Вы искали mail - Страница 4 из 14

FastApi: авторизированный вход

20.03.2023 Павел Грибов Python

Из предыдущей статьи у нас есть некий вызов API после выполнения которого у нас на руках будет некий сессионый ключ.

Попробуем теперь используя этот сессионый ключ, запросить некую информацию о пользователе. Для этого добавим в схему auth.py классы:

class info_class(BaseModel):
    username : Optional[str] = Field(None, title="Имя пользователя", example="Вася Пупкин")
    phone    : Optional[str] = Field(None, title="Номер телефона", example="+79222347594")
    email    : Optional[str] = Field(None, title="Email пользователя", example="dowiurefh@mail.ru")

class info_out(BaseModel):
    error     : Optional[bool]  = Field(..., title="Результат выполнения запроса", example="false")
    comment   : Optional[str]   = Field(None, title="Текст ошибки", example="Пользователь удалён")
    result    : Optional[info_class]

class info_class(BaseModel):

username : Optional[str] = Field(None, title="Имя пользователя", example="Вася Пупкин")

phone : Optional[str] = Field(None, title="Номер телефона", example="+79222347594")

email : Optional[str] = Field(None, title="Email пользователя", example="dowiurefh@mail.ru")

class info_out(BaseModel):

error : Optional[bool] = Field(..., title="Результат выполнения запроса", example="false")

comment : Optional[str] = Field(None, title="Текст ошибки", example="Пользователь удалён")

result : Optional[info_class]

Следующим шагом будет защитить доступ к остальным компонентам API, от доступа без сессионного ключа. Для этого воспользуемся классом FastApi security и добавим в требования заголовка запроса тег авторизации.

Получим итоговый роутинг auth.py:

# -*- coding: utf-8 -*-
"""Different helper-functions to work with users."""
import json
import fastapi;
from fastapi import APIRouter,Depends
from app.schemas import auth as auth_models
from pydantic import BaseModel

token_key = fastapi.security.APIKeyHeader(name="Authorization")

class Token(BaseModel):
    token: str

# получить текущий токен
def get_current_token(oauth_header: str = fastapi.Security(token_key)):
    #print(f"Token: {oauth_header}")
    oauth_header=oauth_header.replace("Token ","")
    return oauth_header

router = APIRouter()

@router.post('/auth',response_model=auth_models.auth_out,tags=["auth"]) # заданы исходящие параметры
async def auth(into = Depends(auth_models.auth_in)): # заданы входящие параметры
    # если параметры не заданы
    if into.password==None: into.password="NONE"
    if into.login == None: into.password = "NONE"
    hash="12345678"
    # сформируем ответ
    out=auth_models.auth_out(hash=hash)
    return out

@router.post('/GetInfo',response_model=auth_models.info_out,tags=["auth"]) # заданы исходящие параметры
async def GetInfo(token: Token=Depends(get_current_token)): # заданы входящие параметры
    print(f"Токен: {token}")
    if token!="12345678":
        print("Токен не верен!")
        return auth_models.info_out(error=True,comment="Токен не найден")
    # сформируем ответ

    return auth_models.info_out(error=False,result={"username":"Pavel","email":"vasya@mail.ru"})

# -*- coding: utf-8 -*-

"""Different helper-functions to work with users."""

import json

import fastapi;

from fastapi import APIRouter,Depends

from app.schemas import auth as auth_models

from pydantic import BaseModel

token_key = fastapi.security.APIKeyHeader(name="Authorization")

class Token(BaseModel):

token: str

# получить текущий токен

def get_current_token(oauth_header: str = fastapi.Security(token_key)):

#print(f"Token: {oauth_header}")

oauth_header=oauth_header.replace("Token ","")

return oauth_header

router = APIRouter()

@router.post('/auth',response_model=auth_models.auth_out,tags=["auth"]) # заданы исходящие параметры

async def auth(into = Depends(auth_models.auth_in)): # заданы входящие параметры

# если параметры не заданы

if into.password==None: into.password="NONE"

if into.login == None: into.password = "NONE"

hash="12345678"

# сформируем ответ

out=auth_models.auth_out(hash=hash)

return out

@router.post('/GetInfo',response_model=auth_models.info_out,tags=["auth"]) # заданы исходящие параметры

async def GetInfo(token: Token=Depends(get_current_token)): # заданы входящие параметры

print(f"Токен: {token}")

if token!="12345678":

print("Токен не верен!")

return auth_models.info_out(error=True,comment="Токен не найден")

# сформируем ответ

return auth_models.info_out(error=False,result={"username":"Pavel","email":"vasya@mail.ru"})

В результате мы можем увидеть в документации появившийся «замочек»:

При попытке выполнения запроса без авторизации, соответственно получим ошибку аторизации:

Not authenticated

1	Not authenticated

Оставить комментарий Authorization, fastapi

Защита сайта сертификатом p12

19.12.2022 Павел Грибов apache, WEB, Из жизни

Задача: обеспечить вход на сайт только при наличии действующего сертификата формата p12.

