⚡️⚡️⚡️ Возвращаясь к напечатанному: актуальная информация про неизвлекаемые подписи.
Летом мы писали про некоторые особенности Рутокен 2.0 - https://yangx.top/interface31/600
К настоящему моменту ситуация изменилась.
☝️ Напоминаем: "Неизвлекаемые" ключи – это аппаратные ключи формата PKCS#11. Для генерации которых использовались аппаратные возможности Рутокена семейств 2.0 и 3.0. Такие ключи успешно используются, например, в ЕГАИС. Все операции с подписью производятся внутри токена и ключи никогда не покидают память токена (не извлекаются во время подписания).
‼️ Извлечь такой ключ из токена НЕВОЗМОЖНО.
Но еще полгода назад на Рутокены 2.0 записывался отдельный ключ в формате CSP для Крипто-Про 4.х, которая не умела работать с PKCS#11 и такой ключ можно было извлечь.
Крипто-Про 5.х с PKCS#11 работать научили и теперь второй ключ на Рутокен 2,0 НЕ ЗАПИСЫВАЮТ.
А для ключей на Рутокен Лайт наконец-то начали добросовестно проставлять признак неэкспортируемый. Извлечь его можно, но уже скопировать куда-нибудь - нет.
Чтобы все таки его скопировать, то нужно снять этот признак утилитой CertFix, причем обязательно старой версии. Запускать ее нужно при отключенном интернете, так как иначе она автоматически обновится.
🔻Ну или взять вылеченную от обновления версию в комментариях к заметке.🔻
Летом мы писали про некоторые особенности Рутокен 2.0 - https://yangx.top/interface31/600
К настоящему моменту ситуация изменилась.
☝️ Напоминаем: "Неизвлекаемые" ключи – это аппаратные ключи формата PKCS#11. Для генерации которых использовались аппаратные возможности Рутокена семейств 2.0 и 3.0. Такие ключи успешно используются, например, в ЕГАИС. Все операции с подписью производятся внутри токена и ключи никогда не покидают память токена (не извлекаются во время подписания).
‼️ Извлечь такой ключ из токена НЕВОЗМОЖНО.
Но еще полгода назад на Рутокены 2.0 записывался отдельный ключ в формате CSP для Крипто-Про 4.х, которая не умела работать с PKCS#11 и такой ключ можно было извлечь.
Крипто-Про 5.х с PKCS#11 работать научили и теперь второй ключ на Рутокен 2,0 НЕ ЗАПИСЫВАЮТ.
А для ключей на Рутокен Лайт наконец-то начали добросовестно проставлять признак неэкспортируемый. Извлечь его можно, но уже скопировать куда-нибудь - нет.
Чтобы все таки его скопировать, то нужно снять этот признак утилитой CertFix, причем обязательно старой версии. Запускать ее нужно при отключенном интернете, так как иначе она автоматически обновится.
🔻Ну или взять вылеченную от обновления версию в комментариях к заметке.🔻
👍40
Перенос сертификатов и закрытых ключей CryptoPro хранящихся в реестре
КриптоПро один из наиболее широко используемых криптопровайдеров на территории Российской Федерации, он широко используется в системах электронного документооборота, сдачи отчетности и взаимодействия с государственными органами, поэтому встретить его можно практически в любой организации.
По этой причине у системных администраторов часто встает вопрос его переноса на другой ПК. А так как криптография является для многих сложной и непонятной областью, то эта простая задача может вызвать некоторые затруднения.
https://interface31.ru/tech_it/2020/09/perenos-sertifikatov-i-zakrytyh-klyuchey-cryptopro-hranyashhihsya-v-reestre.html
КриптоПро один из наиболее широко используемых криптопровайдеров на территории Российской Федерации, он широко используется в системах электронного документооборота, сдачи отчетности и взаимодействия с государственными органами, поэтому встретить его можно практически в любой организации.
По этой причине у системных администраторов часто встает вопрос его переноса на другой ПК. А так как криптография является для многих сложной и непонятной областью, то эта простая задача может вызвать некоторые затруднения.
https://interface31.ru/tech_it/2020/09/perenos-sertifikatov-i-zakrytyh-klyuchey-cryptopro-hranyashhihsya-v-reestre.html
👍24
Простая и удобная утилита для работы с SSL-сертификатами. Позволяет легко создавать самоподписанные сертификаты, запросы на сертификат, конвертировать одни форматы в другие.
Все это можно сделать при помощи OpenSSL, но если делать это не каждый день, то придется каждый раз искать ключи и примеры команд.
Данная утилита представляет собой скрипт, который также использует OpenSSL, но выполняет все самые распространенные команды вместо вас.
https://github.com/tdharris/openssl-toolkit
Все это можно сделать при помощи OpenSSL, но если делать это не каждый день, то придется каждый раз искать ключи и примеры команд.
Данная утилита представляет собой скрипт, который также использует OpenSSL, но выполняет все самые распространенные команды вместо вас.
https://github.com/tdharris/openssl-toolkit
👍66
🤠 Удивительное рядом!
Есть у меня внешний бокс AgeStar 3UB2P3, вещь самая обычная, внутри JMS578.
Внезапно обнаружилось, что эта железка "запоминает" последний подключенный диск и впоследствии продолжает им представляться, даже если внутри никакого диска нет.
Для чистоты эксперимента поставил в бокс синий WD 500 ГБ, подключил к основному ПК.
Затем диск вынул и подключил к POS-терминалу, который только что был залит из заводского образа и ни этот диск, ни этот бокс туда ни разу не подключались. Результат на скриншоте выше.
Вот такие дела... 🤷♂️
Есть у меня внешний бокс AgeStar 3UB2P3, вещь самая обычная, внутри JMS578.
Внезапно обнаружилось, что эта железка "запоминает" последний подключенный диск и впоследствии продолжает им представляться, даже если внутри никакого диска нет.
Для чистоты эксперимента поставил в бокс синий WD 500 ГБ, подключил к основному ПК.
Затем диск вынул и подключил к POS-терминалу, который только что был залит из заводского образа и ни этот диск, ни этот бокс туда ни разу не подключались. Результат на скриншоте выше.
Вот такие дела... 🤷♂️
😁17👍7🤯2
OpenVPN объединяем ключи и конфигурацию клиента в один файл
OpenVPN достаточно широко применяется системными администраторами как для объединения сетей офисов и филиалов, так и для доступа корпоративных клиентов. В последнем случае процесс настройки может доставить некоторые неудобства, особенно если таких клиентов много.
Действительно, на удаленный компьютер нужно скачать ключи и сертификаты, разместить их в определенном месте, прописать пути к ним в конфигурацию. К счастью, можно значительно облегчить себе работу, достаточно объединить ключи и настройки клиента в один файл.
https://interface31.ru/tech_it/2020/04/openvpn-ob-edinyaem-klyuchi-i-konfiguraciyu-klienta-v-odin-fayl.html
OpenVPN достаточно широко применяется системными администраторами как для объединения сетей офисов и филиалов, так и для доступа корпоративных клиентов. В последнем случае процесс настройки может доставить некоторые неудобства, особенно если таких клиентов много.
Действительно, на удаленный компьютер нужно скачать ключи и сертификаты, разместить их в определенном месте, прописать пути к ним в конфигурацию. К счастью, можно значительно облегчить себе работу, достаточно объединить ключи и настройки клиента в один файл.
https://interface31.ru/tech_it/2020/04/openvpn-ob-edinyaem-klyuchi-i-konfiguraciyu-klienta-v-odin-fayl.html
👍22
Не без гордости: собираем все разработки и технологии русскоязычного IT в журнале «Квазар»
Из последних:
1. В «Сколково» создали самый большой 3D-принтер. С его помощью можно напечатать крылья для самолёта.
2. В Москве заработала система «Автокондуктор» на основе нейросети. Она будет оценивать загруженность транспортных узлов и рассчитывать интервалы движения.
О других IT-решениях для бизнеса читайте в «Квазаре».
Подписывайтесь!
Из последних:
1. В «Сколково» создали самый большой 3D-принтер. С его помощью можно напечатать крылья для самолёта.
