понедельник, 29 февраля 2016 г.

Apache: Создание сертификата сервера с SNI

Такое бывает необходимо не только Google. А и, к примеру, в случае, если на multihomed-сервере необходимо поднять TLS. (Конечно, можно по методу мальчиков-линуксоидов создать раздельные сертификаты, повесить их на различные порты, долго изгаляться с mod_rewrite... Но это метод "в лоб". А мы же не бараны).

Для простоты создадим конфигурацию на 2 имени хоста.

Сначала нужно кое-что изменить в конфигурации openssl (конкретно - изменить commonName):
 # SNI for multihomed  
 0.commonName               = Common Name (e.g. server FQDN or YOUR name)  
 0.commonName_max          = 64  
 1.commonName               = Common Name 2 (e.g. server FQDN or YOUR name)  
 1.commonName_max          = 64  

и скорректировать строку:
 # To use this configuration file with the "-extfile" option of the  
 # "openssl x509" utility, name here the section containing the  
 # X.509v3 extensions to use:  
 extensions          = v3_req  

и подготовить файл extSRV.cfg:
 # =================================================  
 # SSL server extension file.   
 # Version 1.8  
 # =================================================  
 basicConstraints=critical,CA:false  
 nsCertType=server  
 nsComment="Web Server SSL Certificate"  
 subjectKeyIdentifier=hash  
 authorityKeyIdentifier=keyid:always,issuer:always  
 keyUsage=critical, digitalSignature, keyEncipherment, dataEncipherment  
 extendedKeyUsage=serverAuth  
 subjectAltName=DNS:lemanruss.localdomain,DNS:primarch.localdomain  

Имена хоста добавляются в subjectAltName одной строкой, разделяем запятыми.

Затем создадим приватный ключ и запрос SSL:
 openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -config openssl.cfg  

с конфигурационным файлом, который мы отредактировали ранее.

Заполняем поля сертификата при создании запроса обычным образом, на запрос commonName (он будет дважды) вводим имена нашего хоста (которые уже присутствуют в /etc/hosts и в нашем DNS, конечно).

Затем подписываем запрос корневым сертификатом (предполагается, что он у вас уже есть и клиенты ему доверяют) с подготовленным файлом расширений:
 openssl x509 -req -sha256 -days 3650 -in server.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server.crt -extfile extSRV.cfg  

Готово, можно открыть готовый сертификат и проверить:



Остался один шаг. Настраиваем Apache:

 Listen 4443  
   
 NameVirtualHost *:4443  
   
 # Go ahead and accept connections for these vhosts  
 # from non-SNI clients  
 SSLStrictSNIVHostCheck off  
   
 <VirtualHost *:4443>  
   ServerName lemanruss.localdomain  
   SSLEngine on  
   SSLCertificateFile "/usr/local/squid/etc/server.crt"  
   SSLCertificateKeyFile "/usr/local/squid/etc/server.key"  
 </VirtualHost>  
   
 <VirtualHost *:4443>  
   ServerName primarch.localdomain  
   SSLEngine on  
   SSLCertificateFile "/usr/local/squid/etc/server.crt"  
   SSLCertificateKeyFile "/usr/local/squid/etc/server.key"  
 </VirtualHost>  
   
 SSLProtocol all -SSLv2 -SSLv3  
 SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS  
 SSLCompression on  
   

и перезапускаем его.

пятница, 19 февраля 2016 г.

Brocade FOS: Файловые операции

Сразу поясню - трахнутые руководства мало что поясняют. В некоторые вещи надо сразу тыкать пальцами и рукой показывать.

  1. При работе с Брокейдами сразу запаситесь FTP-сервером. Обновления firmware, работа с конфигами - FTP/SCP etc. TFTP не поддерживается. FileZilla отныне прочно входит в ваш инструментальный ящик. После цисок с TFTP вся эта трахотня с ФайлЗиллой просто АдЪ и Палестина. Как будто мало барахла приходится таскать с собой на флешке, кроме синего кабеля и пары программок.
  2. Для экспорта-импорта публичных ключей в SSH нужен SCP-сервер, работающий на 22 порту. Вы где-нибудь видели фришный SCP-сервер для винды? Окошечники могут сразу удавиться - если нет чего-то *NIX-образного в инфраструктуре, можете идти топиться в сортире. Ну или рыдать у шефа на плече с просьбой купить лицензию на Bitwise. И все. Изменить порт нельзя. Изменить сервис нельзя. Локально копипастить ключи через консоль нельзя (даже в Cisco это можно). Я уж умолчу о том, что в большинстве устройств Brocade для входящих SSH нельзя никаких ключей, кроме DSA, и при этом нельзя отключить парольную аутентификацию. Это песец как небезопасно, но такие дела. Хотя исходящие соединения шифруются RSA-парой, генерируемой на устройстве.
  3. Для работы с сериальной консолью нужен противоестественно хитро вытраханный во все места RS-232 кабель, с перевернутой сигнальной парой, и полным набором проводов. Трехпроводного недостаточно. Иногда гигантов мысли спасают достаточно интеллектуальные USB2COM, но там часто требуются пляски с параметрами порта - смотреть в сторону Xon/Xoff - и с типом терминала в эмуляторе. Совсем не каждая терминальная программа вообще захочет работать с Брокейдом. Просто держите в башке, что в Брокейде Linux. Кстати, синий кабель можете засунуть себе в ж..у. С Брокейдами - во всяком случае, с ранее выпущенными - он не работает. Мало того, комплектные DB9-COM кабели от других сетевых устройств в подавляющем большинстве случаев можете засунуть туда же.
В целом Брокейды весьма хорошие устройства. Но firmware там явно пишут по накурке, а управление устройством еще и делают под грибами.

PS. В более современных устройствах мануалы постепенно приобретают человеческое лицо. Вот, например, этот:


Однако обратите внимание, для какого FOS он написан. С учетом конской цены собственно устройств (взгляните на ценники в странах СНГ - 30-кратная накрутка на откаты, хотя и оригинальный ценник производителя и ОЕМ-вендоров мало отличается), мануалы просто обязаны быть написаны как романы Дина Кунца.

В общем, дорогие солнечные геи, добро пожаловать в клуб. ;)

Brocade FOS: Блокирование доступа по telnet

В сравнении с Брокейдом (Brocade), Cisco просто образец понятности, логики и простоты. :)

Рассмотрим простую задачу.

Вам нужно, в целях безопасности (А, надо отметить, сам Brocade имеет очень навороченные возможности по настройкам безопасности собственно оптического трафика), отключить доступ к порту управления с использованием telnet. Мы ж в 2016м году, как-никак.

Вы думаете, что, раз внутри Linux, вы просто отключаете сервис телнет, как в Солярисе, и телемаркет?

Как бы не так!

То, что вы подумали, было в версиях FOS до 5.2. После 5.2 у вас есть единственная возможность зарезать телнет. Заблокировать его посредством iptables. Да, под файром у вас останется работающий сервис - превед, XMas Tree!

Однако оставим это на совести Брокейда.

Нам надо любым способом вырубить телнет.

Итак, как мы это делаем?

Всегда правой:

 # Possible by firewall only  
 # (FOS above 5.2.x)  
 ipfilter --clone BlockTelnet -from default_ipv4   
 ipfilter --clone BlockTelnetipv6 -from default_ipv6  
   
 ipfilter --clone BlockTelnet -from default_ipv4  
 ipfilter --clone BlockTelnetipv6 -from default_ipv6  
 ipfilter -–delrule BlockTelnet -rule 2  
 ipfilter -–delrule BlockTelnetipv6 -rule 2  
 ipfilter -–addrule BlockTelnet -rule 2 -sip any -dp 23 -proto tcp -act deny  
 ipfilter -–addrule BlockTelnetipv6 -rule 2 -sip any -dp 23 -proto tcp -act deny  
   
 ipfilter --save BlockTelnet  
 ipfilter --save BlockTelnetipv6  
   
 ipfilter --activate BlockTelnet  
 ipfilter --activate BlockTelnetipv6  

Команды выполняются на свиче от имени пользователя admin.

PS. Таков Linux. То, что, казалось бы, можно сделать парой команд - надо выполнить обязательно играя на скрипке во время танца вприсядку со спущенными штанами, при этом скрипку надо держать двумя руками за спиной. :)))))) Зато самобытно и оригинально.  Привет, RMS! Троллейбус из буханки - это пипец как круто!

Слепой пулеметчик

Я, в общем, знал и раньше, что в Казахтелекоме работают фрики. Одно лишь позорище на весь мир с блокированием роликов Ютуба стоит всех цирков и шапито на свете.

Но вот чтобы такого!

Смотрите, мальчики и девочки. Смотрите очень внимательно на ссылки:


Итак, первое. Сайт не отвечает. В названии сайта присутствует словосочетание the san guy.

Картинка вторая - открываем ссылку через Тор. Казахтелеком, не надо звиздеть, что это-де техническая проблема со стороны сайта, через Тор все открывается:


А теперь - внимание, перевод:


Внимательно смотрим. guy - переводится "парень".

А вот то, что вы подумали - переводится так:



И, таким образом, фраза the san guy переводится не "СОЛНЕЧНЫЙ ГЕЙ", а "Парень, работающий с SAN".  А вот что означает слово SAN: https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D1%8C_%D1%85%D1%80%D0%B0%D0%BD%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

Фрики, вы фактически обозвали п*даром своего коллегу-айтишника из-за своего позорно низкого IQ. Мало того, что вы не знаете английского - который вам положено знать просто по умолчанию, вас еще и в гуглопереводчике забанили. Я понимаю, что вам не стыдно - дураки даже не осознают, что они дураки - но вы собственного минсвязи подставили. Да так, что, на его месте, я бы вас упрятал пожизненно с глаз долой. Дабы ваши гены не продолжились, не дай бог. А ваше заведение ему следовало бы переименовать в ОАО "Фрик-шоу". Ну и сайту домен зарегистрировать одноименный. www.freak-show.kz. Дарю идею.

четверг, 11 февраля 2016 г.

Вирус Зика вам не грозит

Да, вирус Зика не страшен некоторым странам. Потому, что он их уже поразил несколько поколений назад:

http://lenta.ru/news/2016/02/11/peskovinet/

Собственно, он еще пару-тройку стран с претензиями зацепил. Я бы сказал, что в Евразии пандемия.

Наверное, излишне будет упоминать, что Винтон Сёрф в гробу будет вертеться как пропеллер. Потому, что идеи разного рода деятелей от чучхе в принципе противоречат основополагающим концепциям Интернета: децентрализации, принципиальному отсутствию единой точки отказа, невозможности отключения больших сегментов даже в случае войны....

Напомнить, как целая страна с подобной организацией внешних шлюзов однажды со скандалом ушла в мировой оффлайн? Тупо из-за технической ошибки?

А сказать, сколько такие "центры обмена трафиком" стоят и какие специалисты там должны работать? Нет-нет, не ваши безмозглые племянники и племянницы, отнюдь.

Жертвам Зика и просто семимесячным объясню некоторые прописные истины.


