kobak pont org

Tag: debuntu

  • két gépen

    Nem olyan régen történt, hogy egy régi leselejtezett gépet a saját szolgálatomba állítottam a suliban. Ennek előnye, hogy nem cipelem mindig magammal a laptopom a suliban, hátránya viszont, hogy ezáltal kevésbé otthonos. Azonban ha már van, ideje valahogy mégis otthonossá tenni.

    Első lépésként a már bevált, s kedvelt ubuntu telepítése következett, de ezt nemrég tönkretette az nvidia driver telepítés. A suliban pedig nem volt nálam más, csak egy újraírható miniCD, így debian netinstall iso került fel, s telepítettem debbel újra az egészet. A lenny pattan, s minden tökéletes. Sőt, valahogy jó érzés újra debiant használni.

    Mit telepítettem a gépre, hogy használható legyen? Nos, ez volt a nehezebb része a történetnek. A különböző oldalakról alapvetően kizártam magam, amikor arra a lépésre szántam el magam, hogy midnenütt valami generált, vagy megjegyezhetetlenül idióta jelszót használjak. Saját gépen persze minden tárolva van, így nem okoz problémát, de ha valahol be kell lépnem gyorsan a viddlerre, vimeora, vagy valami nem napi használt oldalra, akkor bizony baj van. Erre a célra ott a Pastor nevű app a gépemen, aminek elvileg készül az iPhone/touch változata, így az élet egyszerűvé válna, de még sajnos nincs kézzel fogható eredmény. Megoldásként maradt a szükséges jelszavak plaintxt exportja, s a gondolat egy crossplatform megoldásra való váltásról.

    Tehát adott a kicsit lassú iskolai hálózat, meg a szűz debian install. Alapvetően gnome párti vagyok (voltam már kezdetektől kisebb xFce, meg fluxboxos kitérőkkel), s egyelőre az van a gépen, de gondolkozom a *box-ok valamelyikére való váltáson erőforrás kímélés miatt. Ezt majd meglátjuk. Elsőnek előkerítettem a “firefox debian változatát”, s kipróbáltam rajta a firefox extensionokat, amiket használok. Minden OK.
    Második lépés a pidginbe belepakolni a használt szolgáltatásokat. Minden OK, bár vágyam a Lipi féle kontaktlista, amiről azóta is némán hallgat, hogy hogyan lehet létrehozni. 🙂
    Harmadik volt a Dropbox belövése. Külön accounttal használom, mint az itthonit, így a maces és linuxos dolgok nem keverednek. Van egy megosztott mappa, amiben a dolgozatok, s egyéb dokumentumok (túlóra elszámolás, stb.) szinkronizálódnak. Debian Lennyre simán jók a gutsy repo buildjei, így nem kell bűvészkedni, mint jaunty alatt kellett.
    Negyedik lépés a LaTeX telepítés, illetve az OpenOffice magyar helyesírás ellenőrző volt. Mindkettő gond nélkül felment a gépre.
    Ötödik a szinkronizálás teljes megoldása volt, ami szintén simán ment, mivel — bár sokáig ellenálltam, végül beadtam a derekam, s — google readert használok feedolvasásra. Az érdekesebb cikkek, amiket meg itthon még meg akarok nézni, azok mennek az instapaperbe, ha pedig mások számára is érdekesnek tartom, akkor a greader megosztásba.

    A fenti instrukciókkal minden szükséges dolog elérhető bentről is, s a bent végzett dolgaimat az itthoni gépen tudom kezelni. A rendszer gyenge pontja a dropbox lehet, de ott csak a dolgozatok tárolódnak, meg pár beállító script, így ha valaki azokat megszerzi nem leszek nagyon szomorú (bár nem örülnék neki. A dolgozatok nagy része egyébként is elérhető online). A jelszavak természetesen a benti gépen is biztonságosan vannak kezelve. Azok szinkronizálása még nem megoldott, azonban ritka mostanában, hogy tömegesen regisztrálnék új oldalakra, amit itthon is, s bent is rendszeresen használnék.
    Ennek ellenére azért néha nálam a laptop, mert sebesség kell (a benti gép szegény tényleg nem egy mai darab), vagy ha olyan fájlok, környezet, amit a laptop biztosít.