2. В Москве заработала система «Автокондуктор» на основе нейросети. Она будет оценивать загруженность транспортных узлов и рассчитывать интервалы движения.
О других IT-решениях для бизнеса читайте в «Квазаре».
Подписывайтесь!
👍7👎3
Форматы сертификатов X.509 (SSL) и преобразования между ними
SSL-сертификаты все плотнее входят в нашу жизнь и трудно представить современного администратора никогда не имевшего с ними дело. Но, как показывает практика, работа с сертификатами все еще вызывает затруднение у многих наших коллег и виной тому недостаточный объем теоретических знаний.
Наиболее частые сложности возникают с форматами сертификатов, поэтому мы сегодня решили внести ясность в этот вопрос и разобрать какие форматы сертификатов бывают и как можно выполнять преобразования между ними.
https://interface31.ru/tech_it/2022/12/formaty-sertifikatov-x509-ssl-i-preobrazovaniya-mezhdu-nimi.html
SSL-сертификаты все плотнее входят в нашу жизнь и трудно представить современного администратора никогда не имевшего с ними дело. Но, как показывает практика, работа с сертификатами все еще вызывает затруднение у многих наших коллег и виной тому недостаточный объем теоретических знаний.
Наиболее частые сложности возникают с форматами сертификатов, поэтому мы сегодня решили внести ясность в этот вопрос и разобрать какие форматы сертификатов бывают и как можно выполнять преобразования между ними.
https://interface31.ru/tech_it/2022/12/formaty-sertifikatov-x509-ssl-i-preobrazovaniya-mezhdu-nimi.html
👍33👏1
Настройка контроллера CAPsMAN (бесшовный Wi-Fi роуминг) на Mikrotik
Во всех случаях, когда вам требуется качественное беспроводное покрытие достаточно большой площади, когда одной точкой доступа не обойтись, встает вопрос роуминга - а именно передачи клиента от одной точки доступа к другой.
Желательно сделать этот процесс максимально простым и прозрачным для клиента, без разрыва связи и переподключения, а еще желательно не разориться при выполнении этой задачи. В этом нам поможет оборудование Mikrotik и программный контроллер беспроводной сети CAPsMAN.
https://interface31.ru/tech_it/2020/10/nastroyka-kontrollera-capsman-na-mikrotik.html
Во всех случаях, когда вам требуется качественное беспроводное покрытие достаточно большой площади, когда одной точкой доступа не обойтись, встает вопрос роуминга - а именно передачи клиента от одной точки доступа к другой.
Желательно сделать этот процесс максимально простым и прозрачным для клиента, без разрыва связи и переподключения, а еще желательно не разориться при выполнении этой задачи. В этом нам поможет оборудование Mikrotik и программный контроллер беспроводной сети CAPsMAN.
https://interface31.ru/tech_it/2020/10/nastroyka-kontrollera-capsman-na-mikrotik.html
👍24
Обзор Astra Linux SE 1.7 Орел
Astra Linux сегодня является безусловным лидером по импортозамещению и широко применяется в государственных и силовых структурах. В отличии от других систем Astra Linux Special Edition является полностью коммерческой и не имеет бесплатных версий. Существующая редакция Common Edition по сути является другой системой.
Однако, при некоторой настойчивости, дистрибутив Astra Linux SE можно найти в свободном доступе на официальном сайте, что позволяет ознакомиться с системой, но не дает права ее использования.
https://interface31.ru/tech_it/2022/12/obzor-astra-linux-se-17-orel.html
Astra Linux сегодня является безусловным лидером по импортозамещению и широко применяется в государственных и силовых структурах. В отличии от других систем Astra Linux Special Edition является полностью коммерческой и не имеет бесплатных версий. Существующая редакция Common Edition по сути является другой системой.
Однако, при некоторой настойчивости, дистрибутив Astra Linux SE можно найти в свободном доступе на официальном сайте, что позволяет ознакомиться с системой, но не дает права ее использования.
https://interface31.ru/tech_it/2022/12/obzor-astra-linux-se-17-orel.html
👍24👎7
Обзор российских ОС. Альт Рабочая станция 10
ALT Linux - один из самых старых, известных и самобытных, в хорошем смысле этого слова, отечественных дистрибутивов. А еще он самый российский из всех, так как весь цикл разработки ПО происходит в собственной экосистеме и отсутствует зависимость от других дистрибутивов.
