Fort Apache

Намедни отсмотрел фильму «Форт Апачи», что в оригинале «Fort Apache» аж 1948 года.

Режиссер John Ford, в главных ролях John Wayne, Henry Fonda.

Генри, честолюбивый и беспощадный вояка, приезжает в дальние ебеня, фактически, в ссылку. И начинает наводить свои порядки, имея целью если не прославиться, то заявить о себе и выбраться из этой дыры.

Фильма интересная и забавная. Типа вестерн с комедийным уклоном. Правда, юмор местами нуар, но от этого только интереснее послевкусие.

original post http://vasnake.blogspot.com/2015/01/fort-apache.html

Python 2.4

Как я ранее упоминал, гражданин Н. купил себе хостинг, где на 512 мегабайт оперативки установлен Debian 7 amd64. Хостинг был взят с целью поднять на нем СЭД NauDoc. Про Наудок мы поговорим позже, сейчас достаточно понимать, что это древнее говно мамонта требует Python 2.4. В пакетах такого уже нет, поэтому собирать будем из исходников.

Конечно, если бы все было просто, я бы не стал писать эту мутоту. Все непросто. Забегая вперед, могу сказать, что основная сложность в том, что теперь библиотеки и хидеры лежат несколько в других папках файловой системы, нежели во времена Python 2.4. Я на этом нюансе потерял несколько часов жизни. Надеюсь, этот пост поможет кому-нибудь сэкономить время.

Итак, установка необходимых пакетов

su -l
aptitude search libbz2 libsqlite3 libreadline zlib1g libncurses5 libssl libgdbm | less
aptitude search libbsd libssl
aptitude install build-essential dkms checkinstall
aptitude install libbz2-dev libsqlite3-dev libreadline-dev zlib1g-dev libncurses5-dev libssl-dev libgdbm-dev
aptitude install libbsd-dev libsslcommon2 libsslcommon2-dev libcurl-dev libcurl3
aptitude install tk8.4 tk8.4-dev tk8.5 tk8.5-dev python-tk tcl-dev tcl8.4 tcl8.4-dev
apt-get build-dep python

Распаковка дистра, правка конфигов

su -l valik
pushd ~/t/NauDoc-6/
tar zxf Python-2.4.4.tgz
cd Python-2.4.4
nano setup.py
nano Modules/Setup.dist

Правки конфигов были такие

--- Modules/Setup.dist.orig     2014-11-25 18:49:13.153936201 +0300
+++ Modules/Setup.dist  2014-11-25 19:14:07.609936201 +0300
@@ -309,11 +309,11 @@
 # every system.

 # *** Always uncomment this (leave the leading underscore in!):
-# _tkinter _tkinter.c tkappinit.c -DWITH_APPINIT \
+ _tkinter _tkinter.c tkappinit.c -DWITH_APPINIT \
 # *** Uncomment and edit to reflect where your Tcl/Tk libraries are:
-#      -L/usr/local/lib \
+ -L/usr/lib \
 # *** Uncomment and edit to reflect where your Tcl/Tk headers are:
-#      -I/usr/local/include \
+ -I/usr/include/tcl8.4 \
 # *** Uncomment and edit to reflect where your X11 header files are:
 #      -I/usr/X11R6/include \
 # *** Or uncomment this for Solaris:
@@ -328,7 +328,7 @@
 # *** Uncomment and edit for TOGL extension only:
 #      -DWITH_TOGL togl.c \
 # *** Uncomment and edit to reflect your Tcl/Tk versions:
-#      -ltk8.2 -ltcl8.2 \
+ -ltk8.4 -ltcl8.4 \
 # *** Uncomment and edit to reflect where your X11 libraries are:
 #      -L/usr/X11R6/lib \
 # *** Or uncomment this for Solaris:

