ProfHase85提出的问题 -server

ProfHase85

Asked: 2020-12-29 05:57:55 +0800 CST

Nginx - 伪造主机头

0

Django 应用程序依赖于某些链接等的主机头。在我的设置中，我有一个 django 应用程序在 nginx 后面作为反向代理运行（具有非默认值server_name）

根据：

https://docs.djangoproject.com/en/3.1/topics/security/#host-header-validation

例如，即使 Apache 被配置为从设置了 ServerName 的非默认虚拟主机提供您的 Django 站点，HTTP 请求仍然有可能匹配该虚拟主机并提供虚假的 Host 标头

我找不到任何关于是否或如何在 nginx 中完成的信息。

依赖来自nginx的标头在webapp中盲目允许真的不安全吗？

ProfHase85

Asked: 2019-11-15 02:40:37 +0800 CST

nginx 一些密码未提供密码

0

我正在使用具有以下设置的官方 nginx:1.15.5 图像：

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256;

与某些密码的握手失败：

openssl s_client -cipher "$cipher" -connect $SERVER

测试 ECDHE-ECDSA-AES128-SHA256...NO（sslv3 警报握手失败）

我附加到 nginx 容器中并检查：

openssl ciphers并且上面提到的密码在输出中。

我的想法不多了，与配置nginx和提供的一些密码的握手openssl失败的原因可能是什么？

ProfHase85

Asked: 2018-12-17 08:39:46 +0800 CST

流量不会通过 vpn 路由

0

正确设置tincVPN 节点（vpn 连接有效）：我设置了以下选项

net.ipv4.ip_forward =  1
iptables -t nat -A POSTROUTING -o ens2 -j MASQUERADE

如果我然后在我的客户端上设置路线

# need this rule to connect vpn after changing default GW
ip route add $VPN_PUBLIC_ADDR via $NETWORK_GATEWAY 
ip route del default
# route traffic through vpn
ip route add default via $VPN_PRIVATE_IP

我只能访问vpn中的主机->流量没有被转发，只是vpn连接正常。

我错过了什么？如何分析问题的原因？

编辑：在 vpn 服务器端没有设置防火墙（据我所知）

iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere

ProfHase85

Asked: 2018-03-10 07:57:19 +0800 CST

硬化石墨（碳）

1

我想使用石墨从不同的服务器收集指标。默认情况下，carbon 在所有接口上监听 2003，这对我来说很好。

现在理论上任何人都可以在那里发送度量数据。是否有防止这种情况发生的标准方法（类似于 http base auth ）或者我是否需要弄乱物理接口上基于 IP 的限制？

ProfHase85

Asked: 2015-02-11 04:54:31 +0800 CST

Monit - 如果邮件服务器关闭，则发送警报

0

有没有办法通过邮件以外的方式进行监控：

有时邮件服务器已关闭。我将如何收到有关它的消息？我的想法是让monit将http请求传递给定义的服务，这可能吗？（例如发送到我的 graylog 服务器的 gelf 消息，甚至是自制服务）

ProfHase85

Asked: 2015-01-15 06:08:37 +0800 CST

从 jabber 服务器获取 SSL 证书链

10

尝试使用自签名证书将我的 jabber 客户端（pidgin）连接到 jabber 服务器，我收到“无法验证证书”错误。

由于无法告诉客户不要验证链，我想获取证书链以便将其导入那里。因此我使用：

openssl s_client -connect my.jabber.server.net:5222 </dev/null

我得到以下答案：

openssl s_client -connect cup1.sprachdienst.fraunhofer.de:5222

> CONNECTED(00000003) 140472458057376:error:140790E5:SSL
> routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:177:
> --- no peer certificate available
> --- No client certificate CA names sent
> --- SSL handshake has read 0 bytes and written 213 bytes
> --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE
> ---

为什么我没有得到证书链而我的 jabber 客户端有？

ProfHase85

Asked: 2014-11-13 04:02:52 +0800 CST

带有自定义证书的卷曲

3

我希望 curl 与 goDaddy 签名的网站一起工作：如果我打电话

curl mypage.com/bla

我收到证书验证错误。我尝试使用此代码段获取 ca 证书：

echo | openssl s_client -connect mysite.com:443 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cert.pem

