pbuchheit's questions

我目前正在尝试创建一个 shell 脚本，它将在远程 mysql 数据库上执行 mysqldump，然后将输出文件复制回我的本地计算机。我遇到的问题是我不想将密码硬编码到脚本中。我尝试使用“read”提示用户输入，但该变量似乎没有传递给远程命令。

作为参考，我的脚本看起来像这样：

#!/bin/bash
PASSWORD=""
TABLE=""
while getopts t: flag
do
   case "${flag}" in
      t) TABLE=${OPTARG};;
      *) echo 'invalid argument.'
   esac
done
read -sp "input the mysql password:" PASSWORD
#this is just to verify what the local and remote command is seeing
echo "$TABLE, $PASSWORD"
ssh myserver -p 9999 "echo $TABLE, $PASSWORD"
#this is the ssh command 
ssh myserver -p 9999 "mysqldump --xml -h somesql.us-east-1.rds.amazonaws.com -u admin -p ${PASSWORD} mydb ${TABLE} > ${TABLE}.xml"
scp -p 9999 myserver:/${TABLE}.xml ${TABLE.xml}

如果我运行该脚本

./data_input.sh -t mytable

它会提示输入密码，但在 ssh 命令运行时看不到 PASSWORD 变量，并且 mysqldump 将无法进行身份验证。将用户输入变量传递给 ssh 命令的正确方法是什么？

我正在尝试为 sql server 设置安全证书。根据文档，我需要设置权限，以便 sql server 实例可以读取私钥。我尝试通过 mmc 设置权限（请参阅https://stackoverflow.com/questions/36830411/how-can-i-give-sql-server-permission-to-read-my-ssl-key）。我右键单击证书，选择“所有任务”，选择“管理私钥”，它会弹出用户对话框。问题是，sql server 实例作为“NT Service\MSSQLSERVER”运行。该用户未出现在组或用户名部分中，如果我尝试将其添加为新用户，我将找不到它。

我尝试了此处列出的过程： 如何将网络服务添加到用户权限组？ 但我仍然无法找到该用户或组。我在这里做错了什么？

我正在尝试按照此处提供的说明进行操作：https ://codekabinett.com/rdumps.php?Lang=2&targetDoc=create-install-ssl-tls-certificate-sql-server用于设置用于测试的自签名证书。我能够成功创建证书和密钥并将它们转换为 .pfx 文件。现在我正在尝试使用证书导入向导将该 pfx 实际导入本地计算机。选择文件后，它会询问私钥的密码。我假设这是创建证书或转换为 pfx 时选择的密码。无论哪种方式，它都不会接受密码。我仔细检查以确保我没有输入错误。我删除了所有文件并使用相同的密码重新创建了它们。还是被拒绝了。在这一点上，我不确定还有什么可以尝试的。我在这里想念什么？

仅供参考，这是我用来生成文件的命令：

openssl req -x509 -newkey rsa:4096 -keyout C:\Users\pbuchheit\sqlkey.pem -out c:\Users\pbuchheit\sqlcert.pem -days 3650 -extensions server_ssl

openssl pkcs12 -export -out C:\Users\pbuchheit\sqlcert.pfx -inkey C:\Users\pbuchheit\sqlkey.pem -in C:\Users\pbuchheit\sqlcert.pem

更新：

问题似乎与 pfx 文件有关。如果我尝试不安装普通证书 (.crt) 文件，它工作正常。将 crt 和密钥转换为 pfx 时，密码是否会被删除或更改？

从 java 应用程序调用第三方 API 时，我遇到了一些麻烦。外部 API 至少需要以下密码之一：

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

我按照此处的说明进行操作：https ://confluence.atlassian.com/stashkb/list-ciphers-used-by-jvm-679609085.html尝试升级我的应用程序服务器上的可用密码。但是，升级后我仍然没有看到列出的任何兼容密码。

我怀疑问题是我的服务器正在运行 jdk 1.7 。这是一个遗留应用程序，所以很遗憾我无法升级到更新的 jdk。有没有办法将这些密码添加到我现有的 java 安装中？

更新： 我想出了如何添加额外的密码，但它似乎没有帮助。在我的套接字工厂中，我添加了一些这样的代码：

private Socket acceptOnlyTLS12(Socket socket) {
        if (!(socket instanceof SSLSocket))
            return socket;
        SSLSocket sslSocket = (SSLSocket) socket;
        sslSocket.setEnabledProtocols(new String[] { "TLSv1.2" });
        List<String> ciphers = new ArrayList<String>(Arrays.asList(sslSocket.getEnabledCipherSuites()));
        ciphers.add("TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256");
        sslSocket.setEnabledCipherSuites(ciphers.toArray(new String[] {}));
        return sslSocket;
    }

我在某个地方还缺少另一个步骤吗？是否有某种方法可以获取有关 ssl 握手失败原因的其他信息？

我有一个现有的网站，需要链接到我们网络服务器上的 pdf 文件。问题是，只有通过登录站点进行身份验证的用户才能查看该文件。我已经尝试了所有我能想到的东西，但我只是不知道如何配置 apache 来做我想做的事。要么它允许每个人访问该文件，要么没有人有权访问。

如何设置配置，以便仅授权来自 foo.bar.com 的请求从 blah.baz.com 获取文件？

更新 在我当前拥有的站点的配置文件中

  <Directory "/usr/local/web/static/foo">
  Order allow,deny
  Deny from all
  Allow from foo.bar.com
  </Directory>

当我在 chrome 控制台中检查失败的请求时，我可以看到它包含

Host:blah.baz.com
Referer:http://foo.bar.com/