Блог №200 по адресу 0708:07C7

Wild Player для DivMMC

Uzix — Sun, 19 Apr 2020 09:32:45 +0300

Немного хакнул Wild Player (плеер трекерной музыки для ZX Spectrum) для работы с DivMMC. За основу взял tap-версию 0.333.

UPD 2020-09-04: Обновил версию - исправлено зависание если вставлено 2 SD-карты.

Ссылки для скачивания:
wp_divmmc.z80
wp_divmmc.tzx

Особенность маршрутизации в Linux

Uzix — Thu, 06 Dec 2018 17:12:36 +0300

Про rp_filter в интернете не писал только ленивый. Но вот о чём редко пишут - rp_filter начисто игнорирует маркер пакета (nfmark, он же fwmark)! Т.е. если у вас настроена policy-based-routing с использованием ip rule fwmark, то обратный маршрут rp_filter будет рассчитывать неверно, что приведёт к тихому дропу пакетов. Что делать? Я вижу пару вариантов:

Отключить rp_filter на интерфейсе и прописать всё что он делает руками;
Использовать TOS для маркировки пакетов. Минусы - он восьмибитный, и ip rule не умеет применять к значению маску. К тому же нужно помнить, что TOS - не метаинформация внутри ядра, а реальное поле в IP-пакете со всеми вытекающими.

Есть также модуль iptables rpfilter. Он делает то же, что и встроенный в ядро rp_filter, но при этом его можно обвязать любыми (в рамках таблицы raw) правилами iptables. К сожалению, он доступен только для ядер >=3.3.

CMake: указание директорий для поиска библиотек

Uzix — Wed, 18 Apr 2018 11:21:46 +0300

При сборке ПО с использованием CMake иногда возникает необходимость указать нестандартный путь для поиска библиотек.
Сделать это можно следующим образом:

cmake -DPKG_CONFIG_USE_CMAKE_PREFIX_PATH=1 -DCMAKE_PREFIX_PATH=/opt/dsview/ ../

Оно работает!

Uzix — Fri, 13 Apr 2018 22:07:23 +0300

Наконец-то спустя недели освоения ПЛИС и Verilog удалось запрограммировать и испытать текстовый VGA/RS-232 терминал.
Вот как это выглядит:

А вот как это выглядит со стороны ПК:

Device : EP1C3T144C8
Timing Models : Final
Total logic elements : 412 / 2,910 ( 14 % )
Total pins : 46 / 104 ( 44 % )
Total virtual pins : 0
Total memory bits : 20,510 / 59,904 ( 34 % )
Total PLLs : 0 / 1 ( 0 % )

ОЗУ на моей отладочной плате, к сожалению, не предусмотрено. Поэтому приходится экономить по максимуму. Например, шрифт содержит только самые основные символы и только в верхнем регистре. Но оно работает!
Теперь буду прикручивать к этому процессор.

/dev во freebsd chroot

Uzix — Thu, 02 Mar 2017 12:59:28 +0300

Не нашёл в интернете хорошего решения, поэтому выкладываю тут.

Т.к. во FreeBSD нельзя сделать просто mknod в произвольном месте фс (вернее можно, но результат работать не будет с ошибкой "operation not supported"), то для доступа к устройствам внутри chroot приходится немного шаманить - а именно монтировать devfs с нужными нам устройствами.

Покажу на примере php-fpm. Создаём файл /usr/local/etc/rc.conf.d/php_fpm со следующим содержимым:

mount_devs() {
    for i in $php_fpm_chroots; do
        umount "${i}/dev" 2>/dev/null || true
        devfs_domount "${i}/dev" devfsrules_hide_all
        devfs -m "${i}/dev" rule apply path null unhide
        devfs -m "${i}/dev" rule apply path random unhide
        devfs -m "${i}/dev" rule apply path urandom unhide
    done
}

start_precmd="$start_precmd && mount_devs"

и в rc.conf дописываем:

php_fpm_chroots="/var/www1 /var/www2"

Создаём по нужным путям dev/, делаем рестарт сервиса - и после этого всё должно заработать.

https

Uzix — Wed, 01 Feb 2017 15:34:09 +0300

В связи с наметившейся тенденцией всяческого ущемления (понижение позиции в выдаче поисковиков, предупреждения о небезопасности в браузерах) сайтов, доступных только по http, а так же по причине необходимости повышения безопасности передаваемых данных, передо мной возникла задача внедрения https с минимальными материально-техническими затратами на внедрение и сопровождение.

Итак, возможны несколько подходов при внедрении https.
1. Использование самоподписанных сертификатов. Этот подход хорошо подходит для небольших частных сайтов, различных админок и подобной мелочи.
Плюсы такого подхода:
+ Ни от кого не зависим - сертификат можно самостоятельно сделать на любой домен, на любой срок. Обычный центр сертификации по очевидным причинам не станет подписывать сертификат для внутренних доменов (*.lan и т.п.).
+ Всё довольно просто - получить самоподписанный сертификат можно буквально в одну команду.
Минусы:
- При первом посещении сайта пользователю будет выдано предупреждение о недоверенном сертификате и необходимо будет добавить сертификат в список доверенных.
Для некоторых утилит часто неясно как или вовсе невозможно это сделать.

howto:

openssl req -x509 -newkey rsa:4096 -nodes -keyout key.pem -out cert.pem -days 365

2. Использование собственного центра сертификации. Оптимальный вариант для внутренних ресурсов организаций. К плюсам и минусам подхода №1 добавляется:
+ Опять же ни от кого не зависим - сертификат можно самостоятельно сделать на любой домен, на любой срок.
+ Централизованное управление выданными/отозванными сертификатами. Как бонусом - удобно мониторить истекающие сертификаты.
+ Для доверия к любому внутреннему ресурсу достаточно добавить всего один сертификат на всех клиентах. При системы центрального управления конфигурациями (active directory, ansible и т.п.) сделать это крайне просто.
- При компрометации сертификата центра сертификации автоматически компрометируются все серверы и клиенты, на которых он установлен. Т.к. x509 не предусматривает ограничений на выдаваемые центром сертификации сертификаты, то компрометируются в том числе и любые https соединения к любым серверам. Единственное что остаётся в безопасности - клиенты, использующие привязку к сертификату (certificate pinning).
- Собственный центр сертификации относительно сложно настроить. Нельзя просто скопировать первый рецепт с serverfault - нужно понимать что и зачем делать.

howto:
Не существует быстрого и универсального пути, но для себя я написал небольшой скрипт, обладающий минимальным функционалам по созданию ЦС, созданию и подписи ключей и сертификатов. Скрипт далеко не идеальный, но длительное время он служил мне верой и правдой.

#!/bin/bash -xe

export OPENSSL_CONF=cnf

a="$1"
shift || true
n="$1"
o="$2"

cd "`dirname $0`"
umask 0007

case "$a" in
  gen)
    test -n "$n"
    openssl genrsa 2048 >private/$n

    cp "$OPENSSL_CONF"{,.tmp}
    export OPENSSL_CONF="$OPENSSL_CONF.tmp"
    echo '[ alt_names ]' >> "$OPENSSL_CONF"
    cnt=1
    while (( "$#" )); do
        echo "DNS.$cnt = $1" >> "$OPENSSL_CONF"
        (( cnt++ ))
        shift
    done
    
    openssl req -new -key private/$n -subj "/C=RU/ST=Belgorod/O=IVTBSU/OU=CA/CN=$n" >csr.$n
    openssl req -text -noout     openssl ca -batch -notext -extensions server -in csr.$n >cert/$n
    rm csr.$n
  ;;
  genca)
    mkdir ca cert private dh || true
    openssl genrsa 4096 >ca/key
    openssl req -new -key ca/key -subj "/C=RU/ST=Belgorod/O=IVTBSU/OU=CA/CN=ivt.su" >ca/csr
    openssl x509 -req -days 10000 -in ca/csr -signkey ca/key >ca/crt
    rm ca/csr
    echo 100001 >ca/srl
    echo 100001 >ca/crlnum
    touch ca/index
    openssl ca -gencrl >ca/crl
  ;;
  gendh)
    test -r cert/$n
    openssl dhparam -in cert/$n 1024 >dh/$n
  ;;
  revoke)
    test -r cert/$n
    openssl ca -revoke cert/$n
    openssl ca -gencrl >ca/crl
    rm cert/$n private/$n
  ;;
  public)
    openssl rsa -in cert/$n -pubout
  ;;
  info)
    openssl x509 -in cert/$n -text
  ;;
  chown)
    test -n "$o"
    for i in dh cert private; do
      test -r "$i/$n" || continue
      chmod 0400 "$i/$n"
      chown $o:wheel "$i/$n"
    done  
  ;;
  *)
    echo "Usage: $0 "
    exit 1
  ;;
esac

