Little Code's questions

nft让我头疼不已，无论我如何调整政策，我仍然无法让它发挥作用。

我想到的概念：

• 一个存在通用规则的“基础”链（例如允许ssh等）
• 一个或多个特定于守护程序特定规则所在的应用程序（例如 http 服务器链）

我尝试了许多不同的规则排列，但我永远无法同时获得“基础”+ 守护程序流量，我总是最终阻止其中一个！;-(

这是我当前的（简化的）配置（目前构成它允许ssh但不允许http）

/etc/nftables.conf：

#!/usr/sbin/nft -f                                                                                                                                                                                                                                              
flush ruleset                                                                                                                       
table inet filter {   
     counter input_ssh {}     
        set my_admin_ipv4 {                                                                                                        
                type ipv4_addr                                                                                                      
                flags interval                                                                                                      
                counter                                                                                                             
                elements = {                                                                                                        
                        10.0.0.0/8,                                                                                                 
                        172.16.0.0/12,                                                                                              
                        192.168.0.0/16                                                                                                                                                                                      
                }                                                                                                                   
        }         
       chain input {
                type filter hook input priority filter;
                iifname lo accept comment "Allow loopback traffic";
                ct state established,related accept comment "Allow established/related connections";
                ct state invalid drop comment "Deny invalid connections";

                # SSH
                tcp dport ssh ip saddr @my_admin_ipv4 counter name input_ssh accept comment "Allow IPv4 SSH from Admin";
    policy drop;
        }
        chain forward {
                type filter hook forward priority 0;
                policy drop;
        }
        chain output {
                type filter hook output priority 0;
        }
 include "/etc/nft/*.conf"
}

/etc/nft/http.conf：

counter input_http {} 
   chain http {
    type filter hook input priority filter - 1;
      # HTTP #
      tcp dport {80,443} counter name input_nginx accept comment "Allow HTTP";
    policy accept; 
    }

我正在尝试使用受限选项签署一些 SSH 密钥。

我最初的尝试如下：

ssh-keygen -s /path/to/ca-ssh.pem -D opensc-pkcs11.so -n barfoo -O no-agent-forwarding -O no-port-forwarding -O no-x11-forwarding -O no-user-rc -O no-pty -I foo -z 12345 /path/to/pub

然而，这会产生一个没有选项的结果：

    $ ssh-keygen -L -f
    Type: [email protected] user certificate                                                                                                                           
    Public key: ED25519-CERT SHA256:secretsquirrel                                                                                                      
    Signing CA: RSA SHA256: secretsquirrel                                                                                                                
    Key ID: "foo"                                                                                                                                        
    Serial: 12345                                                                                                                                                       
    Valid: forever                                                                                                                                                                    
    Principals:                                                                                                                                                                       
            barfoo                                                                                                                                                                       
    Critical Options: (none)                                                                                                                                                          
    Extensions: (none)  

首先，我想我会-O clear在其他选项之前添加。但这产生了同样的结果(none)。

所以我想我会尝试-O critical:no-agent-forwarding样式语法，但这会产生：

Critical Options:
        no-agent-forwarding UNKNOWN OPTION (len 0)

最后我尝试-O critical:no-agent-forwarding=true了，但这与UNKNOWN OPTION上面的结果相同。

没关系，但我使用的版本是：

• Debian 10（破坏者）
• OpenSSH_7.9p1 Debian-10+deb10u2，OpenSSL 1.1.1d 2019 年 9 月 10 日

（slapd 2.4.47+dfsg-3+deb10u3 - 来自 Debian 10）

我已经搜索了有关此问题的先前答案，但是尽管遵循了建议（使用changetype: modify），但我仍然遇到问题。

问题是需要能够编写一个混合了新元素和需要修改的现有元素的 LDIF 文件。

但是，以下两种方法都不起作用。

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: foo
-
add: olcTLSCertificateFile
olcTLSCertificateFile: foo
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: foo
-
add: olcTLSCipherSuite
olcTLSCipherSuite: foo
-
add: olcTLSVerifyClient
olcTLSVerifyClient: foo

运行时ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/myconfigs/ldifs/certs.ldif"会出现以下错误：

          SASL/EXTERNAL authentication started                                                                                                                                      
          SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth                                                                                                    
          SASL SSF: 0                                                                                                                                                               
          ldap_modify: Inappropriate matching (18)                                                                                                                                  
                additional info: modify/add: olcTLSCACertificateFile: no equality matching rule  

如果我再适应一种replace风格：

dn: cn=config
changetype: modify
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: foo
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: foo
-
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: foo
-
replace: olcTLSCipherSuite
olcTLSCipherSuite: foo
-
replace: olcTLSVerifyClient
olcTLSVerifyClient: foo

错误变为：

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
ldap_modify: Other (e.g., implementation specific) error (80)

“如果不存在则添加，如果存在则替换”的正确语法是什么？