За телегу - в Тюменской и Томской областях находится самое большое болото в мире. Там на машинах не можно. Телега зимой проедет, кстати, а вот машина - увы.
Ну, конечно, телега на гусиницах, наверное
Евгений
Dmitry
🐛
Sergey
тссс, ты ломаешь их внутренний зашоренный мирок
Я там на вахте работал 😊)))) Кстати, великолепно дисциплинирует. За факт останова - миллион штрафа, потом по сто тысяч каждый час капает.
Евгений
в огороде навоз на 5м по тропинке пол метра шириной? конечно трактор!
итд.
Навоз на пять метров вёдрами таскают, а не на телеге
Denis 災 nobody
и гит это уже больше к комбайну с миллионом ручек и рычагов, а не грузовику, грузовик это свн. Телега это cvs
Denis 災 nobody
ок, 15м, опять вёдра? Но ведь изобрели же трактор, какие вёдра?
Dmitry
К теме?)
Евгений
Тачка нужна чтобы 20-30 метров протащить. Но тачка это не телега
Bogdan (SirEdvin)
"Каждой задаче - свой инструмент" это крутой лозунг, вот только если бы все инструменты не пытались бы стать универсальными
Mentat
ru_devops, о докере и навозе(с)
Dmitry
"Каждой задаче - свой инструмент" это крутой лозунг, вот только если бы все инструменты не пытались бы стать универсальными
ну они пытаются до определенной степени, потом происходит коррекция, имхо это нормлаьно
Dmitry
jvm...
Dmitry
так что не дергаемся) юзаем что делает бизнес счастливым.
Dmitry
Сегодня буду пробовать теорию про незагружающийся в чруте openvpn баш
Alexey
выкини ты баш
Alexey
возьми busybox
Alexey
ты глянь ldd чо те на баш покажет
Alexey
там же уйма чего слинковано
Dmitry
ок. ща поставим
Dmitry
дико хочу спать... рано так редко встаю
Alexey
он по идее в одном бинарнике все содержит
Alexey
так что думаю как /bin/sh
Alexey
просто ты его скопируй как /bin/sh
Alexey
или любую херню статикой скомпиль
Alexey
пустую гошную программу например
Alexey
или сишную
Dmitry
а как openvpn узнает... наверное типа /bin/busybox sh
Dmitry
ща
Alexey
нет, просто /bin/sh -> /bin/busybox должно быть, линк сделай и все
Dmitry
ЩА
Dmitry
bin/busybox не запускает шелл сразу, там busybox sh
Alexey
ты его переименую в /bin/sh
Alexey
он внутри содержит все команды
Dmitry
да, multi-call library. прикольно, не знал
Dmitry
ок. ща
Dmitry
та же фигня. я вот думаю может дело в глубине... но если exit 0 должен верифицировать любой сертификат
Alexey
покажи лог опена
Dmitry
2018-01-30 16:13:18+0000 [-] OVPN 1 OUT: 'Tue Jan 30 16:13:18 2018 x.x.x.x:60051 TLS: Initial packet from [AF_INET]x.x.x.x:60051, sid=4cf817f9 5ddbdc21'
2018-01-30 16:13:20+0000 [-] OVPN 1 OUT: 'Tue Jan 30 16:13:20 2018 x.x.x.x:60051 WARNING: Failed running command (--tls-verify script): could not execute external program'
2018-01-30 16:13:20+0000 [-] OVPN 1 OUT: 'Tue Jan 30 16:13:20 2018 x.x.x.x:60051 VERIFY SCRIPT ERROR: depth=2, /C=XX/ST=XXXXXXX/L=XXX XXXXXXX/O=XXX XXXXXXXX, XXX/OU=XXX XXXXXXXXXX XXXXXXXXX XXXXXXX/CN=XXX XXXXXXXXX XXXX XXX '
2018-01-30 16:13:20+0000 [-] OVPN 1 OUT: 'Tue Jan 30 16:13:20 2018 x.x.x.x:60051 OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed'
2018-01-30 16:13:20+0000 [-] OVPN 1 OUT: 'Tue Jan 30 16:13:20 2018 x.x.x.x:60051 TLS_ERROR: BIO read tls_read_plaintext error'
2018-01-30 16:13:20+0000 [-] OVPN 1 OUT: 'Tue Jan 30 16:13:20 2018 x.x.x.x:60051 TLS Error: TLS object -> incoming plaintext read error'
2018-01-30 16:13:20+0000 [-] OVPN 1 OUT: 'Tue Jan 30 16:13:20 2018 x.x.x.x:60051 TLS Error: TLS handshake failed'
2018-01-30 16:13:20+0000 [-] OVPN 1 OUT: 'Tue Jan 30 16:13:20 2018 x.x.x.x:60051 SIGUSR1[soft,tls-error] received, client-instance restarting'
Dmitry
типа того
Alexey
а у тебя точно скрипт вообще может выполниться?
Alexey
если сделать chroot
Alexey
и запустить скрипт то чего будет?
Dmitry
да ща попробую, запихну busybox вовнутрь
Dmitry
ок, буду копать в окружение chroot, думаю там вообще ничего нет
Dmitry
что вообще дико тупо
Dmitry
(т.к. они сами его создают)
Dmitry
а у тебя точно скрипт вообще может выполниться?
А вообще, в GPL версии, chroot часто люди юзают?
Dmitry
или это скорее извращение?
Dmitry
ща попробую сhroot сменить в директорию openvpn напрямую
Alexey
я openvpn без chroot юзаю
Alexey
а tls-verify на питоне, но он у меня мелкий, прям мини клиент уже к основной авторизации
Dmitry
долбаный access server.
Dmitry
а tls-verify на питоне, но он у меня мелкий, прям мини клиент уже к основной авторизации
вот я тоже самое хочу пилить.
Dmitry
уже сделали api
Alexey
ну вот, я вообще не вижу смысла делать chroot
Dmitry
Видишь, а они его походу по умолчанию делают
Dmitry
по какой-то причине когда указываю путь к скрипту он его прилепливает к /var/run/openvpn_as то есть получается такая фигня типа /var/run/openvpn_as//usr/local/openvpn_as/scripts/cn-verify
Dmitry
а указываю соотвественно tls-verify /usr/local/openvpn_as/scripts/cn-verify
Alexey
а это их access server у тебя да? я его не юзал, все как то по старинке, community
Dmitry
да. их. я думал ща быстренько все сделаю, они еще master-slave дадут
Dmitry
суки
Alexey
а че нет какого нить ldap ? проще имхо openvpn на ldap натравить
Dmitry
ldap не подойдет. там юзеров то нет. есть сертификаты с CN
Dmitry
а аутентификация LDAP вроде как только по юзеру-паролю, а мне надо по сертификату и чтоб CN еще юзернеймом становилось
Dmitry
тырнет ослабел. позже буду смотреть в параметры среды, наверне дело в них
Dmitry
@gtbear Спасибо за поддержку=)
Dmitry
короче. добавил
-chroot
-cd
Dmitry
оно убрало два этих конфига из того что сгенерировал AS.
Dmitry
поперло.
Dmitry
буду копать в этом направлении. может chroot сделаю в другую директорию или еще что, но думаю покатит. за совет с busybox спасибо, думаю заюзаю. либо просто питон встроенный оставлю...
Dmitry
ок, запуск скрипта тоже подтвердил, touch сработал.
Denis 災 nobody
Alexey
ты в LDAP можешь прописать разрешенные CN
Alexey
питон тоже надо будет статически слинкованный )
Alexey
погляди в сторону скомпиленных статикой бинарников на каких нить го или расте
Denis 災 nobody
ты в LDAP можешь прописать разрешенные CN
скорее, вписать туда группу и и выборке дергать через группу