Xorg lub GDM (nie chce mi się dociekać co dokładnie) próbuje nas uraczyć KMS-em (Kernel mode-setting) - u mnie konkretnie dla sterownika radeon. Efekt jest tego taki, że przełączenie się na konsolę (Ctrl+Alt+Fx) i z powrotem powoduje, że nie da się więcej przełączyć na konsolę - zobaczymy jedynie czarny ekran.
Próba wyłączenia w bootloaderze: tzn.: radeon.modesetting=0 oraz nomodesetting wyłącza co prawda KMS, jednak X-y działają śmiertelnie wolno - jak nie urok to sraczka. Góglałem za tym, ale nie znalazłem nic rozsądnego. Bardzo mi się to podoba, jak ktoś siłowo wciska mi kompletnie zbędny bajer (KMS), i nie można znaleźć żadnych rozsądnych informacji ścierwo wyłączyć. I jak tu nie kochać zamkniętych sterowników?
środa, 23 grudnia 2009
piątek, 11 grudnia 2009
Jak namierzyć spamerski ścierwo na serwerze wuwuwu?
Infekcje serwisów internetowych, na hostingu dzielonym, to codzienność. W tej notce postanowiłem podzielić się doświadczeniem w namierzaniu i eliminowaniu tego badziewia, a jest ku temu powód, infekcje serwisów zwykle mają na celu wywoływanie ataków DoS lub wysyłania nieprzebranych ilości spamu.
W przypadku Apache z mod_php, namierzenie serwisu, który został skompromitowany może nie być łatwe, bo to piekielne robactwo próbuje się ukrywać. Wszystkie takie procesy działają z prawami serwera HTTP, co przy setkach serwisów nie ułatwia sprawy. Zainfekowany skrypt PHP często pobiera sobie skrypt perlowy(po HTTP), któremu nadaje losową nazwę, uruchamia go w danym katalogu (np.: ./ofenvrb.pl) i usuwa plik. Powoduje to pojawianie się procesów o losowych nazwach bez plików z kodem źródłowym.
Zwykle takie robactwo nie jest w stanie przeciążyć rozsądnego serwera lub łącza, za to jest w stanie wyczerpać limit tablicy conntrack netfiltera na routerze(o czym dalej). Kilka procesów o losowych nazwach (o których wcześniej) będą wyraźnie widoczne w topie. Pomocny będzie także netstat:
który pokaże dużo nawiązanych połączeń TCP na port 25, a czasami nawet i 80. Ostatnio wyniuchałem ścierwo, które wysyła dużo żądań do jakichś programów CGI na zewnętrznych serwerach. Tu nam życie ułatwi ngrep:
CGI jest już na tyle rzadko stosowane, że nie będzie nam zaciemniać wyników działania programu.
Dla zasady sprawdzamy co zwróci nam lsof dla PID-u nieproszonego procesu:
i tak jak można było się spodziewać nic się nie dowiedzieiliśmy. Próbujemy także macać pseudosystem plików /proc:
jednak i to nie zawsze pomaga. Dobrym pomysłem jest użycie antywirusa, clamav wykrywa wiele rodzajów infekcji serwisów:
Kiedy powyższe zawodzi pozostaje jeszcze jedna sztuczka, mało wyrafinowana ale całkiem skuteczna. Teraz my skorzystamy z podstępu: stworzymy wrapper na perla. Zmieniamy nazwę /usr/bin/perl np. na /usr/bin/perl_bin a jego miejsce wrzucamy taki oto skrypcik:
Skrypcik wyśle maila z kilkoma wartościami zmiennych środowiskowych i przy okazji to co zwróci lsof. Jeśli na serwerze bardzo intensywnie korzysta się z Perla, lepszym rozwiązaniem może być przekierowanie wyjścia do pliku. Teraz powinniśmy znaleźć zainfekowany serwis i odpowiednio się nim zająć.
Teraz kilka słów o prewencji. Jak już wspomniałem doskonałym sposobem na wykrycie działającego robactwa jest pomiar rozmiaru tablicy conntrack (jeśli mamy linuksa na routerze). W tym celu użyjemy programu conntrack:
Do stałego monitorowania (np. Nagios, Cacti) możemy użyć SNMP i obiektu tcp.tcpCurrEstab.0 zwracającego listę nawiązanych połączeń TCP. Niegłupim pomysłem też byłoby regularnie (z crona) odpalać antywirus.
Ofiara
W przypadku Apache z mod_php, namierzenie serwisu, który został skompromitowany może nie być łatwe, bo to piekielne robactwo próbuje się ukrywać. Wszystkie takie procesy działają z prawami serwera HTTP, co przy setkach serwisów nie ułatwia sprawy. Zainfekowany skrypt PHP często pobiera sobie skrypt perlowy(po HTTP), któremu nadaje losową nazwę, uruchamia go w danym katalogu (np.: ./ofenvrb.pl) i usuwa plik. Powoduje to pojawianie się procesów o losowych nazwach bez plików z kodem źródłowym.
Objawy
Zwykle takie robactwo nie jest w stanie przeciążyć rozsądnego serwera lub łącza, za to jest w stanie wyczerpać limit tablicy conntrack netfiltera na routerze(o czym dalej). Kilka procesów o losowych nazwach (o których wcześniej) będą wyraźnie widoczne w topie. Pomocny będzie także netstat:
# netstat -tlnpktóry pokaże dużo nawiązanych połączeń TCP na port 25, a czasami nawet i 80. Ostatnio wyniuchałem ścierwo, które wysyła dużo żądań do jakichś programów CGI na zewnętrznych serwerach. Tu nam życie ułatwi ngrep:
