Сообщения stranger-ru

Проблема с SSL-сертификатом от Let's Encrypt

Форум — Web-development

Всем привет.

Установил сертификат от Let's Encrypt на сайт examle.ru (домен как пример), как обычно, через Certbot

Открываю в браузере (инкогнито):

example.ru - норм
https://example.ru - норм
www.example.ru - норм
https://www.example.ru - НЕ НОРМ, а именно:

Подключение не защищено NET::ERR_CERT_COMMON_NAME_INVALID
Не удалось подтвердить, что это сервер www.example.ru. Его сертификат безопасности относится к example.ru. Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные.

получил второй сертификат для http://www.example.ru, прописал его в конфигурационном файле вирт. хоста NGINX Открываю в браузере (инкогнито):

www.example.ru - норм
https://www.example.ru - норм
example.ru - норм
https://example.ru - НЕ НОРМ, а именно:

Подключение не защищено NET::ERR_CERT_COMMON_NAME_INVALID
Не удалось подтвердить, что это сервер example.ru. Его сертификат безопасности относится к www.example.ru. Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные.

Подскажите пжл, что за Х?

letsencrypt, nginx, ssl

stranger-ru
(07.06.21 13:38:41 MSK)

3 комментария

.htaccess редирект

Форум — Web-development

Всем привет.

Через .htaccess нужно реализовать: https://site.ru/catalog/index.php - редирект на https://site.ru/catalog/ - т.е. без index.php

но при этом, если хотя бы https://site.ru/catalog/index.php? - то не редиректить по предыдущему условию.

По первому условию, конечно все гораздо просто:

RewriteCond %{REQUEST_METHOD} =GET
RewriteCond %{REQUEST_URI} ^(.*)/index.php$
RewriteRule ^(.*)$ %1/ [R=301,L]

но как соблюсти второе при этом?

apache, htaccess

stranger-ru
(27.06.20 20:32:14 MSK)

4 комментария

Не запускается MySql

Форум — General

Всем привет.

Сегодня по непонятным причинам упал MySQL и не хочет запускаться.

#journalctl -xe

Oct 30 09:58:50 bx sshd[8601]: reverse mapping checking getaddrinfo for drone.xulepth.fr [46.105.124.52] fa
Oct 30 09:58:50 bx sshd[8601]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh r
Oct 30 09:58:50 bx sshd[8601]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Oct 30 09:58:51 bx mysqld[8573]: Unable to determine if daemon is running: Success
Oct 30 09:58:51 bx systemd[1]: mysqld.service: control process exited, code=exited status=1
Oct 30 09:58:51 bx systemd[1]: Failed to start MySQL Server.
-- Subject: Unit mysqld.service has failed
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit mysqld.service has failed.
-- 
-- The result is failed.
Oct 30 09:58:51 bx systemd[1]: Unit mysqld.service entered failed state.
Oct 30 09:58:51 bx systemd[1]: mysqld.service failed.
Oct 30 09:58:51 bx systemd[1]: mysqld.service holdoff time over, scheduling restart.
Oct 30 09:58:51 bx systemd[1]: Stopped MySQL Server.

подскажите пжл, куда копать ((

mysqld

stranger-ru
(30.10.19 10:05:31 MSK)

12 комментариев

Apache 2.2 вынести метод OPTIONS из авторизации

Форум — General

Всем привет.

На сервере стоит Apache 2.2 на нем веб-публикация 1С (работает через базовую авторизацию). С клиента (axios) на другом сервере, летят запросы, т.к. CORS, то перед каждым запросом (GET, POST и т.д.) делается запрос методом OPTIONS, без указания заголовка Authorization, в итоге эти запросы OPTIONS отваливаются с 401.

Можно ли как-то средствами конфигурации Apache 2,2 сделать подобно, как это можно решить в Apache 2.4:

<LimitExcept OPTIONS>
  Require valid-user
</LimitExcept>

apache

stranger-ru
(11.07.19 22:07:30 MSK)

Проблемы с доступностью домена

Форум — General

Есть сайт (домен), который вчера и по текущее время перестал открываться из браузера, причем странная фигня:

Из браузера (пробовали из нескольких городов России) недоступен, при этом из-за бугра все норм, доступен.
С локальной машины Windows через консоль пингуется нормально и с другой машины Linux через traceroute -I site.ru - пакеты идут до конечного сервера.
На локальной машине в hosts прописываю IP другой машины для данного домена, все равно из браузера нет доступа, из консоли опять же пингуется нормально и через traceroute -I site.ru тоже все норм.
Ну и наконец на локальной машине через VPN-сеть тоже все нормально работает.
При этом все субдомены (поддомены) данного домена работают нормально везде.

