Unix

Семейство переносимых, многозадачных и многопользовательских операционных систем.

Mikrotik: router does not support secure connection

Posted by

0

При подключении к маршрутизатору Микротик с прошивкой младше версии 6.43, может отобразиться ошибка: router does not support secure connection, please enable Legacy Mode if you want to connect anyway.
В программе Winbox старше версии 3.22 имеется возможность включения устаревшего режима, для подключения к маршрутизатору незащищенным методом. Для включения этого режима, на вкладке Tools программы Winbox, выберите Legacy mode.

NginX — установка бесплатных SSL-сертификатов для нескольких сайтов

Posted by

0

  1. Создаем пользователя letsencrypt и необходимые директории:


    2. adduser —home /var/www/challenges \
    —shell /bin/sh \
    —disabled-password \
    —disabled-login \
    letsencrypt
    mkdir -p /etc/letsencrypt/domains

  2. Создаём основные приватные ключи:


    3. cd /etc/letsencrypt/
    openssl dhparam -out dhparam.pem 2048
    openssl genrsa 4096 > account.key

  3. Скачиваем клиент acme_tiny.py:


    4. cd /var/www/challenges
    wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

  4. Создаем сценарий /var/www/challenges/acme-tiny.sh, для автоматизации. Изменив значение переменной DOMAINS, указываем имена доменов, для которых необходимо получить сертификаты:
    5. DOMAINS=( site1.ru site2.com )
DOMAIN_ROOT=/etc/letsencrypt/domains
ACCOUNT_KEY=/etc/letsencrypt/account.key
ACME_DIR=/var/www/challenges
ACME_TINY=${ACME_DIR}/acme_tiny.py

[ -d ${DOMAIN_ROOT} ] || { echo "ERROR: DOMAIN_ROOT dir does not exists"; exit 1; }
[ -f ${ACCOUNT_KEY} ] || { echo "ERROR: ACCOUNT_KEY not found."; exit 1; }
[ -d ${ACME_DIR} ] || { echo "ERROR: ACME_DIR dir does not exists"; exit 1; }
[ -f "$ACME_TINY" ] || { echo "ERROR: ACME_TINY not found."; exit 1; }

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > ${DOMAIN_ROOT}/intermediate.pem

for DOMAIN in "${DOMAINS[@]}"
do
  if [ ! -f "${DOMAIN_ROOT}/${DOMAIN}.key" ]; then
    echo "INFO: Generation private key for $DOMAIN";
    openssl genrsa 4096 > ${DOMAIN_ROOT}/${DOMAIN}.key
    openssl req -new -sha256 -key ${DOMAIN_ROOT}/${DOMAIN}.key -subj "/CN=${DOMAIN}" > ${DOMAIN_ROOT}/${DOMAIN}.csr
  fi

  echo "INFO: Generation cert for $DOMAIN";
  python ${ACME_TINY} --account-key ${ACCOUNT_KEY} --csr ${DOMAIN_ROOT}/${DOMAIN}.csr --acme-dir ${ACME_DIR} > ${DOMAIN_ROOT}/${DOMAIN}.crt || exit 1
  cat ${DOMAIN_ROOT}/${DOMAIN}.crt ${DOMAIN_ROOT}/intermediate.pem > ${DOMAIN_ROOT}/${DOMAIN}.pem
done

sudo service nginx reload
  5. Меняем права на директории:


    6. chmod 755 /etc/letsencrypt
    chown -R letsencrypt: /etc/letsencrypt /var/www/challenges

  6. Создаём файл /etc/nginx/acme:
    7. location ^~ /.well-known/acme-challenge/ {
    alias /var/www/challenges/;
    try_files $uri =404;
    allow all;
}
  7. В конфигурационный файл nginx каждого сайта, в блок server, добавляем строку:


    8. include /etc/nginx/acme;

  8. Запускаем скрипт:


    9. /bin/bash /var/www/challenges/acme-tiny.sh

  9. Включаем шифрование, добавив в конфигурационные файлы nginx каждого сайта:
    10. server {
    server_name site1.ru www.site1.ru;
    listen 80;

    include acme;
    # включим переадресацию на https-версию сайта
    location / {
        return 301 https://$host$request_uri;
    }
}

server {
        server_name site1.ru www.site1.ru;
        listen 443 ssl;

        # включим шифрование
        ssl on;
        ssl_certificate /etc/letsencrypt/domains/alluborka.ru.pem;
        ssl_certificate_key /etc/letsencrypt/domains/alluborka.ru.key;
        ssl_dhparam /etc/letsencrypt/dhparam.pem;

        ssl_stapling on;
        ssl_stapling_verify on;

        # исключим возврат на http-версию сайта
        add_header Strict-Transport-Security "max-age=31536000";

        # явно "сломаем" все картинки с http://
        add_header Content-Security-Policy "img-src https: data:; upgrade-insecure-requests";

    ...
}
  10. Для автоматического продления сертификатов, создадим файл /etc/cron.d/letsencrypt:
    11. SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 0 1 * * letsencrypt /bin/bash /var/www/challenges/acme-tiny.sh >> /var/log/acme_tiny.log
  11. Создадим файлы журналов:


    12. sudo touch /var/log/acme_tiny.log
    sudo chown letsencrypt: /var/log/acme_tiny.log

https://superuserdo.info/?p=747

Mikrotik — проблемы с RDP

Posted by

0

При попытке подключения из локальной сети к рабочему столу удалённого сервера, по VPN-туннелю между маршрутизатором Mikrotik и удалённым сервером, процесс подключения надолго зацикливается на двух этапах:
Настройка удалённого сеанса…
Защита удалённого подключения…

Данная проблема наблюдается при активном правиле fasttrack connection фильтра фаервола. Причём, даже, если это правило расположено в таблице ниже правил, касающихся маршрутизации VPN трафика. Отключение этого правила, способствует восстановлению правильной маршрутизации пакетов и установлению RDP-подключений.

