LINUX.ORG.RU

Сообщения azx

 

Nginx не принимает SSL сертификат после обновления CentOS до 6.9

Несколько лет проблем не было, стояла настроенная система CentOS 6.3(кажется) на ней:

nginx-1.0.15-2.el6.x86_64

Openvpn.2.2.1-1.el6.x86_64

openssl-1.0.0-25.el6_3.1.x86_64

С помощью скриптов OpenVPN (вызывающих команды OpenSSL) генерировались сертификаты для клиентов и они, установив их в браузер подключались к нашему серверу. Все работало нормально до того момента как я решил обновить php, под это дело обновил и саму ОС до финальной версии CentOS 6.9. Теперь:

Nginx 1.12.0

OpenSSL 1.0.1e-fips

OpenVPN (не используется)

Поле обновления Nginx перестал принимать сертификаты. Браузер выдает сообщение: «400 Bad Request. No required SSL certificate was sent nginx/1.12.0». В логах /var/log/nginx/error.log следующее:

2017/06/21 15:38:58 [info] 44502#44502: *168 client closed connection while waiting for request, client: 192.168.107.182, server: 0.0.0.0:443
2017/06/21 15:38:58 [info] 44502#44502: *167 client closed connection while waiting for request, client: 192.168.107.182, server: 0.0.0.0:443
2017/06/21 15:39:01 [info] 44502#44502: *170 client sent no required SSL certificate while reading client request headers, client: 192.168.107.182, server: xxxxxxx.ru, request: "GET / HTTP/1.1", host: "xxxxxxx.ru"
2017/06/21 15:39:02 [info] 44502#44502: *171 client closed connection while waiting for request, client: 192.168.107.182, server: 0.0.0.0:443
2017/06/21 15:39:02 [info] 44502#44502: *172 client sent no required SSL certificate while reading client request headers, client: 192.168.107.182, server: xxxxxxx.ru, request: "GET /favicon.ico HTTP/1.1", host: "xxxxxxxx.ru", referrer: "https://xxxxxxx.ru/"

ЧТО СЛУЧИЛОСЬ? КАК УСТРАНИТЬ?

Попробовал заново в отдельном каталоге собрать новый CA, серверный и клиентские сертификаты, они генерируются, но с браузером подружить не удается. Помогает только опция nginx ssl_verify_client off но в этом случае любой может подключиться к серверу, а мне нужно только по сертификату.

Настройки nginx ssl.conf

server {
    listen       443;
    server_name  xxxxx.ru;
    error_log /var/log/nginx/error.log debug;
ssl on;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
ssl_client_certificate /etc/nginx/ssl/ca.crt;
ssl_verify_client on;
ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers         HIGH:!aNULL:!MD5;
    location / {
    proxy_pass  http://192.168.107.3:8080;
    proxy_redirect default;
    }
}

 , ,

azx
()

Срок действия и отзыв сертификата SSL для свзи с nginx

Настроена и работает следующая схема: Nginx в режиме обратного проксирования предоставляет https-доступ к внутреннему http-серверу но только тем клиентам, которым выдан SSL-сертификат. Сертификаты генерируются и отзываются скриптами установленного на сервере OpenVPN (build-key-pkcs12, revoke-full).

Заметил, что после истечения срока действия любого из сертификатов, nginx блокирует доступ всем клиентам, в том числе и с валидными сертификатами. OpenVPN-клиенты при этом работают нормально. Работа восстанавливается только после ручного отзыва просроченного сертификата (revoke-full) и перезапуска nginx.

Что может быть причиной блокировки nginx-ом валидных клиентов при появлении просроченного сертификата?

PS. к таким последситвиям приводит истечения срока любого сертификата.

 ,

azx
()

GLIBC 2.15 на CentOS 6 или нужно с Mono бороться?

Здравствуйте. Пытаюсь установить одну программку OLIMPOKS (32 разрядная версия под ОС Ubuntu 12.04) на операционную систему CentOS (x64). При попытке инсталляции сообщает, что требуется GLIBC_2.15:

/usr/local/OLIMPOKS/Olimp: /lib/libc.so.6: version 'GLIBC_2.15' not found (required by ./libmono-2.0.so.1)

у меня же установлена GLIBC 2.12 и для CentOS обновить штатным способом до 2.15 нет возможности. Насколько я понял, требуется это для Mono, но установить его для CentOS так же нет возможности. Или есть?

1. Как штатно обновить GLIBC до 2.15?

2. Есть ли возможность установить Mono под CentOS и спасет ли это ситуацию?

Как вы считаете?

 , ,

azx
()

RAID на HP ProLiant ML110 G7

Приобретен указанный сервер. Контроллер дисков HP Embedded Smart Array B110i SATA RAID Controller (0/1/10) и 2 диска по 250 Гб. В БИОСе включаю RAID организую логический диск из двух дисков и при установке Линукса CentOS 6.3 вижу два разных устройства.

1) Я так понимаю, в сервере контроллер не совсем аппаратный RAID?

2) При указанной поддержке RHEL, такой фокус не обязательно получится с CentOS?

3) Или у меня руки кривые?

 , ,

azx
()

VPN доступ к веб серверу локальной сети

Захотелось странного.

В локальной сети есть веб-сервер, его адрес 192.168.0.3. Внешний интерфейс маршрутизатора имеет белый статический ip, пусть будет, 1.1.1.1. Нужно организовать защищенный канал между любым пользователем инета и сервером 192.168.0.3. Без установки клиенту дополнительного ПО (типа OpenVPN клиента) и возможностью работы через прокси.

