CityCat4

На одном сайте меня попросили использовать лицензированный шрифт с условием обеспечить невозможность извлечения шрифтов с сайта.

"...Ответ Надсистемы мгновенно разрушил радужные надежды: "Задача не имеет решения"..."
(С) Л. Резник "Магический треугольник"

Посмотреть лог, найти циклическую ссылку, устранить.

Судя по ошибке, нужно открыть конфиг апача и вдумчиво его просмотреть. Апач невероятно виртуозен в настройке - там черта лысого можно наворотить.

Нет. Он потому и шаред, что расшарен среди кучи народа, которым вовсе может и не нужна твоя правка. Хочешь полного доступа - бери VPS.

У апача настолько гибкий конфиг, что он позволяет вывернуть себя наизнанку. Поэтому советы будут во многом зависеть от того, что за дистриб у Вас.

Конфиг у апача модульный. Это означает, что для запуска https кроме настроек сайта (ниже) нужно еще настроить апач "вообще". Обычно это делается подключением файла с именем ну например 40_mod_ssl.conf (это он у меня так называется, у Вас будет называться по-другому) - там куча общих настроек.

В конфиге сайта для запуска https делаются следюущие настройки:

<VirtualHost *:443>
    ServerName имя_сайта
    ServerAdmin мыло_админа_сайта

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    SSLCipherSuite kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
    SSLHonorCipherOrder on

    SSLCertificateFile "/etc/ssl/certs/файл_сертификата_сайта"
    SSLCertificateKeyFile "/etc/ssl/private/файл_ключа_сертификата_сайта"

    SSLOptions +StdEnvVars +StrictRequire

    CustomLog /var/log/httpd/сайт/access common
    ErrorLog /var/log/httpd/сайт/httpd
</VirtualHost>

SSLCipherSuite и SSLHonorCiperOrder трогать не рекоменду - копипастить как есть. Первый параметр задает шифронаборы, которые поддерживает сайт, второй - что шифронаборы выбирает сервер, а не клиент. Шифрнаборы заданы довольно либерально (это дает возможность подключаться старым браузерам и старым осям). Для усиления безопасности строку можно переписать так:

SSLCipherSuite kEECDH+AES:kEDH+AES:kEECDH+CHACHA20:kEDH+CHACHA20:!aNULL:!DSS:!SSLv2:!SSLv3

Тут не нужен был ни жирный ни худой девопс. EL7 - достаточно стабильная система, ее почти не испортило даже появление systemd. Если она начинает сыпаться (а 20 перезагрузок в день - это оно и есть) - значит проблема в железе однозначно.
Если машина конторская - берем, тестируем. Если провайдерская - возвращаем этот piece of shit. Ставим новый сервак, на него переносим старый. Я бы действительно задумался об установке туда гипера - ВМ куда как проще бэкапить-восстанавливать да и переносить туда-сюда тоже проще, чем bare-metal.
Хотя и bare-metal тоже можно через dump/restore.

Глеб, а с чего ты решил, что LDIF-файл для openLDAP вообще должен импортироваться в AD? Только потому что там внутри LDAP? Ну так так схема совсем другая...

Надо же, кто-то еще использует сдохшие продукты атлассиана...

У Confluence обалденная встроенная авторизация. Насоздавать внутренних юзеров и пускать по логину-паролю. Внешнюю авторизацию можно прикрутить только если пускать через какой-то промежуточный сайт - потому что Confluence на томкате работает - он сам себе сервер.
Но лучше всего конечно же пускать через vpn

SSLCACertificatePath должен указывать на путь, где лежать сертификаты и их хэшированные линки, которые создаются командой:

ln -s somecert.crt `openssl x509 -hash -noout -in somecert.crt`.0

В разных местах я видел разные файлы со скриптами, которые создают линки по всему каталогу.
SSLCACertificateFile должен указывать на файл, где подряд идут PEM-формы сертификатов CA - без пробелов, без текстовых частей. Апач довольно капризен, лучше не экспериментировать.

- Создать CA
- Выпустить в нем сертификаты для пользователей
- Настроить на сервере требование сертификата от определенного CA (вашего)
- Раздать юзерам сертификаты
- Предупредить об ответственности за имперсонацию (когда некто, знающий пароль от юзерского логина, получает доступ к профилю, в котором установлен сертификат и заходит на сайт, как если бы он был правильный юзер, то есть требование сильного пароля никто не отменял)

Если нет необходимости использовать именно локальный сертификат - закажите его на LE - он как раз для таких случаев - для локальных, тестовых, дишманских серверов.

Если сайт "длля себя и подружек", то проще всего забыть про все эти самоподписанные сертификаты и воспользоваться LE (Let's Encrypt) - он как раз для этого годится. Как им воспользоваться - в тырнете сто тыщ мильенов инструкций.
Если хочется таки разобраться - то ошибка возникает из-за того, что сертификат самоподписанный и доверия к нему нет. Для появления к нему доверия необходимо:
1. Поместить сертификат в хранилище доверенных сертификатов (где это в бубунте, не знаю, обычно /etc/ssl/certs)
2. Создать в хранилище доверенных сертификатов (см. выше по расположению) специальный файл-ссылку - их там должно быть огромная куча для стандартных сертификатов таким образом:

cd /etc/ssl/certs
ln -s yourcertfile.crt `openssl x509 -hash -noout -in yourcertfile.crt`.0

Не имея рутовых прав - никак.
Для скрипта - никак вообще, хоть с правами, хоть без них
Для программы с правами - через setuid

Заставить доверять самоподписанному сертификату можно только поместив его в хранилище доверенных сертификатов. На каждом устройстве, на котором нужно доверие.

Да, LE придумали вовсе не зря :)

А что непонятно-то? Перевести не можете? Или подсказать адрес гуглотранслятора? :D

BGP

AS-ка берется в аренду у крупняка, Ваш провайдер, если достаточно толст (любой из них) запросто и аренду даст и настроить поможет. Но, в зависимости от модели микротика и от Вашего решения по fullview - возможно придется менять микротик на более производительную модель.

Купить ASку можно, но посложнее будет.

Я так полагаю, что лог пишется сервером? Значит юзеру, от имени которого работает сервер - нужно дать права на запись.

man getfacl
man setfacl

Вам модно или безопасно? Докеры и кубернетесы - это модно-стильно-молодежно (так же как раньше были "облака"), но если они в задачу не лезут - незачем их туда тащить.
Если же все-таки безопасно, то:
- сначала полный (полный!, то есть включающий все без исключения старые сервера) бэкап - чтобы было куда вернуться.
- потом идентификация всех имеющихся юзеров и всех, кто неизвестен - в бан
- для всех, кто известен - смена паролей
- Если есть возможность, ограничение ssh по ip и переход на аутентифкацию по ключу.
- проверка всех торчащих наружу сервисов и отстреливание лишних
- постепенная замена всех движков на их современные версии, обновление мускла