Также Альт - это еще и самый большой отечественный репозиторий - Sisyphus. Альт Рабочая станция - один из основных продуктов в линейке операционных систем Альт, предназначенный для автоматизации рабочих мест и работы с широким спектром программного обеспечения.
https://interface31.ru/tech_it/2022/05/obzor-rossiyskih-os-alt-rabochaya-stanciya-10.html
ALT Linux - один из самых старых, известных и самобытных, в хорошем смысле этого слова, отечественных дистрибутивов. А еще он самый российский из всех, так как весь цикл разработки ПО происходит в собственной экосистеме и отсутствует зависимость от других дистрибутивов.
Также Альт - это еще и самый большой отечественный репозиторий - Sisyphus. Альт Рабочая станция - один из основных продуктов в линейке операционных систем Альт, предназначенный для автоматизации рабочих мест и работы с широким спектром программного обеспечения.
https://interface31.ru/tech_it/2022/05/obzor-rossiyskih-os-alt-rabochaya-stanciya-10.html
👍36👎8
Сегодня снова понадобилось по быстрому разместить DNS-зону для тестовых целей. С Яндексом связываться не хочется, просто по причине муторности этой затеи - там домен надо привязывать, подтверждать.
Вспомнил про https://www.cloudns.net - проверил, жив, работает. Отдельно проверил, что новые регистрации из зоны RU на ящики RU работают.
Бесплатный тариф, конечно, поджали, но все равно нормально: 1 зона - 50 записей - 500к запросов в месяц (было 3 зоны - 100 записей и 5М запросов).
В целом неплохой DNS-хостинг, поддерживает все типы записей. А 500к за глаза хватит для личных, тестовых и прочих, не предполагающих большую нагрузку целей.
Вспомнил про https://www.cloudns.net - проверил, жив, работает. Отдельно проверил, что новые регистрации из зоны RU на ящики RU работают.
Бесплатный тариф, конечно, поджали, но все равно нормально: 1 зона - 50 записей - 500к запросов в месяц (было 3 зоны - 100 записей и 5М запросов).
В целом неплохой DNS-хостинг, поддерживает все типы записей. А 500к за глаза хватит для личных, тестовых и прочих, не предполагающих большую нагрузку целей.
👍22❤1
Установка сервера 1C:Предприятие, PostgreSQL и Apache2 на Альт Сервер 10
Данная статья довольно необычна для нашего ресурса, потому что мы в своей работе используем дистрибутивы Debian / Ubuntu, но многие наши читатели, в рамках импортозамещения, пробуют переходить на Альт. Сервер 1С:Предприятия - также одна из самых востребованных ролей.
И вот мы начали получать сообщения, что многие испытывают сложности с настройкой этой связки, хотя проблемам там взяться, вроде бы неоткуда. Поэтому мы самостоятельно изучили данный вопрос и подготовили практическую инструкцию с учетов всех особенностей и подводных камней для Альт Сервер 10
https://interface31.ru/tech_it/2022/12/ustanovka-servera-1cpredpriyatiya-postgresql-apache2-na-alt-server-10.html
Данная статья довольно необычна для нашего ресурса, потому что мы в своей работе используем дистрибутивы Debian / Ubuntu, но многие наши читатели, в рамках импортозамещения, пробуют переходить на Альт. Сервер 1С:Предприятия - также одна из самых востребованных ролей.
И вот мы начали получать сообщения, что многие испытывают сложности с настройкой этой связки, хотя проблемам там взяться, вроде бы неоткуда. Поэтому мы самостоятельно изучили данный вопрос и подготовили практическую инструкцию с учетов всех особенностей и подводных камней для Альт Сервер 10
https://interface31.ru/tech_it/2022/12/ustanovka-servera-1cpredpriyatiya-postgresql-apache2-na-alt-server-10.html
👍43🔥9😁2❤1🤯1
Записки IT специалиста pinned «Установка сервера 1C:Предприятие, PostgreSQL и Apache2 на Альт Сервер 10 Данная статья довольно необычна для нашего ресурса, потому что мы в своей работе используем дистрибутивы Debian / Ubuntu, но многие наши читатели, в рамках импортозамещения, пробуют…»
Особенности применения программных лицензий 1С:Предприятие
Программные лицензии 1С:Предприятия являются на сегодня основным вариантом для лицензирования, предоставляя администраторам новые возможности и снимая некоторые ограничения аппаратных ключей.
