Корпоративное зеркало репозиториев aptly в Ubuntu

Опубликовано автором

Добавление репозитория с ключём, установка:

echo "deb [signed-by=/etc/apt/keyrings/aptly.asc] http://repo.aptly.info/ squeeze main" | sudo tee /etc/apt/sources.list.d/aptly.list
sudo mkdir -p /etc/apt/keyrings; sudo chmod 755 /etc/apt/keyrings
wget -O /etc/apt/keyrings/aptly.asc https://www.aptly.info/pubkey.txt
sudo apt-get update
sudo apt install aptly rng-tools nginx -y

echo "deb [signed-by=/etc/apt/keyrings/aptly.asc] http://repo.aptly.info/ squeeze main" | sudo tee /etc/apt/sources.list.d/aptly.list

sudo mkdir -p /etc/apt/keyrings; sudo chmod 755 /etc/apt/keyrings

wget -O /etc/apt/keyrings/aptly.asc https://www.aptly.info/pubkey.txt

sudo apt-get update

sudo apt install aptly rng-tools nginx -y

Создать .aptly.conf в домашнем каталоге, или /etc/aptly.conf:

{
  "rootDir": "/public",
  "downloadConcurrency": 4,
  "downloadSpeedLimit": 0,
  "architectures": [],
  "dependencyFollowSuggests": false,
  "dependencyFollowRecommends": false,
  "dependencyFollowAllVariants": false,
  "dependencyFollowSource": false,
  "dependencyVerboseResolve": false,
  "gpgDisableSign": false,
  "gpgDisableVerify": false,
  "gpgProvider": "gpg",
  "downloadSourcePackages": false,
  "skipLegacyPool": true,
  "ppaDistributorID": "ubuntu",
  "ppaCodename": "",
  "FileSystemPublishEndpoints": {
    "pubtest": {
      "rootDir": "/var/www/aptly",
      "linkMethod": "symlink",
      "verifyMethod": "md5"
    }
  },
  "enableMetricsEndpoint": false
}

{

"rootDir": "/public",

"downloadConcurrency": 4,

"downloadSpeedLimit": 0,

"architectures": [],

"dependencyFollowSuggests": false,

"dependencyFollowRecommends": false,

"dependencyFollowAllVariants": false,

"dependencyFollowSource": false,

"dependencyVerboseResolve": false,

"gpgDisableSign": false,

"gpgDisableVerify": false,

"gpgProvider": "gpg",

"downloadSourcePackages": false,

"skipLegacyPool": true,

"ppaDistributorID": "ubuntu",

"ppaCodename": "",

"FileSystemPublishEndpoints": {

"pubtest": {

"rootDir": "/var/www/aptly",

"linkMethod": "symlink",

"verifyMethod": "md5"

}

"enableMetricsEndpoint": false

}

#Создать каталог для публикаций:
sudo mkdir /var/www/aptly/
#Создание ключа gpg для публикации:
sudo rngd -r /dev/urandom &amp;&amp; sudo gpg --full-generate-key
# Вводим имя, после предложат ввести passphrase и время жизни для него
# Пароль записать в файл (/etc/gpgpass) для автоматизации
# Ключ можно посмотреть командой:
gpg --list-keys
# публикация открытого ключа:
sudo gpg --export --armor | sudo tee repos.asc ( или под рутом: gpg --export --armor > /var/www/aptly/pubtest.asc)
#Пароль записать в файл (/etc/gpgpass) для автоматизации

#Создать каталог для публикаций:

sudo mkdir /var/www/aptly/

#Создание ключа gpg для публикации:

sudo rngd -r /dev/urandom && sudo gpg --full-generate-key

# Вводим имя, после предложат ввести passphrase и время жизни для него

# Пароль записать в файл (/etc/gpgpass) для автоматизации

# Ключ можно посмотреть командой:

gpg --list-keys

# публикация открытого ключа:

sudo gpg --export --armor | sudo tee repos.asc ( или под рутом: gpg --export --armor > /var/www/aptly/pubtest.asc)

#Пароль записать в файл (/etc/gpgpass) для автоматизации

Создание x64 репозитория на примере Ubuntu 22 jammy (без source)

Создать репозитории x64 (всё будет скачано в компонент main, если нужно отделить, нужно скачивать каждый компонент отдельно). Во время этих команд попросят добавить ключи, команда для этого будет на экране (gpg —no-default-keyring —keyring trustedkeys.gpg —keyserver keyserver.ubuntu.com —recv-keys 871920D1991BC93C):

aptly mirror create -architectures=amd64 jammy http://ru.archive.ubuntu.com/ubuntu/ jammy
aptly mirror create -architectures=amd64 jammy-updates http://ru.archive.ubuntu.com/ubuntu/ jammy-updates
aptly mirror create -architectures=amd64 jammy-security http://security.ubuntu.com/ubuntu/ jammy-security

aptly mirror create -architectures=amd64 jammy http://ru.archive.ubuntu.com/ubuntu/ jammy

aptly mirror create -architectures=amd64 jammy-updates http://ru.archive.ubuntu.com/ubuntu/ jammy-updates

aptly mirror create -architectures=amd64 jammy-security http://security.ubuntu.com/ubuntu/ jammy-security

