На всякий случай взвесил подаренный ребентку на Новый Год вертолет. Чуть меньше 150 г. По новому закону проходит под нижней планкой. Можно запускать без лицензии.

Дедушка с бабушкой категорически против экспериментов с этой машинкой в комнате.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1156815.html. Please comment there using OpenID. Now there are comments

Продолжаю разбираться с SSL-сертификатами на своих машинах.

Сейчас общий план такой:

1. https на www.wagner.pp.ru и www.spacians.net - сертификаты от startssl. Это внешние сервисы, туда посторонние люди ходят, соответственно должны опознаваться браузерами из коробки.
2. imap и smtp на mail.wagner.pp.ru - сертификаты моего CA. Туда ходят только настроенные почтовые клиенты. В объеме прочих работ по настройке клиента установка корневого сертификата - ерунда
3. https на mail.wagner.pp.ru - сертификат от startssl. Кого попало туда, конечно не пустят, но тем не менее вебмейл предназначен для доступа к почте из странных ситуаций - из интернет-кафе, с чужих машин и т.д. Следовательно здесь имеет смысл сертификат, которому доверяет браузер без специальных настроек.
4. smtp на mx.wagner.pp.ru - сейчас здесь стоит сертификат своего CA. Но может я всё-таки неправ, и здесь, чтобы внешие серверы могли сказать STARTTLS при доставке почты?
5. xmpp на wagner.pp.ru. Те же самые соображения.Только проще - не надо отдельный сертификат заказывать, можно воспользоваться тем же, который для https, потому что hostname совпадает.
6. https на home.wagner.pp.ru. Сертификат своего CA. Ибо чужие здесь не ходят. Из интересных для моих друзей ресурсов здесь только архив бардовской песни. Но поскольку никто после того как сдох жесткий диск и старый файл паролей потерялся (Он оказался в небэкапимой области. Теперь это исправлено), никто не попросил восстановить доступ, наверное все его уже выкачали. В конце концов, если человек соберется у меня логин туда просить, то он и сертифкат поставит. И вообще, раздать что-ли под паролем /srv/files/books наряду с /srv/files/audio/bards? Там полтораста гигов.
7. openvpn - естественно свои сертификаты. И на сервере, и на всех клиентах.

Кстати, тут когда ставил сертификат на https://mail.wagner.pp.ru, обнаружил что у prayer webmail в конфиге не предусмотрено опции для загрузки цепочки промежуточных сертификатов CA. Выкачал исходники, развернул, полез патчить. И обнаружил что prayer для загрузки сертификатов использует функцию SSL_CTX_use_certificate_chain_file. Т.е. просто надо сертификат промежуточного CA положить тот в тот же файл, где сертификат самого сайта, после него.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1154424.html. Please comment there using OpenID. Now there are comments

Прикрутил к www.wagner.pp.ru и spacians.net сертификаты от startssl.com. Теперь люди могут ходить ко мне по https не устанавливая моего сертификата.

Порекламировать что-ли по этому поводу vws где-нибудь? Или сначала там переписать из маркетинговых соображений заглавную страницу вики?
Во всяком случае поменять местами разделы "это уже сделано" и "вообще-то хочется сделать".

Где теперь положено опенсурсные изделия рекламировать? Фрешмит-то почил в бозе.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1153672.html. Please comment there using OpenID. Now there are comments

Как вы думаете, что это?

Это котик. Под диваном сидит. Причем со стороны стенки. Поэтому для того, чтобы убедиться есть там котик или нет, пришлось просунуть в дырку телефон и нажать на нем кнопку. Хорошо, что у моего телефона есть отдельная аппаратная кнопка для фотографирования. А то по экранной кнопке в такой позиции ни в жисть не попасть.
http://vitus-wagner.dreamwidth.org/1151027.html. Please comment there using OpenID. Now there are comments

Переставил себе на домашней машине с нуля систему. С полным переразбиением и переформатированием диска и последующим восстановлением пользовательских данных с бэкапа.

Основных плюсов, ради которых это все делалось два

1. Правильно разбитый диск нормально грузится. Можно убрать эту загрузочную флэшку, которой пришлось пользоваться из-за того, что два дистрибутива назад, когда я ставил этот диск в машину третьим (а сейчас он остался единственным) я что-то не так сделал при создании GPT

2. Система теперь 64-битная. Можно пользоваться docker-ом. Впрочем, сейчас не только докер не работает толком на 32 битах. В том же inn перловые фильтры глючили по-страшному когда я последний раз его пробовал. И везде писали, что эта ошибка специфична для 32-битной сборки.

Вычистилось очень много хвостов, остававшихся с тех пор когда машина была роутером домашней сети, роутером домовой сети, публичным веб-сервером и т.д.

Теперь, что удивительно, у меня все машины с Jessie 64-битные, а все 32-битные (banana pi, asus eeepc 900 и vds-ка) остаются пока на wheezy.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1145896.html. Please comment there using OpenID. Now there are comments