Установка сертификата Let’s Encrypt

Let’s Encrypt позволяет автоматизировать процесс получения SSL-сертификата (используется только для веб). Сертификат, выданный в Let’s Encrypt, живет 90 дней.

Настройка Let’s Encrypt в CentOS 6

Установим docker

wget -qO- https://get.docker.com/ | sh
service docker start

Получим сертификат

WEB_ROOT - корень сайта WEB_NAME - имя сайта

docker run --rm  --name letsencrypt -v "/etc/letsencrypt:/etc/letsencrypt" -v "/var/lib/letsencrypt:/var/lib/letsencrypt" -v "WEB_ROOT:WEB_ROOT" quay.io/letsencrypt/letsencrypt:latest certonly --webroot -w WEB_ROOT -d WEB_NAME

Управление и поддержка ОС разработчиков

Задача

  • поддержка в актуальном состоянии операционных систем разработчиков
  • держать определенный набор софта на каждой системе разработчиков

Данные

  • в качестве операционной системы (далее - ОС) для разработчиков выбрана Xubuntu Desktop 14.04, от Ubuntu отказался из-за тормозного GUI Unity. XFCE, на котором построена Xubuntu - разумный компромис между скоростью и удобством использования
  • для укзанных задач выбрана система SaltStack. Реализация salt-master собрана в системе Docker. Проект доступен по адресу https://github.com/vukor/docker-salt

Шпаргалка - туннелирование в ssh

Проброс порта из интернет в сеть

Выполним на узле wan_ip:

ssh -L wan_ip:wan_port:lan_ip:lan_port root@wan_ip

Где:

wan_ip: белый ip-адрес
lan_ip: серый ip-адрес, находящийся за узлом с wan_ip 

В итоге при подключени из интернет к wan_ip:wan_port трафик будет проксироваться на lan_ip:lan_port

Ссылки

Ограничения на отправку почты в Postfix

Задача

На локальном сервере разрешить отправку почты на адреса *@domain.com, на все остальные - запретить.

Проблема

Для отправки по smtp-протоколу можно было бы ограничиться правилом:

smtpd_client_restrictions = check_recipient_access hash:/your-map

Но, так как отправка осуществляется локальными пользователями, выше указанное правило не сработает в случае отправки по nonsmtp-протоколу, которая напрямую кладет письмо в почтовую очередь. Таким образом работают PHP-функция mail() и пакет mailx.

FreeBSD - настройка OpenDKIM + Postfix

Теория

Технология DKIM обеспечивает целостность и аутентичность почтовых сообщений, используя систему шифрования с открытым ключом. Т.е. гарантирует, что сообщение не подделали и его могли отправить только с почтового сервера, имеющего закрытый ключ.
Вкратце, как это работает:

  1. почтовый сервер отправителя генерирует пару ключей - закрытый и открытый. Открытый ключ помещается в TXT-запись домена отправителя и доступен всем. Закрытый ключ остается на сервере и должен храниться в тайне
  2. почтовый сервер отправителя подписывает сообщение - берет хэш (RSA-SHA256 или RSA-SHA1) определенных заголовков сообщения и зашифровывает хэш закрытым ключом
  3. полученную ЭЦП (Электронную Цифровую Подпись) почтовый сервер отправителя добавляет в заголовок почтового сообщения и отсылает получателю
  4. Почтовый сервер получателя принимает сообщение и выполняет проверку целостности и аутентичности: берет хэш определенных заголовков сообщения и расшифровывает хэш открытым ключом. Если полученная последовательность данных совпадает с ЭЦП, которая была в сообщении - значит проверка прошла успешно. Т.к. асимметричное шифрование гарантирует однозначность расшифрованных данных.

Задача

В рамках технологии DKIM настроить подписывание ключом исходящих почтовых сообщений для домена, например, test.com

Установка OpenDKIM

Будем считать, что postfix уже установлен и запущен.

portmaster mail/opendkim

 
blog.txt · Последние изменения: 2013/01/23 14:51 — Антон Бугреев · []