Category Archives: Security

Безопасность операционных систем и сетей.

OpenBSD: установка NGINX и настройки безопасности

12/14/2016
 

 Задача – запустить EC2 с OpenBSD, установить NGINX, добавить настройки для его безопасной работы. Позже – сюда же можно добавить Fail2ban, PSAD и AIDE. Кроме того – у AWS имеется сервис AWS WAF (Amazon Web App Firewall), пример его использования можно найти тут>>>. Описание создания EC2 и сети можно найти тут>>>. OpenBSD basic security Аккаунты,… Read More »

SSH: ssh-copy-id – Permission denied

09/27/2016
 

 При копировании RSA-ключа – ошибка: $ ssh-copy-id -i ssh/id_rsa.pub chef@192.168.33.10 /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed — if you are prompted now it is to install the new keys Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

Chrome: убрать HTTPS редирект

09/21/2016
 

 RTFM на старом сервере работает по 80 порту, HTTP. Каждый раз после изменения /etc/hosts, для того что бы зайти на старую копию блога – Chromium выполняет переадресацию на HTTPS 443. Вызывается такая передресация заголовками STS (Strict-Transport-Security) для HTTP (HSTS): … Strict-Transport-Security:max-age=15768000 Strict-Transport-Security:max-age=31536000; includeSubdomains …

Chef: knife-solo – ERROR: Net::SSH::HostKeyMismatch

09/12/2016
 

 Во время провижена только что созданного EC2-инстанса – knife останавливается с ошибкой: … [10:33:03]Step 1/1: knife solo boot (Command Line) (3s) [10:33:04][Step 1/1] Starting: /var/www/vhosts/setevoy/teamcity.setevoy.org.ua/buildAgent/temp/agentTmp/custom_script1505268535412481695 [10:33:04][Step 1/1] in directory: /var/www/vhosts/setevoy/teamcity.setevoy.org.ua/buildAgent/work/e257adbd87862bf6 [10:33:07][Step 1/1] Bootstrapping Chef… [10:33:07][Step 1/1] ERROR: Net::SSH::HostKeyMismatch: fingerprint dd:f8:49:30:bc:d8:62:e7:61:16:7e:18:44:bf:03:68 does not match for “dev-lecture.setevoy.org.ua,52.17.205.86” [10:33:07][Step 1/1] Process exited with code 100 [10:33:07][Step 1/1] Step knife… Read More »

TLS/SSL: NGINX – подключение wildcard-сертификата от Comodo

08/31/2016
 

 Имеется набор файлов сертификатов, переданные нам из другого агентства, где приложение работало на Windows-сервере в Azure: root@jgr-gw:~/CERTS# ls -l total 96 -rw-r–r– 1 root root 1521 Mar 2 2015 AddTrustExternalCARoot.crt -rw-r–r– 1 root root 7521 Mar 2 2015 Backup_SSLCertificate_STARmeistercom_20150302_0503PM.pfx -rw-r–r– 1 root root 20 Mar 2 2015 Backup_SSLCertificate_STARmeistercom_Password.txt -rw-r–r– 1 root root 1952 Mar 2… Read More »

TLS/SSL: openssl – извлечь KEY и CRT из PFX

08/10/2016
 

 Имеется набор файлов сертификатов, переданные нам из другого агентства, где приложение работало на Windows-сервере в Azure: # ls -l total 68 -rw-r–r– 1 root root 1521 May 30 2000 AddTrustExternalCARoot.crt -rw-r–r– 1 root root 1952 May 30 2000 COMODORSAAddTrustCA.crt -rw-r–r– 1 root root 2151 Feb 12 2014 COMODORSADomainValidationSecureServerCA.crt -rw-r–r– 1 root root 5623 Oct 28… Read More »

Linux: SSH туннель для браузера

05/19/2016
 

 Быстрая “напоминалка” – как поднять туннель для браузера в Linux: $ ssh -D 3033 username@hostname.tld -p 2222 Тут: -D: собственно, опция указывающая на создание туннеля: “Specifies a local “dynamic” application-level port forwarding.” -p: порт удаленного сервера SSH для подключения (по умолчанию 22, но всегда лучше изменить его, см. больше в SSH: управление ограничениями доступа к… Read More »

SSH: авторизация по ключам – пример

05/14/2016
 

 Быстрая HowTo. Более полный вариант – в посте SSH: авторизация по ключам. Генерируем ключ: $ ssh-keygen -t rsa -f .ssh/service_id Generating public/private rsa key pair. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in .ssh/service_id. Your public key has been saved in .ssh/service_id.pub. The key fingerprint is: a3:18:00:75:2a:6f:99:8f:ab:b4:c0:dd:58:da:84:ed setevoy@host… Read More »

TLS/SSL: NGINX – настройка SSL от Let’s Encrypt на Debian 8

04/12/2016
 

 Let’s Encrypt – относительно новый Certificate Authority (CA) провайдер, который раздает TLS/SSL сертификаты бесплатно. На сегодня – Let’s Encrypt еще в открытой бете, однако работает. Не хватает поддержки NGINX и виртуальных хостов – но доделают. Пока – подключим Let’s Encrypt и NGINX с помощью плагина Webroot. Схема того, как работает Let’s Encrypt и NGINX: