Вопросы Теги

ошибка openssl/curl: SSL23_GET_SERVER_HELLO:tlsv1 предупреждают внутреннюю ошибку

Мы встречаемся с очень странными проблемами, соединяющимися с openssl или завихрением к одному из наших серверов из Ubuntu 14.04

Выполнение:

openssl s_client -connect ms.icometrix.com:443

дает:

CONNECTED(00000003)
140557262718624:error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert
internal error:s23_clnt.c:770:

Подобная ошибка при выполнении:

curl https://ms.icometrix.com
curl: (35) error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert
internal error

Вывод openssl версии (на клиенте/сервере): 

OpenSSL 1.0.1f 6 Jan 2014

Вывод openssl от dpkg-l openssl:

1.0.1f-1ubuntu2

Забавная вещь, проблема исчезает при соединении с другими версиями Openssl:

  • От Mac, OpenSSL 0.9.8zd 8 января 2015, все хорошо
  • От песней, OpenSSL 1.0.1e-fips 11 февраля 2013, все хорошо
  • Последняя стабильная версия на Ubuntu 14.04, OpenSSL 1.0.2d 9 июля 2015, все хорошо.

От стороны сервера мы не видим ничего странного. Проблема запустилась, когда мы отключили SSL3 на наших машинах.

Могла бы быть проблема со сборкой в Кв. - добираются?

Мы также тестируем другие версии, та, предложенная способным кэшем showpkg, но проблема остается...

9
задан 16 March 2009 в 23:05

7 ответов

Это похоже на проблему с поддержкой ECDH между клиентом и сервером. При исключении всех шифров ECDH, это работает:

openssl s_client -connect ms.icometrix.com:443 -cipher 'DEFAULT:!ECDH'

Мое предположение - то, что сервер каркает на некоторых из 25 кривых ECC, предлагаемых клиентом. Браузеры только предлагают немного кривых. OpenSSL 0.9.8 еще не поддерживает ECC, и RedHat/CentOS имеет историю отключения ECC по умолчанию по доступным причинам. Я не знаю, почему OpenSSL 1.0.2 работает, так как у меня нет доступа к этой версии.

Обратите внимание на то, что предоставление версии OpenSSL состоит обычно недостаточно в том, потому что все дистрибутивы сохраняют более старые версии, но добавляют патчи безопасности. Вместо этого сверьтесь dpkg -l openssl который дает 1.0.1f-1ubuntu2.15 в моей системе.

4
ответ дан 31 July 2019 в 17:57

Рассмотрите использование ForceCommand директива в sshd_config . Например, я использую эти для принуждения группы из пользователей к ряду серверов: 

Match Group group1
       ForceCommand ssh -t group1.fqdn

Match Group="*,!local,!group2,!root"
       ForceCommand ssh -t group3.fqdn

Вы могли использовать: 

Match User foo
    ForceCommand ssh -t target-host
1
ответ дан 1 November 2019 в 13:01
  • 1
    Это doesn' t на самом деле решают мою текущую проблему, не так ли? Это могло бы возможно остановить этот случай снова, я предполагаю. – TRiG 13 October 2016 в 04:15

Короткий ответ: Да.

Короткое решение: после обновления начальная загрузка в Ubuntu (это будет все еще работать), и выполните это в Терминале: 

sudo grub-mkconfig -o /boot/grub/grub.cfg

Это предполагает, что Ваша установка GRUB находится на Вас диск Ubuntu. Если это не работает, то это находится на Вашем диске Windows, и необходимо будет вместо этого выполнить это: 

sudo grub-install /dev/sda

(заменяют '/dev/sda' любым Windows диска, идет; Вы видите это в выводе первой команды)

15
ответ дан 1 November 2019 в 13:01

Удаление просто геоподсказка: 

sudo apt-get remove geoclue

(Это удалит просто сам пакет геоподсказки.)

геоподсказка Удаления и это являются зависимостями: 

sudo apt-get remove --auto-remove geoclue

(Это удалит пакет геоподсказки и любые другие подчиненные пакеты, которые больше не необходимы.)

Чистка Вашей конфигурации/данных также: (Если Вы также захотите удалить свое локальное / файлы конфигурации для геоподсказки затем, то это будет работать.) 

sudo apt-get purge geoclue

или 

sudo apt-get purge --auto-remove geoclue

http://installion.co.uk/ubuntu/vivid/main/g/geoclue/uninstall/index.html

3
ответ дан 1 November 2019 в 13:01
  • 1
    Вы можете также постоянно (до перезагрузки), удаляют возможность изменить ЛЮБОЙ неизменный бит от системы. – rackandboneman 13 October 2016 в 00:40

Можно использовать менеджера по Модему GUI от центра программного обеспечения Ubuntu для управления аппаратным ключом 3G.

кроме того, можно попробовать Ubuntu минимальная установка CD, детализированная здесь: Минимальная Установка

2
ответ дан 1 November 2019 в 13:01

Через Interval

от man collectd.conf 

Interval Seconds
   Configures the interval in which to query the read plugins.
   Obviously smaller values lead to a higher system load produced by
   collectd, while higher values lead to more coarse statistics.
<час>

, например: 

<LoadPlugin df>
    Interval 1
</LoadPlugin>
3
ответ дан 1 November 2019 в 13:01
  • 1
    Выяснение у этого только, чтобы быть уверенным: активная версия, по определению, doesn' t идут с/dev/.Thus каждый раз, я загружаю живой дистрибутив, неважно, какое программное обеспечение я использую для создания один, создает драйвер определенные файлы с нуля пока его нормальное? – theGD 11 October 2016 в 22:12

Наконец решение: 

iptables -A INPUT -i eth0 -p tcp --dport 80 -m hashlimit --hashlimit 1000/sec --hashlimit-burst 5000 --hashlimit-mode dstip --hashlimit-name hosts -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j REJECT

не блокируют пакеты SE-поисковых-роботов, и сопротивляется против http-лавинной-рассылки как: ab-n 1000-c 100 http://{хост} /

5
ответ дан 1 November 2019 в 13:01
  • 1
    " Позвольте компьютеру находиться тихий в течение приблизительно 10 секунд, и затем перезагрузки " Это ничего не делает на самом деле... – Fran Marzoa 6 September 2017 в 00:59

Другие вопросы по тегам:

Похожие вопросы: