Здравствуйте! Пытаюсь обновиться. 1. Отвалился OpenVPN из-за слабости сертификата: OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak Безопасность, это хорошо, но не имея возможности подключиться к серверу, исправить это точно не получится. Как можно временно понизить этот уровень безопасности? 2. Не стартует Самба: Starting Samba SMB/CIFS Server service: /usr/sbin/smbd: error while loading shared libraries: libnsl.so.2: cannot open shared object file: No such file or directory libnsl2-1.1.0-alt1_1.i586 установлен и библиотека есть # ls -l /usr/lib/nsl итого 92 lrwxrwxrwx 1 root root 15 сен 3 19:07 libnsl.so -> libnsl.so.2.0.0 lrwxrwxrwx 1 root root 15 сен 3 19:05 libnsl.so.2 -> libnsl.so.2.0.0 -rw-r--r-- 1 root root 92104 ноя 24 2017 libnsl.so.2.0.0 Разбираюсь дальше... -- VK.
03.09.2019 19:51, Vladimir Karpinsky пишет: > Пытаюсь обновиться. > > 1. Отвалился OpenVPN из-за слабости сертификата: > OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak > Безопасность, это хорошо, но не имея возможности подключиться к серверу, > исправить это точно не получится. Как можно временно понизить этот уровень > безопасности? > > 2. Не стартует Самба: > Starting Samba SMB/CIFS Server service: /usr/sbin/smbd: error while loading > shared libraries: libnsl.so.2: cannot open shared object file: No such file > or directory Эта проблема сама отпала после обновления ядра и перезагрузки... > > Разбираюсь дальше... > -- VK.
>> 1. Отвалился OpenVPN из-за слабости сертификата:
>> OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak
>> Безопасность, это хорошо, но не имея возможности подключиться к серверу,
>> исправить это точно не получится. Как можно временно понизить этот уровень
>> безопасности?
В конфигурационный файл добавить:
tls-cipher "DEFAULT:@SECLEVEL=0"
--
WBR, Korneechev Evgeniy
BaseALT/ALTLinux Team
Hi Vladimir! On 09/03/2019, at 07:51:46 PM you wrote: > Здравствуйте! > > Пытаюсь обновиться. > > 1. Отвалился OpenVPN из-за слабости сертификата: > OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak > Безопасность, это хорошо, но не имея возможности подключиться к серверу, > исправить это точно не получится. Как можно временно понизить этот уровень > безопасности? https://github.com/OpenVPN/openvpn-gui/issues/229 ... > try to convince the server admin to upgrade the server certificate. No > excuse for using MD5 in certificates. If that is not an option you could > run with --tls-cipher DEFAULT:@SECLEVEL=0, but its not recommended. -- WBR et al.
Добрый день!
04.09.2019 10:36, Konstantin Lepikhov пишет:
> Hi Vladimir!
>
> On 09/03/2019, at 07:51:46 PM you wrote:
>
>> Здравствуйте!
>>
>> Пытаюсь обновиться.
>>
>> 1. Отвалился OpenVPN из-за слабости сертификата:
>> OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak
>> Безопасность, это хорошо, но не имея возможности подключиться к серверу,
>> исправить это точно не получится. Как можно временно понизить этот уровень
>> безопасности?
> https://github.com/OpenVPN/openvpn-gui/issues/229
> ...
>> try to convince the server admin to upgrade the server certificate. No
>> excuse for using MD5 in certificates. If that is not an option you could
>> run with --tls-cipher DEFAULT:@SECLEVEL=0, but its not recommended.
Эту опцию куда надо прикручивать? Я пытался в конфиг клиента, поскольку
именно он ругается на слабость сертификата, но он ругается и вообще не
запускается.
Готовлюсь к обновлению сертификатов: осталось только 1 устройство без
резервной линии связи -- GSM-роутер с динамическим адресом. За ним только
одно устройство, на которое ничего для резервного канала не поставить, и
ехать туда под 100 км :-(. Хотелось бы понять в каком порядке надо
проводить замену сертификатов при таком раскладе.
--
С уважением,
Владимир.
Hi Vladimir!
On 09/04/2019, at 10:57:13 AM you wrote:
<skip>
> Эту опцию куда надо прикручивать? Я пытался в конфиг клиента, поскольку
> именно он ругается на слабость сертификата, но он ругается и вообще не
> запускается.
как ругается? с каким конфигом запускаете клиента?
--
WBR et al.
On Tuesday 03 September 2019, Vladimir Karpinsky wrote: > 1. Отвалился OpenVPN из-за слабости сертификата: > OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak > Безопасность, это хорошо, но не имея возможности подключиться к серверу, > исправить это точно не получится. Как можно временно понизить этот уровень > безопасности? А если заранее? OpenVPN-клиент на Андроиде давно уже ругается: https://bugzilla.altlinux.org/34441 -- С уважением, Сергей.
04.09.2019 12:14, Konstantin Lepikhov пишет:
> Hi Vladimir!
>
> On 09/04/2019, at 10:57:13 AM you wrote:
>
> <skip>
>> Эту опцию куда надо прикручивать? Я пытался в конфиг клиента, поскольку
>> именно он ругается на слабость сертификата, но он ругается и вообще не
>> запускается.
> как ругается? с каким конфигом запускаете клиента?
Ругань:
2019-09-03T21:09:11.463616+03:00 pullet openvpn[8005]: OpenSSL:
error:140E6118:SSL routines:ssl_cipher_process_rulestr:invalid command
2019-09-03T21:09:11.463896+03:00 pullet openvpn[8005]: Failed to set
restricted TLS cipher list: “DEFAULT:@SECLEVEL=0”
Конфиг:
client
tls-cipher “DEFAULT:@SECLEVEL=0”
dev tun
proto udp
remote server.ru 1194
resolv-retry infinite
nobind
user openvpn
group openvpn
persist-key
persist-tun
keepalive 10 120
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/Pullet.cert
key /etc/openvpn/keys/Pullet.key
comp-lzo
verb 3
mute 20
--
VK.
04.09.2019 14:25, Vladimir Karpinsky пишет:
> 2019-09-03T21:09:11.463616+03:00 pullet openvpn[8005]: OpenSSL:
> error:140E6118:SSL routines:ssl_cipher_process_rulestr:invalid command
> 2019-09-03T21:09:11.463896+03:00 pullet openvpn[8005]: Failed to set
> restricted TLS cipher list: “DEFAULT:@SECLEVEL=0”
P.S. А что это за буква T вылезает в /var/log/messages между датой и
временем? Да и время с поясом как-то странно выглядят...
--
VK.
04.09.2019 12:23, Sergey пишет:
> On Tuesday 03 September 2019, Vladimir Karpinsky wrote:
>
>> 1. Отвалился OpenVPN из-за слабости сертификата:
>> OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak
>> Безопасность, это хорошо, но не имея возможности подключиться к серверу,
>> исправить это точно не получится. Как можно временно понизить этот уровень
>> безопасности?
>
> А если заранее? OpenVPN-клиент на Андроиде давно уже ругается:
> https://bugzilla.altlinux.org/34441
У меня до сего времени проблема возникала только при установке виндовых
версий выше 2.4.3, все остальные, включая Андроид, работали. Решил
потестировать переход на p9, теперь понял, что сначала надо с сертификатами
разбираться...
--
VK.
Hi Vladimir!
On 09/04/2019, at 02:25:14 PM you wrote:
> 04.09.2019 12:14, Konstantin Lepikhov пишет:
> > Hi Vladimir!
> >
> > On 09/04/2019, at 10:57:13 AM you wrote:
> >
> > <skip>
> >> Эту опцию куда надо прикручивать? Я пытался в конфиг клиента, поскольку
> >> именно он ругается на слабость сертификата, но он ругается и вообще не
> >> запускается.
> > как ругается? с каким конфигом запускаете клиента?
>
> Ругань:
> 2019-09-03T21:09:11.463616+03:00 pullet openvpn[8005]: OpenSSL:
> error:140E6118:SSL routines:ssl_cipher_process_rulestr:invalid command
> 2019-09-03T21:09:11.463896+03:00 pullet openvpn[8005]: Failed to set
> restricted TLS cipher list: “DEFAULT:@SECLEVEL=0”
У вас там кавычки точно правильные?
