Нотатка: патч порту сервера NGINX для додавання модуля JWT AUTH. Платформа FreeBSD.

Постала задача як зробити просту автентифікацію за JWT токеном безпосередньо через NGINX сервер.

За підпискою NGINX PLUS jwt-auth є у базовому комплекті. У Community verision jwt-auth не має.

Знайшов модуль від автора nginx-auth-jwt  і вирішив додати до FreeBSD порту пакетів, щоб надалі було зручно собі оновлювати.

Результат оформив собі до репозиторію : https://github.com/lexxai/port_nginx_add_jwt_auth.

nginx hwt-auth FreeBSD port 3rd party module

Приклад використання nginx.conf:

load_module /usr/local/libexec/nginx/ngx_http_auth_jwt_module.so;

...
	location /token_protected {
		auth_jwt "closed site";
		auth_jwt_key_file .jwt_keyfile.json keyval;
		auth_jwt_validate_exp on;
		auth_jwt_validate_iat on;
		auth_jwt_validate_sig on;
		auth_jwt_validate_sub on;
		....

Історія створеної локальної мережі до того як офіс розбомбили...

Мережа

Після того як літня гроза в котре вивела з ладу мережеве обладнання, мережу приревнували  на основі таких комутаторів.

T2600G-28TS (TL-SG3424).

Брав ще за 5000 грн.

Нотатка: IPMI Watchdog timer, скидання та встановлення через ipmitool

Сучасні серверні материнські плати мають можливість контролювати свій "живий" стан через спеціальний сторожовий таймер (Watchdog timer).

Налаштування Watchdog Timer у BIOS.

 

nginx як проксі для серверів pop3, imap. Додаткова авторизація через ssl client, та блокування у fail2ban.

Задача

Є задача підключити nginx як ssl proxy для служб електронної пошти, з перевіркою авторизації у nginx. Використання nginx дозволить використати сучасні ssl сертифікати, у випадку коли поштові сервіси не можуть це зробити за певних умов. Наприклад коли необхідна додаткова перевірка авторизації через сертифікати ssl клієнта. 

Додаткова авторизація через SSL client certificate.

Для підтримки авторизації через SSL client certificate сторона сервера посилає додатковий запит клієнту на те що очікує від нього особистого сертифікату. Запит описує чи має бути відновіть від клієнта з особистим сертифікатом клієнту обов'язковим чи за бажанням. Надалі клієнт надсилає, а сервер перевіряє отриманий особистий сертифікат клієнту чи був він виданий певним центром сертифікації (CA) та чи він не був відкликаний, або не слив термін придатності. На цьому перевірка закінчена, будь який дійсний сертифікат виданий центром сертифікації (CA) буде прийнятним для сервера.

Нотатки: SAS expanders. Роз'яснення підключення. Варіанти підключення.

 

 SAS expanders explained

 

Simple Cascading Expansion Cabling (Maximum Physical Disk Support)

 

 

Fault-tolerant Asymmetric Expansion Cabling (Maximum Physical Disk Support)

За матеріалами:

• SAS expanders explained | MangoLassi 

• SAS Expansion Cabling Guide. A Dell Technical White Paper.
  

MTA Postfix with HAProxy + pfSense GUI

Якщо треба збалансувати навантаження на поштові сервери, можна створити це за допомогою HAProxy.

 

https://www.haproxy.com/.../efficient-smtp-relay.../

Якщо треба додати опцію "send-proxy" у pfSense GUI для backend можна зробити це в розділі "Per server pass thru"

send-proxy opton for backend

 

Mozilla Thunderbird з версії 78 : Як дозволити застарілий та не рекомендований до використання протокол TLS 1.0 та 1.1

З нової 78 версії поштової програми "Mozilla Thunderbird" введено обмеження на використання застарілих і небезпечних протоколів безпеки.
Якщо у Вас застарілий поштовий сервер то головна проблема використання є те що програма про це ніяк не повідомляє - просто пошта не приходить, але з'єднання є.
За логами поштового сервера можна з'ясувати це:

Nov  8 22:01:00 dovecot: imap-login: Disconnected (no auth attempts): rip=XX.XX.XX.XX, lip=YY.YY.YY.YY, TLS handshaking: SSL_accept() failed: error:1409442E:SSL routines:SSL3_READ_BYTES:tlsv1 alert protocol version 

Щоб ТИМЧАСОВО дозволити роботу поштового клієнта є рішення як дозволити підключення з TLS 1.0.

Нотатка: VNC Startup Ubuntu DISPLAY:0

Задача запустити VNC як аналог консольного дисплея з DISPLAY:0.
Є скрипт.

# ##################################################################
# Script Name : vnc-startup.sh
# Description : Perform an automated install of X11Vnc
#               Configure it to run at startup of the machine
# Date : Feb 2016
# Written by : Griffon
# Web Site :http://www.c-nergy.be - http://www.c-nergy.be/blog
# Version : 1.0
#
# Disclaimer : Script provided AS IS. Use it at your own risk....
#
# #################################################################

# Step 1 - Install X11VNC
# #################################################################
sudo apt-get install x11vnc -y