Здравствуйте. Использую openssl для создания сертификатов, но они имеют отпечаток sha1, которые google chrome блокирует.

Данный отпечаток, если я правильно понимаю, накладывается при подписи, но у команды «openssl ca» опции fingerprint нету, -sha256 принимается только при создании ключа, но на выходе получаю тот же отпечаток sha1. В файлу openssl.cnf опция default_md результата не даёт, доступной опции fingerprint там замечено не было.

Сам корневой сертификат имеет sha1, но как я понял это не имеет значения так как он самоподписанный, поэтому менять его не нужно.

Подскажите на каком этапе и с помощью чего можно подписать свой сертификат своим CA оставив отпечаток отличный от sha1. Или всё же надо полностью пересоздавать CA?

Здравствуйте.

1. Имеется маршрутизатор TL-WR842N.

2. Конфигурация по умолчанию.

  
$ cat /etc/config/network
...
  config switch
          option name 'switch0'
          option reset '1'
          option enable_vlan '1'
  config switch_vlan
          option device 'switch0'
          option vlan '1'
          option ports '1 2 3 4 0'

3. Ещё пара команд:

   $ ls -l /sys/class/net
     lrwxrwxrwx   1 root   root     0 Feb 23 07:06 br-lan -> ../../devices/virtual/net/br-lan
     lrwxrwxrwx   1 root   root     0 Jan  1  1970 eth0 -> ../../devices/platform/ag71xx.1/net/eth0
     lrwxrwxrwx   1 root   root     0 Jan  1  1970 eth1 -> ../../devices/platform/ag71xx.0/net/eth1
     lrwxrwxrwx   1 root   root     0 Jan  1  1970 lo -> ../../devices/virtual/net/lo
     lrwxrwxrwx   1 root   root     0 Feb 23 07:06 wlan0 -> ../../devices/platform/qca953x_wmac/net/wlan0

  $ swconfig list
    Found: switch0 - eth0

  $ swconfig dev switch0 show
    Global attributes:
            enable_vlan: 1
    Port 0:
            pvid: 1
            link: port:0 link:up speed:1000baseT full-duplex txflow rxflow 
    Port 1:
            pvid: 1
            link: port:1 link:down
    Port 2:
            pvid: 1
            link: port:2 link:down
    Port 3:
            pvid: 1
            link: port:3 link:down
    Port 4:
            pvid: 1
            link: port:4 link:up speed:100baseT full-duplex auto
    VLAN 1:
            vid: 1
            ports: 0 1 2 3 4

Вопросы:

1. Не понятно как стандартная конфигурация ссылается на интерфейс eth0 который она описывает? В примерах из руководства вместо switch0 написано eth0.

2. Как надо изменить конфигурационный файл что бы один из LAN портов, объединить с WAN. Если я правильно понимаю, хотелось бы получить следующую схему:

|            |     eth0      |                  physical ports               |    eth1   |
|            |CPU            |LAN 1      |LAN 2      |LAN 3      |LAN4       |WAN        |
|1           |tagged         |off        |untagged   |untagged   |untagged   |off        |  
|2           |tagged         |untagged   |off        |off        |off        |untagged   |

Но исходя из выше приведённых команд я ни где не вижу что мне доступен 5ый порт (предположительно WAN), что бы его можно было забить в VLAN скажем с первым портом.

Здравствуйте. Подскажите имеет ли dhcp-relay какой-нибудь уровень автономности, если прерывается связь с сервером? Или эту штуку можно использовать только при наличии железобетонной связи? Конкретно интересуют продукты isc-dhcp-server, isc-dhcp-relay.

Здравствуйте. Debian 9 Stable. При подключении второй видеокарты компьютер отказывается выключаться через консоль. Помогает только удерживание кнопки, кратковременное не срабатывает.

После команд пинг идёт около 40 секунд и перестаёт, экран гаснет, hdd продолжает работать. Материнская плата Gigabyte. Видеокарта MSI Nvidia.

Пробовал разное, из того что помню:

• ждать
• разные команды от root: poweroff, reset, halt, shutdown -h now, init 0.
• запитывать видеокарту от другого БП.
• Обновляться до testing, sid.
• dmesg -l err, молчит.