# ngrep cgi-bin "port 80"CGI jest już na tyle rzadko stosowane, że nie będzie nam zaciemniać wyników działania programu.
Na widelcu
Dla zasady sprawdzamy co zwróci nam lsof dla PID-u nieproszonego procesu:
# lsof -p PIDi tak jak można było się spodziewać nic się nie dowiedzieiliśmy. Próbujemy także macać pseudosystem plików /proc:
# cat /proc/PID/cmdlinejednak i to nie zawsze pomaga. Dobrym pomysłem jest użycie antywirusa, clamav wykrywa wiele rodzajów infekcji serwisów:
# clamscan -ri /foo/barKiedy powyższe zawodzi pozostaje jeszcze jedna sztuczka, mało wyrafinowana ale całkiem skuteczna. Teraz my skorzystamy z podstępu: stworzymy wrapper na perla. Zmieniamy nazwę /usr/bin/perl np. na /usr/bin/perl_bin a jego miejsce wrzucamy taki oto skrypcik:
#!/bin/bash
echo -e "$PWD \nargs: $@ \n$(lsof -p $PPID)" \
| mail -s 'PERL' qwiat@foo.bar
/usr/bin/perl_bin $@Skrypcik wyśle maila z kilkoma wartościami zmiennych środowiskowych i przy okazji to co zwróci lsof. Jeśli na serwerze bardzo intensywnie korzysta się z Perla, lepszym rozwiązaniem może być przekierowanie wyjścia do pliku. Teraz powinniśmy znaleźć zainfekowany serwis i odpowiednio się nim zająć.
Słowo na koniec
Teraz kilka słów o prewencji. Jak już wspomniałem doskonałym sposobem na wykrycie działającego robactwa jest pomiar rozmiaru tablicy conntrack (jeśli mamy linuksa na routerze). W tym celu użyjemy programu conntrack:
# conntrack -L | wc -lDo stałego monitorowania (np. Nagios, Cacti) możemy użyć SNMP i obiektu tcp.tcpCurrEstab.0 zwracającego listę nawiązanych połączeń TCP. Niegłupim pomysłem też byłoby regularnie (z crona) odpalać antywirus.
niedziela, 25 października 2009
Netfilter jako prosty nIDS/nIPS
W świecie Otwartego Oprogramowania jest kilka aplikacji typu nIDS/nIPS, które dzielą się na dwie kategorie:
- Snort
- cała reszta
Snort - narzędzie przyciężkawe i toporne, słyszałem o takich u których działa, u mnie jednak odmawiał posłuszeństwa po kilkunastu dniach pożerania cykli CPU. Cała reszta to zwykle programy, wykrywające skanowanie portów, jak choćby Portsentry. Lubię proste rozwiązania, dlatego zamiast instalować kolejną aplikację, zacząłem dłubać przy Netfilterze. Za pomocą tego firewalla, możemy łatwo stworzyć niezbyt wyrafinowane, ale za to łatwe we wdrożeniu i bardzo wydajne narzędzie.
Podobnie jak w innych aplikacjach tego typu, wykrywa się próby połączeń na porty, którymi nikt nie powinien się interesować. Oczywiście w każdym wypadku lista może być inna. Kto próbuje się dostać na port powinien być z automatu blokowany, poza tym rozwiązanie musi być maksymalnie nieobsługowe, tzn. automatycznie czyścić "czarną listę". padło na wykorzystanie modułu recent, który zwykle jest stosowany do ochrony przed atakami słownikowymi na SSH.
Poniższy listing pozwala wykrywać skanowanie typu: Connect, SYN iUDP. Dwie pierwsze regułki zajmują się reakcją na wykryte skanowanie: pierwsza zapisuje do logów, druga blokuje IP-ka na 12 godzin. Kolejne to definicje portów:
Skanowanie Null i Xmas traktujemy jak inne pakiety uszkodzone, jedną regułką:
Szkoda czasu na zastanawianie się, czy to skanowanie czy zwykłe śmieci.
- Snort
- cała reszta
Snort - narzędzie przyciężkawe i toporne, słyszałem o takich u których działa, u mnie jednak odmawiał posłuszeństwa po kilkunastu dniach pożerania cykli CPU. Cała reszta to zwykle programy, wykrywające skanowanie portów, jak choćby Portsentry. Lubię proste rozwiązania, dlatego zamiast instalować kolejną aplikację, zacząłem dłubać przy Netfilterze. Za pomocą tego firewalla, możemy łatwo stworzyć niezbyt wyrafinowane, ale za to łatwe we wdrożeniu i bardzo wydajne narzędzie.
Podobnie jak w innych aplikacjach tego typu, wykrywa się próby połączeń na porty, którymi nikt nie powinien się interesować. Oczywiście w każdym wypadku lista może być inna. Kto próbuje się dostać na port powinien być z automatu blokowany, poza tym rozwiązanie musi być maksymalnie nieobsługowe, tzn. automatycznie czyścić "czarną listę". padło na wykorzystanie modułu recent, który zwykle jest stosowany do ochrony przed atakami słownikowymi na SSH.
Poniższy listing pozwala wykrywać skanowanie typu: Connect, SYN i
iptables -A FORWARD -m recent --name skanery --update --seconds 43200 --hitcount 1 -j LOG --log-prefix "FW port-scan " -m limit --limit 2/hour
iptables -A FORWARD -m recent --name skanery --rcheck --seconds 43200 --hitcount 1 -j DROP
iptables -A FORWARD -p tcp -d 1.2.3.4 --dport 7 -m recent --name skanery --set
iptables -A FORWARD -p tcp -d 1.2.3.4 --dport 23 -m recent --name skanery --set
iptables -A FORWARD -p tcp -d 1.2.3.4 --dport 111 -m recent --name skanery --set
iptables -A FORWARD -p tcp -d 1.2.3.4 --dport 137 -m recent --name skanery --set
iptables -A FORWARD -p tcp -d 1.2.3.4 --dport 139 -m recent --name skanery --set
Skanowanie Null i Xmas traktujemy jak inne pakiety uszkodzone, jedną regułką:
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP
Szkoda czasu na zastanawianie się, czy to skanowanie czy zwykłe śmieci.
środa, 9 września 2009
O tym jak zostałem dresem
Ludzie dzielą się na dwie zasadnicze kategorie: na tych, którzy nie założą dresu, jeśli nie uprawiają sportu i na tych troskliwych: "jakiś problem kurwa?". Nawet dziecko wie kim są "Dresy" i myślę, że wbrew wszelkim przesłankom, Oni też mają taką świadomość. Zastanawiałem się nie raz, skąd u Nich taki brak samokrytyki, bo jak wygląda dresik (nawet nowy, błyszczący), każdy widzi. Raczej nie chodzi o pieniądze, bo podrabiane dżinsy, nie będą specjalnie droższe od podrabianych dresów.