Обновить репозиторий (скачать), создать снапшоты и объединить 3 в 1:

aptly mirror list -raw | grep jammy | xargs -n1 aptly mirror update
aptly snapshot create jammy from mirror jammy
aptly snapshot create jammy-updates from mirror jammy-updates
aptly snapshot create jammy-security from mirror jammy-security
aptly snapshot merge -latest jammy-final-$(date -u +'%d%m%Y') jammy jammy-updates jammy-security

aptly mirror list -raw | grep jammy | xargs -n1 aptly mirror update

aptly snapshot create jammy from mirror jammy

aptly snapshot create jammy-updates from mirror jammy-updates

aptly snapshot create jammy-security from mirror jammy-security

aptly snapshot merge -latest jammy-final-$(date -u +'%d%m%Y') jammy jammy-updates jammy-security

Опубликовать снапшот объединённого репозитория (origin и label берутся из файла InRelease в репозитории):

aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish snapshot -distribution="jammy" -origin="Ubuntu" -label="Ubuntu" jammy-final-$(date -u +'%d%m%Y') filesystem:pubtest:ubuntu
# "ubuntu" указывает путь, можно заменить, но тогда его нужно будет менять в sources.list клиента. Для Debian указывается debian.

aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish snapshot -distribution="jammy" -origin="Ubuntu" -label="Ubuntu" jammy-final-$(date -u +'%d%m%Y') filesystem:pubtest:ubuntu

# "ubuntu" указывает путь, можно заменить, но тогда его нужно будет менять в sources.list клиента. Для Debian указывается debian.

Настройка NGINX для публикации репозиториев (с сертификатом let’s encrypt):
sudo nano /etc/nginx/sites-available/repos.dom.loc:

server {
    listen 80;
    listen 443 ssl http2;
    server_name aptly.example.com;
 
    ssl_certificate /etc/letsencrypt/live/aptly.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/aptly.example.com/privkey.pem;
 
    root /var/www/aptly;
 
    location / {
        autoindex on;
        try_files $uri $uri/ =404;
    }
}

##### Вариант без сертификата:
server {
    server_name aptly.example.com;

    root /var/www/aptly;

    location / {
        autoindex on;
        try_files $uri $uri/ =404;
    }
}

server {

listen 80;

listen 443 ssl http2;

server_name aptly.example.com;

ssl_certificate /etc/letsencrypt/live/aptly.example.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/aptly.example.com/privkey.pem;

root /var/www/aptly;

location / {

autoindex on;

try_files $uri $uri/ =404;

}

##### Вариант без сертификата:

server {

server_name aptly.example.com;

root /var/www/aptly;

location / {

autoindex on;

try_files $uri $uri/ =404;

}

Также нужно поменять порты\пути в default конфиге, либо выключить его.
Включить сайт, перезапустить nginx:

sudo ln -s /etc/nginx/sites-available/repos.dom.loc -s /etc/nginx/sites-enabled/repos.dom.loc
systemctl restart nginx
systemctl enable nginx

sudo ln -s /etc/nginx/sites-available/repos.dom.loc -s /etc/nginx/sites-enabled/repos.dom.loc

systemctl restart nginx

systemctl enable nginx

Подключение своего репозитория на клиенте

В /etc/apt/sources.list поменять адрес на внутренний и оставить только компонент main. Пример файла ubuntu 22:

# Начало
deb http://repos.dom.loc/ubuntu/ jammy main
# Конец

# Начало

deb http://repos.dom.loc/ubuntu/ jammy main

# Конец

Пример /etc/apt/sources.list.d/ubuntu.sources в ubuntu 24:

Types: deb
URIs: http://repos.dom.loc/ubuntu/
Suites: noble
Components: main
Signed-By: /etc/apt/trusted.gpg.d/repos.asc

Types: deb

URIs: http://repos.dom.loc/ubuntu/

Suites: noble

Components: main

Signed-By: /etc/apt/trusted.gpg.d/repos.asc

Далее apt update…

Дополнительная информация

Удаление репозитория на примере ubuntu 24:

# удаление публикации (вместе с Updates и security так как всё в main)
aptly publish drop noble filesystem:pubtest:ubuntu
# удаление снапшотов (2 раза):
aptly snapshot list -raw | grep noble | xargs -n1 aptly snapshot drop
aptly snapshot list -raw | grep noble | xargs -n1 aptly snapshot drop
# Удаление зеркала
aptly mirror list -raw | grep noble | xargs -n1 aptly mirror drop
# очистка БД
aptly db cleanup

# удаление публикации (вместе с Updates и security так как всё в main)

aptly publish drop noble filesystem:pubtest:ubuntu

# удаление снапшотов (2 раза):

aptly snapshot list -raw | grep noble | xargs -n1 aptly snapshot drop

# Удаление зеркала

aptly mirror list -raw | grep noble | xargs -n1 aptly mirror drop

# очистка БД

aptly db cleanup

Инфа по зеркалам и снапшотам (текущий объём нельзя посмотреть):

aptly mirror list
aptly mirror show bionic-update
aptly snapshot list

aptly mirror list

aptly mirror show bionic-update

aptly snapshot list

Обновление зеркала репозитория:

aptly mirror update
aptly publish drop
aptly snapshot drop
aptly snapshot create
aptly publish snapshot