Так же понадобится файл конфигурации openssl (cnf):

[ ca ]
default_ca = myca

[ crl_ext ]
# issuerAltName=issuer:copy  #this would copy the issuer name to altname
authorityKeyIdentifier = keyid:always

[ myca ]
dir              = ./ca
new_certs_dir    = $dir
unique_subject   = no
certificate      = $dir/crt
database         = $dir/index
private_key      = $dir/key
serial           = $dir/srl
default_days     = 730
default_md       = sha256
policy           = myca_policy
x509_extensions  = myca_extensions
crlnumber        = $dir/crlnum
default_crl_days = 730

[ myca_policy ]
commonName             = supplied
stateOrProvinceName    = supplied
countryName            = optional
emailAddress           = optional
organizationName       = supplied
organizationalUnitName = optional

[ myca_extensions ]
basicConstraints       = CA:false
subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid:always
keyUsage               = digitalSignature,keyEncipherment
extendedKeyUsage       = serverAuth
crlDistributionPoints  = URI:http://CHANGE.ME/root.crl
nsComment              = "OpenSSL Generated Certificate"
subjectAltName         = @alt_names


[ req ]
default_md             = sha256
distinguished_name     = req_distinguished_name
#attributes            = req_attributes
x509_extensions        = v3_ca
req_extensions         = v3_req
[ v3_req ]
subjectAltName         = @alt_names
[ v3_ca ]
subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints       = CA:true

[ req_distinguished_name ]
countryName                  = Country?
countryName_default          = RU
stateOrProvinceName          = State?
stateOrProvinceName_default  = Belgorod obl.
localityName                 = City?
localityName_default         = Belgorod
0.organizationName           = Organization?
0.organizationName_default   = Home
commonName                   = Domain?
commonName_default           = change.me
emailAddress                 = Email?
emailAddress_default         = ca@change.me

[ server ]
basicConstraints       = CA:FALSE
nsCertType             = server
nsComment              = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid,issuer:always
extendedKeyUsage       = serverAuth
keyUsage               = digitalSignature, keyEncipherment
subjectAltName         = @alt_names

[ client ]
basicConstraints       = CA:FALSE
nsComment              = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid,issuer:always
extendedKeyUsage       = clientAuth
keyUsage               = digitalSignature

3. Использование публичного центра сертификации. Фактически единственный приемлемый вариант для публичных сайтов.
+ Все клиенты по умолчанию будет доверять вашему сертификату.
- Нужно проходить процедуру верификации для подтверждения владения доменом, при чём домен, очевидно, должен быть публичным.
- Центр сертификации может накладывать собственные ограничения на параметры сертификата. Например, Let's Encrypt выдаёт сертификаты не более чем на ~3 месяца и не допускает использования widcard в доменном имени.
- Большинство центров сертификации хотят денег.

howto:
Я буду использовать let's encrypt (LE) т.к.
1. Он бесплатный;
2. Процедура получения и обновления сертификатов автоматизирована.
Всю грязную работу будет выполнять утилита acme-tiny:

 pkg install acme-tiny

Вряд ли кому-то доставит удовольствие поддерживать сертификаты для нескольких десятков доменов, особенно с учётом срока годности сертификатов LE (~3 месяца). Поэтому я набросал небольшой скрипт. Он автоматически создаёт ключи и сертификаты для указанных доменов и, при близости срока их истекания, проводит обновление.
Предварительная подготовка:

# mkdir -p /var/www/le
# mkdir /etc/ssl/le
# cd /etc/ssl/le
# openssl genrsa 4096 >LE.key

Собственно, сам скрипт:

#!/bin/sh -e

cd "$(dirname $0)"


isok() {
  name="$1"; domains="$4"
  test -r "$name.key" || return 1
  test -r "$name.crt" || return 1
  openssl x509 -in "$name.crt" -checkend 2592000 -noout || return 1
  f1="`mktemp`"; echo "$domains" |tr : '\n' |sort >"$f1"
  f2="`mktemp`"; openssl x509 -in "$name.crt" -text |egrep -m1 '^ +DNS:' |sed -e 's/ *DNS://g' |tr , '\n' |sort >"$f2"
  set +e
  diff -q "$f1" "$f2" >/dev/null
  ret=$?
  set -e
  rm "$f1" "$f2"
  test "$ret" = 0 || return 1
  return 0
}

