Koniec moBILETu w Poznaniu.

Od jutra, tj. od 1.05.2013, w Poznaniu nie będzie można korzystać z moBILETu. Przyznaję, że jestem rozczarowany, bo mimo tego, że generalnie przesiadłem się na sieciówkę, zdarzało mi się korzystać. Bardziej dla znajomych czy dzieci, ale jednak. System – mimo paru wad i paru miejsc, które można było poprawić – był całkiem niezły (c’mon, zawsze w razie potrzeby masz bilet, nie musisz szukać kiosku/biletomatu, poza tym, masz ten bilet w wielu miastach) i polecałem go znajomym.

Z oświadczenia na stronie moBILETu wynika, że wygasła umowa, a ZTM ogłosił nowy przetarg. W sumie trochę późno sprawa wyszła na jaw (czyżby negocjacje do końca?), ja po raz pierwszy usłyszałem o tym jakiś tydzień-dwa temu, a niedawno robiłem doładowanie… Pieniądze można odzyskać, ale prościej było nie doładowywać.

Jest szansa, że system wróci do Poznania. Liczę na to, bo wygodny był, a i tak zamierzam z niego korzystać w innych miastach, choćby w Szczecinie.

PS Wpis się pojawił, bo właśnie dostałem SMS od moBILETu w tej sprawie. Co prawda późno, ale i tak szacun za podejście do klienta.

UPDATE: Wyżej linkowany wpis zniknął, w jego miejsce pojawiła się informacja o przedłużeniu funkcjonowania moBILETu w Poznaniu do końca czerwca (czyli zakończenia przetargu).

Aktualizacja Debiana do wersji Wheezy (7.0) z użyciem apt-p2p – HOWTO.

Ponieważ na dniach ma pojawić się nowe stabilne wydanie Debiana (Wheezy), postanowiłem zrobić upgrade na tym desktopie, gdzie jeszcze z niej nie korzystam. Przy okazji postanowiłem skorzystać z dobrodziejstw p2p i odświeżyć sytuację związaną z opisywanym kiedyś apt-p2p, tym bardziej, że nowe wydania są doskonałym momentem na wykorzystanie p2p do aktualizacji systemu (możliwe obciążenie mirrorów z uwagi na ilość zainteresowanych, sporo peerów). Tym bardziej, że pojawiło się trochę głosów na Twitterze/ideni.ca promujących apt-p2p.

Wpis jest w założeniu tylko szczegółowym howto dotyczącym konfiguracji i użycia apt-p2p, bez samego opisu aktualizacji do Wheezy.

Po co to wszystko?

Krótko w punktach, czemu idea p2p do dystrybucji pakietów mi się podoba:

  • Uniezależnienie się od poszczególnych mirrorów
  • Lepsze skalowanie
  • Mniejsze wymagania dotyczące sprzętu i łącz w stosunku do projektu Debian
  • Bezpieczeństwo jest zachowane (sumy kontrolne pakietów, podpisy GPG)

To oczywiście przy większej ilości węzłów. Przy mniejszej może być wręcz wolniej, ale apt-p2p ma zaimplementowany mechanizm fallbacku do tradycyjnego pobierania, więc nawet przy niewielkiej ilości węzłów nic nie przestaje działać.

Wymagania:

  • możliwość otwarcia/przekierowania portu na routerze do komputera, gdzie uruchomiony będzie apt-p2p
  • dwa razy więcej wolnego miejsca na pakiety .deb, niż przy zwykłej aktualizacji (apt-p2p ma swój katalog na cache, niezależny od /var/cache/apt)

Krok 1 – przekierowanie portów na routerze

Przekierowanie portów jest wymagane. Bez tego nie będziemy w stanie udostępniać pobranych pakietów, a taka jest idea p2p. Przekierowujemy zarówno protokoły TCP, jak i UDP.

Krok 2 – instalacja apt-p2p

wajig install apt-p2p

Domyślna konfiguracja jest OK, jedyne co warto zrobić, to pomyśleć nad zmianą portu na inny, niż domyślny 9977, jeśli mamy taką potrzebę. Paranoicy mogą wyłączyć zdalny podgląd statystyk.