--
WBR et al.
Vladimir Karpinsky писал 03.09.2019 20:37:
> 03.09.2019 19:51, Vladimir Karpinsky пишет:
>> Пытаюсь обновиться.
>>
>> 2. Не стартует Самба:
>> Starting Samba SMB/CIFS Server service: /usr/sbin/smbd: error while
>> loading shared libraries: libnsl.so.2: cannot open shared object file:
>> No such file or directory
>
> Эта проблема сама отпала после обновления ядра и перезагрузки...
Здравствуйте.
Сам наткнулся на такое. Эта проблема исправляется запуском ldconfig.
Видимо, postinstall-скрипты отрабатывают не очень правильно.
Также наткнулся на то, что входящий в p9 zabbix-agent 4.0 не умеет
общаться со старыми серверами zabbix (2.4). Установил zabbix_agent из
p8.
04.09.2019 15:22, Konstantin Lepikhov пишет:
> Hi Vladimir!
>
> On 09/04/2019, at 02:25:14 PM you wrote:
>
>> 04.09.2019 12:14, Konstantin Lepikhov пишет:
>>> Hi Vladimir!
>>>
>>> On 09/04/2019, at 10:57:13 AM you wrote:
>>>
>>> <skip>
>>>> Эту опцию куда надо прикручивать? Я пытался в конфиг клиента, поскольку
>>>> именно он ругается на слабость сертификата, но он ругается и вообще не
>>>> запускается.
>>> как ругается? с каким конфигом запускаете клиента?
>>
>> Ругань:
>> 2019-09-03T21:09:11.463616+03:00 pullet openvpn[8005]: OpenSSL:
>> error:140E6118:SSL routines:ssl_cipher_process_rulestr:invalid command
>> 2019-09-03T21:09:11.463896+03:00 pullet openvpn[8005]: Failed to set
>> restricted TLS cipher list: “DEFAULT:@SECLEVEL=0”
> У вас там кавычки точно правильные?
Ой! Действительно. Но теперь идёт ошибка:
2019-09-04T15:51:54.397292+03:00 pullet openvpn[13691]: VERIFY ERROR:
depth=0, error=certificate signature failure: ...
2019-09-04T15:51:54.397446+03:00 pullet openvpn[13691]: OpenSSL:
error:1416F086:SSL routines:tls_process_server_certificate:certificate
verify failed
2019-09-04T15:51:54.397548+03:00 pullet openvpn[13691]: TLS_ERROR: BIO read
tls_read_plaintext error
2019-09-04T15:51:54.397639+03:00 pullet openvpn[13691]: TLS Error: TLS
object -> incoming plaintext read error
2019-09-04T15:51:54.397768+03:00 pullet openvpn[13691]: TLS Error: TLS
handshake failed
На сервере:
Sep 4 15:54:41 plkv openvpn[9103]: 192.168.5.5:60549 TLS: Initial packet
from [AF_INET]192.168.5.5:60549, sid=0875216c 863055dc
Sep 4 15:54:46 plkv openvpn[9103]: 192.168.5.5:38173 TLS: Initial packet
from [AF_INET]192.168.5.5:38173, sid=bf6e4f88 132e0c24
Sep 4 15:54:51 plkv openvpn[9103]: 192.168.5.5:51742 TLS: Initial packet
from [AF_INET]192.168.5.5:51742, sid=fa579190 9cd6a286
Sep 4 15:54:56 plkv openvpn[9103]: 192.168.5.5:50924 TLS: Initial packet
from [AF_INET]192.168.5.5:50924, sid=b834ce00 af7f285d
Sep 4 15:54:56 plkv openvpn[9103]: 192.168.5.5:47094 TLS Error: TLS key
negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 4 15:54:56 plkv openvpn[9103]: 192.168.5.5:47094 TLS Error: TLS
handshake failed
Такое ощущение, что кто-то кому-то не отвечает. Это всё пока в локальной
сети, так что без заборов...
До обновления эти же сертификаты работали нормально.
--
С уважением,
Владимир.