aptly mirror update

aptly publish drop

aptly snapshot drop

aptly snapshot create

aptly publish snapshot

Автоматизация обновления зеркала репозиториев

#!/bin/bash
# Если ubuntu.com пингуется, записать текущую дату, запустить обновление зеркал и создание снапшотов
 ping -c 1 ubuntu.com > /dev/null
 if [ $? -eq 0 ]; then
   date=$(date -u +'%d%m%Y')
   for n in $(aptly mirror list -raw | grep -v rusiem); do
       aptly mirror update $n
       aptly snapshot create $n-$date from mirror $n
   done
# Для каждого названия релизов репозиториев объединить снапшоты в 1
   for n in $(echo bookworm jammy xenial noble); do
       if [[ $n != bullseye &amp;&amp; $n != bookworm ]]; then # Если не bullseye и bookworm (не debian)
         aptly snapshot merge -latest $n-final-$date $n-$date $n-updates-$date $n-security-$date
# Переключить снапшот публикации зеркала:
         aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish switch $n filesystem:pubtest:ubuntu $n-final-$date
       else # Иначе для debian
         aptly snapshot merge -latest $n-final-$date $n-$date $n-updates-$date $n-security-$date
# Переключить снапшот публикации зеркала:
         aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish switch $n filesystem:pubtest:debian $n-final-$date
       fi
   done
 fi
# Удалить неиспользуемые снапшоты, старше двух дней
   for n in $(aptly snapshot list -raw | grep -v $(date -u +'%d%m%Y') | grep -v $(date -d '1 day ago' +%d%m%Y)); do
       aptly snapshot drop $n
   done
# Второй раз освобождаются зависимые
   for n in $(aptly snapshot list -raw | grep -v $(date -u +'%d%m%Y') | grep -v $(date -d '1 day ago' +%d%m%Y)); do
       aptly snapshot drop $n
   done
   aptly db cleanup # Очистить БД от неиспользуемых данных

#!/bin/bash

# Если ubuntu.com пингуется, записать текущую дату, запустить обновление зеркал и создание снапшотов

ping -c 1 ubuntu.com > /dev/null

if [ $? -eq 0 ]; then

date=$(date -u +'%d%m%Y')

for n in $(aptly mirror list -raw | grep -v rusiem); do

aptly mirror update $n

aptly snapshot create $n-$date from mirror $n

done

# Для каждого названия релизов репозиториев объединить снапшоты в 1

for n in $(echo bookworm jammy xenial noble); do

if [[ $n != bullseye && $n != bookworm ]]; then # Если не bullseye и bookworm (не debian)

aptly snapshot merge -latest $n-final-$date $n-$date $n-updates-$date $n-security-$date

# Переключить снапшот публикации зеркала:

aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish switch $n filesystem:pubtest:ubuntu $n-final-$date

else # Иначе для debian

aptly snapshot merge -latest $n-final-$date $n-$date $n-updates-$date $n-security-$date

# Переключить снапшот публикации зеркала:

aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish switch $n filesystem:pubtest:debian $n-final-$date

done

# Удалить неиспользуемые снапшоты, старше двух дней

for n in $(aptly snapshot list -raw | grep -v $(date -u +'%d%m%Y') | grep -v $(date -d '1 day ago' +%d%m%Y)); do

aptly snapshot drop $n

done

# Второй раз освобождаются зависимые

for n in $(aptly snapshot list -raw | grep -v $(date -u +'%d%m%Y') | grep -v $(date -d '1 day ago' +%d%m%Y)); do

aptly snapshot drop $n

done

aptly db cleanup # Очистить БД от неиспользуемых данных

Пример зеркала с отдельными компонентами main, contrib и non-free:

#Создать зеркала:
aptly mirror create wheezy-main http://ftp.ru.debian.org/debian/ wheezy main
aptly mirror create wheezy-contrib http://ftp.ru.debian.org/debian/ wheezy contrib
aptly mirror create wheezy-non-free http://ftp.ru.debian.org/debian/ wheezy non-free

aptly mirror list -raw | xargs -n 1 aptly mirror update # (скачать)

#Создать снапшот:
aptly snapshot create wheezy-main-7.5 from mirror wheezy-main
aptly snapshot create wheezy-contrib-7.5 from mirror wheezy-contrib
aptly snapshot create wheezy-non-free-7.5 from mirror wheezy-non-free

#Опубликовать все компоненты:
aptly publish snapshot -component=main,contrib,non-free -distribution=wheezy wheezy-main-7.5 wheezy-contrib-7.5 wheezy-non-free-7.5 upstream
#или:
aptly publish snapshot -component=,, wheezy-main-7.5 wheezy-contrib-7.5 wheezy-non-free-7.5 upstream

#Создать зеркала:

aptly mirror create wheezy-main http://ftp.ru.debian.org/debian/ wheezy main

aptly mirror create wheezy-contrib http://ftp.ru.debian.org/debian/ wheezy contrib

aptly mirror create wheezy-non-free http://ftp.ru.debian.org/debian/ wheezy non-free

aptly mirror list -raw | xargs -n 1 aptly mirror update # (скачать)

#Создать снапшот:

aptly snapshot create wheezy-main-7.5 from mirror wheezy-main

aptly snapshot create wheezy-contrib-7.5 from mirror wheezy-contrib

aptly snapshot create wheezy-non-free-7.5 from mirror wheezy-non-free

#Опубликовать все компоненты:

aptly publish snapshot -component=main,contrib,non-free -distribution=wheezy wheezy-main-7.5 wheezy-contrib-7.5 wheezy-non-free-7.5 upstream

#или:

aptly publish snapshot -component=,, wheezy-main-7.5 wheezy-contrib-7.5 wheezy-non-free-7.5 upstream