Решение:

Инструкция создана на основе нескольких источников, в т.ч. этого и этого, но с внесением поправок что год уже конец 2022, и появились некоторые нюансы, что старые инструкции не работают по умолчанию для новых дистрибутивов.

Сначала создадим корневой сертификат сервера и необходимые для дальнейшей работы файлы и папки. Для этого создадим в любой папке файл root_cer.sh с содержимым вида:

mkdir db                # БД сертификатов
mkdir certs             # ключ и сертификат сервера
mkdir db/certs          # пользовательские сертификаты
mkdir db/newcerts       # новые сертификаты
mkdir p12               # сертификаты для передачи клиентам (p12)
touch db/index.txt
echo "01" > db/serial
openssl req -new -newkey rsa:2048 -nodes -keyout certs/server.key -x509 -days 1024 \
          -subj /C=RU/ST=Vol/L=Vol/O=LTD\ ElkiPalki/OU=Sale/CN=zz/emailAddress=wefwerfwe@gmail.com \
          -out certs/server.crt

mkdir db # БД сертификатов

mkdir certs # ключ и сертификат сервера

mkdir db/certs # пользовательские сертификаты

mkdir db/newcerts # новые сертификаты

mkdir p12 # сертификаты для передачи клиентам (p12)

touch db/index.txt

echo "01" > db/serial

openssl req -new -newkey rsa:2048 -nodes -keyout certs/server.key -x509 -days 1024 \

-subj /C=RU/ST=Vol/L=Vol/O=LTD\ ElkiPalki/OU=Sale/CN=zz/emailAddress=wefwerfwe@gmail.com \

-out certs/server.crt

, где:

rsa:2048- длина ключа, -days — сколько дней действителен сертификат, -x509 — создаём самоподписаный сертификат, /C — страна, /ST — область, /L — город, /O — организация, /OU — отдел,

Результатом работы будут два файла в папке certs: servert.crt (сертификат) и serverk.key (закрытый ключ). Данные закрытого ключа можно посмотреть при помощи:

openssl rsa -noout -text -in server.key  
openssl x509 -noout -text -in server.crt

1 2	openssl rsa -noout -text -in server.key openssl x509 -noout -text -in server.crt

В файле db/serial записывается текущий серийный номер
подписываемого сертификата в шестнадцатиричном формате.

В файл db/index.txt сохраняются данные о подписываемых сертификатах.

Далее необходимо создать файл с настройками для генерации пользовательских сертификатов ca.config:

 [ ca ]
        default_ca             = CA_CLIENT       # При подписи сертификатов  использовать секцию CA_CLIENT

        [ CA_CLIENT ]
        dir                    = ./db            # Каталог для служебных файлов
        certs                  = $dir/certs      # Каталог для сертификатов
        new_certs_dir          = $dir/newcerts   # Каталог для новых сертификатов

        database               = $dir/index.txt  # Файл с базой данных
        # подписанных сертификатов
        serial                 = $dir/serial     # Файл содержащий серийный номер
        # сертификата
        # (в шестнадцатиричном формате)
        certificate            = ./certs/server.crt        # Файл сертификата CA
        private_key            = ./certs/server.key        # Файл закрытого ключа CA

        default_days           = 365             # Срок действия подписываемого
        # сертификата
        default_crl_days       = 7               # Срок действия CRL (см. $4)
        default_md             = sha256          # Алгоритм подписи

        policy                 = policy_anything # Название секции с описанием политики в отношении данных сертификата

        [ policy_anything ]
        countryName            = optional        # Код страны - не обязателен
        stateOrProvinceName    = optional        # ......
        localityName           = optional        # ......
        organizationName       = optional        # ......
        organizationalUnitName = optional        # ......
        commonName             = supplied        # ...... - обязателен
        emailAddress           = optional        # ......

