Quantcast
Channel: sys.portal
Viewing all 594 articles
Browse latest View live

Stagefright za iPhone

$
0
0

Sjećate li se ozbiljnog propusta za Androidom pogonjene uređaje, nazvanog Stagefright? Uistinu nezgodan propust kojim je napadač mogao, slanjem tek posebno formatirane MMS poruke, provaliti na mobilni uređaj.

Ako je itko od korisnika iOS uređaja do sad imao kompleks superiornosti nad korisnicima Androida ("nama se tako nešto nikad ne bi moglo dogoditi"), vrijeme je za otrežnjenje: propust CVE-2016-4631 u Image I/O API dozvoljava napadaču da na vrlo sličan način, slanjem posebno formatirane TIFF datoteke izvrši maliciozni kod korištenjem heap overflow napada.

Zanimljivo je da je riječ o propustu koji, slijedom slučajnih događaja, neodoljivo podsjeća na Stagefright: u oba slučaja otkriveni su nedostaci u biblioteci koja se bavi nekim multimedijalnim sadržajem i koja je dio operacijskog sustava (što znači da postoji mnogo potencijalnih mjesta upada, faktički svaka aplikacija koja koristi ranjivu biblioteku je izložena napadu). Način provale je vrlo sličan u oba slučaja, a i najkritičniji dio propusta: vektor prijenosa malicioznog koda – u oba slučaja je gotovo identičan.

Prema navodima Cisco TALOS grupe koja je otkrila ove nedostatke, formati grafičkih datoteka osjetljivi na napade su TIFF, BMP, EXR (OpenEXR) i DAE (Digital Asset Exchange/COLLADA).

Platforme izležene ovoj ranjivosti su OS X Mavericks, OS X Yosemite, OSX El Capitan, iOS 9.3.2, watchOS 2.2.1 i tvOS 9.2.1.

Srećom, Apple je u mogućnosti izdati centralizirane zakrpe za sve svoje operacijske sustave, što rješavanje ovog problema čini značajno lakšim u odnosu na Stagefright i fragmentiranu Android platformu. Time je i rješenje ovog problema posve trivijalno, jednom riječju: "update".

Vijesti: 
Vote: 
0
No votes yet

Zaboravljena administratorska zaporka na Windowsima 10

$
0
0

U članku https://sysportal.carnet.hr/node/1570 prikazali smo kako postupiti u slučaju zaboravljene zaporke na operativnom sustavu Linux, a u ovom članku pozabavit ćemo se zaboravljenom zaporkom na Windowsima 10. Da bi stvar bila zanimljivija, na računalu je bio samo jedan jedini korisnik s administratorskim ovlastima i mnoštvom važnih datoteka.

Od alata trebat će nam samo instalacijski medij Windowsa 10 (USB ili DVD, što nam je već pri ruci).

Prvo napravimo reboot računala s instalacijskog medija. Kad se prikaže sučelje Windows Setupa, pritisnemo tipke Shift+F10,što nam omogućava naredbenolinijski način rada. Nije potrebno podešavanje jezika i ostalih mogućnosti

Sljedeći korak je preimenovanje datoteke "utilman.exe" u "utilman.exe.rezerva". Utilman.exe je Windows aplikacija koja omogućuje korisniku da konfigurira Accessibility alate Magnifier, High Contrast Theme, Narrator i On Screen Keyboard, ali ćemo ovaj alat uz određene "trikove" iskoristiti za zaobilazak windows logon procesa.

Datoteka utilman.exe standardno je smještena u direktoriju C:\windows\system32\, no prilikom boot-a s instalacijskog medija moramo obratiti pažnju na ime uređaja, konkretno u našem primjeru je to bio disk D:\

move D:\windows\system32\utilman.exe D:\windows\system32\utilman.exe.rezerva 

Nakon što smo preimenovali utilman.exe, na mjesto te aplikacije kopirat ćemo cmd.exe:

copy D:windows\system32\cmd.exe D:\windows\system32\utilman.exe 

Još trebamo ukucati naredbu za ponovno pokretanje sustava: wpeutil reboot.

