R: [linux] SSL a SSH
Peter SKALAK
pskalak na htc.sk
Úterý Leden 18 18:32:46 CET 2000
>Tak ja momemtalne pracujem na niecom podobnom, ale idem na to trosku
>z ineho konca. Apache/POP3/SMTP to su uz vyssie sluzby, ja som zacal
>s instalaciou SSH, a ta mi uz (konecne!) chodi...
Na telnet pouzivam CRT a chcel som si stiahnut Secure CRT pre SSH
a nechcel ma tam pustit, ze vraj som neni z USA :-((((
Stiahol som si nejaky ZOC ale to je hrozny program,
nemate typ na nieco lepsie ?
>Staci nainstalovat:
>openssl-0.9.4-1.i386.rpm
>openssh-1.2.1pre24-1.i386.rpm
>openssh-clients-1.2.1pre24-1.i386.rpm
>openssh-server-1.2.1pre24-1.i386.rpm
> a restartovat, sshd sa rozbehne, a od toho okamihu mas aspon
> bezpecny pristup, lebo s telnetom si koledujes o problemy!
nainstaloval som ich presne v tomto poradi a frcalo mi to na prvy krat
>No, ale ono to nebolo az take jednoduche, este pred ssh som musel
>vyupgradovat ckconfig, bzip2 a rpm. Potom bolo treba spustit
>"rpm --rebuilddb", lebo novy rpm ma nejako inak robenu databazu.
>No a teraz je zas zblbnuty kpackage, ale na to uz kaslem, lebo
>z pokusu o jeho upgrade sa vyklul "strom" dalsich upgradov.
>Asi odpalim KDE (alebo este lepsie cele X11) a bude pokoj!
No ja som take problemy nemal, lebo mam RedHat 6.1
>Inak, ak chces apache+ssl, existuje uz skompilovana binarka v
>rpm-baliku (http://www.apache-ssl.org), akurat ze mne nechodi :-(
>Spolieha sa na initscripts, ktore ma RedHat, a ja ich mam trosku
>inak. Navyse sa mi domrvila povodna instalacia apache 1.3.9!
>(tak to dopadne, ked sa experimentuje s "rpm -i --nodeps ...)
No apache sa este nedostal na radu.
>Ale teraz som si stiahol zdrojaky openssl, mod_ssl a apache,
>a chystam sa vykompilovat si apache s podporou ssl sam. Ono, aj
>tak je asi lepsie, ked si clovek ten certifikat urobi sam, ako
>by sa mal spolahnut na nejaky hotovy, ktory je s binarkou...
ja som nainstaloval openssl-0.9.4-3.i386.rpm
a certifikat som si vygeneroval sam cez ssleay a to nasledovne:
ssleay req -new -x509 -nodes -out server.pem -keyout server.pem
vsade pisu ze ssl sa nachadza v adr. /usr/local/ssl
ja som to nasiel v /var/ssl
tak som tam hodil linku
kluc vygeneroval do hlavneho adresara, tak som ho surovo nakopiroval
do /usr/local/ssl/certs/server.pem
este som urobil jednu hroznu vec
cp /usr/local/ssl/certs/server.pem /usr/local/ssl/private/privkey.pem
to bude urcite nejaka haluz, ale nechcelo to chodit, tak som skusil toto
potom som nainstaloval sslwrap-2.0.5-2.i386.rpm
zase sa sslwrap nachadza v /usr/sbin v helpe pisu /usr/local/sbin
tak som mu ho tam dal :-))))
potom som uz len dopisal potrebne veci do services a do inetd.conf
restartol inetd.conf
a
ked stahujem cez outlook cez SSL tak mi hodi taku hlasku
"The server you are connected to is using a security certificate
that does not match its Internet address.
Do you want to continue using this server?" Potom uz len YES NO
> Hladal som nejake navody ako na to a nenasiel som.
>No asi si dobre nehladal! Takze tu su moje tipy:
>Security HOWTO
>Apache SSL/PHP mini-HOWTO
>Secure POP via SSH mini-HOWTO
>http://www.apache.org
>http://www.apache-ssl.org
>http://www.ssh.org
>http://www.openssh.com
>http://www.openssl.org
>http://www2.linuxjournal.com/articles/sysadmin/013.html (a dalsie)
ale tie helpy pisu tolko zbytocnosti, ze kym to cele rozlustim
tak si to mozem rovno hodit, uplne najlepsi help je v sslwrap
Niekdo tu v konfere pisal, ze stunel je vraj lepsi ako sslwrap
ja som ziadny stunel nenasiel :-((( (pravda moc som nehladal)
>Dokumentacie je tam dost, len sa v tom treba pohrabat!
>Daj vediet, ako pokracujes! Kus cesty mame spolocnej...
teraz bijujem s php a postgres a potom sa pustim do apache a SSL
>Jarry
Ty ako pokracujes ?
Peter
Další informace o konferenci linux