All perguntas(server)

Estou tentando seguir este tutorial https://p11-glue.github.io/p11-glue/p11-kit/manual/remoting.html , mas há muitos pontos que me deixam confuso.

• De que lado está o servidor pkcs11?

Ele disse "Configurando o servidor de encaminhamento PKCS#11 em um cliente local". Então eu entendo que minha máquina local desempenha um papel como servidor p11, onde se conecta diretamente com o smart-card (na configuração posterior eu uso softhsm como um smart card). Eles mencionam o P11_KIT_SERVER_ADDRESS, mas o comando é executado no "cliente local", o que é confuso.

• De que lado está o cliente pkcs11?

Na sessão "Preparando o sistema remoto para encaminhamento de socket PKCS#11". "Encaminhando o socket PKCS#11", eles localizam o diretório de tempo de execução do usuário, mas um deles é feito por "ssh". Então eu pensei que runtime directoryestava no sistema remoto. (Eles também usam o termo remote serveror remote host)

Conforme abaixo, descrevo o passo a passo que fiz em 2 contêineres, A - como minha máquina local, e B - como um host remoto. Eu uso softhsm para um smart card estimulado. Na máquina local A:

$ p11tool --list-tokens
Token 0:
    URL: pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=System%20Trust
    Label: System Trust
    Type: Trust module
    Flags: uPIN uninitialized
    Manufacturer: PKCS#11 Kit
    Model: p11-kit-trust
    Serial: 1
    Module: p11-kit-trust.so


Token 1:
    URL: pkcs11:model=SoftHSM%20v2;manufacturer=SoftHSM%20project;serial=d1472478b9829554;token=mimi
    Label: mimi
    Type: Generic token
    Flags: RNG, Requires login
    Manufacturer: SoftHSM project
    Model: SoftHSM v2
    Serial: d1472478b9829554
    Module: /usr/local/lib/softhsm/libsofthsm2.so

Então, há 2 tokens disponíveis na máquina A. Eu também preciso criar um diretório de tempo de execução no host local. Caso contrário, ele mostra erro quando eu faço issop11-kit server --provider ...

export XDG_RUNTIME_DIR=/tmp/$(id -u)-today
mkdir -p $XDG_RUNTIME_DIR
chmod 700 $XDG_RUNTIME_DIR
p11-kit server --provider /usr/local/lib/softhsm/libsofthsm2.so "pkcs11:model=SoftHSM%20v2;manufacturer=SoftHSM%20project;serial=01165599c52ea1fe;token=mimi"
P11_KIT_SERVER_ADDRESS=unix:path=/tmp/0-today/p11-kit/pkcs11-73; export P11_KIT_SERVER_ADDRESS;
P11_KIT_SERVER_PID=74; export P11_KIT_SERVER_PID;

No host remoto - B (172.18.0.3):

root@1de661b77dbd:~# export XDG_RUNTIME_DIR=/tmp/$(id -u)-nginx
root@1de661b77dbd:~# mkdir -p $XDG_RUNTIME_DIR && chmod 700 $XDG_RUNTIME_DIR
root@1de661b77dbd:~# systemd-path user-runtime
/tmp/0-nginx
root@1de661b77dbd:~#  systemctl enable p11-kit-client.service
Failed to enable unit, unit p11-kit-client.service does not exist.
root@1de661b77dbd:~# systemctl list-unit-files | grep p11
p11-kit-client.service                 enabled  enabled
root@1de661b77dbd:~# mkdir /tmp/0-nginx/p11-kit 

Eu tentei fazer ssh de A para a máquina B, mas recebi o aviso, então precisei criar em B, então o aviso acabou. Na/da máquina Assh -R /tmp/0-nginx/p11-kit/pkcs11:${P11_KIT_SERVER_ADDRESS#*=} [email protected]/tmp/0-nginx/p11-kit

root@b1d0c05c4ec6:~# ssh -R /tmp/0-nginx/p11-kit/pkcs11:${P11_KIT_SERVER_ADDRESS#*=}  [email protected]
and then
root@1de661b77dbd:~# ls -l /tmp/0-nginx/p11-kit/pkcs11
srw------- 1 root root 0 Oct 17 10:56 /tmp/0-nginx/p11-kit/pkcs11
p11tool --provider /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-client.so --list-tokens
p11tool --provider /usr/local/lib/pkcs11/p11-kit-client.so --list-tokens

=> Nenhum token aparece p11-kit-client.sona máquina remota.

