки кэша
Time:05:13 pm
Подскажите pls на счёт механизма очистки кэша в squid.
Сквид обходит дерево кэша, каждые 15сек открывая и сканируя следущую директорию.
Делает он это всё время в независимости от наличия нагрузки и заполнения кэша. Причём даже таймаут захардкожен.
кодСвернуть )
Хотелось бы понять - как то можно этим управлять? Какой то более интеллектуальный алгоритм в зависимости от наполнения/нагрузки.
Или вообще выключить если сделать ничего нельзя.
В squid.conf.documented не нашел, закодить могу, но это экстремально неверно IMHO
comments: 12 комментариев or Оставить комментарий

[icon] Клуб Сисадминов
View:Свежие записи.
View:Архив.
View:Друзья.
View:Личная информация.
You're looking at the latest 10 entries.
Missed some entries? Then simply jump back 10 entries