O tym, dlaczego dresy są tak popularne u nie-frajerów, dowiedziałem się ze trzy lata temu, w całkiem przypadkowy sposób. Mój serdeczny przyjaciel załatwił wejściówki, dla naszej paczki, na imprezę Kicz Party we wrocławskim klubie Alibi. To miała być zamknięta impreza, przeznaczona dla światka barmańskiego z tanimi alkoholami, na którą ludzie mieli przyjść poprzebierani tak kiczowato, jak tylko możliwe. Przed wyjściem zaczęły się przebieranki, mój kolega założył stalowe spodnie w kancik i sweterek w kratę, modny najdalej w latach siedemdziesiątych. Ja pożyczyłem od jego ojca dresik kreszowy model 89', a do tego bejzbolówka. Reszta brygady też była niezła, tombak na szyjach, woda kolońska Brutal, dziewczyny wygrzebały ze staroci jakieś kuriozalne kiecki i wrzuciły fest makijaż.
Oświeciło mnie jak tylko wysiedliśmy z samochodów, najpierw podeszliśmy do budki z zapiekankami, żeby się nieco posilić. Postanowiłem nieco wczuć się w rolę i zacząłem trenować tradycyjny chód dresa: pewny siebie, nieco przygarbiony, czapka na oczy, łokcie szerzej niż tego wymaga wygoda. Mijaliśmy sporo osób, ale ani razu, nie musiałem nikomu ustępować miejsca na chodniku, nikt nie utrzymał kontaktu wzrokowego dłużej niż sekundę, ani chłopaki, ani dziewczyny. Jako, że okolice Alibi to mekka studencka, to wieczorem najczęściej kręcą się młodzi ludzie. Wygląd reszty mojej wesołej brygady nie łagodził sprawy, za każdym razem wzrok na bok. Byłem niewidoczny! Pod budką z szybkim żarciem, ktoś kolejki o coś mnie spytał, ale wzrok miał tak przepraszający za zawracanie dupy, że aż mi się głupio zrobiło. Podobnie było później w knajpie, może za dobrze grałem?
Generalnie wcale nie byłem zachwycony reakcją ludzi, bo to oznaczało, że z daleka widać, że jestem dresem i nie miałem pojęcia co będzie, jak spotkam prawdziwych. Jakoś nie wyobrażałem sobie, że potraktują mnie jak brata-w-trzech-paskach, a było się czego obawiać. Tamtego dnia odbywał się we Wrocku jakieś mecz piłkarski i przez miasto jechały autobusy pełne rozśpiewanych kibiców. Z tym "śpiewaniem" to mnie nieco poniosło, użyłem go z braku lepszego, równie litościwego eufemizmu. Obawiałem się, że mogę się spotkać z nimi oko w oko i z jakiegoś powodu mogli by uznać, że jestem kibicem przeciwnej drużyny. Miałem równe 50% szans na przeżycie i wcale nie pomagał fakt że nie miałem pojęcia kto z kim grał.
Krótko: dres wzbudza strach i nieufność. Im może się wydawać, że to respekt, ale się mylą. Respekt można czuć do kogoś, kto jest przewidywalny, jak ktoś jest niestabilny niczym nitrogliceryna w Ikarusie, to można czuć jedynie strach. Strach taki, jaki się czuje widząc uciekiniera z domu wariatów* z nożem w zębach.
* Mam nadzieję, że moje komiksowe porównanie nikogo nie obrazi.
O tym, dlaczego dresy są tak popularne u nie-frajerów, dowiedziałem się ze trzy lata temu, w całkiem przypadkowy sposób. Mój serdeczny przyjaciel załatwił wejściówki, dla naszej paczki, na imprezę Kicz Party we wrocławskim klubie Alibi. To miała być zamknięta impreza, przeznaczona dla światka barmańskiego z tanimi alkoholami, na którą ludzie mieli przyjść poprzebierani tak kiczowato, jak tylko możliwe. Przed wyjściem zaczęły się przebieranki, mój kolega założył stalowe spodnie w kancik i sweterek w kratę, modny najdalej w latach siedemdziesiątych. Ja pożyczyłem od jego ojca dresik kreszowy model 89', a do tego bejzbolówka. Reszta brygady też była niezła, tombak na szyjach, woda kolońska Brutal, dziewczyny wygrzebały ze staroci jakieś kuriozalne kiecki i wrzuciły fest makijaż.
Oświeciło mnie jak tylko wysiedliśmy z samochodów, najpierw podeszliśmy do budki z zapiekankami, żeby się nieco posilić. Postanowiłem nieco wczuć się w rolę i zacząłem trenować tradycyjny chód dresa: pewny siebie, nieco przygarbiony, czapka na oczy, łokcie szerzej niż tego wymaga wygoda. Mijaliśmy sporo osób, ale ani razu, nie musiałem nikomu ustępować miejsca na chodniku, nikt nie utrzymał kontaktu wzrokowego dłużej niż sekundę, ani chłopaki, ani dziewczyny. Jako, że okolice Alibi to mekka studencka, to wieczorem najczęściej kręcą się młodzi ludzie. Wygląd reszty mojej wesołej brygady nie łagodził sprawy, za każdym razem wzrok na bok. Byłem niewidoczny! Pod budką z szybkim żarciem, ktoś kolejki o coś mnie spytał, ale wzrok miał tak przepraszający za zawracanie dupy, że aż mi się głupio zrobiło. Podobnie było później w knajpie, może za dobrze grałem?
Generalnie wcale nie byłem zachwycony reakcją ludzi, bo to oznaczało, że z daleka widać, że jestem dresem i nie miałem pojęcia co będzie, jak spotkam prawdziwych. Jakoś nie wyobrażałem sobie, że potraktują mnie jak brata-w-trzech-paskach, a było się czego obawiać. Tamtego dnia odbywał się we Wrocku jakieś mecz piłkarski i przez miasto jechały autobusy pełne rozśpiewanych kibiców. Z tym "śpiewaniem" to mnie nieco poniosło, użyłem go z braku lepszego, równie litościwego eufemizmu. Obawiałem się, że mogę się spotkać z nimi oko w oko i z jakiegoś powodu mogli by uznać, że jestem kibicem przeciwnej drużyny. Miałem równe 50% szans na przeżycie i wcale nie pomagał fakt że nie miałem pojęcia kto z kim grał.
Krótko: dres wzbudza strach i nieufność. Im może się wydawać, że to respekt, ale się mylą. Respekt można czuć do kogoś, kto jest przewidywalny, jak ktoś jest niestabilny niczym nitrogliceryna w Ikarusie, to można czuć jedynie strach. Strach taki, jaki się czuje widząc uciekiniera z domu wariatów* z nożem w zębach.
* Mam nadzieję, że moje komiksowe porównanie nikogo nie obrazi.
sobota, 15 sierpnia 2009
Logi na linksowym desktopie
Tradycyjny model zarządzania logami w uniksie to połączenie trzech aplikacji:
- syslog
- logrotate
- cron
Powyższe trio dobrze się sprawdza na maszynach produkcyjnych, działających 24/7. Logrotate dostarcza cronowi zadanie do katalogu daily, które wykonywane jest codziennie, tuż po północy. Problem zaczyna się na desktopie, gdy komputer jest wyłączany przed wykonaniem zadań w daily. Logi puchną, przechowując bardzo stare i często zbędne informacje. Można kombinować z anacronem, ja jednak postanowiłem sprawdzić co do zaoferowania ma tu syslog-ng, gdyż w PLD jest to domyślny demon logów.
Założyłem, że nie potrzebuję trzymać dzienników dłużej niż tydzień, oraz nie będę potrzebował ich kompresować. W pliku /etc/syslog-ng/syslog-ng.conf odszukujemy definicje plików (file) w destination np.:
Dodajemy do nazwy pliku makro $WEEKDAY, doklejające trzyliterowy przyrostek, odpowiadający aktualnemu dniu tygodnia. Ponadto dodajemy opcję overwrite_if_older(86400), gwarantującą że demon nie nadpisze danego pliku wcześniej niż za 24 godziny (86400 sekund):
na koniec restartujemy demona. To rozwiąże problem tylko z aplikacjami korzystającymi z sysloga, dlatego musimy przekonfigurować każdą aplikację z osobna. Przykładowo sudo w PLD pisze zarówno do sysloga, jak i do własnego pliku, załatwiamy to jedną linijką w pliku /etc/sudoers:
Nie musimy się za to przejmować logami pliku /var/log/dmesg*, czy programów X.org, GDM, gdyż same troszczą się o swoje dzienniki.
- syslog
- logrotate
- cron
Powyższe trio dobrze się sprawdza na maszynach produkcyjnych, działających 24/7. Logrotate dostarcza cronowi zadanie do katalogu daily, które wykonywane jest codziennie, tuż po północy. Problem zaczyna się na desktopie, gdy komputer jest wyłączany przed wykonaniem zadań w daily. Logi puchną, przechowując bardzo stare i często zbędne informacje. Można kombinować z anacronem, ja jednak postanowiłem sprawdzić co do zaoferowania ma tu syslog-ng, gdyż w PLD jest to domyślny demon logów.
Założyłem, że nie potrzebuję trzymać dzienników dłużej niż tydzień, oraz nie będę potrzebował ich kompresować. W pliku /etc/syslog-ng/syslog-ng.conf odszukujemy definicje plików (file) w destination np.:
destination d_messages { file("/var/log/messages"); };Dodajemy do nazwy pliku makro $WEEKDAY, doklejające trzyliterowy przyrostek, odpowiadający aktualnemu dniu tygodnia. Ponadto dodajemy opcję overwrite_if_older(86400), gwarantującą że demon nie nadpisze danego pliku wcześniej niż za 24 godziny (86400 sekund):
destination d_messages { file("/var/log/messages.$WEEKDAY" overwrite_if_older(86400)); };na koniec restartujemy demona. To rozwiąże problem tylko z aplikacjami korzystającymi z sysloga, dlatego musimy przekonfigurować każdą aplikację z osobna. Przykładowo sudo w PLD pisze zarówno do sysloga, jak i do własnego pliku, załatwiamy to jedną linijką w pliku /etc/sudoers:
Defaults !logfileNie musimy się za to przejmować logami pliku /var/log/dmesg*, czy programów X.org, GDM, gdyż same troszczą się o swoje dzienniki.
sobota, 18 lipca 2009
cnetworkmanager w PLD
Na desktopach, od których wymagałem większej pewności działania, np. tym w pracy, do łączenia się z WiFi używałem tradycyjnej metody za pomocą rc-skryptów. Nie chciałbym odciąć się od sieci w razie, jak nie będzę mógł podnieść X-ów po aktualizacji. Na szczęście niedawno w PLD pojawił się cnetworkmanager - konsolowy klient NetworkManagera.
Migracja
Instalujemy NetworkManagera z pluginem (dla GNOME):
pakiet cnetworkmanager jest dostępny w gałęzi testowej (th-test):
Wyłączamy obsługę interejsu wlan, przez ustawienie ONBOOT=no w pliku /etc/sysconfig/interfaces/ifcfg-wlan0 i restartujemy sieć:
uruchamiamy NetworkManagera:
Logujemy się na nowo do GNOME. Teraz w razie problemów mamy pod ręką tekstowego klienta, który jest o niebo łatwiejszy w obsłudze, niż dzierganie w rc-skryptach i wpa_supplicancie.
Obsługa
Obsługa klienta tekstowego jest bardzo prosta, listę sieci wyświetlimy za pomocą:
połączenie z siecią:
Jako wisienkę na torcie dodam, że jako klient NetworkManagera nie wymaga praw roota.