Cometi um erro em algum dos passos? Por que nenhum token aparece na máquina remota ao usar p11-kit-client.so?

No PostgreSQL, tenho a seguinte configuração em pg_hba.conf:

local   all     sec_eng                 scram-sha-256
host    all     sec_eng                 scram-sha-256
hostssl all     app_server  192.168.1.0/32      scram-sha-256   clientcert=verify-full

Não há outras linhas de configuração.

Quando tento me conectar ao PostgreSQL usando sudo psql -U sec_eng, o cliente me autentica como um peer, e não me solicita nenhuma senha e, portanto, a autenticação falha.

Se eu tentar, sudo psql -U sec_eng -h localhostserei autenticado como Ident, não serei solicitado a digitar uma senha e, portanto, a autenticação falhará.

O que estou fazendo errado aqui? Como posso conectar ao PostgreSQL por meio de um Socket Unix, usando meu nome de usuário e uma senha?

Trabalhando em controladores de domínio executando o Windows Server 2022 21H2 Estou recebendo uma série de eventos 521 no log de segurança em cerca de metade dos meus DCs. O código de status é 80000005, que me disseram ser um estouro de buffer que pode ser resolvido aumentando o Buffersize e MaximumBuffers no Registro do Windows.

Eu fiz essa mudança em

HKLM/System/CurrentControlSet/Control/WMI/Autologger/EventLog-Security

Defina BufferSize como 256 e MaximumBuffers como 64 e, em seguida, reinicie. Os eventos 521 continuam a acumular e a disparar alertas críticos no ADAudit.

Quando verifico as configurações do Log de Segurança via PowerShell com isto:

get-winevent -ListLog security -computername dc-deadhorse-vm | fl *

Recebo esta informação de volta:

Tamanho do arquivo: 497094656

IsLogFull: Falso

Contagem de registros: 378351

Nome do log: Segurança

IsEnabled: Verdadeiro

Caminho do arquivo de log:%SystemRoot%\System32\Winevt\Logs\Security.evtx

TamanhoMáximoEmBytes: 537067520

Modo de Log: Backup Automático

Tamanho do buffer do provedor: 64

ProviderMinimumNumberOfBuffers: 0

ProviderMaximumNumberOfBuffers: 16

Latência do Provedor: 1000

Guia de controle do provedor:

Observe que BufferSize e MaximumBuffers parecem ainda estar nos valores padrão de 64 e 16, respectivamente, o que explicaria por que alterar o registro como eu fiz não fez diferença.

Isso está correto? Qual é o método apropriado para definir esses valores de buffer?

Para obter informações adicionais, também fiz o seguinte, conforme recomendado em outra discussão do fórum sobre o evento 521, e tudo não resultou em nenhuma alteração:

• Tamanho do log aumentado para 1 GB

• AutoArquivar habilitado

• Limpou o Log de Segurança

• Excluiu e recriou o arquivo Security .evtx

• Permissões confirmadas no arquivo .evtx

• Espaço em disco adequado confirmado

• Reiniciei o DC

Sua contribuição é bem-vinda!

Primeiramente gostaria de explicar que estou dando meus primeiros passos em networking em geral e no GCP em particular. Por isso peço desculpas se a pergunta não fizer sentido.

Estou enfrentando um desafio ao rotear tráfego de uma sub-rede na Europa por meio de um túnel VPN baseado nos Estados Unidos.

Aqui estão os detalhes:

• Detalhes da sub-rede: localizada em europe-west1, contendo 2 instâncias
• Túnel VPN: configurado nos EUA, com o gateway Cloud VPN no oeste dos EUA
• Problema: Não é possível adicionar a sub-rede europe-west1 ao túnel devido a diferenças regionais

Limitações atuais:

• Não é possível modificar o outro lado do túnel
• Não é possível realocar o Gateway para europe-west1, pois isso resultaria na perda do IP configurado no outro lado do túnel
• Não é possível selecionar um intervalo diferente de IPs locais para o túnel.
• Não é possível mover as instâncias de europe-west1 para outra região

Soluções tentadas:

• Tabelas de roteamento verificadas
• Tentei criar um Cloud NAT entre as duas sub-redes, mas essa abordagem não funciona, pois ambas as sub-redes devem estar na mesma região
• Tentativa de peering de VPC, que produziu o mesmo resultado

Pergunta principal: Existe um método para rotear tráfego de instâncias em uma região (europe-west1) por meio de um túnel VPN configurado em uma região diferente (us-west)?

