2015 Январь | Записки системного администратора

Архивы за месяц Январь, 2015

Обновление самоподписного SSL-сертификата на Centos

Январь 30th, 2015

Evgeniy Kamenev

При получении почтового сообщения типа указанного ниже необходимо продлить с помощью утилиты genkey если Ваш сертификат подписан Центром Сертификации CA (Certificate Authority) При использовании самоподписного сертифіката(self-signed) утилита genkey не поможет.Необходимо заново сгенерировать самоподписной сертификат.

################# SSL Certificate Warning ################
Certificate for hostname '<servername>', in file (or by nickname):
/etc/pki/tls/certs/localhost.crt
The certificate needs to be renewed; this can be done
using the 'genkey' program.
Browsers will not be able to correctly connect to this
web site using SSL until the certificate is renewed.
##########################################################
Generated by certwatch(1)

################# SSL Certificate Warning ################

Certificate for hostname '<servername>', in file (or by nickname):

/etc/pki/tls/certs/localhost.crt

The certificate needs to be renewed; this can be done

using the 'genkey' program.

Browsers will not be able to correctly connect to this

web site using SSL until the certificate is renewed.

##########################################################

Generated by certwatch(1)

1.Проверяем название файла и место, где находятся сертификат и ключ, используемые в Apache

# grep SSLCertificate /etc/httpd/conf.d/ssl.conf | grep -v \#

1	# grep SSLCertificate /etc/httpd/conf.d/ssl.conf \| grep -v \#

SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

1 2	SSLCertificateFile /etc/pki/tls/certs/localhost.crt SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

2.Проверем права […]

Опубликовано в рубрике Centos, Security, Web

Метки: centos, self-signed, SSL

Комментарии отключены

Настройка SFTP на Centos

Январь 29th, 2015

Evgeniy Kamenev

Предоставить FTP-доступ через SSH-соединение для пользователя без предоставления активной shell-оболочки и ограничив пользователя в его папке(chroot) 1.Создаем группу ,в которую будут входить пользователи с доступом по sftp

# groupadd ftpaccess

1	# groupadd ftpaccess

2.Настраиваем SSH для поддержки SFTP

# nano /etc/ssh/sshd_config

1	# nano /etc/ssh/sshd_config

#Subsystem     sftp   /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
Match group ftpaccess
ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

#Subsystem sftp /usr/libexec/openssh/sftp-server

Subsystem sftp internal-sftp

Match group ftpaccess

ChrootDirectory %h

X11Forwarding no

AllowTcpForwarding no

ForceCommand internal-sftp

# sshd -t && systemctl restart sshd

1	# sshd -t && systemctl restart sshd

3.Добавляем пользователя для SFTP-доступа(с оболочкой /sbin/nologin)

# adduser -d /home/user/jake -s /sbin/nologin jake -g ftpaccess

1	# adduser -d /home/user/jake -s /sbin/nologin jake -g ftpaccess

# passwd jake

1	# passwd jake

# chown root /home/user/jake/

1	# chown root /home/user/jake/

# chmod 750 /home/user/jake/

1	# chmod 750 /home/user/jake/

# mkdir /home/user/jake/www

1	# mkdir /home/user/jake/www

# chown jake:ftpaccess /home/user/jake/www

1	# chown jake:ftpaccess /home/user/jake/www

4.Если […]

Опубликовано в рубрике Centos, FTP

Метки: centos, chroot, FTP, sftp

Комментарии отключены

Установка и включение iptables на Сentos 7

Январь 29th, 2015

Evgeniy Kamenev

Останавливаем и отключаем с автозагрузки firewalld

# systemctl stop firewalld

1	# systemctl stop firewalld

# systemctl disable firewalld

1	# systemctl disable firewalld

Устанавливаем iptables

# yum install iptables-services iptables

1	# yum install iptables-services iptables

Добавляем iptables в автозагрузку

# systemctl enable iptables

1	# systemctl enable iptables

Копируем init-скрипт для того, чтобы можно было сохранять правила командой /etc/init.d/iptables save

# cp /usr/libexec/iptables/iptables.init /etc/init.d/iptables

1	# cp /usr/libexec/iptables/iptables.init /etc/init.d/iptables

Проверяем, что сохраняются правила при остановке/перезапуске iptables, а также подгружаем модуль отслеживания состояний ftp-подключений.

# nano /etc/sysconfig/iptables-config

1	# nano /etc/sysconfig/iptables-config

IPTABLES_MODULES="nf_conntrack_ftp"
IPTABLES_SAVE_ON_STOP="yes"
IPTABLES_SAVE_ON_RESTART="yes"

IPTABLES_MODULES="nf_conntrack_ftp"

IPTABLES_SAVE_ON_STOP="yes"

IPTABLES_SAVE_ON_RESTART="yes"

После набора правил сохраняем правила и перезапускаем […]

Опубликовано в рубрике Centos, Security

Метки: centos 7, iptables

Комментарии отключены

Конфигурация Nginx для отладки

Январь 29th, 2015

Evgeniy Kamenev

После каждого изменения вирт.хоста или файла nginx.conf проверяем синтаксис и перезапуcкаем Nginx

# nginx -t && service nginx reload

1	# nginx -t && service nginx reload

1.Включение логирования rewrite-логов.

