берем мануал
https://docs.nginx.com/nginx/admin-guide/security-controls/securing-http-traffic-upstream/
и строгаем песочницу


server {
listen *:443 ssl;
listen *:1443 ssl;
server_name test;
access_log /var/log/nginx/test_access.log;
error_log /var/log/nginx/test_error.log;
ssl_certificate /etc/nginx/ssl/test.crt;
ssl_certificate_key /etc/nginx/ssl/test.key;
ssl_client_certificate /etc/nginx/ssl/ca.crt;
ssl_verify_client on;
root /var/www;
location / {
}
}


server {
listen *:443 ssl;
server_name proxy;
access_log /var/log/nginx/proxy_access.log;
error_log /var/log/nginx/proxy_error.log ;
ssl_certificate /etc/nginx/ssl/proxy.crt;
ssl_certificate_key /etc/nginx/ssl/proxy.key;
root /var/www1;
location / {
}
location /test {
rewrite ^/test(.*)$ $1 break;
proxy_pass https://test;
proxy_set_header Host test;
proxy_ssl_certificate /etc/nginx/ssl/client.crt;
proxy_ssl_certificate_key /etc/nginx/ssl/client.key;
proxy_ssl_trusted_certificate /etc/nginx/ssl/ca.crt;
proxy_ssl_verify off;
}
location /test2 {
rewrite ^/test2(.*)$ $1 break;
proxy_pass https://test:1443;
proxy_set_header Host test;
proxy_ssl_certificate /etc/nginx/ssl/client.crt;
proxy_ssl_certificate_key /etc/nginx/ssl/client.key;
proxy_ssl_trusted_certificate /etc/nginx/ssl/ca.crt;
proxy_ssl_verify off;
}
}

тестируем

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --key /etc/nginx/ssl/client.key --cert /etc/nginx/ssl/client.crt --resolve test:443:127.0.0.1 https://test
Mon Oct 4 10:37:00 UTC 2021

работает

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --key /etc/nginx/ssl/client.key --cert /etc/nginx/ssl/client.crt --resolve test:1443:127.0.0.1 https://test:1443
Mon Oct 4 10:37:00 UTC 2021

работает

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --resolve proxy:443:127.0.0.1 https://proxy/test2/
Mon Oct 4 10:37:00 UTC 2021

работает

[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --resolve proxy:443:127.0.0.1 https://proxy/test/

400 Bad Request

No required SSL certificate was sent

---

nginx/1.20.1



не работает. Нема говорит нужного клиентского сертификата... Что я делаю не так?

PS. надо включать
proxy_ssl_server_name on;

https://ru-root.livejournal.com/2936104.html

парни, а к каким контроллерам можно подключать сей девайс? Родная документация ведет на ныне мертвый http://www.hp.com/go/D2000. В том месте где живет эта полка нет серверов с разъемами на raid контроллерах, в которые можно было бы воткнуть родной кабель. Покупать целиком hp серв не хочется, хочется только контроллер.

https://ru-root.livejournal.com/2935867.html

кривой вопрос. а как запретить вмварь-плееру издавать любые звуки, чтоб при таб-таб-таб в виртуальном линухе оно не пищало?

совет ссайта афтырей про добавление https://kb.vmware.com/s/article/1664
строки mks.noBeep = "TRUE"
в ~/.vmware/config не помогают - пищщит, сцуко.

https://ru-root.livejournal.com/2935641.html

а у вас на практике бывали сети, где было не порядка 256, а порядка 64к компов в одной подсети которым надо раздать ip адреса?
я не про какой-нибудь хитрокластер для майнинга или калаби-яу, а про что-то типа "сеть предприятия" или "сеть холдинга с затейливыми впн между филиалами".

как мне видится, обычно подсеть делается приватной, на 64к адресов, с динамической раздачей адресов, по проводу (то есть, андроидоайфоны не учитываем), из этих 64к хорошо если этак 255 распределено.

так вот, вопрос. а какого фига при типичной настройке dhcp протухает буквально через пару дней, вместо того чтоб вот этим вот полтора инвалидам давать те же адреса?

https://ru-root.livejournal.com/2935374.html

Гайзы, а кто-нибудь юзает в быту девайсы типа TL-PA7017P для передачи эзера через электрическую сеть? Какие впечатления, рекомендации, подводные камни?

https://ru-root.livejournal.com/2935083.html

https://ru-root.livejournal.com/2934905.html

root@ubuntu:~# dpkg -l | grep -i strongSwan
ii libcharon-extauth-plugins 5.8.2-1ubuntu3.1 amd64 strongSwan charon library (extended authentication plugins)
ii libcharon-extra-plugins 5.8.2-1ubuntu3.1 amd64 strongSwan charon library (extra plugins)
pi libstrongswan 5.8.2-1ubuntu3.1 amd64 strongSwan utility and crypto library
ii strongswan 5.8.2-1ubuntu3.1 all IPsec VPN solution metapackage
ii strongswan-charon 5.8.2-1ubuntu3.1 amd64 strongSwan Internet Key Exchange daemon
ii strongswan-libcharon 5.8.2-1ubuntu3.1 amd64 strongSwan charon library
ii strongswan-pki 5.8.2-1ubuntu3.1 amd64 strongSwan IPsec client, pki command
ii strongswan-starter 5.8.2-1ubuntu3.1 amd64 strongSwan daemon starter and configuration file parser

root@ubuntu:~# grep yes /etc/strongswan.d/charon/eap-mschapv2.conf
load = yes

но
root@ubuntu:~# ipsec listplugins | grep ^eap
eap-identity:
eap-aka:
eap-md5:
eap-gtc:
eap-dynamic:
eap-radius:
eap-tls:
eap-ttls:
eap-peap:
eap-tnc:
root@ubuntu:~#

ессно перегружал, в том числе тачану целиком. Куда копать не пойму...

https://ru-root.livejournal.com/2934345.html

Гуглил, гуглил, недогуглил. Задача-то простая, может, я перебдеваю?

Есть свичи с кучей разных VLAN-ов, соединенные на данный момент гигабит-транками:



Пришла разнарядка поместить все кроме одного на мобильные платформы. Поэтому рассматривается возможность замены медных транков на WiFi-соединение:



Погуглив, я прочитал, говорят, что в транке будет пропорционально очень много броадкаст-пакетов и он "уложит" канал WiFi. В общем не рекомендуют так делать, но мне очень надо.

Возникает вопрос, как это все-таки можно сделать? Могу сразу брать 5GHz канал, он толще.

Мобильных платформ будет максимум до десятка, все нужно соединить через WiFi. Они могут временами включаться и отключаться, довольно живая конфигурация. Не офисы.

Спасибо пожалуйста.

https://ru-root.livejournal.com/2934039.html

ничего не понимаю. ситуация:

1. монтирую партишен -o ro
2. на партишен натравлена самба
3. подключаюсь по сети, вижу из винды эту шару
4. беру оттуда файлы (не пишу, а только беру - она же ro)
5. отключаю шару в винде
6. возвращаюсь в линукс, пытаюсь размонтировать и получаю что-то типа "она занята, для диагностики воспользуйтесь lsof или fuser" (*)
7. ок, набираю "lsof | grep mnt", пишет, что smbd (одно совпадение во всей выдаче) используется рутом
8. заглушаю самбу. стартую её заново.
9. снова "используется рутом", как, откуда? тот процесс-то я должен был прибить!