upd() {
  name="$1"; group="$2"; service="$3"; domains="$4"
  echo "Generating $name..." >&2
  cnff="`mktemp`"
  test -r "$name.key" || openssl genrsa 4096 >"$name.key"
  cat /etc/ssl/openssl.cnf >"$cnff"
  echo "$domains" | awk -vRS=: 'BEGIN{printf "[SAN]\nsubjectAltName="}notfirst==1{printf ","}{printf "DNS:"$0; notfirst=1} ' >>"$cnff"
  openssl req -new -sha256 -key $name.key -subj "/" -reqexts SAN -config "$cnff" > "$name.csr"
  rm "$cnff"
  acme_tiny --account-key LE.key --csr "$name.csr" --acme-dir /var/www/le/ > "$name.crt"
  rm "$name.csr"
  curl -s https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem >> "$name.crt"
  cat "$name.crt" "$name.key" >"$name.pem"
  chgrp "$group" "$name.key" "$name.crt" "$name.pem"
  chmod o-rwx    "$name.key" "$name.crt" "$name.pem"
  test "$service" = '-' || service "$service" reload
}

cat << EOF |grep -v -e^# -e^$ |while read i; do isok $i || upd $i; done

# name    group    service    dns1.example.com:dns2.example.com
web       www      nginx      err200.net:www.err200.net:ftp.err200.net
imap      dovecot  dovecot    imap.err200.net:pop3.err200.net:pop.err200.net
irc       ircd     inspircd   irc.err200.net
EOF

Добавляем в cron:

@monthly /etc/ssl/le/upd.sh

Самое время настроить веб-сервер. Я сделаю это на примере nginx. Let's encrypt верифицирует домен путём загрузки через http файла со случайно сгенерированным именем, нужно это учесть.
Создаём /etc/nginx/lessl.conf:

listen 443 ssl http2;

add_header Strict-Transport-Security "max-age=31536000";

location ^~ /.well-known/acme-challenge/ {
    alias /var/www/le/;
    try_files $uri =404;
    auth_basic off;
}

Теперь в конфиг нужных server'ов просто пишем

include lessl.conf;

... делаем service nginx reload и запускаем скрипт. Если всё сделано правильно - скрипт отрапортует "Certificate signed!" столько раз, сколько в нём указано сертификатов.
Всё, можно прописывать в server'ах:

ssl_certificate /etc/ssl/le/web.crt;
ssl_certificate_key /etc/ssl/le/web.key;

... и сайт должен заработать по https.

При использовании реверс прокси может возникнуть проблема редиректов с https на http внутри сайта. Решается она очень просто:

proxy_redirect default;
proxy_redirect http:// $scheme://;

Или для haproxy:

http-response replace-value Location http://(.*) https://\1 if { dst_port 443 }

На этом всё.

...

Uzix — Thu, 10 Nov 2016 16:22:26 +0300

An aircraft company discovered that it was cheaper to fly its planes with less fuel on board. The planes would be lighter and use less fuel and money was saved. On rare occasions however the amount of fuel was insufficient, and the plane would crash. This problem was solved by the engineers of the company by the development of a special OOF (out-of-fuel) mechanism. In emergency cases a passenger was selected and thrown out of the plane. (When necessary, the procedure was repeated.) A large body of theory was developed and many publications were devoted to the problem of properly selecting the victim to be ejected. Should the victim be chosen at random? Or should one choose the heaviest person? Or the oldest? Should passengers pay in order not to be ejected, so that the victim would be the poorest on board? And if for example the heaviest person was chosen, should there be a special exception in case that was the pilot? Should first class passengers be exempted? Now that the OOF mechanism existed, it would be activated every now and then, and eject passengers even when there was no fuel shortage. The engineers are still studying precisely how this malfunction is caused.

Источник

О Mikrotik

Uzix — Fri, 12 Aug 2016 13:53:26 +0300

Не так давно я заимел в личное пользование маршрутизатор Mikrotik RB951Ui-2HnD, и в этой заметке хочу поделиться впечатлениями от работы с данным устройством.

Ну, во-первых, что сразу бросается в глаза? Это Winbox - утилита для настройки. Тысяча и одна настройка, множество менюшек и кнопочек вызывают прямо-таки щенячий восторг у искушённого человека. Более того, всё это великолепие доступно через командный интерфейс, прямо как во "взрослых" маршрутизаторах. В каком ещё домашнем устройстве можно встретить такое?
Но первоначальный хайп быстро уходит, и в ходе настройки устройства под свои потребности довольно скоро понимаешь что Микротик - это не более чем красивая обёртка с довольно тусклыми возможностями.

Небольшая ремарка - Микротик брался на замену TP-Link'у с OpenWRT (и вечно падающим Wi-Fi, да). Соответственно, я ожидал что он сможет покрыть тот скромный функционал, который давал мне OpenWRT. Наивный...

Итак, что не так с Микротик (исключительно ИМХО):

1. OpenVPN-клиент - это недоразумение. Нет UDP, нет сжатия, ~~нет keepalive~~. Злые языки говорят что есть ещё ограничение на количество маршрутов, получаемое при push. Специально под Микротик мне пришлось поднимать дополнительный сервер OpenVPN со своим набором настроек.

2. RIP и PPTP - неработоспособная связка. Входящие пакеты есть, но Микротик их упорно игнорирует и сам ничего не рассылает. При этом OSPF работает на ура.

3. В DNS-сервере нет функционала по форвардингу указанных доменов на отдельные DNS-сервера (благо, решается с помощью iptables и layer7-фильтров с километровыми regex). Да и вообще, встроенный DNS-сервер (если сравнивать с dnsmasq) - недоразумение из категории "Роутер за 300".

4. Нет абсолютно никакой возможности вести хотя бы простейший учёт трафика своими силами (без MetaROUTER или внешних серверов).

5. Во многих настройках принимается только IP-адрес, либо принимается домен, который при сохранении резолвится в IP. Приходится городить скрипты, следящие за доменным именем и обновляющие настройки.

6. Слабая система журналирования: в info пишется слишком мало, а в debug - уже слишком много.

7. Велосипеды, всюду свои велосипеды. Свой скриптовый язык, свой iperf, свои реализации всех сервисов. И это неприятней чем кажется.

По мере накопления опыта данный список будет дополняться.

В целом, маршрутизаторы Mikrotik обладают хорошим железом и средним ПО, способным удовлетворить нужды обыкновенной домохозяйки, но не более того.

Применение m4 для генерации конфигурации

Uzix — Sun, 05 Jun 2016 17:43:29 +0300

В данной заметке я хочу рассказать о существовании замечательной утилиты - макропроцессора m4.
Заметка носит ознакомительный характер и не ставит целью описание нюансов m4 (RTFM!).

Любой *nix-системный администратор сталкивался с проблемой громоздкости и избыточности конфигурационных файлов. Так, некоторое ПО (php-fpm) не поддерживает наследование секций конфигурации (хотите новый пул в php-fpm, отличающийся лишь директорией и пользователем? будьте добры скопипасьте и все остальные 9000 параметров для нового пула). Другое же ПО (nagios) - несмотря на мощные возможности наследования - имеет довольно громоздкий формат конфигурационных файлов.

Обычно подобные проблемы решают двумя путями: скрипты-генераторы конфигов и системы управления конфигурацией (ansible, puppet). Первый подход мне не нравится своей... неэлегантностью что-ли. О втором же подходе (до некоторой поры) можно сказать - "из пушки по воробьям".

Чем же может помочь m4? m4 - ПО, предназначенное для преобразования входных текстовых данных согласно некоторому набору правил (макросов). Сами макросы могут быть как предопределёнными в m4, так и определяемыми во входных данных (файле конфигурации).

К слову, количество "мусорных" строк в конфигурации Nagios вгоняло меня в уныние с первых дней знакомства с системой. Поэтому, узнав о существовании m4, я решил опробовать этот инструмент именно на Nagios. И результат превзошёл все мои ожидания.
Вот пример старой конфигурации:

define host {
    use                 generic-server
    host_name           my-server-1234
    address             1.2.3.4
}

define service {
    use                 service-ping
    host_name           my-server-1234
}

define service {
    use                 service-ssh
    host_name           my-server-1234
    _port               2222
}

define service {
    use                 service-tcp
    host_name           my-server-1234
    service_description SSH honeypot
    _port               22
}

define service {
    use                 service-users
    host_name           my-server-1234
}

... и ещё около сотни строк в таком же духе

А вот новая:

add( my-server-1234, 1.2.3.4, (), (
    ( ping ),
    ( ssh, _port 2222 ),
    ( tcp, service_description SSH honeypot, _port 22 ),
    ( users ),
    ( procs ),
    ( mem ),
    ( load ),
    ( conns ),
    ( disk ),
    ( proc, service_description App servers, _warn 1:1, _crit 1:1, _proc java ),
    ( filelines, service_description App users, _file /var/db/app/usersdump.txt, _pattern Nobody online, _args -v ),
))

Выгода, как мне кажется, очевидна. На минимальное изучение m4, составление макросов, и переписывание конфигурации Nagios (~100 сервисов) ушло менее одного дня. Более объёмные конфигурации можно переписывать небольшими порциями - весь текст в файле, не являющийся макросами m4, будет скопирован на выход без изменений.

