информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяГде водятся OGRыАтака на Internet
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Apple случайно превратила FaceTime... 
 С наступающим 
 Неприятная уязвимость в SQLite... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Безопасности много не бывает, это да, видимо я пока ещё достаточно «неуловимый Джо», да ещё и ленивый ))) 07.02.17 17:50  Число просмотров: 442
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 07.02.17 18:01  Количество правок: 1
<"чистая" ссылка>
Но опять же, специфика работы иногда требует залазить домой на RDP или же на точку доступа (включить тачку по Wake On Lan) с разных компов предприятия, поэтому так решил.
<site updates>
[lj] летсэнкриптное 28.09.16 17:59  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
летсэнкриптное
http://leonov.livejournal.com/442889.html

Не стал дожидаться судного дня для startssl'ных сертификатов и перетащил серверы на letsencrypt. Среди клиентов (хоть уже и появились варианты с ручным обновлением, но страдать этим каждые три месяца - спасибо, не надо) нашелся вполне вменяемый [ https://github.com/diafygi/acme-tiny ] и не требующий работы из-под рута, как родной Certbot. Естественно, пришлось прикрутить вокруг всякие проверки и бэкапы, чтоб не снести ненароком на автомате живой сертификат в случае какого-нибудь сбоя.


Полный текст
Поднял обновления Let's Encrypt сертификатов на OpenWrt (upd: поправил ссылку + плюшки) 05.02.17 10:50  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 05.02.17 22:10  Количество правок: 11
<"чистая" ссылка>
Subj, сперва попытался прикрутить acme-tiny, но опечалила необходимость петонирования на OpenWrt с ограниченными ресурсами.
Нашёл полную реализацию ACME на чистом шеллскрипте [ https://github.com/Neilpang/acme.sh ], и там есть поддержка OpenWRT [ https://github.com/Neilpang/acme.sh/wiki/How-to-run-on-OpenWRT ], что полностью устроило.

Зачем оно на WiFi-роутере? Чтобы безопасно заходить на его вебморду из интернета, без ругани браузера на левый сертификат.
Доменное имя беру бесплатное из .tk TLD, DNS-хостинг юзаю также free от Яндекса «Почта для домена», убивая три зайца: DNS хостинг + почтовый сервис на своём домене + DDNS через яндекс же DNS API.

В сухом остатке: халява, опенсорс, удобство :)
тоже вариант 05.02.17 14:33  
Автор: dl <Dmitry Leonov>
Отредактировано 05.02.17 14:36  Количество правок: 2
<"чистая" ссылка>
Хотя почти пять тыщ строк sh-кода это жесть, ту пару сотню строчек питоновского кода я хоть сам могу проверить :)

Кстати, я снаружи в домашнюю сеть предпочитаю заходить через OpenVPN, а потом уже изнутри ходить как угодно.
«Предпочитаю заходить через OpenVPN» — я часто со смартфона рулю, пляски с VPN долгие 06.02.17 08:39  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
> Кстати, я снаружи в домашнюю сеть предпочитаю заходить
> через OpenVPN, а потом уже изнутри ходить как угодно.
Даже RDP прокидываю наружу (правда на высокие нестандартные порты), не очень понимая возмущение типа крутых админов «да как можно венду голой %опой в интернет!11» — ИМХО, если винда вовремя обновляется, то RDP возможно открыть в режиме «Удалённый рабочий стол с проверкой подлинности на уровне сети», домашний уж точно :)
MS RDP клиент для Андроида, кстати, очень даже неплох.
у OpenVPN вполне пристойный смартфонный клиент, все пляски - пара тапов 07.02.17 15:25  
Автор: dl <Dmitry Leonov>
Отредактировано 07.02.17 15:26  Количество правок: 1
<"чистая" ссылка>
Заодно потом и по вебу ходить спокойней через публичные точки доступа.
Безопасности много не бывает, это да, видимо я пока ещё достаточно «неуловимый Джо», да ещё и ленивый ))) 07.02.17 17:50  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 07.02.17 18:01  Количество правок: 1
<"чистая" ссылка>
Но опять же, специфика работы иногда требует залазить домой на RDP или же на точку доступа (включить тачку по Wake On Lan) с разных компов предприятия, поэтому так решил.
Ну кагбэ внутре у него больше возможностей, ибо 05.02.17 15:13  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 05.02.17 15:17  Количество правок: 3
<"чистая" ссылка>
> Хотя почти пять тыщ строк sh-кода это жесть, ту пару сотню
> строчек питоновского кода я хоть сам могу проверить :)
Оно продвинутое и развивается, есть скрипт установки в систему, все методы валидации домена, в крон интегрируется тож само опционально, и даже обновление/автообновление самого скрипта: acme.sh --upgrade --auto-upgrade :)

А поскольку в открытом доступе, врядле какой зловред там окажется, не?
необязательно зловред 05.02.17 16:48  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
просто какая-нибудь плюха, которую никто не ищет, считая, что раз в открытом доступе, будет кому проверить :)
Не совсем понял про «плюху» — поясни, pls 06.02.17 08:24  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
гипотетическую 06.02.17 15:24  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Плюс, например, в случае acme-tiny в описании установки много внимания уделено тому, как бы дать ему поменьше прав и все контролировать. Здоровую паранойю это радует.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach