Избранные сообщения jasper88

ping: sendmsg: Operation not permitted

Форум — Admin

Коллеги, добрый день, нужен совет в какую сторону копать, есть шлюз (Centos7 3.10.0-514.6.1)

При выполнении ping на определенный адрес, который доступен через vpn (строится с помощью libreswan), получаю данные сообщения, при чем периодически адреса меняются и относятся к разным тоннелям.

В iptables заведомо все верно, не меняя правил, выполняем команду conntrack -F и адрес который был недоступен, чудесным образом начинает работать, а какой нибудь другой валится в эту ошибку.

При этом в dmesg тишина, ошибок нет, за исключением мелочей. В iptables около 300 правил Соединений тоже не так много: net.netfilter.nf_conntrack_count = 23427

net.ipv4.ip_forward = 1
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.netfilter.nf_conntrack_max=524288
net.core.netdev_max_backlog=5000
net.ipv4.tcp_fack = 0
net.ipv4.tcp_sack = 0
net.core.rmem_max = 33554432
net.core.wmem_max = 33554432
net.core.rmem_default = 8388608
net.core.wmem_default = 4194394
net.ipv4.tcp_mem=98304 131072  196608
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
net.ipv4.tcp_keepalive_time = 60
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_fin_timeout=15
net.ipv4.tcp_syncookies=1
net.ipv4.tcp_max_syn_backlog=2048
net.netfilter.nf_conntrack_generic_timeout = 180
net.netfilter.nf_conntrack_icmp_timeout = 10
net.netfilter.nf_conntrack_tcp_be_liberal = 1
net.netfilter.nf_conntrack_tcp_timeout_established = 1200
net.netfilter.nf_conntrack_udp_timeout = 10
net.netfilter.nf_conntrack_udp_timeout_stream = 60
net.ipv4.tcp_timestamps = 0

centos, network, ping

jasper88
(28.02.17 14:25:06 MSK)

11 комментариев

OpenVPN vs LDAP vs PCI DSS

Форум — Admin

Доброго времени суток, может кто сталкивался с аналогичной проблемой, согласно PCI DSS нужно отключить SSLv3,TLSv1.0,TLSv1.1 оставить только TLSv1.2! А так же ограничить типы шифрования до:

ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSAAES256-GCM-SHA384
DHE-RSA-AES128-GCM-SHA256
DHE-DSS-AES128-GCM-SHA256
kEDH+AESGCM
ECDHE-RSA-AES128SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES256SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
DHE-RSA-AES128SHA256
DHE-RSA-AES128-SHA
DHE-DSS-AES128-SHA256
DHE-RSA-AES256-SHA256
DHE-DSS-AES256-SHA
DHE-RSAAES256-SHA

до соблюдения данных «замечательных» требований, стоял себе и трудился linux с OpenVPN на борту с авторизацией через LDAP с помощью плагина openvpn-auth-ldap, так вот когда данные требования были выполнены то мой великолепный OpenVPN сказал следующее:

TLS: Initial packet from [AF_INET]*******, sid=***** *****
CRL: CRL /etc/openvpn/certcrl.crl is from a different issuer than the issuer of certificate DC=***, DC=*****, CN=*****
VERIFY OK: depth=2, DC=***, DC=*****, CN=*******
CRL: CRL /etc/openvpn/certcrl.crl is from a different issuer than the issuer of certificate DDC=***, DC=*****, CN=*****
VERIFY OK: depth=1, DC=***, DC=*****, CN=*****
CRL CHECK OK: CN=**user**
VERIFY OK: depth=0, CN=**user**
Unable to enable STARTTLS: Connect error
LDAP connect failed.
PLUGIN_CALL: POST /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so/PLUGIN_AUTH_**user**_PASS_VERIFY status=1
PLUGIN_CALL: plugin function PLUGIN_AUTH_**user**_PASS_VERIFY failed with status 1: /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so
TLS Auth Error: Auth **user**name/Password verification failed for peer
Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
[**user**] Peer Connection Initiated with [AF_INET]*****
PUSH: Received control message: 'PUSH_REQUEST'
Delayed exit in 5 seconds
SENT CONTROL [**user**]: 'AUTH_FAILED' (status=1)
SIGTERM[soft,delayed-exit] received, client-instance exiting

Либо разновидность ошибки

Unable to enable STARTTLS: Connect error (TLS error -5961:TCP connection reset by peer)
LDAP connect failed.

Так вот, правильно ли я понимаю, судя по

 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA

это как раз тот тип шифрования с которым он лез, и если я проверяю коннект к контроллеру то он у меня открыт и по идее все должно быть хорошо?

Дальше были предприняты четные попытки по правки ldap.conf

TLSCipherSuite        ALL:!ADH:@STRENGTH

TLSCipherSuite        DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256

TLSCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSAAES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128SHA256:ECDHE-ECDSA-AES128-S

Они естественно включались по очереди и OpenVPN перезапускался, никакого эффекта это не дало....

может кто сталкивался с таким, либо подскажет по каким типам этот плагин может работать?

ldap, openvpn, troubleshooting

jasper88
(04.02.16 17:30:43 MSK)

8 комментариев

Не пробрасываются X-ы на OEL 6.7

Форум — Admin

Доброе время суток, суть проблемы в том, что на сервере для доменного пользователя не создается файл .Xauthority, под root-ом и локальным пользователем все работает, но проблема в том что требования, вынуждают к использованию доменной авторизации с дальнейшим sudo. Когда коннектишься по ssh, консоль подвисает и через сек 20 выдает следующее:

/usr/bin/xauth:  timeout in locking authority file /home/**DOMAIN**/jasper/.Xauthority

То же самое происходит при выполнении команды xauth list.

С правами на домашний каталог все ок:

$ ll -a /home/**DOMAIN**/
total 24
drwxr-xr-x. 6 root       root                4096 Feb  2 11:17 .
drwxr-xr-x. 5 root       root                4096 Jan 14 11:32 ..
drwxr-xr-x. 3 ******     пользователи домена  4096 Jan 27 11:20 ******
drwxr-xr-x. 3 jasper     пользователи домена  4096 Feb  2 16:33 jasper
drwxr-xr-x. 2 ******     пользователи домена  4096 Feb  2 12:00 ******
drwxr-xr-x. 2 ******     пользователи домена  4096 Jan 18 15:22 ******

При выполнении команды sudo xauth list показывает ключи которые у root-а, если делаю xauth add ********, это приводит к выше указанной ошибке.

Какой-то замкнутый круг, понимаю что дело в доменной авторизации, но не пойму куда конкретно копать...

getent group и getent passwd отрабатывают корректно и все видно, ssh и sudo на которые выданы права конкретным доменным группам, так же корректно работают...

Cоответственно при запуске например xclock:

$ xclock
PuTTY X11 proxy: Unsupported authorisation protocol
Error: Can't open display: localhost:11.0

linux, troubleshooting

jasper88
(03.02.16 11:55:40 MSK)

6 комментариев