Как лечить?

Здравствуйте. Подскажите как аккуратно подключить iptv приставки к локальной сети. Что бы трафик от провайдера попадал на нужные устройства в сети (включая получение адреса приставкой от провайдера) и при этом мультикаст не разливался на всё и вся. Интернет по pppoe, телевидение в обход него поступает. На шлюзе используется Linux.

Есть возможность это реализовать или остаётся только на входе на коммутатор сажать и отдельные кабеля тянуть?

Тут писали про igmpproxy, но что делать с получением адреса? Весь входящий udp и igmp завернуть во что то и отправлять по mac? Но будет ли pppoe тогда нормально работать? И как пробросить dhcp запрос с приставки через шлюз?

1. Подскажите как проверить поддерживает ли устройство qtrim? Или это самособой разумеющееся при наличии NCQ?

2. Я правильно понимаю что при discard, ОС отправляет trim при каждом удалении файла?

3. Запускал fstrim пару раз подряд. Он выводил такие цифры: 127, 70.4, 70,3, 70.4 гб. Я полагаю это связано с DRAT, но как именно это обрабатывается и почему он показывает такие цифры вместо 0 после обрезания? Описание типов TRIM только на одном англоязычном ресурсе встретил чёткого понимая не удалось сформировать.

Здравствуйте. Вопрос к опытным админам. Подскажите как грамотно настраивается статическая раздача адресов через dhcp. В архиве рассылки десятилетней давности есть аналогичный вопрос, но там я нашёл лишь подтверждения наличия проблемы, но не правильное решение. https://lists.isc.org/pipermail/dhcp-users/2007-August/004359.html

Проблема: Обновление DDNS работает, но не удаляются старые записи. Связано это с параметром 'update-static-leaseases on'. В руководстве говорится что этот параметр не рекомендуется использовать т.к. старые записи не будут удаляться.

В итоге изучения информации нашёл 4 варианта:

• 1. Оставить только случайно распределение;
• 2. Запретить обновление fix-address (update-static-leaseases off) и добавлять записи в DNS в ручную;
• 3. Запретить обновление fix-address, но вместо адреса указывать доменное имя и добавлять записи в DNS в ручную;
• 4. Разобраться с настройкой параметра «infinite-is-reserved», но судя по тому что удалось найти он позволяет лишь фиксировать случайно выданные адреса, да и вроде как требуется чтобы клиент запрашивал бесконечное время аренды.

Вопрос: Как быть? Какой ещё есть вариант? Какой более правильный? Если это 4, то как именно пользоваться этим параметром?

Здравствуйте. Как точно описать свой вопрос незнаю. В целом интересует как опытные админы обзывают свои машины когда их становиться много.

Если при установке задать имя host.home.local, то debian положит в /etc/hostname

 host 

 127.0.1.1. host.home.local host 

Со своей стороны вижу либо не использовать точки в именах и задавать при установке host-home.local. Либо в ручную после переделывать файлы hosts, hostname. Где в hostname указывать host.home . Или как то можно указать машине во время установки что вот эту часть я хочу в имя, а это в домен? И где вообще находиться эта грань согласно правилам?

В документации hostname говориться, что нельзя (или не рекомендуется) указывать домен, но имя узла ведь допускает содержание точек? В том же баше в строке приветствия можно выбирать указывать имя узла до первой точки или целиком и это без учета домена.

Как все это делается по правильному?

Здравствуйте. Не могу понять в чём дело. Замечал этот глюк раньше, но как-то потом забыл про него. Из того что было подмечено сегодня:

Имеется 3 машины

Stable:

allow-hotplug eth0
...
post-up iptables-restore < ipt
post-up sh 1.sh

Testing:

allow-hotplug eth0
...
post-up iptables-restore < ipt
up route add -net 192.168.123.0 netmask 255.255.255.0 gw 192.168.15.19 dev eth0

Есть ещё testing2 и там ситуация почти как на последнем только замена up на post-up не помогает. Судя по всему связано с тем что не совсем понимаю разницу между allow-hotplug и allow-auto, но ведь есть машины где post-up и при hotplug срабатывает.

Здравствуйте.