Базовая аутентификация php

Опубликовано автором

Логин и пароль хранятся в хэше sha256:
hashed_user — admin
hashed_pass — secret

<?php
$hashed_user = "8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918";
$hashed_pass = "2bb80d537b1da3e38bd30361aa855686bde0eacd7162fef6a25fe97bf527a25b";

// Проверяем, предоставлены ли логин и пароль
if (!isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW'])) {
    header('WWW-Authenticate: Basic realm="Restricted Area"');
    header('HTTP/1.0 401 Unauthorized');
    echo " Access denied.";
    exit;
}

// Хэшируем введенные логин и пароль
$input_user = $_SERVER['PHP_AUTH_USER'];
$input_pass = $_SERVER['PHP_AUTH_PW'];

// Сравниваем хэшированные значения
if (hash('sha256', $input_user) !== $hashed_user || hash('sha256', $input_pass) !== $hashed_pass) {
    header('WWW-Authenticate: Basic realm="Restricted Area"');
    header('HTTP/1.0 401 Unauthorized');
    echo " Access denied.";
    exit;
}

// Если аутентификация прошла успешно
echo " Welcome, " . htmlspecialchars($_SERVER['PHP_AUTH_USER']) . "!";
?>

<?php

$hashed_user = "8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918";

$hashed_pass = "2bb80d537b1da3e38bd30361aa855686bde0eacd7162fef6a25fe97bf527a25b";

// Проверяем, предоставлены ли логин и пароль

if (!isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW'])) {

header('WWW-Authenticate: Basic realm="Restricted Area"');

header('HTTP/1.0 401 Unauthorized');

echo " Access denied.";

exit;

}

// Хэшируем введенные логин и пароль

$input_user = $_SERVER['PHP_AUTH_USER'];

$input_pass = $_SERVER['PHP_AUTH_PW'];

// Сравниваем хэшированные значения

if (hash('sha256', $input_user) !== $hashed_user || hash('sha256', $input_pass) !== $hashed_pass) {

header('WWW-Authenticate: Basic realm="Restricted Area"');

header('HTTP/1.0 401 Unauthorized');

echo " Access denied.";

exit;

}

// Если аутентификация прошла успешно

echo " Welcome, " . htmlspecialchars($_SERVER['PHP_AUTH_USER']) . "!";

bat файл — проверка истечения срока аренды домена

Опубликовано автором

Скрипт берёт paid-till с сайта whois, и если осталось больше 30дн, выводит результат зелёным цветом, иначе — красным. Внутри используется powershell.

@echo off
setlocal EnableDelayedExpansion

:: Текущая дата
for /f "delims=" %%a in ('powershell -Command "Get-Date -Format yyyy-MM-dd"') do (
 set current_date=%%a
)

for %%d in (ya.ru yandex.ru) do (
    :: Извлекаем дату окончания регистрации из whois
    for /f "tokens=2" %%b in ('curl -s https://whois.ru/%%d ^| findstr paid-till') do (
        for /f "delims=T" %%c in ("%%b") do (
            
            :: Используем PowerShell для вычитания дат
            for /f "delims=" %%D in ('powershell -Command "$current_date = Get-Date '!current_date!'; $second_date = Get-Date '%%c'; $diff = $second_date - $current_date; $diff.Days"') do set days_diff=%%D

            :: Выводим разницу в днях
            if !days_diff! LEQ 30 (
                powershell -Command "Write-Host '%%d: !days_diff! days' -ForegroundColor Red"
            ) else (
                powershell -Command "Write-Host '%%d: !days_diff! days' -ForegroundColor Green"
            )
        )
    )
)

endlocal

@echo off

setlocal EnableDelayedExpansion

:: Текущая дата

for /f "delims=" %%a in ('powershell -Command "Get-Date -Format yyyy-MM-dd"') do (

set current_date=%%a

)

for %%d in (ya.ru yandex.ru) do (

:: Извлекаем дату окончания регистрации из whois

for /f "tokens=2" %%b in ('curl -s https://whois.ru/%%d ^| findstr paid-till') do (

for /f "delims=T" %%c in ("%%b") do (

:: Используем PowerShell для вычитания дат

for /f "delims=" %%D in ('powershell -Command "$current_date = Get-Date '!current_date!'; $second_date = Get-Date '%%c'; $diff = $second_date - $current_date; $diff.Days"') do set days_diff=%%D

:: Выводим разницу в днях

if !days_diff! LEQ 30 (

powershell -Command "Write-Host '%%d: !days_diff! days' -ForegroundColor Red"

) else (

powershell -Command "Write-Host '%%d: !days_diff! days' -ForegroundColor Green"

)

endlocal

Самоподписанный сертификат для Apache

Опубликовано автором

Если нужно альтернативные имена, в /etc/ssl/openssl.cnf поправить раздел v3_req и добавить @alt_names. В этом же файле можно указать остальные параметры, чтобы не вводить во время команды.

