ReLoad

Thierry Jaouen WikiBlog
"Rien à foutre d'être lu,
tant que je peux me relire."

User Tools

Site Tools


start


chown et "Argument invalide"

Un petit truc pas spécialement bien expliqué (sauf ) …

Sur un montage nfs , avec un système relativement récent, on peut tomber sur une erreur comme ça:

# chown nobody:nogroup /mnt/tmp/bla
chown: modification du propriétaire de « /mnt/tmp/bla »: Argument invalide

Pourtant, on est “root” et ce partage “nfs” est banal: “root” devrait avoir tout les droits, y compris celui de changer le propriétaire d'un répertoire ou d'un fichier.

Ah bah non: Pas forcément avec “nfs4” .

A ma connaissance, il y a 2 solutions:

Let's Encrypt: Faire signer ses propres clés

On a vu précédemment comment utiliser le script “letsencrypt-auto” pour créer des clés signés.

C'est sympa, mais je n'aime pas trop la manière dont sont organisés les fichiers dans “/etc/letsencrypt/” : c'est confus pour moi.

Il existe une option pour signer ses propres clés.
Elle est assez simple et laisse a chacun le choix sur la manière d'organiser ses fichiers…

Let's Encrypt avec nginx

Let's Encrypt” permet de créer des certificats “SSL/https” gratuitement , et surtout, reconnu par la grande majorité des navigateurs.

:!: UPDATE: La suite logiciel du client “Let's Encrypt” a changé de nom pour “certbot”.

Il y a quelques limites (susceptible de changer), dont:

  • les certificats sont valides que 90 jours maximum
  • Il n'y a pas de joker (genre: “*.mondomain.fr” )
  • Un certificat ne peut pas contenir plus de 100 domaines.
  • Il ne faut pas créer trop de certificat par semaines/IP/domaines (voir détails ailleurs)

Pour ce qui concerne les limites, on peut quand même faire des tests à volonté avec des “fausses clés”… ouf.

Il y a 2 gros écueils:

  1. Il faut pouvoir être identifié “automagicaly” comme administrateur des domaines
  2. Il faut renouveler les certificats relativement souvent (<90 jours).

Je vais rapidement expliquer comment installer les outils “Let's Encrypt” et puis les utiliser.

J'ai pour habitude d'utiliser nginx en frontal https, comme proxy… Donc, la mise en pratique reposera sur nginx, mais c'est parfaitement adaptable pour d'autres environnements…

Dans un autre article , j'explique comment faire signer ses propres clés…
(Et c'est finalement cette dernière méthode que j'ai adopté pour ma petite infra perso…)

Bacula : installation du Directeur

Installation de Bacula, le meilleur système de backup in the world ;-)

Si vous cherchez un truc clair avec des belles images, c'est par là : http://www.artduweb.com/tutoriels/bacula

Si vous n'avez pas peur de lire mes notes, vous pouvez continuer la lecture…

Nginx et ssl_client_certificate

Mise en place d'une mini infrastructure NGINX avec SSL , avec des clés SSL signés pour les clients.

Il s'agit pas seulement de chiffrer la communication, mais aussi de refuser les clients qui n'utilisent pas une clé reconnue ou revokée par “notre” autorité.



start.txt · Last modified: 2012/03/25 22:48 by thierry