В итоге, такое впечатление, что Российские провайдеры режут доступ к адресу домена, не пойму что за фигня, в первый раз такое вижу.

Подскажите пжл, куда копать?

домен

stranger-ru
(29.05.19 09:30:10 MSK)

9 комментариев

Не работает OpenVPN

Форум — General

/** Centos 7 **/

Всем привет.

Конфигурация /etc/openvpn/server.conf:

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key  # This file should be kept secret
dh /etc/openvpn/dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-crypt /etc/openvpn/myvpn.tlsauth
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
remote-cert-eku "TLS Web Client Authentication"

Запуск VPN-сервера:

[root@201197 ~]# openvpn /etc/openvpn/server.conf
Fri Apr  5 17:45:14 2019 OpenVPN 2.4.7 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Feb 20 2019
Fri Apr  5 17:45:14 2019 library versions: OpenSSL 1.0.2k-fips  26 Jan 2017, LZO 2.06
Fri Apr  5 17:45:14 2019 Diffie-Hellman initialized with 2048 bit key
Fri Apr  5 17:45:14 2019 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Fri Apr  5 17:45:14 2019 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Fri Apr  5 17:45:14 2019 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Fri Apr  5 17:45:14 2019 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Fri Apr  5 17:45:14 2019 TUN/TAP device tun0 opened
Fri Apr  5 17:45:14 2019 TUN/TAP TX queue length set to 100
Fri Apr  5 17:45:14 2019 /sbin/ip link set dev tun0 up mtu 1500
Fri Apr  5 17:45:14 2019 /sbin/ip addr add dev tun0 10.8.0.1/24 broadcast 10.8.0.255
Fri Apr  5 17:45:14 2019 Could not determine IPv4/IPv6 protocol. Using AF_INET
Fri Apr  5 17:45:14 2019 Socket Buffers: R=[212992->212992] S=[212992->212992]
Fri Apr  5 17:45:14 2019 UDPv4 link local (bound): [AF_INET][undef]:1194
Fri Apr  5 17:45:14 2019 UDPv4 link remote: [AF_UNSPEC]
Fri Apr  5 17:45:14 2019 GID set to nobody
Fri Apr  5 17:45:14 2019 UID set to nobody
Fri Apr  5 17:45:14 2019 MULTI: multi_init called, r=256 v=256
Fri Apr  5 17:45:14 2019 IFCONFIG POOL: base=10.8.0.2 size=252, ipv6=0
Fri Apr  5 17:45:14 2019 IFCONFIG POOL LIST
Fri Apr  5 17:45:14 2019 Initialization Sequence Completed

Висит минут 5 и далее:

Fri Apr  5 17:49:22 2019 188.170.175.91:3712 TLS: Initial packet from [AF_INET]188.170.175.91:3712, sid=a6471a08 704d2771
Fri Apr  5 17:49:28 2019 188.170.175.91:3712 TLS: new session incoming connection from [AF_INET]188.170.175.91:3712
Fri Apr  5 17:49:33 2019 188.170.175.91:3712 TLS: new session incoming connection from [AF_INET]188.170.175.91:3712

При попытке подключиться с клиента (Windows 10), запуск с правами Администратора, в журнале:

Fri Apr 05 17:49:22 2019 NOTE: --user option is not implemented on Windows
Fri Apr 05 17:49:22 2019 NOTE: --group option is not implemented on Windows
Fri Apr 05 17:49:22 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Feb 21 2019
Fri Apr 05 17:49:22 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Apr 05 17:49:22 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Enter Management Password:
Fri Apr 05 17:49:22 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]89.223.27.230:1194
Fri Apr 05 17:49:22 2019 UDP link local (bound): [AF_INET][undef]:1194
Fri Apr 05 17:49:22 2019 UDP link remote: [AF_INET]89.223.27.230:1194
Fri Apr 05 17:49:23 2019 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Fri Apr 05 17:49:23 2019 TLS_ERROR: BIO read tls_read_plaintext error
Fri Apr 05 17:49:23 2019 TLS Error: TLS object -> incoming plaintext read error
Fri Apr 05 17:49:23 2019 TLS Error: TLS handshake failed
Fri Apr 05 17:49:23 2019 SIGUSR1[soft,tls-error] received, process restarting
Fri Apr 05 17:49:28 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]89.223.27.230:1194

Подскажите пжл, в чем может быть дело?

openvpn

stranger-ru
(05.04.19 18:03:07 MSK)

12 комментариев

Ошибка подключения OpenVPN

Форум — General

Всем привет!

