Category Archives: Security

Безопасность операционных систем и сетей.

Docker: запуск registry server

06/21/2017
 

 Имеется инфрастуктура в Китае (AWS [China]: начало) В настоящий момент – билд выполняется в Европе, образы пушатся в JFrog Artifactory в той же Европе, а потом пулятся на инстансы в Китайском AWS (cn-north-1). Задача – поднять Jenkins и Docker registry сервер в Китае. Сначала поднимем его на локалхосте, протестируем, потом добавим SSL, внешний домен и авторизацию.… Read More »

C: libssh – пример SSH-“клиента”

05/26/2017
 

 Ниже рассматривается пример написания SSH-клиента на C с использованием libssh. Сама библиотека libssh уже устарела, и вместо неё рекомендуется libssh2. Сравнение libssh и libssh2 есть тут>>>. Тем не менее у libssh отличные примеры (которые и используются в примерах ниже с небольшими отличаями) и документация, поэтому использую её. RFC 4251 в SSH Protocol Architecture описывает три основных… Read More »

Azure: Application Gateway, CDN и SSL

04/04/2017
 

 Задача – поднять Azure Application Gateway с поддержкой HTTPS. Пост достаточно кратенький, без обзора, просто HowTo. Имеется CDN, за которым находится Traffic Manager. CDN работает по HTTPS, с сертификатом от DigiCert, который выдаётся при добавлении CustomDomain для CDN-endpoint-а. Для того, что бы CDN по HTTPS мог получить данные с бекенда (VMSS с Docker Swarm-нодами в нашем случае)… Read More »

OpenBSD: установка NGINX и настройки безопасности

12/14/2016
 

 Задача – запустить EC2 с OpenBSD, установить NGINX, добавить настройки для его безопасной работы. Позже – сюда же можно добавить Fail2ban, PSAD и AIDE. Кроме того – у AWS имеется сервис AWS WAF (Amazon Web App Firewall), пример его использования можно найти тут>>>. Описание создания EC2 и сети можно найти тут>>>. Базовые пакеты для установки:… Read More »

SSH: ssh-copy-id – Permission denied

09/27/2016
 

 При копировании RSA-ключа – ошибка: $ ssh-copy-id -i ssh/id_rsa.pub chef@192.168.33.10 /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed — if you are prompted now it is to install the new keys Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

Chrome: убрать HTTPS редирект

09/21/2016
 

 RTFM на старом сервере работает по 80 порту, HTTP. Каждый раз после изменения /etc/hosts, для того что бы зайти на старую копию блога – Chromium выполняет переадресацию на HTTPS 443. Вызывается такая передресация заголовками STS (Strict-Transport-Security) для HTTP (HSTS): … Strict-Transport-Security:max-age=15768000 Strict-Transport-Security:max-age=31536000; includeSubdomains …

Chef: knife-solo – ERROR: Net::SSH::HostKeyMismatch

09/12/2016
 

 Во время провижена только что созданного EC2-инстанса – knife останавливается с ошибкой: … [10:33:03]Step 1/1: knife solo boot (Command Line) (3s) [10:33:04][Step 1/1] Starting: /var/www/vhosts/setevoy/teamcity.setevoy.org.ua/buildAgent/temp/agentTmp/custom_script1505268535412481695 [10:33:04][Step 1/1] in directory: /var/www/vhosts/setevoy/teamcity.setevoy.org.ua/buildAgent/work/e257adbd87862bf6 [10:33:07][Step 1/1] Bootstrapping Chef… [10:33:07][Step 1/1] ERROR: Net::SSH::HostKeyMismatch: fingerprint dd:f8:49:30:bc:d8:62:e7:61:16:7e:18:44:bf:03:68 does not match for “dev-lecture.setevoy.org.ua,52.17.205.86” [10:33:07][Step 1/1] Process exited with code 100 [10:33:07][Step 1/1] Step knife… Read More »

TLS/SSL: NGINX – подключение wildcard-сертификата от Comodo

08/31/2016
 

 Имеется набор файлов сертификатов, переданные нам из другого агентства, где приложение работало на Windows-сервере в Azure: root@jgr-gw:~/CERTS# ls -l total 96 -rw-r–r– 1 root root 1521 Mar 2 2015 AddTrustExternalCARoot.crt -rw-r–r– 1 root root 7521 Mar 2 2015 Backup_SSLCertificate_STARmeistercom_20150302_0503PM.pfx -rw-r–r– 1 root root 20 Mar 2 2015 Backup_SSLCertificate_STARmeistercom_Password.txt -rw-r–r– 1 root root 1952 Mar 2… Read More »