Uwaga: jeśli chcemy, aby nasz apt-p2p posłużył jako proxy dla większej ilości maszyn w LAN (działa bez problemu, także dla różnych architektur na pojedynczej instancji apt-p2p), należy, zgodnie ze zgłoszonym bugreportem, zmodyfikować linię w pliku /usr/share/pyshared/apt_p2p/HTTPServer.py[1]:

if request.remoteAddr.host != "127.0.0.1:

na

    if not (request.remoteAddr.host == "127.0.0.1" or            request.remoteAddr.host.startswith("192.168.")):

gdzie 192.168 to początek (pierwsze 2 oktety) adresacji z naszej sieci LAN.

Krok 3 – edycja plików z repozytoriami (/etc/apt/sources.list)

Załóżmy prosty przypadek (jeśli ktoś grzebał w /etc/apt/preferences, lub ma więcej repozytoriów to zakładam, że wie, co zrobił i umie się dostosować), czyli, że mieliśmy wpisy:

deb http://http.debian.net/debian/ squeeze main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free

zmieniamy je na

deb http://localhost:9977/ftp2.de.debian.org/debian/ wheezy main contrib non-free
deb http://localhost:9977/security.debian.org/ wheezy/updates main contrib non-free

Uwaga: jeśli zmienialiśmy port z domyślnego 9977, lub łączymy się do maszyny w sieci LAN, na której działa apt-p2p, to stosownie modyfikujemy localhost:9977

Zauważmy, że nie korzystamy z http.debian.net, tylko podajemy wprost adres repozytorium. Niestety apt-p2p nie działa za http.debian.net, wkrótce zgłoszę buga.

Krok 4 – sprawdzenie działania apt-p2p

Łączymy się przeglądarką z hostem, na którym działa apt-p2p i sprawdzamy statystyki. W przypadku uruchomienia lokalnie wpisujemy w pasku adresu http://localhost:9977/

Sprawdzamy czy adres IP w Contact jest taki sam, jak adres IP, z jakiego jesteśmy widoczni w sieci. Jeśli jest, to OK.

W DHT statistics sprawdzamy wartość Reachable. Jeśli poprawnie przekierowaliśmy porty, to będzie True.

Ostatnia rzecz do sprawdzenia w statystykach to Number of nodes. Wiadomo, że im więcej, tym lepiej (domyślnie apt-p2p nie pobiera przez p2p, jeśli ilość węzłów z danym plikiem jest mniejsza niż 3), po paru minutach powinniśmy widzieć tam ok. 30 węzłów (co nie znaczy, że wszystkie z nich mają potrzebne nam pakiety!). Wydaje mi się, że to minimalna sensowna wartość, by zacząć korzystać z apt-p2p.

Na koniec możemy zrobić wajig update i zobaczyć, czy pliki są pobierane bez błędów ze wskazanego źródła[2].

Uwaga: jeśli jesteśmy za NAT i zmieni się IP, to pole Contact nie ulegnie zmianie. Nadal będziemy mogli pobierać pakiety (choć nie dam głowy, czy z użyciem p2p), natomiast nic nie wyślemy. Do odświeżenia wymagany jest restart demona apt-p2p.

W tym momencie jesteśmy gotowi do aktualizacji systemu z użyciem technologii p2p.

[1] Tak, brzydkie grzebanie na żywca w plikach przychodzących w paczce; okolice linii 266.

[2] Stosunkowo często widziałem 500 internal server error w pierwszym przebiegu i poprawne działanie przy kolejnych. Proponuję najpierw wykonać aktualizację w trybie samego pobierania pakietów.

Debian Wheezy i Zabbix.

Dziś nieco się zdziwiłem, a raczej rozczarowałem. Okazuje się, że w nadchodzącym stabilnym wydaniu Debiana nie będzie Zabbiksa. W ogóle. Co prawda bardzo łatwo zrobić paczkę z publikowanych źródeł – i tak właśnie robię, bo serwer Zabbiksa czyli zabbix-server warto mieć w najnowszej wersji – ale wersja zabbix-agent  ma już niewielkie znaczenie, gdyż starsze wersje agenta zwykle współpracują ze znacznie nowszymi serwerami bez żadnych problemów. A jednak jest wygodnie było mieć agenta dostępnego w oficjalnym repozytorium pakietów.

Rozwiązań jest kilka: można pakiety robić samodzielnie, być może pojawią się też w backportach, ale dziś dowiedziałem się, że istnieje też repozytorium pakietów prowadzone przez twórców Zabbiksa. Znaleźć w nim można wersje dla Debiana (tylko stable), Ubuntu oraz RHEL.

