Shadur's questions

我正在设置 haproxy 作为互联网和在其他隔离的 k8s 集群中运行的多个服务之间的中介。

我已经通过纯 http 成功测试了与后端的连接，但是现在我正在尝试处理那里的 SSL 组件，并且出于某种原因，无论我尝试什么，我都会在日志中收到以下内容：

Jan 22 11:10:22 jake haproxy[170526]: 95.214.55.185:34832 [22/Jan/2025:11:10:21.968] xanadu-ingress-front/3: SSL handshake failure (error:0A000076:SSL routines::no suitable signature algorithm)

尝试通过openssl s_client以下方式进行故障排除（IP 地址和 DNS 名称已更改以保护有罪者）：

shadur@luminosity:~$ openssl s_client --connect teapot.example.com:443 
Connecting to 1.2.3.4 CONNECTED(00000003)
40E7B2BBBA7F0000:error:0A000410:SSL routines:ssl3_read_bytes:ssl/tls alert handshake failure:../ssl/record/rec_layer_s3.c:907:SSL alert number 40
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 335 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)

haproxy 配置文件如下：

global
        log /dev/log    local0
        log /dev/log    local1 notice
        chroot /var/lib/haproxy
        stats socket /run/haproxy/admin.sock mode 660 level admin
        stats timeout 30s
        user haproxy
        group haproxy
        daemon

        # Default SSL material locations
        ca-base /etc/ssl/certs
        crt-base /etc/ssl/private


        # generated 2025-01-22, Mozilla Guideline v5.7, HAProxy 3.1.2, OpenSSL 3.4.0, intermediate config
        # https://ssl-config.mozilla.org/#server=haproxy&version=3.1.2&config=intermediate&openssl=3.4.0&guideline=5.7
        # intermediate configuration
        ssl-default-bind-curves X25519:prime256v1:secp384r1
        ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305
        ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
        ssl-default-bind-options prefer-client-ciphers ssl-min-ver TLSv1.2 no-tls-tickets

        ssl-default-server-curves X25519:prime256v1:secp384r1
        ssl-default-server-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305
        ssl-default-server-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
        ssl-default-server-options ssl-min-ver TLSv1.2 no-tls-tickets

        # curl https://ssl-config.mozilla.org/ffdhe2048.txt > /path/to/dhparam
        ssl-dh-param-file /etc/ssl/private/dhparam


defaults
        log     global
        mode    http
        option  httplog
        option  dontlognull
        timeout connect 5000
        timeout client  50000
        timeout server  50000
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http

crt-store company
  crt-base /etc/ssl/certs/
  key-base /etc/ssl/private/
  load crt "company.com-full.pem" key "company.nl.key" alias "company"
  load crt "company.net-full.pem" key "company.net.key" alias "company.net"

frontend xanadu-ingress-front
  bind 1.2.3.4:80
  bind 1:2:3:4:5:6:7:8:80 transparent
  bind 1.2.3.4:443 ssl crt-list /etc/ssl/crt-lists/company.list alpn h2,http/1.1
  http-request redirect scheme https unless { ssl_fc }
  default_backend xanadu-ingress-back
  option httplog

backend xanadu-ingress-back
  mode http
  server xanadu 172.16.41.80:80 check

我确信我遗漏了一些非常简单且明显的东西，但我不知道是什么。任何帮助都将不胜感激。

我自己主要是 PostgreSQL 的命令行用户，但对于其他人，我最近有理由设置 PHPPGAdmin 前端。

但是，我遇到了一个问题——虽然在命令行用户登录和连接到他们应该有权访问的数据库没有问题，但在 PHPPGAdmin 前端他们无法看到他们没有的数据库'不拥有（但有读取权限）。

我尝试了以下方法：

GRANT CONNECT ON DATABASE example TO otheruser;
GRANT USAGE ON SCHEMA public TO otheruser;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO otheruser;

如前所述，当使用软件或直接命令行连接时，这足以让它们连接并从数据库中选择；问题似乎出在 PHPPGAdmin 上。

欢迎任何关于我可能忽略的建议。

我最近在使用 Apache 2.4 和 PHP7 的 Debian Stretch 系统上通过proxy_fcgi和php-fpm.

