vermin.eu.org

Podejrzewam, że nikt ze wspaniałej instytucji działającej pod egidą Allied Irish Bank tego nie przeczyta, ale cóż - w końcu od tego jest blog, żeby ‘dać wyraz fragmentom moich myśli’.

BZ WBK zmienił swój system logowania - zamiast standardowego formularza login/hasło mamy na pierwszym ekranie login, a na drugim ekranie (przeładowanie w przeglądarce - żaden AJAX), hasło. Nie jest to jednak zwykłe pole formularza, ale kratki na poszczególne literki hasła - przy długim haśle wyłączając niektóre litery na zasadzie autentykacji telefonicznej, (podaj. drugą. cyfrę. hasła, podaj. piątą. cyfrę. hasła).
Wszystko fajnie, zmiana systemu logowania jest może i bezpieczeniejsza - ale tylko wtedy, kiedy wymusi się zmianę polityki haseł z tych krótkich haseł domyślnych (4 cyfrowy PIN w zasadzie) na dłuższe - inaczej to tylko wkurza, ponieważ pola z formularza za wolno się przełączają (testowałem pod kilkoma przeglądarkami). Nie muszę dodawać, że o polityce haseł nie ma tam ani słowa?
Oczywiście rozumiem dlaczego tak się stało - za dużo ostatnio spywaru i trojanów czytających pola z formularzy WWW, ale swoją drogą zastanawia mnie dlaczego aż tak bardzo utrudniają zwykłemu użytkownikowi życie, jeśli żadnej operacji po zalogowaniu się do konta nie przeprowadzę bez potwierdzenia kodem z tokena lub SMSem? W sumie jeśli ktoś zobaczy ile mam na koncie to aż tak wiele złego się nie stanie (no dobra - będą na mnie mówić Kenny zamiast vermin ;-))

To w zasadzie by mnie jeszcze nie zdenerwowało, gdyby nie kolejny kamyczek - i to już moim zdaniem nie mały. Ogromnie denerwujące jest to, skoro Bank tak walczy o bezpieczny interfejs, iż tuż po zalogowaniu się wyskakują jakieś pop-upy z reklamą banku, które sprawiają wrażenie jakby jakiś spyware się ładował. Przecież to jakaś paranoja?

Całkowicie przy okazji - kwestia usability. Bank wprowdził nową usługę - ewyciąg. Ciekawa być może usługa (nie dla mnie - już się przekonałem, że gdziekolwiek w Polsce papier - to papier), ale zajęła domyślne miejsce przycisku historia konta, która dla mnie była szczególnie istotna (co tam wpłynęło albo jakim płatnościom nie udało się pokonać mojego niskiego stan posiadania?)
Dla mnie takie wiadomości powinna zawierać jakieś newslettery (subskrybuję - ale nie przychodzą), a może informacja na stronie logowania? Szkoda także, że bank nie czerpie z doświadczeń konkurencji - np. kliknięcie w saldo pokazuje od razu historię, kliknięcie w opis - pokazuje dane. Na dodatek brakuje np. możliwość filtrowania wyciągu na stronie wg typu, kwot, kontrahenta czy czegokolwiek. Jedynym plusem jest eksport wyciągu do CSV/Excel…

Ponieważ wysłałem do Banku zapytanie w powyższej sprawie (security) - czekam na jakąś odpowiedź. Hehe - już ją widzę… eufemistycznie mówiąc ‘na drzewo (eufemistycznie bardzo) robaku’. Na dodatek pewnie nie odniosą się nawet do połowy treści mojego zapytania - a taka szkoda, bo w końcu naprawdę lubię ten Bank… No, ale cóż, jak mówi reklama ING, (którego nie lubię) - banki nie są od lubienia, są od zarabiania pieniędzy (ponoć także dla klientów? ;-)).

Edit: szybkie google pokazało, że nie tylko mnie nowy interfejs nie sprawia przyjemności

Od kawałka czasu padłem ofiarą spam botów, które śmiecą mi w logach swoimi adresami oraz wysycają moje biedne (SDI rulez!) łącze. Pokazuje to przyjemnie i slimstat, jak i kilka obrabiających logi apache demonów. Cóż - temat stary jak świat (pierwsze posty na ten temat jakie czytałem pochodziły z 2002 roku), a rozwiązanie banalne. Wystarczy w zasadzie poblokować w .htaccess słowa kluczowe (i niestety aktualizować je co jakiś czas) prostą regułą:

Dzięki temu spamerzy zostaną przekierowani do siebie samych. Minusem tego rozwiązania jest zakaz używania powyższych słów tytułach własnych postów (jeśli mamy włączone permlinki), ale to chyba nie będzie miało u mnie miejsca.

Jak sprawdzić, że blokada działa? Prosto - używamy narzędzia wget (jest także pod Windows!)

i ściągamy nie naszą-super-witrynę.com ale właśnie spamerskie dmost.

Rozszerzeniem tej idei jest blokowanie adresów IP spamera, na przykład za pomocą przekierowania na plik PHP i wywołania

, ale po pierwsze - zablokujemy jakieś tam adresy ze spam-netu, iptables wymaga niewirtualnego hostingu, i po ostatnie - jeśli ktoś może uruchomić iptables z uprawnieniami roota z konta na którym działa apache to gratuluję… odwagi? głupoty?

P.S. Chociaż może tego nie widac na podstawie tego bloga - ale ja naprawdę czytam także inne rzeczy niż logi

Microsoft zdecydował się, żeby wycofać SBS R2, który miał status RTM i właściwie to już tam był! Powód? Podczas audytu oprogramowania okazało się, że część kodu R2 jest w wersjach… nie zakończonych (beta?). Płyty dotarły ponoć jedynie partnerów (OEM, System Builder, Dystrybutorzy), więc w zasadzie to tylko “drobne” opóźnienie (chociaż znów u tych wymienionych proces tworzenia obrazów, testów i takich tam rozpocznie się od nowa…).

Przy okazji wizyty na blogu MS Smallbiz, rzuciła mi się w oczy tabela kosztów upgradu SBSa z 2003 SP1 do R2. Powiem w skrócie - porażka! I to totalna! Nie dość, że R2 w wersji premium to w zasadzie nowy SQL 2005 (ok, dla niektórych to może być ważne i warte ceny - ale jak dla mnie większość znanych mi app wciąż wymaga i wspiera SQL Server 2000), WSUS (który jest DARMOWY) no i rozszerzenie CALi (przydatne naprawdę jedynie w dużych wdrożeniach SBSa - no bo kogo stać na drugą instancję normalnie cenionego Exchange?)

A najśmieszniejsze jest, że jeśli kupiło się OEM to upgrade do R2 jest za darmo - w ramach takiego pseudo Software Assurance - Technology Upgrade Program. No tak - tylko kto poważny kupuje OEM oprogramowania, jakby nie było serwerowego, znając jego ograniczenia (weź zrób cold-backup albo szybko przenieś na inną maszynę…)? PORAŻKA, ot co

Nowa wersja wordpress - jak zwykle do pobrania.
Lista poprawek jest dosyć długa - chociaz ja ani jednego tych błędów nie wyłapałem. Jest tam tez kilka rozszerzeń, ale jakoś mnie nie bawią, może poza jedną, bo używam Tiger Administration.

Update oczywiście wykonany - przez co przez parę minut strona była niedostępna… Swoją drogą to ciekawy bug - ponieważ jedna funkcja używana przez mnie w tempate strony (z pakietu WP-Stats) była niedostępna PHP przerwało pracę i nie wyświetlało zawartości strony - gdyby nie to, to upgrade przebiegłby wprost niezauważalnie

Źródło wiadomości: planeta wordpress oraz Ja, Rafi

Typowy scenariusz - mamy serwerek FTP, oczywiście chrootujemy użytkowników do katalogów domowych. Nagle okazuje się, że jeden z nich musi mieć dostęp do dodatkowych danych, np. utrzymać stronę WWW, którą do tej pory zajmował się inny użytkownik. Symlinki oczywiscie nie wchodzą w grę, ale jest kilka opcji:

• można dać mu kolejny login i hasło, (które zgubi, zapomni), co jest proste dla admina, ale niewygodne dla usera
• można przekopiować dane do jego katalogu, zmienić uprawnienia, zmienić konfigurację apache, co jest trudne, długie, wymaga restartu usługi, no i jak ten user odejdzie, to trzeba operację powtórzyć
• można też zastosować rzecz wygodną i dla admina i dla usera - czyli mount

W zasadzie wydanie komendy

załatwia nam sprawę (jak to jest na czas powyżej średniego uptime maszyny to warto to dodać do /etc/fstab). Proste, czyste, przyjemne

Źródło: MDLog:/sysadmin

Sobota, godziny popołudniowe, szybki look w logi i co widzę? Gdzieś w środku nocy, jakiś dzieciak zza oceanu wybrał sobie jeden z moich serwerków w celu przetestowania swoich narzędzi. Bardzo to niefajne, bo szybkie łącze pozwoliło mu na dosłownie zalanie serwera requestami o autoryzację - do DOSa nie doszło - niemniej jest to trochę wkurzające…

O ile SSH się w miarę łatwo zabezpiecza przed zbyt duża ilością wpisów, to już serwery FTP zabezpieczyć trudniej. Z pomocą przychodzą dwa narzędzia - pierwsze z nich to znane z pakietu *sentry Logsentry, zaś drugie, nad którym się skupię - fail2ban. Obydwa działają tak samo - monitorują logi i na tej zasadzie podejmują odpowiednie działania. Obydwa mają zbliżone zalety i tą samą wadę - regexpy¹. Obydwa używają /etc/deny.hosts lub iptables. Obydwu nie ma w stable

Fail2ban niestety nie znajduje się w stable - jest za to w testing i unstable, więc można go ściągnąć stamtąd lub bezpośrednio ze stron projektu Debian. Z wymogów instalacyjnych trzeba wspomnieć o pythonie i lsb-base, które na szczęście są w stable i to w odpowiednich wersjach. Po instalacji fail2ban od razu rozpoczyna działanie - niemniej dobrego admina to nie zadawala i od razu rusza do /etc/fail2ban.conf, żeby poprawić konfigurację.

Co warto zmienić? Na pewno warto dodać listę adresów, które nie będą blokowane (bo w końcu każdy może wysłać stworzone przez siebie pakiety wskazujące na dowolne IP) - opcja ignoreip. Kolejną opcją, którą warto zmienić, to czas blokady (bantime) - domyślne 10 minut to za mało - warto dać więcej, a mając fizyczny dostęp do maszyny nawet -1 (for ever). Jeśli ktoś lubi, to warto włączyć opcję powiadamiania emailem o zablokowaniu konkretnego IP (jeśli dostajemy wiadomości w stylu in-your-face, to trudniej zapomnieć, że taki niskopoziomowy mechanizm gdzieś tam sobie działa i można szybciej zdiagnozować problem). Pozostaje włączenie odpowiednich demonów, czyli zmiana enabled na true w odpowiednich sekcjach pliku konfiguracyjnego.
Domyślnie skrypt ma wpisane kilka typowych demonów - SSH (włączone domyślnie), SASL, Apache, ApacheAttacks, VSFTPD, PROFTPD, ale bazując na wyrażeniach regularnych¹ można dodać dowolne inne, co jest duuużym plusem. Kolejnym plusem jest przyjemna konfiguracja iptables, którą wykonuje program - tworzy własne łańcuchy opisujące przez jaką regułę dany IP został zablokowany, co pozwala łatwiej przejrzeć logi w razie narzekań userów czy innych adminów.

