Swami Dhyan Nataraj

systemd чудит?

2019-05-04T15:59:20Z

Поставил ejabberd когда в /etc/hosts было

127.0.0.1       localhost

При разворачивании debbootstrap'ом туда имя хоста автоматом почему-то не пишется...
Поскольку кто-то из софта (ssh или sudo) ругается когда hostname не резолвится, добавил туда hostname

127.0.0.1       localhost ejabberd

ejabberd перестал останавливаться и запускаться... Как не прыгай.

Убрал, все заработало обратно.

Поменял тогда местами, перезагрузил контейнер.

127.0.0.1       ejabberd localhost

И все заработало... Как родное...

Вот чего это?!

comments

Сертификаты-сертификаты (петь на мотив песни Городницкого)

2019-05-03T19:32:16Z

Чегой-то я не пОняла...
А с какого перепугу для работы xmpp dhyan@nataraj.su все ожидаю что у меня будет сертификат не только на тот хостнейм который в SRV прописан, но и nataraj.su
Они там немножко много кушать рыбного супа? Леценкрипт головного мозга?
Ладно некая неизвестная сетевая проверялка
https://xmpp.net/result.php?domain=nataraj.su&type=server
Но и psi и pidgin тоже желают обоих сертификатов, при этом psi сертификатов не самоподписанных...
Это какой-то... позор! (тм)
Я в возмущении...
Не буду леценкрипта. И денег лишних платить тоже не буду!

comments

СЯУ: nginx и принудительный разрыв соединения

2019-05-03T14:16:45Z

Сегодня я узнал что у nginx'а есть особый код возврата 444 который по факту принудительно разрывает соединение.
http://nginx.org/en/docs/http/request_processing.html#how_to_prevent_undefined_server_names

Прекрасно работает для http и в чем-то наверное самый правильный способ отвечать на запросы левых доменов:

server {
  listen       80 default_server;
  return 444; # Немедленный разрыв соединения
}

Однако для https оно в прямом виде не работает если вместо 80 поставить 443 ssl то оно без разговоров почему-то начинает рвать все https соединения, в том числе и те, для которых есть подобающий server_name в других разделах.

Если добавить туда информацию о каком-нибудь ключе и сертификате, то браузер сначала поругается на неверный сертификат, и если добавить его в исключения, то вот потом уже севрер разорвет соединение...

Ходят легенды, что в более новых nginx'ах есть переменная $ssl_server_name в из которой можно добыть имя домена прилетевшее в SNI при установке TLS соединения, и тогда можно учинить проверку вида

  if ( $ssl_server_name = nataraj.su)
  {
    return 444;
  }

см. https://serverfault.com/questions/325485/nginx-how-to-prevent-an-exactly-named-ssl-server-block-from-acting-as-the-catch/910419#910419
и https://nginx.org/en/docs/http/ngx_http_ssl_module.html#variables

Но проверить мне это не удалось, потому что у меня боевой фронтенд nginx стар как моя жизнь, просто так его не обновишь, а городить отдельный огород чиста чтобы проверить мне лень...

Поэтому пусть будет непроверенной информацией...

Итого: того чего я хотел, а именно чтобы не обслуживаемые по https домены не обслуживались, я добился лишь частично. Нахрен шлют после добавления сертификата в исключения. Но есть надежда, что в светлом будущем это когда-нибудь получится...

comments