и

--- setup.py.orig       2014-11-25 17:50:51.857936201 +0300
+++ setup.py    2014-11-25 18:36:12.349936201 +0300
@@ -268,7 +268,7 @@
         # be assumed that no additional -I,-L directives are needed.
         lib_dirs = self.compiler.library_dirs + [
             '/lib64', '/usr/lib64',
-            '/lib', '/usr/lib',
+            '/lib', '/usr/lib', '/usr/lib/x86_64-linux-gnu', '/lib/x86_64-linux-gnu',
             ]
         inc_dirs = self.compiler.include_dirs + ['/usr/include']
         exts = []
@@ -496,7 +496,8 @@
                 ssl_incs += krb5_h
         ssl_libs = find_library_file(self.compiler, 'ssl',lib_dirs,
                                      ['/usr/local/ssl/lib',
-                                      '/usr/contrib/ssl/lib/'
+                                      '/usr/contrib/ssl/lib/',
+                                      'x86_64-linux-gnu'
                                      ] )

         if (ssl_incs is not None and

Компиляем

cp Modules/Setup.dist Modules/Setup
script -t 2>~/python24.time ~/python24.script
./configure --prefix=/opt/python24
make clean
make
^d

и устанавливаем

su -l
mkdir -p /opt/python24
pushd /home/valik/t/NauDoc-6/Python-2.4.4
script -t 2>~/python24.time ~/python24.script
make install
checkinstall -D
^d

Сообщение от checkinstall

 Done. The new package has been installed and saved to
 /home/valik/t/NauDoc-6/Python-2.4.4/python24_2.4.4-1_amd64.deb
 You can remove it from your system anytime using:
      dpkg -r python24

Значит, Python 2.4 установился и готов к боевому дежурству.

original post http://vasnake.blogspot.com/2015/01/python-24.html

The Life Aquatic with Steve Zissou

Намедни отсмотрел фильму «Водная жизнь», что в оригинале «The Life Aquatic with Steve Zissou» 2004 года.

В главных ролях Bill Murray, Owen Wilson. Режиссер Wes Anderson, известный нам по таким работам как The Royal Tenenbaums (2001) и Fantastic Mr. Fox (2009).

Билл – исследователь морских глубин, документалист (Кусто?), теряет друга в пасти неведомого морского чудовища. После чего, вопреки всему, собирает новую экспедицию с целью найти монстра и жестоко отомстить. И все это на фоне запутанной семейной жизни. Пираты тоже будут.

Комедия, которую, блестящий Билл превращает в дурдом. Местами. Я посмотрел с удовольствием, мне нравится Билл Мюррей. И Оуен Вилсон. И Jeff Goldblum, хотя его там немного.

original post http://vasnake.blogspot.com/2015/01/the-life-aquatic-with-steve-zissou.html

firewall

Безопасный способ настройки файрволла в Debian.

Изучив вот эти страницы, нижеописанное можно и не смотреть

* http://vasnake.blogspot.ru/2014/07/safe-way-to-setup-firewall.html

* https://wiki.debian.org/iptables

Сначала сделаем предохранитель. Скрипт, отключающий фильтрацию трафика:

nano ~/disable_fw.sh
#!/bin/bash
RHEL=false
IPT=/sbin/iptables
IPT6=/sbin/ip6tables

main() {
    if [ "$RHEL" == "true" ];
    then
        # reset firewall using redhat script
        /etc/init.d/iptables stop
        /etc/init.d/ip6tables stop
    else
        # for all other Linux distro use following rules to reset firewall
        reset_iptables ${IPT} "/proc/net/ip_tables_names"
        reset_iptables ${IPT6} "/proc/net/ip6_tables_names"
    fi
}

reset_iptables() {
    local ipt_bin="${1}"
    local tables="${2}"

    $ipt_bin -P INPUT ACCEPT
    $ipt_bin -P OUTPUT ACCEPT
    $ipt_bin -P FORWARD ACCEPT
    $ipt_bin -F
    $ipt_bin -X
    $ipt_bin -Z

    for table in $(<$tables)
    do
        $ipt_bin -t $table -F
        $ipt_bin -t $table -X
        $ipt_bin -t $table -Z
    done
}

main

https://gist.github.com/vasnake/de19b6162ed97b0fd92b

Зарядим этот скрипт в cron, чтобы вырубал нам файрволл каждые пять минут:

nano /etc/crontab
...
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
*/5  *  *  *  * root bash /root/disable_fw.sh

Проверим, как оно работает, создав простое правило фильтрации и отследив, исчезнет ли оно в течение пяти минут:

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
watch -d "iptables -L --line-numbers -nv"

Теперь напишем правила фильтрации:

nano ~/iptables.test.rules
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --update --seconds 55 -j DROP
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --set -j ACCEPT
# -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
# -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Загрузим их в файрволл

iptables-restore < /root/iptables.test.rules

и проверим как-нибудь.