# nano /etc/nginx/conf.d/<sitename>.conf

1	# nano /etc/nginx/conf.d/<sitename>.conf

server {
……………
error_log   /var/log/nginx/error-<sitename>.log notice;
rewrite_log on;
……..}

server {

……………

error_log /var/log/nginx/error-<sitename>.log notice;

rewrite_log on;

……..}

Rewrite-логи пишутся в файл error_log с уровнем notice. Поэтому для того, чтобы увидеть rewrite-логи в файле error_log необходимо выставить уровень логирования notice для error_log 2.Включение уровня debug для подключений со всех адресов

# nano /etc/nginx/conf.d/<sitename>.conf

1	# nano /etc/nginx/conf.d/<sitename>.conf

server {
……………
error_log   /var/log/nginx/error-<sitename>.log debug;
……..}

server {

……………

error_log /var/log/nginx/error-<sitename>.log debug;

……..}

[…]

Опубликовано в рубрике Centos, Nginx

Метки: debug, Nginx

Комментарии отключены

Настройка Apache+SSL на Centos

Январь 7th, 2015

Evgeniy Kamenev

1.Установка необходимых пакетов

# yum install openssl mod_ssl

1	# yum install openssl mod_ssl

2. Генерирование сертификатов

# mkdir /etc/httpd/ssl

1	# mkdir /etc/httpd/ssl

# cd /etc/httpd/ssl

1	# cd /etc/httpd/ssl

Для вирт.хоста по умолчанию

# openssl req -new -x509 -days 3650 -nodes -out cert.perm -keyout cert.key

1	# openssl req -new -x509 -days 3650 -nodes -out cert.perm -keyout cert.key

Для вирт.хоста kamaok.org.ua

# openssl req -new -x509 -days 3650 -nodes -out kamaok.org.ua.perm -keyout kamaok.org.ua.key

1	# openssl req -new -x509 -days 3650 -nodes -out kamaok.org.ua.perm -keyout kamaok.org.ua.key

3. Настройка вирт.хоста по умолчанию

# nano /etc/httpd/conf.d/000default.conf

1	# nano /etc/httpd/conf.d/000default.conf

<VirtualHost *:443>
DocumentRoot /var/www/html
ServerName localhost
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/cert.perm
SSLCertificateKeyFile /etc/httpd/ssl/cert.key

<Directory "/var/www/html">
Options   -Indexes
AllowOverride all
Allow from all
</Directory>

ErrorLog logs/default-ssl-error.log
#ErrorLog /dev/null
CustomLog logs/default-ssl-access.log combined
#CustomLog /dev/null combined
</VirtualHost>

DocumentRoot /var/www/html

ServerName localhost

SSLEngine on

SSLCertificateFile /etc/httpd/ssl/cert.perm

SSLCertificateKeyFile /etc/httpd/ssl/cert.key

Options -Indexes

AllowOverride all

Allow from all

</Directory>

ErrorLog logs/default-ssl-error.log

#ErrorLog /dev/null

CustomLog logs/default-ssl-access.log combined

#CustomLog /dev/null combined

</VirtualHost>

4.Настройка вирт.хоста kamaok.org.ua

# nano /etc/httpd/conf.d/kamaok.org.ua.conf

1	# nano /etc/httpd/conf.d/kamaok.org.ua.conf

<VirtualHost *:443>
DocumentRoot /path/to/documentroot
ServerName kamaok.org.ua
ServerAlias *.kamaok.org.ua
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/kamaok.org.ua.perm
SSLCertificateKeyFile /etc/httpd/ssl/kamaok.org.ua.key

<Directory "/path/to/documentroot">
Options   -Indexes
AllowOverride all
Allow from all
</Directory>

ErrorLog logs/kamaok.org.ua-ssl-error.log
#ErrorLog /dev/null
CustomLog logs/kamaok.org.ua-ssl-access.log combined
#CustomLog /dev/null combined
</VirtualHost>

DocumentRoot /path/to/documentroot

ServerName kamaok.org.ua

ServerAlias *.kamaok.org.ua

SSLEngine on

SSLCertificateFile /etc/httpd/ssl/kamaok.org.ua.perm

SSLCertificateKeyFile /etc/httpd/ssl/kamaok.org.ua.key

Options -Indexes

AllowOverride all

Allow from all

</Directory>

ErrorLog logs/kamaok.org.ua-ssl-error.log

#ErrorLog /dev/null

CustomLog logs/kamaok.org.ua-ssl-access.log combined

#CustomLog /dev/null combined

</VirtualHost>

5. Включаем вирт.хостинг для https подключений

# nano /etc/httpd/conf/httpd.conf

1	# nano /etc/httpd/conf/httpd.conf

NameVirtualHost *:443

1	NameVirtualHost *:443

# apachectl configtest

1	# apachectl configtest

Syntax OK

Syntax OK

6.Отключаем вирт.хост по умолчанию,который активируется при установке модуля mod_ssl

