Różowy blog
W newsach na idg.pl pojawiły się wredne reklamy, które wyskakują po najechaniu na słowo w tekście. Realizowane jest to za pomocą javascript. Bardzo nie lubię tej formy reklamy, więc info: dodanie http://www.idg.pl/libs/_mousediv/mousedivlibrary.js do listy zablokowanych elementów w AdBlock++ rozwiązuje problem - wredne dziadostwa się nie pojawiają.
Wczoraj jak zwykle kopiowałem sobie pliki przy pomocy rsync (rsync version 2.6.9 protocol version 29) i niespodziewanie pojawił się problem. Kopiowanie rekursywne, plików jest ~40, kopiowanie na raty z --partial, wcześniej skopiowała się większość plików (też na raty). Odpalam by skopiować tak naprawdę ostatni plik i... wisi. Na interfejsie brak ruchu. Nawet początkowych nie sprawdza. Po przerwaniu ctrl-c na hoście zdalnym (z którego pobieram) proces zostaje. Przy dry-run - bez problemu. Próba pobrania tylko ostatniego pliku rsynciem - to samo. Po skopiowaniu tego ostatniego pliku w inne miejsce i zmianie nazwy - bez problemu pobiera z nowej lokalizacji (kopiuje bez problemu, więc problem z fs raczej odpada). Spotkał się ktoś z czymś takim? Pomysły co może być przyczyną (obejście na przerzucenie plików mam)?
UPDATE: Nie robiłem specjalnego dochodzenia i testów, ale po zwolnieniu większej ilości miejsca (dostępna grubo ponad 2 razy wielkość pobieranego pliku) na dysku docelowym - poszło. How strange.
Zwykle do przechowywania danych stosuje się bazy danych - MySQL, PostgreSQL czy - w przypadku, kiedy prędkość/zasoby są kluczowe - SQLite. Czasami jednak nie są potrzebne wszystkie możliwości oferowane przez bazę, a liczy się wyłącznie prędkość i prostota, plus możliwość dostępu do wspólnych danych przez kilka niezależnych procesów czy hostów. W takich przypadkach skorzystać można z memcached. Poniżej krótki opis tego narzędzia.
Okazuje się, że Hans Reiser jednak zabił żonę. Dwa dni temu wskazał policji miejsce ukrycia zwłok. Było ono na dokładnie przeszukiwanym terenie w pobliżu domu matki Reisera. Dzięki wskazaniu miejsca ukrycia zwłok, opisane 25 lat więzienia zostanie prawdopodobnie zamienione na 15 lat. Źródło
Firefox czy Opera to dobre przeglądarki. Ale prędzej czy później trafia się sprzęt, który wymaga IE. Tak po prostu. Inne przeglądarki nie działają i już. Wówczas (poza użyciem telnetu) do wyboru mamy następujące rozwiązania:
Zajmiemy się tym ostatnim rozwiązaniem, jako najprostszym.
Na typowym desktopie zwykle niezbędny jest flash, najlepiej ten od Adobe. W Debianie sprawę załatwia instalacja pakietu flashplugin-nonfree, który zajmuje się dostarczeniem flasha. Wszystko działało pięknie i bezbłędnie, aż do wczoraj. Przy okazji porządków w systemie ojca postanowiłem dokonać aktualizacji flasha i... pojawiły się problemy. Przy okazji przyjrzałem się bliżej narzędziom i znalazłem parę "śmiesznostek/żałostek".
Ponownie z kronikarskiego obowiązu - wersja patcha dla kernela 2.6.24 to jakieś nieporozumienie. Po pierwsze pojawiło się kilka wersji patcha, po drugie, żadna nie nakładała się tak, by skompilowało się czysto (błędy składniowe C!). Udało mi się uruchomić po dłuższej walce (nie miałem wyboru - dziura vmsplice). Gdyby ktoś baaardzo potrzebował akurat tę wersję kernela, to mam spatchowane źródło - mogę wystawić.
Z kolei ten patch dla 2.6.25 nakłada się czysto na 2.6.25.6 i kompiluje bez problemu, więc polecam stosowanie tej wersji.
Patrzę na to, co się dzieje po ogłoszeniu błędu ze słabymi kluczami i jestem przerażony. Próbkę mam znikomą, ale generalnie administratorzy nie przejmują się błędem zupełnie - albo robią upgrade samej paczki (w przypadku Debiana upgrade openssh jest o tyle dobry, że automatycznie wykrywa znane słabe klucze serwera), co nie rozwiązuje problemu, bo słabe klucze już są wygenerowane, albo czekają (nie wiem na co...). A tymczasem konsekwencje dotyczą nie tylko Debiana, ale i innych systemów z dostępem przez SSH, a liczba kluczy, które były generowane na dotkniętych błędem systemach Debiana to tylko 32767[1] dla każdej długości klucza (dla lepszego zobrazowania - trzyliterowe hasło składające się z samych liter daje podobne zabezpieczenie), a hasło na klucz niczego nie zmienia (bo wersja niezabezpieczona zawiera się w tych 32 tysiącach).
