系統工程師必備監控小工具 deadman

今天要來分享一個長期以來藏在我心中的小工具,以前搞網路出國做軟體定義網路 (Software Defined Networking, SDN) 相關的 PoC,因為時間非常短,僅僅只有一週,所以出門前要測試、準備工具需要相當齊備,而且現場狀況神多,尤其是虛擬網路及實體網路之延伸綜合性問題,遇到問題時會不知道要相信哪個點,需要反覆一直確認。而我鍵盤上的 ping 加數字鍵已經被我打爛了,為了各位的鍵盤和手指著想,今天要來介紹一個由日本 Interop Tokyo 發展出來的一個超好用小工具 deadman

Read More

尋找當下 Linux OS 效能瓶頸

常常聽到客戶說他們的系統很慢,但說慢在哪裡也沒有一個很明確的說明,這邊提供一個簡單的做法,當遇到當下系統很慢的時候,可以有個數字判斷的依據尋找瓶頸點 (Bound),這篇單純就 OS 層面說明,不討論應用程式等級的效能問題

Read More

2020 大改造宅宅雲架構系列文-5 窮人版 PKI

各位鄉親在家裡自建的服務,或多或少應該都有需要建立 https 的服務,估計大部分都是建好一份自簽憑證及金鑰 (self-signed cert/key) 之後,就丟到 TLS Server 端去,但因為我家宅宅雲的服務有點多,還有依據不同任務性質有做 Domain 分類,今天要來分享一下窮人版宅宅雲 PKI 建立大法,但我不是專門研究這領域的人,所以內容大部分都是實務操作面,如果想要看比較單純的基礎文章可以參考 Haway 哈維哥的 [SSL 基礎]私有金鑰、CSR 、CRT 與 中繼憑證

Read More

新增 SSL/TLS 憑證和金鑰

動機

大多數的時候服務都會架設在不用對開放到 Internet 上的地方去給外部使用者接觸,也就是所謂的 Intranet。那如果想要在 Intranet 建立自建簡單的 PKI (Public Key Infrastructure) 的話,該如何做呢?

Read More

使用 nmcli 設定 Bonding 或 Teaming

前言

過往我們多數會採用已不再維護的 net-tools 套件底下的 ifconfig 或具備比前者更豐富且有社群維護的 ip 來設定網路,但熟悉的管理者應該也會知道透過這些工具所執行的設定只是暫時性地,重開機就會不見了,那要如何在 Red Hat Enterprise Linux 7 (RHEL 7) 中設定永久地網路設定呢? 本文主要採用 nmcli 指令來設定 bonding 和 teaming

Read More

Install CentOS 7 without VGA

Change timeout

  • vim isolinux/isolinux.cfg
    1
    2
    3
    4
    5
    default vesamenu.c32
    #timeout 600
    timeout 50

    display boot.msg
  • Prompt until booting automatically, in units of 1/10 s. In the case, we change the timeout value from 60 secs to 5 secs
Read More

PKI Lab$3 Create Single domain SSL Certificate

採用 easyrsa 來建立 PKI CA, 必需要有 Root CA, 可參考 PKI Lab$1 Create Root CA 做建立的動作

Step by Step

  • Setting vars for Root CA

    export KEY_SIZE=2048
    export CA_EXPIRE=365
    export KEY_EXPIRE=365
    export KEY_COUNTRY=”TW”
    export KEY_PROVINCE=”Taiwan”
    export KEY_CITY=”HsinChu”
    export KEY_ORG=”Night9 Studios”
    export KEY_EMAIL=”[email protected]
    export KEY_OU=”www.night9.cc"
    export KEY_NAME=””
    export KEY_CN=”roan.night9.cc”

    • Source
    • 重點在於 KEY_CN, 此設定可以 match roan.night9.cc, 但不能 match night9.cc xxx.night9.cc
  • Create Key

    source ./vars
    ./build-key-server roan.night9.cc
    <enter>…<enter>

  • Check key and crt

    ls -la ./keys/roan.night9.cc.{key,crt}

  • Check roan.night9.cc crt Info

    openssl x509 -in roan.night9.crt -text -noout

  • Show

Reference

PKI Lab$2 Create Multiple domain (UCC) SSL Certificate

採用 easyrsa 來建立 PKI CA, 必需要有 Root CA, 可參考 PKI Lab$1 Create Root CA 做建立的動作

Step by Step

  • Setting vars for Root CA

    export KEY_SIZE=2048
    export CA_EXPIRE=365
    export KEY_EXPIRE=365
    export KEY_COUNTRY=”TW”
    export KEY_PROVINCE=”Taiwan”
    export KEY_CITY=”HsinChu”
    export KEY_ORG=”Night9 Studios”
    export KEY_EMAIL=”[email protected]
    export KEY_OU=”www.night9.cc"
    export KEY_NAME=””
    export KEY_CN=”*.night9.cc”

    • Source
    • 重點在於 KEY_CN, 此設定可以 match www.night9.cc roan.night9.cc, 但不能 match night9.cc
  • Create UCC Key

    source ./vars
    ./build-key-server *.night9.cc
    <enter>…<enter>

  • Check Root CA key and crt

    ls -la ./keys/*.night9.cc.{key,crt}

    • 建議將 *.night9.cc 做個改名的動作
  • Check *.night9.cc crt Info

    openssl x509 -in *.night9.crt -text -noout

  • Show

Reference

PKI Lab$1 Create Root CA

採用 easyrsa 來建立 PKI CA

Step by Step

  • Setting vars for Root CA

    export KEY_SIZE=2048
    export CA_EXPIRE=3650
    export KEY_EXPIRE=3650
    export KEY_COUNTRY=”TW”
    export KEY_PROVINCE=”Taiwan”
    export KEY_CITY=”HsinChu”
    export KEY_ORG=”Night9 Studios”
    export KEY_EMAIL=”[email protected]
    export KEY_OU=”www.night9.cc"
    export KEY_NAME=””
    export KEY_CN=”Night9 Local Authority Root CA”

    • Source
    • 上面的寫法參考許多現有的 Root CA 的寫法, 特別是 KEY_CN KEY_NAME
    • CA_EXPIRE KEY_EXPIRE 建議設長一點, 如果設太短, 只要 Root CA expire 底下的 key 就得全部重簽
  • Create Root CA

    source ./vars
    ./build-ca
    <enter>…<enter>

  • Check Root CA key and crt

    ls -la ./keys/ca.{key,crt}

  • Check Root CA crt Info

    openssl x509 -in ca.crt -text -noout

  • Show

    - 因為 Root CA 已經是最上層的, 沒人可以幫他驗證, 所以只能自己簽自己

Reference