[ ca ]

default_ca = CA_CLIENT # При подписи сертификатов использовать секцию CA_CLIENT

[ CA_CLIENT ]

dir = ./db # Каталог для служебных файлов

certs = $dir/certs # Каталог для сертификатов

new_certs_dir = $dir/newcerts # Каталог для новых сертификатов

database = $dir/index.txt # Файл с базой данных

# подписанных сертификатов

serial = $dir/serial # Файл содержащий серийный номер

# сертификата

# (в шестнадцатиричном формате)

certificate = ./certs/server.crt # Файл сертификата CA

private_key = ./certs/server.key # Файл закрытого ключа CA

default_days = 365 # Срок действия подписываемого

# сертификата

default_crl_days = 7 # Срок действия CRL (см. $4)

default_md = sha256 # Алгоритм подписи

policy = policy_anything # Название секции с описанием политики в отношении данных сертификата

[ policy_anything ]

countryName = optional # Код страны - не обязателен

stateOrProvinceName = optional # ......

localityName = optional # ......

organizationName = optional # ......

organizationalUnitName = optional # ......

commonName = supplied # ...... - обязателен

emailAddress = optional # ......

Для автоматизации генерации клиентских сертификатов можно собрать небольшой bash скрипт:

#!/bin/bash
NO_ARGS=0
BASE_DIR=""
P12_DIR="$BASE_DIR/p12"
CA_CFG="$BASE_DIR/ca.config"            # Конфигурационный файл для подписи
CERTS="$BASE_DIR/db/certs"              # Каталог для хранения сертификатов
CA_FILE="$BASE_DIR/certs/server.crt"    # Доверенный сертификат (Им подписывам)

usage () {
  echo "Скрипт `basename $0` предназначен для создания клиентских SSL сертификатов."
  echo ""
  echo "Использование: `basename $0` email name password"
}

if [ $# -eq "$NO_ARGS" ]  # Сценарий вызван без аргументов?
then
  usage                   # Если запущен без "аргуменотов" - вывести справку
  exit $E_OPTERROR        # и выйти с кодом ошибки
fi

EMAIL=$1
echo "Email:$EMAIL"
NAME=$2
echo "Name:$NAME"
PASSWORD=$3
echo "Password:$PASSWORD"

# создаём запрос на клиентский сертификат
openssl req -new -newkey rsa:2048 -nodes -keyout "$CERTS/$NAME.key" \
        -subj /C=RU/CN=usr/emailAddress="$EMAIL" \
        -out "$CERT/$NAME.csr"

# подписываем запрос на сертификат при помощи доверенного сертификата
openssl ca -config "$CA_CFG" -in "$CERT/$NAME.csr" -out "$CERT/$NAME.crt" -batch

# создаём файл p12 для передачи клиенту
openssl pkcs12 -export -in "$CERT/$NAME.crt" -inkey "$CERTS/$NAME.key" \
        -certfile "$CA_FILE" -out "$P12_DIR/$NAME.p12" -passout pass:"$PASSWORD"

#!/bin/bash

NO_ARGS=0

BASE_DIR=""

P12_DIR="$BASE_DIR/p12"

CA_CFG="$BASE_DIR/ca.config" # Конфигурационный файл для подписи

CERTS="$BASE_DIR/db/certs" # Каталог для хранения сертификатов

CA_FILE="$BASE_DIR/certs/server.crt" # Доверенный сертификат (Им подписывам)

usage () {

echo "Скрипт `basename $0` предназначен для создания клиентских SSL сертификатов."

echo ""

echo "Использование: `basename $0` email name password"

}

if [ $# -eq "$NO_ARGS" ] # Сценарий вызван без аргументов?

then

usage # Если запущен без "аргуменотов" - вывести справку

exit $E_OPTERROR # и выйти с кодом ошибки

EMAIL=$1

echo "Email:$EMAIL"

NAME=$2

echo "Name:$NAME"

PASSWORD=$3

echo "Password:$PASSWORD"

# создаём запрос на клиентский сертификат

openssl req -new -newkey rsa:2048 -nodes -keyout "$CERTS/$NAME.key" \

-subj /C=RU/CN=usr/emailAddress="$EMAIL" \

-out "$CERT/$NAME.csr"

# подписываем запрос на сертификат при помощи доверенного сертификата

openssl ca -config "$CA_CFG" -in "$CERT/$NAME.csr" -out "$CERT/$NAME.crt" -batch

# создаём файл p12 для передачи клиенту

openssl pkcs12 -export -in "$CERT/$NAME.crt" -inkey "$CERTS/$NAME.key" \

-certfile "$CA_FILE" -out "$P12_DIR/$NAME.p12" -passout pass:"$PASSWORD"

На входе скрипта необходимо задать email, имя пользователя без пробелов и пароль на установку сертификата. На выходе будет запись в БД сертификатов и непосредственно сам контейнер p12 в папке p12 для передачи клиенту.

И ещё один полезный скрипт, для автоматизации отзыва сертификатов revote.sh:

#!/bin/bash
NO_ARGS=0
BASE_DIR=""
CA_CFG="$BASE_DIR/ca.config"
CERTS="$BASE_DIR/db/newcerts"
usage () {
  echo "Скрипт `basename $0` предназначен для отзыва клиентских SSL сертификатов."
  echo ""
  echo "Использование: `basename $0` serial"
}
if [ $# -eq "$NO_ARGS" ]  # Сценарий вызван без аргументов?
then
  usage                   # Если запущен без "аргуменотов" - вывести справку
  exit $E_OPTERROR        # и выйти с кодом ошибки
fi

SERIAL=$1
echo "Отзываю сертификат: $CERTS/$SERIAL.pem"
openssl ca -config "$CA_CFG" -revoke "$CERTS/$SERIAL.pem"
# составим список отозваных в файл revoked.crl
openssl ca -gencrl -config "$CA_CFG" -out revoked.crl

#!/bin/bash

NO_ARGS=0

BASE_DIR=""

CA_CFG="$BASE_DIR/ca.config"

CERTS="$BASE_DIR/db/newcerts"

usage () {

echo "Скрипт `basename $0` предназначен для отзыва клиентских SSL сертификатов."

echo ""

echo "Использование: `basename $0` serial"

}

if [ $# -eq "$NO_ARGS" ] # Сценарий вызван без аргументов?

then

usage # Если запущен без "аргуменотов" - вывести справку

exit $E_OPTERROR # и выйти с кодом ошибки

SERIAL=$1

echo "Отзываю сертификат: $CERTS/$SERIAL.pem"

openssl ca -config "$CA_CFG" -revoke "$CERTS/$SERIAL.pem"

# составим список отозваных в файл revoked.crl

openssl ca -gencrl -config "$CA_CFG" -out revoked.crl

Посмотреть список отозваных сертификатов можно при помощи команды:

openssl crl -in revoked.crl -text -noout

1	openssl crl -in revoked.crl -text -noout

Осталось только настроить apache для того что бы он пускал на сайт, только при наличии сертификата, добавив:

SSLCACertificateFile /path/to/server.crt
SSLVerifyClient require

1 2	SSLCACertificateFile /path/to/server.crt SSLVerifyClient require

Оставить комментарий apache, linux, openssl, p12, вход по сертификату

1C: открыть почтовый клиент с заполненным телом письма

29.11.2022 Павел Грибов 1C

Задача: у пользователя необходимо открыть почтовый клиент с заполненным телом и заголовком письма

Решение:

ФайловаяСистемаКлиент.ОткрытьНавигационнуюСсылку("mailto:" + Объект.КонтактноеЛицоЭлектроннаяПочта+"?subject=Оплата аванса за монтажные работы&body=Для оплаты аванса перейдите по ссылке: "+ссылка);

1	ФайловаяСистемаКлиент.ОткрытьНавигационнуюСсылку("mailto:" + Объект.КонтактноеЛицоЭлектроннаяПочта+"?subject=Оплата аванса за монтажные работы&body=Для оплаты аванса перейдите по ссылке: "+ссылка);

Оставить комментарий body, mailto, subject, почтовый клиент

UBUNTU: настройка ротации логов

11.10.2022 Павел Грибов Linux

В Ubuntu за ротацию логов отвечает утилита logrotate. Обычно она уже установлена в «базе».

Для настройки используется каталог /etc/logrotate.d В этой папке необходимо добавить файл вида:

/home/user/ocpp_servers/*.log {
        weekly
        missingok
        rotate 90
        compress
        delaycompress
        notifempty
        create 755 root adm
        sharedscripts
}

/home/user/ocpp_servers/*.log {

weekly

missingok

rotate 90

compress

delaycompress

notifempty

create 755 root adm

sharedscripts

}

Собственно просто указываем файлы которые нуждаются в «ротации», и внутри скобок — что делать с ними.

rotate — указывает сколько старых логов нужно хранить, в параметрах передается количество;
create — указывает, что необходимо создать пустой лог файл после перемещения старого;
dateext — добавляет дату ротации перед заголовком старого лога;
compress — указывает, что лог необходимо сжимать;
delaycompress — не сжимать последний и предпоследний журнал;
extension — сохранять оригинальный лог файл после ротации, если у него указанное расширение;
mail — отправлять Email после завершения ротации;
maxage — выполнять ротацию журналов, если они старше, чем указано;
missingok — не выдавать ошибки, если лог файла не существует;
olddir — перемещать старые логи в отдельную папку;
postrotate/endscript — выполнить произвольные команды после ротации;
start — номер, с которого будет начата нумерация старых логов;
size — размер лога, когда он будет перемещен;
hourly — каждый час;
daily — каждый день;
weekly — каждую неделю;
monthly — каждый месяц;
yearly — каждый год.