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = hostname.domain.loc
DNS.2 = hostname
IP.1 = 192.168.1.140

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

subjectAltName = @alt_names

[ alt_names ]

DNS.1 = hostname.domain.loc

DNS.2 = hostname

IP.1 = 192.168.1.140

Создать ключ с сертификатом командой:

sudo openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /etc/ssl/private/hostname.domain.loc.key -out /etc/ssl/certs/hostname.domain.loc.crt -extensions v3_req -config /etc/ssl/openssl.cnf

1	sudo openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /etc/ssl/private/hostname.domain.loc.key -out /etc/ssl/certs/hostname.domain.loc.crt -extensions v3_req -config /etc/ssl/openssl.cnf

Создать ключи Диффи-Хеллмана

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

1	openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Создать файл /etc/apache2/conf-available/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache &gt;= 2.4
SSLCompression off
SSLSessionTickets Off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

SSLProtocol All -SSLv2 -SSLv3

SSLHonorCipherOrder On

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

Header always set X-Frame-Options DENY

Header always set X-Content-Type-Options nosniff

# Requires Apache >= 2.4

SSLCompression off

SSLSessionTickets Off

SSLUseStapling on

SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Настройка виртуального хоста для https в файле /etc/apache2/sites-available/default-ssl.conf

<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        ServerName hostname.domain.loc
        ServerAlias *.hostname.domain.loc
        DocumentRoot /opt/observium/html

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLEngine on
 
        SSLCertificateFile     /etc/ssl/certs/hostname.domain.loc.crt
        SSLCertificateKeyFile   /etc/ssl/private/hostname.domain.loc.key
 
        <FilesMatch "\.(?:cgi|shtml|phtml|php)$">
                SSLOptions +StdEnvVars
        </FilesMatch>
        <Directory /usr/lib/cgi-bin>
                SSLOptions +StdEnvVars
        </Directory>
        <Directory /opt/observium/html/>
                DirectoryIndex index.php
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                Require all granted
        </Directory>

        BrowserMatch "MSIE [2-6]" \
                nokeepalive ssl-unclean-shutdown \
                downgrade-1.0 force-response-1.0

</VirtualHost>

ServerAdmin webmaster@localhost

ServerName hostname.domain.loc

ServerAlias *.hostname.domain.loc

DocumentRoot /opt/observium/html

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

SSLEngine on

SSLCertificateFile /etc/ssl/certs/hostname.domain.loc.crt

SSLCertificateKeyFile /etc/ssl/private/hostname.domain.loc.key

SSLOptions +StdEnvVars

</FilesMatch>

SSLOptions +StdEnvVars

</Directory>

DirectoryIndex index.php

Options Indexes FollowSymLinks MultiViews

AllowOverride All

Require all granted

</Directory>

BrowserMatch "MSIE [2-6]" \

nokeepalive ssl-unclean-shutdown \

downgrade-1.0 force-response-1.0

</VirtualHost>

Если нужна переадресация с http, то в http хосте добавить Redirect:

  <VirtualHost *:80>
    ServerAdmin webmaster@localhost
    ServerName hostname.domain.loc
    Redirect "/" "https://hostname.domain.loc"
    DocumentRoot /opt/observium/html

ServerAdmin webmaster@localhost

ServerName hostname.domain.loc

Redirect "/" "https://hostname.domain.loc"

DocumentRoot /opt/observium/html

Включить модуль Apache для SSL, mod_ssl, модуль mod_headers, для работы сниппета SSL и https хост:

sudo a2enmod ssl
sudo a2enmod headers
sudo a2ensite default-ssl

sudo a2enmod ssl

sudo a2enmod headers

sudo a2ensite default-ssl

Проверка настроек командой sudo apache2ctl configtest, может выдать ошибку, что Syntax OK, но директива ServerName не установлена глобально в /etc/apache2/apache2.conf. Это делать не обязательно.
Перезагрузить Apache командой sudo systemctl restart apache2.

Скопировать файл, если отсутствует через cmd

Опубликовано автором

BAT файл. Вывести список каталогов начинающихся на app-, проверить есть ли в них файл proxy.txt, если отсутствует, скопировать в них все файлы из каталога proxy. После этих действий запустить программу (как в ярлыке).

@echo off
setlocal enableDelayedExpansion

::build "array" of folders
set folderCnt=0
for /f "eol=: delims=" %%F in ('dir /b /ad %LocalAppData%\Programm\app-*') do (
  set /a folderCnt+=1
  set "folder!folderCnt!=%%F"
)

::print menu
for /l %%N in (1 1 %folderCnt%) do echo !folder%%N!

for /l %%N in (1 1 %folderCnt%) do (
    IF NOT EXIST %LocalAppData%\Programm\!folder%%N!\proxy.txt copy %LocalAppData%\Programm\proxy\* %LocalAppData%\Programm\!folder%%N!
)

C:\Users\%USERNAME%\AppData\Local\Programm\Update.exe --processStart Programm.exe

@echo off

setlocal enableDelayedExpansion

::build "array" of folders

set folderCnt=0

for /f "eol=: delims=" %%F in ('dir /b /ad %LocalAppData%\Programm\app-*') do (

set /a folderCnt+=1

set "folder!folderCnt!=%%F"

)

::print menu

for /l %%N in (1 1 %folderCnt%) do echo !folder%%N!

for /l %%N in (1 1 %folderCnt%) do (

IF NOT EXIST %LocalAppData%\Programm\!folder%%N!\proxy.txt copy %LocalAppData%\Programm\proxy\* %LocalAppData%\Programm\!folder%%N!