Ставил OpenVPN-сервер по этой статье на Centos 7: https://www.8host.com/blog/nastrojka-servera-openvpn-v-centos-7/ все сделано точь-в-точь по данной статье.

На Windows10 машине стоит OpenVPN-клиент, не подключается, в журнале подключения:

Wed Apr 03 01:54:22 2019 NOTE: --user option is not implemented on Windows
Wed Apr 03 01:54:22 2019 NOTE: --group option is not implemented on Windows
Wed Apr 03 01:54:22 2019 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017
Wed Apr 03 01:54:22 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Apr 03 01:54:22 2019 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Wed Apr 03 01:54:22 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]89.223.25.230:1194
Wed Apr 03 01:54:22 2019 UDP link local (bound): [AF_INET][undef]:1194
Wed Apr 03 01:54:22 2019 UDP link remote: [AF_INET]89.223.25.230:1194
Wed Apr 03 01:54:31 2019 SIGTERM[hard,] received, process exiting

Подскажите пжл, в чем может быть дело?

openvpn

stranger-ru
(03.04.19 02:44:42 MSK)

2 комментария

Доменная почта Яндекс - PTR запись.

Форум — General

Всем привет!

Есть VPS, на нем крутится сайт и настроена отправка почты через MSMTP (с доменного ящика сайта), почта отправляется через почтовый сервер «Яндекс доменная почта».

Вопрос: В PTR-записе на VPS указывать IP самого VPS (с которого отправляется почта), или IP яндекс сервера Яндекса (через который отправляется почта) - связывать домен с каким сервером?

ptr, почта

stranger-ru
(28.03.19 16:06:22 MSK)

4 комментария

cURL - не хочет работать с анонимными прокси

Форум — General

Всем привет.

Скачал список анонимных проксей.

Пытаюсь прогнать их в скрипте:

#!/bin/bash

readarray ARR < vipsocks.txt
for serv in ${ARR[@]}; do
echo $serv
curl --socks5 $serv --head https://ya.ru
done

не проходят запросы, отваливаются с:

curl: (7) Unable to receive initial SOCKS5 response.
1.0.208.51:4145
curl: (7) Failed connect to 1.0.208.51:4145; Connection refused
1.0.211.82:4145
curl: (7) Unable to receive initial SOCKS5 response.
1.0.247.146:4145
curl: (7) Unable to receive initial SOCKS5 response.
1.1.172.188:4145
curl: (7) Failed connect to 1.1.172.188:4145; Connection refused
1.1.175.61:4145
curl: (7) Failed connect to 1.1.175.61:4145; Connection refused
1.1.182.150:4145
curl: (7) Unable to receive initial SOCKS5 response.
1.1.216.29:13629
curl: (7) Unable to receive initial SOCKS5 response.
1.1.228.226:4145
curl: (7) Failed connect to 1.1.228.226:4145; Connection refused

Пробовал эти же прокси в тулзе под Виндой, работают.

Что не так?

curl, proxy

stranger-ru
(18.03.19 17:46:53 MSK)

4 комментария

Конкурс на взлом Сhroot-окружения

Форум — General

Всем привет.

Для тех у кого есть время и опыт по теме «вырваться из chroot и получить root» - небольшой конкурс:

VPS с самым обычным Сhroot-окружением:

--- SSH/SFTP -------------
IP: 89.223.95.193 
Порт: 22
Логин (chroot-пользователя): bitrix 
Пароль (chroot-пользователя): FkR1C~!1
---------------------------

В качестве небольшого вознаграждения - приз 500 руб. )))

Первый, кому удасться «вырваться из chroot и получить root», в корне системы «/» из под root, создает файл «ya-sdelal-vas», в котором оставляет номер своего кошелька Яндекс, Webmoney или Qiwi - куда отправить вознаграждение. И далее «poweroff», чтобы последующие участники не переписали файл с реквизитами для оплаты и после не было вопросов, кто был первым.