Во время настройки TC (HBT) обнаружил что он, дополнительно ограничивает скорость. То есть если канал 10Мбит и я заведомо укажу ширину канала в 9, то в итоге реальная скорость будет ~8. А указав 10, получаем 9.

В документации либо такого нет либо я пропустил. Кто в курсе, действительно ли он сам ограничивает указанную скорость на ~10% (как мне показалось).

Здравствуйте. Не могу в найти конкретные правила iptables под dhcpd, не смотря на то что вопрос должен был подниматься много раз.

Вот официальные рекомендации: http://www.isc.org/wp-content/uploads/2014/08/DHCP-4...

You must be sure to allow DHCP packets through the firewall. 
In particular, your firewall rules must allow packets from IP address 0.0.0.0 to IP address 255.255.255.255 from UDP port 68 to UDP port 67 through. 
They must also allow packets from your local firewall's IP address and UDP port 67 through to any address your DHCP server might serve on UDP port 68. 
Finally, packets from relay agents on port 67 to the DHCP server on port 67, and vice versa, must be permitted.

Как я это вижу:

$IPT -A FORWARD -j ACCEPT -p udp -s 0.0.0.0 -d 255.255.255.255 —sport 68 —dport 67
$IPT -A OUTPUT -j ACCEPT -o $LAN1 -p udp —sport 67 —dport 68
$IPT -A INPUT -j ACCEPT -i $LAN1 -p udp —dport 67 —sport 67

По поводу forward не уверен, так как не совсем понял. 0.0.0.0 это видимо любой адрес, в тоже время на широковещательный каждый узел сам отправляет соответственно перенаправлять некому. Или это для всяких виртуалок актуально?

Может у кого свои «правильные» правила есть?

Здравствуйте. Испытывал трудности с созданием непривилегированных контейнеров на Debian. В итоге пришёл к результатам и визуально всё работает, но оказалось что не функционируют как минимум автозапуск, ограничения на процессор и swap.

lxc.cgroup.cpuset.cpus
lxc.cgroup.cpu.shares
lxc.cgroup.memory.memsw.limit_in_bytes

Автозапуск просто не происходит, но это легко обойти cron, а с другими параметр контейнер не запускается.

С одной стороны вполне возможно, что такие параметры к ним не подходят, с другой ограничение на ОЗУ работает, во всяком случае с виду:

lxc.cgroup.memory.limit_in_bytes

Вопрос: Это нормально для такого типа контейнеров или что-то не допилено?

Здравствуйте. Интересует мнение опытных админов. Нужно поднять шлюз, веб, и телефонию. Как лучше это сделать и почему?

1) Всё на одной ОС.

2) Шлюз на хостовой ОС, и 2 контейнера.

3) Просто 3 контейнера.

Здравствуйте. Подскажите как можно проверить работу Crl Distribution Point.

openssl verify -crl_check -CAfile CA_cert.pem cert_rev.pem

Такой вариант срабатывает только если указать ему CRL явно, из расширений путь брать не хочет, через браузер CRL открывается.

Здравствуйте. Вот ссылка https://btrfs.wiki.kernel.org/index.php/Incremental_Backup

Не могу понять следующее. Вот в этом месте:

btrfs send -p /home/BACKUP /home/BACKUP-new | btrfs receive /backup/home

Вопрос 1:в чём именно заключается эта разница?

Далее автор делает следующее:

btrfs subvolume delete /home/BACKUP
   mv /home/BACKUP-new /home/BACKUP
   btrfs subvolume delete /backup/home/BACKUP
   mv /backup/home/BACKUP-new /backup/home/BACKUP

Вопрос 2: для чего делается последние две строки? Ведь если бы на этапе ранее выгружалась лишь разница то возможно было бы правильнее к примеру наложить эти папки друг на друга. Но он просто удаляет 1ый вариант и переименовывает второй, что приводит к мысли что это самодостаточный backup, но в таком случае в чём заключается смысл было делать первый backup и опять таки возвращаемся к вопросу 1.

Вопрос 3: Посмотрел man на btrffs-send, но ясности недобавило. Раскажите про отличие опций -p и -c.

Заранее спасибо.