Utworzenie requestu serwera (bez hasła dla klucza)
# openssl req -config openssl-server.cnf -newkey rsa:2048 -sha256 -nodes -out /etc/ssl/requests/h25.csr -keyout /etc/ssl/private/h25.pem -outform PEM
openssl – plik konfiguracyjny serwera openssl-server.cnf
# nano /etc/ssl/openssl-server.cnf
Czytaj dalej openssl – plik konfiguracyjny serwera openssl-server.cnf
openssl – certyfikat serwera self-signed – bez CA
Nowy certyfikat serwera: bez CA – na 3 lata – bez zaszyfrowanego klucza
# openssl req -newkey -x509 -nodes rsa:4096 -days 1089 -keyout /etc/ssl/private/serverkey.pem -out /etc/ssl/newcerts/servercert.pem
Weryfikacja
# openssl x509 -purpose -in /etc/ssl/newcerts/servercert.pem
Czytaj dalej openssl – certyfikat serwera self-signed – bez CA
openssl – plik konfiguracyjny CA – openssl-ca.cnf
Google API
openssl – utworzenie CA, i certyfikatu serwera
Utworzenie CA i certyfikat serwera
Postfix – TLS
TLS jest domyślnie wyłączony, aby go włączyć w pliku
/etc/postfix/main.cf: smtpd_tls_security_level = may - serwer ogłasza obsługę STARTTLS klientom SMTP, nie wymusza szyfrowania smtpd_tls_security_level = encrypt - wymusza szyfrowanie TLS (NIE STOSOWAĆ)
Włącza szyfrowanie na porcie 465 (smtps) – odkomentować opcje:
/etc/postfix/master.cf: # zakomentować opcję - wyłącza port 25 #smtp inet n - y - - smtpd # odkomentować opcje - włącza 465 smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
Błędy – szablony
Pliki i style do korekty:
Postfix – SASL
SASL – autoryzacja zewnętrznych klientów
https://www.postfix.org/SASL_README.html
Czytaj dalej Postfix – SASL
openssl – ciphers
# openssl ciphers -v
TLS_AES_256_GCM_SHA384 TLSv1.3 Kx=any Au=any Enc=AESGCM(256) Mac=AEAD
TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any Enc=CHACHA20/POLY1305(256) Mac=AEAD
....
cakephp 3 – weak password
Jeśli baza haseł pochodzi z zewnętrznej aplikacji i jest skrótem sha1 to aby Cake skutecznie użył Fallback’u – trzeba wyłączyć sól.
Cake/Auth/WeakPasswordHasher.php
public function hash($password)
{
return Security::hash($password, $this->_config['hashType'], true);
}
true zamienić na false - nie będzie używał Security::salt
https://api.cakephp.org/3.0/source-class-Cake.Auth.WeakPasswordHasher.html#21-72
Postfix – main.cf – podstawowa konfiguracja
# postconf mail_version - wersja systemu mail_version = 3.1.9 # nano /etc/postfix/main.cf # postconf -e 'smtpd_sasl_path = private/auth' # postconf -n # postfix reload lub # systemctl restart postfix # systemctl status postfix # netstat -tlpn # tailf /var/log/mail.log
LetsEncrypt – usage
/etc/apache2/sites-available/000-default.conf
<VirtualHost 156.111.131.212:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html/h25
ServerName h25.pl
</VirtualHost>
# certbot certonly --webroot -w /var/www/html/h25 -d h25.pl
/etc/letsencrypt/live/h25.pl/fullchain.pem
/etc/letsencrypt/live/h25.pl/privkey.pem
# certbot renew
cake DebugKit
Application.php : bootstrap()
if ( Configure::read('debug') ) {
Configure::write('DebugKit.forceEnable', true);
$this->addPlugin(\DebugKit\Plugin::class);
}
cake new project
# cd /var/www/html
# curl -s https://getcomposer.org/installer | php
# mv composer.phar /usr/local/bin/composer
# composer create-project --prefer-dist cakephp/app cms
#composer require twbs/bootstrap:4.3.0
Aruba debian początek instalacji
# apt-get update # apt-get upgrade Czytaj dalej Aruba debian początek instalacji
file-storage plugin
# composer require imagine/imagine
# composer require cakephp/migrations
# composer require burzum/file-storage:2.*
# cake migrations migrate -p Burzum/FileStorage
Update do php7.3
apt -y install lsb-release apt-transport-https ca-certificates ## zainstalowane
wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" | tee /etc/apt/sources.list.d/php7.3.list
apt update
apt -y install php7.3
apt install php7.3-
php7.3-xml
php7.3-intl
php7.3-soap
php7.3-mysql
php7.3-mbstring
php7.3-gd
php7.3-openssl
php7.3-curl
php7.3-zip
php7.3-xmlrpc
php7.3-sqlite3
apt install libapache2-mod-php7.3
apt policy php7.3-cli
a2dismod php7.2
a2enmod php7.3
systemctl restart apache2
tinyMCE install
<!DOCTYPE html>
<html>
<head>
<script src="https://cloud.tinymce.com/stable/tinymce.min.js"></script>
<script>tinymce.init({ selector:'textarea' });</script>
</head>
<body>
<textarea>Pole edytora</textarea>
</body>
</html>cake pdf szablony
Templates/Layout/pdf/default.ctp
countdown plugin
<html>
<head>
<link rel="stylesheet" href="/css/flipclock.css">
</head>
<body>
<div class="your-clock"></div>
<script src="/js/libs/jquery.js"></script>
<script src="/js/flipclock/flipclock.min.js"></script>
</body>
</html>
var clock = $('.your-clock').FlipClock({
// ... your options here
});
updateAll – expression
Aktualizuje wiele rekordów
function publishAllUnpublished()
{
$this->updateAll(
[ // fields
'published' => true,
'publish_date' => FrozenTime::now()
],
[ // conditions
'published' => false
]
);
}
.htaccess – mapowanie adresów
# Wymuszanie https:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
RichFilemanager
Instalacja cake
# php composer.phar create-project --prefer-dist cakephp/app media77
debug
echo "<pre>". print_r($query, 1) ."</pre>"; exit;
Zmiana bazy danych
class ArticlesTable extends Table
{
public static function defaultConnectionName() {
return 'replica_db' ;
}
}
iptables.sh
#!/bin/sh IPTABLES=/sbin/iptables MODEPROBE=/sbin/modprobe INT_NET=10.1.0.0/16 INT_IN=eno2 INT_OUT=eno1
Virtual host + certyfikat + SSL
Utworzenie wirtualnego hosta /etc/apache2/sites-available/000-default.conf
<VirtualHost 81.137.4.24:80> ServerAdmin webmaster@localhost DocumentRoot /var/www/html/example ServerName example.pl </VirtualHost>
LetsEncrypt – rozszerzenie domeny
Można dodać/usunąć domenę do certyfikatu już istniejącego np. o nazwie example.com:
# certbot certonly --cert-name example.com -d example.org,www.example.org
Nowy certyfikat będzie zawierał teraz dwie nazwy example.org oraz www.example.org
Instalacja php 7.2
# apt install ca-certificates apt-transport-https