rsyslog.conf – Ubuntu rsyslog config

root@syslog:/etc# cat rsyslog.conf  #  /etc/rsyslog.conf Configuration file for rsyslog. # For more information see # /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html #  Default logging rules can be found in /etc/rsyslog.d/50-default.conf ################# #### MODULES #### ################# module(load=”imuxsock”) # provides support for local system logging #module(load=”immark”)  # provides –MARK– message capability # provides UDP syslog reception module(load=”imudp”)…

read more

F5安装配置SSL证书方法指南

一、安装SSL证书环境 1.1 SSL证书安装环境简介 F5设备一台 SSL证书一张(备注:本指南使用s.wosign.com域名,OV SSL证书进行操作,通用其它版本证书) 1.2网络环境要求 请确保站点是一个合法的外网可以访问的域名地址,可以正常通过或 http://XXX 进行正常访问。 二、SSL证书安装 2.1 获取SSl证书 成功在沃通CA申请证书后,会得到一个有密码的压缩包文件,输入证书密码后解压得到五个文件: for Apache、for IIS、for Ngnix、for Tomcat、for Other Server,这个是证书的几种格式,F5 上需要用到for Apache格式的证书。 图 1 2.2 解压证书文件 解压Apache文件可以看到 3 个文件。包括公钥、私钥、证书链,如图 2 图 2 2.3 安装SSL证书 1)导入证书公钥 如果是导入已经存在的域,则根据之前其他 F5 上的命名规则填写名称,如果为新建则使用如下命名规则,域名_ssl_版本和根证书_域名_版本,例如:login_ssl_v3 和parent_login_v3,Improt Type 选择“certificate”,找到 test.wosign.com.crt 公钥,选择“Improt” 2)导入证书的私钥 如果是导入已经存在的域,则根据之前其他 F5 上的命名规则填写名称,如果为新建则必须与证书名称相同,例如:证书名称为 login_ssl_v3,key 的名称也与证书名相同,Improt…

read more

SSL证书是如何工作的

打开浏览器输⼊入:https://abc.com,敲回⻋键,接下来发生一连串的连锁反应。 第一步:浏览器与abc.com建⽴TCP连接 第二步:服务器会弹出一个⻚面提醒安装数字证书,如果不安装,接下来一切都不会顺利进行 第三步:浏览器需要认证abc.com是真实的服务器(不是⼭寨的),服务器发来了自己的数字证书。插⼀句:abc.com的数字证书从哪里来? abc.com⾃自己的认证中心简称CA(Certificate Authority),CA给abc.com颁发了了一个证书,这个证书 有: 签发者/证书用途/abc.com的公钥/abc.com的加密算法/abc.com用的HASH算法/证书的到期时间等 如果证书就这样给abc.com了,那传输过程中如果有⼈篡改这个证书,那这个证书还有什么权威性? 简单的很,把以上内容做⼀次HASH,得到一个固定长度(⽐如128位的HASH,然后再用CA的私钥加密,就得到了数字签名,附在以上证书的末尾,一起传输给abc.com。 设想⼀下,如果不加密那个HASH,任何人都可以先篡改证书,然后再计算HASH,附在证书的后面,传给abc.com时,abc.com无法发现是否有⼈篡改过。而用CA私钥加密后,就⽣成了了类似人体指纹的签名,任何篡改证书的尝试,都会被数字签名发现。 第四步:浏览器接到abc.com的数字证书,从第⼆步得到的CA公钥值,可以解密数字证书末尾的数字签名(CA私钥加密,可以用CA公钥解密,此为非对称加密),得到原始的HASHs然后自己也按照证书的HASH算法,自己也计算一个HASHc,如果HASHc== HASHs,则认证通 过,否则认证失败。 第五步:双方会运行 Diffie Hellman 算法,简称DH算法。通俗地说:双⽅会协商一个master- key,这个master-key 不会在⽹络上传输、交换,它们独立计算出来的,其值是相同的,只有它们自己双方知道,任何第三方不会知道。 然后以master-key推导出 session-key,用于双⽅SSL数据流的加密/解密,采用对称加密,保证数据不不被偷窥,加密算法⼀一般⽤用AES。 以master-key推导出 hash-key,⽤于数据完整性检查(Integrity Check Verification)的加密密钥,HASH算法⼀一般有:MD5、SHA,通俗滴说,保证数据不被篡改。 第六步:然后就可以正常发送订单了,用HASH key 生成一个MAC( Message Authentication Code),附在HTTP报⽂文的后面,然后用session key 加密所有数据(HTTP + MAC),然后发送出去 第七步:服务器先⽤session key 解密数据,得到HTTP + MAC,然后自己用相同的算法计算自己 的MAC,如果两个MAC相等,则数据没有被篡改。

read more

Squid Proxy Local Conf File with SAML authentication

[root@squid squid]# cat squid.conf # # Recommended minimum configuration: # acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed acl…

read more