информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Kik закрывается, все ушли на криптофронт 
 Sophos открывает Sandboxie 
 Большой вторник патчей от MS 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
[lj] летсэнкриптное 28.09.16 17:59  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
летсэнкриптное
http://leonov.livejournal.com/442889.html

Не стал дожидаться судного дня для startssl'ных сертификатов и перетащил серверы на letsencrypt. Среди клиентов (хоть уже и появились варианты с ручным обновлением, но страдать этим каждые три месяца - спасибо, не надо) нашелся вполне вменяемый [ https://github.com/diafygi/acme-tiny ] и не требующий работы из-под рута, как родной Certbot. Естественно, пришлось прикрутить вокруг всякие проверки и бэкапы, чтоб не снести ненароком на автомате живой сертификат в случае какого-нибудь сбоя.


Полный текст
Поднял обновления Let's Encrypt сертификатов на OpenWrt (upd: поправил ссылку + плюшки) 05.02.17 10:50  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 05.02.17 22:10  Количество правок: 11
<"чистая" ссылка>
Subj, сперва попытался прикрутить acme-tiny, но опечалила необходимость петонирования на OpenWrt с ограниченными ресурсами.
Нашёл полную реализацию ACME на чистом шеллскрипте [ https://github.com/Neilpang/acme.sh ], и там есть поддержка OpenWRT [ https://github.com/Neilpang/acme.sh/wiki/How-to-run-on-OpenWRT ], что полностью устроило.

Зачем оно на WiFi-роутере? Чтобы безопасно заходить на его вебморду из интернета, без ругани браузера на левый сертификат.
Доменное имя беру бесплатное из .tk TLD, DNS-хостинг юзаю также free от Яндекса «Почта для домена», убивая три зайца: DNS хостинг + почтовый сервис на своём домене + DDNS через яндекс же DNS API.

В сухом остатке: халява, опенсорс, удобство :)
тоже вариант 05.02.17 14:33  
Автор: dl <Dmitry Leonov>
Отредактировано 05.02.17 14:36  Количество правок: 2
<"чистая" ссылка>
Хотя почти пять тыщ строк sh-кода это жесть, ту пару сотню строчек питоновского кода я хоть сам могу проверить :)

Кстати, я снаружи в домашнюю сеть предпочитаю заходить через OpenVPN, а потом уже изнутри ходить как угодно.
«Предпочитаю заходить через OpenVPN» — я часто со смартфона рулю, пляски с VPN долгие 06.02.17 08:39  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
> Кстати, я снаружи в домашнюю сеть предпочитаю заходить
> через OpenVPN, а потом уже изнутри ходить как угодно.
Даже RDP прокидываю наружу (правда на высокие нестандартные порты), не очень понимая возмущение типа крутых админов «да как можно венду голой %опой в интернет!11» — ИМХО, если винда вовремя обновляется, то RDP возможно открыть в режиме «Удалённый рабочий стол с проверкой подлинности на уровне сети», домашний уж точно :)
MS RDP клиент для Андроида, кстати, очень даже неплох.
у OpenVPN вполне пристойный смартфонный клиент, все пляски - пара тапов 07.02.17 15:25  
Автор: dl <Dmitry Leonov>
Отредактировано 07.02.17 15:26  Количество правок: 1
<"чистая" ссылка>
Заодно потом и по вебу ходить спокойней через публичные точки доступа.
Безопасности много не бывает, это да, видимо я пока ещё достаточно «неуловимый Джо», да ещё и ленивый ))) 07.02.17 17:50  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 07.02.17 18:01  Количество правок: 1
<"чистая" ссылка>
Но опять же, специфика работы иногда требует залазить домой на RDP или же на точку доступа (включить тачку по Wake On Lan) с разных компов предприятия, поэтому так решил.
Ну кагбэ внутре у него больше возможностей, ибо 05.02.17 15:13  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 05.02.17 15:17  Количество правок: 3
<"чистая" ссылка>
> Хотя почти пять тыщ строк sh-кода это жесть, ту пару сотню
> строчек питоновского кода я хоть сам могу проверить :)
Оно продвинутое и развивается, есть скрипт установки в систему, все методы валидации домена, в крон интегрируется тож само опционально, и даже обновление/автообновление самого скрипта: acme.sh --upgrade --auto-upgrade :)

А поскольку в открытом доступе, врядле какой зловред там окажется, не?
необязательно зловред 05.02.17 16:48  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
просто какая-нибудь плюха, которую никто не ищет, считая, что раз в открытом доступе, будет кому проверить :)
Не совсем понял про «плюху» — поясни, pls 06.02.17 08:24  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
гипотетическую 06.02.17 15:24  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Плюс, например, в случае acme-tiny в описании установки много внимания уделено тому, как бы дать ему поменьше прав и все контролировать. Здоровую паранойю это радует.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach