Skip to content

Конфиг haproxy для оценки A от SSLLabs.com

1. В секцию global конфига haproxy.cfg добавляем

ssl-default-bind-ciphers   ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
ssl-default-server-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

2. В конфигурации фронтенда отключаем SSL v3:

frontend ssl-fe
  bind 10.10.10.10:443 ssl no-sslv3 crt /path/to/certs-with-key.pem

Если SSL-сертификат был выпущен доверенным центром сертификации и при создании приватного ключа НЕ был выбран Signature Algorithm SHA1, то ssllabs.com должен показать нечто примерно такое:

ssllabs A-grade haproxy config

Выключаем слабые алгоритмы шифрования

А вот полезная ссылочка – конструктор конфигов для пополярных веб-серверов, где можно подобрать алгоритмы шифрования с учетом требуемого уровня совместимости с устаревшими версиями программного обеспечения на клиентах.

Posted in *nix.

Tagged with , , .

rev="post-1616" No comments

By Admin 10.02.2016

Перебит подводный интернет-кабель у берегов Австралии

Невесёлые новости пришли к нам из солнечной Австралии. У тамошних Интернет-пользователей внешние каналы временно потеряли в пропускной способности около двух терабит/сек из-за обрыва кабеля PPC-1 на глубине около 3-х километров на участке между островом Гуам и Сиднеем.

остров Гуам в юго-западной части Тихого океана

Примерное расположение острова Гуам относительно Австралии

There is a submarine fiber cut (PPC-1) which started on the 7th of February. NFOrce is not directly affected however IP transit and peerings are definately going to experience capacity issues towards Australia.

Please allow IP transit providers and peering partners to reroute traffic over Japan and Southern Cross.

Сообщение от The Register:

Submarine cable cut lops Terabits off Australia's data bridge | The PPC-1 cable us out of service until March ... if a ship to fix it can be found |

Another of the submarine cables connecting Australia to the world, for data, has broken.

PPC-1, which stretches from Sydney to Guam and has 1.92 terabits per second capacity, is out of service until at least March 7.

TPG's announcement says the fault is around 4,590 km from the cable's Guam landing, which means it's around 3,000 metres below the surface.

The fault notice says engineers first logged a report that "alarms indicated that a submarine line card had lost its payload", and the company is trying to establish when a repair ship can be dispatched to the location.

In the meantime, traffic is using alternate routes including the Australia-Japan Cable and Southern Cross.

Last year, the SeaMeWe-3 cable which runs from Perth to Asia via Indonesia suffered multiple outages.

The situation is complicated by the Basslink cable outage. As Vulture South reported last week, a repairing the electrical cable connecting Tasmania to the mainland is going to necessitate a visit by cable repair ship the Ile de Re, because Basslink's communication fibre is going to be cut during the operation.

The Ile de Re would be the default repair ship for PPC-1, so there's likely to be a lot of messages flying around working out whether it can fit a trip to Guam into its schedule, or if another ship has to be called in.

The cut also represents a challenge to PPC-1's owner, TPG, as the telco and ISP has recently offered vastly increased download allowances for its customers. That's the kind of thing an integrated carrier that owns a submarine cable can do. TPG's investors will be hoping its also invested in lots of local caching and contracts for backup bandwidth, as if it hasn't the cost of landing data promised to users will soon stack up.

Источник: http://www.theregister.co.uk/2016/02/07/cable_cut_lops_terabits_off_australias_net_connectivity/

Posted in Misc.

rev="post-1612" No comments

By Admin 08.02.2016

Как погодка?

Офигенный сервис сегодня коллега подкинул. Для тех, кто устал от кучи свистоперделок и рекламы на сайтах погоды, которые грузятся целую вечность. Для тех, кому нужен просто прогноз погоды, а не советы как отмотать счетчик из дебильных тизеров.

Итак, встречайте: http://wttr.in:

Прогноз погоды в консоли

Без смс и регистрации

Минимализм на грани гениальности. Простота. Скорость. Все, что тебе нужно для счастья – это просто curl.

Хотите узнать погоду в Харькове? Сделайте просто

$ curl http://wttr.in/Kharkov

Угадайте, а что нужно сделать если интересует погода в Осло? Правильно, нужно набрать

$ curl http://wttr.in/Oslo

UPDATE от 2016-08-10:
А недавно новую фичу прикрутили, теперь и фазу луны можно смотреть:

Как быстро из консоли определить фазу луны

Как быстро из консоли определить фазу луны


Красота :)

Кстати, автор сего сервиса, кажется, – тот самый Игорь Чубин, который пишет на xgu.ru.