Допустим, все работает как надо.

Раз работает, можно настроить загрузку правил при старте сети (запуске машины):

iptables-save > /etc/iptables.up.rules
nano /etc/network/if-pre-up.d/iptables
#!/bin/sh
/sbin/iptables-restore < /etc/iptables.up.rules
# EOF

chmod +x /etc/network/if-pre-up.d/iptables

Аналогично для IPv6

Правила фильтрации для IPv6:

nano ~/ip6tables.test.rules
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --update --seconds 55 -j DROP
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --set -j ACCEPT
#-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
#-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited
COMMIT

Загрузка для теста

ip6tables-restore < /root/ip6tables.test.rules

и как-то проверить.

Когда готово, обеспечить загрузку правил при запуске сети:

ip6tables-save > /etc/ip6tables.up.rules
nano /etc/network/if-pre-up.d/iptables
#!/bin/sh
/sbin/iptables-restore < /etc/iptables.up.rules
/sbin/ip6tables-restore < /etc/ip6tables.up.rules

Финальные проверки (перезапуск хоста, простукивание портов, etc).

И отключение предохранителя, закомментировав запуск обнулятора в cron:

nano /etc/crontab
...
#*/5  *  *  *  * root bash /root/disable_fw.sh

Наслаждайтесь.

original post http://vasnake.blogspot.com/2015/01/firewall.html

Dallas Buyers Club

Намедни отсмотрел фильму «Далласский клуб покупателей», что в оригинале «Dallas Buyers Club» 2013 года.

В главной роли Matthew McConaughey, известный нам по фильмам Mud, EdTV.

История про то, как резко поменялась жизнь простого техасского паренька, после того, как у него обнаружили HIV/AIDS и объяснили, что жить ему осталось несколько месяцев.

Тут и про фармакологическую мафию и про FDA, и про говно в мозгах обывателей. Про все.

Интересная фильма, посмотрите, не пожалеете.

original post http://vasnake.blogspot.com/2015/01/dallas-buyers-club.html

SSH

Узелок на память, как я настраивал доступ к серверу (VDS/VPS) через SSH.

Основные идеи были такие:

- обеспечить админам доступ к серверу;

- защитить вход исходя из разумной степени параноидальности.

Что вылилось в конфигурацию, где TCP port SSH закрыт правилом файрволла

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --update --seconds 55 -j DROP
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --set -j ACCEPT

Это означает, что за одну минуту к телу пропускается только одна попытка коннекта. Тут есть огромный подводный грабель — вредитель с легкостью устраивает атаку DOS, просто повторяя в цикле попытки коннекта. В этом случае никто, даже легитимный админ, не сможет открыть сессию SSH. Это можно исправить, применив что-то вроде Fail2Ban. Чтобы вредителей вносили в черный список после нескольких попыток, и блокировка файрволлом по списку должна быть раньше правила минутной паузы. Но, для начала, и так сойдет.

Затем админам выдаются ключи и SSH настраивается так, чтобы доступ получали только по ключам. И, конечно, root забанен.

На сервере предварительно создается пользователь valik с домашней папкой и папкой ~/.ssh. Затем на станции генерим ключ

ssh-keygen -t rsa -b 2048 -f valik.key
ssh-copy-id -i valik.key valik@123.45.678.24

Обратно на сервере, правим конфиг

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.orig
nano /etc/ssh/sshd_config
...
Protocol 2
ListenAddress 0.0.0.0
LoginGraceTime 30
MaxStartups 3:50:10
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
...
# EOF
service ssh restart

Значения всех этих параметров смотри в документации.

Потом я еще добавил logwatch

https://www.digitalocean.com/community/tutorials/how-to-install-and-use-logwatch-log-analyzer-and-reporter-on-a-vps

http://mewbies.com/how_to_install_and_configure_logwatch.html

и легкие приступы паранои отступили.

Источники:

• https://stribika.github.io/2015/01/04/secure-secure-shell.html
• https://wiki.debian.org/SSH#SSH_and_security
• http://xgu.ru/wiki/SSH
• http://bog.pp.ru/work/ssh.html
• http://security.stackexchange.com/questions/5096/rsa-vs-dsa-for-ssh-authentication-keys
• http://www.howtoforge.com/set-up-ssh-with-public-key-authentication-debian-etch
• http://howto.biapy.com/en/debian-gnu-linux/system/security/harden-the-ssh-access-security-on-debian
• http://www.opennet.ru/base/sec/ssh_tips.txt.html
• http://www.opennet.ru/base/sec/ssh_intro.txt.html
• http://superuser.com/questions/303358/why-is-ssh-key-authentication-better-than-password-authentication
• https://www.google.ru/search?q=ssh+site:vasnake.blogspot.com

original post http://vasnake.blogspot.com/2015/01/ssh.html

Покатушки

Как известно, 27 декабря 2014 года я таки сдал экзамен в ГИБДД, с третьей попытки. Это была суббота. Воскресенье, понедельник — ГИБДД не работает. Вторник 30 декабря, я иду получать драйверскую лицензию, ака водительское удостоверение.

Платежку на оплату пошлины (800 рублей) я еще в субботу прихватил в окошке №5, в субботу же и оплатил в Сбербанке. И вот, с паспортом и квитанцией из Сбербанка я к 11 утра пытаюсь получить из терминала талончик на «получение ВУ после экзамена». Талончик остался практически один, на 17:45. Но даже тот факт, что мне опять придется подарить целый день жизни злоебучему ГИБДД, не может испортить мне радужное настроение. Я сдал экзамен, я свободен!

Теоретически, можно записаться на прием через госуслуги и не зависать целый день на стульчике в отделении. Не знаю, не пробовал.

Целый день, с перерывом на обед (погулял по Ашану, купив автозарядку в прикуриватель; пообедал в Бургеркинге), я продремал в теплом уголке. Наблюдения за окошком №5 показали, что в окошке живет злобная девка, работающая в пакетном режиме. Полчаса она ищет и собирает документы, потом полчаса зазывает народ через матюгальник, в стиле «кто на получение ВУ с Х часов до У часов, подойдите к 5-му окну». Народу немного, даже впечатление сложилось, что в час не более пяти человек. В окне она смотрит паспорт и квиток из Сбербанка, находит твои доки и говорит, что надо идти ждать у кабинета №1. Там фото делают и печатают удостоверения.

Я попытался влезть без очереди, но злобная девка №5 сказала, что никак нельзя, ждите пока талончик ваш позовут. В итоге, к пятому окошку меня позвали где-то в половине шестого. Немного раньше, чем назначено.

Потом я еще полчаса ждал фотографии, и еще пять минут, пока заламинируют карточку.

Похоже на то, что 10 человек в час эта система обрабатывает. И не похоже, что сотрудники лодырничают.

Вот так, 30 декабря я получил свою драйверскую лицензию.

А 31 декабря я взял в аренду Ладу Ларгус и повез семью в Малаховку, отмечать Новый Год!

Машину мне дали на четыре дня, 4 января надо было вернуть. За это время я два раза съездил в Малаховку, забрал и развез народ по домам в Москве, съездил в Икею и Метро. Сжег больше 30 литров бензина и накатал больше 300 километров.

Клево, мне понравилось. Народу тоже. Тепло, сухо, мухи не кусают, едешь себе.

С погодой, конечно, 31 числа не очень было. Сугробы, темно, с неба сыпет — экстремальненько. На пятую передачу даже на окружной почти не переключался. Зато в новом году, когда дороги почистили, покатались знатно. По кольцу на пятой, под сотню км/ч, ух.

Как ни странно, никаких проблем с перестроениями я не испытывал. Достаточно ехать с той же скоростью, что и задний, лучше — чуть быстрее, и перестраивайся на здоровье. Наверное, меня и вправду научили нормально ездить. Вот парковаться толком не научили. Габаритов не чувствую, дугу маневра не представляю. Приходится взад-назад по пять раз дергать. Да еще с помощником, чтобы не долбануть ничего.

Правда, Ларгус это еще тот сарай. Большой и с хреновой обзорностью назад.

Впрочем, на drom.ru про него все написано. И про кривой сход-развал, машину в сторону тянет постоянно; и про запотевание стекол; и про необходимость выключать зажигание при заправке, про все. Зато 7 человек везет и не кашляет. Дешево и сердито.

Да, подвеска у Лагруса — супер. Когда едешь пустой, потряхивает, конечно, немного. Но загруженный едет плавно, как лимузин. И все ямки, неровности, вплоть до лежачих полицейских глотает почти незаметно.

original post http://vasnake.blogspot.com/2015/01/blog-post.html