Конвертирование pfx ключа cer (IIS) в сертификат и ключ для nginx:

1. Расшифровываем бинарный cer в человекочитаемый crt (не обязательно):

openssl x509 -inform DER -in someone.cer -out ssl_certificate.crt

Его используем для проверки далее полученных данных
2. Извлекаем из  pfx файл ключа key:

openssl pkcs12 -in [yourfile.pfx] -nocerts -out [keyfile-encrypted.key]

Нужно знать Import Password, которым зашифрован  pfx, далее попросит ввести новый пароль, которым зашифруется ноавый ключ.
3. Извлекаем из  pfx файл сертификата crt:

openssl pkcs12 -in [yourfile.pfx] -clcerts -nokeys -out [certificate.crt]

3а. Расшифровываем key файл (не обязательно):

openssl rsa -in [keyfile-encrypted.key] -out [keyfile-decrypted.key]

Расшифровывать нужно, чтобы nginx после каждой перезагрузки не спрашивал пароль.
4. Создаем сертификат домена:

openssl pkcs12 -in [yourfile.pfx] -out domain-ca.crt -nodes -nokeys -cacerts

Нужно знать Import Password, которым зашифрован  pfx
5. Склеиваем оба crt, для того, чтобы использовать в nginx итоговый файл:

cat [certificate.crt] domain-ca.crt > [full_certificate.crt]

Do you like to play CTF? Do not miss the Junior CTF 2017. It's comming on December 1-3. Follow @juniors_ctf to keep abreast of the latest news.

Любите играть в CTF? Не пропустите Junior CTF 2017, который пройдет 1-3 декабря. Подписывайтесь на канал @juniors_ctf, чтобы быть в курсе последних новостей.

везде наёб)) интерактиная обучалка кубернетесу - запускается консоль и там выполняется скрипт, который запускает кубернетес. Запускает, ага...

Прыгаем по SSH хостам

представьте себе ситуацию, когда у вас есть 1 ip адрес (linux-виртуалка), за которым находятся множество виртуальных машин. Как же заходить и манагерить все это дело? как напрямую залить файл по ssh? Обычно для этого каждой машине прокидывают свой порт и обращаются по этому порту, попадая на тачку напрямую. А теперь представим, что у вас таких инсталляций несколько десятков. Запутаться в таком способе очень и невероятно просто. Существует способ, который объединят в себе несколько возможностей ssh, позволяющий решить эту проблему.

Пример ssh_config файла:

Host sever-1.web
        Hostname 172.16.0.10
Host server-2.web
        Hostname 172.16.0.20

Host jumper
     HostName 1.2.3.4
     User admin
     Port 2222
     ForwardAgent yes
     LogLevel QUIET

Host *.web *.db
     ProxyJump jumper
     HostName %h.company.com
     User bykva
     Port 22

Host jumper - та самая виртуалка, за которой находятся хосты. Мы задаем ее адрес (ip или dns), пользователя, порт. А также одну из важных вещей - ssh-agent. Это технология, которая позволяет делегировать авторизацию на сервере за jumper на ту машину, с которой происходит подключение. Таким образом приватный ключ лежит только на вашей рабочей станции, а авторизовываться можно и на хостах, доступных через сервeр jumper.

Host *.web *.db - директива, которая говорит, чтобы подключения по регулярному выражению *.web обрабатывались с текущими параметрами: ProxyJump - указывает на то, что этот хост будет доступен через ssh-proxy сервер jumper. Hostname при этом будет составляться как конкатенация хоста к которому обращались и приписки вашего домена (ниже в примерах будет понятно о чем речь). Также можно указать порт и пользака под которым надо залогиниться. как видите и порты и пользователи везде можно указать разные.

Host sever-1.web - один из серверов, куда мы будем коннектиться. и в этой директиве мы переопределили Hostname на приватный ip-адрес.

Примеры:

$ ssh server-1.web

ssh клиент видит соотвествие регулярке *.web и будет обрабатывать подключение согласно директиве Host *.web *.db. Однако, поскольку есть четке указание Hostname, то jumper будет подключаться к 172.16.0.10.

$ ssh mysql-1.db

ssh клиент видит соотвествие регулярке *.web и будет обрабатывать подключение согласно директиве Host *.web *.db. здесь у нас нет явного указания Hostname, поэтому jumper будет обращаться по адресу полученному из dns mysql-1.db.company.com

Просто, как 2 пальца об асфальт, а главное красиво. в итоге все ваши сервера доступны по адресам и для удобства разбиты на категории (субдомены).

Как видите такой пример подходит и для варианта "много серых серверов за 1 белым IP адресом", так и для варианта некоего SSH-VPN, когда у вас есть недоверенная сеть и куча серверов с белыми адресами. в итоге вы будете использовать ваш доверенный сервер, через который проксироваться на ваши другие сервера. на которых, к слову, можно ограничить доступ как раз с этого "ssh-vpn" сервера.

Настройка:
1. сгенерировать конфиг для всех ваших подключений, где прописать все сервера-jumper'ы и все хосты к которым вы подключаетесь и положить его по пути ~/.ssh/config
2. настроить на всех серверах авторизацию по ключам.

Да, это все что требуется.

Поздравляю вас с выходом Lineage 2 Revolution на мобильных платформах (европейский и русский сервера).
http://l2.netmarble.com/ru

Яндекс, ты пьян, иди домой

Может создать группу для обсуждения каких-либо админских вопросов или постов?

https://t.me/joinchat/CwI6k0hYW_Bn4TYvxvDiSQ
флуд и обсуждение. обсуждение и флуд.

Немного о гите - как исправить свои косяки

Это писец, товарищи. У ubuntu совсем кукушечка поехала:
https://askubuntu.com/questions/967695/ubuntu-17-10-will-not-accept-static-ip

Для миграции на Netplan предусмотрена команда "netplan ifupdown-migrate", которая осуществляет преобразование старых настроек /etc/network/interfaces в формат netplan

https://hashcat.net/wiki/doku.php?id=example_hashes
Большой и хороший список хешиков. если у вас есть хеш и необходимость понять "а чем же это сделано?", то вероятно эта таблица вам поможет.

А еще - тулза, которая попробует сделать это автоматически:
https://github.com/psypanda/hashID

А вы уже пробовали новый FF? По моим ощущениям 57-я версия реально быстрее. По функционалу еще непонятно, некоторые привычные плагины не поддерживает. но, пока тестим.
https://www.mozilla.org/en-US/firefox/

ceph tips and tricks
Случилось мне тут устанавливать себе "свободную программную объектную сеть хранения", именуемой ceph. Штука без сомнения крутая, и все-то навсего 10 команд для поднятия кластера. Казалось бы, чему здесь случиться?

Во-первых (ну и кто бы сомневался) у них нет сборки под stretch. Ну, ок. серваки пришлось поднять под xenial, это не страшно. Причем на admin-node (или пк админа, с которой будет производиться установка был подключен xenial-репос и с него тулза для деплоя встала нормально.

Во-вторых, если вы выделяете доменные имена для нод (node.example.com) и при формировании конфига (ceph-deploy new) указываете fqdn, то кластер развернуть удастся только если везде в resolv.conf прописать search example.com. Ибо установщику абсолютно насрать на fqdn и он будет ставить по hostname. а ваша "admin-node" естественно может ничего не знать об этом домене.

В-третьих установку на ноды нельзя делать из-под пользователя ceph. И хоть в мане говорится, мол "не создавайте пользователя ceph, т.к. его будут атаковать хакеры", сам установщик видимо об этой рекомендации не вкурсе и пользователя он создает. (Ошибка заключается в том, что во время установки исполняется команда usermod, а если выполнять usermod на самого себя из-под себя, то будет конфликт. какое конкретно действие выполняется я не смотрел, но видимо ему важно, чтобы не было запущено ни одного процесса от этого пользователя

В-четвертых, как в мануале говорится "ну вообще-то ceph проканает на любом morden python environment", на самом деле это не совсем так. установщик строго-настрого запускает именно python2. и ему насрать на переменные среды окружения. из коробки python2 в бубунте отсутствует и нужно поставить python-minimal

В-пятых, еще у меня фейлилась команда ceph-deploy mon create-initial. Установщик вам хер что скажет о том почему. Ошибка и все. Нормальный лог можно найти даже не в логах systemctl на node, а в /va/log/ceph*. Оказывается, нужно все-таки указывать public_network при инициализации кластера. т.к. сам он найти не в состоянии. И хотя в мане написано "если у вас больше 1 ПУБЛИЧНОГО интерфейса, то его надо указать в ручную", то по факту это пиздежь. и указывать надо, даже если у вас всего lo, eth0. и в итоге я сделал так:

ceph-deploy new --public-network 3.4.5.0/20, 1.2.3.0/20 ceph1:ceph1.example.com

..... Продолжение следует