В общем чтобы только браузер, логин пароль и все. Соединение должно быть защищенным, то есть не просто проброс 80 порта на маршрутизаторе.

Сейчас установлен OpenVPN сервер, все хорошо, но клиенты мучаются с настройками своих сетей и правами админа на компах. Кроме раздачи сертификатов всем ставить OpenVPN клиент надо.

В идеале пользователь должен набрать адрес моего сервера 1.1.1.1, ему должен быть выдан запрос на аутентификацию и дальше он должен уже работать с этим веб-сервером (не Apache).

azx
()

Конфигурация офисного сервера

Посоветуйте аппаратную конфигурацию сервера для ЛВС учебного центра.

Его задачи такие: 1. Организация сети: DHCP, DNS, WINS (?)... хотя это возможно на межсетевой экран ляжет. 2. Файлохранилище: SAMBA (без доменов). 3. Доступ к некоторым серверам извне: OpenVPN. 4. Web-сервер (коммерческий). 5. Что-то еще будет, возможно придется в виртуалке запускать винду или WINE.

Нагрузка 8 часов в день, автоматическое включение/выключение. Клиенты: Комп класс 20 рабочих мест (только веб-сервер), персонал 10-15 человек (в основном SAMBA и иногда веб-сервер), удаленные OpenVPN клиенты не более 10 (веб-сервер).

Основные требования: - Надежность как хранения данных, так и аппаратуры (максимальное время восстановления 2 дня). - Простота обслуживания (включения - выключения, ибо будет выполняться в отсутствии админа). - Малый шум (ибо стоит в одном месте с офисными работниками).

Мои мысли таковы: - Процессор типа Intel i3 с дискретным видео (чтоб не брать видеокарту) и аппаратной виртуализацией. - Память 4 Гб (посоветуйте) - Программный RAID на двух Seagete 500-1000 Гб винтах - Сетевая карта 100/1000. Какая приличная поддерживается в линуксе? - ИБП ватт на 500 с обратной связью. Посоветуйте какой нормально поддерживается Линуксом? - Вентиляторы малошумные, но надежные что применить? - Материнскую плату тоже не знаю что понадежнее?

ПОСОВЕТУЙТЕ.

azx
()

Создание сертификатов в OpenVPN и временная зона

Заметил такую странность. При создании сертификатов в поле начала действия сертификата Validity - Not Before: прописывается время для временной зоны GMT. И это время определяется как мое текущее время + 6 часов от временной зоны (у меня GMT+6). После отправки сертификата клиенту он начинает действовать также спустя +6 часов. То есть я генерирую сертификат в 10:00 (на компьютере с GMT+6) прописывается 16:00 начинает действовать в 22:00. Почему 2 раза добавляется по 6 часов? Мне кажется, что в первом случае должно 6 часов отняться, ведь когда у нас 10:00, то в зоне GMT - 4:00, но не как не 16:00. Скрипт кривой, или я не прав?

 , ,

azx
()

SAMBA не позволяет двум пользователям обращаться к файлу

Стоит FC16 + SAMBA 3.6.1 из коробки с минимальными настройками (см. ниже). Пользователь с компьютера ws2 начинает качать файл smb:/ws1/work/file после чего пользователю с компьютера ws3 обратиться к этому-же файлу очень проблематично. Не пускают его до тех пор пока не закончится процесс копирования первого пользователя.
Неужели у самбы есть ограничение на количество пользователей как в винде? Или есть ограничение в SELinuxe на домашние каталоги?


--------------
[global]
workgroup = skb
security = user
winbind use default domain = false
winbind offline logon = false
server string =
netbios name = WS0
log file = /var/log/samba/%m.log
max log size = 50
username map = /etc/samba/smbusers
encryped passwords = Yes
passdb backend = tdbsam
local master = no
os level = 66
[PUB]
path = «/home/user/pub»
writeable = yes
browseable = yes
guest ok = no
valid users = user

azx
()

SAMBA не пускает пользователя

С самбой периодически сталкиваюсь давно, но разрешить эту проблему самостоятельно не могу. 1. Установил Fedora 16 x86_64, SAMBA 3.6.1.77. Установил, настроил smb.conf. Добавил пользователя useradd, smbpasswd -a, smbpasswd -e. Подключаюсь smb:/server. Расшаренные каталоги видны, при попытке входа запрашивается логин-пароль после чего «Доступ запрещен». 2. С сервера, работающего на CentOS 5.2, и к которому клиенты нормально подключаются, взял smb.conf - эффект тот-же. Пробовал вариант хранения паролей пользователей tdbsam и smbpasswd. Не помогает. 3. Заметил стрнность файлы с паролями /etc/samba/passdb.tdb и не появлялись, пока не указал из явно в конфиге passdb backend = tdbsam:/etc/samba/passdb.tdb. При выполнении команды smbpasswd -a user вроде бы все проходило нормально, но вот где прописывалась информация о пользователе - неизвестно!

azx
()

fedora 16 и Seagate ST500DM002

Подскажите в чем может быть проблема.Пытаюсь установить линукса на совершенно новый комп. Инсталлятор не вдвит жесткий диск. Это как то лечится или только железо менять. процессор i3-2100 MB: MSI PH61A-P35 Винт ST500DM002

azx
()

RSS подписка на новые темы