jouell's questions

连接到后面带有 Tomcat 的 VIP/负载均衡器。

（到目前为止，tcpdump 看起来很干净......没有 RST）

使用 openssl 版本 1.2.q

$openssl s_client -connect "blah:443" -msg

    CONNECTED(00000003)

    >>> TLS 1.2  [length 0005]

        16 03 01 01 2c

    >>> TLS 1.2 Handshake [length 012c], ClientHello

        01 00 01 28 03 03 a8 3c de fd fd 63 19 ea 64 01

        <snip>

    <<< ??? [length 0005]

        16 03 03 00 51

    <<< TLS 1.2 Handshake [length 0051], ServerHello

        02 00 00 4d 03 03 dc dd fa a6 70 ab 42 29 26 5c

       <snip>

    <<< ??? [length 0005]

        16 03 03 11 9b

    <<< TLS 1.2 Handshake [length 119b], Certificate

        0b 00 11 97 00 11 94 00 06 01 30 82 05 fd 30 82

        <snip>

    verify error:num=20:unable to get local issuer certificate

    <<< ??? [length 0005]

        16 03 03 00 2e

    <<< TLS 1.2 Handshake [length 002a], CertificateRequest

        0d 00 00 26 03 01 02 40 00 1e 06 01 06 02 06 03

        05 01 05 02 05 03 04 01 04 02 04 03 03 01 03 02

        03 03 02 01 02 02 02 03 00 00

    <<< TLS 1.2 Handshake [length 0004], ServerHelloDone

        0e 00 00 00

    >>> ??? [length 0005]

        16 03 03 00 07

    >>> TLS 1.2 Handshake [length 0007], Certificate

        0b 00 00 03 00 00 00

    >>> ??? [length 0005]

        16 03 03 01 06

    >>> TLS 1.2 Handshake [length 0106], ClientKeyExchange

        10 00 01 02 01 00 93 7b b5 46 e4 a0 33 ef 9d 25

        <snip>

    >>> ??? [length 0005]

        14 03 03 00 01

    >>> TLS 1.2 ChangeCipherSpec [length 0001]

        01

    >>> ??? [length 0005]

        16 03 03 00 50

    >>> TLS 1.2 Handshake [length 0010], Finished

        14 00 00 0c f6 30 0b ca 0d 1c e9 b1 2d ec 91 90

    140048048748200:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:



No client certificate CA names sent

Client Certificate Types: RSA sign, DSA sign, ECDSA sign

Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1

Shared Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1

---

SSL handshake has read 4649 bytes and written 370 bytes

---

New, TLSv1/SSLv3, Cipher is AES256-SHA256

Server public key is 2048 bit

Secure Renegotiation IS supported

Compression: NONE

Expansion: NONE

No ALPN negotiated

SSL-Session:

    Protocol  : TLSv1.2

    Cipher    : AES256-SHA256

    Session-ID: <snip>    
    Session-ID-ctx:

    Master-Key: <snip>    
    Key-Arg   : None

    PSK identity: None

    PSK identity hint: None

    SRP username: None

    Start Time: 1548174269

    Timeout   : 300 (sec)

    Verify return code: 20 (unable to get local issuer certificate)

一切似乎进展顺利，除了我在完成消息后看到“140048048748200:error:140790E5:SSLroutines:ssl23_write:ssl handshake failure:s23_lib.c:177:”。

（FWIW，我的目标是使用 ssl 连接 python3 以收集证书，但目前不能）

这里有任何指示吗？我无法在我的位置尝试 1.1.0 或 1.1.1。

我已经为测试目的设置了 Ubuntu。-安装了 MIT kerberos（最新） -安装了 OpeenSsh（最新）

我已经设置并使用了 KerberosAuthentication 和 pam_krb5 类型的身份验证以及 GSSAPIAuthentication。一切都很好。

当我设置仅使用“KerberosAuthentication”或“pam_krb5”时，我看到对主机/的请求：

Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: NEEDED_PREAUTH: [email protected] for krbtgt/[email protected], Additional pre-authentication required
Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: NEEDED_PREAUTH: [email protected] for krbtgt/[email protected], Additional pre-authentication required
Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, [email protected] for krbtgt/[email protected]
Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, [email protected] for krbtgt/[email protected]
Nov 20 00:09:11 kdcname krb5kdc[12476](info): TGS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, [email protected] for host/[email protected]
Nov 20 00:09:11 kdcname krb5kdc[12476](info): TGS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, [email protected] for host/[email protected]

某些东西（TGS_REQ）是否需要主机/服务主体？

在我看来，您只需要 AS_REQ 来验证用户的密码。

我已将 Apache 设置为使用 HSTS，如下所示，仅用于测试和学习目的：

/etc/apache2/sites-enabled/000-default.conf

NameVirtualHost 192.168.3.55:80
NameVirtualHost 192.168.3.55:443
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
<Directory /var/www/>
    Options Indexes FollowSymLinks MultiViews
    AllowOverride None
    Order allow,deny
    allow from all
 </Directory>
<VirtualHost www:80>
 ServerName www
 ServerAdmin webmaster@localhost
 DocumentRoot /var/www/html
</VirtualHost>
<VirtualHost www:443>
 ServerAdmin webmaster@localhost
 DocumentRoot /var/www/html
 ServerName www
 SSLEngine on
 SSLCertificateFile "/etc/apache2/ssl/mysitename.crt"
 SSLCertificateKeyFile "/etc/apache2/ssl/mysitename.key"
 Header always set Strict-Transport-Security "max-age=63072000;includeSubdomains;"
</VirtualHost>

我可以连接到端口 80 和端口 443 就好了。第一个站点没有加密，后者是。那里一切都好。

访问 HTTPS 站点后，我看到 hsts 标头很好：

Strict-Transport-Security:max-age=63072000; includeSubdomains; 

当我然后输入http://www我确实看到：

Upgrade-Insecure-Requests: 1 in the header using developer tools

但是，浏览器连接到 HTTP 站点，我 tcpdump 请求并看到响应仍然清晰。

它不应该是安全连接还是我错过了什么？我以为浏览器从现在开始只会尝试访问受保护的站点）

为了进行测试，我将全局打开文件限制更改为 3000：

#sysctl -w fs.file-max=3000
fs.file-max = 3000

#cat /proc/sys/fs/file-nr
2016    0       3000

我创建了一些文件：

 i=1; while [ "$i" -le 1000  ]; do : >> "$i"; i=$(($i + 1)); done

我把它们打开了：

i=1; while [ "$i" -le 1000  ]; do less  "$i" & ; i=$(($i + 1)); done

我已经看到了我刚刚制造的混乱：

ksh: /bin/less: cannot execute [Too many open files in system]

我知道我达到了极限......

# cat  /proc/sys/fs/file-nr
3008    0       3000

如果我现在提高打开文件限制（这样我就可以使用另一个控制台进行 ssh 了）并且如果我在将打开文件最大值设置为 3000 后检查最近生成的一个较少的文件，我会看到：

# cat /proc/28282/limits  | grep 'Max open files'
Limit                     Soft Limit           Hard Limit       Units
Max open files            1024                 16384            files

“硬限制”仍然设置得很高，虽然没有提到 3000。所以我们达到了系统限制，而不是每个进程的限制。

为什么不指示新创建的进程继承 3000 vs 16384？

我用一个新的 shell 登录了一个新的终端，那么为什么我的 shell 不被告知 3000 并将其传递给 less 呢？

这是一个 2.6.32 内核

我在这里看到：https ://httpd.apache.org/docs/current/invoking.html

“如果配置文件中指定的Listen默认为80（或1024以下的任何其他端口），则需要root权限才能启动apache，这样才能绑定到这个有权限的端口。

一旦服务器启动并执行了一些初步活动，例如打开其日志文件，它将启动几个子进程，这些进程负责侦听和回答来自客户端的请求。主 httpd 进程继续以 root 用户身份运行，但子进程以特权较低的用户身份运行。"

问题是：子进程如何做到这一点？传入请求发生在主机现在绑定到的端口 80 上。

我猜主进程将调用 bind() 调用，然后子进程可以对绑定的套接字进行 listen() 调用？或者主服务器是否将传入数据传递给子服务器？

我们设置了一个无线局域网控制器，用于针对（朗讯）Radius 服务器对用户进行身份验证。用户名和密码存储在数据库中。大约每周一次，radius/java 进程上的 cpu 峰值达到 %100 cpu，并且 REALM-X 的所有用户都获得访问拒绝/拒绝身份验证，而 REALM-Y 的用户不受影响。

重新启动 radius 服务后，我们再次看到 REALM-X 用户的 ACCESS-ACCEPT 消息。我们在日志中注意到似乎大多数客户端/请求者重复发送身份验证请求。在一个小时左右的时间内，某些用户最多可以有 500-1000 个身份验证。

我相信高cpu是高负载的一个功能。我们试图了解为什么请求者（android/iphones/各种笔记本电脑）会发送如此多的身份验证请求。我们将会话设置为 1 小时。一旦请求者通过身份验证，半径就不是“完成”了吗？

我不明白 openssl 输出。运行openssl如下：

#openssl s_client -connect google.com:443 -CAfile cacert.pem < /dev/null

最终一切都很好，最终实体的证书被验证OK： Verify return code: 0 (ok)

但是return:1对于下面的中间体，在输出开头的验证呢？这是什么意思或意义何在？

depth=3 C = US, O = Equifax, OU = Equifax 安全证书颁发机构验证返回：1
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA 验证返回：1
depth=1 C = US, O = Google Inc, CN = Google Internet Authority G2 验证返回：1
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = google.com 验证返回：1

---
证书链
 0 秒：/C=US/ST=加利福尼亚/L=山景/O=Google Inc/CN=google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax 安全证书颁发机构
---

背景/行为是：如果您 ssh 到 box via 并且 GSSAPI/Kerberos 成功并且您在/etc/passwd中有一个本地用户，那么您可以按照以下 PAM 配置正常登录。那里一切都好。

但是，如果您在/etc/passwd中没有本地用户，但您可以获得主机/XXXXXX 服务票证（GSSAPI 有效），sshd 登录失败并且永远不会收到 SecurID 提示（我们的 pam 半径指向 SecurID）。我明白那个。由于服务器对用户进行了“身份验证”，并且 pam_unix知道该用户不在 /etc/passwd 中，因此无需使用任何其他身份验证方法。

但是，我的问题是，如果我第一次运行 kdestroy（故意让 GSSAPI 失败），（并且 /etc/passwd 中仍然不存在），为什么我会突然得到一个 Securid 提示（即 PAM 已启用）？

使用调试运行 sshd 显示：为无效用户“用户”推迟键盘交互。首先，为什么它不会简单地失败？二、为什么要拖延？pam_radius 是“必需的”，而不是“必需的”。

我希望也能简单地失败，因为即使我没有进行身份验证，我也永远不会通过 pam_unix。

文件：

/etc/ssh/sshd_config

....  
ChallengeResponseAuthentication yes  
GSSAPIAuthentication            yes  
HostbasedAuthentication         no  
KerberosAuthentication          no  
PasswordAuthentication          no  
PubkeyAuthentication            yes  
RhostsRSAAuthentication         no  
RSAAuthentication               yes  
UsePAM                          yes      
....

/etc/pam.d/sshd

auth       requisite        pam_radius_auth.so conf=pam_radius_auth.conf debug retry=3  
auth       required     pam_nologin.so  
auth     required     pam_krb5.so.1  
account  sufficient      pam_radius_auth.so conf=pam_radius_auth.conf  
account    required     pam_stack.so service=system-auth  
password   required     pam_stack.so service=system-auth  
session    required     pam_stack.so service=system-auth  
session    required     pam_limits.so  
session    optional     pam_console.so  

/etc/pam.d/system-auth

auth        required      pam_env.so  
auth        sufficient    pam_krb5.so.1  
auth        sufficient    pam_unix.so  
auth        required      pam_deny.so  
account     required      pam_unix.so  
password    required      pam_cracklib.so retry=3  
password    sufficient    pam_unix.so use_authtok md5 shadow  
password    required      pam_deny.so  
session     required      pam_limits.so  
session     required      pam_unix.so  

我了解 kerberos 使用加密提供身份验证。我看到它交换会话密钥。执行身份验证后，用于应用程序的会话密钥是否通过该网络加密发送数据？

举个例子来说明：

如果我对我的 telnet 服务器和客户端进行 kerberize，那么我的客户端和服务器会话也会被加密（可能使用上述会话密钥）（即嗅探器无法看到我在会话中键入的命令）？

我看到基于 HTTP 的 SPNEGO kerberos 不遵循这一点，因此需要使用 SSL 来保护会话。

如果我部署服务器调用 FOO/host.example.com@myrealm 客户端如何知道服务名称是 FOO？

ENV：Unix / MIT kerberos 1.4 或 1.10

我看到 windows 有某种映射：主机/机器 SPN 究竟是如何工作的？，那unix呢？