  • apache -> lighty

    Míg minden attól hangos a magyar interneten, hogy mi történik a Startup konferencián, s hogy mi lesz, s mi nem lesz az új 3.0-ás iPhone firmwareben, addig én debian upgradeltem az egyik iskolai szerveren.

    Ez általában viszonylag fájdalommentes folyamat szokott lenni, bár már nem is emlékszem az utolsó ilyen bátor dist-upgrade lépésre (kicsit rendszertelenek a debian frissítések:-)). Most se történt semmi baj, csak az eddig használt apache 1.x nem része már a Lennynek, így kénytelen voltam valami mást keresni. Az apache2 jó, de az adott gépen nem találtam megfelelőnek, mivel alig lenne kihasználva a tudása, viszont a kevéske memóriát valószínűleg elfogyasztaná.

    A választás eztán a lightyra esett. A konfigja áttekinthető, bár meg kellett szokni az apache után. Azt az egy weboldalt, amit az iskolai hálózatban ki kell szolgálnia, azt teszi tökéletesen. PHP5 megy cgi-vel, MySQL+PHP működik, ssl-hez kellett cert, de az is van. És tényleg gyors, s kicsi. Vicces, hogy pár éve még nem voltam ennyire elégedett vele. 🙂

    Mostanra azonban már eljutott bőven arra aszintre a lighty, hogy nyugodt szívvel ajánlható éles rendszerekre is, nem csak mobil kütyükre, meg otthoni játékra.

  • shipit Magyarorszagra

    Az ubuntu shipit programja, ahol ingyenes ubuntu CD-ket lehet igényelni nem szereti a magyar á és é betűket, ezért is a címbeli ékezettelenség:

    shipit

    Átjavítottam, s azután elfogadta. Azért egy picit furcsállottam a dolgot.

  • cacti remote exploit

    A cacti egy nagyon szép kis program. Mindent elemez, grafikont csinál belőle, s ezt gyönyörűen meg is mutatja, ha kérjük. Ideág a történet szép része.

    Ma figyelmeztettek, hogy az ultimate.hu domainemre egy phishing oldalt helyeztek el. Először az e-mailre megírtam a válaszom, hogy ugyanmár, biztos csak valami rossz vicc. Aztán megkaptam a pontos címet, s látom, hogy a cacti mappájában van az oldal. Megijedtem, amikor megláttam. Aztán elkapott a harci kedv.

    Első lépésként ledaráltam a cactit. Előtte elmentettem a tartalmát későbbi elemzések céljából. Archiváltam a logokat, mindent, ami bizonyítja az állapotot. Ezután elkezdtem vadászni, hogy mi is jelenthette a gondot, hogy jutott be az illető. Nem szeretném bántani a kedves script kiddiet (azért letörném mindkét kezét, hogy ne érinthessen billentyűzetet többet), de nem praktikus saját e-mail címre küldeni a halászott jelszavakat. A cacti fórumban van egy perl script, aminek segítségével elég sokminden kideríthető a támadóról.

    A cactin keresztül, mint ez már kiderülhetett sétált be. Fogta, s kihasználta a 0.8.6.j előtti verziókban található nyilvános biztonsági rést. Nálam a h volt fenn. Csomagból telepítve, testreszabva, beállítva.

    Ezután körülnéztem pár nagyobb disztribució csomagjai között. A hivatalos debian stable terjesztésben (sarge) a c van, de javították benne már a hibát. Gentooban a j már testingként telepíthető. Ubuntu dapperban a h van, edgyben az i. Emberek, jó reggelt!

    Aki használ cactit, az frissítsen gyorsan a j-re, s felejtse el a csomagokat!

  • mai újdonságok (updated)

    Megjelent kedvenc blogmotorunk, a WordPress 2.0.3 verziószámú frissítése. Az új kiadás főleg hibajavításokat tartalmaz.

    Ezenkívül megjelent a Firefox és a Thunderbird 1.5.0.4 -es verziója.