(*) umount: /mnt/main6: target is busy
(In some cases useful info about processes that
use the device is found by lsof(8) or fuser(1).)

https://ru-root.livejournal.com/2933901.html

FreeBSD 12.2-RELEASE-p6
strongSwan 5.9.2 from pkg
после обновления отказался парсить ipsec.conf, мол нет у тебя никаких настроек. stroke загружен. Переписал в стиле swanctl.conf. Взлетело. Но возник вопрос - это инициатива мантейнера пакеджа или что? На сайте strongswan.org не вижу уведомлений в отказе от использования ipsec.conf.

https://ru-root.livejournal.com/2933550.html

всем привет!

root@darkstar:/home/anton# smartctl --all /dev/sdd

smartctl 7.2 2020-12-30 r5155 [x86_64-linux-4.4.14] (local build)
Copyright (C) 2002-20, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF INFORMATION SECTION ===
Vendor: vices/pc
Product: i0000:00/0000:00
Revision: :11.
Compliance: SPC-5
User Capacity: 13,236,715,697,634,807,358 bytes [13236 PB]
Logical block size: 1986618213 bytes
Physical block size: 2981265408 bytes
Lowest aligned LBA: 12387
Formatted with type 2 protection
4 protection information intervals per logical block
32 bytes of protection information per logical block
scsiModePageOffset: response length too short, resp_len=47 offset=50 bd_len=46
scsiModePageOffset: response length too short, resp_len=47 offset=50 bd_len=46
>> Terminate command early due to bad response to IEC mode page
A mandatory SMART command failed: exiting. To continue, add one or more '-T permissive' options.

=====================

при mkfs.ext3 сначала работает, а потом вылетает с ошибкой:

ext2fs_mkdir: Attempt to read block from filesystem resulted in short read while creating root dir

=====================

он пустой, ничего ценного на нём нет (успел спасти) просто интересно, его можно реанимировать? на петабайты не смотрите, это 4 Гб по факту.

https://ru-root.livejournal.com/2933458.html

Letting Go

Если кто не помнит, что надо мышку к картинке подвести -- title text там "At least I never gave her the root password."

Но пользователя-то создавал?
Тогда срочно читать https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit

https://ru-root.livejournal.com/2933211.html

столкунулся со странным, шлю письмо в gmail. Оно ложится в спам, при открытии появляется большой желтый банер


Будьте осторожны!
Системе Gmail не удалось подтвердить, что это письмо отправлено отсюда:

в показать оригинал

SPF: PASS с IP-адресом 149.72.168.13. Подробнее…
DKIM: 'PASS', домен sendgrid.me Подробнее…
DMARC: 'FAIL' Подробнее…


я в затруднении, а какой может быть fail для dmarc, если spf и dkim пасс?

сам dmarc минималистичен

"v=DMARC1; p=quarantine"

https://ru-root.livejournal.com/2932921.html

всем привет!

как настроить PuTTY, чтобы в mc нормально отображалась и псевдографика для отрисовки "окон" и русские имена файлов (пока что часть символов теряется). клиент - виндовс7, сервер - линукс слака. где ковырять? PuTTY или слаку или обоих сразу?

заранее спасибо, обшарил уже всё.

UPD: всем спасибо, действительно, вопрос решился заменой "export LANG=en_US" на "export LANG=en_US.UTF-8" в /etc/profile.d/lang.sh и перезапуском последнего.

putty уже был настроен правильно - его ковырять не пришлось. сейчас в порядке и кодировка, и псевдографика.

ВСЕМ ОГРОМНОЕ СПАСИБО!

https://ru-root.livejournal.com/2932665.html

Привет!

Есть очень компактная материнская плата формата mini-ITX с единственным слотом mSATA/miniPCI-E и без других слотов расширения PCI-E. Пока система грузится с mSATA SSD. Ещё есть порт SATA и разъём питания SATA, заняты вторичным накопителем HDD 1TB.

Хочется добавить в неё WiFi формата miniPCI-E (сделать точку доступа), карточка подходящая у меня есть, но некуда вставить.