В тоже время применение программных лицензий имеет свои особенности, которые способны вызвать немало затруднений, несмотря на то, что они довольно подробно описаны в руководстве администратора, которое "по традиции" никто не читает.
Поэтому мы решили подготовить данный материал, включив в него как официальную информацию, так и собственные пояснения, и примеры.
https://interface31.ru/tech_it/2015/08/osobennosti-primeneniya-programmnyh-licenziy-1spredpriyatie.html
Программные лицензии 1С:Предприятия являются на сегодня основным вариантом для лицензирования, предоставляя администраторам новые возможности и снимая некоторые ограничения аппаратных ключей.
В тоже время применение программных лицензий имеет свои особенности, которые способны вызвать немало затруднений, несмотря на то, что они довольно подробно описаны в руководстве администратора, которое "по традиции" никто не читает.
Поэтому мы решили подготовить данный материал, включив в него как официальную информацию, так и собственные пояснения, и примеры.
https://interface31.ru/tech_it/2015/08/osobennosti-primeneniya-programmnyh-licenziy-1spredpriyatie.html
👍23
Forwarded from EFSOL
Media is too big
VIEW IN TELEGRAM
📺 Видеоинструкция: Настройка сетей в Hyper-V
В данной инструкции от EFSOL IT мы рассмотрим варианты настройки сетей в Hyper-V, расскажем для чего служит каждый тип виртуального коммутатора и покажем базовую настройку каждого из них.
Смотреть на Youtube
В данной инструкции от EFSOL IT мы рассмотрим варианты настройки сетей в Hyper-V, расскажем для чего служит каждый тип виртуального коммутатора и покажем базовую настройку каждого из них.
Смотреть на Youtube
👍13
Настройка файлового сервера Samba на платформе Debian / Ubuntu
Файловый сервер можно без преувеличения назвать средством первой необходимости, даже в сетях без выделенного сервера вы всегда обнаружите папки с общим доступом, но по мере роста объемов данных появляется потребность в отдельном решении.
Вариантов его организации множество, одним из которых является служба Samba на Linux-сервере, это простое, недорогое, но в то же время мощное решение по организации общего доступа к файлам и папкам в Windows сетях.
В данной статье мы рассмотрим настройку простого сервера на основе Samba 4 работающего в ОС Debian / Ubuntu.
https://interface31.ru/tech_it/2019/06/nastroyka-faylovogo-servera-samba-na-platforme-debian-ubuntu.html
Файловый сервер можно без преувеличения назвать средством первой необходимости, даже в сетях без выделенного сервера вы всегда обнаружите папки с общим доступом, но по мере роста объемов данных появляется потребность в отдельном решении.
Вариантов его организации множество, одним из которых является служба Samba на Linux-сервере, это простое, недорогое, но в то же время мощное решение по организации общего доступа к файлам и папкам в Windows сетях.
В данной статье мы рассмотрим настройку простого сервера на основе Samba 4 работающего в ОС Debian / Ubuntu.
https://interface31.ru/tech_it/2019/06/nastroyka-faylovogo-servera-samba-na-platforme-debian-ubuntu.html
🔥24👍7❤1
Обновлена и дополнена статья:
ЕГАИС. Устанавливаем УТМ 4.2.0 на Debian (Ubuntu)
В частности актуализирован список зависимостей, которые пакет сам подтягивать не умеет.
А также добавлен раздел о пересборке пакета с собственными настройками, так как по умолчанию выделение памяти явно не соответствует ее реальному потреблению.
https://interface31.ru/tech_it/2021/06/egais-ustanavlivaem-utm-420-na-debian-ubuntu.html
ЕГАИС. Устанавливаем УТМ 4.2.0 на Debian (Ubuntu)
В частности актуализирован список зависимостей, которые пакет сам подтягивать не умеет.