Migracja
Instalujemy NetworkManagera z pluginem (dla GNOME):
$ poldek -i NetworkManager NetworkManager-appletpakiet cnetworkmanager jest dostępny w gałęzi testowej (th-test):
$ poldek -n th-test -i cnetworkmanagerWyłączamy obsługę interejsu wlan, przez ustawienie ONBOOT=no w pliku /etc/sysconfig/interfaces/ifcfg-wlan0 i restartujemy sieć:
# service network restarturuchamiamy NetworkManagera:
# service NetworkManager startLogujemy się na nowo do GNOME. Teraz w razie problemów mamy pod ręką tekstowego klienta, który jest o niebo łatwiejszy w obsłudze, niż dzierganie w rc-skryptach i wpa_supplicancie.
Obsługa
Obsługa klienta tekstowego jest bardzo prosta, listę sieci wyświetlimy za pomocą:
$ cnetworkmanager -n
cnetworkmanager 0.8.4 - Command Line Interface for NetworkManager
Wifi Networks:
51: cycki (52Mb WPA)
37: HotSpot (21Mb)połączenie z siecią:
cnetworkmanager -C cycki --wpa-pass=blablaJako wisienkę na torcie dodam, że jako klient NetworkManagera nie wymaga praw roota.
sobota, 4 lipca 2009
Niech żyją ignoranci
Zawsze byłem zwolennikiem poważnego traktowania zagadnień bezpieczeństwa. Jeśli tylko nadarzała się okazja starałem się dawać wskazówki rodzinie i znajomym, by lepiej chronili swoje zasoby. Za ignorantów uważałem tych którzy choć trochę dbali o bezpieczeństwo, w końcu Internet jest wypchany artykułami dotyczącymi bezpieczeństwa, skierowanych zarówno dla profesjonalistów jak i dla laików.
Zmieniłem zdanie wczoraj, otóż mój ISP w miejscu zamieszkania zaprzestał świadczyć swoje usługi, co zaowocowało brakiem zarówno sieci jaki i kablówki - toż to dramat w piątkowy wieczór, zwłaszcza jeśli właśnie zaczyna się mój urlop. Tu z pomocą przyszli mi sąsiedzi, szybki rzut okiem na listę dostępnych sieci w NetworkManagerze i znalazły się trzy niezabezpieczone sieci. Szczęście się do mnie uśmiechnęło i jedna z nich zadziałała. Wydajność nie zachwycała, jednak filmiki z youtube działały względnie dobrze.
Wasze zdrowie ignoranci!
Zmieniłem zdanie wczoraj, otóż mój ISP w miejscu zamieszkania zaprzestał świadczyć swoje usługi, co zaowocowało brakiem zarówno sieci jaki i kablówki - toż to dramat w piątkowy wieczór, zwłaszcza jeśli właśnie zaczyna się mój urlop. Tu z pomocą przyszli mi sąsiedzi, szybki rzut okiem na listę dostępnych sieci w NetworkManagerze i znalazły się trzy niezabezpieczone sieci. Szczęście się do mnie uśmiechnęło i jedna z nich zadziałała. Wydajność nie zachwycała, jednak filmiki z youtube działały względnie dobrze.
Wasze zdrowie ignoranci!
środa, 24 czerwca 2009
Tam gdzie Babilon upadł
Hej Antyglobalisto! Hej wrogu Babilonu!
Nie macie już dosyć walki, w której miast Babilon upaść, zdaje się być jeszcze silniejszy? Politycy jeszcze mocniej ryjami chwycili koryto? Nie pojawiają się bankierzy, którzy odczuli by choć trochę kryzys?
Mam dla Was świetną nowinę! Nie musicie już walczyć z Babilonem, by przestać żyć w jego cieniu. Jest takie miejsce gdzie upadł, a jego zgliszcza już dawno wystygły. Jest miejsce na ziemi gdzie nie ma władzy centralnej, sądów, ani nawet regularnej policji (sic!). Nie ma korporacji, a w Bank Światowy dawno zapomniał o istnieniu tego kraju. Nie płaci się podatków, składek zdrowotnych, akcyz, sam decydujesz co robisz z własnymi pieniędzmi. Nikt nie zainteresuje się też Waszym poletkiem zioła. To ciepły kraj, ze słońcem przez wiele dni w roku, długą granicą morską i bogactwem natury. Kominy fabryk nie będą wam zasłaniać malowniczych widoków, a za zarobione w Babilonie pieniądze, możesz kupić kawałek ziemi i żyć całkiem wygodnie.
Czego więcej Wam potrzeba? Potrzeba Wam jedynie niezawodnej broni samopowtarzalnej. Ten kraj to Somalia, zatem najlepszym wyborem będzie słynny AK-47, nie będzie problemów z amunicją a i brak zakładu rusznikarskiego nie sprawi kłopotu. Pewnym problemem mogą być zatargi lokalnych watażków, jeśli jednak nie staniecie na linii ognia, to krzywda Ci się raczej nie stanie. Poza tym nie obiecywałem, że dożyjecie sędziwej starości.
Podoba Wam się? Oddajcie zatem worek ciężkich nakrętek do skupu metali nieszlachetnych, spalcie koszulki z wizerunkiem El Comandante i w drogę!
Nie macie już dosyć walki, w której miast Babilon upaść, zdaje się być jeszcze silniejszy? Politycy jeszcze mocniej ryjami chwycili koryto? Nie pojawiają się bankierzy, którzy odczuli by choć trochę kryzys?
Mam dla Was świetną nowinę! Nie musicie już walczyć z Babilonem, by przestać żyć w jego cieniu. Jest takie miejsce gdzie upadł, a jego zgliszcza już dawno wystygły. Jest miejsce na ziemi gdzie nie ma władzy centralnej, sądów, ani nawet regularnej policji (sic!). Nie ma korporacji, a w Bank Światowy dawno zapomniał o istnieniu tego kraju. Nie płaci się podatków, składek zdrowotnych, akcyz, sam decydujesz co robisz z własnymi pieniędzmi. Nikt nie zainteresuje się też Waszym poletkiem zioła. To ciepły kraj, ze słońcem przez wiele dni w roku, długą granicą morską i bogactwem natury. Kominy fabryk nie będą wam zasłaniać malowniczych widoków, a za zarobione w Babilonie pieniądze, możesz kupić kawałek ziemi i żyć całkiem wygodnie.