¹regexpy to mieszane błogosławieństwo - pozwalają na wspaniałe dostosowanie programu pod de facto dowolnego demona, niemniej pozwalają także na przemycenie, przez użycie zbyt szerokiego zakresu wyrażenia, błędów, pozwalających w tym wypadku na DOS maszyny…

Warto poczytać dodatkowo: Debian Administration

Na jednym z forów, na których się mocno udzielam ostatnio jakiś ktoś (Ktoś - nie Ty), do Servera SBS Premium - czyli zawierającego dwa dodatkowe i duże produkty MS, czyli ISA Server oraz SQL Server poprosił o step-by-step guide… nie o konfigurację tych zaawansowanych usług, ale de facto o podstawową konfigurację sieci (jaki ip gdzie i dlaczego) - dobrze, że nie spytał gdzie to ustawić - chociaż do tego też może dojdzie…

Zastanawia mnie - dlaczego do takiego ewidentnego wdrożenia nie zatrudnia się konsultanta, jeśli sam się człowiek nie czuje na siłach? Nie lepiej mieć sieć ładnie ustawioną, wykonaną dokumentację, zrobione backupy i dopiero wtedy psuć samemu i się douczać? To naprawdę nie jest hańba korzystać z zewnętrznych konsultantów, żeby zrobić coś, czego samemu się nie potrafi… Chyba, że to nieprodukcyjne środowisko, ale wtedy dlaczego pytać a nie poeksperymentować samemu?

No tak, ale jak w społeczeństwie, gdzie większość ‘informatyków’ to Zosie-Samouki, które przecież wiedzą jak się ustawia serwer i adres IP (RAV - to nie do Ciebie tu piję), bo sobie gdzieś tam ustawiły, i przez to czują się inklinowane do zarządzania serwerem, można rozmawiać o rozsądnym rozwoju rynku usług informatycznych? Wrrr…

Dziś dzień administratorów systemów. Informuję, że prezenty przyjmuję w godzinach urzędowania. Inne formy uznania też są mile widziane

Po zalogowaniu się na konto Administratora widzimy sobie SQL Service Manager - szkoda tylko, że całkowicie pusty. Rozwiązanie tego jest banalne. Wyłączyć go i włączyć ponownie - i wyrzucić go ze startu automatycznego. Wtedy zadziała.

Tylko po co do cholery on wobec tego startuje automatycznie? Ja chcę opóźnione ładowanie programów (które jest Windows Vista)!

Na SBSie po instalacji standardowo stoją conajmniej dwie instancje SQL Server - jedną z nich jest SBSMONITORING, drugą SHAREPOINT. Jesli mamy ISA Server to dodatkowo jest jeszcze MSFW. Jest tego od groma, a jak można się zorientować na mojej małej stronce o SBSie, z instancjami (pseudo) SQL Servera na SBS są zazwyczaj problemy - po pierwsze na pewno jakieś są zainstalowane, po drugie działają i zabierają pamięć, po trzecie - co to jest kurcze blade? I to pytanie wcale nie jest takie bezpodstawne, bo postawienie dodatkowo SQL Servera z płytki Premium, WSUSa powoduje, że spokojnie mamy conajmniej 3 różne silniki… Więc który z nich obsługuje co?

Przystępujemy do pracy:
Najpierw sprawdzamy co właściwie u nas działa: task manager pokazuje, że procesy SQL istnieją (sqlservr.exe). Każda instancja (SBS Monitoring, Sharepoint, etc.) ma swój proces w ramach którego istnieje - jak sprawdzić, która to która?
Konsola: tasklist /svc i już widzimy który proces (numer PID jest tu wyróżnikiem) obsługuje jaką bazę. Teraz spokojnie możemy zobaczyć co sprawia problemy, (która instancja).

Teraz warto sprawdzić w zasadzie co jest obsługiwane przez co - czy wszystko przez SQL Server, czy może przez MSDE, a może przez (W)MSDE (a na pewno instancja MSSQL$SBSMONITORING nie powinna być na SQL Server). Znowuż - jak to zrobić?
Wchodzimy tam gdzie są logi (albo c:\program files\Microsoft SQL Server\nazwa$instancji\LOG albo tam gdzie są logi). Otwieramy plik z logami i jeśli mamy Desktop Engine on Windows NT 5.2, to NA TEJ INSTANCJI jest MSDE, jeśli Desktop Engine (Windows) on Windows NT 5.2 to WMSDE, jeśli Standard Edition on Windows NT 5.2, to mamy faktycznie SQL Server.