)

C:\Users\%USERNAME%\AppData\Local\Programm\Update.exe --processStart Programm.exe

Настройка WireGuard в Ubuntu

Опубликовано автором

Ставим wireguard на сервере:

apt install -y wireguard

1	apt install -y wireguard

Генерим ключи сервера:

wg genkey | tee /etc/wireguard/privatekey | wg pubkey | tee /etc/wireguard/publickey

1	wg genkey \| tee /etc/wireguard/privatekey \| wg pubkey \| tee /etc/wireguard/publickey

Проставляем права на приватный ключ:

chmod 600 /etc/wireguard/privatekey

1	chmod 600 /etc/wireguard/privatekey

С помощью «ip a» проверим название интерфейса (enp0s3) и создадим для него конфиг:

nano /etc/wireguard/wg0.conf

1	nano /etc/wireguard/wg0.conf

[Interface]
PrivateKey = privatekey # вставить ключ
Address = 10.0.0.1/24
ListenPort = 55555 #udp
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE

[Interface]

PrivateKey = privatekey # вставить ключ

Address = 10.0.0.1/24

ListenPort = 55555 #udp

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE

PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE

Включаем IP форвардинг:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

1 2	echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf sysctl -p

Включаем systemd демон с wireguard:

systemctl enable wg-quick@wg0.service
systemctl start wg-quick@wg0.service

1 2	systemctl enable wg-quick@wg0.service systemctl start wg-quick@wg0.service

Создаём ключи клиента:

sudo wg genkey | tee /etc/wireguard/client1_privatekey | wg pubkey | tee /etc/wireguard/client1_publickey

1	sudo wg genkey \| tee /etc/wireguard/client1_privatekey \| wg pubkey \| tee /etc/wireguard/client1_publickey

Добавляем клиента в конфиг сервера:

nano /etc/wireguard/wg0.conf

1	nano /etc/wireguard/wg0.conf

[Peer]
PublicKey = client1_publickey # ключ клиента
AllowedIPs = 10.0.0.2/32

[Peer]

PublicKey = client1_publickey # ключ клиента

AllowedIPs = 10.0.0.2/32

Перезагружаем systemd сервис с wireguard:

systemctl restart wg-quick@wg0

1	systemctl restart wg-quick@wg0

Клиент

На локальной машине (например, на ноутбуке) создаём текстовый файл с конфигом клиента:

nano  client1_wg.conf

1	nano client1_wg.conf

[Interface]
PrivateKey = &lt;CLIENT-PRIVATE-KEY>
Address = 10.0.0.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = &lt;SERVER-PUBKEY>
Endpoint = &lt;SERVER-IP>:55555
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 20

[Interface]

PrivateKey = <CLIENT-PRIVATE-KEY>

Address = 10.0.0.2/32

DNS = 8.8.8.8

[Peer]

PublicKey = <SERVER-PUBKEY>

Endpoint = <SERVER-IP>:55555

AllowedIPs = 0.0.0.0/0

PersistentKeepalive = 20

Здесь <CLIENT-PRIVATE-KEY> заменяем на приватный ключ клиента, то есть содержимое файла /etc/wireguard/goloburdin_privatekey на сервере. <SERVER-PUBKEY> заменяем на публичный ключ сервера, то есть на содержимое файла /etc/wireguard/publickey на сервере. <SERVER-IP> заменяем на IP сервера.

Ограничение скорости на сервере

Outbound limit:

sudo tc qdisc add dev wg0 parent root handle 1: hfsc default 1
sudo tc class add dev wg0 parent 1: classid 1:1 hfsc sc rate 10mbit ul rate 10mbit

1 2	sudo tc qdisc add dev wg0 parent root handle 1: hfsc default 1 sudo tc class add dev wg0 parent 1: classid 1:1 hfsc sc rate 10mbit ul rate 10mbit

Inbound limit:
Создаём и запускаем ifb интерфейс inbound0:

sudo ip link add name inbound0 type ifb
sudo ip link set inbound0 up

1 2	sudo ip link add name inbound0 type ifb sudo ip link set inbound0 up

Направляем пакеты с wireguard в этот интерфейс:

sudo tc qdisc add dev wg0 handle ffff: ingress
sudo tc filter add dev wg0 parent ffff: matchall action mirred egress redirect dev inbound0

1 2	sudo tc qdisc add dev wg0 handle ffff: ingress sudo tc filter add dev wg0 parent ffff: matchall action mirred egress redirect dev inbound0

отдельный HFSC qdisc для ifb интерфейса и ограничение всего траффика 10Мбит:

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 1
sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 10mbit ul rate 10mbit

1 2	sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 1 sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 10mbit ul rate 10mbit

Расширенное ограничение (взамен предыдущих двух строк):

Максималка – 50mbit, И 2 дочерних класса:
1) Для https скорость – 5mbit (фильтры ниже)
2) по умолчанию скорость – 45mbit (19)

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 19
sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 50mbit ul rate 50mbit
sudo tc class add dev inbound0 parent f:1 classid f:11 hfsc ls rate 5mbit ul rate 5mbit
sudo tc class add dev inbound0 parent f:1 classid f:19 hfsc ls rate 45mbit