Posted in *nix, Fun.

rev="post-1609" 1 comment

By Admin 02.02.2016

Настройка печати через RDP с WIN-сервера на Linux-клиент

Несмотря на то, что настройка печати с Windows-машин на линукс несложная и подробно описана, тем не менее печать по протоколу IPP через CUPS имеет существенный недостаток – размер задания при печати некоторых документов, особенно изображений, может увеличиваться до неприличных величин. Также помогает решить проблему невозможности проброса принтера через RDP. Поэтому предлагается способ настройки печати через виртуальный PDF- принтер. У этого способа есть один недостаток – Windows-машина вообще не имеет представления о принтере, который установлен в линукс, соответственно, специальные возможности печати для данного принтера будут недоступны. Ниже представлена инструкция по настройке данного способа печати.

  1. Создать в папке пользователя каталог .pdftemp. Здесь будут появляться файлы для печати. Обратить внимание на точку перед названием. Это будет скрытый каталог.
  2. Создать в папке .pdftemp каталог conf.
  3. Создать в папке conf текстовый файл (скрипт). Название pdftoprint.sh. Содержание: 
    #!/bin/sh
 
DIR="$HOME/.pdftemp/"
ERR_LOG="$DIR/conf/err.log"
PFILE="$DIR/$1"
if  lp "$PFILE" ; then rm "$PFILE"
	else echo "Unable to print \"$PFILE\"" >> "$ERR_LOG"
fi
exit 0

    Сохранить. Сделать запускаемым.

  4. Установить incron, cups, cups-pdf, system-config-printer.
  5. Добавить пользователя в группу incron.
  6. Отредактировать файл /etc/incron.allow — вписать имя пользователя.
  7. Добавить задание для incron. 
    	incrontab -e
 
	/home/[user]/.pdftemp IN_CLOSE_WRITE /home/[user]/.pdftemp/conf/pdftoprint.sh $#

    где [user] – это имя пользователя.

  8. проверить, что задание было добавлено 
    incrontab -l
  9. Перезапустить демон incron. 
    sudo incrond restart
  10. Установить и настроить все необходимые для работы принтеры. Убедиться в их нормальной работе.
  11. Должен быть установлен 2XClient. Ссылка на страницу для скачивания: http://www.2x.com/rdp-client/downloadlinks/
    Примечание: Можно использовать любой другой клиент RDP, но, по личному опыту, только 2XClient обеспечивает устойчивый проброс файловой системы внутри сессии RDP. Также, в процессе эксплуатации в офисе, никаких глюков у этого клиента выявлено не было.
  12. Настроить подключение через RDP. Обязательно разрешить проброс диска sda1 (Disk drives).
  13. На сервере должен быть установлен PDF-принтер (Adobe PDF, Foxit PDF Creator и т. п.).
  14. В настройках принтера установить печать без запроса на папку \\tsclient\sda1\home\[user]\.pdftemp — это папка, созданная в пункте 1. Снять, если есть, галку на «открывать после печати».
  15. Проверка имени принтера по умолчанию 
    lpstat -d

    Установка принтера по умолчанию

    lpoptions -d [имя_принтера]
  16. Для удобства пользователя вывести на рабочий стол кнопку запуска программы system-config-printer для оперативного изменения принтера по умолчанию. Заранее установить требуемый принтер.

    17. Обратить внимание!! Печать происходит только на принтер по умолчанию.

    Если всё сделано правильно, при печати на сервере на PDF-принтер по окончании формирования файла PDF печать пойдёт на выбранный принтер.

    Если печать производится в рамках одной сети или есть непосредственный доступ по сети к данному компьютеру, например, через туннель, то рекомендуется расшарить папку печати через Samba и производить печать в эту расшаренную папку. Связано с тем, что доступ по сети в такую папку производится быстрее и скорость ограничена только внешними условиями, тогда как через канал внутри сеанса RDP эта скорость ограничена. Кроме этого появляется возможность такого способа печати (не через IPP), для других пользователей в сети.

    Автор: Олег Белоусов.
    skype: p_orinoko

Posted in *nix, Howto, Windows.

Tagged with , , , .

rev="post-1607" 3 коментарі

By Admin 04.01.2016