CoolRaoul Posté(e) le 17 novembre 2014 Partager Posté(e) le 17 novembre 2014 Je me demande si il ne serait pas plus efficace de remplacer les "su -" par des simple "su" dans le "start-stop-status" de haproxy On se préserverait ainsi des effets de bords de modifs à la hussarde de "/etc/profile" effectuées par d'autres packages ou par l'utilisateur lui-même 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 17 novembre 2014 Partager Posté(e) le 17 novembre 2014 et changer le su - par su resoud le problème ? ce serait plus simple encore alors 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Diaoul Posté(e) le 17 novembre 2014 Partager Posté(e) le 17 novembre 2014 +1 si ça marche une PR pour ça plutôt. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 17 novembre 2014 Partager Posté(e) le 17 novembre 2014 et changer le su - par su resoud le problème ? ce serait plus simple encore alors Le "su" (sans le "-") à pour effet d'inhiber l'exécution des profiles (on ne crée pas un *login shell* mais un shell simple). Comme le problème est du au resize dans "/etc/profile" ... CQFD 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 17 novembre 2014 Partager Posté(e) le 17 novembre 2014 je crois que je vais avoir plus facile pour le PR 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Diaoul Posté(e) le 17 novembre 2014 Partager Posté(e) le 17 novembre 2014 Le "su" (sans le "-") à pour effet d'inhiber l'exécution des profiles (on ne crée pas un *login shell* mais un shell simple). Comme le problème est du au resize dans "/etc/profile" ... CQFD Je ne doute pas de ton savoir, par contre est-ce que le su de busybox supporte ça je ne sais pas. C'est pour ça qu'il faut tester. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 17 novembre 2014 Partager Posté(e) le 17 novembre 2014 (modifié) Pour ma curiosité personnelle: pourquoi ne suis-je pas parvenu à trouver le code du start-stop-status de haproxy dans https://github.com/SynoCommunity/spksrc/tree/develop/spk/haproxy/src ? M'a fallu installer le package pour le visualiser Je ne doute pas de ton savoir, par contre est-ce que le su de busybox supporte ça je ne sais pas. C'est pour ça qu'il faut tester. Tu imagines bien qu'avant de proposer ça j'ai testé quand même ... Modifié le 17 novembre 2014 par CoolRaoul 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 17 novembre 2014 Partager Posté(e) le 17 novembre 2014 le PR est fait, bon, on sera resté quelque jour dessus pour une modif de 1 caractère en somme 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Diaoul Posté(e) le 17 novembre 2014 Partager Posté(e) le 17 novembre 2014 Le code est ici : https://github.com/SynoCommunity/spksrc/blob/develop/spk/haproxy/src/dsm-control.sh Le fichier ne s'appelle pas start-stop-status parce que c'est plus clean comme ça. D'une part parce que c'est un script shell donc l'extension .sh est la bienvenue et d'autre part parce que ce script ne lance pas uniquement start, stop et status mais aussi log et potentiellement d'autres commandes. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
chris_tidus Posté(e) le 29 novembre 2014 Partager Posté(e) le 29 novembre 2014 bonjour je suis confronte au soucis du message lors de l'ecriture de la conf de haproxy je suivi toute la discussion mais je suis un peu perdu je ne retrouve pas dans quel fichier corriger le resize Quelqu'un pourrait me synthetiser la correction a apporter ? Merci par avance 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 29 novembre 2014 Partager Posté(e) le 29 novembre 2014 (modifié) si tu veux eviter de faire une modification : tu stop le paquet et tu le redemarre, et il prendra ta config autrement : dans le fichier : /var/packages/haproxy/scripts/start-stop-status tu remplace la ligne 25 : su - ${RUNAS} -c "PATH=${PATH} ${HAPROXY} -c -f ${CFG_FILE}" > /dev/null par : su ${RUNAS} -c "PATH=${PATH} ${HAPROXY} -c -f ${CFG_FILE}" > /dev/null Modifié le 29 novembre 2014 par Gaetan Cambier 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
devildant Posté(e) le 29 novembre 2014 Partager Posté(e) le 29 novembre 2014 Bonsoir, je viens de passer a dsm 5.1, je pense que synology a corriger le problème, car je n'ai pas de souci avec haproxy 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 29 novembre 2014 Partager Posté(e) le 29 novembre 2014 (modifié) je viens de passer a dsm 5.1, je pense que synology a corriger le problème, car je n'ai pas de souci avec haproxyEn effet la dernière update a supprimé la commande "resize" de "/etc/profile" que j'ai signalé un peu plus tot qui était la source du problème Modifié le 29 novembre 2014 par CoolRaoul 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
chris_tidus Posté(e) le 29 novembre 2014 Partager Posté(e) le 29 novembre 2014 Je suis étonné j ai réinstallé un ds212 avec le dsm 5.1 la semaine dernière et j au le soucis du message d erreur Je n ai pas eu le temps de chercher pour modifier le résize 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 29 novembre 2014 Partager Posté(e) le 29 novembre 2014 (modifié) Je suis étonné j ai réinstallé un ds212 avec le dsm 5.1 la semaine dernière et j au le soucis du message d erreur Je n ai pas eu le temps de chercher pour modifier le résize C'est la "5.1-5004 Update 2" sortie *aujourd’hui* qui a supprimé le resize du profile. Modifié le 29 novembre 2014 par CoolRaoul 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pews Posté(e) le 2 décembre 2014 Partager Posté(e) le 2 décembre 2014 Pourquoi par défaut, HAProxy écoute sur les ports 5080 et 5443 ? quel est l’intérêt ? Je pensais le configurer pour écouter directement sur les ports et 443 pour éviter de faire de la translation de port ( vers 5080). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
devildant Posté(e) le 2 décembre 2014 Partager Posté(e) le 2 décembre 2014 (modifié) Pourquoi par défaut, HAProxy écoute sur les ports 5080 et 5443 ? quel est l’intérêt ? Je pensais le configurer pour écouter directement sur les ports et 443 pour éviter de faire de la translation de port ( vers 5080). c'est simple DSM dispose d'un serveur web (apache) qui écoute sur les ports et 443, ces ports sont donc bloqués, et même si tu met et 443 en port d’écoute pour haproxy tu vas avoir des problèmes. apres deux solution : - soit tu dispose d'une box un peux évolué (si tu a une livebox chu désoler ^^) tu va pouvoir faire du loopback ce qui va te permettre d’interroger ton syno comme si tu était a l’extérieur mais depuis ton réseau local, a se moment la tu n'a plus qu'a configurer ton routeur pour que le port pointe sur le 5080 et le port 443 sur le port 5443 (donc translation de port obligé) - soit tu modifie la conf apache pour qu'il écoute sur des ports différents, ainsi tu pourra faire écouter haproxy sur le et 443, après si tu ne maitrise pas un minimum apache et la ligne de commande il faut oublier Modifié le 2 décembre 2014 par devildant 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pews Posté(e) le 2 décembre 2014 Partager Posté(e) le 2 décembre 2014 Ahhh !!! je n'avais pas pensé au serveur web qui écoutait sur le port . Je dispose d'une freebox donc ca va . Mais j'ai aussi une box numéricable.... Merci pour tes lumières. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
devildant Posté(e) le 17 décembre 2014 Partager Posté(e) le 17 décembre 2014 Je viens de tester haproxy, ca fonctionne assez facilement, par contre coté https, faudrait un peu blindé la conf par defaut : il y a pas mal d'algorithme considérer comme "weak" donc, pour modifie cela, on peut ajouter dans le front end : à la ligne bind : ajouter : (version secure et rapide (priorité aux algo 128bits)) ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL ou version 100% secure (priorité aux algo 256bits) ciphers AESGCM+AES256:AES256:AESGCM+AES128:AES128:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL à la ligne option ajouter : rspadd Strict-Transport-Security: max-age=31536000; includeSubDomains faite un tour sur le site https://www.ssllabs.com/ssltest/ avant et après et vous verrez la différence ! suite a un petit contrôle de routine je viens de voir que le RC4 a été cassé, j'ai rajouté :!RC4 au ciphers dans ma conf de haproxy (et ça fonctionne toujours bien ) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 18 décembre 2014 Partager Posté(e) le 18 décembre 2014 En fait le rc4 était la pour windows XP, si tu n'a plus de machine sous XP, plus utile en effet 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
devildant Posté(e) le 18 décembre 2014 Partager Posté(e) le 18 décembre 2014 En fait le rc4 était la pour windows XP, si tu n'a plus de machine sous XP, plus utile en effet plus d'xp ^^ c'était juste l'histoire de levé l'alerte vue qu'il a été cassé (ssllab m'as fait un gros warning) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 18 décembre 2014 Partager Posté(e) le 18 décembre 2014 Pour résumer : Version rapide et compatible (priorité au codage 128bits et support à partir de windows xp et java6) : ciphers ECDH+AES128:DH+AES128:ECDH+AES256:DH+AES256:+SHA:RSA+3DES+SHA:!aECDH:!DSS:!aNULL Version normal et compatible (priorité au codage 256bits et support à partir de windows xp et java6) : ciphers ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES128:+SHA:RSA+3DES+SHA:!aECDH:!DSS:!aNULL Version rapide et moderne (priorité au codage 128bits et support a partir de windows vista et java7) : ciphers ECDH+AES128:DH+AES128:ECDH+AES256:DH+AES256:+SHA:!aECDH:!DSS:!aNULL Version normal et moderne (priorité au codage 256bits et support a partir de windows vista et java7) ciphers ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES128:+SHA:!aECDH:!DSS:!aNULL Ainsi, on peut resté compatible sans warning, pour les quelques-un qui serait resté à XP Dans tous les cas, vaut mieux supprimer le support xp, les triple des, c'est un peu limite, mais il y a pas mieux dans ce cas 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
devildant Posté(e) le 18 décembre 2014 Partager Posté(e) le 18 décembre 2014 Pour résumer : Version rapide et compatible (priorité au codage 128bits et support à partir de windows xp et java6) : ciphers ECDH+AES128:DH+AES128:ECDH+AES256:DH+AES256:+SHA:RSA+3DES+SHA:!aECDH:!DSS:!aNULL Version normal et compatible (priorité au codage 256bits et support à partir de windows xp et java6) : ciphers ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES128:+SHA:RSA+3DES+SHA:!aECDH:!DSS:!aNULL Version rapide et moderne (priorité au codage 128bits et support a partir de windows vista et java7) : ciphers ECDH+AES128:DH+AES128:ECDH+AES256:DH+AES256:+SHA:!aECDH:!DSS:!aNULL Version normal et moderne (priorité au codage 256bits et support a partir de windows vista et java7) ciphers ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES128:+SHA:!aECDH:!DSS:!aNULL Ainsi, on peut resté compatible sans warning, pour les quelques-un qui serait resté à XP Dans tous les cas, vaut mieux supprimer le support xp, les triple des, c'est un peu limite, mais il y a pas mieux dans ce cas Merci, juste une question de compréhension, dans tout ces conf ciphers que tu a donnée le RC4 est quand même autorisé, non? (J'apprends sur le tas ) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 18 décembre 2014 Partager Posté(e) le 18 décembre 2014 (modifié) Non, il n'est pas autorisé au plutôt, il n'est pas interdit mais comme a la base je ne met pas de rc4… il y en aura pas Pour avoir une réponse claire de ce que donne la chaine, en ssh : openssl ciphers -v avec la liste donné et tu verra Modifié le 18 décembre 2014 par Gaetan Cambier 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
devildant Posté(e) le 18 décembre 2014 Partager Posté(e) le 18 décembre 2014 Non, il n'est pas autorisé au plutôt, il n'est pas interdit mais comme a la base je ne met pas de rc4 il y en aura pas Pour avoir une réponse claire de ce que donne la chaine, en ssh : openssl ciphers -v avec la liste donné et tu verra Ok bon a savoir cette commande, je comprends mieux du moins je crois, ce qui n'est pas déclaré dans le ciphers est automatiquement rejeté, les règle d'exclusion ne servent qu'a simplifier la déclaration (des conditions en d'autre terme) et l'orde corresponds au préférence du serveur. Si je suis pas a coté de la plaque, ba je me coucherai moi bête 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.