  1. Чтобы в реальном времени шпионить за 140 миллионами граждан, да даже и просто за 14 миллионами (!) - требуется не просто большой датацентр. А начинка стоимостью как Боинг, целиком вырезанный из куска платины в натуральную величину. И - самое главное! - большой датацентр не означает автоматически наличие больших мозгов при нем. А они для решения такой задачи требуются по умолчанию. Заменить их анацефалами не получится. Не взлетит.
  2. При отказе такого центра - любого рода - вся нежно любимая страна разом оказывается в примерно в начале 19 столетия. Челябинский метеорит на жбан, заряд С-4 от любимых друзей, пьяный экскаваторщик - и вот уже Чебурнет тапки снимает в прихожке, здравствуй, пушистый северный зверь!
  3. Возвращаясь к цене вопроса. При голодающих гражданах и дохнущих раньше срока от бескормицы пенсионерах в отсутствие сколько-нибудь развитой экономики подобные траты на подобные цели - в масштабах платиновых Боингов - вызывают сомнения в здравости рассудка властей. Лучше бы штаны поддержали у своей страны. Иначе и вытирание ног об конституции не спасет в какой-то момент. А успеете-ли до аэропорта-то добежать, а?
  4. Болтовня о якобы заботе об интересах граждан/государства и.т.д и.т.п. - это не более, чем сотрясание воздуха в пользу бедных и неквалифицированных. Называя вещи своими именами - наведение тени на плетень.
  5. См. 1 пункт. Многие вещи просто не поддаются контролю. Априорно. Только полный запрет. И то - если есть большая мозги (с) "Звездные войны, 1 эпизод" и с большими оговорками по части полноты и надежности. Со ссылкой на п.2 - 19 век вперде при любом поползновении. Напоминаю анацефалам - в борьбе щита и меча на протяжении всей человеческой истории обычно побеждает меч. Но история же жертв Зика ничему не учит, верно?
  6. В странах с отсутствующей сколько-нибудь развитой высокой промышленностью и производством Интернет, по-сути, единственное и последнее средство в последнем отчаянном рывке и без устрашающе серьезных инвестиций вскочить в компанию стран второго мира - нет-нет, не первого, от первого вы навсегда отстали, поздно было уже 20 лет назад. Я не говорю о производстве истребителей - их кушать не станешь и к сети не подключишь. Добро пожаловать в 19 столетие, оно ждет своих ленников и сюзеренов посреди полей с растущей репой!
Понятно, что гениям кретинизма не спится. Понятно, что "Мы, клинические идиоты, двигаемся собственными путями и квадратные колеса - это как раз то, что нужно нам для самобытности и скорости перемещения".

Удивительно другое. У руководителей - даже самых тупых - обычно есть чужие мозги на жалованьи. Которые не дают своим патронам выглядеть полными недоумками. Если в своем черепе гуляет ветер - найми чужой, за умного сойдешь. Так нет же, неуклюжие отговорки прикормленных болтунов по связям с общественностью с пустотой между ушами.

Оффлайн уже лет 10 перемещается в онлайн, мир изменился; тот, кто плывет против течения - шурует в аккурат в каменный век и на задворки цивилизации; и лишь когда жареная птица долбанула в седалище, утырки, наконец, допетрили, что надо бы тяжелую лапку наложить, а то, невзначай, повторится октябрь 1917 года.

Причем все комментарии официальных лиц выглядят жалко, неубедительно и технически несостоятельно. Да-да, мы как-бы верим. Да-да, весь интернет подмять у вас кишка тонка, это действительно так. Но это единственная правда в вышеприведенном заявлении.

Все остальное - это свист. Собака брешет-ветер носит.

Но, господа, вы ж учебник истории-то за 7 класс откройте! В 1917 году никакого интернета не было в помине. Даже телефон-то был только на одной шестой части суши, причем не вашей части, а за Атлантическим океаном. Что произошло после выстрела "Авроры" и куда укатилась относительно великая держава в последующие 70 лет, я думаю, объяснять уже не стоит. Хоть сами себе-то не врите. За 70 лет в ж*пе вы классно обустроились, но оное место не переместилось на противоположный конец туловища. Да и СССР тотальная прослушка телефонной сети трёхбуквенными не сильно-то спасла.

История учит трижды. Время контрольного выстрела. Для недоумков. В голову.

"Если историю не учите, ее - повторите!"
"Если историю не учите, ее - повторите!"
"Если историю не учите, ее - повторите!"