VPS будет доступен в течении 2-х недель, не проходим мимо, принимаем участие!

chroot

stranger-ru
(11.03.19 19:42:25 MSK)

43 комментария

Безопасность chroot-окружения для мини-хостинга.

Форум — General

Всем привет.

На одной VPS делаю мини-хостинг - несколько пользовательских аккаунтов, у каждого свои сайты.

Чтобы разграничить доступ и не дать возможности свободно гулять по системе, сделал chroot для каждого из них, по мотивам однотипных статей ssh/sftp chroot, которых много на просторах инета. Сделал это для:

- Для работы по SSH нужно им дать возможность выполнять ТОЛЬКО: ls, cd, rm, mkdiv, cp, tar и подобные команды + делать дампы баз данных через mysqldump

- Для работы по SFTP нужно запереть пользователя в его дом. директории с его сайтами.

Но задался вопросом, насколько это безопасно, если кто-то попытается выйти за пределы chroot, то получат root-права и далее все вытекающие из этого последствия или не так все страшно?

Если не chroot (хотя кроме вопроса безопасности он меня вполне устраивает), то может лучше LXC, или это перебор для таких задач?

Подскажите пжл, только пжл не предлагайте простой способ настройки прав на директории и файлы без какого-либо доп. ограничения перемещения пользователей по системе.

А может я просто начитался страшилок и в плане моих задач SSH chroot вполне безопасен?

chroot

stranger-ru
(07.03.19 00:41:54 MSK)

13 комментариев

Lshell для Centos 7

Форум — General

Всем привет.

Извиняюсь наверное за тупой вопрос. Раньше на Centos 6 пользовал Lshell (это подобие chroota). Но позже вроде признали данную тулзу дырявой, а может и не признали - но в общем под Centos 7 не могу нигде найти ее, репозиторий. Может кто ставил на центос 7 ее, подскажите?

chroot

stranger-ru
(04.03.19 23:03:21 MSK)

3 комментария

Proftpd ругань

Форум — General

Centos7

Всем привет.

В конфигурационном файле Proftpd:

<IfModule mod_sftp.c>
    SFTPEngine on
    Port 2222
    SFTPLog /var/log/proftpd/sftp.log
    SFTPHostKey /etc/ssh/ssh_host_rsa_key
    SFTPHostKey /etc/ssh/ssh_host_dsa_key
    SFTPCompression delayed
</IfModule>

при попытке запуска ошибка:

fatal: SFTPHostKey: unable to use '/etc/ssh/ssh_host_rsa_key' as host key, as it is group- or world-accessible on line 122 of '/etc/proftpd.conf'

При этом /etc/ssh/ssh_host_rsa_key существует.

Подскажите, с чем может быть связана проблема?

proftpd

stranger-ru
(04.03.19 21:01:42 MSK)

5 комментариев

Скрыть директории sftp ssh (chroot)

Форум — General

Всем привет.

/*** Centos 7 ***/

Для chroot в домашнюю директорию копируются приложения и библиотеки. Теперь когда chroot-пользователь заходит (ssh, sftp), то он в своей домашней директории видит: /usr, /bin, /etc и т.д.

Можно ли как то скрыть эти директории от него?

chroot

stranger-ru
(17.02.19 04:38:05 MSK)

11 комментариев

chroot sftp Centos 7

Форум — Admin

useradd sftp_tst1
passwd sftp_tst1
vi /etc/ssh/sshd_config

в нем:

# Закомментировал 
#Subsystem sftp /usr/libexec/openssh/sftp-server
# Добавил
Subsystem sftp internal-sftp

Match User sftp_tst1
	AllowTcpForwarding no
	ChrootDirectory %h
	ForceCommand internal-sftp

chmod 700 /home/sftp_tst1
chown root:root /home/sftp_tst1
systemctl restart sshd

Пробую подключиться, получаю ошибку: fatal: bad ownership or modes for chroot directory component "/home/sftp_tst1/" [postauth]

Подскажите пжл, что не так?

sftp

stranger-ru
(16.02.19 03:10:52 MSK)

2 комментария

.htaccess перенаправление с :80

Форум — Web-development

Всем привет.