HiveOS: CUDA Error : Insufficient CUDA driver 9010

Posted by

0

После очередного обновления ОС Hive, майнер Ethermine не запускается, miner log содержит записи:
CUDA Error : Insufficient CUDA driver 9010
Error: No usable mining devices found

Такое случается, когда майнер требует наличия более свежей версии CUDA. Для её обновления, необходимо выполнить команду nvidia-driver-update на воркере. После чего перезапустить майнер.

SFTP — установка umask

Posted by

0

Имеются пользователи, которые подключаются к системе только по SFTP и не имеют файла профиля оболочки. Требуется установить маску режима создания пользовательских файлов, непосредственно в конфигурационном файле sshd.

umask можно задать как для отдельного пользователя, так и для группы пользователей, для этого, достаточно в файле /etc/ssh/sshd_config указать директивы:

Match Group имя_группы
ForceCommand internal-sftp -u маска

где маска указывается в десятичной системе (например, маска «002» указывается как «2»)
При этом, должна быть задействована подсистема internal-sftp:

Subsystem sftp internal-sftp

PfSense: arpresolve: can’t allocate llinfo

Posted by

0

При использовании PfSense в качестве маршрутизатора с несколькими IP-адресами, из разных подсетей, на одном интерфейсе, может возникнуть ситуация, когда пакеты с одного IP не отправляются, а в журнале отображаются ошибки: arpresolve: can’t allocate llinfo.
В этом случае необходимо убедиться, что у шлюза, используемого для данного IP, включена опция Use non-local gateway в расширенных настройках.

PfSense: Inactivity timeout (—ping-restart), restarting

Posted by

0

При использовании туннеля OpenVPN до сервера PfSense, соединение периодически пропадает, происходит переподключение VPN. При этом, в журнале появляются записи: Inactivity timeout (—ping-restart), restarting; SIGUSR1[soft,ping-restart] received, process restarting.
Это означает, что на сервере задействована опция ping-restart (если за определённое время не было получено ни одного пакета с удаленной стороны, то перезапустить подключение).
В PfSense, в настройках OpenVPN сервера, в разделе Advanced Configuration, можно вписать в поле Custom options альтернативную команду, например, keepalive 10 180 (каждые 10 секунд осуществлять ping удалённого хоста, и, если за 180 секунд не было получено ни одного пакета — перезапустить подключение).

PHP — Fatal error: Call to undefined function mb_internal_encoding

Posted by

0

В журнал вэб-сервера записываются ошибки Call to undefined function mb_internal_encoding.
Сие говорит о том, что: либо эта функция отключена директивой disable_functions (настройки в php.ini или в конфигурационном файле сайта, в директории pool.d), либо отключен модуль mbstring.so (закомментирован в файле 20-mbstring.ini в директории conf.d), либо модуль mbstring не установлен (пакет php*.*-mbstring).
Проверяем, установлен ли пакет:

dpkg —get-selections | grep mbstring

В случае отсутствия оного, ищем доступные версии:

apt-cache search mbstring

Выбираем версию, соответствующую версии установленного PHP интерпретатора, и устанавливаем её:

apt-get install php5.6-mbstring

Если же пакет уже был установлен, то правим конфигурационные файлы.

PHP — Fatal error: Call to undefined function utf8_encode

Posted by

0

В журнал вэб-сервера записываются ошибки Call to undefined function utf8_encode.
Сие говорит о том, что: либо эта функция отключена директивой disable_functions (настройки в php.ini или в конфигурационном файле сайта, в директории pool.d), либо отключен модуль xml.so (закомментирован в файле 15-xml.ini в директории conf.d), либо модуль xml не установлен (пакет php*.*-xml).
Проверяем, установлен ли пакет с расширением для PHP:

dpkg —get-selections | grep xml

В случае отсутствия оного, ищем доступные версии:

apt-cache search xml

Выбираем версию, соответствующую версии установленного PHP интерпретатора, и устанавливаем её:

apt-get install php5.6-xml

Если же пакет уже был установлен, то правим конфигурационные файлы.

MySQL: unknown variable ‘bind-address=0.0.0.0’

Posted by

0

При запуске сервиса, mysqld сообщает об ошибке: unknown variable ‘bind-address=0.0.0.0’.
Несмотря на присутствие в файле my.cnf секции [client-server], которая используется и сервером, директиву bind-address, необходимо задавать в файле /etc/mysql/mariadb.conf.d/50-server.cnf.