Категорії
Misc, staff, other

Неочевидна проблема з curl

На одному дуже старому сервері виникла проблема з curl

# curl https://domain.com
curl: (60) SSL certificate problem: certificate has expired
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

Категорії
Misc, staff, other Security

[OpenVPN] LDAP auth на основі груп

Розглянемо лише ту частину яка стосується авторизації у LDAP. Отже в конфіг серверу додаємо таке

username-as-common-name
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf

Перший рядок каже, що login такий самий, як у LDAP’і, а другий – підключає відповідний модуль авторизації. А тепер налаштування для модулю авторизації /etc/openvpn/auth/ldap.conf:

Категорії
Misc, staff, other Security

[OpenVPN] Масово генеруємо ovpn-конфіги

Зараз все частіше доводиться генерувати саме ovpn файли, де все вже в середині (і конфіг і сертифікати). Нижче буде коротке how-to для випадку, коли треба зробити це для 10 чи 20 логінів.

Категорії
Misc, staff, other Security

[OpenVPN] Однакові ключі і revoke

Коротка замітка на тему, як бути, якщо так сталося якщо треба зробити revoke при тому, що 2 сертифіката мають однакове імʼя: так вийшло, що 24.pem, 67.pem мають один і той же CN=user123. Як же зробити revoke обом? Просто “штучно створюємо” новий сертифікат і одразу робимо revoke:

# cp 24.pem -> newname.crt && cd .. && ./revoke-full newname
Категорії
Misc, staff, other Security

[OpenVPN] Duplicate CN при генерації ключів

Інколи, виникає така помилка. Як не дивно, то методи вирішення прості: додаємо такі рядки в кінець файлу var і знову перечитуємо environment:

KEY_CN="$1"
FN="$KEY_CN"
KEY_NAME="$KEY_CN"
KEY_OU="$KEY_CN"
export CA_EXPIRE KEY_EXPIRE KEY_OU KEY_NAME KEY_CN PKCS11_MODULE_PATH PKCS11_PIN

# source ./vars

Категорії
Mail systems Misc, staff, other

[exim] Due to administrative limits only headers are returned

Дана помилка почала зʼявлятися в exim 4.96, причому в офіційному change log ніякої згадки немає. Зате є згадка в change log від debian:

exim4 (4.95~RC0-1)

New upstream default configuration does not abuse message_size_limit option to reject overlong lines, there is a new main configuration option – message_linelength_limit – which is set to 998 by default.
Mirror this change, now the GNORE_SMTP_LINE_LENGTH_LIMIT only affects the data ACL

Категорії
FreeBSD Linux Misc, staff, other Solaris

[zfs] Прискорюємо роботу ZFS

ZFS, це як FreeBSD, з базовими налаштуваннями її мало хто використовує. І є люди, які незаслужено її звинувачують у тому, що вона повільна. Так, в default конфігурація вона не швидка (в першу чергу створювалася не для швидкості, а для стабільності). Почнемо з простих і далі будемо рухатися до більш складних:

Категорії
Linux Misc, staff, other

[Linux] Grub features error

Всі помилки в даній статті зʼявляються, якщо раніше розділ оброблявся через e2fsck/tune2fs новою версією (до 1.46 включно), а потім диск використовується на старому grub. Це відомий bug. Отже, у кожної ФС є так звані features, які час від часу додаються і на старих версіях grub можуть працювати некоректно чи бути відсутні.

Категорії
Misc, staff, other Solaris

[Solaris] setgid privilege

Зіштовхнувся нещодавно з тим, що у Solaris немає ‘proc_setgid’ privilege, який, наприклад, вимагає powerdns при старті, якщо запускати не від root’a. Помилка наступна:

pdns_server[401190]: missing privilege "proc_setid" (euid = 0, syscall = "setgid") at setgid+0xcf

Каже, що немає proc_setid, але воно є, а далі вже йде уточнення, що треба не setid, а саме setgid, але у Solaris цього немає. Чому? Не знають навіть у Solaris community. Workaround – стартувати сервіс від root’a.

UPD. Згідно man то типу повинно використовувати syscall від set_uid, але не хоче.

Категорії
Misc, staff, other

Outlook: проблеми з підключенням через SSL/TLS

Після оновлення MS від жовтня 2022 Outlook частково перестав працювати через SSL/TLS. Проблема в тому, що Outlook перестав приймати session ticket. Нижче є тимчасовий workaround для цього.

exim

Додаємо в exim.conf:

openssl_options = +no_ticket 

postfix

Додаємо в master.cf:

submission inet n       -       n       -       -       smtpd
 ...
 -o tls_ssl_options=NO_TICKET
....
smtps     inet  n       -       n       -       -       smtpd
....
  -o tls_ssl_options=NO_TICKET
...
Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP
Powered by Muff