Если проверить любой AWS Application LoadBalancer с сертификатом из AWS Certificate Manager с настройками HTTPS Listener по-умолчанию — то получим уровень В, что, конечно, не слишком красиво: Основная «претензия» SSL Labs — поддержка версий TLS 1.0 и 1.1, которые уже считаются устаревшими. AWS LoadBalancer SecurityPolicy и версии TLS За поддерживаемые версии SSL/TLS в AWS отвечают… Читать далее »
Отвалился один из сайтов, начал падать с ошибкой Connection reset. По конфигам NGINX всё хорошо, должен работать. В логах ошибок NGINX тоже пусто, конфиги PHP-FPM правильные. Проверяем curl-ом: Причина Так как ошибка выше прилетает от SSL_connect, то первая мысль — проверить сертификат, хотя если бы он проекспайрился — ошибка была бы другая. Тем не менее,… Читать далее »
Имеется Docker-образ с установленным Git. Задача — во время запуска контейнера склонировать в него репозиторий. git clone — fatal: unable to fork Во время попытки выполнения git clone в Docker-контейнере — получаем ошибку «unable to fork«: Причина — тут git для аутентификации использует SSH (git@github.com), которого нет в системе: Устанавливаем: The authenticity of host ‘github.com’… Читать далее »
Сейчас у меня KeePass используется как менеджер паролей, хранилище RSA-ключей и в роли Freedesktop SecretService, см. пост KeePass: настройка MFA, хранение паролей браузера, паролей SSH ключей и интеграция Secret Service. Первая проблема применения KeePass в роли SecretService заключается в том, что у меня его база синхронизируется между компьютерами (просто хранится в Dropbox), и он каждый… Читать далее »
Итак, наверно уже завершающая часть всего этого мерлезонского балета. Предыдущие части, с которых «всё начиналось»: Linux: Nextcloud клиент, qtkeychain и ошибка «The name org.freedesktop.secrets was not provided by any .service files» — увидел, что в keyring сервисе можно хранить пароли от SSH ключей — узнал, что Chromium хранит пароли «незашифрованными» Linux: KeePass, SSH и хранение… Читать далее »
Очень длиннопост получился. Я долго думал — собирать ли всё в одном посте, или всё-таки разбить на несколько, ведь с одной стороны keyrings — это одна тема, D-Bus — другая, а примеры работы с SecretServices — вообще третья. Тем не менее — решил всё-таки оставить в одном, так как со всем этим разбирался по ходу… Читать далее »
В продолжение поста об SSH-ключах и их менеджменте на Linux (см. SSH: RSA-ключи и ssh-agent — управление SSH-ключами и их паролями). Задача заключается в том, что бы упростить работу с ключами, которые требуют ввода пароля для их использования — когда ключей много, то вводить каждый раз пароль может быть реальной головной болью. Одним из вариантов… Читать далее »
По ходу настройки keyring для Nextcloud-клиента (см. Linux: Nextcloud клиент, qtkeychain и ошибка «The name org.freedesktop.secrets was not provided by any .service files») — решил навести порядок в своих SSH-ключах, которых много, и аутентификация иногда преврашается в достаточно геморройный процесс. В целом, для упрощения работы можно использовать системное хранилище секретов — gnome-keyring, либо KeeyPassXC, про… Читать далее »
Давно уже начали получать письма о том, что надо обновить CA сертификаты, всё было некогда. Пора сделать, выполним на Dev сервере, потом повторим на Staging и Production. Мы используем обычный RDS MariaDB, документация по обновлению тут>>>. Процесс очень простой, занимает несколько минут, особенно, если вы не используете SSL между клиентами и RDS. У нас, например,… Читать далее »
Для Okta можно настроить собственный домен, который будет в дальнейшем использоваться для настройки аутентификации. Единсвенный нюанс — это то, что сам плагин Okta не поддерживает работу с custom domain, см. документацию. Настройка custom domain Переходим в Settings > Customization: Пролистываем вниз, до Custom URL Domain: Кликаем Get Started, указываем домен, в данном случае okta.example.com: Okta… Читать далее »