然后打电话

curl mypage.com/bla --cacert cert.pem

这也导致了验证错误。我检查了证书日期和主题，一切似乎都很好？

我错过了什么？我可能需要整个链条吗？如果是，是否有命令可以全部获取？

ProfHase85

Asked: 2014-11-08 06:55:42 +0800 CST

ipaddress 交换导致两台机器都无法访问

0

我在同一子网中的 SLES11 SP3 上运行了两台虚拟机，我想即时交换它们的 IP 地址。我在两台机器上都尝试了以下脚本（当然有两个不同的 ip 参数）（通过 ssh 登录，然后调用它）：

#! /bin/bash

sleep 20
ifconfig eth0 [[old_ip/new_ip]] netmask 255.255.255.0

这导致两台机器都无法访问。

我做错了什么？也许yast起了作用？
任何更好的想法如何执行交换？

ProfHase85

Asked: 2014-09-03 00:19:38 +0800 CST

Postfix 拒绝向某些收件人发送邮件

1

我有一个第三方应用程序正在运行，localhost试图在同一台机器上通过 smtp 发送带有后缀的邮件。问题是 postfix 似乎拒绝向某些收件人发送邮件：

内容/var/log/mail

Sep  1 00:05:35 myhost postfix/smtpd[20574]: connect from localhost[127.0.0.1]
Sep  1 00:05:35 myhost postfix/smtpd[20574]: B70E59A050: client=localhost[127.0.0.1]
Sep  1 00:05:35 myhost postfix/smtpd[20574]: lost connection after DATA (0 bytes) from localhost[127.0.0\
.1]

同时发送应用程序说：

cannot send mail to recipient@... please check connectivity

此错误仅发生在某些收件人身上。

我检查了我的main.cf：

mynetworks = 127.0.0.1/32, 192.76.247.2/32, 192.76.247.3/32, 192.76.247.4/32
smtpd_recipient_restrictions = permit_mynetworks,reject_unauth_destination

有什么我错过的吗？或者是否有任何其他设置来限制收件人？

mail_version = 2.9.4在 SLES11 SP3 上运行 postconf

使用发送邮件到相同的域

echo "test" | mail -s "test" [email protected]

工作没有问题。

TCP 转储输出

11  0.001483    127.0.0.1   127.0.0.1   SMTP    107 C: RCPT TO:[email protected]>
12  0.002311    127.0.0.1   127.0.0.1   SMTP    80  S: 250 2.1.5 Ok
13  0.002485    127.0.0.1   127.0.0.1   SMTP    72  C: DATA
14  0.002555    127.0.0.1   127.0.0.1   SMTP    103 S: 354 End data with <CR><LF>.<CR><LF>

ProfHase85

Asked: 2014-07-02 01:09:11 +0800 CST

在 Proxypass 之前重写规则

7

有一个应用程序在端口 10001 上运行，我希望有一个反向代理来为它提供服务hostname/ds。唯一的问题是有硬链接脚本/scripts/...

这意味着hostname/ds/应该让我localhost:10001/并且hostname/scripts应该首先将请求 url 重写为hostname/ds/scripts/*.

我的配置：

<VirtualHost *:80>
RewriteEngine on
RewriteRule /^scripts/(.*)$ /ds/scripts/$1 [L,PT]   

ProxyPass /ds/ http://127.0.0.1:10001/
ProxyPassReverse /ds/ http://127.0.0.1:10001/

</VirtualHost>

它不起作用：hostname/scripts/得到一个 404。同时hostname/ds/scripts/得到应用程序的正确答案。

根据https://stackoverflow.com/questions/9003358/apache-rewrite-then-proxy-pass PT应该可以工作。我究竟做错了什么？

Nginx - 伪造主机头

nginx 一些密码未提供密码

流量不会通过 vpn 路由

硬化石墨（碳）

Monit - 如果邮件服务器关闭，则发送警报

从 jabber 服务器获取 SSL 证书链

带有自定义证书的卷曲

ipaddress 交换导致两台机器都无法访问

Postfix 拒绝向某些收件人发送邮件

在 Proxypass 之前重写规则

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

ProfHase85's questions