Добрый день! ----- Исходное сообщение ----- > От: "Alex Moskalenko" <mav@elserv.msk.su> > Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org> > Отправленные: Среда, 4 Сентябрь 2019 г 20:35:40 > Тема: Re: [Sysadmins] p8 -> p9 > Vladimir Karpinsky писал 03.09.2019 20:37: >> 03.09.2019 19:51, Vladimir Karpinsky пишет: >>> Пытаюсь обновиться. >>> >>> 2. Не стартует Самба: >>> Starting Samba SMB/CIFS Server service: /usr/sbin/smbd: error while >>> loading shared libraries: libnsl.so.2: cannot open shared object file: >>> No such file or directory >> >> Эта проблема сама отпала после обновления ядра и перезагрузки... > > Здравствуйте. > > Сам наткнулся на такое. Эта проблема исправляется запуском ldconfig. > Видимо, postinstall-скрипты отрабатывают не очень правильно. > > Также наткнулся на то, что входящий в p9 zabbix-agent 4.0 не умеет > общаться со старыми серверами zabbix (2.4). Установил zabbix_agent из > p8. Для этого случая в p9 и Сизифе специально собирается zabbix34-agent
Hi Vladimir!
On 09/04/2019, at 03:58:22 PM you wrote:
<skip>
> Ой! Действительно. Но теперь идёт ошибка:
>
> 2019-09-04T15:51:54.397292+03:00 pullet openvpn[13691]: VERIFY ERROR:
> depth=0, error=certificate signature failure: ...
> 2019-09-04T15:51:54.397446+03:00 pullet openvpn[13691]: OpenSSL:
> error:1416F086:SSL routines:tls_process_server_certificate:certificate
> verify failed
> 2019-09-04T15:51:54.397548+03:00 pullet openvpn[13691]: TLS_ERROR: BIO read
> tls_read_plaintext error
> 2019-09-04T15:51:54.397639+03:00 pullet openvpn[13691]: TLS Error: TLS
> object -> incoming plaintext read error
> 2019-09-04T15:51:54.397768+03:00 pullet openvpn[13691]: TLS Error: TLS
> handshake failed
Потому что md5 выпилен из libssl? Я не знаю, что там в сборке p9, если там
возможность включить md5, как это сделано в RH через переменную окружения
OPENSSL_ENABLE_MD5_VERIFY=1
--
WBR et al.
Похоже обойти это ещё сложнее, чем обновить сертификаты. Думаю, что на
следующей неделе удастся додумать логистику этого процесса. Ну а потом
подумать про переход на p9.
JT Мы вообще скоро будем жить только ради поддержания своей же безопасности
-- все остальные сферы деятельности будут признаны небезопасными :-(
05.09.2019 12:44, Konstantin Lepikhov пишет:
> Hi Vladimir!
>
> On 09/04/2019, at 03:58:22 PM you wrote:
>
> <skip>
>> Ой! Действительно. Но теперь идёт ошибка:
>>
>> 2019-09-04T15:51:54.397292+03:00 pullet openvpn[13691]: VERIFY ERROR:
>> depth=0, error=certificate signature failure: ...
>> 2019-09-04T15:51:54.397446+03:00 pullet openvpn[13691]: OpenSSL:
>> error:1416F086:SSL routines:tls_process_server_certificate:certificate
>> verify failed
>> 2019-09-04T15:51:54.397548+03:00 pullet openvpn[13691]: TLS_ERROR: BIO read
>> tls_read_plaintext error
>> 2019-09-04T15:51:54.397639+03:00 pullet openvpn[13691]: TLS Error: TLS
>> object -> incoming plaintext read error
>> 2019-09-04T15:51:54.397768+03:00 pullet openvpn[13691]: TLS Error: TLS
>> handshake failed
> Потому что md5 выпилен из libssl? Я не знаю, что там в сборке p9, если там
> возможность включить md5, как это сделано в RH через переменную окружения
> OPENSSL_ENABLE_MD5_VERIFY=1
>
--
VK.
>> Также наткнулся на то, что входящий в p9 zabbix-agent 4.0 не умеет
>> общаться со старыми серверами zabbix (2.4). Установил zabbix_agent из
>> p8.
>
> Для этого случая в p9 и Сизифе специально собирается zabbix34-agent
Спасибо, не заметил пакета zabbix34-agent. С ним все работает штатно.