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 19

sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 50mbit ul rate 50mbit

sudo tc class add dev inbound0 parent f:1 classid f:11 hfsc ls rate 5mbit ul rate 5mbit

sudo tc class add dev inbound0 parent f:1 classid f:19 hfsc ls rate 45mbit

Фильтры https для ip 10.0.0.6:

sudo tc filter add dev inbound0 parent f: protocol ip prio 11 u32 \
    match ip src 10.0.0.6 \
    match ip protocol 6 0xff \
    match ip sport 443 0xffff \
    classid f:11

sudo tc filter add dev inbound0 parent f: protocol ip prio 11 u32 \

match ip src 10.0.0.6 \

match ip protocol 6 0xff \

match ip sport 443 0xffff \

classid f:11

Настройка OpenVPN в Ubuntu

Опубликовано автором

На сервере Openvpn

sudo apt install openvpn -y

1	sudo apt install openvpn -y

На сервере CA

wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.2.1/EasyRSA-3.2.1.tgz
tar -xvzf EasyRSA-3.2.1.tgz &amp;&amp; rm EasyRSA-3.2.1.tgz
chmod 700 EasyRSA-3.2.1
cd EasyRSA-3.2.1

wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.2.1/EasyRSA-3.2.1.tgz

tar -xvzf EasyRSA-3.2.1.tgz && rm EasyRSA-3.2.1.tgz

chmod 700 EasyRSA-3.2.1

cd EasyRSA-3.2.1

В каталоге EasyRSA Создать файл «vars»

set_var EASYRSA_REQ_COUNTRY    "RUS"
set_var EASYRSA_REQ_PROVINCE   "Moscow"
set_var EASYRSA_REQ_CITY       "Moscow City"
set_var EASYRSA_REQ_ORG        "Our Company Name"
set_var EASYRSA_REQ_EMAIL      "sysadmin@company.ru"
set_var EASYRSA_REQ_OU         "LLC"
set_var EASYRSA_ALGO           "ec"
set_var EASYRSA_DIGEST         "sha512"

set_var EASYRSA_REQ_COUNTRY "RUS"

set_var EASYRSA_REQ_PROVINCE "Moscow"

set_var EASYRSA_REQ_CITY "Moscow City"

set_var EASYRSA_REQ_ORG "Our Company Name"

set_var EASYRSA_REQ_EMAIL "sysadmin@company.ru"

set_var EASYRSA_REQ_OU "LLC"

set_var EASYRSA_ALGO "ec"

set_var EASYRSA_DIGEST "sha512"

Создать корневой сертификат и сертификат для OpenVPN:
(Для второго понадобится passphrase от первого)

./easyrsa init-pki &amp;&amp; ./easyrsa build-ca nopass
./easyrsa build-server-full server nopass

1 2	./easyrsa init-pki && ./easyrsa build-ca nopass ./easyrsa build-server-full server nopass

dh.pem сертификат нужно создать, даже если он не будет использоваться:

openssl dhparam -out /etc/openvpn/dh.pem 2048

1	openssl dhparam -out /etc/openvpn/dh.pem 2048

На сервере OpenVPN

Скопировать файлы сертификатов в каталог Openvpn:

sudo scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/ca.crt,pki/issued/server.crt,pki/private/server.key} /etc/openvpn/server/

1	sudo scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/ca.crt,pki/issued/server.crt,pki/private/server.key} /etc/openvpn/server/

Создать /etc/openvpn/server.conf:

port 1194
#proto tcp
proto udp
dev tun
ca ca.crt
dh dh.pem
cert server.crt
key server.key
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
cipher AES-256-CBC
;client-to-client
keepalive 10 120
persist-key
persist-tun
user nobody
group nogroup
verb 3

port 1194

#proto tcp

proto udp

dev tun

ca ca.crt

dh dh.pem

cert server.crt

key server.key

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

cipher AES-256-CBC

;client-to-client

keepalive 10 120

persist-key

persist-tun

user nobody

group nogroup

verb 3

Настраиваем IP форвардинг и iptables:

 echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
 sysctl -p
iptables -t nat -A POSTROUTING --src 10.8.0.0/8 -o enp0s3 -j MASQUERADE
iptables -A FORWARD -s 10.8.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

sysctl -p

iptables -t nat -A POSTROUTING --src 10.8.0.0/8 -o enp0s3 -j MASQUERADE

iptables -A FORWARD -s 10.8.0.0/8 -j ACCEPT

iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

Проверка:

sudo systemctl start openvpn@server
sudo systemctl status openvpn@server
nc -zv -u 192.168.0.100 1194

sudo systemctl start openvpn@server

sudo systemctl status openvpn@server

nc -zv -u 192.168.0.100 1194

Создание клиентов на сервере Openvpn

На сервере CA
Создать ключ клиента и скопировать его на сервер OpenVPN (команда ниже):

./easyrsa build-client-full client1 nopass

1	./easyrsa build-client-full client1 nopass

На сервере OpenVPN:

mkdir -p ~/client-configs/keys # Каталог для ключей клиентов
mkdir -p ~/client-configs/files # Каталог для конфигов

1 2	mkdir -p ~/client-configs/keys # Каталог для ключей клиентов mkdir -p ~/client-configs/files # Каталог для конфигов

Создать шаблон конфига ~/client-configs/base.conf:

client
dev tun
#proto tcp
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth-nocache
verb 3

client

dev tun

#proto tcp

proto udp

remote YOUR_SERVER_IP 1194

resolv-retry infinite

nobind

persist-key

persist-tun

cipher AES-256-CBC

auth-nocache

verb 3

Скопировать ключи клиента и ca:

scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/issued/client1.crt,pki/private/client1.key} /home/user/client-configs/keys/
sudo cp /etc/openvpn/server/ /home/user/client-configs/keys/
sudo chmod -R 700 ~/client-configs
sudo chown user:user -R ~/client-configs

scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/issued/client1.crt,pki/private/client1.key} /home/user/client-configs/keys/

sudo cp /etc/openvpn/server/ /home/user/client-configs/keys/

sudo chmod -R 700 ~/client-configs

sudo chown user:user -R ~/client-configs

Создать скрипт создания конфига ~/client-configs/make_config.sh:
(добавление tls закоментировано)

