Конфигурира се PuTTY да направи тунел до отстрешната страна:

По желание може да се ползва и компресиране на трафика:

Закачайки се за отсрещния хост с SSH вече имате изграден тунел през локален TCP порт 45678. Не е задължително да ползвате root за да се логнете, всъщност най-добре да е ограничен акаунт с лимитиран шел – вместо bash, променете го на lynx да кажем.

Конфигурация на браузъра да ползва тунела:

Почти всяко мрежово програмче включително skype може да ползва SOCKS проксиране – настройва се елементарно, както виждате

Можете да споделите въпросите си в коментарите.

Създаваме СА (Certificate Authority):

# openssl genrsa -aes256 -out ca.key 2048
Generating RSA private key, 2048 bit long modulus
..............+++
...................................................................+++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:

Добре е да сложим парола на личният ключ – ако някой го докопа ще може да си вади колкото си иска сертификати с него.

# openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:BG
State or Province Name (full name) [Berkshire]:Plovdiv
Locality Name (eg, city) [Newbury]:Plovdiv
Organization Name (eg, company) [My Company Ltd]:Kamenitza.ORG
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:Kamenitza.ORG
Email Address []:

Common Name: – името на организацията, която ще притежава сертификата, не е нужно да е интернет адрес.

Следва да се създаде потебителският сертификат:

# openssl genrsa -out todor.key 2048
Generating RSA private key, 2048 bit long modulus
.....................+++
..................................................................................+++
e is 65537 (0x10001)
# openssl req -new -key todor.key -out todor.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:BG
State or Province Name (full name) [Berkshire]:Plovdiv
Locality Name (eg, city) [Newbury]:Plovdiv
Organization Name (eg, company) [My Company Ltd]:Kandev
Organizational Unit Name (eg, section) []:Kandev
Common Name (eg, your name or your server's hostname) []:Todor Kandev
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
# openssl x509 -req -in todor.csr -out todor.crt -sha1 -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650
Signature ok
subject=/C=BG/ST=Plovdiv/L=Plovdiv/O=Kandev/OU=Kandev/CN=Todor Kandev
Getting CA Private Key
Enter pass phrase for ca.key:
# openssl pkcs12 -export -in todor.crt -inkey todor.key -name "Todor Kandev Cert" -out todor.p12
Enter Export Password:
Verifying - Enter Export Password:

Паролата сложена тук се ползва при инсталацията на сертификата. Без нея не може да бъде импортнат в браузъра.

todor.p12 – е потребителският сертификат, който трябва да се импортне в браузъра на клиента.

За да ограничим достъпа до дадена директория от сайт слагаме това в .htaccess файла:

SSLVerifyClient require
SSLVerifyDepth 1

Или в <directory> на конфигурационния файл на Apache.

Но най-важното е да кажем на Apache, кои са “доверените” сертификати и как да ги познава. За това трябва да се постави този ред в конфигурационният файл на Apache:

SSLCACertificateFile /ssl/ca/ca.crt

(естествено заменете пътя с вашия)

След рестартиране на Апача всичко би трябвало да работи.

(В статията приемам, че сайтът е вече конфигуриран успешно да работи с SSL сертификат през HTTPS)

openssl pkcs12 -export -in my.crt -inkey my.key -certfile my.bundle -out my.pfx

Пъро се генерира личният ключ:
# openssl genrsa -out private.key 2048

С този личен ключ се генерира CSR:
# openssl req -new -key private.key -out certreq.csr

Попълват се данните за сертификата, като от най-голямо значение е Common Name, което трябва да съвпада с пълният адрес на сайта (mail.server.com).
Файлът certreq.csr съдържа “искането” за сертификат. След генерирането на подписаният сертификат, той вече не е нужен.

dd if=/dev/zero of=testfile bs=1MB count=1024

Това ще снесе файл с име testfile в текущата директория, ще бъде с размер точно 1GB.

Успех

# sysctl kern.elf32.fallback_brand=3

Може би ще има грешки с емулацията на линукс, ако в момента се емулира ядро 2.4, тогава:

# sysctl compat.linux.osrelease=2.6.16

И се инсталира нов линукс емулатор – фc6 примерно.

Приятно смятане!

Отваряте /etc/snmp/snmpd.conf с любимият ви текстов редактор.

Заместете реда:

com2sec notConfigUser default public

с:

com2sec local localhost public
com2sec mynetwork 192.168.0.0/24 public

Приемаме, че 192.168.0.0/24 е вашата локална мрежа (уверете се в това).
Потърсете и тези 2 реда:

group notConfigGroup v1 notConfigUser
group notConfigGroup v2c notConfigUser

Заместете ги с:

group MyRWGroup v1 local
group MyRWGroup v2c local
group MyRWGroup usm local
group MyROGroup v1 mynetwork
group MyROGroup v2c mynetwork
group MyROGroup usm mynetwork

Продължавате да замествате:

view systemview included system

с:

view all included .1 80

Замествате и:

access notConfigGroup "" any noauth exact systemview none none

с:

access MyROGroup "" any noauth exact all none none
access MyRWGroup "" any noauth exact all all none

А това е по желание:

syslocation Top secret location
syscontact Todor Kandev

Следва рестартиране на демона и това е всичко.

$ pg_dump -U databaseuser -W database > dump.sql

Зареждане от архив.

$ psql -U databaseuser database < dump.sql

# mkdir /usr/local/apache2/conf/ssl.key
# mkdir /usr/local/etc/apache2/ssl.crt
# mkdir /usr/local/etc/apache2/ssl.crl

Създаване на сертификат валиден 10 години:
# openssl req -new -x509 -days 3650 -keyout /usr/local/etc/apache2/ssl.key/server.key -out /usr/local/etc/apache2/ssl.crt/server.crt

Стартирането на Apache със SSL става така:
# apachectl startssl
Малко неудобно, че пита за паролата на личният ключ…
За да се махне тази парола:

# cd /usr/local/etc/apache2/ssl.key
# cp server.key server.key.orig
# openssl rsa -in server.key.orig -out server.key

Configure > Distributions > src > base + sys

# cd /usr/src/sys/i386/conf
# cp GENERIC MYKERNEL

Добавете в MYKERNEL:

options IPFIREWALL
options IPFIREWALL_VERBOSE

След това:

# cd /usr/src
# make buildkernel KERNCONF=MYKERNEL
# make installkernel KERNCONF=MYKERNEL

Добавете в /etc/rc.conf

firewall_enable="YES"
firewall_type="OPEN"

Рестарт!

Display outdated ports list:
# pkg_version -vIL=

Update FreeBSD packages / software:
# portmanager -u

Apply binary security updates for FreeBSD:
# freebsd-update fetch install

# cp /usr/share/zoneinfo/zonefilehere /etc/localtime

И редакция на /etc/rc.conf
ntpdate_enable=”YES”
ntpdate_program=”ntpdate”
ntpdate_flags=”-b 0.europe.pool.ntp.org”