Data wydania Wheezy’ego podana.

Odbieram dziś pocztę, a tam:

We now have a target date of the weekend of 4th/5th May for the release. We have checked with core teams, and this seems to be acceptable for everyone.  This means we are able to begin the final preparations for a release of Debian 7.0 – „Wheezy”.

Yay!

Jest szansa, że akurat będę u rodziców, co oznacza… Upgrade na desktopie (jedyny desktop bez testing/unstable)! I może na Dockstarze też! I oczywiście wpisik na ten temat. Nie mogę się doczekać. 😉

Z innych ciekawych rzeczy, opisywany kiedyś wajig rozwija się w interesujący sposób. Pojawiły się na przykład opcje update-pciids oraz update-usb-ids, o których wspominano w komentarzu do wpisu o 3 rzeczach, których nie aktualizujesz w Debianie. Co prawda wolałbym mikrokod, ale pożyjemy, zobaczymy… Dotyczy wersji wajig dostępnej we Wheezy.

Blokada portu 25 w Netii.

Netia dołączyła do grona największych[1] (wcześniej, jako pierwsza zrobiła to TPSA, potem – z większych operatorów – port 25 zablokował Dialog) i zablokowała port 25 dla użytkowników. Znowu późno się późno się zorientowałem, bo po blisko miesiącu i pewnie nie napisałbym o tym, gdyby nie to, że jest to zrobione… źle.

Netia wprowadziła blokadę w najgorszy sposób dla użytkownika, tj. bez możliwości usunięcia blokady przez użytkownika. Nie da się jej usunąć ani samodzielnie, w sposób automatyczny (tak można to zrobić w przypadku Neostrady), czy w sposób zupełnie ręczny (telefon na infolinię), jak w Dialogu.

Poza tym, blokowanie portu 25 miało duży sens parę lat temu. TPSA była 3,5 roku temu pionierem, była to reakcja na realny problem spamu (Polska była w światowej czołówce wysyłających spam) i były realne efekty. Taki okres w IT to niemal epoka. Obecnie (niestety) coraz więcej spamu jest rozsyłanych w inny sposób, w szczególności przez soft kradnący hasła do skrzynek pocztowych. Ale lepiej późno, niż wcale.

Po drugie, blokada dotyczy tylko IP przydzielanych dynamicznie. Spam z łącz biznesowych będzie płynął dalej (a zmiana typu łącza na biznesowe to – zdaniem rzecznika – prosta sprawa[2]). Gwoli ścisłości, z tego co pamiętam, to samo zrobiła TPSA, bo – wbrew temu co pisze rzecznik Netii – blokada dotyczyła tylko Neostrady, ale już nie Internet DSL.

Po trzecie, brak możliwości zdjęcia blokady przez użytkownika. Co prawda opinia UKE w tej sprawie była pozytywna (czyli, że wolno tak zrobić – kiedyś wysłałem pytanie; nie oznacza to, że użytkownik nie ma możliwości rozwiązania umowy – tu już powinien wypowiadać się IMO UOKiK lub sąd), ale nie dawanie wyboru użytkownikom, jest słabe (choć prostsze technicznie). Szczególnie, że technicznie jest taka możliwość. W połączeniu z argumentacją usługi z dynamicznym IP nie są stworzone po to, żeby na nich stawiać serwery pocztowe[3] jest żenujące[4]. Uważam, że TPSA podeszła do tematu o dwie klasy lepiej.

[1] Przepraszam, ale ten zwrot mi się bardzo ostatnio spodobał, choć tu akurat bez podtekstu jest. Informacja o blokadzie portu 25 na blogu Netii.

[2] Komentarz nr 18:

12.02.2013, 10:39
@maniek552 Nie ma z taką zmianą żadnego problemu. Przechodzi się na ofertę biznesową nadpisując dane w systemie i sprawa załatwiona. Ceny są praktycznie takie same.
[3] Komentarz nr 29:
@maniek552 Z tym, że TP i Dialog wycięli wszystkim (również stałym IP) a my blokujemy tylko dynamicznym. Jest różnica i to duża. Usługi z dynamicznym IP nie są stworzone po to, żeby na nich stawiać serwery pocztowe.
[4] Stawianie serwerów nie jest podstawowym przeznaczeniem takich łącz – tu zgoda. Ale idąc tym tokiem rozumowania za moment okaże się, że można zablokować możliwość jakichkolwiek połączeń przychodzących na dynamicznych łączach (nawiasem, Orange tak robi z mobilnym internetem), albo w ogóle dopuścić tylko WWW i pocztę (w końcu SSH to „biznesowe” zastosowanie, c’nie? jeszcze NTP by się przydało i DNS, żeby w miarę sensownie działało). A tymczasem coraz częściej w domach pojawiają się „serwery”. Czy to gier, czy WWW. Często są one uruchamiane w taki sposób, że użytkownik nawet nie wie, że są, on po prostu udostępnia muzykę czy zdjęcia…

Niebezpiecznik shackowany.

Wpisu miało nie być, bo i mało newsowe, i wszyscy już pisali newsy, i w sumie żadne wydarzenie godne uwagi, tak naprawdę. Ponieważ mój komentarz nie przeszedł przez moderację na niebezpiecznik.pl (chociaż moim zdaniem jedyny punkt regulaminu komentarzy, który mógłby naruszać to: są próbą (krypto)reklamy innego serwisu; tyle, że nie), a cenzury nie lubię, pozwolę sobie zamieścić go tutaj w takiej formie, w jakiej widzę go w mojej przeglądarce, z której dokonywałem komentarza:

Twój komentarz pojawi się niebawem (po akceptacji przez moderatora)

Jak już jest napisane w pierwszym komentarzu, wybrnięcie ładne, ale… Odnosicie się tylko do technicznych aspektów. Wiadomo (i pisaliście o tym), że włamanie może nastąpić. Nawet statyczną stronę można podmienić, żadnych super danych u was nie ma (login i hasło – zapewne losowe – admina, trochę IP, trochę maili userów, być może niezamieszczone komentarze i tyle). Zresztą sam atakujący o tym pisze. To, co ciekawe w tym wszystkim, to dlaczego wy. Czy jest przewidywany jakiś komentarz do części merytorycznej, czyli części drugiej z pastebin?

Czy zarzuty są zasadne? Każdy oceni sam. Dla ułatwienia przegląd polskich serwisów dot. bezpieczeństwa http://zaufanatrzeciastrona.pl/post/wielki-przeglad-polskich-serwisow-z-branzy-it-security-czesc-1/ wraz z aktualizacją http://zaufanatrzeciastrona.pl/post/co-nowego-slychac-wsrod-polskich-serwisow-poswieconych-bezpieczenstwu/

Tak chciałem napisać. Ponieważ nie widzę już oryginału na pastebin.com, a się do niego odnoszę, tu kopia treści, którą atakujący niebezpiecznik.pl zamieścili na pastebin (tu wazelina dla mnie za zrobienie kopii, ale po tym jak po trzech dniach miałem niejaką trudność ze znalezienia reklamy Heyah z Leninem, robię kopię wszystkiego, co potencjalnie może odparować w ciągu najbliższych paru dni – w końcu po coś te pojemne dyski są, c’nie?).

Żeby nie przedłużać: uważam, że niebezpiecznik.pl daje radę PRowo (nawet bardzo; to też jest ważne), ale merytorycznie… jest to jakiś agregator, który warto mieć w czytniku, jeśli nie chce się mocno przegapić oczywistej popularnej dziury i tyle.

Dlaczego taki tytuł wpisu i dlaczego nie miałem racji pisząc w komentarzu, że super danych nie ma można przeczytać we wpisie Niebezpiecznik.pl hacked.

Jaki serwer DNS wybrać?

Wybór serwera DNS z którego korzystamy na urządzeniu końcowym jest ważny z kilku powodów:

  • Szybkość serwera DNS. Czas oczekiwania na odpowiedzi z serwerów DNS może być istotną częścią czasu ładowania stron Jest to szczególnie widoczne na stronach z dużą ilością wklejek z różnych domen. W przypadku szybkości serwera DNS nie chodzi jedynie o opóźnienie sieci (to można sprawdzić przy pomocy ping), ale o czas udzielenia odpowiedzi. Zależy on już od większej liczby czynników: opóźnienie sieci, posiadanie bądź nie odpowiedniego spisu w cache (oczywiście lepiej, jeśli odpowiada z cache), wydajność sprzętu i oprogramowania na którym działa DNS.
  • Poprawność odpowiedzi. Nic po szybkiej odpowiedzi z serwera DNS, jeśli będzie ona błędna. W skrajnym przypadku możemy paść ofiarą spoofingu DNS i trafić na podstawioną stronę.
  • Neutralność, czyli brak cenzury. Trochę wiąże się z poprzednim zagadnieniem, ale w tym przypadku chodzi o to, że do pewnych stron w ogóle nie będzie można się dostać. O ile działanie takie ma sens przy ograniczaniu zasięgu szkodliwego oprogramowania, to może być także służyć jako ograniczenie dostępu do treści.

