Re: https proxy
Szia! Egyszeruen igy: VirtualHost gephostnev:80 DocumentRoot /ahol/van/egy/ures/konyvtar ServerName www.valami.hu Redirect / https://www.titokszerver.hu:440/ /VirtualHost Es igy kesobb akar tetszoleges szamu https kapcsolatot tudsz kulonbozo szerverekre iranyitani. Arra viszont figyelni kell, hogy a https eseten nincs lehetoseg eltero konyvtarakat (weboldalakat) behivni hostname alapjan (ugy ahogy azt amugy sima http kapcsolat eseten megteheted) ugyan azon a porton, azaz ha www.titokszerver.hu a 440-es porton van, akkor a www.masiktitok.hu pl. a 441-es porton kell, hogy figyeljen! Ja, ha samba fut a www.titokserver.hu gepeden, akkor alapbol ne a 440-re rakjad, mert azt a samba hasznalja! 2007. március 20., 17:14:43, Nagy Gabor Peter ezt írta: Valami olyasmit akarok, hogy ha beesik egy http keres a gep 80-as portjara, az keruljon a https portra (atiranyitas, vagy ilyesmi, nem tudom, kell-e tobb annal, minthogy az iptables csinal egy DNAT-ot). A https porton figyeljen egy proxy, ami https-en kommunikal a klienssel, az interneten titkositva haladjon a forgalom. A beerkezo kereseket aztan a localhoston adja at a valodi webszervernek, http-n. Mi az egesszel a celom: Van egy webszerver, vannak kulonbozo szolgaltatasok rajta, cgi, php, jsp, ilyesmi. Az emberek ertekes jelszoval kell, hogy bejelentkezzenek, es nem akarom, hogy ezek a jelszavak cleartextben kozlekedjenek a halon. A szolgaltatasokat nem tudom atalakitani, hogy https-t koveteljenek meg (sot, ha nem tevedek, nem is tamogatja egyik sem). Tehat valami transzparens megoldast szeretnek, a felhasznalo beirja, hogy http://engepem/squirrelmail, es amikor a login kepernyore kerul, akkor mar https-en kommunikaljon. Ki mit ajanl, mire figyeljek, mik a tapasztalatok, stb. -- Üdvözlettel, Dévay Gyulamailto:[EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
On Wed, Mar 21, 2007 at 10:04:32AM +0100, Kosa Attila wrote: - Lehetseges name based virtual hostot csinalni https-en is, de csak egyetlen certificate-et fog tudni mutatni a szerver minden virtual hosthoz. Igen, es mindig az elsonek megadott vhost fog feljonni, nem? Magyarul ugyanazon a porton es ip-n nem lehet 2 https vhost. tompos _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
A https porton figyeljen egy proxy, ami https-en kommunikal a klienssel, az interneten titkositva haladjon a forgalom. A beerkezo kereseket aztan a localhoston adja at a valodi webszervernek, http-n. Elso lepes: csinalsz ket virtual hostot, http, es https. Masodik lepes: RewriteRuleokkal mahinalsz, ahogy azt mar elobb is irtak. 80-asra jon keres? semmi gaz, atdobod https-re. Nalam ez mukodik, ennel egyszerubb es frappansabb megoldas nem jutott eszembe meg. -- Valkai Jozsef +36 70 36 28 147 [EMAIL PROTECTED] [EMAIL PROTECTED] lat:N 47° lon:E 19° _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
In article [EMAIL PROTECTED], Papp Tamas [EMAIL PROTECTED] writes: - Lehetseges name based virtual hostot csinalni https-en is, de csak egyetlen certificate-et fog tudni mutatni a szerver minden virtual hosthoz. Igen, es mindig az elsonek megadott vhost fog feljonni, nem? Magyarul ugyanazon a porton es ip-n nem lehet 2 https vhost. Lehet, de ha azonos cimen vannak, a bongeszo panaszkodni fog usernek, hogy a certificate-ben szereplo nev nem egyezik azzal, amit az URL-ben talalt. Miutan ezen tulteszi magat az urge, minden kivaloan mukodik. kissg _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
