All perguntas(server)

Tenho o Virtualbox com quatro adaptadores de rede.

1. adaptador somente host
2. adaptador interno
3. adaptador somente host
4. adaptador NAT

NAT na primeira interface:

route -n

0.0.0.0         10.0.2.2        0.0.0.0         UG    100    0        0 enp0s3
10.0.2.0        0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
10.0.2.2        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s3
10.0.2.3        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s3
10.10.0.0       0.0.0.0         255.255.255.0   U     100    0        0 enp0s8
203.0.133.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s9


1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:46:e4:90 brd ff:ff:ff:ff:ff:ff
    inet 10.0.2.15/24 metric 100 brd 10.0.2.255 scope global dynamic enp0s3
       valid_lft 86198sec preferred_lft 86198sec
    inet6 fd00::a00:27ff:fe46:e490/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 86201sec preferred_lft 14201sec
    inet6 fe80::a00:27ff:fe46:e490/64 scope link
       valid_lft forever preferred_lft forever
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fc:34:9c brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.6/24 metric 100 brd 10.10.0.255 scope global dynamic enp0s8
       valid_lft 398sec preferred_lft 398sec
    inet6 fe80::a00:27ff:fefc:349c/64 scope link
       valid_lft forever preferred_lft forever
4: enp0s9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fb:36:58 brd ff:ff:ff:ff:ff:ff
    inet 203.0.133.5/24 metric 100 brd 203.0.133.255 scope global dynamic enp0s9
       valid_lft 398sec preferred_lft 398sec
    inet6 fe80::a00:27ff:fefb:3658/64 scope link
       valid_lft forever preferred_lft forever
5: enp0s10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:82:93:6b brd ff:ff:ff:ff:ff:ff
    inet6 fe80::a00:27ff:fe82:936b/64 scope link
       valid_lft forever preferred_lft forever

Host Only na primeira interface e NAT na segunda interface:

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.2.2        0.0.0.0         UG    100    0        0 enp0s8
10.0.2.0        0.0.0.0         255.255.255.0   U     100    0        0 enp0s8
10.0.2.2        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s8
10.0.2.3        0.0.0.0         255.255.255.255 UH    100    0        0 enp0s8
10.10.0.0       0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
203.0.133.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s9

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:46:e4:90 brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.5/24 metric 100 brd 10.10.0.255 scope global dynamic enp0s3
       valid_lft 462sec preferred_lft 462sec
    inet6 fe80::a00:27ff:fe46:e490/64 scope link
       valid_lft forever preferred_lft forever
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fc:34:9c brd ff:ff:ff:ff:ff:ff
    inet 10.0.2.15/24 metric 100 brd 10.0.2.255 scope global dynamic enp0s8
       valid_lft 85962sec preferred_lft 85962sec
    inet6 fd00::a00:27ff:fefc:349c/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 85964sec preferred_lft 13964sec
    inet6 fe80::a00:27ff:fefc:349c/64 scope link
       valid_lft forever preferred_lft forever
4: enp0s9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:fb:36:58 brd ff:ff:ff:ff:ff:ff
    inet 203.0.133.5/24 metric 100 brd 203.0.133.255 scope global dynamic enp0s9
       valid_lft 462sec preferred_lft 462sec
    inet6 fe80::a00:27ff:fefb:3658/64 scope link
       valid_lft forever preferred_lft forever
5: enp0s10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:82:93:6b brd ff:ff:ff:ff:ff:ff
    inet6 fe80::a00:27ff:fe82:936b/64 scope link
       valid_lft forever preferred_lft forever

Não consigo me conectar à minha VM usando NAT e encaminhamento de porta quando o NAT está na segunda, terceira ou última posição na interface de rede.

Deve estar sempre na primeira posição.

Alguém pode explicar o porquê?

Obrigado

Alguns certificados da AWS têm este emissor:

issuer=C=US, O=Amazon, CN=Amazon RSA 2048 M02

Outros têm isto:

issuer=C=US, O=Amazon, CN=Amazon RSA 2048 M03

Qual é a diferença entre eles?

Eu tenho um servidor rodando ubuntu, tenho uma placa 10G configurada com mtu 9000 e um servidor NFS também tem uma placa 10G e está diretamente conectado ao servidor com um link dedicado (sem switch entre eles). O servidor ubuntu tem as seguintes configurações

enp66s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 9000
        inet 192.168.1.2  netmask 255.255.255.252  broadcast 192.168.1.3
        inet6 fe80::d65d:64ff:fe09:b66  prefixlen 64  scopeid 0x20<link>
        ether d4:5d:64:09:0b:66  txqueuelen 1000  (Ethernet)
        RX packets 3065123981  bytes 3717515096214 (3.7 TB)
        RX errors 1963997  dropped 0  overruns 1887746  frame 76251
        TX packets 2720860289  bytes 4802586105745 (4.8 TB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 99  memory 0x20080800000-20080ffffff 

E o servidor nfs tem a seguinte configuração,

bnxt2: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 9000     options=4e527bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,
LRO,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6,HWSTATS,MEXTPG>
        ether 84:16:0c:aa:6b:32
        inet 192.168.1.1 netmask 0xfffffffc broadcast 192.168.1.3
        media: Ethernet autoselect (10GBase-CR1 <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

Não consigo ou não tenho certeza se consigo a conectividade 10G, quando copio alguns dados usando o comando dd, recebo o seguinte do bmon. Dê uma olhada e explique se estou usando o 10G de forma otimizada ou não.

Temos um problema intermitente em nossa rede que ocorre entre os roteadores A e B. A é o mais próximo do gateway.

Quando o problema ocorre, A não consegue fazer ping em B e vice-versa. Se eu acessar o roteador B via gerenciamento fora de banda, um traceroute de volta pela rede em direção ao gateway retorna resultados estranhos.

Os saltos são os seguintes do Roteador B: Roteador B -> Roteador A -> R1 -> R2 -> R3 etc.

Um traceroute para R3 retorna: RA -> Responder.
R1 -> Responder.
R2 -> Responder.
Tempo limite

Um traceroute para R2 retorna: RA -> Responder.
R1 -> Responder.
Tempo limite

Para R1 retorna: RA -> Responder.
Tempo limite

Isso não faz sentido para mim. Como o R2 pode responder quando o traceroute é para o R3, mas não responder quando ele é o ponto final do traceroute?

Esse problema aparecerá e desaparecerá sem nenhuma alteração de configuração na rede.

Então, eu inicializo o Debian 12 Bookworm com o cloud-init, e ele cria o usuário luiconforme definido abaixo.

users:
  - name: lui
    ssh_authorized_keys:
      - ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIH7tTbt9XLZ0bGRcD+btgRh5qcuM7/TphfnCPl4fw8q3 la mienne
    sudo: ["ALL=(ALL) ALL"]
    shell: /bin/bash
    gecos: C'est pas moi !,,,
    lock_passwd: false
    plain_text_passwd: elle

No entanto, no log do cloud-init posso ver isso

Cloud config schema errors: users.0: {'gecos': "C'est pas moi !,,,",
'lock_passwd': False, 'name': 'lui', 'plain_text_passwd': 'elle',
'shell': '/bin/bash', 'ssh_authorized_keys': ['ssh-ed25519
AAAAC3NzaC1lZDI1NTE5AAAAIH7tTbt9XLZ0bGRcD+byrFUv8cuM7/TphfnCJ6WXwkIq
la mienne'], 'sudo': ['ALL=(ALL) ALL']} is not valid under
any of the given schemas

Conectado à máquina com o usuário lui, executo sudo cloud-init schema --systeme efetivamente recebo o mesmo erro, mas nenhuma explicação do que está errado ou faltando...

Então acho que tenho sorte o suficiente para o cloud-init não desistir e criar o usuário de qualquer forma. Um dia, vou ficar sem sorte. Então prefiro consertar isso agora.

Verifiquei com a referência do cloud-init, mas não consegui encontrar meu erro.

O que há de errado com esta definição de usuário cloud-init?

o objetivo é criar algo parecido com o docker, mas usando o método tradicional, chroot.

Comecei criando uma partição como ext4 e montei-a /srv/container/teste instalei o sistema Linux padrão com pacstrap /srv/container/test base. Também estou preparando sistemas de arquivos de kernel virtual :

export ROOTDIR=/srv/container/test
mount -v --bind /dev $ROOTDIR/dev
mount -vt tmpfs tmpfs $ROOTDIR/run
mount -vt sysfs sysfs $ROOTDIR/sys
mount -vt proc proc $ROOTDIR/proc
mount -vt devpts devpts -o gid=5,mode=0620 $ROOTDIR/dev/pts

Eu verifico isso simplesmente fazendo chroot no sistema local e funciona.

no entanto, quando tentei configurar o servidor ssh para usá-lo como ChrootDirectory, ele falhou com o erro de pipe quebrado, verifiquei o log ssh: journalctl -u sshdmas não vejo o erro real impresso no log:

...
Feb 25 03:12:34 zero sshd-session[33517]: Accepted password for root from 10.0.2.15 port 51616 ssh2
Feb 25 03:12:34 zero sshd-session[33517]: debug1: monitor_child_preauth: user root authenticated by privileged process
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_get_keystate: Waiting for new keys
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_receive_expect: entering, type 26
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_receive: entering
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_get_keystate: GOT new keys
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_auth_password: user authenticated [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: user_specific_delay: user specific delay 0.000ms [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: ensure_minimum_time_since: elapsed 529.640ms, delaying 131.069ms (requested 5.162ms) [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_do_pam_account entering [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_send: entering, type 102 [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_receive_expect: entering, type 103 [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_receive: entering [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_do_pam_account returning 1 [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: send packet: type 52 [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_request_send: entering, type 26 [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug3: mm_send_keystate: Finished sending state [preauth]
Feb 25 03:12:34 zero sshd-session[33517]: debug1: monitor_read_log: child log fd closed
Feb 25 03:12:34 zero sshd-session[33517]: debug3: ssh_sandbox_parent_finish: finished
Feb 25 03:12:34 zero sshd-session[33517]: debug1: PAM: establishing credentials
Feb 25 03:12:34 zero sshd[33514]: debug2: server_accept_loop: child 33517 for connection from 10.0.2.15 to 10.0.2.15 auth done
Feb 25 03:12:34 zero sshd[33514]: debug1: child_close: enter (forcing)
Feb 25 03:12:34 zero sshd-session[33517]: debug3: PAM: opening session
Feb 25 03:12:34 zero sshd-session[33517]: debug2: do_pam_session: auth information in SSH_AUTH_INFO_0
Feb 25 03:12:34 zero sshd-session[33517]: pam_unix(sshd:session): session opened for user root(uid=0) by root(uid=0)

e nada útil no log do lado do cliente:

...
Authenticated to 10.0.2.15 ([10.0.2.15]:22) using "password".
debug1: channel 0: new session [client-session] (inactive timeout: 0)
debug3: ssh_session2_open: channel_new: 0
debug2: channel 0: send open
debug3: send packet: type 90
debug1: Requesting [email protected]
debug3: send packet: type 80
debug1: Entering interactive session.
debug1: pledge: filesystem
debug3: client_repledge: enter
Read from remote host 10.0.2.15: Connection reset by peer
Connection to 10.0.2.15 closed.
debug3: send packet: type 1
client_loop: send disconnect: Broken pipe

O que está causando o cano quebrado? Não está claro para mim.

meu sshd_config se parece com isso:

# Include drop-in configurations
Include /etc/ssh/sshd_config.d/*.conf

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
ListenAddress 10.0.2.15
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO
LogLevel DEBUG3

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
PermitRootLogin yes
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile  .ssh/authorized_keys

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#KbdInteractiveAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the KbdInteractiveAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via KbdInteractiveAuthentication may bypass
# the setting of "PermitRootLogin prohibit-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and KbdInteractiveAuthentication to 'no'.
#UsePAM no

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem   sftp    /usr/lib/ssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#   X11Forwarding no
#   AllowTcpForwarding no
#   PermitTTY no
#   ForceCommand cvs server

# Match User demo
Match User root
        ChrootDirectory /srv/container/test
    PasswordAuthentication yes

no meu entendimento, o seguinte passo é executado:a client authenticated by ssh server -> ssh server do chroot -> exec /srv/container/test/usr/bin/bash and the home dir is set to /srv/container/test/root/

é válido?

Eu implantei meu aplicativo em contêiner usando o AWS ECS Fargate . Minha configuração consiste em:

• Um servidor web FastAPI em execução na porta 8000 .
• Um servidor NGINX em execução na porta 8080 .

Por motivos de segurança, bloqueei o acesso direto por meio de grupos de segurança , o que significa que ninguém pode acessar o IP público da minha instância nas portas 80, 443, 8080 ou 8000 .

