![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vitus_wagnerКогда-то давно это были категории живые, мертвые и ушедшие в море. С тех пор изобрели радиосвязь и люди, ушедшие в море уже ничем не отличаются от живых.
Теперь люди делятся на живых, мертвых, и тех у кого разрядился телефон.
(впрочем прежде чем написать про это в DW я впихнул это в "Звезду из созвездия Лебедь"). В качестве части инструктажа по технике безопасности по полевым работам на Марсе.
vitus_wagnerКогда-то давно я поставил себе на ноутбук пакет v2ray. Который на самом деле v2fly. На предмет документацию почитать и вообще разобраться в этих технологиях обфускации.
Документации в пакете не обнаружилось.
Вчера при апгрейде я присмотрелся и обнаружил что оказывается при установке этот пакет автоматически запускает сервер, к которому можно коннектиться по протоколу v_mess и пользоваться им как прокси для всего интернета.
Это называется "бойтесь". Правда, дальнейшее разбирательство показало, что бояться рано. uuid который надо знать, чтобы приконнектиться, генерируется случайным образом postinst скриптом пакета.
Что-то это мне напоминает устроенную вчера на слэшдоте панику насчет того, что более дюжины популярных в США VPN-приложений сделаны в Китае. Тиипа а что вы хотели? Китайцы первыми столкнулись с таким явлением как Большой Государственный Файрволл. Следовательно именно у китайцев есть больше всего наработок по поводу обхода цензуры.
Но поскольку для американца все китайцы на одно лицо, они там не различают китайских диссидентов, китайских гиков, обходящих запреты ровно потому что это запреты и функционеров КПК. Поэтому "если китайское, то стучит непосредственно товарищу Си".
Так же и тут "если запустило сервис не спросясь меня, причем в режиме сервера, а не клиента, значит бэкдор". Ну в общем раз он все равно работал, пришлось настроить.
Вот интересно, а если завернуть openvpn over tcp унутрь этого v2ray который работает в режиме websocket по 443 порту - оно сильно тормозить будет или не очень. На том конце у него будет, естественно openvpn сервер на той же машине, что и веб-сервер в режиме ws proxy и v2ray сервер.
Опять же возникает проблема - как менеджить базу uuid-ов. У меня же толпа ноутбуков и мобильных телефонов.И, естественно, каждому я выдаю свой uuid. Чтобы в случае утери или иной компрометации девайса можно было его того, экскоммуницировать. Пока имя устройства в конфиге сервера комментарием прописываю. Но это требует редактирования конфига сервера при каждом добавлении устройства. Правда, не перезапуска сервисов - я там десяток uuid-ов про запас прописал.
vitus_wagnerЗлые мыши прогрызли парус к байдарке, лежавший на чердаке. Аутригеры на первый взгляд не трогали. Саму байдарку я еще не смотрел, но в ее упаковке вроде прогрызенных норок нет, в отличие от упаковки с парусом.
Крупным планом
Upd: Один аутригер все же прогрызли:
vitus_wagnerОбнаружил в trixie еще две проблемы, кроме вчерашней со сканированием из GIMP 3.0
Надо будет баги зарепортить.
1) Не работает XKBOPTIONS=compose в /etc/default/keyboard. В смысле не долетает, видимо до X-сервера. В качестве workaroun можно определить Multi_key через xmodmap. Но вообще без compose грустно. Не через диграфы же в vim-е знаки препинания вставлять.
xmodmap -e 'keysym Control_R = Multi_key'
в .xsessionrc. Вместо Control_R можно поставить что-нибудь другое но у меня в /etc/default/keyboard было написано именно compose:rctrl
2) Почему-то сегфолтится spacefm при отмонтировании диска, который открыт в текущем окне. Раньше он так не делал а спокойно переходил в ${HOME}. C этим еще немножко поразбираться надо, потому что версии вроде в bookworm и trixie одинаковы, менялись только опции сборки.
vit_rВ ответ на преступление, совершённое сегодня утром сионистским режимом против нашей любимой страны, верховный лидер Исламской революции аятолла Хаменеи направил послание великому иранскому народу.
Текст послания следующий:
Во имя Аллаха Милостивого, Милосердного
Великий иранский народ!
Сегодня на заре сионистский режим совершил грязное и кровавое преступление на нашей земле, вновь обнажив свою злобную суть, атаковав жилые районы. Этот режим должен ожидать сурового наказания.
Непременно, сильная рука Вооружённых сил Исламской Республики даст ему отпор, инша'Аллах.
В результате ударов врага были убиты ряд командиров и учёных, однако их преемники и товарищи незамедлительно приступят к выполнению своих задач, с Божьей помощью.
Этим преступлением сионистский режим сам подписал себе горькую и мучительную судьбу — и непременно испытает её на себе.
Хаменеи только забыл рассказать народу о том, что преемников его шестерок Израиль порешил тоже.
Кстати! 12 апреля Трамп заявил, что дает Ирану 60 дней на достижение соглашения. Я писал, еще до его прихода, что если соберется заключать сделку - нужен четкий тайминг.
