服务器 Gind.cn

Articles of encryption

sslhonorcipherorder无法正常工作

我正在使用这个Apacheconfiguration SSLProtocol +TLSv1.2 +TLSv1.1 SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DS SSLHonorCipherOrder on 但是当对服务器运行nmap enum-cipher-script时,它会为TLSv1.2&TLSv1.1提供“cipher preference:client” 但是由于SSLHonorCipherOrder打开,它应该说“密码偏好:服务器” 我应该改变一些其他的设置来强制服务器的偏好

我应该打开哪些端口以允许基于ACME的证书更新?

我在一个面向公众的服务器上托pipe一个网站。 在这个网站上,我希望有尽可能严格的防火墙规则。 这种方法的一部分涉及通过端口的白名单。 我已经将SSH打开到一些可信的地址,并且我configuration了iptables来允许HTTP和HTTPS上的任何地方的stream量,但是在INPUT上有一个总体的DROP策略。 现在我试图设置让我们encryption一个指向那个盒子的域名,但是这个一直挂起,直到我运行iptables –policy INPUT ACCEPT ,直到证书签名期间。 这是令人费解的,因为据我所知: certificate是在/var/www/ acme-tiny通过HTTPS发送一个签名请求让letsencrypt.org LE的服务器从该目录通过HTTP获取certificate 因此,唯一需要开放的港口是80和443。 如上所述,除非我将全局INPUT策略设置为ACCEPT ,否则脚本会挂在它试图validation的第一个域上(直到发生超时),理想情况下,我希望避免这种情况。 在将来自letsencrypt.org , acme-staging.api.letsencrypt.org和acme-v01.api.letsencrypt.org 所有stream量列入白名单之后,这仍然存在 还有什么其他的端口和域名,以及在什么链上,我应该白名单,以便在需要更新时可以定期访问LE服务器?

NGINX不会听港口443

按照本文档 ,我在DigitalOcean液滴上安装了SSL。 尽pipe如此, https://上的所有请求都被拒绝了! 我运行了下面的命令: sudo netstat -anltp ,发现NGINX没有监听443端口 tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1337/mysqld tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 2315/nginx -g daemo tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1442/sshd tcp 0 288 138.197.137.XXX:22 45.64.239.214:53476 ESTABLISHED 1590/0 tcp 0 0 138.197.137.XXX:22 218.65.30.134:65311 ESTABLISHED 2340/sshd: root [pr tcp 0 0 138.197.137.XXX:22 45.64.239.214:53487 ESTABLISHED 1724/sshd: […]

dynamic更新区域子域

我正在运行一个bind9 (9.9.5)DNS服务器(在Debian / jessie上)。 我已经configuration了一个区域来允许dynamic更新,并且希望为该区域内的特定主机添加TXTlogging。 这是一个示例设置(named.conf) zone "example.com" { type master; notify yes; allow-update { key secret-key; }; file "/etc/bind/db.example.com"; }; 和随附的db.example.com文件: $ORIGIN . $TTL 604800 ; 1 week example.com IN SOA dns.example.com root.example.com. ( 1 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 86400 ; […]

cryptsetup无法closures映射的设备

当我运行: LANG=C cryptsetup –debug luksClose /dev/mapper/Pool-A it fails as follows: device-mapper: remove ioctl on Pool-A failed: Device or resource busy Device /dev/mapper/Pool-A is still in use. Command failed with code 16: Device or resource busy (…)(它重复了很多这样的行) # cryptsetup 1.7.2 processing "cryptsetup –debug luksClose /dev/mapper/Pool-A" # Running command close. # Locking memory. # Installing SIGINT/SIGTERM handler. […]

Ubuntu16.04:Nginx 1.10:Nginx提供多个证书信息。 SSL在浏览器上完美工作,但面临curl的问题。 cURL错误51

我有一个Ubuntu的服务器(16.04)nginx / 1.10.0 + letsencrypt多个网站。 SSL在浏览器中看起来工作正常和完美。 但是我们的开发者应用程序正在使用一个curl请求(使用SSL)并且面临错误 Update Failed: Download failed. cURL error 51: SSL: certificate subject name 'domain2.com' does not match target host name 'domain1.com' 在使用SSLLABS进行检查时,它显示了A_grade,但它正在加载多个证书(同一服务器中的另一个域的证书) Certificate #1: RSA 2048 bits (SHA256withRSA) 和 Certificate #2: RSA 2048 bits (SHA256withRSA) No SNI 并在第二个证书下,有以下错误。 Common names domain2.com MISMATCH Trusted No NOT TRUSTED 卷毛错误也在说第二个域名。 cURL error 51: […]