Em vez disso, tornei meu aplicativo acessível somente por meio de um AWS Application Load Balancer (ALB) , que lida com tráfego baseado em domínio . Minha suposição era que, como o IP público não é acessível , os bots não seriam capazes de enviar solicitações automatizadas a menos que soubessem meu nome de domínio.

No entanto, ainda estou recebendo solicitações de bots.

Minha pergunta:

1. Como os bots ainda estão enviando solicitações ao meu serviço se o acesso IP direto está bloqueado?
2. Existe uma maneira de impedir completamente o tráfego de bots sem usar o AWS WAF ou outros serviços de segurança da AWS ?
3. Bloquear o acesso direto ao IP público não significa que somente usuários que conhecem meu domínio podem acessar o serviço?

Agradeceria qualquer informação sobre o motivo disso estar acontecendo e possíveis soluções.

Estou tentando criar um cenário de fallback para o servidor nginx https. Quero dar suporte para TLS bidirecional com certificado de cliente e TLS unidirecional com método de autenticação (por exemplo, autenticação básica). O que quero alcançar é que, se não conseguisse estabelecer um TLS bidirecional com um certificado de cliente, fallback para um TLS unidirecional com método de autenticação adicional.

Alguma ideia de como posso fazer isso? Sou meio novo na configuração do nginx, então qualquer ajuda será ótima.

Tenho um dispositivo Linux (Raspberry Pi/Ubuntu) que estou usando como uma ponte de rede entre uma eth0interface de rede física e uma tap0interface virtual. Na inicialização, o dispositivo se levanta, br0o que consome eth0automaticamente. Um serviço do sistema (chame-o de serviceA) é executado, criando e gerenciando uma tap0interface. A tap0interface também é consumida automaticamente por br0. Preciso que esse dispositivo também seja endereçável diretamente por IP, então dei br0um endereço IP estático. Tudo isso funciona (usando systemd-networkdarquivos de configuração para gerenciar as propriedades da interface). Como esperado, posso usar SSH etc. no dispositivo usando o IP de br0.

Sempre que eu paro serviceA(por exemplo, para ajustar algumas configurações do serviço antes de iniciá-lo novamente), ele destrói automaticamente tap0(isso é esperado). O que eu não esperava era que o dispositivo não respondesse mais ao IP de br0.

Exemplo: De uma máquina host conectada eth0ao dispositivo, com a serviceAexecução, eu posso fazer SSH no dispositivo. A execução systemctl stop serviceAfaz com que minha sessão SSH não responda. Conectar um teclado e um mouse no dispositivo mostra que o serviço parou de forma limpa, e está no estado que eu esperaria, mas se serviceAestiver parado (ou seja, tap0não existir), não posso fazer SSH no dispositivo usando o endereço IP de br0. Possivelmente digno de nota: mesmo se tap0estiver inativo, eu posso ping <IP of br0>fazer SSH, e o dispositivo recebe solicitações de curl(mas não responde a elas).

Pergunta nº 1: Devo esperar que uma ponte de rede com exatamente 1 interface de rede e um endereço IP estático responda a esse endereço IP? Obviamente, ela não fará nenhuma ponte real, mas eu esperava que o dispositivo ainda fosse endereçável com esse IP.

Pergunta nº 2: Se a resposta à primeira pergunta for sim (espero que seja), alguma hipótese para o que pode estar errado? Eu alegremente culparei qualquer parte dessa configuração de rede, incluindo, mas não limitado a, roteamento/sub-redes IP no host/dispositivo.

Tenho um servidor web com um endereço IP público (chame-o de 1.1.1.1) e um endereço IP local (chame-o de 10.10.10.10). O servidor web atua como um proxy para sites na faixa 10.xxx.

O problema que estou tendo é que os sites no intervalo 10.xxx não conseguem acessar uns aos outros via curling do nome de domínio dos sites. No DNS, cada nome de domínio para cada site é definido para ir para 1.1.1.1.

Quando o tráfego dos sites sai da rede, ele é enviado por NAT de origem por um roteador que fica na frente do servidor web para o endereço do servidor web (1.1.1.1).

Não há problema com dispositivos em outras redes acessando os sites, o que me faz pensar que eu precisaria de NAT hairpin, mas não tinha 100% de certeza.