Czego więcej Wam potrzeba? Potrzeba Wam jedynie niezawodnej broni samopowtarzalnej. Ten kraj to Somalia, zatem najlepszym wyborem będzie słynny AK-47, nie będzie problemów z amunicją a i brak zakładu rusznikarskiego nie sprawi kłopotu. Pewnym problemem mogą być zatargi lokalnych watażków, jeśli jednak nie staniecie na linii ognia, to krzywda Ci się raczej nie stanie. Poza tym nie obiecywałem, że dożyjecie sędziwej starości.
Podoba Wam się? Oddajcie zatem worek ciężkich nakrętek do skupu metali nieszlachetnych, spalcie koszulki z wizerunkiem El Comandante i w drogę!
czwartek, 7 maja 2009
Nowe portale społecznościowe
Myślałem, że nic mnie już nie zaskoczy w portalach społecznościowych, jednak byłem w błędzie. Dziś natknąłem się na dwa nowe serwisy o zbliżonym targecie: www.zwidzenia.pl i www.poznajpasazera.pl.
Teraz już tylko czekam na serwis NaszChwiej.pl skierowany do żuli. Wyobraźcie sobie sobie możliwość wysyłania "w prezencie" taniego winka, zapisać się do grupy Dworzec Główny czy stworzyć porównywarkę cen skupu metali nieszlachetnych.
Teraz już tylko czekam na serwis NaszChwiej.pl skierowany do żuli. Wyobraźcie sobie sobie możliwość wysyłania "w prezencie" taniego winka, zapisać się do grupy Dworzec Główny czy stworzyć porównywarkę cen skupu metali nieszlachetnych.
sobota, 25 kwietnia 2009
Bulwarowy jak MSN
Nie wiem, kto odpowiada za treści publikowane w serwisie http://msn.com, ale gdyby zależało to ode mnie, to ten ktoś stracił by pracę na miejscu. Dziwię się, że Microsoft toleruje przekształcenie serwisu, który jest niejako wizytówką firmy, w bulwarowy serwis plotkarski na poziomie o2.pl czy efakt.pl.
Pozwolę sobie zacytować kilka tytułów:
- "Górniak potwierdza: mieszkamy z mężem osobno"
- "Galeria gwiazd"
- "Natalia Kukulska ma nową fryzurę! Ładna?"
Na prawdę robi się słabo, to obraza własnych klientów, a przynajmniej tych którzy nie potrzebują poruszać ustami przy czytaniu (TP). O ile na takiego dupelka, czy innego plotka wchodzi się z własnej woli, o tyle stronę MSN-u widzi każdy, kto nie zmienił strony startowej w IE. Dotyczy to każdego użytkownika Windowsa, a jest ich sporo na świecie.
Zgaduję, że każda strona producenta kostiumów dla klaunów, którą znajdę będzie wyglądać poważniej.
Pozwolę sobie zacytować kilka tytułów:
- "Górniak potwierdza: mieszkamy z mężem osobno"
- "Galeria gwiazd"
- "Natalia Kukulska ma nową fryzurę! Ładna?"
Na prawdę robi się słabo, to obraza własnych klientów, a przynajmniej tych którzy nie potrzebują poruszać ustami przy czytaniu (TP). O ile na takiego dupelka, czy innego plotka wchodzi się z własnej woli, o tyle stronę MSN-u widzi każdy, kto nie zmienił strony startowej w IE. Dotyczy to każdego użytkownika Windowsa, a jest ich sporo na świecie.
Zgaduję, że każda strona producenta kostiumów dla klaunów, którą znajdę będzie wyglądać poważniej.
sobota, 4 kwietnia 2009
Czarno to widzę
Niedawno na Wykopie pojawił się link do strony zawierającej zrzuty ekranu z dużych portali, tuż po śmierci Jana Pawła II. To przypomniało mi, kulisy zmiany wyglądu w serwisu naszej firmy.
Zacznijmy jednak od tego, że tego rodzaju manifestacja swoich poglądów, może dotyczyć jednej z trzech możliwych grup:
- osoby prywatne: nie mam nic przeciwko
- instytucje państwowe oraz użytku publicznego: jestem przeciw
- przedsiębiorstwa: tu mam mieszane uczucia
Pierwsze dwie grupy nie wymagają komentarza, przejdźmy od razu do mojego pracodawcy. Decyzja o zmianie wyglądu nie padła od razu, zaczęło się od obserwowania dużych, popularnych portali. Pojawiła się nieśmiała sugestia, by zmienić także naszą witrynę, nie byliśmy jednak przekonani. Z czasem coraz więcej stron miało żałobne kolory, nie dość, że masa osiągnęła wartość krytyczną, to głównym impulsem była desaturacja serwisu konkurencyjnej firmy.
Ktoś powie: to hipokryzja! Prawda, to cholerna hipokryzja. Nie byłem za to w ogóle odpowiedzialny, jednak pozwolę sobie na krótkie usprawiedliwienie: Nasz klient - nasz pan!.
Ciekawi mnie jak to wyglądało w innych firmach, jakoś nie wierzę w "pokolenie JP2".
Zacznijmy jednak od tego, że tego rodzaju manifestacja swoich poglądów, może dotyczyć jednej z trzech możliwych grup:
- osoby prywatne: nie mam nic przeciwko
- instytucje państwowe oraz użytku publicznego: jestem przeciw
- przedsiębiorstwa: tu mam mieszane uczucia
Pierwsze dwie grupy nie wymagają komentarza, przejdźmy od razu do mojego pracodawcy. Decyzja o zmianie wyglądu nie padła od razu, zaczęło się od obserwowania dużych, popularnych portali. Pojawiła się nieśmiała sugestia, by zmienić także naszą witrynę, nie byliśmy jednak przekonani. Z czasem coraz więcej stron miało żałobne kolory, nie dość, że masa osiągnęła wartość krytyczną, to głównym impulsem była desaturacja serwisu konkurencyjnej firmy.
Ktoś powie: to hipokryzja! Prawda, to cholerna hipokryzja. Nie byłem za to w ogóle odpowiedzialny, jednak pozwolę sobie na krótkie usprawiedliwienie: Nasz klient - nasz pan!.
Ciekawi mnie jak to wyglądało w innych firmach, jakoś nie wierzę w "pokolenie JP2".
sobota, 28 marca 2009
kernel: PAE vs. x86_64
Jakiś czas temu, na liście pld-devel-pl@lists.pld-linux.org zagościła dyskusja, o domyślnym włączeniu obsługi PAE (Physical Address Extension) w kernelu dystrybucyjnym w Th. Pomijając fakt, że wiele modeli procesorów nie obsługuje PAE, to pewne wątpliwości wprowadza fakt, że obłsuga PAE spowalnia działanie pamięci, postanowiłem więc zrobić mały test.
W maszynie testowej siedzi Intel C2D E8400, 4GiB RAM-u, kernel 2.6.28.9. Procedura testowa:
- hdparm -T /dev/sda
- pomiar czasu obliczania sumy sha512 dla pliku o wielkości 431MiB
- program nbench-byte-2.2.2
i686 + PAE
- hdparm: 7056MB/s
- sha512sum: 18,3s
- nbench:
* MEMORY INDEX: 18,7
* INTEGER INDEX: 20,6
* FLOATING-POINT INDEX: 38,8
x86_64
- hdparm: 7625MB/s
- sha512sum: 16,9s
- nbench:
* MEMORY INDEX: 18,7
* INTEGER INDEX: 20,5
* FLOATING-POINT INDEX: 38,9
Różnica w szybkości działania pamięci zmierzona programem hdparm wynosi ~8% na korzyść kernela 64bit, co jest niemałą wartością. Widać to też dla programu sha512sum. W teście nbench różnica jest minimalna, jednak biorąc pod uwagę, że program ten używa bardzo mało pamięci, więc cache procesora niweluje różnicę w szybkości.
Nie ma sensu używania opcji PAE, zwłaszcza jeśli samemu musimy budować kernel, lepiej już użyć kernela z archa x68_64, zwłaszcza że w PLD jest to dosyć proste. Zaczynamy od dodania do pliku do pliku /etc/rpm/platform wiersza:
teraz dodajemy źródło do Poldka, które nazwiemy sobie th64, do pliku /etc/poldek/repos.d/pld.conf dodajemy następujące wiersze:
Uruchamiany Poldka:
Teraz tylko pozostaje przeinstalować kernel
i reboot
W maszynie testowej siedzi Intel C2D E8400, 4GiB RAM-u, kernel 2.6.28.9. Procedura testowa:
- hdparm -T /dev/sda
- pomiar czasu obliczania sumy sha512 dla pliku o wielkości 431MiB
- program nbench-byte-2.2.2
i686 + PAE
- hdparm: 7056MB/s
- sha512sum: 18,3s
- nbench:
* MEMORY INDEX: 18,7
* INTEGER INDEX: 20,6
* FLOATING-POINT INDEX: 38,8
x86_64
- hdparm: 7625MB/s
- sha512sum: 16,9s
- nbench:
* MEMORY INDEX: 18,7
* INTEGER INDEX: 20,5
* FLOATING-POINT INDEX: 38,9
Różnica w szybkości działania pamięci zmierzona programem hdparm wynosi ~8% na korzyść kernela 64bit, co jest niemałą wartością. Widać to też dla programu sha512sum. W teście nbench różnica jest minimalna, jednak biorąc pod uwagę, że program ten używa bardzo mało pamięci, więc cache procesora niweluje różnicę w szybkości.
Nie ma sensu używania opcji PAE, zwłaszcza jeśli samemu musimy budować kernel, lepiej już użyć kernela z archa x68_64, zwłaszcza że w PLD jest to dosyć proste. Zaczynamy od dodania do pliku do pliku /etc/rpm/platform wiersza:
x86_64-[^-]*-[Ll]inux(-gnu)?
teraz dodajemy źródło do Poldka, które nazwiemy sobie th64, do pliku /etc/poldek/repos.d/pld.conf dodajemy następujące wiersze:
[source]
type = %{_type}
name = th64
path = %{_prefix}/PLD/x86_64/RPMS/
auto = no
Uruchamiany Poldka:
$ poldek -n th64
Teraz tylko pozostaje przeinstalować kernel
install -F kernel* --reinstall
i reboot
niedziela, 15 marca 2009
Paskudny zbieg okoliczności..
W firmie ponad miesiąc temu zaczęły się problemy z łączem, objawiające się całkowitym zanikiem ruchu. Po sprawdzeniu całego naszego ustrojstwa, okazało się, że restart urządzenia sieciowego dostawcy naprawia problem. Urządzenie owo to małe czarne pudełko, do którego wchodzą trzy kable: UTP do anteny na dachu, UTP do routera i kabel zasilający.
Szukając źródła problemu, wymieniłem patchcord, sieciówkę w routerze i kabel zasilający. Przewód zasilający, to taki zwykły kabelek, jaki można spotkać w sprzęcie RTV. Z braku pewnego na 100% kabla, podmieniłem kabel z radia w biurze, które od lat działa 24/7 bez problemów. Kiedy powyższe nie poskutkowało, zadzwoniłem do naszego ISP i zgłosiłem problem. Technicy od ISP odkryli, że na dachu jacyś robotnicy uszkodzili kabel UTP prowadzący do anteny. Wymienili kabel na jakiś porządniejszy i puścili go w peszli dla pewności.
Jakiś czas potem okazało się, że jeden z UPS-ów, do którego podłączone jest m.in. owe "czarne pudełko" pada co jakiś czas na amen, zero ostrzeżeń, zero działania na baterii. Po prostu się wyłącza (razem z serwerem, który jest do niego wpięty). Podejrzewaliśmy baterię akumulatorów, która była od jakiegoś czasu na granicy żywotności, o czym UPS regularnie nam przypominał rozdzierającym skowytem. Tydzień temu padł na amen i pojechał do serwisu.