#!/bin/bash
 
# First argument: Client identifier
 
KEY_DIR=~/client-configs/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf
 
cat ${BASE_CONFIG} \
    <(echo -e '<ca>') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEY_DIR}/${1}.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEY_DIR}/${1}.key \
#    <(echo -e '</key>\n<tls-crypt>') \ # строка заменена на следующую
    <(echo -e '</key>') \
#    ${KEY_DIR}/ta.key \
#    <(echo -e '</tls-crypt>') \
    > ${OUTPUT_DIR}/${1}.ovpn

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/client-configs/keys

OUTPUT_DIR=~/client-configs/files

BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} \

<(echo -e '<ca>') \

${KEY_DIR}/ca.crt \

<(echo -e '</ca>\n<cert>') \

${KEY_DIR}/${1}.crt \

<(echo -e '</cert>\n<key>') \

${KEY_DIR}/${1}.key \

# <(echo -e '</key>\n<tls-crypt>') \ # строка заменена на следующую

<(echo -e '</key>') \

# ${KEY_DIR}/ta.key \

# <(echo -e '</tls-crypt>') \

> ${OUTPUT_DIR}/${1}.ovpn

Сделать файл исполняемым, созданный client.ovpn использовать на клиенте:

 sudo chmod 700 ~/client-configs/make_config.sh
 ~/client-configs/make_config.sh client1

1 2	sudo chmod 700 ~/client-configs/make_config.sh ~/client-configs/make_config.sh client1

systemd script для запуска\остановки службы

Опубликовано автором

Создаём исполняемый файл, например в /etc/init.d/testscript


#!/bin/bash
### BEGIN INIT INFO
# Provides: test
# Required-Start: $all
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop:
# Short-Description: testcript
### END INIT INFO

if [ $1 == start ]
then
  echo "start"
elif [ $1 == stop ]
then
  echo "stop"
else
  echo "Wrong key, usage: testcript start, or testcript stop"
fi

#!/bin/bash

### BEGIN INIT INFO

# Provides: test

# Required-Start: $all

# Required-Stop:

# Default-Start: 2 3 4 5

# Default-Stop:

# Short-Description: testcript

### END INIT INFO

if [ $1 == start ]

then

echo "start"

elif [ $1 == stop ]

then

echo "stop"

else

echo "Wrong key, usage: testcript start, or testcript stop"

Для запуска (execstart): /etc/init.d/testscript start

Для остановки (execstop): /etc/init.d/testscript stop

Создание хэша пароля sha512

Опубликовано автором

С помощью python или python3:

python3 -c 'import crypt,getpass; print(crypt.crypt(getpass.getpass(), crypt.mksalt(crypt.METHOD_SHA512)))'

1	python3 -c 'import crypt,getpass; print(crypt.crypt(getpass.getpass(), crypt.mksalt(crypt.METHOD_SHA512)))'

С помощью openssl:

openssl passwd -6 -salt blabla123

1	openssl passwd -6 -salt blabla123

Автоматизация обновления времени с помощью ntpdate

Опубликовано автором

Созать файл и сделать исполняемым /etc/init.d/timeupdate:

#!/bin/bash
function timeupdate {
 ping -c 1 192.168.1.30 > /dev/null
 if [ $? -eq 0 ]; then
   systemctl stop ntp
   ntpdate -q 192.168.1.30
   systemctl start ntp
 else
   ping -c 1 192.168.1.31 > /dev/null
   if [ $? -eq 0 ]; then
     systemctl stop ntp
     ntpdate -q 192.168.1.31
     systemctl start ntp
   else
     echo "wait 5sec"
     sleep 5
     timeupdate
   fi
 fi
}
timeupdate

#!/bin/bash

function timeupdate {

ping -c 1 192.168.1.30 > /dev/null

if [ $? -eq 0 ]; then

systemctl stop ntp

ntpdate -q 192.168.1.30

systemctl start ntp

else

ping -c 1 192.168.1.31 > /dev/null

if [ $? -eq 0 ]; then

systemctl stop ntp

ntpdate -q 192.168.1.31

systemctl start ntp

else

echo "wait 5sec"

sleep 5

timeupdate

}

timeupdate

chmod +x /etc/init.d/timeupdate

Создать ежедневное задание крон в 0 часов:
sudo crontab -e

0 0 * * * /etc/init.d/timeupdate

1	0 0 * * * /etc/init.d/timeupdate

Если пингуется первый хост, время обновится с него, иначе, если пингуется второй хост, обновить со второго, иначе перезапустить скрипт через 5 сек.
Перед и после обновления времени выключается и включается служба ntp.

Glatos.RU

Записки Системного администратора

Архив автора:

Корпоративное зеркало репозиториев aptly в Ubuntu

Базовая аутентификация php

bat файл — проверка истечения срока аренды домена

Самоподписанный сертификат для Apache

Скопировать файл, если отсутствует через cmd

Настройка WireGuard в Ubuntu

Настройка OpenVPN в Ubuntu

systemd script для запуска\остановки службы

Создание хэша пароля sha512

Автоматизация обновления времени с помощью ntpdate