 

Co warto zrobić w kwestii DNS?

Jeśli posiadamy sieć lokalną z kilkoma (i więcej) komputerami, to prawie na pewno warto postawić lokalny cache DNS – dzięki temu powtarzające się nazwy będą rozwiązywane lokalnie. Dobrym i prostym rozwiązaniem dla małej sieci jest dnsmasq, dostępny także dla OpenWrt.

Poza tym, warto wybrać te serwery DNS, które odpowiadają najszybciej. Zwykle nie popełnimy dużego błędu, jeśli wybierzemy serwery zalecane przez naszego dostawcę sieci lub wskazane automatycznie.

Czy zawsze lokalny serwer DNS lub oferowany przez naszego dostawcę Internetu jest najlepszy? Niestety nie. Prawie zawsze będzie on najszybszy pod względem opóźnienia sieci, ale już zawartość cache bywa różna. Szczególnie w przypadku lokalnego serwera może się okazać, że jego cache jest pusty dla większości zapytań. Na szczęście zwykle narzut lokalnego serwera nie jest duży.

Jeśli nasz komputer łączy się z internetem za pośrednictwem wielu sieci (wifi, połączenia GSM), można pomyśleć o postawieniu lokalnego cache DNS bezpośrednio na nim.

Jak najprościej znaleźć najlepsze serwery DNS?

Istnieje do tego darmowy i wolny program o nazwie namebench, służący do benchmarku serwerów DNS. Działa na wszystkich systemach, wersję dla Windows i Mac OS X można pobrać ze strony, w przypadku Linuksa zapewne jest w dystrybucyjnym repozytorium. Domyślnie działa z GUI, ale nie jest ono niezbędne – program daje się również uruchomić w konsoli. Ważne jest, żeby nie uruchamiać testu od razu, tylko najpierw przeczytać jak program działa i zastanowić się, co chcemy zrobić. Dlaczego? Ano dlatego, że pierwsze uruchomienie jest najbardziej zbliżone do rzeczywistych warunków ze względu na oryginalną, niezakłóconą poprzednimi testami zawartość cache testowanych serwerów DNS, czyli najbardziej miarodajne.

Jak korzystać z namebench?

W polu nameservers warto podać, oddzielone spacjami przynajmniej: DNS lokalny w sieci (jeśli posiadamy), serwery DNS naszego ISP. W przypadku Polski dodatkowo warto podać serwery DNS Orange (najpopularniejsze to 194.204.159.1 i 194.204.152.34) – kiedyś były dostępne tylko dla klientów TPSA, ale obecnie wyglądają na otwarte – działają z każdej sieci, z której testowałem – i osiągają dobre wyniki. W moim przypadku były szybsze, niż serwery DNS mojego ISP.

Namebench - ekran startowy
Ekran startowy namebench. Źródło: strona domowa programu namebench.

Poza tym, zaznaczamy globalne publicznie dostępne serwery cache’ujące oraz serwery regionalne. Można zaznaczyć sprawdzanie pod kątem cenzury i podzielenie się uzyskanymi wynikami. Lokalizacja to oczywiście Polska, query data source – możemy skorzystać z historii stron którejś z naszych przeglądarek, wyniki będą wówczas bardziej zbliżone do realnych.

Następnie uruchamiamy test i na kilka-kilkanaście minut zostawiamy komputer w spokoju. Po tym czasie otrzymamy wyniki: propozycję trzech najlepszych dla nas – zdaniem programu – serwerów DNS (kolejność ma znaczenie) oraz szczegółowe dane i wykresy. Kluczowy dla szybkości działania sieci jest oczywiście średni czas odpowiedzi z serwera DNS.

Na koniec uwaga: jeśli najszybsze serwery nie należą do naszego ISP ani nie są otwartymi, publicznymi serwerami, może się zdarzyć, że ich właściciel ograniczy za jakiś czas do nich dostęp.