On Wed, Mar 21, 2007 at 10:12:43AM +0100, Papp Tamas wrote: On Wed, Mar 21, 2007 at 10:04:32AM +0100, Kosa Attila wrote: - Lehetseges name based virtual hostot csinalni https-en is, de csak egyetlen certificate-et fog tudni mutatni a szerver minden virtual hosthoz. Igen, es mindig az elsonek megadott vhost fog feljonni, nem? Nem. Magyarul ugyanazon a porton es ip-n nem lehet 2 https vhost. Lehet. -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
En abba a problemaba futottam bele, hogy tobb virthostom van, de azonos ip-n es egy cert-et akarok hasznalni akkor mindig pampog Hiaba tud openssl tobb hostot lekezelni mondjuk egy certben, ha apache nem eszi meg. -- Valkai Jozsef [EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: beteg proftpd
On Tue, Mar 20, 2007 at 10:20:50PM +0100, jzana wrote: Mar 19 10:25:43 cie proftpd[29216]: cie.kee.hu 141.89.210.5 - ProFTPD terminating (signal 11) [...] Hol érdemes a hibáját keresni? Üdv, János A security bugs fixed (v. hasonlo) listaban. Ha eddig ismeretlen hiba, akkor forditsd le debug szimbolumokkal es akassz ra egy gdb-t. Persze az is lehet, hogy csak siman elromlott az egyik RAM modulod... Gabor -- - MTA SZTAKI Computer and Automation Research Institute Hungarian Academy of Sciences - _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
On Wed, Mar 21, 2007 at 11:10:33AM +0100, Papp Tamas wrote: On Wed, Mar 21, 2007 at 10:38:35AM +0100, Kosa Attila wrote: On Wed, Mar 21, 2007 at 10:12:43AM +0100, Papp Tamas wrote: On Wed, Mar 21, 2007 at 10:04:32AM +0100, Kosa Attila wrote: - Lehetseges name based virtual hostot csinalni https-en is, de csak egyetlen certificate-et fog tudni mutatni a szerver minden virtual hosthoz. Igen, es mindig az elsonek megadott vhost fog feljonni, nem? Nem. Miert, szerinted melyik? Amelyiknek a nevere hivatkoznak a http keres header Host mezojeben. Magyarul ugyanazon a porton es ip-n nem lehet 2 https vhost. Lehet. Tuti. Biztosan lehet. Talan erdemes lenne elolvasni nehany dolgot, mielott kotozkodesse fajulna a thread: http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html The reason is very technical, and a somewhat chicken and egg problem. The SSL protocol layer stays below the HTTP protocol layer and encapsulates HTTP. When an SSL connection (HTTPS) is established Apache/mod_ssl has to negotiate the SSL protocol parameters with the client. For this, mod_ssl has to consult the configuration of the virtual server (for instance it has to look for the cipher suite, the server certificate, etc.). But in order to go to the correct virtual server Apache has to know the Host HTTP header field. To do this, the HTTP request header has to be read. This cannot be done before the SSL handshake is finished, but the information is needed in order to complete the SSL handshake phase. Bingo! Tehat mukodik a dolog, de csak egyetlen certificate-et tud mutatni a szerver, mert az ssl handshake korabban jon letre, mint a http kapcsolat. De az ssl handshake utan mar a http gond nelkul mukodik. -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