Ukratko, wpeutil je Windows Preinstallation Environment, alat koji omogućava pokretanje određenih naredbi kao što su su naredbe za ponovno pokretanje računala, shutdown, stopiranje windows vatrozida, podešavanje jezika i inicijalizaciju mreže.

Kad se Windows 10 ponovo pokrene, u donjem desnom kutu kliknite na Ease of Access koji će sad otvoriti dobri stari cmd.exe:

U naredbenom retku kreirat ćemo novog korisnika s administrativnim ovlastima.

Upišite sljedeće naredbe (za dodavanje korisnika i za dodavanje u grupu administratora):

net user pero /add
net localgroup administrators pero /add

Zatvorite CMD prozor, ponovo pokrenite računalo.

Nakon što se računalo pokrene, trebali bi vidjeti novog korisnika pero, odaberite ga i prijavite se.
Nakon prijave pomoću Computer Management-a dodijelite zaboravnom korisniku novu zaporku.

 

Kad izmjenite zaporku, ponovo pokrenite računalo s USB ili DVD medija i vratite sve na početno stanje (datoteku utilman.exe.rezerva ponovno preimenujte u utilman.exe):

move D:\windows\system32\utilman.exe.rezerva D:\windows\system32\utilman.exe

i naravno wpeutil reboot

Zaboravni korisnik s novom zaporkom sad može pristupiti svojm podacima i to u neizmjenjenom obliku.

Kuharice: 
Kategorije: 
Vote: 
5
Vaša ocjena: NemaAverage: 5(1 vote)

Ubuntu Snappy – novi upravitelj softverskim paketima

$
0
0

Nedavno smo se upoznali sa Microsoftovim komandnolinijskim upraviteljem softverskih paketa. Budući da je Ubuntu 16.x također opremljen novim package managerom, kojemu Canonical i partneri predviđaju svjetlu budućnost, red je da i njemu iskažemo dužno poštovanje. Nazvat ćemo ga Snappy, po minimalističkom operativnom sustavu Snappy Ubuntu Core kojega Canonical razvija za primjenu u raznim Cloud i Internet of Things scenarijima.

Operativni sustav sam po sebi, bez prateće sistemske i aplikativne podrške, ne može zaživjeti. Canonical je svjestan toga, pa se trudi popularizirati novi format za distribuciju i održavanje aplikacija, osmišljen s težnjom da bude moćniji od postojećih.

Svaki „upaketirani“ komad softvera kojega je Snappy sposoban obraditi naziva se snap. Takvim se paketom može instalirati ili dograđivati kernel, sistemske komponente ili aplikacije. Prednosti snap tehnologije, zajedno s par informacija o širem kontekstu, pregledno su izložene na adresi https://insights.ubuntu.com/2016/06/14/universal-snap-packages-launch-on-multiple-linux-distros/, pa se tom dimenzijom priče nećemo baviti. Samo želim prenijeti opažanje da i Red Hat & Friends razvijaju novi format softverskih paketa te zaseban mini-OS za realizaciju vlastitih Cloud/IoT planova... Uistinu, čim čovjek digne glavu od svakodnevnih preokupacija, izloži se pravoj lavini novih koncepata i tehnologija!

Hajdemo se malo družiti sa Snappyem. Servis snapd je defaultno aktivan i samo mu trebamo dati neki posao. Slijedi par tipičnih administrativnih operacija.

Olakšajte si život i prijeđite u kontekst superusera.

Naredba snap -h ispisuje podnaredbe kojima raspolaže.

Dovoljno je zadati snap find da dobijemo prikaz raspoloživih snapova iz javnog ogranka Ubuntu repozitorija snap aplikacija. Iskoristit ćemo mogućnost filtriranja da dobijemo jasniji uvid u sistemcu najvažnije aplikacije – igre. :o)

# snap find game

Dobro, sad ćemo instalirati jednu igru obećavajućeg imena (explode). Inače, kad na Ubuntu 16.x instalaciju prvi puta primijenimo neki snap, servis snapd će ekspresno instalirati desktopu prilagođen „ubuntu-core“ server kao sistemsku osnovicu za sve snap aplikacije.
 
# snap install explode-bricks

Na isti način instalirat ćemo i druge zanimljive nam snapove – poznatog filmoljupca vlc te mrežnog inspektora nmap kojime možemo zamaskirati zabušavanje na radnom mjestu. ;-)

Da bismo se podsjetili kojim snap aplikacijama raspolažemo, rabimo naredbu snap list. U ispisu ćemo naći maloprije spomenuti „ubuntu-core“ – to je zato jer je i on po svojoj strukturi jedan snap.

Naredba snap changes ispisuje log aktivnosti, kako to radi vidimo na narednoj slici. Primjećujete da smo instalirali jedan hex editor pa ga brzopotezno maknuli naredbom snap remove ghex-udt; potom smo zadali naredbu snap refresh vlc kako bismo primijenili eventualno ažuriranje vlc reproduktora... ukratko, snapd marljivo zapisuje svaku našu akciju.


Obratite pozornost na kolonu ID jer taj nam je identifikator potreban kad želimo vidjeti izvještaj o pojedinoj aplikaciji; u nižoj naredbi zanima nas nmap:

# snap change 3

Naredba snap interfaces pokakzuje s kojim se sistemskim komponentama ili drugim snap aplikacijama povezuju određene snap aplikacije. Prikazane slotove nudi Snappy server (odn. spomenuti snap ubuntu-core), a ne Ubuntu desktop. Možemo primijetiti da je našoj eksplozivnoj igrici dopuštena uporaba grafičkog i audio podsustava (opengl, pulseaudio) te pristup desktopu (unity7, x11), što znači da je možemo pokretati kao desktop aplikaciju.

Naredbama snap connect i snap disconnect možemo povezivati ili raskidati veze između sistemskih servisa i aplikacija te između samih aplikacija međusobno. No, to je već napredna razina administriranja za koju treba ovladati brojnim pratećim temama.



Nije naodmet znati za neke lokacije na disku:

  • /var/lib/snapd/ -  svaki skinuti paket završava ovdje, tu se kreiraju i apparmor profili kojima se odrađuje sandboxing svake pojedine aplikacije.
  • /snap - ovdje svaka aplikacija kreira vlastitu hijerarhiju mapa i datoteka.
Vijesti: 
Kategorije: 
Vote: 
0
No votes yet

Stand-by odmor

$
0
0

Ljeto je u punom zamahu. Fakulteti su pusti bez studenata i profesora, na poslu je minimalan broj ljudi, jer ipak netko treba obračunati plaće, zar ne? Sistemci se odmaraju, prepustivši servere, mrežu i korisnike da se sami brinu o sebi. Doduše, sistemci su uvijek u stand-by poziciji, navikli da ih zovu s posla izvan radnog vremena i na godišnjem. No ostatak svijeta se ne obazire na Akademiju, radi se punom parom, pa se tako i u svijetu informacijske sigurnosti svakodnevno nešto događa. Pozabaviti ćemo se novostima u "revijalnom tonu", kako priliči ferragostu, da vidimo što se sve događalo dok smo se mi odmarali.

Hakeri su aktivni i ljeti, kako oni etički, tako i oni s "crnim šeširima". I jedni i drugi se zabavljaju otkrivajući "Kako stvari rade". Pa su tako proučavali suvremene ključeve za automobile, kojima se auti zaključavaju i otključavaju na daljinu. Za primjer su uzeli koncern VW. Snimali su kodove koje šalje daljinski upravljač i otkrili algoritam koji generira kodove. Demonstriralii su da se malom spravicom kućne izrade mogu otvoriti automobili marke VW, Audi, Škoda, Seat. Uz to su otkrili i "master" kodove pomoću kojih se otvaraju vozila u slučaju gubitka daljinskog. S obzirom da su etički hakeri, obavijestili su VW, koji "radi na otklanjanju problema". Znači li to da će svim vozilima mijenjati brave? Sjećamo se starih golfova kojima su mangupi otvarali vrata uz pomoć teniske loptice! Zarezali bi lopticu, stavili je na bravu i udarcem upumpali zrak u bravu, nakon čega bi se brava otljučala. To low tech rješenje je zastarjelo, ali ispada da i novija tehnologija nije jako napredna. Vijest je dostupna ovdje.

Vjerojatno je najbombastičnije odjeknula vijest da je 900.000 Android telefona ranjivo na QuadRooter napad. Radi se o skupu od četiri ranjivosti Qualcomm chipseta koji pogađaju Androide do uključivo Marshmallow verzije. Većina tih uređaja nikad neće biti "zakrpana", iako su zakrpe napravljene. Ranjivosti su otkrili u CheckPointu i obznanili ih na DefConu u Las Vegasu. Nude i besplatnu aplikaciju s kojom možete provjeriti da li je vaš mobitel ranjiv.

Saznali smo i kako se na jednostavan način može preuzeti nečiji Facebook račun. Dovoljno je znati broj mobitela vlasnika računa. Evo kako je to jednostavno: pri pokušaju ulogiravanja na tuđi račun klikne se na link Forgot account? FB zatraži broj mobitela, pa tu treba upisati broj mobitela vlasnika računa. Zatim se iskoristi ranjivost protokola SS7 koji koriste telekomi, kako bi se poruka s novom zaporkom preusmjerila na napadačev mobitel. Ispada da je taj protokol maltene dizajniran tako da bi se omogućilo prisluškivanje i preusmjeravanje poziva. Ako ne vjerujete, pročitajte ovaj članak.

Nedavno smo naučili da je, kao dio nove Microsoftove politike "ljubavi prema Linuxu", u suradnji s Cannonicalom Linux shell postao dio Windowsa 10. Sve je još u fazi isptivanja, dotjerivanja. Alex Ionescu iz tvrke Crowdstrike malo se poigrao s tim softverom. Linux se ne vrti u hipervizoru, kao virtualna mašina na vlastitom kernelu, nego ima pristup svim funkcijama Windows jezgre kao i nativne Windows aplikacije. I obrnuto! Ionesku je otkrio da Win aplikacije mogu ubacivati kod, pisati po memoriji i ugrožavati rad Linux aplikacija. Otkrića je javio Microsoftu, ponešto je popravljeno, ali nove ranjivosti se pojavljuju i dalje. Radoznalci mogu pročitati članak u eWEEKu. Ukratko, Linux aplikacije su manje sigurne na Windowsima nego na samom LInuxu.

Kad već spominjemo "glavne" ključeve koji otvaraju sve brave, ovih se dana u medijima spominje još jedan, kojeg su Microsoftovi marketinški majstori nazvali "zlatni ključ". Pomoću njega se zaobilazi zaštita koju nudi Secure boot. Secure boot djeluje na razini firmwarea, omogućavajući da se na računalu pokreću samo operativni sustavi ovjereni Microsoftovim certifikatom. Na većini osobnih računala može se isključiti u BIOS-u, kako bi mogli instalirati na pr. Linux. No na brojnim tabletima i pametnim telefonima to nije moguće, čime su ti uređaji praktički zaključani. Zlatni ključ je, čini se, isprva bio razvojni alat za debagiranje i testiranje. No sada u igru moramo uvesti nove jake igrače. Sjećate se kako je FBI zahtijevao da mu Apple omogući otključavanje iPhona da bi se mogao provjeriti što s njime rade osobe osumnjičene za terorizam? Je li to možda pravi razlog Microsoftova uvođenja zlatnog ključa?

