Самоподписанный сертификат для Apache

Опубликовано автором

Если нужно альтернативные имена, в /etc/ssl/openssl.cnf поправить раздел v3_req и добавить @alt_names. В этом же файле можно указать остальные параметры, чтобы не вводить во время команды.

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = hostname.domain.loc
DNS.2 = hostname
IP.1 = 192.168.1.140

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

subjectAltName = @alt_names

[ alt_names ]

DNS.1 = hostname.domain.loc

DNS.2 = hostname

IP.1 = 192.168.1.140

Создать ключ с сертификатом командой:

sudo openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /etc/ssl/private/hostname.domain.loc.key -out /etc/ssl/certs/hostname.domain.loc.crt -extensions v3_req -config /etc/ssl/openssl.cnf

1	sudo openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /etc/ssl/private/hostname.domain.loc.key -out /etc/ssl/certs/hostname.domain.loc.crt -extensions v3_req -config /etc/ssl/openssl.cnf

Создать ключи Диффи-Хеллмана

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

1	openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Создать файл /etc/apache2/conf-available/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache &gt;= 2.4
SSLCompression off
SSLSessionTickets Off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

SSLProtocol All -SSLv2 -SSLv3

SSLHonorCipherOrder On

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

Header always set X-Frame-Options DENY

Header always set X-Content-Type-Options nosniff

# Requires Apache >= 2.4

SSLCompression off

SSLSessionTickets Off

SSLUseStapling on

SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Настройка виртуального хоста для https в файле /etc/apache2/sites-available/default-ssl.conf

<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        ServerName hostname.domain.loc
        ServerAlias *.hostname.domain.loc
        DocumentRoot /opt/observium/html

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLEngine on
 
        SSLCertificateFile     /etc/ssl/certs/hostname.domain.loc.crt
        SSLCertificateKeyFile   /etc/ssl/private/hostname.domain.loc.key
 
        <FilesMatch "\.(?:cgi|shtml|phtml|php)$">
                SSLOptions +StdEnvVars
        </FilesMatch>
        <Directory /usr/lib/cgi-bin>
                SSLOptions +StdEnvVars
        </Directory>
        <Directory /opt/observium/html/>
                DirectoryIndex index.php
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                Require all granted
        </Directory>

        BrowserMatch "MSIE [2-6]" \
                nokeepalive ssl-unclean-shutdown \
                downgrade-1.0 force-response-1.0

</VirtualHost>

ServerAdmin webmaster@localhost

ServerName hostname.domain.loc

ServerAlias *.hostname.domain.loc

DocumentRoot /opt/observium/html

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

SSLEngine on

SSLCertificateFile /etc/ssl/certs/hostname.domain.loc.crt

SSLCertificateKeyFile /etc/ssl/private/hostname.domain.loc.key

SSLOptions +StdEnvVars

</FilesMatch>

SSLOptions +StdEnvVars

</Directory>

DirectoryIndex index.php

Options Indexes FollowSymLinks MultiViews

AllowOverride All

Require all granted

</Directory>

BrowserMatch "MSIE [2-6]" \

nokeepalive ssl-unclean-shutdown \

downgrade-1.0 force-response-1.0

</VirtualHost>

Если нужна переадресация с http, то в http хосте добавить Redirect:

  <VirtualHost *:80>
    ServerAdmin webmaster@localhost
    ServerName hostname.domain.loc
    Redirect "/" "https://hostname.domain.loc"
    DocumentRoot /opt/observium/html

ServerAdmin webmaster@localhost

ServerName hostname.domain.loc

Redirect "/" "https://hostname.domain.loc"

DocumentRoot /opt/observium/html

Включить модуль Apache для SSL, mod_ssl, модуль mod_headers, для работы сниппета SSL и https хост:

sudo a2enmod ssl
sudo a2enmod headers
sudo a2ensite default-ssl

sudo a2enmod ssl

sudo a2enmod headers

sudo a2ensite default-ssl

Проверка настроек командой sudo apache2ctl configtest, может выдать ошибку, что Syntax OK, но директива ServerName не установлена глобально в /etc/apache2/apache2.conf. Это делать не обязательно.
Перезагрузить Apache командой sudo systemctl restart apache2.

Настройка WireGuard в Ubuntu

Опубликовано автором

Ставим wireguard на сервере:

apt install -y wireguard

1	apt install -y wireguard

Генерим ключи сервера:

wg genkey | tee /etc/wireguard/privatekey | wg pubkey | tee /etc/wireguard/publickey

1	wg genkey \| tee /etc/wireguard/privatekey \| wg pubkey \| tee /etc/wireguard/publickey

Проставляем права на приватный ключ:

chmod 600 /etc/wireguard/privatekey

1	chmod 600 /etc/wireguard/privatekey

С помощью «ip a» проверим название интерфейса (enp0s3) и создадим для него конфиг:

nano /etc/wireguard/wg0.conf

1	nano /etc/wireguard/wg0.conf

[Interface]
PrivateKey = privatekey # вставить ключ
Address = 10.0.0.1/24
ListenPort = 55555 #udp
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE

[Interface]

PrivateKey = privatekey # вставить ключ

Address = 10.0.0.1/24

ListenPort = 55555 #udp

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE

PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE

Включаем IP форвардинг:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

1 2	echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf sysctl -p

Включаем systemd демон с wireguard:

systemctl enable wg-quick@wg0.service
systemctl start wg-quick@wg0.service

1 2	systemctl enable wg-quick@wg0.service systemctl start wg-quick@wg0.service

Создаём ключи клиента:

sudo wg genkey | tee /etc/wireguard/client1_privatekey | wg pubkey | tee /etc/wireguard/client1_publickey

1	sudo wg genkey \| tee /etc/wireguard/client1_privatekey \| wg pubkey \| tee /etc/wireguard/client1_publickey

Добавляем клиента в конфиг сервера:

nano /etc/wireguard/wg0.conf

1	nano /etc/wireguard/wg0.conf

[Peer]
PublicKey = client1_publickey # ключ клиента
AllowedIPs = 10.0.0.2/32

[Peer]

PublicKey = client1_publickey # ключ клиента

AllowedIPs = 10.0.0.2/32

Перезагружаем systemd сервис с wireguard:

systemctl restart wg-quick@wg0

1	systemctl restart wg-quick@wg0

Клиент

На локальной машине (например, на ноутбуке) создаём текстовый файл с конфигом клиента:

nano  client1_wg.conf

1	nano client1_wg.conf

[Interface]
PrivateKey = &lt;CLIENT-PRIVATE-KEY>
Address = 10.0.0.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = &lt;SERVER-PUBKEY>
Endpoint = &lt;SERVER-IP>:55555
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 20

[Interface]

PrivateKey = <CLIENT-PRIVATE-KEY>

Address = 10.0.0.2/32

DNS = 8.8.8.8

[Peer]

PublicKey = <SERVER-PUBKEY>

Endpoint = <SERVER-IP>:55555

AllowedIPs = 0.0.0.0/0

PersistentKeepalive = 20

Здесь <CLIENT-PRIVATE-KEY> заменяем на приватный ключ клиента, то есть содержимое файла /etc/wireguard/goloburdin_privatekey на сервере. <SERVER-PUBKEY> заменяем на публичный ключ сервера, то есть на содержимое файла /etc/wireguard/publickey на сервере. <SERVER-IP> заменяем на IP сервера.

Ограничение скорости на сервере

Outbound limit:

sudo tc qdisc add dev wg0 parent root handle 1: hfsc default 1
sudo tc class add dev wg0 parent 1: classid 1:1 hfsc sc rate 10mbit ul rate 10mbit

1 2	sudo tc qdisc add dev wg0 parent root handle 1: hfsc default 1 sudo tc class add dev wg0 parent 1: classid 1:1 hfsc sc rate 10mbit ul rate 10mbit

Inbound limit:
Создаём и запускаем ifb интерфейс inbound0:

sudo ip link add name inbound0 type ifb
sudo ip link set inbound0 up

1 2	sudo ip link add name inbound0 type ifb sudo ip link set inbound0 up

Направляем пакеты с wireguard в этот интерфейс:

sudo tc qdisc add dev wg0 handle ffff: ingress
sudo tc filter add dev wg0 parent ffff: matchall action mirred egress redirect dev inbound0

1 2	sudo tc qdisc add dev wg0 handle ffff: ingress sudo tc filter add dev wg0 parent ffff: matchall action mirred egress redirect dev inbound0

отдельный HFSC qdisc для ifb интерфейса и ограничение всего траффика 10Мбит:

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 1
sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 10mbit ul rate 10mbit

1 2	sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 1 sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 10mbit ul rate 10mbit

Расширенное ограничение (взамен предыдущих двух строк):

Максималка – 50mbit, И 2 дочерних класса:
1) Для https скорость – 5mbit (фильтры ниже)
2) по умолчанию скорость – 45mbit (19)

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 19
sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 50mbit ul rate 50mbit
sudo tc class add dev inbound0 parent f:1 classid f:11 hfsc ls rate 5mbit ul rate 5mbit
sudo tc class add dev inbound0 parent f:1 classid f:19 hfsc ls rate 45mbit

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 19

sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 50mbit ul rate 50mbit

sudo tc class add dev inbound0 parent f:1 classid f:11 hfsc ls rate 5mbit ul rate 5mbit

sudo tc class add dev inbound0 parent f:1 classid f:19 hfsc ls rate 45mbit

Фильтры https для ip 10.0.0.6:

sudo tc filter add dev inbound0 parent f: protocol ip prio 11 u32 \
    match ip src 10.0.0.6 \
    match ip protocol 6 0xff \
    match ip sport 443 0xffff \
    classid f:11

sudo tc filter add dev inbound0 parent f: protocol ip prio 11 u32 \

match ip src 10.0.0.6 \

match ip protocol 6 0xff \

match ip sport 443 0xffff \

classid f:11

Настройка OpenVPN в Ubuntu

Опубликовано автором

На сервере Openvpn

sudo apt install openvpn -y

1	sudo apt install openvpn -y

На сервере CA

wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.2.1/EasyRSA-3.2.1.tgz
tar -xvzf EasyRSA-3.2.1.tgz &amp;&amp; rm EasyRSA-3.2.1.tgz
chmod 700 EasyRSA-3.2.1
cd EasyRSA-3.2.1

wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.2.1/EasyRSA-3.2.1.tgz

tar -xvzf EasyRSA-3.2.1.tgz && rm EasyRSA-3.2.1.tgz

chmod 700 EasyRSA-3.2.1

cd EasyRSA-3.2.1

В каталоге EasyRSA Создать файл «vars»

set_var EASYRSA_REQ_COUNTRY    "RUS"
set_var EASYRSA_REQ_PROVINCE   "Moscow"
set_var EASYRSA_REQ_CITY       "Moscow City"
set_var EASYRSA_REQ_ORG        "Our Company Name"
set_var EASYRSA_REQ_EMAIL      "sysadmin@company.ru"
set_var EASYRSA_REQ_OU         "LLC"
set_var EASYRSA_ALGO           "ec"
set_var EASYRSA_DIGEST         "sha512"

set_var EASYRSA_REQ_COUNTRY "RUS"

set_var EASYRSA_REQ_PROVINCE "Moscow"

set_var EASYRSA_REQ_CITY "Moscow City"

set_var EASYRSA_REQ_ORG "Our Company Name"

set_var EASYRSA_REQ_EMAIL "sysadmin@company.ru"

set_var EASYRSA_REQ_OU "LLC"

set_var EASYRSA_ALGO "ec"

set_var EASYRSA_DIGEST "sha512"

Создать корневой сертификат и сертификат для OpenVPN:
(Для второго понадобится passphrase от первого)

./easyrsa init-pki &amp;&amp; ./easyrsa build-ca nopass
./easyrsa build-server-full server nopass

1 2	./easyrsa init-pki && ./easyrsa build-ca nopass ./easyrsa build-server-full server nopass

dh.pem сертификат нужно создать, даже если он не будет использоваться:

openssl dhparam -out /etc/openvpn/dh.pem 2048

1	openssl dhparam -out /etc/openvpn/dh.pem 2048

На сервере OpenVPN

Скопировать файлы сертификатов в каталог Openvpn:

sudo scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/ca.crt,pki/issued/server.crt,pki/private/server.key} /etc/openvpn/server/

1	sudo scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/ca.crt,pki/issued/server.crt,pki/private/server.key} /etc/openvpn/server/

Создать /etc/openvpn/server.conf:

port 1194
#proto tcp
proto udp
dev tun
ca ca.crt
dh dh.pem
cert server.crt
key server.key
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
cipher AES-256-CBC
;client-to-client
keepalive 10 120
persist-key
persist-tun
user nobody
group nogroup
verb 3

port 1194

#proto tcp

proto udp

dev tun

ca ca.crt

dh dh.pem

cert server.crt

key server.key

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

cipher AES-256-CBC

;client-to-client

keepalive 10 120

persist-key

persist-tun

user nobody

group nogroup

verb 3

Настраиваем IP форвардинг и iptables:

 echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
 sysctl -p
iptables -t nat -A POSTROUTING --src 10.8.0.0/8 -o enp0s3 -j MASQUERADE
iptables -A FORWARD -s 10.8.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

sysctl -p

iptables -t nat -A POSTROUTING --src 10.8.0.0/8 -o enp0s3 -j MASQUERADE

iptables -A FORWARD -s 10.8.0.0/8 -j ACCEPT

iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

Проверка:

sudo systemctl start openvpn@server
sudo systemctl status openvpn@server
nc -zv -u 192.168.0.100 1194

sudo systemctl start openvpn@server

sudo systemctl status openvpn@server

nc -zv -u 192.168.0.100 1194

Создание клиентов на сервере Openvpn

На сервере CA
Создать ключ клиента и скопировать его на сервер OpenVPN (команда ниже):

./easyrsa build-client-full client1 nopass

1	./easyrsa build-client-full client1 nopass

На сервере OpenVPN:

mkdir -p ~/client-configs/keys # Каталог для ключей клиентов
mkdir -p ~/client-configs/files # Каталог для конфигов

1 2	mkdir -p ~/client-configs/keys # Каталог для ключей клиентов mkdir -p ~/client-configs/files # Каталог для конфигов

Создать шаблон конфига ~/client-configs/base.conf:

client
dev tun
#proto tcp
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth-nocache
verb 3

client

dev tun

#proto tcp

proto udp

remote YOUR_SERVER_IP 1194

resolv-retry infinite

nobind

persist-key

persist-tun

cipher AES-256-CBC

auth-nocache

verb 3

Скопировать ключи клиента и ca:

scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/issued/client1.crt,pki/private/client1.key} /home/user/client-configs/keys/
sudo cp /etc/openvpn/server/ /home/user/client-configs/keys/
sudo chmod -R 700 ~/client-configs
sudo chown user:user -R ~/client-configs

scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/issued/client1.crt,pki/private/client1.key} /home/user/client-configs/keys/

sudo cp /etc/openvpn/server/ /home/user/client-configs/keys/

sudo chmod -R 700 ~/client-configs

sudo chown user:user -R ~/client-configs

Создать скрипт создания конфига ~/client-configs/make_config.sh:
(добавление tls закоментировано)

#!/bin/bash
 
# First argument: Client identifier
 
KEY_DIR=~/client-configs/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf
 
cat ${BASE_CONFIG} \
    <(echo -e '<ca>') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEY_DIR}/${1}.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEY_DIR}/${1}.key \
#    <(echo -e '</key>\n<tls-crypt>') \ # строка заменена на следующую
    <(echo -e '</key>') \
#    ${KEY_DIR}/ta.key \
#    <(echo -e '</tls-crypt>') \
    > ${OUTPUT_DIR}/${1}.ovpn

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/client-configs/keys

OUTPUT_DIR=~/client-configs/files

BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} \

<(echo -e '<ca>') \

${KEY_DIR}/ca.crt \

<(echo -e '</ca>\n<cert>') \

${KEY_DIR}/${1}.crt \

<(echo -e '</cert>\n<key>') \

${KEY_DIR}/${1}.key \

# <(echo -e '</key>\n<tls-crypt>') \ # строка заменена на следующую

<(echo -e '</key>') \

# ${KEY_DIR}/ta.key \

# <(echo -e '</tls-crypt>') \

> ${OUTPUT_DIR}/${1}.ovpn

Сделать файл исполняемым, созданный client.ovpn использовать на клиенте:

 sudo chmod 700 ~/client-configs/make_config.sh
 ~/client-configs/make_config.sh client1

1 2	sudo chmod 700 ~/client-configs/make_config.sh ~/client-configs/make_config.sh client1

systemd script для запуска\остановки службы

Опубликовано автором

Создаём исполняемый файл, например в /etc/init.d/testscript


#!/bin/bash
### BEGIN INIT INFO
# Provides: test
# Required-Start: $all
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop:
# Short-Description: testcript
### END INIT INFO

if [ $1 == start ]
then
  echo "start"
elif [ $1 == stop ]
then
  echo "stop"
else
  echo "Wrong key, usage: testcript start, or testcript stop"
fi

#!/bin/bash

### BEGIN INIT INFO

# Provides: test

# Required-Start: $all

# Required-Stop:

# Default-Start: 2 3 4 5

# Default-Stop:

# Short-Description: testcript

### END INIT INFO

if [ $1 == start ]

then

echo "start"

elif [ $1 == stop ]

then

echo "stop"

else

echo "Wrong key, usage: testcript start, or testcript stop"

Для запуска (execstart): /etc/init.d/testscript start

Для остановки (execstop): /etc/init.d/testscript stop

Создание хэша пароля sha512

Опубликовано автором

С помощью python или python3:

python3 -c 'import crypt,getpass; print(crypt.crypt(getpass.getpass(), crypt.mksalt(crypt.METHOD_SHA512)))'

1	python3 -c 'import crypt,getpass; print(crypt.crypt(getpass.getpass(), crypt.mksalt(crypt.METHOD_SHA512)))'

С помощью openssl:

openssl passwd -6 -salt blabla123

1	openssl passwd -6 -salt blabla123

Автоматизация обновления времени с помощью ntpdate

Опубликовано автором

Созать файл и сделать исполняемым /etc/init.d/timeupdate:

#!/bin/bash
function timeupdate {
 ping -c 1 192.168.1.30 > /dev/null
 if [ $? -eq 0 ]; then
   systemctl stop ntp
   ntpdate -q 192.168.1.30
   systemctl start ntp
 else
   ping -c 1 192.168.1.31 > /dev/null
   if [ $? -eq 0 ]; then
     systemctl stop ntp
     ntpdate -q 192.168.1.31
     systemctl start ntp
   else
     echo "wait 5sec"
     sleep 5
     timeupdate
   fi
 fi
}
timeupdate

#!/bin/bash

function timeupdate {

ping -c 1 192.168.1.30 > /dev/null

if [ $? -eq 0 ]; then

systemctl stop ntp

ntpdate -q 192.168.1.30

systemctl start ntp

else

ping -c 1 192.168.1.31 > /dev/null

if [ $? -eq 0 ]; then

systemctl stop ntp

ntpdate -q 192.168.1.31

systemctl start ntp

else

echo "wait 5sec"

sleep 5

timeupdate

}

timeupdate

chmod +x /etc/init.d/timeupdate

Создать ежедневное задание крон в 0 часов:
sudo crontab -e

0 0 * * * /etc/init.d/timeupdate

1	0 0 * * * /etc/init.d/timeupdate

Если пингуется первый хост, время обновится с него, иначе, если пингуется второй хост, обновить со второго, иначе перезапустить скрипт через 5 сек.
Перед и после обновления времени выключается и включается служба ntp.

Внешний Proxy сервер Squid в Ubuntu

Опубликовано автором

sudo apt install apache2-utils squid -y #apache2-utils если нужна авторизация

1	sudo apt install apache2-utils squid -y #apache2-utils если нужна авторизация

/etc/squid/squid.conf

http_port 4080
via off
forwarded_for off
cache deny all
request_header_access From deny all
request_header_access Referer deny all
request_header_access User-Agent deny all
request_header_replace User-Agent Nutscrape/1.0 (CP/M; 8-bit)

acl Safe_ports port 80 21 443 70 210 1025-65535 280 488 591 777
http_access deny !Safe_ports

auth_param digest program /usr/lib/squid/digest_file_auth -c /etc/squid/passwd_digest
auth_param digest children 2 # Одновременное кол-во авторизаций
auth_param digest realm Authentication
acl allowed_hosts src "/etc/squid/allowed_hosts"
acl allowed_users proxy_auth REQUIRED

http_access allow allowed_hosts
#http_access allow allowed_hosts allowed_users
http_access deny all

http_port 4080

via off

forwarded_for off

cache deny all

request_header_access From deny all

request_header_access Referer deny all

request_header_access User-Agent deny all

request_header_replace User-Agent Nutscrape/1.0 (CP/M; 8-bit)

acl Safe_ports port 80 21 443 70 210 1025-65535 280 488 591 777

http_access deny !Safe_ports

auth_param digest program /usr/lib/squid/digest_file_auth -c /etc/squid/passwd_digest

auth_param digest children 2 # Одновременное кол-во авторизаций

auth_param digest realm Authentication

acl allowed_hosts src "/etc/squid/allowed_hosts"

acl allowed_users proxy_auth REQUIRED

http_access allow allowed_hosts

#http_access allow allowed_hosts allowed_users

http_access deny all

Если нужен доступ по паролю, с разрешённых хостов закоментить «http_access allow allowed_hosts» и раскоментить «http_access allow allowed_hosts allowed_users»
Если нужен доступ по паролю с любых хостов, убрать «allowed_hosts» из этой строки

Создать файл паролей (при добавлении следующего пользователя без «-c»):
sudo htdigest -c /etc/squid/passwd_digest ‘Сообщение при подключении’ username
Список разрешённых хостов в файле /etc/squid/allowed_hosts
В сетевых правилах открыть tcp 4080

Если ip клиента меняется, но есть доменное имя, можно его обновлять на сервере:

Создать скрипт /etc/init.d/getallowedip.sh и сделать его исполняемым:

function getallowedip  {
 if [ "$(host hostname.domain.ru | grep address | awk '{ print $4 }')" != "$(cat /etc/squid/a$
 then
   if ping -c 1 hostname.domain.ru  &amp;> /etc/squid/ping_log
   then
     host  hostname.domain.ru  | grep address | awk '{ print $4 }' > /etc/squid/allowed_hosts
     systemctl restart squid
   else
     echo "wait 5sec"
     sleep 5
     ipsetup
   fi
 fi
 }
getallowedip

function getallowedip {

if [ "$(host hostname.domain.ru | grep address | awk '{ print $4 }')" != "$(cat /etc/squid/a$

then

if ping -c 1 hostname.domain.ru &> /etc/squid/ping_log

then

host hostname.domain.ru | grep address | awk '{ print $4 }' > /etc/squid/allowed_hosts

systemctl restart squid

else

echo "wait 5sec"

sleep 5

ipsetup

}

getallowedip

sudo chmod +x /etc/init.d/getallowedip.sh

Добавить в задания cron, например запускать каждую минуту:

sudo crontab -e

* * * * * /etc/init.d/ipsetup

1	* * * * * /etc/init.d/ipsetup

Virtualbox 6.1 в Ubuntu 22.04

Опубликовано автором

Добавить репозиторий и ключ:

deb [arch=amd64 signed-by=/usr/share/keyrings/oracle-virtualbox-2016.gpg] https://download.virtualbox.org/virtualbox/debian jammy contrib

1	deb [arch=amd64 signed-by=/usr/share/keyrings/oracle-virtualbox-2016.gpg] https://download.virtualbox.org/virtualbox/debian jammy contrib

wget -O- https://www.virtualbox.org/download/oracle_vbox_2016.asc | sudo gpg --dearmor --yes --output /usr/share/keyrings/oracle-virtualbox-2016.gpg

1	wget -O- https://www.virtualbox.org/download/oracle_vbox_2016.asc \| sudo gpg --dearmor --yes --output /usr/share/keyrings/oracle-virtualbox-2016.gpg

Установка:

sudo apt update
sudo apt install virtualbox-6.1 -y

1 2	sudo apt update sudo apt install virtualbox-6.1 -y

Установка из git репозитория

Опубликовано автором

Установка сборочного окружения:

sudo apt install git pkg-config autotools-dev libtool make gcc

1	sudo apt install git pkg-config autotools-dev libtool make gcc

Git clone:

git clone https://github.com/neutrinolabs/pipewire-module-xrdp.git --recursive

1	git clone https://github.com/neutrinolabs/pipewire-module-xrdp.git --recursive

Команды сборки и т.д:

./bootstrap
./configure
make
sudo make install

./bootstrap

./configure

make

sudo make install

Добавить старый .deb репозиторий

Опубликовано автором

Создать файл /etc/apt/sources.list.d/bionic.list с кодом:

deb http://ru.archive.ubuntu.com/ubuntu bionic main universe

1	deb http://ru.archive.ubuntu.com/ubuntu bionic main universe

Добавить файл ключа:

sudo gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/bionic.gpg --keyserver keyserver.ubuntu.com --recv 3B4FE6ACC0B21F32
sudo chmod 644 /etc/apt/trusted.gpg.d/bionic.gpg
sudo apt update

sudo gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/bionic.gpg --keyserver keyserver.ubuntu.com --recv 3B4FE6ACC0B21F32

sudo chmod 644 /etc/apt/trusted.gpg.d/bionic.gpg

sudo apt update

Glatos.RU

Записки Системного администратора

Архив рубрики: Linux

Самоподписанный сертификат для Apache

Настройка WireGuard в Ubuntu

Настройка OpenVPN в Ubuntu

systemd script для запуска\остановки службы

Создание хэша пароля sha512

Автоматизация обновления времени с помощью ntpdate

Внешний Proxy сервер Squid в Ubuntu

Virtualbox 6.1 в Ubuntu 22.04

Установка из git репозитория

Добавить старый .deb репозиторий