Сегодня - 61 день.
vit_rvitus_wagnerCапгрейдил первую железку (основной рабочий ноутбук, Хару) на Debian 13. Которому до выхода еще месяца полтора, есле не два.
Раньше я как-то всегда начинал рабочие машинки апгрейдить за несколько месяцев до выхода. Это bookworm вышел внезапно в июне, а не в августе, и я тогда все апгрейдил после выхода.
А сейчас вот мне приспичило чтобы у меня libssl-dev был версии 3.5.0, а не 3.0.16. Можно было бы конечно отдельную openssl собрать для экспериментов. Но пока проще так.
Первое что обнаружил - поторопились они там переходить на GIMP 3.0. ох, поторопились. Потому что пакет sane (который в исходниках sane-frontends) и xsane еще не готовы к новому интерфейсу плагинов. Похоже что их никто толком не мейнейнет, в результате чего sane (содержащий xsanimage, scanadf и xcam) из дистрибутива вообще выпал в ходе стабилизации, а xsane как был 0.999 так и остался, даже в sid, хотя для gimp3 нужен 1.0 (который еще не вышел. Но коммиты с поддержкй 3.0 там уже в мастер влиты). Пришлось скачать маленький (103 строки) питоновский скрипт xsanecli.py.
Надо еще разобраться, что они там намутили с перездом от FreeRDP2 к FreeRDP3. Не то чтобы мне был сейчас так уж нужен RDP-клиент. Рабочих виндовых виртуалок куда нужно ходить по RDP у меня сейчас нет. Но там интересные вещи вроде proxy и раздачи своей существующей сессии по протоколу rdp.
Ну и еще выпал из дистрибутива utox. Не больно-то и хотелось. Не прижился он у меня. Можно, конечно, qtox поставить.
vitus_wagnerПочему-то обновленный с F-Droid-а Fluffychat стал рассказывать что "у меня на телефоне, наверное нет сервисов гугля, и это хорошо для приватнсоти". Сервисы гугля у меня есть, whatsapp-то работает. Возможно это f-droid-овская сборка fluffychat не умеет с ними работать. Это мне не первый раз попадается.
Но в процессе оно рассказало, что существуют альтернативные гуглю системы push-нотификаций. В частности есть ntfy которая вся из себя открытая, и можно свой сервер поставить если очень хочется. Кстати почитав про ntfy я пришел к выводу что значительную часть того, для чего я использую матрикс, оно сделает и само по себе, а не в качестве прибамбаса к матриксу.
Гораздо более интересно то, что еще одним вариантом оперативного получения пуш-нотификаций о приходе сообщений в matrix, является xmpp-клиент conversation. То есть джаббер сам по себе.(ну это в общем понятно - протокол xmpp предполагает наличие постоянно открытого сокета. А матрикс работает через http(s).
Единственное что я пока из всей этой ситуации не понял - это откуда мой синапс узнает что слать нотификации моему мобильному клиенту надо через вот этот ntfy сервер (благо там единственным способом аутентифиации является URL-ка подписки), а в случае xmpp - откуда возьмет аккаунт с когорого можно слать сообщения.
vit_rvitus_wagnerТут некоторое время назад обнаружились проблем с работой матричных клиентов. Причем всех. Ну как минимум nheko и fluffychat страдали.
Выяснилось что почему-то перестали работать клиентские соединения на 8448 порт. На 443 все работает и после перенастройки клиентов все стало летать.
При этом synapse продолжает слушать на этом порту и openssl s_client к нему вполне коннектится.
Вопрос в том, а должно ли работать в таком режиме s2s. Ау. nataraj, может потестируем?
Синапс вроде не обновлялся. Сейчас packages.debian.org его вообще ни в bookworm-backports, ни в trixie не показывает. Как выйдет trixie, придется, наверное из sid ставить.
У меня, конечно сразу возникло предположение что это злобный мегафон стал резать https-соединения на нестандартные порты. Если так, то s2s в безопасности - серверов никто в мобильном интернете не держит.
vit_rvitus_wagnerНашел вот в дистрибутиве пакет libpam-ssh-agent-auth и вот теперь думаю, а повысится ли безопасность моего сервера, если я его буду использовать.
Работает эта штука так - прописывается в /etc/pam.d/sudo и аутентифицирует пользователя желающего сделать sudo, если у него имеется работающий (отфорварженный) ssh_agent с доверенными ключами.
Какому файлу доверять - прописываается в /etc/pam.d/sudo. Можно прописать свой рабочий ~/.ssh/authorized_keys, можно для желающих пользоваться sudo завести отдельный файлик где-нибудь в /etc/.
Оба подхода имеют свои преимущества. Первый - если у меня утек какой-то из приватных ключй ssh, например утерян ноутбук или смартфон, я быстрее вычищу скомпрометированный ключ если он будет лежать в приватном месте. Второй - злоумышленнику недостаточно добраться до моего аккаунта, нужно уже получить рута чтобы прописать свои ключи в этот файлик.
Но главное вообще-то не в этом. Главное в том, что если у нас sudo с паролем, то вообще говоря оно уязывимо к установке keylogger, а вот ssh-вый агент использует криптографию с открытыми ключами, и поэтому не боится перехвата чего либо на стороне сервера.
