diff options
author | Silvio Rhatto <rhatto@riseup.net> | 2024-02-24 15:03:05 -0300 |
---|---|---|
committer | Silvio Rhatto <rhatto@riseup.net> | 2024-02-24 15:03:05 -0300 |
commit | c1b973a39a5be58eb4465603b971235ed7fedd4d (patch) | |
tree | 4cd1890930fa3ee59e244a9d963592a7b51979d4 /cryptocalypse.md | |
parent | 3541adeafcdb79efdedc1f9d29a3bca15571c611 (diff) | |
download | padrao-c1b973a39a5be58eb4465603b971235ed7fedd4d.tar.gz padrao-c1b973a39a5be58eb4465603b971235ed7fedd4d.tar.bz2 |
Feat: migrate docs from Ikiwiki to MkDocs
Diffstat (limited to 'cryptocalypse.md')
-rw-r--r-- | cryptocalypse.md | 93 |
1 files changed, 0 insertions, 93 deletions
diff --git a/cryptocalypse.md b/cryptocalypse.md deleted file mode 100644 index 0ccb1b2..0000000 --- a/cryptocalypse.md +++ /dev/null @@ -1,93 +0,0 @@ -Cryptocalypse! -============== - -Procedimento emergencial de rotação de chaves. Ou, como sobreviver a brechas do tipo [Heartbleed](http://heartbleed.com/)! - -Começando ---------- - -Proceda com a [configuração do ambiente de trabalho administrativo](/install). - -Atualizando ------------ - -Se for possível e desejável, faça upgrade geral - - hydra $HYDRA mass-upgrade - -Gerando novas chaves SSH ------------------------- - -Na máquina do/a administrador: - - hydra $HYDRA newkeys all-ssh - -Para cada nodo usado no git público: - - cp $FOLDER/puppet/keys/ssh/$nodo/"$nodo"_id_rsa.pub $FOLDER/git/public/keydir/root@$nodo.$DOMAIN.pub - - ( cd $FOLDER/puppet && git add . && git commit -m "Gerando chaves ssh" && git push ) - ( cd $FOLDER/git/public && git add . && git commit -m "Gerando chaves ssh" && git push ) - -Chaves do Puppet ----------------- - -[Reset da infra de CA do puppet](certs/puppet). - -Certificados SSL ----------------- - -[Gere novos certificados SSL](certs). - -Chaves SSH dos ikiwikis ------------------------ - - WIKIS="lista de ikiwikis" - NODE="aziz" - - for wiki in $WIKIS; do - ssh-keygen -t rsa -P '' -b 4096 -f $FOLDER/puppet/keys/ssh/$NODE/ikiwiki/"$wiki"_id_rsa -C "$wiki@$wiki.$DOMAIN" - cp $FOLDER/puppet/keys/ssh/aziz/ikiwiki/"$wiki"_id_rsa.pub $FOLDER/git/public/keydir/$wiki@$wiki.$DOMAIN.pub - done - - ( cd $FOLDER/puppet && git add . && git commit -m "Gerando chaves para ikiwiki" && git push ) - ( cd $FOLDER/git/public && git add . && git commit -m "Gerando chaves para ikiwiki" && git push ) - -Tor ---- - -A parte fácil: - - hydra $HYDRA mass-web /etc/init.d/tor stop - hydra $HYDRA mass-web rm -rf /var/lib/tor/hidden - hydra $HYDRA mass-web mkdir /var/lib/tor/hidden - hydra $HYDRA mass-web chown debian-tor. /var/lib/tor/hidden - hydra $HYDRA mass-web /etc/init.d/tor start - -Isso precisa ser feito manualmente para outros serviços (por exemplo email e ssh): - - cd `hydra $HYDRA folder`/puppet - grep -R onion hiera - grep -R onion manifests - grep -R onion modules/site_* - -Monte uma lista de servidores e proceda com a regeneração: - - SERVERS="galdino satanito magaiver" - - for server in $SERVERS; do - hydra $HYDRA exec $server /etc/init.d/tor stop - hydra $HYDRA exec $server rm -rf /var/lib/tor/hidden - hydra $HYDRA exec $server mkdir /var/lib/tor/hidden - hydra $HYDRA exec $server chown debian-tor. /var/lib/tor/hidden - hydra $HYDRA exec $server /etc/init.d/tor start - done - -Em seguida, colete os novos hostnames e atualize os `ServerAlias` dos sites e outras referências: - - hydra $HYDRA mass-web hydractl hidden-services - -Senhas de usuário ------------------ - -O procedimento deve variar de aplicação para aplicação. Por exemplo, para o drupal há o [Force password change](https://drupal.org/project/force_password_change). |