Неможливо отримати від github, помилку рукостискання sslv3


10

У нас є сценарій, який завантажує модульну безпеку з github, який нещодавно почав виходити з ладу. Сервери працюють під управлінням CentOS 6, але RHEL 6, ймовірно, має таку ж проблему. Вихід:

# wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
--2014-07-22 18:49:46--  https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving github.com... 192.30.252.129
Connecting to github.com|192.30.252.129|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz [following]
--2014-07-22 18:49:47--  https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving cloud.github.com... 54.230.99.219, 205.251.219.190, 54.230.97.212, ...
Connecting to cloud.github.com|54.230.99.219|:443... connected.
OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Unable to establish SSL connection.

Будь-які ідеї, як виправити чи вирішити це?


2
використовуйте інший додаток, наприкладcurl
Рабін

2
Якщо бути більш конкретним, і 54.230.99.219, і декілька (різних) A, які я отримую для cloud.github.com, дають збій рукостискання s_client без можливості для ServerNameIndication. serverfault.com/questions/560053/… (кілька місяців тому) каже, що RedHat wget не робить SNI, але згортає.
dave_thompson_085

Вам пощастило прийняти мою відповідь
Антон Дозорцев

Ну, якщо чесно, я вважаю за краще, якби @ dave_thompson_085 чи Рабін розмістили свої коментарі як відповіді, оскільки я бачу це як більш довгострокове рішення, навіть якщо ваше вирішення також чудово працює!
Крістофер

Відповіді:


2

Якщо я не помиляюся, ви маєте на увазі це репо . Спробуйте отримати форму URL- релізів .

Цей випадок працює для мене:

$ wget https://github.com/SpiderLabs/ModSecurity/archive/v2.8.0.tar.gz

PS У мене також є те саме повідомлення про помилку при спробі запуску вашої справи;

$ wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

Хм, ця URL-адреса не має md5, хоча :(
Крістофер

raw.githubusercontent.com/$ {USER} / $ {REPO} /path/to/file.tar.gz
Максим Костромін

10

Ви можете скористатися curlкомандою, щоб завантажити його:

curl -LO https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

5
curl -L -Oє кращою заміною wget, оскільки це слід за перенаправленнями HTTP (особливо корисно тут, оскільки Github хоче вказати мені на свій CDN).
дивні особливості

Крім того, одна річ, з якою я зіткнувся з версіями в CentOS 6.5, - це те, що він curlпідтримує SNI і wgetне робить його, тому для деяких сайтів wgetіноді буде подано сертифікат для неправильного хоста та отримати збій сертифікату, навіть якщо він curlпрацює нормально.
rakslice

7

Сторона сервера відключила рукостискання шифрування SSLv3 через серйозні проблеми із безпекою. Більше того, ваш клієнт wget є застарілою версією і досі використовує за замовчуванням це шифрування SSLv3. У вас є 2 варіанти:

  • використання --secure-протокол = прапор TLSv1 перед wget. wget --secure-protocol=TLSv1
  • встановіть оновлену версію wget, яка використовує протокол TLSv1 за замовчуванням

5

Ви повинні перевірити версію wget.

У мене була така ж проблема зі старими версіями wget(<1.15).


2
Схоже, це має бути коментарем до питання, а не відповіддю.
Danny Staple

0

Що стосується способу вирішення, якщо ви довіряєте хосту, спробуйте вказати --no-check-certificateабо додати:

check_certificate = off

у свій ~/.wgetrc(не рекомендується).

У деяких рідкісних випадках це спричинено вашим системним часом, який може бути не синхронізований, тому недійсні сертифікати, які працювали раніше.


-1

Спробуйте це:

update-crypto-policies --set LEGACY

3
Ласкаво просимо на сайт і дякуємо за ваш внесок. Ви б проти зайнятись редагуванням своєї публікації, щоб включити пояснення, зокрема, який із симптомів, описаних ОП, приводить вас до висновку, що криптовалюта є проблемою, і чому зміна їх таким чином може їх вирішити? Ідея полягає у тому, щоб відповіді були максимально автономними, щоб вони були корисні не лише ОП, але й іншим, хто стикається з подібними проблемами.
AdminBee

1
Якщо це інструмент, представлений RHEL 8, вам слід сказати це, а також усвідомити, що це питання стосується RHEL6.
Джефф Шаллер
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.