Вопросы Теги

DNSCrypt, похоже, не шифрует запросы

Мне удалось интегрировать обновления безопасности RHEL в настраиваемый образ кикстарта, используя следующую процедуру:

  1. Настроить зеркало RHEL с глубиной истории 1.

  2. При создании образа кикстарта скопируйте данные репо в собственный каталог на диске.

    Псевдокод сценария сборки ISO: 

     #! / Bin / bash псевдокод

# делаем копию образа системы RHEL
смонтировать rhel-7-server-dvd.iso / tmp / rhelbaseiso
cp -a / tmp / rhelbaseiso / tmp / rheliso

# добавить свои собственные файлы кикстарта
cp myimage / ks.cfg / tmp / rheliso /.
cp -f myimage / isolinux.bin /tmp/rheliso/isolinux/isolinux.bin

# копируем файлы с репо зеркала
mkdir / tmp / rheliso / rhelUpdatePackages
cp -a / myrhelmirror / repos / rhel7 / rhel-7-server-rpms / * rhelUpdatePackages

# TODO добавить любые пользовательские пакеты в их собственный каталог и запустить в нем createrepo

# строим iso-образ
mkisofs -rDfJV "ИМЯ ДИСКА" -b isolinux / isolinux.bin \
 -c изолинукс / boot.cat \
 -no-emul-boot \
 -boot-load-size 4 \
 -boot-информация-таблица \
 -graft-точки \
 -eltorito-alt-boot \
 -e images / efiboot.img \
 -no-emul-boot \
 -o custom_rhel.iso / tmp / rheliso

# TODO размонтировать и очистить

  3. Скажите кикстарту, чтобы он использовал репозиторий обновлений в качестве дополнительного репо: 

     ...
репо --name = "rhel_update" --baseurl = "file: /// run / install / repo / rhelUpdatePackages"
repo --name = "your_own_software" --baseurl = "file: /// run / install / repo / customPackages"
...

Похоже, этого достаточно, чтобы Yum / Anaconda подтянул соответствующим образом обновленные пакеты во время установки системы. После установки система будет иметь обновленное программное обеспечение «из коробки», без необходимости подключаться к репозиторию обновлений.

(Это работает для загрузочной установки BluRay, USB-HD или через локальную сеть. Требуются дополнительные усилия, чтобы уменьшить размер образа, если вам нужно поместить его на загрузочный DVD.)

1
26.02.2017, 20:00
1 ответ

Запись Wireshark показывает, что и источник, и место назначения являются локальными IP-адресами.

Итак, это только запись трафика между вашим компьютером и Raspberry Pi. Это обычный DNS-трафик. Зашифрованный трафик проходит между Raspberry Pi и преобразователем ns0.dnscrypt.is , то есть тем, что идет в Интернет.

Здесь вы должны выполнить захват пакетов.

В качестве альтернативы, если вы хотите аутентифицировать трафик между вашим компьютером и Raspberry Pi, на вашем компьютере должен работать прокси-сервер клиента, а на Raspberry Pi вам необходимо запустить сервер DNSCrypt (dnscrypt-wrapper или dnsdist).

1
27.01.2020, 23:46

Теги

Похожие вопросы