Aller au contenu

Haproxy 1.5.dev25-13


Messages recommandés

Je me demande si il ne serait pas plus efficace de remplacer les "su -" par des simple "su" dans le "start-stop-status" de haproxy

On se préserverait ainsi des effets de bords de modifs à la hussarde de "/etc/profile" effectuées par d'autres packages ou par l'utilisateur lui-même

Lien vers le commentaire
Partager sur d’autres sites

et changer le su - par su resoud le problème ?

ce serait plus simple encore alors

Le "su" (sans le "-") à pour effet d'inhiber l'exécution des profiles (on ne crée pas un *login shell* mais un shell simple).

Comme le problème est du au resize dans "/etc/profile" ... CQFD

Lien vers le commentaire
Partager sur d’autres sites

Le "su" (sans le "-") à pour effet d'inhiber l'exécution des profiles (on ne crée pas un *login shell* mais un shell simple).

Comme le problème est du au resize dans "/etc/profile" ... CQFD

Je ne doute pas de ton savoir, par contre est-ce que le su de busybox supporte ça je ne sais pas. C'est pour ça qu'il faut tester.

Lien vers le commentaire
Partager sur d’autres sites

Pour ma curiosité personnelle: pourquoi ne suis-je pas parvenu à trouver le code du start-stop-status de haproxy dans https://github.com/SynoCommunity/spksrc/tree/develop/spk/haproxy/src ?

M'a fallu installer le package pour le visualiser


Je ne doute pas de ton savoir, par contre est-ce que le su de busybox supporte ça je ne sais pas. C'est pour ça qu'il faut tester.

Tu imagines bien qu'avant de proposer ça j'ai testé quand même ... -_-

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Le code est ici : https://github.com/SynoCommunity/spksrc/blob/develop/spk/haproxy/src/dsm-control.sh

Le fichier ne s'appelle pas start-stop-status parce que c'est plus clean comme ça. D'une part parce que c'est un script shell donc l'extension .sh est la bienvenue et d'autre part parce que ce script ne lance pas uniquement start, stop et status mais aussi log et potentiellement d'autres commandes.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

si tu veux eviter de faire une modification : tu stop le paquet et tu le redemarre, et il prendra ta config

autrement :

dans le fichier :

/var/packages/haproxy/scripts/start-stop-status

tu remplace la ligne 25 :

su - ${RUNAS} -c "PATH=${PATH} ${HAPROXY} -c -f ${CFG_FILE}" > /dev/null

par :

su ${RUNAS} -c "PATH=${PATH} ${HAPROXY} -c -f ${CFG_FILE}" > /dev/null
Modifié par Gaetan Cambier
Lien vers le commentaire
Partager sur d’autres sites

je viens de passer a dsm 5.1, je pense que synology a corriger le problème, car je n'ai pas de souci avec haproxy

En effet la dernière update a supprimé la commande "resize" de "/etc/profile" que j'ai signalé un peu plus tot qui était la source du problème Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Je suis étonné j ai réinstallé un ds212 avec le dsm 5.1 la semaine dernière et j au le soucis du message d erreur

Je n ai pas eu le temps de chercher pour modifier le résize

C'est la "5.1-5004 Update 2" sortie *aujourd’hui* qui a supprimé le resize du profile.

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Pourquoi par défaut, HAProxy écoute sur les ports 5080 et 5443 ? quel est l’intérêt ?

Je pensais le configurer pour écouter directement sur les ports 80 et 443 pour éviter de faire de la translation de port (80 vers 5080).

Lien vers le commentaire
Partager sur d’autres sites

Pourquoi par défaut, HAProxy écoute sur les ports 5080 et 5443 ? quel est l’intérêt ?

Je pensais le configurer pour écouter directement sur les ports 80 et 443 pour éviter de faire de la translation de port (80 vers 5080).

c'est simple DSM dispose d'un serveur web (apache) qui écoute sur les ports 80 et 443, ces ports sont donc bloqués, et même si tu met 80 et 443 en port d’écoute pour haproxy tu vas avoir des problèmes.

apres deux solution :

- soit tu dispose d'une box un peux évolué (si tu a une livebox chu désoler ^^) tu va pouvoir faire du loopback ce qui va te permettre d’interroger ton syno comme si tu était a l’extérieur mais depuis ton réseau local, a se moment la tu n'a plus qu'a configurer ton routeur pour que le port 80 pointe sur le 5080 et le port 443 sur le port 5443 (donc translation de port obligé)

- soit tu modifie la conf apache pour qu'il écoute sur des ports différents, ainsi tu pourra faire écouter haproxy sur le 80 et 443, après si tu ne maitrise pas un minimum apache et la ligne de commande il faut oublier