Бывают ли какие-нибудь "сплиттеры" для порта mSATA/miniPCI-E, чтобы можно было одновременно подключить и SSD, и карту WiFi?

https://ru-root.livejournal.com/2932420.html

letsencrypt начал раздавать серты с новыми корнями.

root@fbsdap:/usr/local/etc/ipsec.d/cacerts # ipsec listcerts

List of X.509 End Entity Certificates

subject: "CN=gw.itsumma.com"
issuer: "C=US, O=Let's Encrypt, CN=R3"

Если юзаете strongswan в комплекте с letsencrypt то нужно обновить ipsec.d/cacerts отсюда
https://your.cheer.id/lets-encrypt-issues-new-root-and-intermediate-certificates/
The New RSA Intermediate CA Certificates

https://ru-root.livejournal.com/2932073.html

В "импортозамещенном" дебиане, который "Астра", при логине из /etc/profile.d/my_kewl_script.sh
запускаем фоном еще один:
another_script.sh > /dev/null 2> /dev/null &

Скрипт запускается, отрабатывает, и в момент, когда пользователь что-то вводит, его внезапно пугает строкой
[1]+ Завершен another_script.sh > /dev/null 2> /dev/null

(А пол - бетонный. В результате растет производственный травматизм.) Можно как-то убрать это сообщение? Вот даже не знаю, где искать.
screen использовать крайне нежелательно: нет в списке разрешенных.

Нет, это не первое апреля. Это я просто очень сильно туплю.

UPD: решено.
помогло добавить после запуска процесса disown another_script.sh

https://ru-root.livejournal.com/2931716.html

Коллеги,

тут ламерский вопрос всплыл, он вроде даже когда-то обсуждался ;) Но что-то никаких следов подобных тем не нагуглилось, поэтому пристаю здесь.

Итак, samba 4.11 и винда 7ка домашняя расширенная. Шара на винде, монтируюсь к линуксу. Всё работвет -- имена резолвятся по WINS (winbindd, nmbd, nsswitch -- всё по учебникам). Работает ровно до того момента, как на винде поднимается ещё один интерфейс (VPN, если принципиально, но есть уверенность, что дело не в конкретном VPN). После этого что ping , что mount.cifs /// ... репортят Unknown error.

Глянул nmblookup -- разница в том, что в первом случае он возвращает одну запись -- "1.1.1.1 mywinhost<00>", а во втором -- две:
1.1.1.1 mywinhost<00>
1.1.2.3 mywinhost<00>

Понятно, что "ручками" с подстановкой ip=1.1.1.1 в mount.cifs ... это решается, и что, хотя и адрес из динамического пула DHCP, с его временем лиза вряд ли адрес поменяется, и что можно всяческими скриптами обернуться и таки вытащить именно тот адрес из списка, ну, там, взять из адреса нужного интерфейса на линуксовой машине адрес сетки и выбрать из списка nmblookup именно тот адрес, который нужен, но копчиком чую, что это вот всё решается проще ;)

Подскажите кейворды, там, может статейки есть, и т. п.?

X-posted

https://ru-root.livejournal.com/2931632.html

Поможите, люди добрые, сами мы не местные...

SuperMicro убрали со своего сайта (и даже в архиве не нашел) IPMI BMC firmware для старых платформ. Залил я новый SSL-сертификат через веб-интерфейс старого сервера на основе материнки X8DTU с BMC версии 2.06 и у него отвалилось колесо отключился HTTPS, порт 443 теперь закрыт. Обычный HTTP у BMC по-прежнему работает, но удалённое управление (Java/ActiveX) работает только по HTTPS и сломалось (Serial-over-LAN - отдельная тема, сейчас не про SOL). Перезагрузка BMC не помогла.

В FAQ у супермикры есть такой вопрос и ответ на него - баг в BMC, обновляйтесь. Есть ли у кого рабочая ссылочка на firmware поновее чем 2.06? Гугль мне выдаёт только Release Notes к ним с упоминанием версий 2.2x. Или может кто может выложить, если в загашниках есть.

В саппорт написал, но не факт, что пойдут навстречу.

Update: версия 3.15 нашлась благодаря edo_rus.

https://ru-root.livejournal.com/2931435.html