Коротка замітка на тему, як бути, якщо так сталося якщо треба зробити revoke при тому, що 2 сертифіката мають однакове імʼя: так вийшло, що 24.pem, 67.pem мають один і той же CN=user123. Як же зробити revoke обом? Просто “штучно створюємо” новий сертифікат і одразу робимо revoke:
# cp 24.pem -> newname.crt && cd .. && ./revoke-full newname
Інколи, виникає така помилка. Як не дивно, то методи вирішення прості: додаємо такі рядки в кінець файлу var і знову перечитуємо environment:
KEY_CN="$1" FN="$KEY_CN" KEY_NAME="$KEY_CN" KEY_OU="$KEY_CN" export CA_EXPIRE KEY_EXPIRE KEY_OU KEY_NAME KEY_CN PKCS11_MODULE_PATH PKCS11_PIN
# source ./vars
Дана помилка почала зʼявлятися в exim 4.96, причому в офіційному change log ніякої згадки немає. Зате є згадка в change log від debian:
exim4 (4.95~RC0-1)
New upstream default configuration does not abuse message_size_limit option to reject overlong lines, there is a new main configuration option – message_linelength_limit – which is set to 998 by default.
Mirror this change, now the IGNORE_SMTP_LINE_LENGTH_LIMIT only affects the data ACL
ZFS, це як FreeBSD, з базовими налаштуваннями її мало хто використовує. І є люди, які незаслужено її звинувачують у тому, що вона повільна. Так, в default конфігурація вона не швидка (в першу чергу створювалася не для швидкості, а для стабільності). Почнемо з простих і далі будемо рухатися до більш складних:
Всі помилки в даній статті зʼявляються, якщо раніше розділ оброблявся через e2fsck/tune2fs новою версією (до 1.46 включно), а потім диск використовується на старому grub. Це відомий bug. Отже, у кожної ФС є так звані features, які час від часу додаються і на старих версіях grub можуть працювати некоректно чи бути відсутні.
Зіштовхнувся нещодавно з тим, що у Solaris немає ‘proc_setgid’ privilege, який, наприклад, вимагає powerdns при старті, якщо запускати не від root’a. Помилка наступна:
pdns_server[401190]: missing privilege "proc_setid" (euid = 0, syscall = "setgid") at setgid+0xcf
Каже, що немає proc_setid, але воно є, а далі вже йде уточнення, що треба не setid, а саме setgid, але у Solaris цього немає. Чому? Не знають навіть у Solaris community. Workaround – стартувати сервіс від root’a і перевірити, щоб не було явного обмеження на privileges для сервісу
UPD. Згідно man то типу повинно використовувати syscall від set_uid, але не хоче.
Після оновлення MS від жовтня 2022 Outlook частково перестав працювати через SSL/TLS. Проблема в тому, що Outlook перестав приймати session ticket. Нижче є тимчасовий workaround для цього.
exim
Додаємо в exim.conf:
openssl_options = +no_ticket
postfix
Додаємо в master.cf:
submission inet n - n - - smtpd ... -o tls_ssl_options=NO_TICKET .... smtps inet n - n - - smtpd .... -o tls_ssl_options=NO_TICKET ...
Виникло завдання зробити зовнішлю авторизацію через LDAP для сервіса, який її не підтримував, зате підтримував авторизацію через Radius. А у radius’a виявився модуль LDAP.
Тестовий стенд: Debian Linux 11.6 + Freeradius.
Нам знадобляться пакети freeradius-ldap, freeradius-utils (для локального тесту через утиліту radtest).
Якщо коротко, то ashift = степінь 2-ки результат якого дорівнює block size. Для нових дисків block size = 4K, тому, ashift = 12 (бо 2^12=4096). Для старих дисків все ще використовується ashift = 9. Чим більше ashift тим буде продуктивніше працювати пул, бо за 1 раз буде більше зчитуватися даних. Але є і інша сторона – зайняте місце. Справа в тому, що якщо у вас багато маленьких файлів, по декілька КБ, то при виборі більшого ashift’y буде більше зайнятого місця. В середньому (якщо порівнювати з ashift=9) це буде в 3 рази більше зайнятого місця. Тому, при виборі ashift треба бути уважним. Головний нюанс в тому, що ashift можна змінити лише при створенні zfs pool.
А ще є момент, коли міняєте диски в одному пулі на диски з різними block size, то пул може взагалі розвалитися при перебудові. Будьте уважні!
В данній статті розглянемо, як можна логувати сесії NAT в різних файерволах.
iptables
Тут є декілька варіантів, почнемо з найнадійнішого:
conntrack -E --event-mask NEW --any-nat >> /var/log/nat_log
Є ще класичний варіант
iptables -t nat -I PREROUTING 1 -j LOG
iptables -t nat -I POSTROUTING 1 -j LOG
iptables -t nat -I OUTPUT 1 -j LOG
але, як пишуть у мережі, частина пакетів може не попадати в лог, якщо використовувати маркування або додаткову обробку.
pf
Є застарілий проект , який працює виключно на BSD-системах (на Solaris – ні)
ipfw
Тут мені не вдалося нічого знайти.