Modifié par devildant
Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Je viens de tester haproxy, ca fonctionne assez facilement, par contre coté https, faudrait un peu blindé la conf par defaut :

il y a pas mal d'algorithme considérer comme "weak"

donc, pour modifie cela, on peut ajouter dans le front end :

à la ligne bind : ajouter : (version secure et rapide (priorité aux algo 128bits))

ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL

ou version 100% secure (priorité aux algo 256bits)

ciphers AESGCM+AES256:AES256:AESGCM+AES128:AES128:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL

à la ligne option ajouter :

rspadd Strict-Transport-Security: max-age=31536000; includeSubDomains

faite un tour sur le site https://www.ssllabs.com/ssltest/ avant et après et vous verrez la différence !

suite a un petit contrôle de routine je viens de voir que le RC4 a été cassé, j'ai rajouté :!RC4 au ciphers dans ma conf de haproxy (et ça fonctionne toujours bien :P)

Lien vers le commentaire
Partager sur d’autres sites

Pour résumer :

Version rapide et compatible (priorité au codage 128bits et support à partir de windows xp et java6) :

ciphers ECDH+AES128:DH+AES128:ECDH+AES256:DH+AES256:+SHA:RSA+3DES+SHA:!aECDH:!DSS:!aNULL

Version normal et compatible (priorité au codage 256bits et support à partir de windows xp et java6) :

ciphers ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES128:+SHA:RSA+3DES+SHA:!aECDH:!DSS:!aNULL

Version rapide et moderne (priorité au codage 128bits et support a partir de windows vista et java7) :

ciphers ECDH+AES128:DH+AES128:ECDH+AES256:DH+AES256:+SHA:!aECDH:!DSS:!aNULL

Version normal et moderne (priorité au codage 256bits et support a partir de windows vista et java7)

ciphers ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES128:+SHA:!aECDH:!DSS:!aNULL

Ainsi, on peut resté compatible sans warning, pour les quelques-un qui serait resté à XP ;)

Dans tous les cas, vaut mieux supprimer le support xp, les triple des, c'est un peu limite, mais il y a pas mieux dans ce cas

Lien vers le commentaire
Partager sur d’autres sites

Pour résumer :

Version rapide et compatible (priorité au codage 128bits et support à partir de windows xp et java6) :

ciphers ECDH+AES128:DH+AES128:ECDH+AES256:DH+AES256:+SHA:RSA+3DES+SHA:!aECDH:!DSS:!aNULL
Version normal et compatible (priorité au codage 256bits et support à partir de windows xp et java6) :
ciphers ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES128:+SHA:RSA+3DES+SHA:!aECDH:!DSS:!aNULL
Version rapide et moderne (priorité au codage 128bits et support a partir de windows vista et java7) :
ciphers ECDH+AES128:DH+AES128:ECDH+AES256:DH+AES256:+SHA:!aECDH:!DSS:!aNULL
Version normal et moderne (priorité au codage 256bits et support a partir de windows vista et java7)
ciphers ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES128:+SHA:!aECDH:!DSS:!aNULL
Ainsi, on peut resté compatible sans warning, pour les quelques-un qui serait resté à XP ;)

Dans tous les cas, vaut mieux supprimer le support xp, les triple des, c'est un peu limite, mais il y a pas mieux dans ce cas

Merci, juste une question de compréhension, dans tout ces conf ciphers que tu a donnée le RC4 est quand même autorisé, non?

(J'apprends sur le tas :))

Lien vers le commentaire
Partager sur d’autres sites

Non, il n'est pas autorisé au plutôt, il n'est pas interdit mais comme a la base je ne met pas de rc4… il y en aura pas

Pour avoir une réponse claire de ce que donne la chaine, en ssh :

openssl ciphers -v avec la liste donné et tu verra

Modifié par Gaetan Cambier
Lien vers le commentaire
Partager sur d’autres sites

Non, il n'est pas autorisé au plutôt, il n'est pas interdit mais comme a la base je ne met pas de rc4 il y en aura pas

Pour avoir une réponse claire de ce que donne la chaine, en ssh :

openssl ciphers -v avec la liste donné et tu verra

Ok bon a savoir cette commande, je comprends mieux du moins je crois, ce qui n'est pas déclaré dans le ciphers est automatiquement rejeté, les règle d'exclusion ne servent qu'a simplifier la déclaration (des conditions en d'autre terme) et l'orde corresponds au préférence du serveur.

Si je suis pas a coté de la plaque, ba je me coucherai moi bête :)

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.