Но у пароля есть крайне полезное свойство - если на локальной и удаленной машине пароли разные, то когда юзер перепутает окно и наберет не на той машине, пароль не подойдет и команда не выполнится. Вероятность перепутать окно, несмотря на то что prompt-ы разноветные и содержат имя машины - намного выше вероятности хакерской атаки.
Хотя вот на работе жил я с NOPASSWD в sudoers (там было слишком много серверов и контейнеров, чтобы везде пароли расставлять) и ничего.
P.S. Соберетесь настраивать у себя, не забудьте прописать в /etc/sudoers, что environment кирпичом не чистят переменную SSH_AUTH_SOCK из environment удалять не надо. А то не найдет вашего агента.
X-Post to LJ
vitus_wagnerПредставился фонтан под названием "Душераздирающее зрелище".
Представляет собой фигуру Самсона, опутанного душевым шлангом и раздирающего этому шлангу разбрызгивающий наконечник. Из наконечника, естественно, бьют струи воды.
vit_rThe other new buyers are the Japanese. I have great respect for what the Japanese have done with their economy, but for my money they are often very difficult to do business with. For starters, they come in to see you in groups of six or eight or even twelve, and so you've got to convince all of them to make any given deal. You may succeed with one or two or three, but it's far harder to convince all twelve. In addition, don't make doing business fun. Fortunately, they have a lot of money to spend, and they seem to like real estate. What's unfortunate is that for decades now they have become wealthier in large measure by screwing the United States with a self-serving trade policy that our political leaders have never been able to fully understand or counteract.
It certainly seemed worth checking out. I've never had any great moral problems with gambling because most of the objections seem hypocritical to me. The New York Stock Exchange happens to be the biggest casino int the world. The only thing that makes it different from the average casino is that the players dress in blue pinstripe suits and carry leather briefcases. If you allow people to gamble in the stock market, where more money is made and lost than in all the casinos of the world put together, I see nothing terribly different about permitting people to bet on blackjack or craps or roulette.
I decided against setting up a separate fund to buy distressed real estate, using money raised from outside investors. I don't mind taking risks myself, but the idea of being responsible for the money of a lot of other people -- particularly when they're bound to include some friends -- just wasn't appealing in the end. For the same reason, I've never been tempted to take any of my companies public. Making choices is a lot easier when you have answer only to yourself.
vit_rvitus_wagnerВ связи с последними событиями надо срочно вытаскивать из архивов проект A-57 Бартини.
Чтобы стратегическая авиация не была так уязвима к атакам диверсионных дронов, она не должна требовать многокилометровых бетонных ВПП, которые строятся годами, и должна уметь перебазироваться чуть ли не каждый день на любую подходящую речную пристань.
vitus_wagnerТам рекомендуют не посылать приветствие в чате отдельной репликой, а сразу в первой реплике упоминать содержателный вопрос,
Утверждается, что это потому, что большинство людей печатает гораздо медленнее, чем говорит, поэтому собеседник, получив от вас "Привет" будет вынужден несколько минут ждать того, что вы собственно хотели сказать.
Забавно, что аналогичную культуру общения я описывал у спейсиан в "Детях пространства". Там, правда это объяснялось не медленностью печати, а задержками распространения сигнала на межпланетных расстояниях.
— Это вас так учат, в первой же реплике вываливать на собеседника важную информацию? Как мешком по голове.
— Конечно. Если радиосигнал до собеседника идёт минут десять, времени на обмен всякими ритуальными репликами вроде «Привет!», «Как дела?» может уйти безумно много. Поэтому, если звонишь по делу, тему этого дела надо объявить в первой же реплике.
Впрочем, подозерваю что возникновение этой кампании только сейчас, а не тогда, когда я начинал писать "Детей пространства", произошло потому что очень многие люди пользуются экранными клавиатурами на мобильниках.
X-Post to LJ
vitus_wagnerСегодня в нашей деревне мы обнаружили аж два борщевика. Один небольшой, но на обочине дороги (копать там сложно - гравий). Второй огромный в сосновой лесополосе, служащий границей нашего участка. Так близко к нашему дому по-моему еще ни разу не было.
Июнь еще не начался, а он уже почти длиннее рукоятки лопаты вырос.
vitus_wagner - Люди делятся на три категорииvitus_wagner - v2rayvitus_wagner - Парус, сожрали парус!vitus_wagner - Еще про trixievit_r - Хроники Попокалипсисаvit_r - В Украине снова подешевели огурцыvitus_wagner - Поиграем c Trixievit_r - Нанодрамаvitus_wagner - О push нотификацияхvit_r - В Украине снова подешевели огурцыvitus_wagner - Фигня с матрицейvit_r - В Украине снова подешевели огурцыvitus_wagner - Password or no passwordvitus_wagner - Душераздирающее зрелищеvit_r - Про новостную лентуvit_r - В Украине снова подешевели огурцыvitus_wagner - О возможном будущем стратегической авиацииvitus_wagner - Две кошкиvitus_wagner - Забавная кампания про общение в чатахvitus_wagner - День триффидовmomijizukamori
