Категорії
FreeBSD Linux OpenBSD Routers, GW, Internet Solaris

ToS / DSCP

Нагадаю, що таке ToS (Type of Service) – це можливість пріоритезувати певний трафік за рахунок виставлення спеціального байта у заголовку IP пакету. DSCP – деяке розширення (або в деякому сенсі новіша версія ToS), бо має більше різних пріоритетів (64 проти 7 у ToS).

Категорії
Misc, staff, other Security

ssh: додаємо необхідні host key types

Після одного оновлення один з клієнтів перестав підключатися по ssh до серверу. Враховуючи, що клієнт – це ПЗ закритого типу і з його сторони ми нічого не можемо вдіяти, прийшлося розбиратися зі сторони серверу. Включаємо debug в /etc/ssh/sshd_config:

SyslogFacility AUTH
LogLevel DEBUG

і бачимо в логах таке:

Категорії
Linux Misc, staff, other

Резервний канал через модем

Постала задача підключатися через 3G-модем. В даному випадку це Huawei e3372.

Скрипт підключення /opt/scripts/usb_modem.sh:

Категорії
Misc, staff, other

Неочевидна проблема з curl

На одному дуже старому сервері виникла проблема з curl

# curl https://domain.com
curl: (60) SSL certificate problem: certificate has expired
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

Категорії
Misc, staff, other Security

[OpenVPN] LDAP auth на основі груп

Розглянемо лише ту частину яка стосується авторизації у LDAP. Отже в конфіг серверу додаємо таке

username-as-common-name
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf

Перший рядок каже, що login такий самий, як у LDAP’і, а другий – підключає відповідний модуль авторизації. А тепер налаштування для модулю авторизації /etc/openvpn/auth/ldap.conf:

Категорії
Misc, staff, other Security

[OpenVPN] Масово генеруємо ovpn-конфіги

Зараз все частіше доводиться генерувати саме ovpn файли, де все вже в середині (і конфіг і сертифікати). Нижче буде коротке how-to для випадку, коли треба зробити це для 10 чи 20 логінів.

Категорії
Misc, staff, other Security

[OpenVPN] Однакові ключі і revoke

Коротка замітка на тему, як бути, якщо так сталося якщо треба зробити revoke при тому, що 2 сертифіката мають однакове імʼя: так вийшло, що 24.pem, 67.pem мають один і той же CN=user123. Як же зробити revoke обом? Просто “штучно створюємо” новий сертифікат і одразу робимо revoke:

# cp 24.pem -> newname.crt && cd .. && ./revoke-full newname
Категорії
Edge router

Розширюємо функціонал edge router

Тут розкажу покроково як зробити з edge router повноцінний сервер на linux. Якщо по-суті, то прошивка edge router – це деяка оболонка, яка запускається після старту Linux.

Причому робимо все так, щоб можна було швидко увімкнути оболонку назад, якщо треба. Бо інакше можна було б просто поставити ARM Linux.

Категорії
Misc, staff, other Security

[OpenVPN] Duplicate CN при генерації ключів

Інколи, виникає така помилка. Як не дивно, то методи вирішення прості: додаємо такі рядки в кінець файлу var і знову перечитуємо environment:

KEY_CN="$1"
FN="$KEY_CN"
KEY_NAME="$KEY_CN"
KEY_OU="$KEY_CN"
export CA_EXPIRE KEY_EXPIRE KEY_OU KEY_NAME KEY_CN PKCS11_MODULE_PATH PKCS11_PIN

# source ./vars

Категорії
Mail systems Misc, staff, other

[exim] Due to administrative limits only headers are returned

Дана помилка почала зʼявлятися в exim 4.96, причому в офіційному change log ніякої згадки немає. Зате є згадка в change log від debian:

exim4 (4.95~RC0-1)

New upstream default configuration does not abuse message_size_limit option to reject overlong lines, there is a new main configuration option – message_linelength_limit – which is set to 998 by default.
Mirror this change, now the IGNORE_SMTP_LINE_LENGTH_LIMIT only affects the data ACL

Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP
Powered by Muff