🏠: Viacheslav

Автоматизация установки SSL-сертификата на Cisco ASA

Пересадить всю контору на сертификаты Let’s Encrypt оказалось не очень сложно — certbot на реверс-прокси работает, сертификаты после перевыпуска лепятся вместе со своими ключами и кладутся в нужный каталог скриптом, лежащим в /etc/letsencrypt/renewal-hooks/deploy, а в определённое время в cron срабатывает команда, которая при наличии новых сертификатов перечитывает конфигурацию сервера.

На некоторых сервисах, которые выставлены в интернет напрямую, например, сервера видеоконференций, работает свой бот и он обновляет сертификаты локально, но иногда есть нюансы — например, на сервере TrueConf 80-й порт, который требуется для обновления сертификата, занят, и приходится подкручивать /lib/systemd/system/certbot.timer на еженедельный запуск где-то в глухой ночи, а в юнит-файле /lib/systemd/system/certbot.service рисовать следующее, чтобы стопорить службу, занимающую порт, и после процедуры стартовать её заново:

ExecStart=/usr/bin/certbot -q renew \
--pre-hook 'systemctl stop trueconf-web' \
--deploy-hook 'cp /etc/letsencrypt/live/tconf.example.com/cert.pem /opt/trueconf/server/etc/webmanager/ssl/custom.crt && \
cp /etc/letsencrypt/live/tconf.example.com/privkey.pem /opt/trueconf/server/etc/webmanager/ssl/custom.key && \
chown trueconf:trueconf /opt/trueconf/server/etc/webmanager/ssl/custom.\*' \
--post-hook 'systemctl start trueconf-web'

Окно ввода логина и пароля VPN на веб-странице Cisco ASA

Последним бастионом оставался довольно почтенного возраста аппаратный шлюз Cisco ASA, который со всеми этими новомодными удостоверяющими центрами работать не умеет. Так как раньше покупался wildcard-сертификат на год и вставлялся туда руками, проблем его менять не было, кроме оскорбления здравого смысла при виде очередного рассовывания этого несчастного сертификата по всем серверам и раздумий, куда его ещё забыли скопировать. Но так как Let’s Encrypt выпускает сертификаты на 90 дней, ручная установка выглядит совсем уж неуместной, и автоматизация совершенно необходима.

Let’s Encrypt даёт возможность выпускать и wildcard, но для него нужно автоматизировать ещё и создание TXT-записей в DNS через API, что усложняло задачу. Для нашего nic.ru существует программа, но эта схема мне показалось чересчур усложнённой, к тому же, у компании не так много доменов, в случае компрометации сертификата не будет затронуто сразу всё, тем более, что в один сертификат можно поместить сразу несколько альтернативных имён (SAN), что позволяет сократить общее количество выпускаемых сертификатов.

После небольшого гуглежа я обнаружил в некотором роде бриллиант — инструмент для автоматизации работы с интерактивным вводом expect. То есть, пишешь, что должно появиться в командной строке, а потом то, что нужно ввести в ответ. Так как это не bash, а другой интерпретатор, основанный на языке TCL (Tool Command Language), у него свой шебанг — #!/usr/bin/expect -f.

Перед началом работы нужно попросить сетевиков, чтобы ASA пробрасывала 80-й порт на сервер, на котором будет стоять сертбот, потом нужно завести отдельную учётку для входа по SSH и дать этой учётке права на некоторые команды, об этом ниже.

На сервере, куда будет приходить 80-й порт и где будет происходить всё последующее, понадобятся 3 файла: скрипт сборки сертификата в нужный формат (pkcs12, закодированный в base64), запускаемый сертботом после его перевыпуска, который, в свою очередь, запускает скрипт expect. Третий файл — это пароль экспорта/импорта сертификата: можно пароль и так захардкодить в первые два файла, но это неудобно. Предполагается, что все действия делаются от учётки root.

# скрипт, выполняющийся при обновлении сертификата
touch /etc/letsencrypt/renewal-hooks/deploy/vpncert-asa.sh
chmod 700 /etc/letsencrypt/renewal-hooks/deploy/vpncert-asa.sh
# скрипт expect
touch /scripts/vpncert-install.exp
chmod 700 /scripts/vpncert-install.exp
# пароль экспорта сертификата для openssl
touch /scripts/vpncert-asa.txt
chmod 600 /scripts/vpncert-asa.txt
# Записать пароль в файл пароля
nano /scripts/vpncert-asa.txt

Содержимое vpncert-asa.sh:

#!/bin/bash

openssl pkcs12 -export \
-password file:/scripts/vpncert-asa.txt \
-in $RENEWED_LINEAGE/fullchain.pem \
-inkey $RENEWED_LINEAGE/privkey.pem \
-out /root/gate.pfx && \

openssl base64 -in /root/gate.pfx -out /root/gate.base64 && \

/scripts/vpncert-install.exp

vpncert-install.exp:

#!/usr/bin/expect -f

set timeout 5
set send_slow {10 .001}
set sshUser "sshuser"
set sshIP "192.168.1.254"
set sshPass "sshPass12345"
set exportPass [exec cat /scripts/vpncert-asa.txt]

spawn ssh -o KexAlgorithms=+diffie-hellman-group1-sha1 -o HostKeyAlgorithms=+ssh-rsa -o StrictHostKeyChecking=no $sshUser@$sshIP
expect "password:"
send -- "$sshPass\r"
expect ">"
send -- "enable\r"
expect "Password:"
send -- "$sshPass\r"
expect "#"
send -- "configure terminal\r"
expect "(config)#"
send -- "no crypto ca trustpoint ca_le\r"
expect {
  "]:" {send -- "yes\r"; exp_continue}
  "(config)#"
}
send -- "crypto ca trustpoint ca_le\r"
expect "trustpoint)#"
send -- "enrollment terminal\r"

expect "#"
send -- "exit\r"
expect "(config)#"

send -- "crypto ca import ca_le pkcs12 $exportPass\r"
expect "itself:"
send -- [exec cat /root/gate.base64]\n
send -s "quit\r"

# % The CA cert is not self-signed.
# % Do you also want to create trustpoints for CAs higher in the hierarchy? [yes/no]:
# OR
# % You already have RSA or ECDSA keys named ca_le.
# % If you replace them, all device certs issued using these keys
# % will be removed.
# % Do you really want to replace them? [yes/no]:
expect {
  "]:" {send -- "yes\r"; exp_continue}
  "(config)#"
}

send -- "ssl trust-point ca_le outside\r"

expect "(config)#"
send -- "exit\r"
expect "#"
send -- "exit\r"
expect eof

После запуска всей конструкции скрипт изготавливает сертификат требуемого формата, лезет по SSH на железку, вводит все логины-пароли, вставляет полученный сертификат и делает всё прочее как если бы это делалось руками, но только быстро, точно и без забывчивости.

Вывод во время выполнения работы:

spawn ssh -o KexAlgorithms=+diffie-hellman-group1-sha1 -o HostKeyAlgorithms=+ssh-rsa -o StrictHostKeyChecking=no sshuser@192.168.1.254
sshuser@192.168.1.254's password:
User sshuser logged in to gate
Logins over the last 91 days: 54. Last login: 11:39:24 MSK Jan 9 2023 from 192.168.1.100
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
gate> enable
Password: **********
gate# configure terminal
gate(config)# no crypto ca trustpoint ca_le
WARNING: Removing an enrolled trustpoint will destroy all
certificates received from the related Certificate Authority.

Are you sure you want to do this? [yes/no]: yes
INFO: Be sure to ask the CA administrator to revoke your certificates.
gate(config)# crypto ca trustpoint ca_le
gate(config-ca-trustpoint)# enrollment terminal
gate(config-ca-trustpoint)# exit
gate(config)# crypto ca import ca_le pkcs12 verySecretPassword12345

Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
MIIWzwIBAzCCFoUGCSqGSIb3DQEHAaCCFnYEghZyMIIWbjCCEOIGCSqGSIb3DQEH
BqCCENMwghDPAgEAMIIQyAYJKoZIhvcNAQcBMFcGCSqGSIb3DQEFDTBKMCkGCSqG
...
dt/zTsIeIqQq05PLFpOTIzBBMDEwDQYJYIZIAWUDBAIBBQAEIMyVqqTQhaaqlHOH
D3XnctPJR1TYytiVRCaVWuZHz+G0BAiEKmqw9Y6C4AICCAA=
quit
% You already have RSA or ECDSA keys named ca_le.
% If you replace them, all device certs issued using these keys
% will be removed.
% Do you really want to replace them? [yes/no]: yes

Trustpoint 'ca_le' is a subordinate CA and holds a non self-signed certificate.

Trustpoint CA certificate accepted.
WARNING: CA certificates can be used to validate VPN connections,
by default.  Please adjust the validation-usage of this
trustpoint to limit the validation scope, if necessary.
INFO: Import PKCS12 operation completed successfully.
gate(config)# ssl trust-point ca_le outside
gate(config)# exit
gate# exit

Logoff

Connection to 192.168.1.254 closed by remote host.
Connection to 192.168.1.254 closed.

Результат — компьютеры занимаются рутиной, а человек освободил время для чего-то более интересного.

Ёлочка

Тема из мультфильма «Новогодняя сказка», 1972 г., композитор Оскар Фельцман.

Приданое

В тростниках просохли кочки,
Зацвели каштаны в Тусе,
Плачет розовая дочка
Благородного Фердуси:
«Больше куклы мне не снятся,
Женихи густой толпою
У дверей моих теснятся,
Как бараны к водопою.
Вы, надеюсь, мне дадите
Одного назвать желанным.
Уважаемый родитель!
Как дела с моим приданым?»

Отвечает пылкой дочке
Добродетельный Фердуси:
«На деревьях взбухли почки.
В облаках курлычут гуси.
В вашем сердце полной чашей
Ходит паводок весенний,
Но, увы: к несчастью, ваши
Справедливы опасенья.
В нашей бочке — мерка риса,
Да и то еще едва ли.
Мы куда бедней, чем крыса,
Что живет у нас в подвале.
Но уймите, дочь, досаду,
Не горюйте слишком рано:
Завтра утром я засяду
За сказания Ирана,
За богов и за героев,
За сраженья и победы
И, старания утроив,
Их окончу до обеда,
Чтобы вился стих чудесный
Легким золотом по черни,
Чтобы шах прекрасной песней
Насладился в час вечерний.
Шах прочтет и караваном
Круглых войлочных верблюдов
Нам пришлет цветные ткани
И серебряные блюда,
Шелк и бисерные нити,
И мускат с имбирем пряным,
И тогда, кого хотите,
Назовете вы желанным».

В тростниках размокли кочки,
Отцвели каштаны в Тусе,
И опять стучится дочка
К благодушному Фердуси:
«Третий месяц вы не спите
За своим занятьем странным.
Уважаемый родитель!
Как дела с моим приданым?
Поглядевши, как пылает
Огонек у вас ночами,
Все соседи пожимают
Угловатыми плечами».

Отвечает пылкой дочке
Рассудительный Фердуси:
«На деревьях мерзнут почки,
В облаках умолкли гуси,
Труд — глубокая криница,
Зачерпнул я влаги мало,
И алмазов на страницах
Лишь немного заблистало.
Не волнуйтесь, подождите,
Год я буду неустанным,
И тогда, кого хотите,
Назовете вы желанным».

Через год просохли кочки,
Зацвели каштаны в Тусе,
И опять стучится дочка
К терпеливому Фердуси:
«Где же бисерные нити
И мускат с имбирем пряным?
Уважаемый родитель!
Как дела с моим приданым?
Женихов толпа устала
Ожиданием томиться.
Иль опять алмазов мало
Заблистало на страницах?»

Отвечает гневной дочке
Опечаленный Фердуси:
«Поглядите в эти строчки,
Я за труд взялся не труся,
Но должны еще чудесней
Быть завязки приключений,
Чтобы шах прекрасной песней
Насладился в час вечерний.
Не волнуйтесь, подождите,
Разве каплет над Ираном?
Будет день, кого хотите,
Назовете вы желанным».
Баня старая закрылась,
И открылся новый рынок.
На макушке засветилась
Тюбетейка из сединок.
Чуть ползет перо поэта
И поскрипывает тише.
Чередой проходят лета,
Дочка ждет, Фердуси пишет.

