После авторизации клиента передача данных между клиентом и сервером MySQL/MariaDB происходим в открытом виде, т.е. plaintext. Если клиент и сервер расположены не на одном хосте и/или не в одной приватной сети – то данные, соответственно, можно перехватить и прочитать. Проверка plaintext Проверим это. Создаём тестовую базу: [simterm] MariaDB [(none)]> create database ssltest; Query OK, 1 row… Читать далее »
Пример использования SSH туннеля для обхода офисного фаервола, что бы послушать радио. Во время работы нравится слушать https://hirschmilch.de, но есть проблема: их радио-сервер работает на порту 7000, доступ к которому из офиса закрыт. Содержимое playlist-файла: NumberOfEntries=1 File1=http://hirschmilch.de:7000/prog-house.mp3 Title1=Hirschmilch prog-house Length1=-1 Version=2 Решение: поднимем SSH-туннель, который локально будет слушать порт 7000, и пробрасывать трафик через удалённый сервер… Читать далее »
Предыдущий пост серии – Ansible: миграция RTFM 2.9 – монтирование EBS и настройка NGINX на Bastion. Сегодня надо выполнить установку и настройку: Let’s Encrypt SSL на NGINX и виртуалхоста (пока только dev.rtfm.co.ua) hostname exim Ссылки на коммиты файлов, получившиеся в результате написания этого поста: roles/letsencrypt/tasks/main.yml rtfm-blog-ansible-bastion-provision.yml roles/nginx/templates/nginx.conf hosts roles/common/tasks/main.yml roles/exim/templates/update-exim4.conf.conf.j2 roles/exim/templates/mailname.j2 roles/exim/tasks/main.yml
Примеры подключения Ansible через Bastion хост (или jump-host) в публичной сети к EC2 в приватной сети. По теме – SSH: подключение в приватную сеть через Bastion и немного про Multiplexing (только тут для .ssh/config используем ProxyJump вместо ProxyCommand, доступна в OpenSSH 7.3 и выше). Для примера используем Bastion хост в публичной сети и DB хост в приватной… Читать далее »
Начали приходить уведомления об ошибках обновления сертификатов для некоторых dev-доменов, надо поудалять неиспользуемые сертификаты. Документация – тут>>>.
AWS Certificate Manager (ACM) позволяет создавать и управлять SSL сертификатами для сайтов и приложений в AWS. С его помощью можно получить новый сертификат – или загрузить и использовать свой. Документация по ACM – тут>>>. Задача: создать хостинг статического сайта в AWS S3, отдавать контент через CDN CloudFront, получить SSL в AWS ACM для двух имён и… Читать далее »
Задача – развернуть Jenkins и Docker Private registry в Китае, на AWS. Аналогичные посты – тут>>> и тут>>>, только в этом посте всё собрано в одно целое и упорядочено. К EC2 будут подключены два EBS – один с данными Jenkins, второй – с данными Docker. Для Docker registry в качестве хранилища используем AWS S3. Далее в посте: создадим… Читать далее »
Имеется сервер с доступом к порту 22 с домашнего IP – это будет rtfm-bastion. За ним, в приватной сети, есть сервер баз данных, доступ к которому разрешён только с bastion хоста – это будет rtfm-db. Задача: подключаться к серверу баз данных “напрямую”, без дополнительных команд на бастион-хосте (вообще это надо будет для Ansible, но можно… Читать далее »
Во время установки и получения сертификата с помощью Ansible – возник вопрос с доступом к серверу для верификации, т.к. доступ к портам 80 и 443 ограничен на уровне Azure Network Security Group. Для certbot можно было бы использовать manual верификацию через DNS – но тут требовалось или ручная обработка, или боль с Azure DNS API… Читать далее »
Устанавливаем AWS CLI: $ sudo pacman -S aws-cli Настраиваем именованный профиль: [simterm] $ aws configure –profile tag AWS Access Key ID [None]: AKI***EBA AWS Secret Access Key [None]: +Pw***5l5 Default region name [None]: eu-west-1 Default output format [None]: json [/simterm] Проверяем имеющиеся сертификаты: [simterm] $ aws –profile tag iam list-server-certificates { “ServerCertificateMetadataList”: [ … {… Читать далее »