Dzięki temu będzie nam łatwiej rozwiązywać standardowy problem z pamięcią na odpowiedniej instancji

SBS 2003 ma wspaniałe narzędzie jakim jest SBS monitoring. Codzienny zwięzły raport w formacie HTML, który dostaje się na pocztę pozwala na szybko zorientować się co gryzie maszynę - tyle, że gryzie w sensie dosłownym, ponieważ w raporcie zawarte są jedynie krytyczne zdarzenia, względnie kilka liczników, którym można jedynie zredefiniować wartość od której działają (treshold). Jak narazie nie znalazłem możliwości, żeby wykonać fine tuning przesyłanych informacji. W związku z tym to rozwiązanie jest niestety dość ubogie i zmuszające do codzienngo czytania logów (które na szczęście można sobie dodać do przesyłanego maila i przeczytać na zdalnej maszynie).

Jedynym rozwiązaniem jakie znalazłem, jest oczywiście wspomniany kiedyś logparser. Dzięki niemu możemy wyciągnąć z dzienników zdarzenia o statusie warning, sformatować je do tabelki HTML i wysłać je wraz z codziennym raportem… Trochę to chyba działanie na około - ktoś zna lepszą drogę?

[update]
Taaak - chyba jest za gorąco (fajnie się pracuje w małym pokoju, w trzy osoby, bez klimatyzatora), bo całkowicie zapomniałem o Health Monitor, który oczywiście pozwala na bardzo granularną kontrolę nad tym, co się pojawia w raportach z logów - niemniej moje rozwiązanie też jest dobre

Smyrak postanowił odpowiedzieć na mój artykulik. Pozostaje mi dalej rozwodzić się nad tym co jednak Debian ma, a czego może wprost nie widać.

FreeBSD ma jedną fajną dla mnie rzecz - robisz make world, idziesz na dłuższy spacer i masz system zrobiony od zera, ładnie skompilowany na Twoją maszynę. To cudo kopiują pod linuksem developerzy Gentoo - niemniej Debian, choć nie pozwala na aż tak cudowne stwierdzenie ma kilka rzeczy, które może nie tak łatwo zauważyć.

Debian, chociaż jest zasadniczo dystrybucją binarną ma opcje, które pozwalają na własną kompilację pakietów. Ten feature jest nie tylko dostępny, ale wręcz w wypadku pakietów, których licencja nie pozwala na rozprowadzanie ich w formie zmienionej (np. Pine) lub z innych dziwnych powodów. Co jest miłe - rozprowadzanie ich w formie źródłowej pozwala wciąż nie tylko zachować wszelkie zależności, ale także śledzić wszelkie aktualizacje (np. bezpieczeństwa), które są z danym pakietem związane.

Jak do tego dojść? W /etc/apt/apt.conf oprócz linijek zaczynających się od deb są także linijki zaczynające się od src, dzięki którym możemy ściągnąć z repozytorium pakiet źródłowy. Możemy nawet ciut więcej - możemy ściągnąć pakiet źródłowy bez poprawek wprowadzonych przez zespół Debiana, jeśli tylko mamy na to ochotę. Dzięki temu, (wkładając w to oczywiście mnóstwo pracy - pakietów nawet w base jest tona), możemy otrzymać czysty debianowy system kompilowany na swojej maszynie. Możemy także (znów niestety wymaga to trochę pracy) stworzyć dzięki temu własne pakiety!

No i na koniec, żeby post trzymał się tytułu - pliki deb, to podobnie jak w fBSD, archiwa. Nie są to jednak wprost tar.gz, ale archiwa programu ar w których znajdują się pliki: control.tar.gz (zawierający metadane oraz pliki post- i pre- instalacyjne) oraz data.tar.gz (zawierający właściwe pliki programu). Ponadto na stronach projektu można spokojnie ściągnąć wersje źródłowe, pliki różnicowe ze zmianami developerów do wersji vanilla no i same binarki.

Smyru, miłośnik fBSD i użytkownik Linuxa (w wersji Debian derivatives - innych nie toleruje) pytał o możliwość znalezienia listy plików w niezainstalowanym archiwum. Zgodnie z Twoją prośbą (Aziz Light!) - podaję Ci świecę.

Są dwie opcje - pierwsza z nich to wspaniała wyszukiwarka pakietów, która umożliwia wyszukiwanie pakietów, plików i innych takich (prawie jak porty fBSD), druga, to narzędzia apt - jedno z nich wbudowane w pakiet apt, czyli apt-cache, dające możliwosć wszukiwania opisów pakietów, druga, to pakiet też będący w base, nie instalowany domyślnie apt-file, który po zaktualizowaniu (apt-file update) daje możliwość pokazania zawartości archiwum (apt-file list apt-file). Enough light?

Debian project ogłosił dziś, że nowa dystrybucja Debiana - etch (4.0) pojawi się w grudniu. Co w niej będzie ostatecznie zobaczymy w październiku, kiedy będzie ostatni review i najprawdopodbniej zamrożenie stanu testing.

Co pojawi się w nowej wersji Debiana? Jest kilka blokad - oraz celów. Co ciekawe - cele nie muszą być spełnione żeby pojawiła się nowa wersja - blokady muszą (chyba czepiam się aktualnie nazewnictwa…).
Wśród blokad pojawia się przede wszystkim przejście na xorg (w końcu), przejście na gcc 4.x, wsparcie dla architektury amd64, selekcjonowanie dokumentów zgodnie z polityką Debiana, wyrzucenie z jądra firmware’u oraz secure apt (ciekawe czy z zaimplementowanymi plikami delta, pozwalającymi na zmniejszenie ilości danych, które są pobierane z serwerów debiana podczas apt-get update).
Do celów nowej wersji zaliczają się m.in. uwzględnienie standardu Linux Standard Base w wersji 3.1, wsparcie dla SELinuxa, ipv6 oraz NFS v4 - w sumie z tego wszystkiego interesuje mnie ipv6 oraz SELinux, którego trzeba powoli poznawać (dobrze to można zrobić na przykładzie np. Fedory, która ma go zintegrowanego z distro od dawna).

W dzisiejszym komunikacie prasowym Microsoft ogłosił przejęcie firmy Winternals, znanej najbardziej z postaci Marka Russinovicha, (o którym pisałem w tym artykule) i zestawu narzędzu sysinternals - w zasadzie podstawy do pracy dla admina, chcącego wiedzieć co dzieje się ‘pod maską’ systemu.

Zastanawia mnie, jak przejęcie tej bardzo znanej administratorom systemów Windows firmy wpłynie na narzędzia dostarczane z produktami serwerowymi? Szczególnie z rodziną systemów zarządzania infrastrukturą, (do której zalicza się WSUS, a przede wszystkim SMS), która to rodzina ewidentnie wraz z pojawieniem się koncepcji kontroli dostępu do sieci (NAC - Network Access Control) rośnie w siłę i znaczenie. Bardzo mnie zastanawia jak integracja bardzo przydatnego zestawu narzędzi z winternals wpłynie na stan systemu Windows? Czy staną się jakimś resource packiem? Czy też może będą nadal niezależnym produktem a Russinovich wzmocni brygadę zajmującą się bezpieczeństwem systemu? Zobaczymy.

Na razie widać ewidentnie, że Microsoft stawia coraz mocniej na zestaw narzędzi, który pozwoli zarządzać systemem z konsoli - powershell, który będzie to wszystko integrował oraz zestaw narzędzi, które pozwolą rozszerzyć możliwości diagnostyczne tego co jest oferowane w Resource Kit’ach. W sumie - oby tak dalej. Niech tylko jeszcze dadzą ssh…