Greelan提出的问题 -ubuntu

Greelan

Asked: 2020-02-15 19:32:00 +0800 CST

无法让 TLSv1.3 在 Ubuntu 18.04.4 上与 nginx 1.14.0 和 OpenSSL 1.1.1 一起使用

我在这里发疯了，想弄清楚如何在我的 nginx 服务器上启用 TLSv1.3。

根据我的研究，我的设置应该支持它：

# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 18.04.4 LTS
Release:        18.04
Codename:       bionic

# uname -a
Linux server 5.3.0-28-generic #30~18.04.1-Ubuntu SMP Fri Jan 17 06:14:09 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

# nginx -V
nginx version: nginx/1.14.0 (Ubuntu)
built with OpenSSL 1.1.1  11 Sep 2018
TLS SNI support enabled
...

# openssl version
OpenSSL 1.1.1  11 Sep 2018

# dpkg -s openssl | grep Version
Version: 1.1.1-1ubuntu2.1~18.04.5

我已经包含了 TLSv1.3 协议，甚至（尽管我理解它是可选的）在我的 nginx 配置中特别列出了 TLSv1.3 密码：

...
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256;
ssl_ecdh_curve X25519:secp384r1;
...

但是我无法使用 TLSv1.3 连接到服务器，无论是通过浏览器（可以通过 TLSv1.3 连接到其他网站）还是curl：

# curl -I -v --tlsv1.3 --tls-max 1.3 https://mydomain.com
* Rebuilt URL to: https://mydomain.com/
*   Trying xxx.xxx.xxx.xxx...
* TCP_NODELAY set
* Connected to mydomain.com (xxx.xxx.xxx.xxx) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS alert, Server hello (2):
* error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version
* stopped the pause stream!
* Closing connection 0
curl: (35) error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version

TLSv1.2 工作正常。

请问我错过了什么？！

编辑

一些额外的故障排除信息：

# openssl s_client -tls1_3 -connect mydomain.com:443
CONNECTED(00000005)
140179247497664:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:../ssl/record/rec_layer_s3.c:1528:SSL alert number 70
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 244 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---

同样，使用 TLSv1.2 作为选项运行它时我没有问题。

Greelan

Asked: 2019-12-31 03:45:00 +0800 CST

使用 LVM 将 MBR/BIOS RAID 1 根分区迁移到 GPT/UEFI

我一直在思考这个问题，并搜索了各种帖子，但找不到与我的情况相符的东西。

我目前在 RAID 1 中的几个 SSD 上运行 18.04.3 LTS（以及在一堆 HDD 上使用 LVM 的单独数据 RAID 6）。几年前我设置了这个（当时是 14.04 LTS），当时我的主板只支持 MBR/BIOS。

从那以后，我将主板升级为支持 UEFI 的主板。我现在也正在升级 SSD（更大的 M.2 单元）。

而不是在保持当前设置的同时更换 SSD，我一直在考虑：

将设置更改为 GPT/UEFI，以及
在 RAID 1 上安装 LVM。

我正在尝试找出执行上述任何一项或两项的最佳方法。我考虑过在新的 SSD 上进行全新的安装（这很吸引人，可以作为摆脱多年来积累的垃圾的一种方式），但一想到要重新配置所有东西，我就不寒而栗（有很多... ）。

还有其他方法吗？

在迁移到 GPT/ UEFI方面，我研究了使用Boot-Repair. 我考虑的另一个选择是使用我想要的方案（简单的 EFI 引导分区和根分区）对新的 SSD 进行分区，然后将它们依次引入阵列 - 有点像这样。

但我不完全清楚是否可以工作，例如可以Boot-Repair在不破坏数据的情况下修改实时系统（并且会在磁盘启动时插入 EFI 引导分区mdadm），以及如何在手动创建的 EFI 上安装 EFI 引导加载程序如果我不重新安装操作系统，启动分区？

至于在现有 RAID 1 上安装 LVM 的问题，我正在努力思考如何实现。

一些当前设置（就相关而言 - 我已经删除了多余的信息）以获取更多上下文：

$ cat /proc/mdstat

md1 : active raid1 sdg5[2] sdh5[3]
      16757632 blocks super 1.2 [2/2] [UU]
      
md0 : active raid1 sdg1[2] sdh1[3]
      100386688 blocks super 1.2 [2/2] [UU]

和：

$ sudo fdisk -l

Disk /dev/sdg: 111.8 GiB, 120034123776 bytes, 234441648 sectors                                                                                                                                         
Units: sectors of 1 * 512 = 512 bytes                                                                                                                                                                   
Sector size (logical/physical): 512 bytes / 512 bytes                                                                                                                                                   
I/O size (minimum/optimal): 512 bytes / 512 bytes                                                                                                                                                       
Disklabel type: dos                                                                                                                                                                                     
Disk identifier: 0x0001cb75                                                                                                                                                                             
                                                                                                                                                                                                        
Device     Boot     Start       End   Sectors  Size Id Type                                                                                                                                             
/dev/sdg1  *         2048 200906751 200904704 95.8G fd Linux RAID autodetect                                                                                                                            
/dev/sdg2       200908798 234440703  33531906   16G  5 Extended                                                                                                                                         
/dev/sdg5       200908800 234440703  33531904   16G fd Linux RAID autodetect                                                                                                                            
                                                                                                                                                                                                                                                                                                                                                                                                                   
Disk /dev/sdh: 111.8 GiB, 120034123776 bytes, 234441648 sectors                                                                                                                                         
Units: sectors of 1 * 512 = 512 bytes                                                                                                                                                                   
Sector size (logical/physical): 512 bytes / 512 bytes                                                                                                                                                   
I/O size (minimum/optimal): 512 bytes / 512 bytes                                                                                                                                                       
Disklabel type: dos
Disklabel type: dos                                                                                                                                                                                     
Disk identifier: 0x0001cb75

Device     Boot     Start       End   Sectors  Size Id Type
/dev/sdh1  *         2048 200906751 200904704 95.8G fd Linux RAID autodetect
/dev/sdh2       200908798 234440703  33531906   16G  5 Extended
/dev/sdh5       200908800 234440703  33531904   16G fd Linux RAID autodetect

/dev/md0挂载在 root (ext4) 上，并被/dev/md1分配为交换分区。

如果我能够将系统转换为 LVM，我将取消物理交换分区，只创建一个 LVM 交换分区。我想这也可能有助于迁移过程，因为它会释放当前 SSD 上的一些空间。

有什么想法吗？谢谢。

无法让 TLSv1.3 在 Ubuntu 18.04.4 上与 nginx 1.14.0 和 OpenSSL 1.1.1 一起使用

使用 LVM 将 MBR/BIOS RAID 1 根分区迁移到 GPT/UEFI

如何运行 .sh 脚本？

如何安装 .tar.gz（或 .tar.bz2）文件？

如何列出所有已安装的软件包

无法锁定管理目录 (/var/lib/dpkg/) 是另一个进程在使用它吗？

Greelan's questions

无法让 TLSv1.3 在 Ubuntu 18.04.4 上与 nginx 1.14.0 和 OpenSSL 1.1.1 一起使用

使用 LVM 将 MBR/BIOS RAID 1 根分区迁移到 GPT/UEFI

如何运行 .sh 脚本？

如何安装 .tar.gz（或 .tar.bz2）文件？

如何列出所有已安装的软件包

无法锁定管理目录 (/var/lib/dpkg/) 是另一个进程在使用它吗？