Miałem nadzieję, że już po wszystkim, jednak w ubiegły piątek problem powrócił. Wieczorna wizyta w firmie i standardowa sytuacja: restart "czarnego pudełka". W pewnym momencie usłyszeliśmy, że strzela. Okazało się, że iskrzy w okolicach wtyczki kabla zasilającego od czarne pudełko. Kabel był nadłamany, a w izolacji była wypalona dziura.
Winowajca odnaleziony, uszkodzony kabel nie tylko powodował przerwy w działaniu sieci, ale też od czasu do czasu robił zwarcie, które kończyło się awaryjnym wyłączeniem UPS-a. Wymiana kabla na wadliwy to paskudny pech.
Szukając źródła problemu, wymieniłem patchcord, sieciówkę w routerze i kabel zasilający. Przewód zasilający, to taki zwykły kabelek, jaki można spotkać w sprzęcie RTV. Z braku pewnego na 100% kabla, podmieniłem kabel z radia w biurze, które od lat działa 24/7 bez problemów. Kiedy powyższe nie poskutkowało, zadzwoniłem do naszego ISP i zgłosiłem problem. Technicy od ISP odkryli, że na dachu jacyś robotnicy uszkodzili kabel UTP prowadzący do anteny. Wymienili kabel na jakiś porządniejszy i puścili go w peszli dla pewności.
Jakiś czas potem okazało się, że jeden z UPS-ów, do którego podłączone jest m.in. owe "czarne pudełko" pada co jakiś czas na amen, zero ostrzeżeń, zero działania na baterii. Po prostu się wyłącza (razem z serwerem, który jest do niego wpięty). Podejrzewaliśmy baterię akumulatorów, która była od jakiegoś czasu na granicy żywotności, o czym UPS regularnie nam przypominał rozdzierającym skowytem. Tydzień temu padł na amen i pojechał do serwisu.
Miałem nadzieję, że już po wszystkim, jednak w ubiegły piątek problem powrócił. Wieczorna wizyta w firmie i standardowa sytuacja: restart "czarnego pudełka". W pewnym momencie usłyszeliśmy, że strzela. Okazało się, że iskrzy w okolicach wtyczki kabla zasilającego od czarne pudełko. Kabel był nadłamany, a w izolacji była wypalona dziura.
Winowajca odnaleziony, uszkodzony kabel nie tylko powodował przerwy w działaniu sieci, ale też od czasu do czasu robił zwarcie, które kończyło się awaryjnym wyłączeniem UPS-a. Wymiana kabla na wadliwy to paskudny pech.
niedziela, 1 marca 2009
th stabilne
W końcu PLD-Linux Th otrzymało oficjalnie status stabilnego wydania. Nie było fajerwerków i szampana, nie ma też obrazów iso i całego tego zamieszania. Th to wersja w ciągłym rozwoju zatem nie będzie też wydań jak to miało miejsce w przypadku RA czy Ac. Poza zmianą statusu w Th w nic się nie zmieniło to ciągle to samo Th.
Źródła pakietów powinny być traktowane następująco:
- th (main): stabilne
- th-ready: wersje testowe, ze spełnionymi zależnościami
- th-test: eksperymentalne buildy, aktualizujesz na własne ryzyko.
Ciągle nie ma jednomyślnego stanowiska co do snapshotów Th, debata trwa.
Źródła pakietów powinny być traktowane następująco:
- th (main): stabilne
- th-ready: wersje testowe, ze spełnionymi zależnościami
- th-test: eksperymentalne buildy, aktualizujesz na własne ryzyko.
Ciągle nie ma jednomyślnego stanowiska co do snapshotów Th, debata trwa.
środa, 25 lutego 2009
PLD-Live.th 2009.02 beta
Beta nowego PLD-Live.th jest gotowa do pobrania z ftp2, ftp oto lista zmian:
- kernel 2.6.28
- GNOME 2.24
- dodane nfs-utils, bacula-fd i garść innych drobiazgów
- chrInst 0.7 beta potrafiący postawić w pełni działające GNOME i KDE4 (wymaga metapakietów w th)
- wersja na pendrive w postaci archiwum tar oraz instrukcja
Uwagi i propozyje proszę na qwiat[at]pld-linux[dot]org
- kernel 2.6.28
- GNOME 2.24
- dodane nfs-utils, bacula-fd i garść innych drobiazgów
- chrInst 0.7 beta potrafiący postawić w pełni działające GNOME i KDE4 (wymaga metapakietów w th)
- wersja na pendrive w postaci archiwum tar oraz instrukcja
Uwagi i propozyje proszę na qwiat[at]pld-linux[dot]org
środa, 28 stycznia 2009
chrInst 0.6.2
Wydałem nową wersję chrInsta. Obiecujące początki z Anacondą na PLD-Live.th spowodowały, że odstawiłem chrInsta na strych, żeby odszedł w spokoju. Pojawiły się jednak problemy, nie jestem w stanie zmusić aktualnej Anacondy do współpracy, przez to wydanie kolejnej wersji livecd ciągle się opóźnia.
Dodatkowo, jestem sfrustrowany tym, że samo odpalenie Anacondy to nie koniec pracy. Trzeba dodać do niej rozsądną obsługę konfigów PLD, nic nie pomoże kolorowy, klikalny instalator jeśli potem trzeba naprawiać pliki konfiguracji. To spowoduje że i tak już spory patch konieczny do współpracy z PLD będzie jeszcze większy.
Mam dosyć Anacondy i od tej pory na PLD-Live.th będzie trafiał chrInst. Narzędzie proste (złośliwi powiedzą, że prymitywne), ale przynajmniej z reguły działające.
Dodatkowo, jestem sfrustrowany tym, że samo odpalenie Anacondy to nie koniec pracy. Trzeba dodać do niej rozsądną obsługę konfigów PLD, nic nie pomoże kolorowy, klikalny instalator jeśli potem trzeba naprawiać pliki konfiguracji. To spowoduje że i tak już spory patch konieczny do współpracy z PLD będzie jeszcze większy.
Mam dosyć Anacondy i od tej pory na PLD-Live.th będzie trafiał chrInst. Narzędzie proste (złośliwi powiedzą, że prymitywne), ale przynajmniej z reguły działające.
Subskrybuj:
Posty (Atom)