Debian.pro/

Про Debian


«Чиним» letsencrypt+cloudflare в debian 11 — или просто ставим отдельный софт в stable debian из testing/sid.

На данный момент в debian 11 в main-репе лежит не очень работающая версия python3-certbot-dns-cloudflare (а в других никакой не лежит). С некоторое долей вероятности, попытавшись получить через letsencrypt certonly —dns-cloudflare НЕ-wildcard сертификат, вы получите такое (актуально это и для wildcard+domain сертификатов, само собой):

IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: example.com
Type: unauthorized
Detail: During secondary validation: Incorrect TXT record
"yXsLroPbfZa-SfLffaKwwdqgyqIW_-BUbEjZ9VsPRV8" found at
_acme-challenge.example.com

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.

А особо высшим пилотажем станет то, что и старые сертификаты могут перестать продлеваться — которые уже были когда-то получены ровно на этой же машине.

Решать будем по старинке, при помощи debian testing, чёртовой матери и пиннинга в апте.
Создаём файлик вроде /etc/apt/sources.list.d/bookworm.list

deb http://deb.debian.org/debian bookworm main contrib non-free
deb http://security.debian.org/debian-security bookworm-security main contrib non-free
deb http://deb.debian.org/debian bookworm-updates main contrib non-free
deb http://deb.debian.org/debian bookworm-backports main contrib non-free

(я на всякий случай указал все репы, вы можете по вкусу что-то убрать).

Создаём файлик /etc/apt/preferences.d/bookworm

Package: *
Pin: release n=bookworm
Pin-Priority: -100

Чтобы пакеты из этого репозитория не устанавливались никогда без явного указания опции -t

Не забываем про apt update

root@server:~# apt update

Проверяем, что без -t не ставится версия из bookworm:

root@server:~# apt-get install python3-certbot-dns-cloudflare python3-certbot certbot python3-josepy python3-acme
...
python3-certbot-dns-cloudflare is already the newest version (1.6.0-1).
python3-josepy is already the newest version (1.2.0-2).
python3-josepy set to manually installed.
0 upgraded, 0 newly installed, 0 to remove and 57 not upgraded.

Ну и теперь указываем опцию -t и ставим версию из тестинга:

root@server:~# apt-get install -t bookworm python3-certbot-dns-cloudflare python3-certbot certbot python3-josepy python3-acme
Setting up certbot (1.25.0-1) ...
Setting up python3-certbot-dns-cloudflare (1.18.0-1) ...
Processing triggers for man-db (2.9.4-2) ...

Ну и как бы всё.
Единственное но — пакет и обновляться не будет из тестинга. Вам нужно будет написать правильный пиннинг, что бы пакеты, перечисленные в команде выше, имели pin=500+ при установке из bookworm — но мне тратить на статью больше 20 минут как-то лениво.

Ну и, само собой, использовать это можно не только с cloudflare — так поставится любая программа.

raid10 в mdadm — не то, чем кажется.

Прежде, чем заявить «Пффф, да всё легко, шо вы тут мне втираете», ответьте мысленно на простенький вопрос — какой объём (в количестве дисков) будет у raid10 в mdadm, если в массиве 3 диска? Ответили? Правда же вы ответили, что-то вроде «либо полтора диска, либо один диск»? Нет? Присаживайтесь — я, конечно, не коммитил в raid10.c, […]

Гостевая статья — 101 способ не ограничить доступ к ручке

Это достаточно старая статья, которая была когда-то давно опубликована в очень закрытом блоге (инвайт получить занимает минимум часов 10!). Планы по публикации её в публичный интернет так и не стали реальностью, поэтому статью мне пришлось стащить и… Шучу, я как минимум у двух человек уточнил (в том числе и у автора), они разрешили -) Статью […]

07.07.2022 в 23:14 byinkvizitor68sl|mustread| 0 коммент.

Openvpn-сервер с удобной вебмордой. TL/DR — pritunl.

Некоторое время я искал вебморду для openvpn-сервера. Чуть было не написал «не простую, а золотую», но на самом деле ничего особенного — из хоть каких-то требований у меня было только 2: — полноценное управление пользователями (хотя бы отзыв сертификата) — вот тут-то почти все морды и отсеивались — деплой самого openvpn-сервера (минорно) и CA-шки, чтобы […]

Debian.pro — 10 лет (+анонс telegram-канала).

Я тут внезапно ковырялся в базке блога, пытаясь обновить WP (спойлер — не вышло), и обнаружил, что первая статья в блоге была опубликована 3 марта 2010 года — Вступление Ну штош *гифка со сцепленными пальцами*. Пришло время подвести статистику и чуть-чуть двинуть свой зад дальше. За 10 лет в блоге написано: — 255 статей (эта […]

Новогодний пост — БЕГИТЕ, глупцы!

Поймите меня правильно. Я не жалуюсь на своё место работы — здесь как раз всё отлично, даже более чем. Цепочка моих руководителей — бывшие (пусть некоторые и очень бывшие) сисадмины в том или ином виде. Вот только сколько моё место просуществует, и найду ли я потом хотя бы вполовину столь же хорошую работу — вопросы […]

Debian 10 (buster) released

https://bits.debian.org/2019/07/buster-released.html https://www.opennet.ru/opennews/art.shtml?num=51041 — на русском

Docker persistent containers. Или используем docker почти как chroot.

«Если нельзя, но очень хочется — то можно». В голове крутилась эта фраза после того, как я очередному человеку с заболеванием «докер головного мозга» вынужден был «пошутить» в духе «чувак, тебе здесь проще весь корень контейнера смонтировать как volume», а я сидел и думал, что не такая уж это и шутка, если её в десятый […]

Что на самом деле делает if в bash/sh.

На днях я наткнулся в очередной раз на конструкцию вида program; var=$?; if [ $var != «1»] ; then … ; fi. В этот момент я вспомнил про то, что давно уже (году в 2012-м, угу!) хотел написать статью о том, что именно происходит внутри if (кстати, и внутри while по сути). Ну просто для […]