9 заметок с тегом

centos

OpenVPN 2.5 MD5 support

systemctl edit openvpn-client@
[Service]
Environment="OPENSSL_ENABLE_MD5_VERIFY=1 NSS_HASH_ALG_SUPPORT=+MD5"
 84   2022   centos

MTProto Proxy на CentOS7

Решил попробовать использовать вместо 3proxy вышедшей не так давно MTProto Proxy, собрал пакет для 7 CentOS. Из зависимостей требует zlib, openssl и curl. В процессе установки автоматически генерируется секретный ключ авторизации, загружаются список серверов и ключ для доступа.
Установка сводится к следующим действиям

yum localinstall mtproto-proxy-20824f5-1.el7.x86_64.rpm
systemctl enable mtproto-proxy
systemctl start mtproto-proxy
firewall-cmd --permanent --zone=external --add-service=mtproto-proxy

По умолчанию сервер запускается на порту 8443. Если это необходимо изменить, то основные настройки вынесены в /etc/sysconfig/mtproto-proxy. Так же придется отредактировать и /etc/firewalld/services/mtproto-proxy.xml.

Теперь для подключения, в приложении, необходимо перейти по ссылке.

https://t.me/proxy?server=<SERVER_IP>&port=<PORT>&secret=<SECRET_KEY>

где:

SERVER_IP - ip адрес сервера mtproto-proxy
PORT - порт на котором запущен mtproto-proxy
SECRET_KEY - секретный ключ, который был создан в процессе установки

Для страждущих паранойей src.rpm пакет, для самостоятельной сборки, можно скачать здесь.

 Нет комментариев    482   2018   centos   linux   web

Настройка SOCKS5 прокси на CentOS7

В свете последних событий, понадобился SOCKS5 прокси с авторизацией.
Поискав в интернете остановил свой выбор на 3proxy от z3APA3A, как наиболее легковесном, функциональном и активно развивающемся, последний релиз которого состоялся 18.04.2018.
К сожалению актуальной версии пакета в репозиториях CentOS не нашлось, поэтому пришлось переписать spec-файл для текущей версии 0.8.12.

Для начала необходимо скачать 3proxy, после чего можно приступать к его установки.

yum localinstall 3proxy-0.8.12-1.el7.centos.x86_64.rpm

Так как меня интересует именно SOCKS-прокси, то конфигурационный файл будет иметь следующий вид. Если нужен дополнительный функционал, то можно почитать 3proxy.cfg.example или wiki проекта на github.com

vim /etc/3proxy/3proxy.cfg
daemon
setgid 99
setuid 99

nscache 65536
nserver 127.0.0.1

timeouts 1 5 30 60 180 1800 15 60

external 0.0.0.0
internal 0.0.0.0

config /etc/3proxy/3proxy.cfg
monitor /etc/3proxy/3proxy.cfg
monitor /etc/3proxy/counters
monitor /etc/3proxy/passwd
monitor /etc/3proxy/bandlimiters

log /var/log/3proxy/3proxy.log
logformat "L%o %d %H:%M:%S      %U | %C | %R:%r | %O | %I | %n"
archiver gz /bin/gzip %F
rotate 7

users $/etc/3proxy/passwd

include /etc/3proxy/counters
include /etc/3proxy/bandlimiters

auth strong
flush
socks -p81080

Теперь добавляем пользователей, для этого выполним скрипт add3proxyuser.sh

/etc/3proxy/add3proxyuser.sh username password day_limit bandwidth

где:
username — имя пользователя
password — пароль
day_limit — лимит трафика в Мегабайтах в день
bandwidth — полоса пропускания в битах в секунду

Для примера заведем пользователя с логином и паролем admin, лимитом трафика в 100 Мегабайт в день и полосой пропускания в 1 Мегабит.

/etc/3proxy/add3proxyuser.sh admin admin 100 1048576

Теперь в файле, /etc/3proxy/passwd, появилась запись с логином и MD5-хешем пароля

admin:CR:$1$10216$EvIj9vLnQi/zydUXJXYa60

Активируем и запускаем сервис

systemctl enable 3proxy
systemctl start 3proxy

Добавляем правило в Firewall разрешающее внешнее подключение к прокси

firewall-cmd --permanent --zone=external --add-port=81080/tcp

Теперь можно применять настройки прокси перейдя по ссылке следующего содержания:

https://t.me/socks?server=my.server.org&port=81080&user=admin&pass=admin

Для страждущих паранойей src.rpm пакет, для самостоятельной сборки, можно скачать здесь.