Problem nie dotyczy tylko Debiana, ale wszystkich systemów, na których użytkownicy Debiana mogli ustawić słaby klucz jako zaufany. No i tu pora na narzekanie - żaden administrator systemu (brak jakichkolwiek restrykcji w dostępie via SSH) na których dodałem swój słaby klucz nie zareagował - usunąłem klucze samodzielnie. Ilu użytkowników jeszcze dodało tam słabe klucze - nie wiem. Wiem, że aktualnie w Debianie pojawiło się narzędzie ssh-vulnkey, które po wywołaniu ssh-vulnkey -a sprawdza wszystkie standardowe lokalizacje (także authorized_keys użytkowników) w poszukiwaniu słabych kluczy - zachęcam do skorzystania z niego i przeportowania na inne systemy.
Tak czy inaczej wygląda na to, że ogólnie poziom bezpieczeństwa w IT drastycznie spadnie. Niebawem będzie w użyciu masa skompromitowanych systemów, słabych certyfikatów itd., a ten problem dotyczy nie tylko administratorów, ale wszystkich użytkowników komputerów.
[1] źródło
Okazuje się, że działania developera Debiana były słuszne - przeanalizował kod, odkrył wykorzystanie niezainicjalizowanych obszarów pamięci jako źródła losowych danych (nie są/nie muszą być losowe), chciał to naprawić. W tym celu skontaktował się z developerami OpenSSL, potwierdzili oni błąd i sposób naprawy. Rzecz w tym, że uzgadniał zmianę w jednej funkcji, a tymczasem poprawił podobny kod w dwóch funkcjach. I teraz powstaje dylemat: czy faktycznie popełnił błąd źle oceniając działanie drugiej funkcji, czy może jednak w OpenSSL, w wersji oryginalnej, nadal w jednym z miejsc polega się na niezainicjalizowanej pamięci jako źródle losowych danych (co jest lepszą metodą, niż to, co wprowadził, ale nadal dalekie jest od ideału)? Mam przeczucie, że czeka nas niebawem jeszcze jedna wymiana kluczy, tym razem na wszystkich systemach...
W Debianie (i jego pochodnych) pojawił się paskudny błąd w pakiecie OpenSSL. Nie dotyczy to innych dystrybucji (chyba, że ktoś zaimportował klucze generowane na Debianie), oraz Sarge. Błąd w pakiecie OpenSSL powoduje, że generator liczb pseudolosowych jest przewidywalny. Zalecana jest aktualizacja pakietu i wygenerowanie wszystkich kluczy, które były generowane z użyciem OpenSSL od nowa. Zaleca się też uznanie kluczy DSA używanych na takich systemach za skompromitowane.
Źródło i więcej szczegółów: dsa-1571
Ostatnio w oko wpadł mi - arcyciekawy moim zdaniem - projekt, który ma na celu umożliwienie użytkownikom dystrybucji opartych o pakiety deb (na razie tylko Debian, wygląda na to, że przystosowanie do innych dystrybucji nie jest trudne) aktualizowanie systemu w nietypowy sposób, a mianowicie przez P2P. Nie chodzi o pobieranie płyt instalacyjnych, ale o zwykłą, codzienną aktualizację pakietów na komputerze.
USA to taki dziwny kraj, gdzie można dostać 25 lat więzienia w sprawie w której nie ma ciała, nie ma miejsca zbrodni, nie ma naocznych świadków i nie ma żadnego fizycznego dowodu. Za co więc można dostać owe 25 lat? Za zniknięcie ex żony, dziwne zachowanie i bycie "niegrzecznym i aroganckim" (tak powiedział sędzia po procesie). W każdym razie nie ma siły, która zmusi mnie do postawienia tam (USA) nogi.
Więcej: we wpisie nt. wyroku Reisera
Nie tak dawno temu zadzwonił kumpel przebywający na urlopie bez dostępu do netu. "Routerek mi padł - zajrzysz? Tzn. żyje ale NAT nie działa". Zajrzałem. Systemem okazało się być Gentoo, oczywistych błędów nie było widać... Ręczny start usług i... nie działa nadal. I tylko natowanie nie działa (Invalid operation przy próbie włączenia maskarady, mimo, że moduły są załadowane/wkompilowane). W logach błędów nie widać.
Ludziom zdarza się wysyłać SMSy. Założenie jest takie, by w możliwie małej objętościowo formie (koszt, limity wysłanych przez bramkę, łatwość odczytu przez odbierającego) przekazać maksimum informacji. Szczególnie przy okazji awarii takich, jak wczorajsza w Szczecinie warto minimalizować objętość. ;) Poniższy skrypt przedstawia sposób na skrócenie długości wiadomości w SMSach wysyłanych za pomocą polecenia sms z pakietu sms-pl (wersje na inne dystrybucje i systemy do znalezienia we własnym zakresie, ale opisany niżej algorytm jest uniwersalny i można go z powodzeniem stosować do wszystkich SMSów.
Postanowiłem zrobić backup książek telefonicznych plus upgrade oprogramowania. Jak się okazuje niewiele ponad kwartał spokojnie wystarcza do zapomnienia podstawowych komend (tu wazelina dla siebie za szybkie howto dot. podłączenia nokii 6030 do Linuksa), a zwłaszcza składni (slash czy backslash?), więc ku pamięci:
