Notatnik

W weekend zainstalowałem na swoim iPhone aplikację do publikowania zdjęć. Nazbierała mi się ich już pewna ilość, więc stwierdziłem, że najwyższy czas zrobić z nimi porządek.

Początkowo szukałem jakiejś aplikacji do picasy googla, ponieważ tam mam najwięcej swoich zdjęć w sieci. Niestety nie znalazłem niczego za free.  Znalazłem całkiem w AppStore dobry interfejs do systemu Flickr. Aplikacja posiada prosty interfejs za którego pomocą można wgrywać fotki, katalogować je, opisywać, dodawać tagi, przeglądać… no i jest za darmo

Wszystkie zdjęcia które tam opublikowałem, zrobiłem telefonem, więc ich jakość jest jaka jest i inna nie będzie

Tak w skrócie, to od października jeździmy z catleen na zajęcia w ramach Akademii Cisco organizowanej przez PJWSTK.  Przygotowujemy się do pierwszego z certyfikatów w ścieżce – CCNA.

Tak się szczęśliwie złożyło, że udało nam się zaliczyć materiał z dwóch pierwszych modułów – Network Fundamentals oraz Routing Protocols and Concepts.  Z tej okazji dostaliśmy Certyfikat ukończenia tego etapu kursu, oraz list gratulacyjny z Cisco

Dzisiaj zaczęliśmy kolejny etap Akademii – Switching and Wireless, przed nami jeszcze WAN Technologies, no i …. CCNA, więc trzymać kciuki!

Sep 17 18:35:25 shell sshd[59982]: Invalid user deutch from 217.133.97.38
Sep 17 18:35:31 shell sshd[59984]: Invalid user german from 217.133.97.38
Sep 17 18:35:34 shell sshd[59986]: Invalid user hitler from 217.133.97.38
Sep 17 18:35:41 shell sshd[59993]: Invalid user deutchland from 217.133.97.38
Sep 17 18:35:41 shell sshguard[80272]: Blocking 217.133.97.38: 4 failures over 16 seconds.

hitler, nie wszedł  

Jeśli ktoś musi (chce) mieć wystawiony port 22 dla całego internetu musi liczyć się z tym, że po niedługim czasie w logach serwera zacznie się pojawiać lawina nieudanych prób zalogwania na całkiem przypadkowe konta.

Na szczęście jest na to sposób. Jakiś miesiąc temu natknąłem się przypadkowo (szukając zupełnie czegoś innego ) na program o nazwie sshguard. W systemie FreeBSD skrypty instalacyjne podpinają go do syslog.conf w ten sposób:

auth.info;authpriv.info     |exec /usr/local/sbin/sshguard

W domyślnej konfiguracji cztery próby w ciągu dwóch sekund zakończone niepowodzeniem są identyfikowane jako działanie bota i adres IP z którego były nawiązywane połączenia jest blokowany. U mnie odbywa się to za pomocą  tcpwrappers (wpis do hosts.allow).

Ze strony projektu można się dowiedzieć, że isnieje możliwość zintegrowania sshguarda z różnego rodzaju firewallami. Np. pf, ipfw, iptables. Poza sshd, potrafi analizować też logi proftpd, pure-ftpd, ftpd (FreeBSD), dovecota, UWimap.

Zanim napisałem tego posta, zerknąłem na auth.loga z ostatniego miesiąca i stwierdzam, że ostatnia aktywność botów ssh, była 12-go stycznia b.r.  To dosyć dawno jak na publicznie otwarty port 22. Więc albo ludzie pokasowali wirusy i pozaciągali Windows Update, albo sshguard odstraszył  botnety i trafiłem na jakieś ich ignore-listy lub coś w tym stylu

Jakiś czas temu wstawiłem do sieci w bloku podpiętej do łącza AsterCity mikrotika. Zastąpił on wykorzystywanego do tej pory tp-linka. Konfiguracja łącza jest banalnie prosta.

• Na interfejsie od providera uruchamiamy klienta DHCP

/ip dhcp-client add interface=ether1 disabled=no

• Konfigurujemy pulę adresów dla serwera DHCP

/ip pool add name=lan ranges=192.168.0.100-192.168.0.254

• Uruchamiamy serwer DHCP na interfejsie lokalnym

/ip dhcp-server add name=lan-srv address-pool=lan disabled=no

• Odpalamy natownicę

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

Tyle powinno wystarczyć aby uruchomić internet. w lanie Jak już będzemy mieli działający internet, warto powyłączać nieużywane usługi. Ja np. zostawilem włączone tylko ssh no i port rs232 Dodatkowo ograniczyłem możliwość logowania się przez ssh do kilku zaufanych IP.

Mikrotik potrafi również rozpoznawać pakiety P2P, obsługuje różnego rodzaju kolejki, potrafi dynamicznie zarządzać pasmem. To nie koniec. Obsługuje kilka typów  połączeń VPN (np. ipsec, pptp, openvpn). Posiada również zestaw narzędzi umożliwiających prowadzenie monitoringu sieci

Jestem bardzo zadowolony z tego sprzętu. Może nie jestem jakimś power-userem mikrotików. Sieć którą on obsługuje liczy ok. 8 hostów i podłączony jest pod pasmo 3Mb/512kb i wysmienicie daje sobie rade. A to jest mój routerboard

Wraz z systemem FreeBSD dostarczany jest sendmail. Na pewno wielu kojarzy ten serwer Dzisiaj zacząłem go konfigurować we wszystkich jailach (poza tym z postfixem) aby umożliwić przepływ komunikatów systemowych prosto na moją skrzynkę.

W tej konfiguracji jail z postfixem jest smarthostem dla pozostałych systemów na serwerze. Aby uruchomić sendmaila aby smarthostował pocztę do innego hosta wykonujemy takie czynności:

W pliku /etc/rc.conf

sendmail_enable=”NO”

w pliku: /etc/mail/freebsd.mc

Odszukujemy:

dnl define(`SMART_HOST’, `xxxxx’)

następnie kasujemy „dnl ” oraz ustawiamy  adres naszego smarthosta.W pliku /etc/mail/aliases ustawiamy:

root: ja@domena.pl

wykonujemy serię poleceń:

cd /etc/mail

make

make install

/etc/rc.d/sendmail start

I tyle.  Wszystko ładnie pięknie działa między jailami , ale niestety jeszcze nie uporałem się z błędami sendmaila w basesystemie. Ale chyba to już zostawię na jutro. W końcu też będzie jeszcze dzień….

Dzisiaj minął pierwszy dzień konferencji. Napiszę może kilka słów na temat prelekcji na których byłem.

• Projektowanie korporacyjnego klastra pocztowego

Temat interesujący…. niestety tylko temat. Autor prelekcji właściwie na kolejnych slajdach po łebkach omówił poszczególne MTA, serwery IMAP,POP3, systemy antyspamowe. Mogliśmy się np. dowiedzieć, że Exim jest fajny bo ma bardzo elastyczny system konfiguracji, czytelne logi i wbudowaną obsługę spamd oraz av. No zgadza się… ale co w tym odkrywczego?

• PC-BSD: FreeBSD on the Desktop

Jeden z moich faworytów dnia dzisiejszego. Prezentacja poprowadzona z jajem przez Matt’a Olandera. Matt bardzo szybko nawiązał żywy kontakt z publicznością. W dużym stopniu dzięki fajnemu poczuciu humoru Jeśli chodzi o stronę merytoryczną  udało mu się pokazać kilka ciekawych rzeczy w tym systemie. Np. możliwość instalowania oprogramowania zupełnie tak jak windowsowe paczki zrobione installshieldem. Drugą ciekawą rzeczą to okienkowy interfejs to zarządzania usługami uruchamianymi w systemie. PC-BSD posiada również graficzny interfejs do PF’a. W trakcie bootowania systemu ładowany jest już zestaw domyśnych regół pf’a.

• Technologia Solaris Zones

Każdy użytkownik Solarisa na pewno wie co to jest Zones to system umożliwiający uruchamianie virtualnych systemów operacyjnych. W uproszczeniu można ten mechanizm porównać do takich technologii jak XEN czy Jail. Wykład dosyć ciekawy. Na pewno może być inspiracją do dalszej exploracji tego tematu. W trakcie prelecji została przedstawiona architektura tego systemu oraz podstawowe polecenia służące do zarządzania zonami. Można było wygrać jakieś gadżety od Suna

• New features and improvements in FreeBSD 7

Wykład który na pewno mógł zainteresować wielu użytkowników FreeBSD. Na wielu prezentowanych benchmarkach Widać było że „siódemka” wymiata. Zostawia w tyle nawet linuksa z kernelem 2.6.x w zastosowaniach bazodanowych (postgreSQL, MySQL). W  FreeBSD 7.0 został zaimplementowany nowy lepszy scheduler: ULE. Będzie można z niego skorzystać po rekompilacji kernela. W wersji 7.1 ma zastąpić dotychczasowy 4BSD. Lepsza obsluga SMP itd… ogólnie zapowiada się bardzo obiecująco.

Podmiot liryczny stara się rozwikłać zagadkę samoistnie poruszającego się kursora myszki  w takcie kiedy on ogląda film. Niestety niczym Konrad jest on osamotniony w swoich zmaganiach ze złośliwym hackerem oraz bezduszną maszyną która nie chce go słuchać.

============

hej

ostatnio zauważyłem ze podczas oglądania filmu, mysza mi sie zaczeła ruszać tak jakby ktos sobie zrobił włam do mojego kompa
kilka razy podczas oglądania filmu, potem to ucichło

zauwazyłem ze jak klikam w MOIM KOMPUTERZE, prawym na dyski to wyskakuje bład explorera i w ogóle sie nie wyświetla menu

PRZESKANOWAŁEM kompa nortonem, mks online, spyaudit, spyware doctor, spy sweeper, spybot search & destroy, i jeszcze chyba kilkoma, po prostu wszystkim co znalazłem

Zmieniłem myszke na zwykłą na kablu, bo mam radiową, i nic

zacząłem sie bawić w menedżerze zadań ( win 2k )
i raz wywaliłem stamtąd coś co spowodowało ze wszystko znowu chodziło normalnie, wylogowałem sie i zalogowałem ponownie i juz co bym nie wywalał to było tak samo czyli zwalone ze wyskakiwał błąd explorera

nie wiem co to było i to jest najgorsze, bo wydawało mi sie ze NTVDM.exe ( watch.exe i wowexec.exe ) , chyba ze to było coś co wtedy dało sie usunąć, a teraz juz nie…..

jezeli ktoś miał coś podobnego, albo przychodzi mu do głowy jakieś rozwiazanie to prosiłbym bardzo

bo ja juz chyba wszystkie moje pomysły wyczerpałem i pozostaje mi tylko reinstal

Bardzo przydatnym i szeroko wykorzystywanym narzędziem u mnie w firmie jest ssh-add. Poniżej zamieszczam krótki skrypt który na pewno przyda się użytkownikom FreeBSD. Spowoduje on ustawienie dla całej sesji KDE informacji o kluczu ssh oraz uruchomienie w trybie graficznym prompta do wpisania hasła do klucza. Wymaga dosinstalowania pakietu OpenSSH-askpass. Skrypt należy umieścić w katalogu: ~/.kde/Autostart

#!/bin/tcsh
eval `/usr/bin/ssh-agent`
setenv SSH_ASKPASS ‘/usr/X11R6/bin/ssh-askpass’
dcop klauncher klauncher setLaunchEnv SSH_AGENT_PID „$SSH_AGENT_PID”
dcop klauncher klauncher setLaunchEnv SSH_AUTH_SOCK „$SSH_AUTH_SOCK”
ssh-add
Prompt do wpisania hasła ładniej wygląda po przypisaniu zmiennej SSH_ASKPASS wartości /usr/local/bin/ssh-askpass-fullscreen. Program ten pochodzi z pakietu: ssh_askpass_gtk2