Ran verdwaalde fouten
Een deel van mijn dagelijkse routine is om de samenvatting logwatch controleren en elk ingaan op veiligheidskwesties, en vervolgens gaat om de wrijving en niet-werkende delen van het berekenen omgevingen waarin ik heb op mijn radar chip ChangeThis een tijd van kracht , maar is in een beschermd indoor team, het is niet duidelijk en niet zo kritisch. Schrijven van een configuratie bestand en lees de documentatie voor sendmail en OpenSSL, en sommige googleing “” Ik kon niet zien waar de fout was. ** Unieke ** = STARTTLS client foutmeldingen: SSL_CTX_use_certificate_file (/ etc/mail/certs/xps400. First. Owlriver. NET-10. PEM) is mislukt: 173 Time (s), STARTTLS = client, fout: geen SSL_CTX_check_private_key ( / etc/mail/certs/xps400. eerste. owlriver. NET tiende toets): 0: 173 Time (s) om te testen of sendmail met STARTTLS ondersteuning is gecompileerd, kunnen we het volgende commando: $ sendmail-bt run – d0. 8 </ dev / null Samengesteld met: LOG LDAPMAP HES_GETMAILHOST Hesiodus DNSMAP MAP_REGEX MATCHGECOS milter MIME7TO8 MIME8TO7 NAMED_BIND netinet NETINET6 NETUNIX NOS NEWDB pipelining SASLv2 tcpwrappers scanf STARTTLS userdb USE_LDAP_INITmore bondig: [root @ xps400 certs] # sendmail-bt-d0. 8 </ dev / null | grep-i NETUNIX NEWDB TLS NOS Pipelining SOCKETMAP STARTTLSAnd SASLv2 scanf, maar als je test de mail server verbinden, hetzij startssl [Herrold @ CentOS-5 ~] $ telnet aangekondigd tiende 25Trying xps400 16e eerste 112. . Verbonden met xps400. eerste. LAN (16 oktober 1112). Escape character is’^]’. 220 xps400. eerste. owlriver. 14e achtste ESMTP Sendmail netto 8.3. 14.03, Donderdag 08/04/2010 14:41:48-0400EHLO localhost250-xps400. eerste. owlriver. Welkom netto CentOS-5. eerste. Ian [16-10 Eerste 101], is blij you250-ENHANCEDSTATUSCODES250-PIPELINING250-8BITMIME250-SIZE250-DSN250-ETRN250-AUTH GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN HELPquit221 voldoen PLAIN250-DELIVERBY250 s 0 ª 0 xps400. eerste. owlriver. Netwerkverbinding Verbinding verbroken door het sluiten van om hen heen. [Openssl Herrold @ CentOS-5 ~ $] heeft een vrij interessante s_client sub-tools “SSL / TLS client-programma, dat, als gevolg van meerdere protocollen, terwijl de overgang te spreken op een manier Secure Sockets en [xps400 @ ~] # openssl witte s_client localhost verbinding: 25-STARTTLS niet smtpCONNECTED (00.000.003) zijn in STARTTLS antwoord van de server, maar probeer … 2005: Fout: 140770FC: SSL routines: SSL23_GET_SERVER_HELLO: onbekend protocol: s23_clnt. c: 583 : [root @ xps400] # ~ zon STARTTLS in sendmail is gekoppeld als een geschenk, maar het is niet aan te ontsnappen workingLet, het verplaatsen van alle benodigde onderdelen aanwezig zijn: [root @ xps400 mail] # cd / etc / init. d / [root @ init xps400. sasl ls d] saslauthd * * [root @ init xps400. d] chkconfig # – saslauthdsaslauthd lijst 0: uit 1: uit 2: op 3: op 4: op 5: op 6 : root [@ xps400 mail] # / sbin / service saslauthd restartStopping saslauthd: [OK] Vanaf saslauthd: [OK] [root @ xps400 mail] # / sbin / chkconfig @ in [xps400 mail root] # / sbin / sendmail service vanuit een ander panel displays restartand log bestand: # tail-f / var / log / maillogApr augustus 1911: 39:30 xps400 sendmail [3536]: STARTTLS saslauthd = server, fout: SSL_CTX_use_certificate_file (/ etc / mail / certs/xps400. eerste. owlriver. NET pem 10e) failedApr 8 11:39:30 xps400 SM-MSP-wachtrij [3547]: starting daemon (3.14): Queue Server 8 @ 01:00:00 .. Sol .. sendmail is ons te vertellen dat ze weigert te gebruiken: / etc/mail/certs/xps400. in de eerste plaats. owlriver. netto-10. pem Zie ondertekenen van het certificaat: # less / etc/mail/certs/xps400. eerste. owlriver. netto-10. pemN —– MIIHATCCBemgAwIBAgICFokwDQYJKoZIhvcNAQEFBQAwgYwxCzAJBgNVBAYTAklMMRYwFAYDVQQKEw1TdGFydENvbSBMdGQuMSswKQYDVQQLEyJTZWN1cmUgRGlnaXRh CERTIFICAAT … a-ha! lijkt wel of het was slecht voor het haar, en plakken “van mij als ik opgehaald en geïnstalleerd, het certificaat aantekening startssl. Het begin van dit bestand moet soortgelijke MIIHATCCBemgAwIBAgICFokwDQYJKoZIhvcNAQEFBQAwgYwxCzAJBgNVBAYTAklMMRYwFAYDVQQKEw1TdGFydENvbSBMdGQuMSswKQYDVQQLEyJTZWN1cmUgRGlnaXRhbCBDZXJ0aWZpY2F0ZSBTaWduaW5nMTgwNgYDVQQDEy9TdGFydENvbSBDbGFzcyAy :—– BEGIN CERTIFICATE —–… Zoals altijd, zijn deze fouten ontdekt nadat duidelijk. Een waarneming opzij. In een recente blog-Bost, “Beveiliging van het business” van Eddy Nigg van startssl nota genomen van de bereidheid van sommige autoriteiten certificaat te tekenen wat zij te bieden, en sommige beheerders beschouw dit niet als manier van aanvallen in de levering daarvan, in het geval van gastheren bij de toewijzing van IP-RFC -1918 naamruimte te blokkeren of niet-formele middelen DNS. onopgemerkt Als vervalsingen zijn opgelucht, en ik ben er zeker van dat u in het Midden-verplichtingen in cafe’s met draadloos de hele tijd. Als zodanig, Host: xps400. in de eerste plaats. lang 10 uur. zestiende eerste 112 lijkt ook binnen met een split DNS en PTR-record als: xps400. in de eerste plaats. owlriver. Het netwerk is gevalideerd startssl nuttig, hier voor de evaluatie [Herrold @ CentOS-5 ~] $ host xps400. in de eerste plaats. owlriver. netxps400. in de eerste plaats. owlriver. netwerk adres is de eerste 112xps400 16-10. in de eerste plaats. owlriver. netto lading mail van 20 mailhub. owlriver. netto. xps400. in de eerste plaats. owlriver. mail wordt verwerkt met 10 netto nieuwe. owlriver. com. [Herrold CentOS-5 @ ~ $] De truc om het verkrijgen van de e-mailserver als xps400 reactie. in de eerste plaats . owlriver. netto was nog eenvoudiger – maar enkele DNS-werk en een snelle toevoeging van een niet-standaard line in / etc / mail / sendmail. mc grep, wederopbouw, en een herstart: [Herrold xps400] E @ $ xps400. in de eerste plaats. owlriver. sendmail netwerk. MC | hoofd 1define (confDOMAIN_NAME `,` xps400. eerste. owlriver. netto ‘) [Herrold xps400 dnl @] $ mail Bent u met SSL-certificaten, die kunnen en moet? … Als de naamruimte op het netwerk dat ze beschermen zorgvuldig ontworpen? startssl maakt het makkelijk te maken ten minste een persoon bereid “gevalideerd” om hun identiteit te beheren en hun recht op een specifiek domein. Eens Identiteit is gedaan om het proces te controleren is in wezen vrij van marginale kosten voor de lancering zo veel certificaten als je wilt, en niet op “de politie” of snelkoppelingen hier
Geplaatst onder: Linux op 30 May 2010