А также добавлен раздел о пересборке пакета с собственными настройками, так как по умолчанию выделение памяти явно не соответствует ее реальному потреблению.
https://interface31.ru/tech_it/2021/06/egais-ustanavlivaem-utm-420-na-debian-ubuntu.html
👍15👏2🔥1
Минимальная версия протокола для Samba
После опубликования нами заметки о Samba-сервере вполне ожидаемо всплыл вопрос об указании минимальной версии протокола, потом не менее ожидаемо всплыла конструкция с указанием всех четырех доступных параметров, да еще в подробной форме.
Давайте разбираться. Существуют два клиентских и два серверных параметра:
🔹
А теперь вспомним, как происходит установление соединения: обе стороны выбирают наиболее производительный диалект протокола из доступных клиенту и поддерживаемых сервером.
Документация Samba вообще не рекомендует трогать опции
Остаются серверные опции. В целях повышения безопасности следует отключить SMB1 и все более ранние протоколы, оставив только SMB2 и выше.
Samba позволяет указывать протоколы следующим образом (документация без перевода):
🔸 SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and later versions of Windows. SMB2 has sub protocols available.
🔹
🔹
By default SMB2 selects the SMB2_10 variant.
🔸 SMB3: The same as SMB2. Used by Windows 8. SMB3 has sub protocols available.
🔹
🔹
🔹
By default SMB3 selects the SMB3_11 variant.
Таким образом, просто указав SMB2 или SMB3 мы всегда получим старшую версию протокола.
При этом по умолчанию используются следующие значения:
🔹
Максимальная, наоборот, указывает на самую старшую версию протокола SMB3.
☝️ Нужно ли здесь что-то менять? Не нужно. Настройки по умолчанию вполне соответствуют требованиям безопасности и совместимости.
👉 При необходимости можно изменить
После опубликования нами заметки о Samba-сервере вполне ожидаемо всплыл вопрос об указании минимальной версии протокола, потом не менее ожидаемо всплыла конструкция с указанием всех четырех доступных параметров, да еще в подробной форме.
Давайте разбираться. Существуют два клиентских и два серверных параметра:
🔹
client min/max protocol
🔹 server min/max protocol
Которые задают минимальную и максимальную версии протокола, которые могут быть использованы клиентом или сервером.А теперь вспомним, как происходит установление соединения: обе стороны выбирают наиболее производительный диалект протокола из доступных клиенту и поддерживаемых сервером.
Документация Samba вообще не рекомендует трогать опции
client min/max protocol без осознанного понимания, для чего вы это делаете. Остаются серверные опции. В целях повышения безопасности следует отключить SMB1 и все более ранние протоколы, оставив только SMB2 и выше.
Samba позволяет указывать протоколы следующим образом (документация без перевода):
🔸 SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and later versions of Windows. SMB2 has sub protocols available.
🔹
SMB2_02: The earliest SMB2 version.🔹
SMB2_10: Windows 7 SMB2 version.By default SMB2 selects the SMB2_10 variant.
🔸 SMB3: The same as SMB2. Used by Windows 8. SMB3 has sub protocols available.
🔹
SMB3_00: Windows 8 SMB3 version.🔹
SMB3_02: Windows 8.1 SMB3 version.🔹
SMB3_11: Windows 10 SMB3 version.By default SMB3 selects the SMB3_11 variant.
Таким образом, просто указав SMB2 или SMB3 мы всегда получим старшую версию протокола.
При этом по умолчанию используются следующие значения:
🔹
server max protocol = SMB3
🔹 server min protocol = SMB2_02
Обратите внимание, что для SMB2 минимальная версия протокола указана явно, для обеспечения обратной совместимости. Максимальная, наоборот, указывает на самую старшую версию протокола SMB3.
☝️ Нужно ли здесь что-то менять? Не нужно. Настройки по умолчанию вполне соответствуют требованиям безопасности и совместимости.
👉 При необходимости можно изменить
server min protocol, если вы твердо знаете, что поддерживаемая всеми вашими клиентами версия протокола не ниже указываемого значения.
👍28