Помимо очевидного плюса (сокращение писанины и копипасты), данный подход имеет парочку неприятных минусов:

После редактирования конфигурации необходимо не забывать запускать m4;
Некоторые символы и слова требуют специального внимания т.к. могут быть интерпретированы в m4.

На мой взгляд, данные минусы не являются критичными, и m4 заслуживает быть добавленным в арсенал системного администратора.

ГОСТ шифр

Uzix — Tue, 17 May 2016 10:06:30 +0300

В данной статье решается задача создания защищённого соединения с сервером госзакупок с минимизацией необходимости дальнейшей поддержки решения.

1. Ставим OpenSSL версии >= 1.0.1 (с этой версии в основном дереве исходных кодов появилась поддержка ГОСТ), её заголовочные файлы, компилятор.

2. По умолчанию поддержка ГОСТ выключена. Для её включения в начало файла /etc/ssl/openssl.cnf перед первой секцией прописываем:

openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = /usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/libgost.so
default_algorithms = ALL
CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet

3. Многие программы (в т.ч. старые версии PHP) не читают конфиг OpenSSL, поэтому их нужно патчить. Т.к. поддерживать патченный PHP довольно накладно, то будем использовать stunnel.

4. stunnel версии 4.55 (последней на момент написания статьи) без патчей тоже не читает конфиг OpenSSL. Распаковываем исходники, патчим их, собираем всё это:

wget http://cryptocom.ru/opensource/stunnel-4.55-cp2.diff
mkdir -p /opt/stunnel-gost/src/
cd /opt/stunnel-gost/src/
tar xzvf ~/stunnel-4.55.tar.gz
patch -p1 <~/stunnel-4.55-cp2.diff
./configure --prefix=/opt/stunnel-gost/
make install

UPD: На момент публикации статьи файл с оригинальным патчем более недоступен по указанной ссылке. Посему выкладываю его здесь:

diff -Nur -X - stunnel-4.55/src/ssl.c stunnel-gost/src/ssl.c
--- stunnel-4.55/src/ssl.c      2012-08-10 01:44:18.000000000 +0400
+++ stunnel-gost/src/ssl.c     2015-08-19 16:01:41.000000000 +0300
@@ -59,6 +59,9 @@
 }
 
 int ssl_configure(GLOBAL_OPTIONS *global) { /* configure global SSL settings */
+    OPENSSL_config(NULL);
+    OpenSSL_add_all_algorithms();
+    SSLeay_add_ssl_algorithms();
 #ifdef USE_FIPS
     if(FIPS_mode()!=global->option.fips) {
         RAND_set_rand_method(NULL); /* reset RAND methods */

5. Прописываем в /opt/stunnel-gost/etc/stunnel/stunnel.conf:

foreground = yes
debug = 6
setuid = proxy
setgid = proxy
pid = /tmp/stunnel.pid

socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

verify = 3
cert = /opt/stunnel-gost/etc/stunnel/clientcert.pem
key = /opt/stunnel-gost/etc/stunnel/clientprivatekey.pem
CAfile = /opt/stunnel-gost/etc/stunnel/servercert.pem

[n1]
client = yes
accept  = 1443
connect = int223.zakupki.gov.ru:443
ciphers = GOST2001-GOST89-GOST89
TIMEOUTclose = 0

[n2]
client = yes
accept  = 1444
connect = intfz04.lanit.ru:443
ciphers = GOST2001-GOST89-GOST89
TIMEOUTclose = 0

6. Создаём init-файл для upstart (/etc/init/stunnel-gost.conf):

start on runlevel [2345]
stop on runlevel [016]
respawn
respawn limit 10 5
setuid root
setgid root
chdir /opt/stunnel-gost
exec /opt/stunnel-gost/bin/stunnel /opt/stunnel-gost/etc/stunnel/stunnel.conf

Готово. Все запросы на http://127.0.0.1:1443/ будут проксироваться на https://int223.zakupki.gov.ru:443/.