All perguntas(server)

Tenho uma conexão SSL com um servidor (owner-api.teslamotors.com) que trava com wget, curl ou openssl s_client. Estou mostrando a versão curl, pois ela fornece a maioria das mensagens de depuração:

# curl -iv https://owner-api.teslamotors.com 
*   Trying 18.203.70.200:443...
* Connected to owner-api.teslamotors.com (18.203.70.200) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs

Lá ele trava depois de ClientHello. Conexão TCP estabelecida com sucesso (também confirmada com telnet/nc). Outra conexão de rede, incluindo qualquer conexão SSL que eu tentei, funciona. Exceto owner-api.teslamotors.com:443.

Achei esta postagem falando sobre MTU e parecia absurdo. Mas reduzi o MTU do servidor e funcionou! Funciona com qualquer MTU <= 1420.

O servidor se conecta usando Ethernet (MTU 1500) a um roteador Mikrotik e de lá a conexão passa por um túnel WireGuard (MTU 1420). Estou ciente de que isso pode não ser o ideal, pois qualquer pacote IP do servidor >1420 precisará ser fragmentado. No entanto, isso é agnóstico de qualquer protocolo L4. SSL sobre TCP não deve se importar com fragmentação e MTU. No entanto, este host se importa.

Executei uma captura de pacotes na caixa Mikrotik e o tráfego não lista nada de anormal para mim:

O típico handshake TCP Num 1-3, depois ClientHello (Num 4-5) e ServerHello (Num 6-7). Nenhum tamanho de pacote chega perto do MTU e nenhuma outra mensagem ICMP que indicaria problemas com fragmentação etc.

Por comentário, aqui está a saída do tracepath:

# tracepath owner-api.teslamotors.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  XX.XX.56.210                                          0.410ms 
 1:  XX.XX.56.210                                          0.198ms 
 2:  XX.XX.56.210                                          0.138ms pmtu 1420
 2:  XX.XX.56.185                                        151.394ms 
 3:  no reply
 4:  100.100.200.1                                       157.220ms 
 5:  10.75.0.193                                         154.068ms 
 6:  10.75.2.53                                          161.950ms asymm  7 
 7:  decix1.amazon.com                                   152.107ms asymm  8 
 8:  decix2.amazon.com                                   153.068ms 
 9:  no reply
 [...]

Estou realmente perdido, o que diabos está acontecendo aqui?

Por que essa conexão SSL falha?

Passei um bom tempo solucionando problemas. Aqui está o que confirmei até agora:

Lado S3

• O nome do bucket é exatamente o nome do meu site
• Hospedagem estática habilitada, com o documento Index definido como index.html (que está no bucket)
• Bloquear todo o acesso público: Ativado. Não deve ser um problema porque eu uso OAC
• Política de balde:

{
    "Version": "2012-10-17",
    "Id": "PolicyForCloudFrontPrivateContent",
    "Statement": [
        {
            "Sid": "AllowCloudFrontServicePrincipal",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudfront.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::mybucketname/*",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceArn": "arn:aws:cloudfront::<something>:distribution/<wahtever>"
                }
            }
        }
    ]
}

distribuição cloudfront

• certificado ssl personalizado, tls 1.2 (https não está funcionando, mas isso é um problema para mais tarde)
• objeto raiz padrão /index.html. Não está claro se isso é totalmente necessário, pois o s3 já sabe que esse é o objeto raiz.
• Origens: O domínio de origem é o ponto final do SITE S3, porta 80 http
• Comportamentos: Redirecionar HTTP para HTTPS

Rota 53

3 registros:

1. Um registro, Alias, roteamento simples, aponta para mim domínio cloudfront
2. Registro NS criado pela Aws (eu os adicionei à lista de servidores DNS onde comprei meu domínio
3. Registro SOA criado pela aws

<Location /server-status>
        SetHandler server-status
        Require local
</Location>

# Keep track of extended status information for each request
ExtendedStatus On

Isso está no meu /etc/apache2/mods-enabled/status.conf

Obviamente, quando tento acessar isso do meu computador doméstico, falha, mas se eu adicionar Permitir tudo e remover Exigir local e for para /server-status, ele mostra a página 404 do Wordpress, o que é estranho.

Não tenho certeza do que preciso alterar para que seja exibida a página mod_status real em vez da página 404 do Wordpress.

Se precisar de mais informações, por favor me avise.

Alguém familiarizado com a possibilidade de autenticar o comando sudo em /etc/pam.d/sudo com o kerberos5, também conhecido como biblioteca pam_krb5.so?

Tenho um arquivo PFX conhecido como bom, com a senha correta. Posso importá-lo usando a interface de usuário do certificado do Windows ou o cmdlet import-pfxcertificate. No entanto, get-pfxcertificate falha. Alguma ideia?

PS > $password = read-host -AsSecureString
****************

PS > Import-PfxCertificate C:\Users\mfinnigan\Desktop\test.pfx -Password $password cert:\CurrentUser\my

   PSParentPath: Microsoft.PowerShell.Security\Certificate::CurrentUser\my

Thumbprint                                Subject              EnhancedKeyUsageList
----------                                -------              --------------------
<snip>                                    CN=<snip>            Client Authentication

PS > get-pfxCertificate C:\Users\mfinnigan\Desktop\test.pfx -Password $password
Get-PfxCertificate: An error occurred during encode or decode operation.

Recentemente configurei o ECMP no firewall da nossa rede para nos conectar totalmente a vários ISPs.

