Ran verdwaalde fouten
Een deel van mijn dagelijkse routine is logwatch samenvatting te controleren en eventuele veiligheidsproblemen, en vervolgens gaat om de wrijving en niet-werkende delen van het berekenen omgevingen waarin ik heb op mijn radar ChangeThis van een effect, terwijl de chip, maar het is in een beschermd dekking machine, het is niet duidelijk en niet zo kritisch. Schrijven van een configuratie bestand en lees de documentatie voor sendmail en OpenSSL, en sommige googleing “” Ik kon niet zien waar de fout was. ** Unieke ** = STARTTLS client foutmeldingen: SSL_CTX_use_certificate_file (/ etc/mail/certs/xps400. First. Owlriver. NET-10. PEM) is mislukt: 173 Time (s) = STARTTLS client, fout: geen SSL_CTX_check_private_key ( / etc/mail/certs/xps400. eerste. owlriver. NET tiende toets): 0: 173 Time (s) om te testen of sendmail met STARTTLS ondersteuning is, kunnen we het volgende commando: $ sendmail-bt run – d0. 8 </ dev / null Samengesteld met: LOG LDAPMAP HES_GETMAILHOST Hesiodus DNSMAP MAP_REGEX MATCHGECOS milter MIME7TO8 MIME8TO7 NAMED_BIND netinet NETINET6 NETUNIX NOS NEWDB pipelining SASLv2 tcpwrappers scanf STARTTLS userdb USE_LDAP_INITmore bondig: [root @ xps400 certs] # sendmail-bt-d0. 8 </ dev / null | grep-i NETUNIX NEWDB TLS NOS pipelining SOCKETMAP STARTTLSAnd SASLv2 scanf, maar als je test de mail server te verbinden, hetzij startssl [Herrold @ CentOS-5 ~] $ telnet tiende aangekondigd xps400 25Trying 16e eerste 112. . Verbonden met xps400. eerste. LAN (16 oktober 1112). Escape character is’^]’. 220 xps400. eerste. owlriver. 14e achtste ESMTP Sendmail netto 8.3. 14 maart Donderdag 08/04/2010 14:41:48-0400EHLO localhost250-xps400. eerste. owlriver. Welkom netto CentOS-5. eerste. Ian [16-10 Eerste 101], is blij you250-ENHANCEDSTATUSCODES250-PIPELINING250-8BITMIME250-SIZE250-DSN250-ETRN250-AUTH GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN HELPquit221 voldoen PLAIN250-DELIVERBY250 s 0 ª 0 xps400. eerste. owlriver. Netwerkverbinding Verbinding verbroken door het sluiten van om hen heen. [Openssl Herrold @ CentOS-5 ~ $] is de zeer interessante tool s_client “SSL client / TLS, die als gevolg van meerdere protocollen, terwijl de overgang te spreken in een veilige modus en witte contactdozen [@ xps400] ~ # openssl localhost verbinding s_client: 25-STARTTLS smtpCONNECTED (00000003) vonden geen STARTTLS in de server antwoord, maar probeer … 2005: Fout: 140770FC: SSL routines: SSL23_GET_SERVER_HELLO: onbekend protocol: s23_clnt. c: 583: [root @ xps400] # ~ zon STARTTLS in sendmail is aangesloten als een geschenk, maar workingLet niet aan kunnen ontsnappen, het verplaatsen van alle benodigde onderdelen aanwezig zijn: [root @ xps400 mail] # cd / etc / init. d / [ root @ init xps400. sasl ls d] * * saslauthd [root @ init xps400. d] # chkconfig – saslauthdsaslauthd lijst 0: 1: uit 2: op 3: op 4: op 5: op 6: root [@ xps400 mail] # / sbin / service saslauthd restartStopping saslauthd: [OK] Vanaf saslauthd: [OK root] [@ xps400 mail] # / sbin / chkconfig @ in [xps400 mail root] # / sbin / sendmail service een ander panel dat de log-bestanden displays restartand saslauthd: # tail-f / var / log / maillogApr augustus 1911: 39:30 xps400 sendmail [3536]: = STARTTLS server, fout: SSL_CTX_use_certificate_file (/ etc/mail/certs/xps400 .. Ten eerste owlriver. pem NET 10e) failedApr 8 11:39:30 xps400 SM-MSP-wachtrij [3547]: starting daemon (14 maart): Queue Server 8 @ 01:00:00 .. Sol .. sendmail is ons te vertellen dat ze weigert te gebruiken om: / etc/mail/certs/xps400. in de eerste plaats. owlriver. netto-10. pem Zie ondertekenen van het certificaat: # less / etc/mail/certs/xps400. in de eerste plaats . owlriver. pemN netto tot 10 MIIHATCCB emgAwIBAgICFokwDQYJKoZIhvcNAQEFBQAwgYwxCzAJBgNVBAYTAklMMRYwFAYDVQQKEw1TdGFydENvbSBMdGQuMSswKQYDVQQLEyJTZWN1cmUgRGlnaXRh CERTIFICAAT —–… a-ha! schijnt was het bij de haren van het kwaad “en plakken” van mij toen ik de goedkeuring van het certificaat is geïnstalleerd en te herstellen van startssl. De begin van dit bestand moet soortgelijke MIIHATCCBemgAwIBAgICFokwDQYJKoZIhvcNAQEFBQAwgYwxCzAJBgNVBAYTAklMMRYwFAYDVQQKEw1TdGFydENvbSBMdGQuMSswKQYDVQQLEyJTZWN1cmUgRGlnaXRhbCBDZXJ0aWZpY2F0ZSBTaWduaW5nMTgwNgYDVQQDEy9TdGFydENvbSBDbGFzcyAy :—– BEGIN CERTIFICATE —–… Zoals altijd, zijn deze fouten ontdekt nadat duidelijk. A-kant te bekijken. In een recente blog-Bost, “Securing Business “van Eddy Nigg startssl zei de bereidheid van sommige certificaten van de autoriteiten om te tekenen wat zij te bieden, en sommige beheerders doen deze methode van de aanval in de levering daarvan, in het geval van gastheren niet van mening over een opdracht IP RFC -1918 naamruimte te blokkeren of niet-formele middelen DNS. onopgemerkt Als vervalsingen zijn opgelucht, en ik ben er zeker van dat u in het Midden-verplichtingen in cafe’s met draadloos de hele tijd. Als zodanig, de gastheer: xps400. in de eerste plaats. lang 10 uur. zestiende eerste 112 lijkt ook met een interne en een split DNS PTR record als: xps400. in de eerste plaats. owlriver. Het netwerk is gevalideerd startssl nuttig, hier voor review [ Herrold @ CentOS-5 ~] $ host xps400. in de eerste plaats. owlriver. netxps400. in de eerste plaats. owlriver. netwerk adres is de eerste 112xps400 16 10. in de eerste plaats. owlriver. netto lading mail van 20 mailhub. owlriver . netto. xps400. in de eerste plaats. owlriver. mail wordt verwerkt met 10 netto nieuwe. owlriver. com. [Herrold CentOS-5 @ ~ $] De truc om het verkrijgen van de e-mailserver als xps400 reactie. eerste. owlriver. NET is nog eenvoudiger – slechts enkele DNS-werk en een snelle toevoeging van een niet-standaard regel in / etc / mail / sendmail. mc grep, wederopbouw, en een herstart: [Herrold xps400] E @ $ xps400. in eerste. owlriver. sendmail netwerk. MC | hoofd 1define (confDOMAIN_NAME `,` xps400. eerste. owlriver. netto ‘) [Herrold xps400 dnl @] $ mail Bent u met SSL-certificaten, die kan en moet worden?. .. Als de naamruimte op het netwerk te beschermen dat zij zorgvuldig ontworpen? startssl maakt het makkelijk te maken, ten minste een persoon bereid “gevalideerd” om hun identiteit te beheren en hun recht op een specifiek domein. Zodra de identiteit is om te controleren of het proces is in wezen vrij van marginale kosten voor de lancering zo veel certificaten als je wilt, en niet op “de politie” of snelkoppelingen hier
Geplaatst onder: Linux op 30 April 2010