    Mindegyik esetben ajánlott a frissítés.

    update:Ja, az is kimaradt, pedig fontos, hogy megjelent az ubuntu legújabb dapper drake fantázianevű változatának stabil kiadása. Itt egy csomó torrent. Ezt is tessék kipróbálni! 🙂

  • linuxos picasa

    Egyelőre még csak amerikaiak számára elérhető a dolog, de egy ügyes proxyval, amerikai nagybácsival, egyéb trükkel nekünk is lehet linuxos picasánk.

    A http://picasa.google.com/linux/ linken található egy .deb, egy .rpm, illetve egy .bin file. A .deb-et töltöttem le, ami tökéletes ubuntura (többen írták, hogy működik), de a debian sid is megeszi.

    Letöltéshez én a tort használtam. Találtam pár nyilvános amerikai illetőségű nyilvános proxyt, s azon keresztül jutottam a progihoz.

    A dologról az ubuntu blogon értesültem.

    update: A bejegyzés címét megváltoztattam. Nem tudom, hogy a proxy a hibás, amit használtam, vagy még ennyire gyerekcipőben jár a projekt, de nekem hibásak a letöltött file-ok. Így még nem tudok nyilatkozni a picasa linuxon való használhatóságáról.

    update2: A proxy volt a ludas. Nem engedett letölteni. Azonban az érdekes az, hogy csak a picasa linuxos főoldala nem érhető el Amerikán kívülről. A közvetlen link a debre működik proxy nélkül is.

    További infó a google operating system blogon

  • a tmp fontos könyvtár

    Jajj, az imént éppen leizzadtam egy kicsit, mert nagy átalakítások közepette, megváltoztattam a /tmp jogosultságait. A dolog nem volt szándékos. Viszont, amikor láttam, hogy a mysql sír, hogy nem jó neki ez így, hírtelen nem tudtam hova kapjak. Aztán fél perc nyugi, s gyorsan visszaállítottam a jó rendet.

    Sietni kellett, mert indulnom kell kosarazni. 😉

  • figyelmetlenség

    Tegnap este kiadtam az itthoni gépen egy apt-get update && apt-get upgrade && apt-get dist-upgrade && apt-get clean; init 0 parancsot. Ez ugyebár szépen leszedte a frissítéseket.

    Ma nyomtam egy control+r kombót, beírtam, hogy update, rá egy entert, s csodálkoztam, hogy kikapcsolt a gép. 🙂

  • ssh brute force “védelem”

    Régóta gondolkozom, hogy mi a legpraktikusabb megoldás az ssh-n keresztül próbálkozó script kiddiek ellen. Nyilvánvaló, hogy nem engedek rootot ssh-n keresztül belépni, s nincsenek triviális userek se engedélyezve. Ami a dologban legjobban zavar, hogy teleszemetelik a logokat, meg feleslegesen dolgoztatják a gépet.

    Még régen találtam ezt a jó kis wikit. Többször végigfutottam már, s eljátszottam mindegyik megoldással.

    Végül amellett az egyszerű megoldás mellett döntöttem (amit egyébként sok más helyen is alkalmazok), hogy átpakolom az ssh-t a 22-es portról máshova.

    A port knocking szintén dobogós megoldás volt, de körülményes volta miatt, végül a második helyen végzett. Ugyanez a kör, hogy csak bizonyos hostokról engedélyezzem az ssh-t. Jó, de lehet, hogy ezzel saját magamat szivatnám meg.

    A BlockHosts, DenyHosts, fail2ban és hasonló szolgáltatásokat azért is vetettem el, mert mi van, ha valakinek feltörték a gépét, s onnan próbálkoztak. Mi van, ha én kapom majd azt az ip-t, amit esetleg letiltottam? (egy időben tiltottam ip-ket, de nem éri meg)

    Amit még csináltam, hogy korlatoztam a fickokat, akik probalkoznak:

    iptables -A INPUT -p TCP -s fehérlistázandó_IP_cím --syn --dport ssh -j ACCEPT
    iptables -A INPUT -p TCP --syn --dport ssh -m recent --update --seconds 60 --hitcount 3 -j DROP
    iptables -A INPUT -p TCP --syn --dport ssh -m recent --set -j ACCEPT

    Így már remélem minden OK lesz. 🙂

    Források a fent említetteken kívül: hup és megint hup. Végül pedig debian-administration.