В тростниках размокли кочки,
Отцвели каштаны в Тусе.
Вновь стучится злая дочка
К одряхлелому Фердуси:
«Жизнь прошла, а вы сидите
Над писаньем окаянным.
Уважаемый родитель!
Как дела с моим приданым?
Вы, как заяц, поседели,
Стали злым и желтоносым,
Вы над песней просидели
Двадцать зим и двадцать весен.
Двадцать раз любили гуси,
Двадцать раз взбухали почки.
Вы оставили, Фердуси,
В старых девах вашу дочку».
«Будут груши, будут фиги,
И халаты, и рубахи.
Я вчера окончил книгу
И с купцом отправил к шаху.
Холм песчаный не остынет
За дорожным поворотом —
Тридцать странников пустыни
Подойдут к моим воротам».

Посреди придворных близких
Шах сидел в своем серале.
С ним лежали одалиски,
И скопцы ему играли.
Шах глядел, как пляшут триста
Юных дев, и бровью двигал.
Переписанную чисто
Звездочет приносит книгу:
«Шаху прислан дар поэтом,
Стихотворцем поседелым…»
Шах сказал: «Но разве это —
Государственное дело?
Я пришел к моим невестам,
Я сижу в моем гареме.
Тут читать совсем не место
И писать совсем не время.
Я потом прочту записки,
Небольшая в том утрата».
Улыбнулись одалиски,
Захихикали кастраты.

В тростниках просохли кочки,
Зацвели каштаны в Тусе.
Кличет сгорбленную дочку
Добродетельный Фердуси:
«Сослужите службу ныне
Старику, что видит худо:
Не идут ли по долине
Тридцать войлочных верблюдов?»

«Не бегут к дороге дети,
Колокольцы не бренчали,
В поле только легкий ветер
Разметает прах песчаный».

На деревьях мерзнут почки,
В облаках умолкли гуси,
И опять взывает к дочке
Опечаленный Фердуси:
«Я сквозь бельма, старец древний,
Вижу мир, как рыба в тине.
Не стоят ли у деревни
Тридцать странников пустыни?»

«Не бегут к дороге дети,
Колокольцы не бренчали.
В поле только легкий ветер
Разметает прах песчаный».

Вот посол, пестро одетый,
Все дворы обходит в Тусе:
«Где живет звезда поэтов —
Ослепительный Фердуси?
Вьется стих его чудесный
Легким золотом по черни,
Падишах прекрасной песней
Насладился в час вечерний.
Шах в дворце своем — и ныне
Он прислал певцу оттуда
Тридцать странников пустыни,
Тридцать войлочных верблюдов,
Ткани солнечного цвета,
Полосатые бурнусы…
Где живет звезда поэтов —
Ослепительный Фердуси?»

Стон верблюдов горбоносых
У ворот восточных где-то,
А из западных выносят
Тело старого поэта.
Бормоча и приседая,
Как рассохшаяся бочка,
Караван встречать — седая —
На крыльцо выходит дочка:
«Ах, медлительные люди!
Вы немножко опоздали.
Мой отец носить не будет
Ни халатов, ни сандалий.
Если шитые иголкой
Платья нашивал он прежде,
То теперь он носит только
Деревянные одежды.
Если раньше в жажде горькой
Из ручья черпал рукою,
То теперь он любит только
Воду вечного покоя.
Мой жених крылами чертит
Страшный след на поле бранном.
Джинна близкой-близкой смерти
Я зову моим желанным.
Он просить за мной не будет
Ни халатов, ни сандалий…
Ах, медлительные люди!
Вы немножко опоздали».

Встал над Тусом вечер синий,
И гуськом идут оттуда
Тридцать странников пустыни,
Тридцать войлочных верблюдов.

Дмитрий Кедрин, 1935 г.

Обновил OpenMediaVault на сетевом хранилище

Сетевое хранилище, история которого началась в марте 2018 года, продолжает свою работу. После пересадки в новый корпус в начале 2020-го никаких событий, связанных с ним, не происходило, за исключением замены вышедшей из строя флешки, на которой стояла система, на 120 ГБ SSD Gigabyte GP-GSTF в августе того же года.

На днях я обнаружил, что вышел OpenMediaVault версии 6 — надо обновиться, чтобы не отставать от прогресса и заодно разнообразить своё существование.