Apache / Letsencrypt – redirect到https不能在子域上工作

我有一个Ubuntu 16.04 VPS。 我使用Letsencrypt为我的SSL证书创build或创build证书时,他们问你是否想要简单或安全的访问。 安全意味着它将redirect到https,无论如何。 这在主页上工作,但它不能在子域上工作。 我没有redirect到https,我只是看到我的index.html什么只是Apache的默认页面。 那么我该如何解决这个问题呢? 我的虚拟主机: <VirtualHost *:80> ServerName school.luukwuijster.eu Redirect / https://school.luukwuijster.eu ServerAdmin webmaster@localhost DocumentRoot /var/www/html/school.luukwuijster.eu/public/ <Directory /var/www/html/school.luukwuijster.eu/public/> AllowOverride All Require all granted </Directory> ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined RewriteEngine on RewriteCond %{SERVER_NAME} =school.luukwuijster.eu RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,QSA,R=permanent] </VirtualHost> LE-SSL: <IfModule mod_ssl.c> <VirtualHost *:443> ServerName school.luukwuijster.eu ServerAdmin webmaster@localhost DocumentRoot /var/www/html/school.luukwuijster.eu/public/ <Directory […]

Getssl连接错误

我使用getssl来安装Lets Encrypt SSL证书。 以下是./getssl -a的输出: Check all certificates hostname.com: Certificate on remote domain does not match, ignoring remote certificate Registering account Verify each domain Verifying hostname.com copying challenge token to /var/www/html/.well-known/acme-challenge/iWNVnBM81u5xITptieCF7J7sh70GhsDeSOLwAdY0bN0 Pending getssl: hostname.com:Verify error:Could not connect to hostname.com 当然hostname.com是我自己的名字。 我可以从外部networking访问url: http://hostname.com/.well-known/acme-challenge/iWNVnBM81u5xITptieCF7J7sh70GhsDeSOLwAdY0bN0 这将返回正确的值。 在我的getssl.cfg的ACL行下面: ACL=('/var/www/html/.well-known/acme-challenge') 为什么getssl会给我一个连接错误? 我在其他服务器上运行相同的工具,这工作正常。

如何停止对certbot的弃用警告?

我有一个cron设置来更新certbot 。 它每天发送一个弃用警告。 如何停止弃用警告? Cron <root@ip-99-99-99-99> /root/certbot-auto renew –quiet /root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6 DeprecationWarning 我试图提交一个错误报告,但他们closures了。 https://github.com/certbot/certbot/issues/3984 我试图安装Python2.7,但我无法获得certbot与Python2.7运行。 [root@kizbit ~]# scl enable python27 "python –version" Python 2.7.8 [root@kizbit ~]# scl enable python27 […]

用于Linux全盘encryption的GRUB“USBlocking”

大家好 我正在调查使用诸如USB硬件locking软件狗(如用于软件locking和授权的硬件锁)的可能性,以提供Grub在用全盘encryption引导Linux服务器时要求的密钥。 有这样的事吗? 注意因为我可能正在寻找错误的解决scheme,下面是问题描述: 提供完整磁盘encryption的Linux VM(用于VMWare ESXi),以便无法访问高清/磁盘数据(系统运行时即时进行解密) 虚拟机可以启动/重启,无需人工干预 encryption密钥没有公开的解决scheme使用(我知道,一些类似的解决scheme把关键的MBR的Grub拿起或使用普通的USB驱动器以明文存储) 希望一切都清楚。 提前致谢。
Intereting Posts
通过Cisco 881路由器发出转发端口 Multimaster Keepalivedconfiguration(带负载平衡的虚拟IP) 思科术语:flash和nvram IP地址黑名单程序 Rsync的32位Ubuntu的64位实例 Apache Traffic Server和普通的Apache Web Server有什么区别? 设置默认的Apachecaching行为,覆盖.htaccess 无法在Windows上从Linux服务器挂载NFS共享 Apache:设置php-fpm chroot后,找不到“File Not Found” DS中有一个不一致的地方,build议你在一段时间内运行dcdiag,也许在不同的DC上运行 IIS7和URLRewrite与WordPress 3.1.1redirect失败 达夫科特时间同步问题,需要由于ntp破坏而退后 停止服务器加载用户configuration文件 分区绑定DNS系统上的区域传输 什么是现成的Debian 5.0.5新鲜安装系统的已知漏洞?