A única coisa que consigo pensar é criar outra instância em uma sub-rede nos EUA que atue como um proxy entre as instâncias na Europa e o túnel, mas parece uma solução muito ineficiente e gostaria de saber se há alguma alternativa que me escape.

Gostaria de usar o mesmo limit_req_zone(ou seja, a mesma taxa de solicitação) em vários locais, mas com burstvalores diferentes para limit_req. A configuração a seguir deve ser capaz de servir 2 páginas e até 10 ativos de suporte para uma página em um único burst. Ele testa bem, mas essa é a maneira certa de fazer isso ou eu precisaria de duas limit_req_zonediretivas diferentes?

http {
    limit_req_zone $binary_remote_addr zone=lr_zone:10m rate=1r/s;
    #...
    server {
        #...
        location / {
            limit_req zone=lr_zone burst=2 nodelay;
            #...
        }
        location ~ ^/(css|fonts|images|pdf)/ {
            limit_req zone=lr_zone burst=10 nodelay;
            #...
        }
    }
}

Estou tentando entender a abordagem correta para oferecer suporte a e-mail via Postfix/Dovecot para usuários autenticados em rede e vários serviços de rede, como o Gitlab.

Meu servidor de autenticação de rede é o Ubuntu 22.04, usando OpenLDAP e Kerberos. Todos os meus usuários autenticados em rede herdam das classes posixAccountde PostfixBookMailAccountobjeto e enquanto minhas contas de serviço herdam apenas da última. Esta é uma tentativa de permitir login em várias máquinas apenas dos meus usuários, mas não das contas de serviço, mas para dar suporte a e-mail para ambos.

Tentei configurar o Dovecot para usar o pamdriver que funcionou para o e-mail do usuário, mas o Gitlab não funcionou. Modifiquei as configurações do PAM (que utilizavam Kerberos, mas não LDAP) adicionando LDAP antes do Kerberos. Isso incluiu configurar o PAM LDAP para pesquisar com base em mailEnabledem vez de posixAccountpara pesquisa do usuário, mas algo pode estar errado, pois ainda funcionou para usuários, mas não para serviços.

Também tentei configurar o Dovecot para usar o ldapdriver e fazer uma busca semelhante, mailEnabledmas algo também está errado, pois não funcionou para nenhuma conta.

Parece que eu poderia capitular e simplesmente criar contas de usuário para serviços como o Gitlab, mas isso desperta minha paranoia de segurança.

Antes de girar minhas rodas muito mais longe ou ir na direção errada, eu gostaria primeiro de entender se faz sentido distinguir essas duas fontes de e-mail ou se estou apenas pensando demais. Se eu deveria distinguir, alguém pode me indicar materiais de referência que descrevam essa abordagem ou fornecer algumas dicas se houver / quais considerações fazer ao configurar Postfix/Dovecot. Até agora, não tenho nenhuma combinação que se adapte a ambos os tipos de conta. Minha pesquisa na web não revelou nada sobre qual abordagem adotar e, portanto, nenhum material relevante.

Meu 10-auth.confcontém:

auth_krb5_keytab = /etc/dovecot/dovecot.keytab
auth_mechanisms = plain login gssapi

onde o keytab foi preenchido com imap, nslcde smtpprincipais.

Quando configurado para PAM, meu auth-network.conf.extse parece com:

passdb {
  driver = pam
}
userdb {
  driver = passwd
  args = uid=vmail gid=vmail home=/srv/vmail/%u mail=maildir:/srv/vmail/%u/Maildir
}

e quando configurado para LDAP é:

passdb {
  args = /etc/dovecot/dovecot-ldap.conf.ext
  driver = ldap
}
userdb {
  driver = prefetch
}
userdb {
  args = /etc/dovecot/dovecot-ldap.conf.ext
  driver = ldap
}

Contexto

A engenharia de software tem padrões de design de software (por exemplo, GoF ), que descrevem soluções para problemas comuns de codificação - geralmente no nível do código; da mesma forma, existem padrões de arquitetura (por exemplo, Fowler ) que lidam com a arquitetura do sistema em geral (embora estes lidem com considerações fora do código puro, eles geralmente parecem se concentrar mais em questões de engenharia de software do que em questões de infraestrutura).

Também notei que provedores de plataforma como a Microsoft estão lançando " padrões de design de nuvem ".