# cp /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf~

1	# cp /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf~

[…]

Опубликовано в рубрике Centos, Web

Метки: apache, SSL

Комментарии отключены

Настройка Nginx+SSL на Centos

Январь 7th, 2015

Evgeniy Kamenev

Настройка Nginx+SSL на Centos 6/7 Имеем три виртуальных хоста и хост по умолчанию(“заглушка”) вирт.хосты joomla.us wordpress.us kamaok.us Хост по умолчанию=имя сервера(app01.kamaok.org.ua) 1.Генерирование сертификатов для всех вирт.хостов

# mkdir /etc/nginx/ssl

1	# mkdir /etc/nginx/ssl

# cd /etc/nginx/ssl

1	# cd /etc/nginx/ssl

# openssl req -new -x509 -days 3650 -nodes -out app01.kamaok.org.ua.pem -keyout app01.kamaok.org.ua.key

1	# openssl req -new -x509 -days 3650 -nodes -out app01.kamaok.org.ua.pem -keyout app01.kamaok.org.ua.key

# openssl req -new -x509 -days 3650 -nodes -out joomla.us.pem -keyout joomla.us.key

1	# openssl req -new -x509 -days 3650 -nodes -out joomla.us.pem -keyout joomla.us.key

# openssl req -new -x509 -days 3650 -nodes -out wordpress.us.pem -keyout wordpress.us.key

1	# openssl req -new -x509 -days 3650 -nodes -out wordpress.us.pem -keyout wordpress.us.key

# openssl req -new -x509 -days 3650 -nodes -out kamaok.us.pem -keyout kamaok.us.key

1	# openssl req -new -x509 -days 3650 -nodes -out kamaok.us.pem -keyout kamaok.us.key

# chown -R nginx:root /etc/nginx/ssl/

1	# chown -R nginx:root /etc/nginx/ssl/

# chmod -R 700 /etc/nginx/ssl

1	# chmod -R 700 /etc/nginx/ssl

2.Настройка Nginx для поддержки SSL

# nano /etc/nginx/ssl.conf

1	# nano /etc/nginx/ssl.conf

ssl_session_cache shared:SSL:20m;
ssl_session_timeout 1d;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
# ssl_ecdh_curve secp521r1;

## Improves TTFB by using a smaller SSL buffer than the nginx default
ssl_buffer_size 8k;

## Enables OCSP stapling
ssl_stapling on;
resolver 8.8.8.8;
ssl_stapling_verify on;

## Send header to tell the browser to prefer https to http traffic
#add_header Strict-Transport-Security max-age=31536000;

ssl_session_cache shared:SSL:20m;

ssl_session_timeout 1d;

ssl_prefer_server_ciphers on;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

#ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

ssl_dhparam /etc/nginx/ssl/dhparam.pem;

# ssl_ecdh_curve secp521r1;

## Improves TTFB by using a smaller SSL buffer than the nginx default

ssl_buffer_size 8k;

## Enables OCSP stapling

ssl_stapling on;

resolver 8.8.8.8;

ssl_stapling_verify on;

## Send header to tell the browser to prefer https to http traffic

#add_header Strict-Transport-Security max-age=31536000;

Создаем ключ Диффи-Хельмана

# openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

1	# openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

# nano /etc/nginx/conf.d/default.conf

1	# nano /etc/nginx/conf.d/default.conf

server {
listen       :80 default_server;
listen     :443 ssl default_server;
server_name localhost;
ssl_certificate         /etc/nginx/ssl/app01.kamaok.org.ua.pem;
ssl_certificate_key     /etc/nginx/ssl/app01.kamaok.org.ua.key;
include     /etc/nginx/ssl.conf;
……………
}

server {

listen :80 default_server;

listen :443 ssl default_server;

server_name localhost;

ssl_certificate /etc/nginx/ssl/app01.kamaok.org.ua.pem;

ssl_certificate_key /etc/nginx/ssl/app01.kamaok.org.ua.key;

include /etc/nginx/ssl.conf;

……………

}

[…]

Опубликовано в рубрике Centos, Nginx, Web

Метки: centos 7, Nginx, SSL

Комментарии отключены

Архивы за месяц Январь, 2015

Обновление самоподписного SSL-сертификата на Centos

Настройка SFTP на Centos

Установка и включение iptables на Сentos 7

Конфигурация Nginx для отладки

Настройка Apache+SSL на Centos

Настройка Nginx+SSL на Centos

Страницы

Свежие записи

Архивы

Рубрики

Админ-панель