Подскажите пжл, как через .htaccess сделать редирект с: `http://site.ru:80/catalog/` `http://site.ru:80/about/` и т.д. на: `http://site.ru/catalog/` `http://site.ru/about/` и т.д.

apache, htaccess, rewrite

stranger-ru
(04.12.18 19:37:36 MSK)

11 комментариев

Подскажите с вариантами подключения

Форум — Admin

Приветствую всех.

Есть:

1. Сервер CentOS за пределами корпоративной локальной сети
2. Сервер Windows с сервером 1С в корпоративной локальной сети
3. Комп Windows (с динамическим внешним IP) с тонким клиентом 1С, который подключается к серверу 1С.

Нужно: На сервере CentOS поднять веб-публикацию 1С, при этом нужно как то получить доступ к серверу 1С не напрямую (т.к. на нем нет разрешения ставить какое либо ПО или открывать доступ из вне), а через Комп Windows (именно на нем будет разрешено подключение из вне), который находится в одной локальной сети с сервером 1С.

Т.е. приблизительно вижу так:

1. На корпоративном компе Windows (п.3 выше) ставится сервер VPN (OpenVPN или SoftEthe)
2. На сервере CentOS (п.1 выше) ставятся все необходимые компоненты для поднятия веб-публикации 1С и клиент VPN (OpenVPN или SoftEthe) для соединения с корпоративным компом Windows (п.3 выше)

и вот далее непонятно. Нужно как то при публикации базы 1С с указанием IP (VPN) компа Windows (п.3 выше), как то добраться до сервера 1С (п.2 выше) в корпоративной локальной сети.

Подскажите пжл, какой будет лучшая реализация данной задачи?

network, vpn

stranger-ru
(08.02.18 00:12:24 MSK)

6 комментариев

Какой софт лучше выбрать для прокидывания порта

Форум — Admin

Приветствую всех.

Есть:

1. Машина Win с динамическим внешним ip - на ней стоит Apache.
2. Есть машина CentOS7 со статическим внешним ip - на ней стоит Nginx

нужно - кидать http-запрос на машину CentOS7, далее Nginx должен перенаправлять запрос к машине Win на Apache, далее Apache отдает ответ назад Nginx, Nginx ответ конечному пользователю сделавшему запрос.

Какой вариант будет самым приемлемым, лучшим в плане простоты настройки, надежности связи без обрывов, быстродействия - пока что выделил из возможных SSH-туннель на машине Win и OpenVPN.

Самое главное - почему вообще такая схема - это потому, что на машине Win динамический внешний ip, а нужно из вне стабильно отправлять Http-запросы.

apache, http, nginx, openvpn, ssh tunnel

stranger-ru
(31.01.18 14:49:38 MSK)

8 комментариев

Создание ключей и сертификатов в Easy-rsa 3.0.3 для OpenVPN

Форум — Admin

Приветствую.

Решил поставить сервер OpenVPN, нашел хороший мануал:

https://1cloud.ru/help/linux/kak-ustanovit-i-nastroit-openvpn-na-centos7.

На «Шаг #3: Создание ключей и сертификатов» все хорошо описано, но там описание для Easy-rsa 2.x версии, а у меня поставилась Easy-rsa 3.0.3 - там все иначе. Подскажите пожалуйста, как сделать все то, что описано в мануале «Шаг #3: Создание ключей и сертификатов», но только для 3.0.3. Нашел мануал https://community.openvpn.net/openvpn/wiki/EasyRSA3-OpenVPN-Howto но нифига не могу понять, какие шаги и как нужно сделать.

Выполнит только первые две команды:

./easyrsa init-pki
./easyrsa build-ca

easy-rsa, openvpn

stranger-ru
(28.01.18 01:31:11 MSK)

70 комментариев (стр. 2)

Можно ли реализовать такую публикацию 1С

Форум — Admin

Первая машина - Windows c динамическим внешним IP, на ней стоит 1С:Предприятие (файловый режим). Вторая машина - CentOS со статическим внешним IP.

Нужно на второй машине поднять веб-публикацию базы 1С с первой машины, с учетом того, что на первой машине внешний IP останется динамическим и база останется в файловом режиме. Т.е. в итоге из браузера обращаемся к статическому IP второй машины, в ответ открывется веб-публикация базы 1С на первой машине. Скажите, можно ли это реализовать?

1с, centos, windows

stranger-ru
(26.01.18 15:52:34 MSK)

9 комментариев

следующие →

RSS подписка на новые темы