A infraestrutura como código (IoC) é uma complicação adicional em que considerações de nível de software/codificação começam a se tornar relevantes.

Pergunta(s) específica(s)

No reino da Infraestrutura, padrões orientados à infraestrutura são mesmo uma coisa? Se sim, há alguma coleção relativamente definitiva deles que seja amplamente compreendida pela comunidade de infraestrutura? Ou você apenas 'pega emprestado' padrões de arquitetura de sistema?

Aliás, supondo que a resposta acima seja, em termos gerais, "sim", os padrões de infraestrutura de nuvem são vistos como parte ou extensão desses padrões, ou são vistos como um conjunto separado?

Para sua informação

Sou um arquiteto de soluções que vem de um background de desenvolvimento de software, não de infraestrutura. Quando digo "infraestrutura", estou me referindo a coisas como redes, servidores físicos e virtuais e sua arquitetura de implantação, planejamento de capacidade e volume, segurança de servidor e rede, e assim por diante - basicamente qualquer coisa em que um arquiteto de "software" possa confiar, mas não arquitetar explicitamente a si mesmo.

Atualização - Definições

Só para esclarecer para quem estiver lendo isso mais tarde:

• " Padrões " é um termo amplo , que não é específico de uma disciplina...

• Em engenharia de software, um padrão de design de software é uma solução específica (muito parecida com uma receita) para um problema comum de nível de código. Esses tipos de padrão geralmente são agnósticos em tecnologia, mas podem ser específicos para um paradigma de linguagem de programação (por exemplo, Orientado a Objetos vs. uma alternativa).

• Padrões de Arquitetura (de Sistema/Aplicativo) abrangem problemas comuns de arquitetura e design em nível de sistema, incluindo: estrutura de componentes internos, funções e responsabilidades em nível de componente, aspectos transversais como autenticação e autorização, tratamento de erros e observabilidade, persistência de dados.

Temos uma conta de usuário antiga do AD com uma senha estática que é usada em várias máquinas para uma tarefa agendada e um serviço. Sei que o gMSA é melhor e, separadamente, estou no processo de colocá-lo em prática, mas essa conta precisa ficar ativa por mais um tempo.

Voltando a esta conta: Quero alterar a senha para atender aos critérios atuais de força de senha e garantir o hash AES, mas não tenho certeza se preciso alterá-la duas vezes com uma pausa de 10 horas entre elas ou se posso alterá-la consecutivamente e enviar a atualização da senha para os endpoints afetados.

Se alguém puder esclarecer o método de redefinição de intervalo de 2x e 10 horas ou se é possível fazer isso consecutivamente para essa finalidade, eu ficaria grato.

Obrigado!

Tenho um certificado de cliente que tem caracteres não ingleses no assunto. Quando uso o atributo $ssl_client_s_dn do ngx_http_ssl_module, o valor é escapado duas vezes.

valor real = "L=D'UNCONGÉ"

o \xC3 é codificado novamente para obter \x5CC3, preciso evitar isso

valor real = "L=D'UNCONG\x5CC3\x5C89"

valor esperado = "L=D'UNCONG\xC3\x89"

Alguém pode me aconselhar sobre o que fiz de errado? Como posso evitar isso?

Estou enfrentando um problema com o NFS nos últimos dias e realmente preciso de ajuda.

Minha configuração:

Armazenamento NAS: Synology, Exportação NFS /volume1/data

Nextcloud App Server: Debian, cliente NFS montado em /mnt/storage_cloud

Montar a exportação NFS 4.1 funciona bem, e eu posso acessar todos os dados com permissões de leitura/gravação como usuário root. No entanto, o usuário www-data (que executa o aplicativo Nextcloud) não consegue acessar o diretório de forma alguma.

O que tentei até agora:

• chown : -> alterando a propriedade de 'storage_cloud': Operação não permitida

• chmod 777 (sei que não é o ideal, mas vale a pena tentar): -> alterando permissões de 'storage_cloud': Operação não permitida

• setfacl: -> Operação não suportada

Depois de uma extensa pesquisa, descobri que usar Kerberos em vez de sys_auth pode ser uma solução, mas encontrei muito pouca documentação ou tutoriais sobre esse tópico.

Dado que minha configuração não parece particularmente complexa, parece que deveria haver uma solução mais simples para permitir acesso adequado ao compartilhamento NFS para www-data. Posso estar complicando demais as coisas.

Eu realmente apreciaria qualquer informação ou sugestão!

Obrigado antecipadamente, PP