Foi fácil configurar o SPF corretamente, mas esse negócio anti-spam estilo anos 70 nem tanto... Algumas de nossas contrapartes (executando suas próprias instâncias do postfix que precisam continuar aceitando e-mails enviados por mim) insistem em executar o postfix com "reject_unknown_client_hostname", aqui está a definição dos documentos: "Rejeite a solicitação quando 1) o mapeamento de endereço IP do cliente->nome falhar, ou 2) o mapeamento de nome->endereço falhar, ou 3) o mapeamento de nome->endereço não corresponder ao endereço IP do cliente." Basicamente, o registro PTR para um determinado IP precisa estar correto.

Como nosso servidor postfix não sabe qual IP público ele realmente estará egressando para uma determinada conexão, temos que enviar o mesmo nome de servidor na mensagem EHLO, independentemente de qual link ele sai.

A melhor solução que podemos encontrar, sem precisar executar uma instância postfix inteira, é ter registros PTR em ambos os IPs públicos apontando para o mesmo nome de registro A e, então, ter dois registros A para esse nome, um para cada IP. Sei que essa é geralmente uma ideia horrível, pois muitas bibliotecas de SO nem retornam mais de um registro A para um cliente, e isso certamente levará a falhas intratáveis. Quais outras opções existem?

Eu tenho este manual:

- name: push ssh key for all lxc
  hosts: proxmox_host
  vars:
    lxc_cts:
        - 100
        - 102
        - 106
        - 107
        - 108
        - 109
        - 111
        - 112
        - 113
        - 114
  tasks:
    - name: check ssh
      command: pct exec {{ item }} -- rpm -q openssh-server
      register: ssh_check
      ignore_errors: true
      loop: '{{ lxc_cts }}'

    - name: SSH status
      debug:
        var: ssh_check

    - name: install openssh if not installed
      command: pct exec {{ item }} -- dnf install -y openssh-server
      when: ssh_check.results[ansible_loop.index0].rc != 0      
      loop: '{{ lxc_cts }}'


    - name: enable sshd
      command: pct exec {{ item }} -- dnf enable --now sshd
      loop: '{{ lxc_cts }}'

    - name: copy key
      command: pct push {{ item }} /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys
      delegate_to: proxmox_host
      loop: '{{ lxc_cts }}'

    - name: perms for dir
      command: pct exec {{ item }} -- chmod 700 /root/.ssh
      loop: '{{ lxc_cts }}'

    - name: perms for file
      command: pct exec {{ item }} -- chmod 600 /root/.ssh/authorized_keys
      loop: '{{ lxc_cts}}'

    - name: (debug) SSH is already installed!
      debug:
        msg: 'SSH is already installed on CT {{ item }}!'
      when: ssh_check.results|length > item|int and ssh_check.results[item|int].rc != 0
      with_items: '{{ lxc_cts }}'

Eu tentei todas as sugestões de IA, li alguns documentos, mas ainda não consigo entender o erro nos logs

2025-01-09 21:09:12,656 p=3537536 u=root n=ansible | fatal: [proxmox_host]: FALHOU! => {"msg": "A verificação condicional 'ssh_check.results[ansible_loop.index0].rc != 0' falhou. O erro foi: erro ao avaliar condicional (ssh_check.results[ansible_loop.index0].rc != 0): o objeto da lista não tem elemento AnsibleUndefined(hint=None, obj=missing, name='ansible_loop'). o objeto da lista não tem elemento AnsibleUndefined(hint=None, obj=missing, name='ansible_loop')\n\nO erro parece estar em '/root/ansible/keypush_with_check.yml': linha 26, coluna 7, mas pode\nestar em outro lugar no arquivo, dependendo do problema exato de sintaxe.\n\nA linha ofensiva parece ser:\n\n\n - name: install openssh if not installed\n ^ here\n"}

Acho que é um erro lógico, mas a IA não consegue explicar e consertar, então talvez alguém aqui possa me ajudar?

Tenho um servidor Ubuntu em bare metal que foi configurado por terceiros. Ele executa um serviço proprietário. Não há documentação adequada sobre o que está sendo executado e como.

Tive que redirecionar este servidor para outro serviço, um servidor Ubuntu com contêineres Docker executando o novo serviço.

Preciso executar o serviço proprietário anterior que estava sendo executado no servidor bare metal. Também preciso executá-lo em um contêiner para facilitar a implantação e o gerenciamento.

Não tenho certeza de como mover um servidor Ubuntu para contêineres.

Eu sei que esse não é o "jeito Docker" de fazer isso.

Uma abordagem que encontrei é criar uma imagem do zero e transferir o sistema de arquivos, exceto as seguintes pastas: /proc, /sys, /dev, /tmp, /mnt, /media, /run, /boot e /swapfile

FROM scratch
ADD folders-to-transfer.tar.gz /
CMD ["/bin/bash"]

Esta é a maneira correta?

Outros sugeriram usar uma VM, o que parece exagero.

Estou em um laptop com Windows 11. Mapeei uma unidade compartilhada que é uma unidade USB externa em um desktop com Windows 10 usando a linha de comando net use como administrador.

O mapeamento foi bem-sucedido e foi capaz de listar arquivos e copiar arquivos da unidade compartilhada para a unidade local dentro do CLI. Mas quando vou para o File Explorer, consigo ver os arquivos que copiei, mas a unidade compartilhada não está visível.

Já compartilhei essa unidade ano passado em outro laptop com Windows 11 sem problemas. Como faço para mostrar a unidade compartilhada no explorador de arquivos?

Ao atualizar o iLO 5 em nosso ambiente e para dois dos servidores, estou recebendo o seguinte aviso, que parece muito assustador.

O problema aqui é que o BitLocker nem está instalado em nenhum desses servidores.

Alguém já passou por isso e tem alguma ideia do que pode estar acontecendo?