 Нет комментариев    156   2018   centos   linux

HTTP/2.0 в Nginx на CentOS 7

UPD
Вышло обновление openssl-1.0.2k и даное руководство больше не актуально.
_____________________________________________________________________

Решил включить HTTP/2.0 в Nginx. В процессе тестирование, при прохождении теста выяснилось, что не активно ALPN (Application-Layer Protocol Negotiation).

Для полноценной работы HTTP/2.0, Nginx должен быть собран с OpenSSL версии не ниже чем 1.0.2. В репах CentOS есть только OpenSSL версии 1.0.1.
Решить эту проблему можно двумя способами: собрать Nginx с флагом —with-openssl или собрать OpenSSL 1.0.2 для CentOS.
Первый вариант у меня не взлетел, сборка пакета завершалась неудачно, поэтому я остановился на втором варианте.
В интернет нашел сайт, где автор предлагает пачтить сорцы OpenSSL, но недавно в CentOS прилетело обновление glibc-2.17.

rpm -qa | grep glibc
glibc-common-2.17-157.el7_3.4.x86_64
glibc-2.17-157.el7_3.4.x86_64
glibc-devel-2.17-157.el7_3.4.x86_64
glibc-headers-2.17-157.el7_3.4.x86_64
readelf -s /usr/lib64/libc.so.6 | grep secure_getenv
614: 0000000000038950    27 FUNC    WEAK   DEFAULT   12 __libc_secure_getenv@@GLIBC_PRIVATE
857: 0000000000038950    27 FUNC    WEAK   DEFAULT   12 __secure_getenv@GLIBC_2.2.5
1715: 0000000000038950    27 FUNC    WEAK   DEFAULT   12 secure_getenv@@GLIBC_2.17
5228: 0000000000038950    27 FUNC    LOCAL  DEFAULT   12 __GI___libc_secure_getenv
6506: 0000000000038950    27 FUNC    WEAK   DEFAULT   12 __secure_getenv@GLIBC_2.2
6529: 0000000000038950    27 FUNC    WEAK   DEFAULT   12 secure_getenv
6918: 0000000000038950    27 FUNC    WEAK   DEFAULT   12 __libc_secure_getenv

Так что ничего патчить не нужно, а просто собираем openssl из FC23. Дополнительно потребуется пересобрать еще один пакет из FC23 crypto-policies.

yum install epel-release && yum update && yum install mock
mkdir -p ~/rpmbuild/{SPECS,SOURCES,SRPMS}
wget http://nginx.org/packages/centos/7/SRPMS/nginx-1.12.1-1.el7.ngx.src.rpm
rpm -ivh ~/nginx-1.12.1-1.el7.ngx.src.rpm
grep 'Requires: openssl >= 1.0.1' -P -R -I -l ~/rpmbuild/SPECS/nginx.spec | xargs sed -i 's/Requires: openssl >= 1.0.1/Requires: openssl >= 1.0.2/g'
grep 'BuildRequires: openssl-devel >= 1.0.1' -P -R -I -l ~/rpmbuild/SPECS/nginx.spec | xargs sed -i 's/BuildRequires: openssl-devel >= 1.0.1/BuildRequires: openssl-devel >= 1.0.2/g'
grep 'define main_release 1' -P -R -I -l  ~/rpmbuild/SPECS/nginx.spec | xargs sed -i 's/define main_release 1/define main_release 2/g'
grep '%changelog' -P -R -I -l  /root/rpmbuild/SPECS/nginx.spec | xargs sed -i 's/%changelog/%changelog\n* Wed Jul 12 2017 Aleksandr Chernyshev <mail@aschernyshev.ru>\n- 1.12.1 \n- Rebuild with openssl-1.0.2d\n/g'
/usr/bin/mock -r epel-7-x86_64 --spec=~/rpmbuild/SPECS/nginx.spec --sources=~/rpmbuild/SOURCES/ --resultdir=~/rpmbuild/SRPMS/ --no-clean --buildsrpm
wget https://aschernyshev.ru/repository/rhel/7/noarch/crypto-policies-20150518-3.gitffe885e.el7.centos.noarch.rpm
wget https://aschernyshev.ru/repository/rhel/7/x86_64/openssl-libs-1.0.2d-2.el7.centos.x86_64.rpm
wget https://aschernyshev.ru/repository/rhel/7/x86_64/openssl-1.0.2d-2.el7.centos.x86_64.rpm
wget https://aschernyshev.ru/repository/rhel/7/x86_64/openssl-devel-1.0.2d-2.el7.centos.x86_64.rpm
/usr/bin/mock -r epel-7-x86_64 --init
/usr/bin/mock -r epel-7-x86_64 --install ~/crypto-policies-20150518-3.gitffe885e.el7.centos.noarch.rpm
/usr/bin/mock -r epel-7-x86_64 --install ~/openssl-libs-1.0.2d-2.el7.centos.x86_64.rpm
/usr/bin/mock -r epel-7-x86_64 --install ~/openssl-1.0.2d-2.el7.centos.x86_64.rpm
/usr/bin/mock -r epel-7-x86_64 --install ~/openssl-devel-1.0.2d-2.el7.centos.x86_64.rpm
/usr/bin/mock -r epel-7-x86_64 --no-clean ~/rpmbuild/SRPMS/nginx-1.12.1-2.el7.centos.ngx.src.rpm

