Документ взят из кэша поисковой машины. Адрес оригинального документа : http://theory.sinp.msu.ru/pipermail/ru-ngi/attachments/20140408/1b0a3a0f/attachment-0001.html
Дата изменения: Tue Apr 8 20:23:17 2014
Дата индексирования: Mon Apr 11 01:50:35 2016
Кодировка: koi8-r

<div dir="ltr"><div>На вобоксе последнем gridftp уже не используется. Он у Вас и не работает: { [root@alice23 ~]# telnet <a href="http://lcgvob02.jinr.ru">lcgvob02.jinr.ru</a> 2811 Trying 159.93.224.247... telnet: connect to address <a href="http://159.93.224.247">159.93.224.247</a>: Connection refused telnet: Unable to connect to remote host: Connection refused [root@alice23 ~]#љљ } Но он все равно вроде безопасен, как иљ gsissh , если я парвильнољ понял систему. По крайней мере инструкция Евгения выдает пусто: { ~]# echo -e "quit\n" | openssl s_client -connect <a href="http://lcgvob02.jinr.ru:1975">lcgvob02.jinr.ru:1975</a> -tlsextdebug CONNECTED(00000003) 140024308275016:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:766: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 7 bytes and written 263 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE --- } </div><div>Как и для gridftp на СЕ , где он работает. А вот на 9002 порт выдает сертификат на СЕ. </div> </div><div class="gmail_extra"> <div class="gmail_quote"> 8 апреля 2014 г., 18:10 пользователь Valery Mitsyn <<a href="mailto:vvm@mammoth.jinr.ru" target="_blank">vvm@mammoth.jinr.ru</a>> написал: <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> <div class="">On Tue, 8 Apr 2014, Eygene Ryabinkin wrote: <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> Валерий, добрый день. Tue, Apr 08, 2014 at 07:34:47PM +0400, Valery Mitsyn wrote: <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> рекомендации в <a href="https://wiki.egi.eu/wiki/EGI_CSIRT:Alerts/OpenSSL-2014-04-08" target="_blank">https://wiki.egi.eu/wiki/EGI_CSIRT:Alerts/OpenSSL-2014-04-08</a> ставят ряд вопросов: 1) раз надо практически все сервисы перегружать, надо-ли объявлять downtime? или "если пошла такая пьнка", то ВО простят потерю задач? </blockquote> Насколько я понимаю, достаточно перезапустить сервисы, а машины можно и не перегружать. љВсякие там CREAM CE вполне переживают перезапуск себя (возможно потеряется несколько клиентских запросов, но не более того). </blockquote> </div> В принципе, я и имел ввиду сервисы, хотя в RHEL6 и reboot отрабатывает быстро, чуть-ли не быстрее, чем остановить tomcat.<div class=""> <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> 2) строго указано, что надо срочно менять сертификаты хостов, начиная с "важных", но какие самые "важные" не говорится; </blockquote> Ну, я вот только прошел по всем доступным мне сервисам с CentOS 6.x (а для 5.x этой проблемы нет). љБеда точно есть на - LB (порт 9002) и на CREAM CE (порт 9002 с LB proxy); - DPM (порт 8446); - MyProxy (порт 7512); - FTS (Web-интерфейс и WebAPI на 8443); - perfSonar (443, там Apache); - Nagios (443, там Apache; хотя мне пока не удалось найти ни одного љ регионального Nagios под CentOS 6.x, но я в процессе); - WMS (порт 7443). </blockquote> </div> Спасибо за список. ALICE'овский vobox а SL6 с wlcg-vobox и gridftpd? У нас <a href="http://lcgvob02.jinr.ru" target="_blank">lcgvob02.jinr.ru</a>, сможете проверить?<div class=""> <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> dCache скорее всего этой проблеме не подвержен, ибо Java там. љВсякие сервисы с GridFTP так просто не проверяются, поскольку там не совсем чтобы SSL прямо с самого начала, хотя я попробую разобраться, если получится. Это пока не прямое руководство к действию, а так -- для осмысления. Ну и проверить, есть ли у вас этот самый heartbeat -- можно: {{{ echo -e "quit\n" | openssl s_client -connect localhost:443 -tlsextdebug 2>&1 | grep heart }}} </blockquote> </div> Так это только для httpd с ssl. Он и после перезапуска отвечает: {{{ TLS server extension "heartbeat" (id=15), len=1<div class=""> }}} <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> Только OpenSSL у вас должен быть свежим, чтобы он был в курсе флага -tlsextdebug. <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> 3) понятно, что нагрузка на центр RDIG CA (Евгения персонально?) будет "выше крыши", у RDIG CA есть какой-то план, или рекомендации сайтам по обновлению сертификатов? </blockquote> Не будет никакой нагрузки: у нас всего 469 активных сертификатов узлов, это мне на день работы всего. љКороче, я готовый к этому. Но, честно говоря, массовой перевыдачи всех сертификатов я пока не предвижу. љПроцентов 10 -- может быть. </blockquote> </div> Здается мне, что личные сертификаты тоже могут быть украдены вместе с паролем, через вскрытые сервисы. Или нет этой опасности?<div class="HOEnZb"><div class="h5"> -- Best regards, љValery Mitsyn</div></div> _______________________________________________ RU-NGI mailing list <a href="mailto:RU-NGI@theory.sinp.msu.ru">RU-NGI@theory.sinp.msu.ru</a> <a href="http://theory.sinp.msu.ru/mailman/listinfo/ru-ngi" target="_blank">http://theory.sinp.msu.ru/mailman/listinfo/ru-ngi</a> </blockquote></div> -- Best Regards, Andrey Zarochentsev </div>