abbra: (Speaker Rabbit)
abbra ([personal profile] abbra) wrote2016-04-15 07:33 pm
  • Add Memory
  • Share This Entry

Как нашли Badlock

После насыщенного бессонными ночами и напряженной работой месяца, мы выпустили обновления Samba для закрытия дыр Badlock. Я написал статью в блог Red Hat Enterprise Linux, где рассказываю о том, что это такое и как его открыли.
Threaded | Top-Level Comments Only

[identity profile] beldmit.livejournal.com 2016-04-15 05:09 pm (UTC)(link)
Обновления, наверное, для Samba?
abbra: (Default)

[personal profile] abbra 2016-04-15 05:14 pm (UTC)(link)
Поправил текст. :)

[identity profile] ifreedom.livejournal.com 2016-04-15 05:46 pm (UTC)(link)
Титанический труд по координации и портированию патчей, круто!

[identity profile] beldmit.livejournal.com 2016-04-15 06:06 pm (UTC)(link)
Прочитал. Осознал масштаб бедствий в полной мере.

Оффтоп

[identity profile] techquisitor.livejournal.com 2016-04-15 07:04 pm (UTC)(link)
Скажите, по FreeIPA можно вам вопросы позадавать? Точнее, он у меня всего один. :)
abbra: (Default)

Re: Оффтоп

[personal profile] abbra 2016-04-15 07:21 pm (UTC)(link)
можно.

Re: Оффтоп

[identity profile] techquisitor.livejournal.com 2016-04-15 07:39 pm (UTC)(link)
Смотрите какая ситуация. Есть развёрнутый FreeIPA и некая машинка в нём зарегестрированная. Также на этой машине сгенерён CRL, который FeeIPA прекрасно скушал и выполнил Issue, сгенерив в ответ валидный мнениню IPA сертификат. А теперь вопрос, какой тип сертификата там генерируется? Ничего внятного я по теме не нашёл или проглядел. Вроде похож на X.509, но нет полей BEGIN CERIFICATE/END CERTIFICATE и при попытке проверить этот сертификат с помощью openssl мне выдаётся сообщение об ошибке unable to load certificate. И если это не x.509, то как вытащить этот сертификат в X.509, чтобы FreeIPA выступал полноценным CA. Ведь по идее, всё это этого внутри есть. Там же Dogtag унутре.
abbra: (Default)

Re: Оффтоп

[personal profile] abbra 2016-04-15 07:56 pm (UTC)(link)
Все сертификаты -- x.509.

У команд user-show, host-show, service-show есть опция --out, которая сохраняет файл с сертификатом локально в формате PEM.

 ipa user-show username --out=my.crt
--------------------------------------
Certificate(s) stored in file 'my.crt'
--------------------------------------
.... [вырезано] ...
$ file my.crt
my.crt: PEM certificate
$ openssl x509 -in my.crt -issuer -fingerprint -noout
issuer= /O=EXAMPLE.COM/CN=Certificate Authority
SHA1 Fingerprint=XX:XX:XX:XX:XX....:XX:XX


Re: Оффтоп

[identity profile] techquisitor.livejournal.com 2016-04-15 08:56 pm (UTC)(link)
Ага, всё-таки X.509. Благодарю, попробую тогда ещё разок разобраться.

И на будущее небольшая просьба, если можно. Всё-таки явно в веб-интерфейсе FreeIPA укажите, что это таки X.509. Мелочь вроде, но может сэкономить много времени, когда надо будет конвертировать сертификаты из одного формата другой для различного софта. Будет ясно, с чего начинать и облегчит работу техподдержке той же, например.

Второе пожелание — сделать возможность выгрузки PEM из UI. Избавит от необходимости давать доступ к шеллу для генерации файла в PEM. Надеюсь, в следующих версиях FreeIPA реализуете. Заранее благодарю. :)

[identity profile] ilya-dogolazky.livejournal.com 2016-04-15 10:20 pm (UTC)(link)
наверное ты имел в виду "бессонные ночи", потому что... ну в общем сам понимаешь, "бессонница" это немного про другое
abbra: (Default)

[personal profile] abbra 2016-04-16 03:33 am (UTC)(link)
Поправил. :)
abbra: (Default)

Re: Оффтоп

[personal profile] abbra 2016-04-16 03:38 am (UTC)(link)
Вы -- первый, кто поставил вопрос таким образом. Ни у кого еще не возникало проблем с тем, какие это сертификаты. Но если хочется большей однозначности, то было бы неплохо заполнить такой запрос -- либо на https://fedorahosted.org/freeipa/report, либо в https://bugzilla.redhat.com.

Re: Оффтоп

[identity profile] techquisitor.livejournal.com 2016-05-06 02:18 pm (UTC)(link)
Добрый день! У меня есть ещё один оффтопичный вопрос по FreeIPA, который читая интернеты пока не получается решить. Можно в ЛС к вам за вопросом?
abbra: (Default)

Re: Оффтоп

[personal profile] abbra 2016-05-09 09:37 am (UTC)(link)
Пишите. Хотя, конечно, лучше написать письмо в freeipa-users@ и обсуждать там.

Re: Оффтоп

[identity profile] techquisitor.livejournal.com 2016-05-09 02:55 pm (UTC)(link)
Написал. Гляньте, пожалуйста.

[identity profile] inisormo1984.livejournal.com 2017-05-20 08:42 am (UTC)(link)
Threaded | Top-Level Comments Only