Тестирование получившейся конфигурации:

logrotate -d /etc/logrotate.d/ocpp

1	logrotate -d /etc/logrotate.d/ocpp

Оставить комментарий ubuntu, ротация логов

Логирование и аудит потенциально опасных событий на сервере Linux

09.06.2022 Павел Грибов Linux

Задача: при изменении критически важных файлов, запуск из под sudo, создание тоннелей SSH и переброс портов — отсылать уведомление об этом на почту.

Решение: воспользуемся штатным демоном auditd и сторонней утилитой wazuh

Установка auditd:

apt install auditd

1	apt install auditd

Просмотр текущих действующих правил:

auditctl -l -a never,task

1	auditctl -l -a never,task

Стереть все действующие правила:

auditctl -D

1	auditctl -D

1) Настроить уведомление об изменении файлов /etc/paswd и /etc/shadow

auditctl -w /etc/passwd -p wa -k passwd_watch
auditctl -w /etc/shadow -p wa -k shadow_watch

1 2	auditctl -w /etc/passwd -p wa -k passwd_watch auditctl -w /etc/shadow -p wa -k shadow_watch

, где -p — обозначает при каком условии будет сделана запись в журнал:

r — операция чтения данных из файла
w — операция записи данных в файл
x — операция исполнения файла
a — операция изменения атрибутов файла или директории

Что бы правила работали на постоянной основе, их нужно добавить в файл /etc/audit/rules.d/audit.rules после чего перезапустить демон

systemctl restart auditd.service

1 2	systemctl restart auditd.service

2) Настройка уведомления о выполнении команд от sudo/root:

auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k rootcmd
auditctl -a exit,always -F arch=b32 -F euid=0 -S execve -k rootcmd

1 2	auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k rootcmd auditctl -a exit,always -F arch=b32 -F euid=0 -S execve -k rootcmd

3) Для того чтобы уведомления из журнала /etc/audit/audit.log отправлялись на почту, нужно установить wazuh-manager:

add-apt-repository ppa:openjdk-r/ppa
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
apt-get update
apt-get install wazuh-manager
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager

add-apt-repository ppa:openjdk-r/ppa

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -

echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

apt-get update

apt-get install wazuh-manager

systemctl daemon-reload

systemctl enable wazuh-manager

systemctl start wazuh-manager

И соответственно добавить в конфигурационный файл /var/ossec/etc/ossec.conf, отслеживание изменений:

<localfile>
    <location>/var/log/audit/audit.log</location>
    <log_format>audit</log_format>
  </localfile>

<location>/var/log/audit/audit.log</location>

<log_format>audit</log_format>

</localfile>

В этом же файле нужно настроить секцию касающуюся отправки уведомлений по email — отправитель, получатель.

Далее добавляем ключевые слова в /var/ossec/etc/lists/audit-keys, для фильтрации событий:

passwd_watch:read
shadow_watch:read
sudo:read

passwd_watch:read

shadow_watch:read

sudo:read

И добавить правило срабатывания в /var/ossec/etc/rules/local_rules.xml:

<group name="audit">
  < <rule id="100002" level="12">
      <if_sid>80700</if_sid>
      <match>sudo</match>
      <options>alert_by_email</options>
      <description>Выполнена команда от SUDO сервер sdcsdcezs.sadcasd.ru</description>
  </rule>
  <rule id="100003" level="12">
      <if_sid>80701</if_sid>
      <match>passwd_watch</match>
      <options>alert_by_email</options>
      <description>Изменился файл /etc/passwd</description>
  </rule>
</group>

< <rule id="100002" level="12">

<if_sid>80700</if_sid>

<options>alert_by_email</options>

<description>Выполнена команда от SUDO сервер sdcsdcezs.sadcasd.ru</description>

</rule>

<if_sid>80701</if_sid>

<match>passwd_watch</match>

<options>alert_by_email</options>

<description>Изменился файл /etc/passwd</description>

</rule>

</group>

Оставить комментарий auditd, wazuh, мониторнг системы

« 1 2 3 4 5 6 … 14 »

Пн	Вт	Ср	Чт	Пт	Сб	Вс
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31