它在测试阶段运行良好，但第一个客户正在使用一个 Moodle 网站，该网站大量使用了所谓的“斜线参数”（IE，请求，比如说，index.php/these/are/parameters/）。

按照moodle网站上的说明，我尝试设置AcceptPathInfo为On，甚至尝试security_limit_extensions在PHP中禁用，但到目前为止似乎没有任何效果。

相关配置粘贴在下面。我很肯定我在某个地方错过了一些简单的东西，但是我已经没有想法去哪里看。

（注意：常规 php 工作正常；斜杠参数不能。当设置cgi.fix_pathinfo为 0 时要求https://www.domain.nl/lib/javascript.php/foo/bar“未指定输入文件”；将其设置为 1 会导致“未找到有效的 Javascript 文件”，这至少表明该脚本被调用但参数没有正确传递给代理......）

阿帕奇：

<VirtualHost *:443>
    ServerName www.domain.nl
    ServerAlias domain.nl new.domain.nl

    DocumentRoot /home/webclients/www.domain.nl/public_html/
    Alias /cgi-bin/ /home/webclients/www.domain.nl/cgi-bin/
    CustomLog /var/log/apache2/www.domain.nl/access.log combined
    ErrorLog /home/webclients/www.domain.nl/logs/error.log
    TransferLog /home/webclients/www.domain.nl/logs/access.log

    ProxyPassMatch ^/(.*\.php(/.*)?)$ unix:/var/run/php-fpm/domain.sock|fcgi://localhost/home/webclients/www.domain.nl/public_html
    SSLOptions +StdEnvVars

    <IfModule mod_suexec.c>
        SuExecUserGroup domain webclients
    </IfModule>

    <Directory /home/webclients/www.domain.nl/public_html/>
        AllowOverride All
        AcceptPathInfo On
        Require all granted
    </Directory>

    SSLEngine on
    #       LogLevel info
    SSLCertificateFile /etc/ssl/certs/www.domain.nl.pem
    SSLCertificateKeyFile /etc/ssl/private/www.domain.nl.key
    SSLCACertificateFile /etc/ssl/intermediate/intermediate-rapidssl-rsacag1.pem
    # Enable HSTS
    Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"



</VirtualHost>
# vim:syntax=apache

php-fpm 池文件：

[domain]

prefix=/

include=/etc/php/7.0/fpm/pool.d/defaults

php_admin_value[error_log] = /home/webclients/www.domain.nl/logs/php-error.log
php_admin_value[cgi.fix_pathinfo] = 0
security.limit_extensions = 

我在无头 linux 机器上运行私人游戏服务器。因为我不是白痴，所以说服务器作为自己的非特权用户运行，具有下载更新和修改世界数据库所需的最低访问权限。

我还创建了一个 systemd 单元文件，以便在需要时正确启动、停止和重新启动服务器（例如，对于上述更新）。

但是，为了真正打电话systemctl，service <game> start/stop/restart我仍然需要以 root 或有sudo能力的用户身份登录。

有没有办法告诉 systemd 对于该服务，允许<game>非特权用户运行启动/停止/重启命令？gamesrv

我的任务是研究在我们的名称服务器上实施 DNSSEC。虽然这方面的技术（生成密钥、标志区、准备翻转）相对简单，但我遇到了后勤问题。

从我一直在阅读的文档来看，1024 位对于区域签名密钥来说是一个很好的大小，正确的程序是每个区域一个 ZSK，大约一个月的翻转

但是，在具有相当大熵的速度相当快的计算机上，最多需要 10 分钟才能生成 1024 位密钥……而且我为超过三千个区域的主机工作的 ISP。除非我以某种方式从头到尾自动化该过程，否则这将行不通——即使我这样做，到该过程完成时，也差不多该开始 NEXT 翻转了。

简而言之，这是不可行的。现在我将 DNSSEC 限制在明确要求的客户，但这充其量只是权宜之计。

我的问题：

• 我是不是对密钥长度太过分了？
• 如何加快密钥生成过程？
• 我应该为每个区域和 ZSK 创建单独的密钥签名密钥吗？

编辑：添加了我用来生成密钥的确切命令：

caleburn: ~/Projects/Systemec/DNS-magic/DNSSEC/keys/ >time dnssec-keygen -r/dev/random -a RSASHA256 -f KSK -b 1280 -n ZONE example.com 
Generating key pair.............................+++++ ...+++++ 
Kexample.com.+008+10282

real    9m46.094s
user    0m0.092s
sys 0m0.140s

caleburn: ~/Projects/Systemec/DNS-magic/DNSSEC/keys/ >time dnssec-keygen -r/dev/random -a RSASHA256  -b 1280 -n ZONE example.com 
Generating key pair.........................+++++ .........+++++ 
Kexample.com.+008+22173

real    12m47.739s
user    0m0.124s
sys 0m0.076s