Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Поднял обновления Let's Encrypt сертификатов на OpenWrt (upd: поправил ссылку + плюшки) 05.02.17 10:50 Число просмотров: 2343
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 05.02.17 22:10 Количество правок: 11
|
Subj, сперва попытался прикрутить acme-tiny, но опечалила необходимость петонирования на OpenWrt с ограниченными ресурсами.
Нашёл полную реализацию ACME на чистом шеллскрипте [ https://github.com/Neilpang/acme.sh ], и там есть поддержка OpenWRT [ https://github.com/Neilpang/acme.sh/wiki/How-to-run-on-OpenWRT ], что полностью устроило.
Зачем оно на WiFi-роутере? Чтобы безопасно заходить на его вебморду из интернета, без ругани браузера на левый сертификат.
Доменное имя беру бесплатное из .tk TLD, DNS-хостинг юзаю также free от Яндекса «Почта для домена», убивая три зайца: DNS хостинг + почтовый сервис на своём домене + DDNS через яндекс же DNS API.
В сухом остатке: халява, опенсорс, удобство :)
|
|
<site updates>
|
[lj] летсэнкриптное 28.09.16 17:59
Publisher: dl <Dmitry Leonov>
|
летсэнкриптное
http://leonov.livejournal.com/442889.html
Не стал дожидаться судного дня для startssl'ных сертификатов и перетащил серверы на letsencrypt. Среди клиентов (хоть уже и появились варианты с ручным обновлением, но страдать этим каждые три месяца - спасибо, не надо) нашелся вполне вменяемый [ https://github.com/diafygi/acme-tiny ] и не требующий работы из-под рута, как родной Certbot. Естественно, пришлось прикрутить вокруг всякие проверки и бэкапы, чтоб не снести ненароком на автомате живой сертификат в случае какого-нибудь сбоя.
Полный текст
|
|
Поднял обновления Let's Encrypt сертификатов на OpenWrt (upd: поправил ссылку + плюшки) 05.02.17 10:50
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 05.02.17 22:10 Количество правок: 11
|
Subj, сперва попытался прикрутить acme-tiny, но опечалила необходимость петонирования на OpenWrt с ограниченными ресурсами.
Нашёл полную реализацию ACME на чистом шеллскрипте [ https://github.com/Neilpang/acme.sh ], и там есть поддержка OpenWRT [ https://github.com/Neilpang/acme.sh/wiki/How-to-run-on-OpenWRT ], что полностью устроило.
Зачем оно на WiFi-роутере? Чтобы безопасно заходить на его вебморду из интернета, без ругани браузера на левый сертификат.
Доменное имя беру бесплатное из .tk TLD, DNS-хостинг юзаю также free от Яндекса «Почта для домена», убивая три зайца: DNS хостинг + почтовый сервис на своём домене + DDNS через яндекс же DNS API.
В сухом остатке: халява, опенсорс, удобство :)
|
| |
тоже вариант 05.02.17 14:33
Автор: dl <Dmitry Leonov>
Отредактировано 05.02.17 14:36 Количество правок: 2
|
Хотя почти пять тыщ строк sh-кода это жесть, ту пару сотню строчек питоновского кода я хоть сам могу проверить :)
Кстати, я снаружи в домашнюю сеть предпочитаю заходить через OpenVPN, а потом уже изнутри ходить как угодно.
|
| | |
«Предпочитаю заходить через OpenVPN» — я часто со смартфона рулю, пляски с VPN долгие 06.02.17 08:39
Автор: HandleX <Александр М.> Статус: The Elderman
|
> Кстати, я снаружи в домашнюю сеть предпочитаю заходить
> через OpenVPN, а потом уже изнутри ходить как угодно.
Даже RDP прокидываю наружу (правда на высокие нестандартные порты), не очень понимая возмущение типа крутых админов «да как можно венду голой %опой в интернет!11» — ИМХО, если винда вовремя обновляется, то RDP возможно открыть в режиме «Удалённый рабочий стол с проверкой подлинности на уровне сети», домашний уж точно :)
MS RDP клиент для Андроида, кстати, очень даже неплох.
|
| | | |
у OpenVPN вполне пристойный смартфонный клиент, все пляски - пара тапов 07.02.17 15:25
Автор: dl <Dmitry Leonov>
Отредактировано 07.02.17 15:26 Количество правок: 1
|
|
Заодно потом и по вебу ходить спокойней через публичные точки доступа.
|
| | | | |
Безопасности много не бывает, это да, видимо я пока ещё достаточно «неуловимый Джо», да ещё и ленивый ))) 07.02.17 17:50
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 07.02.17 18:01 Количество правок: 1
|
|
Но опять же, специфика работы иногда требует залазить домой на RDP или же на точку доступа (включить тачку по Wake On Lan) с разных компов предприятия, поэтому так решил.
|
| | |
Ну кагбэ внутре у него больше возможностей, ибо 05.02.17 15:13
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 05.02.17 15:17 Количество правок: 3
|
> Хотя почти пять тыщ строк sh-кода это жесть, ту пару сотню
> строчек питоновского кода я хоть сам могу проверить :)
Оно продвинутое и развивается, есть скрипт установки в систему, все методы валидации домена, в крон интегрируется тож само опционально, и даже обновление/автообновление самого скрипта: acme.sh --upgrade --auto-upgrade :)
А поскольку в открытом доступе, врядле какой зловред там окажется, не?
|
| | | |
необязательно зловред 05.02.17 16:48
Автор: dl <Dmitry Leonov>
|
|
просто какая-нибудь плюха, которую никто не ищет, считая, что раз в открытом доступе, будет кому проверить :)
|
| | | | |
Не совсем понял про «плюху» — поясни, pls 06.02.17 08:24
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
| | | | | |
гипотетическую 06.02.17 15:24
Автор: dl <Dmitry Leonov>
|
|
Плюс, например, в случае acme-tiny в описании установки много внимания уделено тому, как бы дать ему поменьше прав и все контролировать. Здоровую паранойю это радует.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