Обновление прошло безо всяких проблем, интерфейс стал более крупным, что, видимо, связано с увеличением средней диагонали и разрешения мониторов. Вообще, симпатично.

omv6-login-page.png
omv6-dashboard.png

Вечер дня сисадмина

После ужина обновил систему на своём сервере-неттопе, а потом решил ещё разик поковырять давно висевшее предупреждение в Nextcloud:

The reverse proxy header configuration is incorrect, or you are accessing Nextcloud from a trusted proxy. If not, this is a security issue and can allow an attacker to spoof their IP address as visible to the Nextcloud. Further information can be found in the documentation.

Сначала я попробовал добавить в параметр trusted_proxies конфигурации Nextcloud не имя контейнера реверс-прокси, а приватный диапазон IP, используемый Докером — 172.16.0.0/12; так много где советуют сделать, но это ничего не дало. В конце концов, проблема решилась заданием того же имени контейнера, но не единым параметром, а первым элементом массива, а также установкой ожидаемого заголовка пересылки.

docker exec -uwww-data nc-php php /var/www/html/cloud/occ config:system:set forwarded_for_headers 0 --value="X-Forwarded-For"
docker exec -uwww-data nc-php php /var/www/html/cloud/occ config:system:set trusted_proxies 0 --value="reverse-proxy"

Наконец-то:

Ободрённый успехом, я решил обновить контейнер с PHP 7.4 на PHP 8.0. Он у меня самосборный — это Alpine c последующей установкой необходимых пакетов и настройкой с помощью командной строки. Я поменял пакеты в Dockerfile на соответствующую версию и поправил пути, пересобрал контейнер, и вроде как заработало, но перестали выполняться команды, вызывающие php, подобные приведённым выше, и остановился cron, выполняющий фоновые задания. Ошибка была такая:

OCI runtime exec failed: exec failed: unable to start container process: exec: ″php″: executable file not found in $PATH: unknown

Полез внутрь контейнера. Команда php8 выполняется, а php — нет. Оказалось, что в дистрибутиве Alpine для php8 не готовы пакеты, поэтому символическая ссылка автоматически при установке не прописывается. Речь об этом шла год назад, не знаю, та же причина сейчас или нет, но результат всё равно один. Добавил ещё одну строчку в Dockerfile, после чего всё заработало:

ln -sf /usr/bin/php8 /usr/bin/php

Cron снова в порядке

Заодно напишу про упомянутый в прошлом тексте выпуск сертификатов Let’s Encrypt для HAProxy. Всё получилось и отлично работает. У Certbot есть каталог /etc/letsencrypt/renewal-hooks/deploy, и если туда положить скрипт, то он будет выполняться после каждого успешного перевыпуска сертификата. В данном случае нужно слепить полную цепочку сертификатов и закрытый ключ в одно целое, положив результат в каталог сертификатов HAProxy:

#!/bin/bash
cat $RENEWED_LINEAGE/{fullchain.pem,privkey.pem} > /etc/ssl/certs/haproxy/$(basename $RENEWED_LINEAGE).pem

# --deploy-hook DEPLOY_HOOK
#    Command to be run in a shell once for each
#    successfully issued certificate. For this command, the
#    shell variable $RENEWED_LINEAGE will point to the
#    config live subdirectory (for example,
#    "/etc/letsencrypt/live/example.com") containing the
#    new certificates and keys; the shell variable
#    $RENEWED_DOMAINS will contain a space-delimited list
#    of renewed certificate domains (for example,
#    "example.com www.example.com") (default: None)

Чтобы сертификат подхватился, HAProxy должен перечитать конфигурацию. Можно, конечно, добавить строку и в скрипт, приведённый выше, но если сертификатов выпускается сразу штук десять, то столько раз дёргать реверс-прокси за несколько секунд вряд ли хорошая идея. Поэтому я сделал отдельный скрипт, который ищет сертификаты с датой изменения меньше суток, и если они есть, перечитывает конфигурацию:

#!/bin/bash
if [[ $(find /etc/ssl/certs/haproxy/* -mtime -1) ]]
then
systemctl reload haproxy.service
fi

В cron нужно добавить запуск этого скрипта раз в сутки, например, в 3 часа ночи:

echo -e "\n# Reload HAProxy if there are new certs\n0 3\t* * *\troot\t/scripts/haproxy-reload-if-new-certs.sh" >> /etc/crontab

Ну, с праздничком всех причастных и сочувствующих, спокойной ночи.