Устанавливаем получившиеся crypto-policies, openssl, openssl-libs , nginx.

 Нет комментариев    49   2017   centos   nginx   ssl

Сборка пакетов без лишнего мусора в CentOS

В процессе сборки rpm-пакетов, при разрешения зависимостей, в систему устанавливается большое количество приложений. Чтобы не засорять host-систему rpm-пакеты можно собирать в chroot. Для этих целей в CentOS существует отличные приложения mock, которое значительно упрощает этот процесс.

Для начала необходимо подключить репозиторий EPEL и установить mock

yum install epel-release -y && yum update && yum install mock -y

Далле создадим отдельного пользователя из под которого будет производится сборка пакетов

useradd mockbuild
usermod -a -G mock mockbuild

Сменим текущего пользователя на mockbuild

su mockbuild

Далее перейдем в домашний каталог пользователя mockbuild и создадим дерево каталогов

cd ~/
mkdir -p rpmbuild/{SPECS,SOURCES,SRPMS}

Конфигурации для сборки под разные дистрибутивы и архитектуры хранятся в /etc/mock/

ls -alhrt /etc/mock/

Первоначально необходимо создать chroot окружение, для этого выполним

mock -r epel-7-x86_64 --init

Если в процессе сборки вдруг что-то пошло не так, то отчистить chroot можно выполнив

mock -r epel-7-x86_64 --clean

В самом простом случае, если уже есть готовый src.rpm для сборки rpm-пакет необходимо выполнить

/usr/bin/mock -r epel-7-x86_64 --no-clean --rebuild ~/rpmbuild/SRPMS/package.src.rpm

Если в пакет требуется внести изменения, то для начала необходимо распаковать src.rpm

rpm -ivh package.src.rpm

После чего отредактировать необходимые файлы и заново собрать src.rpm

/usr/bin/mock -r epel-7-x86_64 --spec=~/rpmbuild/SPECS/package.spec --sources=~/rpmbuild/SOURCES/ --resultdir=~/rpmbuild/SRPMS/ --no-clean --buildsrpm

И после этого уже собрать rpm-пакет

/usr/bin/mock -r epel-7-x86_64 --no-clean --rebuild ~/rpmbuild/SRPMS/package.src.rpm

Процесс сборки rpm-пакета с зависимостями которых нет в репозитариях, будет выглядеть следующим образом.

/usr/bin/mock -r epel-7-x86_64 --init
/usr/bin/mock -r epel-7-x86_64 --install ~/rpm/package-1.el7.centos.x86_64.rpm
/usr/bin/mock -r epel-7-x86_64 --install ~/rpm/package-2.el7.centos.x86_64.rpm
/usr/bin/mock -r epel-7-x86_64 --install ~/rpm/package-3.el7.centos.x86_64.rpm
/usr/bin/mock -r epel-7-x86_64 --no-clean ~/main.el7.centos.src.rpm

Более подробную информацию можно найти на странице документации mock.

 Нет комментариев    25   2017   centos   linux
Ранее Ctrl + ↓