2016-09-29

Bind9 的 log 權限問題…

其實這個問題很久了,只是因為沒有造成什麼大問題就沒有去理它…

是在「cat /var/log/message | grep named」時候出現一堆的「unable to rename log file '/var/log/named/general.log' to '/var/log/named/general.log.0': permission denied」

這個訊息不管它,最多就是 log 吃不進去或繼續的塞在單一個檔案而已…但越來越大也不太好

有確定過 owner 和讀寫權限都正常…但就算讀寫開到 777 也還是有這個訊息

後來在一次開新的 log 在 named 時才看到…原來是 named 在 log 的 SELiunx 「標籤」跟一般的 log 「標籤」不一樣…

「標籤」可以使用「ls -Z」查…

一般的「標籤」,在「/var/log/」底下的是「system_u:object_r:var_log_t:s0」,而我們在 named 的 config 設定 log 時,因為它的 log 檔是由使用者 touch 出來的檔案的「標籤」也是會和「/var/log/」底下的標籤一樣是「system_u:object_r:var_log_t:s0」或者是「unconfined_u:object_r:var_log_t:s0」…

但當 named 這個程序自己產生的 log 的「標籤」卻是「system_u:object_r:named_log_t:s0」…最大的不同也就是「named_log_t」…

所以,要將「var_log_t」改成「named_log_t」…可以使用
chcon -t name_log_t <file_name>

2016-09-23

自行更換 Aruba Controller 憑證

事發於剛開學的某日,早上上班剛進辦公室時就看到同事在為一位老師服務,我想說應該又是老師的電腦有問題要請求我們協助就沒多注意。

後來同事讓我過去處理…

老師的狀況是要進行學校的無線網路連線,因為學校由本單位建置的網路是用 aruba controller 3600 + aruba thin-AP 所建置的熱點無線…所使用的認證為學校的 radius over ldap 的認證,帳號是 mail over ldap 。

所以連上 ssid 之後,會先導引到登入頁面 (https),輸入郵件的帳號密碼,正確後才可進行網路使用。

但此老師若以 chrome 要被導引到登入頁面時,會出現 redirect loop 的狀況,或者出現在憑證頁有問題的提示頁面,chrome 所帶的 error code 為 err_cert_revoked ,告知憑證已被撤銷…

目前所使用的憑證是 aruba controller 的 self-sign …導引位址是 serverlogin.arubanetwork.com …對應的 ip 為 aruba controller 對外的 ip …憑證到期日為 2017 年的某日…所以不是因為「過期」的問題,重點應該是在「revoked」…

後來以 chrome 的憑證錯誤說明知道,原來 self-sign 的演算法是使用 SHA1 ,此法將於 2017 棄用,目前各大發行憑證中心與瀏覽器大多提早半年取消使用此演算法的憑證…

所以這個老師的狀況就是那麼剛好的遇上…(但奇怪的是,這個狀況只出現在一般電腦上的瀏覽器…手機上用的 chrome 沒有出現 err_cert_revoked 的警告)