Журнал Витуса. Голосов: 2 Адрес блога: http://vitus-wagner.livejournal.com/ Добавлен: 2008-02-19 12:48:41 блограйдером Lurk

Жалобное

2015-06-15 09:39:54 (читать в оригинале)

Компьютер у меня тут в пятницу решил изобразить из себя космический зонд LightSail. Похоже что наступил я на ту самую граблю с ext4 filesystem corruption, ради исправления которой Debian срочно выпускал первый апдейт jessie. Причем апдейт-то уже стоял, и даже по-моему я уже с новым ядром загрузился. Но поврждение файловой системы уже случилось и в пятницу днем компьютер перестал внезапно отвечать по ssh, а по http(s) на все говорил 403 Forbidden.

Прикол в том, что дома не было вообще никого кто бы мог нажать на кнопку Reset. Даже кота. Катя была в Индонезии (и добралась до дома часа на четыре раньше нас), а все остальные - в деревне.

Пришлось срочно поднимать давно запланированный альтернативный способ выкладывания картинок на www.wagner.pp.ru (до этого штатный способ для всех был rsync по крону public_html из дома на хостинг), потому что Ире срочно потребовалось выкладывать туда какие-то фотографии, и почтовый сервер на Banana PI. Почтовый сервер при этом пришлось поднимать с самоподписанными сертификатами, потому что удостоверяющий центр где? Правильно - на домашнем компьютере и на бэкапном диске который тоже в Москве остался.
(это, конечно, неправильно и проблему географически разнесенных бэкапов надо решать не только для содержимого www сервера).

В субботу пахал поле и порвал мотоблоку тросик сцепления. Нет, они у меня примерно раз в год рвутся. Может всё-таки собраться и купить родной тросик, а не пихать туда восьмерочный тросик газа? Но восьмерочный тросик газа берется в любых автозапчастях в Селижарово, а родные запчасти к продукции завода Калужский Двигатель пойди найди.

Когда менял тросик, уронил ключ на 12 в щель в полу в гараже. И теперь он там останется до будущих археологов, потому что пролезть под гараж может только Дымсик, а он поноску носить не обучен.

В воскресенье поливал то, что недопахал в субботу и потом докапывал лопатой, так стравился насос для поливки огорода.

Поехал в Москву из деревни, так на любимой колонке бензина не было. Пришлось на Шелле заправляться. Разница в цене бензина и кофе в общем фигня, но там столики в кафе не такие удобные.

И после этого Ира еще жалуется что у нее в эти выходные сплошные неудачи. Это у меня неудачи. А у неё, когда она соберется выложить вчерашние фотографии, вы увидите что сплошные удачи.

А ещё Катя, приехав домой, не смогла открыть вентиль холодной воды, который я перед отъездом закрыл. Горячую открыла, газ открыла, а холодную никак. Пришлось ждать меня. Хотя по-моему оно там без особого усилия открывается.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1097028.html. Please comment there using OpenID. Now there are comments

---

И вы так говорите

2015-06-14 09:08:15 (читать в оригинале)

http://www.reuters.com/article/2015/06/14/us-britain-security-idUSKBN0OT0XF20150614

Тут вот пишут, что наши родные спецслужбы, и китайские тоже, расшифровали сноуденовские файлы. И по этому поводу британцы срочно выводят из под удара своих агентов, работавших со времен холодной войны.

Вообще, конечно могли и взломать. В конце концов любое симметричное шифрование сводится к паролю, который можно запомнить, а их количество конечно. И если за дело берутся спецслужбы двух крупных держав (особенно если договорятся поделить работу и честно поделятся результатами), то за несколько лет вполне можно добиться успеха.

Но ещё интереснее, если это блеф.

У любой спецслужбы всегда есть информация, которой она не может воспользоваться в оперативных целях, потому что это значит засветить источник этой информации. Так было с "Энигмой" во время Второй Мировой, и вообще этих случаев полно.

Теперь представим себе, что у России есть агент в МИ-6 который слил информацию про нескольких агентов в России. Если их сейчас взять, то британцы начнут копать, и с высокой вероятностью накопают. Размен получится (допустим) невыгодный.

А теперь представьте, что у нас есть копия сноуденовского винчестера. И британцы знают, что она у нас есть (а весь мир знает, что у русских и у китайцев эти копии есть). Мы берем и сливаем информацию, что мы расшифровали эти файлы, и в подтверждение берем нескольких агентов, данные о которых вообще-то получены из совершенно других источников.

Результат превосходит все ожидания - британцы начинают сворачивать и выводить из под удара ВСЮ свою шпионскую сеть. Спасибо АНБ за наше счастливое детство.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1096837.html. Please comment there using OpenID. Now there are comments

---

Сервер

2015-06-13 20:19:18 (читать в оригинале)

Вот такой у меня теперь сервер. На нем лежит спичечная коробка для масштаба.

(тот ствол, который там сзади - ребенкова игрушка).

В корпусе предусмотрено место под диск, но диск я туда пока подключать не стал.



This entry was originally posted at http://vitus-wagner.dreamwidth.org/1096589.html. Please comment there using OpenID. Now there are comments

---

SNIproxy

2015-06-12 18:02:16 (читать в оригинале)

Нашел тут замечательный инстурмент SNIProxy

Позволяет решить задачу раскидывания https-траффика по машинам (в том числе виртуальным), сидящим за однм внешним IP. Причем полноценного такого раскидыванрия. когда каждый сервер имеет собственные ключи и хранит их у себя, может сам проверять клиентские сертификаты etc.

Под Bananian собралось, тестирвоать еще не тестировал, потому что для тестирования нужно иметь хотя бы два https-ных сервера, в локальной сети. А у меня в ЭТОЙ сети нет ни одного.

Хотя, конечно, такую штуку надо держать на роутере, а не на одном из серверов внутри сети. Но собирать ее под dd-wrt или openwrt мне ломы.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1096121.html. Please comment there using OpenID. Now there are comments

---

Про openvpn

2015-06-11 16:40:48 (читать в оригинале)

Допустим, что у нас есть openvpn-сервер, который push-ит клиенту маршрут на некоторую сетку.
push route 192.168.217.0 255.255.255.128 192.168.217.129 (где последнее - адрес серверного конца vpn)
Теперь допустим что клиент физически подключен к этой самой сетке. И пытается зачем-то (например по привычке или в тестовых целях) поднять эту vpn.

Хорошо ему не будет и мало ему не покажется.

Ну то есть понятно, что следует делать:

1. Добавить в конфиг клиента опцию route-noexec. Тогда openvpn не будет ставить route сама, а будет передавать ее скрипту прописанному в опции route-up

2. Написать такой скрипт, который бы проверял, не являются ли переданные route локальными, и если не являются честно их устанавливал

Вот с написать такой скрипт - у меня почему-то вызвало определенные затрудниения.

#!/bin/sh
/tmp/route-up.log
for i in 1 2 3 4 5 6 7 8 9 10; do
        network=`eval "echo \\\$route_network_$i"`
        netmask=`eval "echo \\\$route_netmask_$i"`
        gateway=`eval "echo \\\$route_gateway_$i"`
        if [ -n "$netmask" ]; then
                if ip route show|grep "^${network}/"; then
                        echo found
                else
                        route add -net ${network} netmask ${netmask} gw ${gateway}
                fi
        fi
done
exit 0

http://vitus-wagner.dreamwidth.org/1095767.html. Please comment there using OpenID. Now there are comments