On Tue, Mar 20, 2007 at 05:14:43PM +0100, Nagy Gabor Peter wrote: Valami olyasmit akarok, hogy ha beesik egy http keres a gep 80-as portjara, az keruljon a https portra (atiranyitas, vagy ilyesmi, nem tudom, kell-e tobb annal, minthogy az iptables csinal egy DNAT-ot). http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html How can I switch between HTTP and HTTPS in relative hyperlinks? -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
Jogos, nem 440 hanem 445 - nekem alapbol el van tolva mert tobb hostom is van. En is azt irtam, hogy lehet, csak mas-mas port kell minden virtualhosthoz. 2007. március 21., 10:04:32, Kosa Attila ezt írta: Ebben szerepel ket tevedes. - A samba a 445-os portot (is) hasznalja, de a 440-et nem. - Lehetseges name based virtual hostot csinalni https-en is, de csak egyetlen certificate-et fog tudni mutatni a szerver minden virtual hosthoz. -- Üdvözlettel, Dévay Gyulamailto:[EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
Hogyan? Ez engem is erdekelne. Mivel amugy nehezkes nyomon kovetni, hogy melyik hosthoz melyik port tartozik. 2007. március 21., 10:38:35, Kosa Attila ezt írta: Magyarul ugyanazon a porton es ip-n nem lehet 2 https vhost. Lehet. -- Üdvözlettel, Dévay Gyulamailto:[EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
On Wed, Mar 21, 2007 at 11:25:51AM +0100, Dévay Gyula wrote: En is azt irtam, hogy lehet, csak mas-mas port kell minden virtualhosthoz. Nem kell mas port, mindegyik lehet a 443-as porton. Javaslom a mar bekuldott doksi olvasgatasat, es esetleg utana konkret kerdesek feltetelet. -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: beteg proftpd
Gabor Gombas írta: On Tue, Mar 20, 2007 at 10:20:50PM +0100, jzana wrote: Mar 19 10:25:43 cie proftpd[29216]: cie.kee.hu 141.89.210.5 - ProFTPD terminating (signal 11) [...] Hol érdemes a hibáját keresni? Üdv, János A security bugs fixed (v. hasonlo) listaban. Ha eddig ismeretlen hiba, akkor forditsd le debug szimbolumokkal es akassz ra egy gdb-t. Persze az is lehet, hogy csak siman elromlott az egyik RAM modulod... bemelegitesnek eleg ha a delayenginet kikapcsolja IMHO... ByeZ, WaS _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Compaq EVO ethernet kín
2007. március 20. 23.02 dátummal Hegedüs Ervin ezt írta: # cat /etc/iftab Köszönöm, ez volt a megoldás ;-) Átírtam a mac address-t, és már meg is javult ;-) Bocs, így utólag kezdő kérdés lett volna. De azt hittem, sokkal parább jelenségbe futottam... Üdv! -- Vastagh Norbert _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
On Wed, Mar 21, 2007 at 11:23:33AM +0100, Kosa Attila wrote: Biztosan lehet. Opsz, csak azert is kevertem, mea culpa. tompos _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: beteg proftpd
Duedoo Was írta: bemelegitesnek eleg ha a delayenginet kikapcsolja IMHO... Ezzel még nem találkoztam. A configban olyanok vannak, pl. TimeoutIdle Erröl van szó? Üdv, János _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
Kosa Attila wrote: csak egyetlen certificate-et fog tudni mutatni a szerver minden virtual hosthoz. Ha tobb IP-je van a szervernek, akkor lehet tobb certificate-ed is. Udv, Akos _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
On 07-Mar-21 02:15, Gabor HALASZ wrote: Nagy Gabor Peter wrote: Valami olyasmit akarok, hogy ha beesik egy http keres a gep 80-as portjara, az keruljon a https portra (atiranyitas, vagy ilyesmi, nem tudom, kell-e tobb annal, minthogy az iptables csinal egy DNAT-ot). Ne bonyolitsd, csinalsz 2 virtual hostot, az egyik http, a masik https, a http-re csinalsz egy index.html-elt, amiben ez van: meta HTTP-EQUIV=REFRESH content=0; url=https://www.yourdomain.com/index.html;, a https-en meg figyel a szerver. Ertem amit irsz. Nade ez, ha jol sejtem nem mukodik akkor, ha az emberek nem www.gep.hu beirasaval jutnak el az oldalra, hanem mondjuk egy URL-t kovetve, www.gep.hu/cgi-bin/mailman/listinfo/lista mondjuk Jol gondolom? G _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
On 07-Mar-21 08:08, Kiss Gabor wrote: In article [EMAIL PROTECTED], Nagy Gabor Peter [EMAIL PROTECTED] writes: A szolgaltatasokat nem tudom atalakitani, hogy https-t koveteljenek meg (sot, ha nem tevedek, nem is tamogatja egyik sem). stunnel ? Ha jol ertem a csomag leirasat, ez kb. azt tudja, hogy nyit egy ssl titkositott tunnelt valami szolgaltatas ele. Ez eddig rendben van, de a masik oldalon, a klienseken mi fog tortenni? A kliens oldalra nem telepithetek semmit, es a felhasznalok egy resze fel se fogna, ha kernem :-) Ugy gondoltam, hogy valami olyan megoldas kene, amit a browser csendben lekezel. Ezert jutott eszembe a https G _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: https proxy
On Wed, Mar 21, 2007 at 03:14:45PM +0100, Gábriel Ákos wrote: Kosa Attila wrote: csak egyetlen certificate-et fog tudni mutatni a szerver minden virtual hosthoz. Ha tobb IP-je van a szervernek, akkor lehet tobb certificate-ed is. Nyilvanvalo, de eddig nem merult fel a tobb IP kerdese :) -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: beteg proftpd
jzana wrote: Elkezdett furán viselkedni a proftpd. Októberben fordult elö; néhányszor újraindítottam proftpd restart-tal. Utána hónapokon át semmi baja sem volt. Néhány napja ismét elentkezik a hiba. A rendszer sarge 2.4.27 kernellel. Ezt látom a last listán: zanaftpd31239146.110.174.169 Tue Mar 20 13:10 gone - no logout zanaftpd30787146.110.174.169 Tue Mar 20 13:10 gone - no logout Ezt látom a syslog-ban (pl. egy kollégám Németországból): Mar 19 10:25:42 cie proftpd[29216]: cie.kee.hu 141.89.210.5 - mod_delay/0.4: delaying for 1914 usecs Mar 19 10:25:42 cie proftpd[29216]: cie.kee.hu 141.89.210.5 - mod_delay/0.4: delaying for 708 usecs Mar 19 10:25:43 cie proftpd[29216]: cie.kee.hu 141.89.210.5 - ProFTPD terminating (signal 11) Mar 19 10:25:43 cie proftpd[29216]: cie.kee.hu 141.89.210.5 - FTP session closed. A kernel július óta fut. Közben többször volt apt-get upgrade. Az egyik winchester döglödik ugyan, de ftp-vel nem a hibás harddiskket szoktuk olvasni és írni. A proftpd-t nem szeretném lecserélni, mert jelszavas és jelszó nélküli vegyes hozzáférésre egyaránt használható. Hol érdemes a hibáját keresni? Nem hiba, feautre. Delayengine off kikapcsolja. Bar a fenti ertekek alapjan eros ketsegeim vannak, hogy a kiirt ertekek barmilyen koszono viszonyban lennenek a valosaggal, az 1917us az 0.001917s, ami annak fenyeben eleg erdekes, hogy a kernel max 1Khz-es tick-kel dolgozik... -- Gabor HALASZ [EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Apache2.2 es LDAP auth
Hello, Debian Etch, Apache2.2, OpenLdap 2.3.30 csomagbol minden. Az Apache-ot Ldap-bol szeretnem autholni, a relevans konfig: AuthType Basic AuthName Szerver AuthBasicProvider ldap AuthLDAPUrl ldap://localhost:389/dc=domain,dc=hu?cn?sub?objectClass=*; AuthLDAPBindDN cn=httpd,dc=domain,dc=hu AuthLDAPBindPassword Require ldap-user Valamiert a httpd nem enged hozzaferni a tartalomhoz, de a logban nem szerepel semmi hiba. Ha szandekosan felreutom a jelszot, akkor ezt adja az error.log-ban: ...user airween: authentication failure for /: Password Mismatch egyebkent az access.log-ban keletkezik csak a 401-es sor. Az ldap ezt logolja: send_ldap_result: err=21 matched= text=value does not conform to assertion syntax tcpdump-al megneztem egy ldapcompare lekerdezest, es az apache ldap forgalmat auth kozben. A ketto kozott annyi a kulonbseg, hogy az apache ldapcompare eseten az attributumnak csak a nevet kuldi el, az erteket nem, valami ilyesmi a keres: entry: cn=airween,dc=domain,dc=hu attributeDesc: cn mig parancssoros ldapcompare eseteben ott van meg egy assertionValue: airween is. Mit benazok? Koszi: a. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Matrox kártya 4 monitorhoz
Sziasztok! Használ valaki Matrox QID-E128LPA, EpicA TC4 vagy G450x4 MMS kártyákat? SuSE Linux alá kellene,ráadásul régi, 7.3-as verzió alatt használnám. (a 7.3 az alkalmazás feltétele) Ha az új gép nem szereti a régi SuSE-t (vagy fordítva), akkor gondolkozom még a VMware, QEmu, Xen összetevőkben is. (iPIII, 1GHz, 128-256M RAM, 2-3GB HDD-s gépet kéne létrehozni, de 4 példányban) Semmilyen intenzív terhelés nincs, kivéve, hogy 100%-on tekeri az alkalmazás a CPU-t. :-( Milyen lehetőségeim lennének ehhez a feladathoz hardvert vásárolni? (2 db. ua. munkahelyről lenne szó) Köszönettel: Ruzsi _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: S18portmap
On Mon, 19 Mar 2007, Gabor HALASZ wrote: ... A portmap akkor szokott ketsegbe esni, ha semmilyen halozati interface-t nem talal. Inditsd szepen init=/bin/sh-val, aztan szepen inditgasd el sorban a /etc/rcS.d/-ben levi scripteket, es figyel erosen a szemeddel, mi tortenik. A portmap inditasa elott ellenorizd, hogy van-e lo interface. Esetleg megprobalhatod a scriptben a set -e-t kicserelni set -x-re, es akkor latod, mi tortenik. Megtettem. Nem ez a baj. Nem akarom elhinni. A /etc/init.d/portmap tartalma: #!/bin/sh # # start/stop portmap daemon. test -f /sbin/portmap || exit 0 OPTIONS= if [ -f /etc/default/portmap ]; then . /etc/default/portmap fi case $1 in start) echo -n Starting portmap daemon: echo -n portmap start-stop-daemon --start --quiet --oknodo --exec /sbin/portmap -- $OPTIONS echo . sleep 1 # needs a short pause or pmap_set won't work. :( ... A sleep-en száll el. Ha kihúzom a scriptből, feláll a gép új kernellel is... Ilyenkor mi van? Shutdown-kor továbbra is elszáll az amd leállításán. Feltettem a 2.6.16.43-as kernelt, ahogy javasoltad. A másik gépről meg leszedtem a portmap csomagot, mert oda nem kell NFS. Köszönettel: GyL _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: beteg proftpd
Gabor HALASZ wrote: jzana wrote: mod_delay/0.4: delaying for 1914 usecs Nem hiba, feautre. Delayengine off kikapcsolja. Bar a fenti ertekek alapjan eros ketsegeim vannak, hogy a kiirt ertekek barmilyen koszono viszonyban lennenek a valosaggal, az 1917us az 0.001917s, ami annak fenyeben eleg erdekes, hogy a kernel max 1Khz-es tick-kel dolgozik... Kösz, ennek alapján ezt találtam: timing attack Ezek szerint azt a feature-t nem szabad kikapcsolni. Csak, ha bátor vagyok... Üdv, János _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