Naime, stvari su se nedavno zakomplicirale kada su istraživači pronašli zlatni ključ "zaboravljen" na nekim uređajima, koji su kao nehotice otišli na tržište sa softverom za debagiranje. Zlatni ključ je sad objavljen i dostupan na webu. Od sada će svatko tko ga ima moći zaobići secure boot, rootati Microsoftove proizvode, ili instalirati izmijenjenu verziju Windowsa.

Microsoft je nakon tog otkrića izdao zakrpe koje bi trebale riješiti problem, no teško da je moguća njihova uspješna primjena na svim uređajima. Radi se o zakrpama MS16-094 i MS16-100, a najavljuje se još jedna. Čini se da ćemo morati živjeti s potencijalnim back doorom.

U ovom kontekstu zanimljiva je i poučna izjava kojom je Apple CEO Tim Cook obrazložio nevoljkost da udovolji zahtjevima FBI (citiramo):

"Uvažavamo i poštujemo profesionalce koji rade za FBI i vjerujemo da su njihove namjere časne. Do sada smo činili sve što je u našoj moći i unutar zakonskih ograničenja da im pomognemo. Ali sada vlada SAD od nas traži nešto što nemamo i za što smatramo da je suviše opasno da bismo to napravili. Traže od nas da napravimo backdoor za iPhone.

Preciznije, FBI želi da izradimo novu verziju operativnog sustava za iPhone, zaobilazeći nekoliko važnih sigurnosnih svojstava i instaliramo ga na iPhone u sklopu istrage. U pogrešnim rukama, taj softver, koji još ne postoji, imao bi potencijal da otključa svaki iPhone kojem netko ima fizički pristup.

FBI može koristiti drugačije riječi da opiše ovaj alat, ali nemojmo se zavaravati: izradom verzije iOS-a koja omogućuje zaobilaženje sigurnosti na takav način nedvojbeno bi napravili backdoor. I mada vlada može tvrditi da će njegovo korištenje bilo ograničeno na ovaj slučaj, ni na koji način ne može garantirati kontrolu (nad njegovim korištenjem)."

Ovaj citat pokazuje nelagodnu situaciju u kojoj se nalaze komercijalne tvrtke. Kupci ne bi kupovali komunikacijske uređaje koji im ugrožavaju privatnost. Udovoljavanje zahtjevima vlasti moglo bi ugroziti budućnost tvrtke. Bez želje da sad previše relativiziramo stvari, svjesni smo da naši pamenti telefoni ionako već omogućuju da nas se prati i nadzire. Neki dan mi je moj Android ponudio dogradnju nekoliko aplikacija. Redovito odbijam dogradnju aplikacija koje ne koristim, ali sam pokrenuo instalaciju jedne (nije važno koje), jer mi povremeno zatreba. No najprije treba toj aplikaciji dati neke dodatne dozvole: želi pratiti moju lokaciju i moje on-line kupovine! E pa nećemo tako! Dobra mi je i stara verzija, sve dok bude radila! A ljuti me i činjenica da ne mogu deinstalirati aplikacije koje ne koristim a dolaze predinstalirane.

Hoće li sad još i FBI preuzeti kontrolu nad našim telefonima? Nije dovoljno što je već imaju Google, Apple ili Microsoft, a i telekomi.. Tehnologija omogućuje mnogo toga što potrošači ne bi trebali prihvatiti, no za sada je očigledno većina spremna preuzeti rizik, smatrajući da je dobrobit veća od cijene. Spremni su koristiti besplatne aplikacije i plaćati na druge načine, osobnim podacima. No negdje treba postaviti granice, iii će običan čovjek postati posve bespomoćan pred vladama i velikim kompanijama. To je izazov novog postindustrijskog doba koji ćemo svi zajedno morati riješiti, i zakonodavci i građani i kompanije. Po meni, za početak bi bilo dovoljno da svaki korisnik sam određuje gdje će postaviti granicu, a zakonodavac bi mu trebao dati pravo na to da uz osnovnu zaštitu, koja vrijedi za sve, sam može uključiti dodatnu zaštitu, a da ga se radi toga ne sumnjiči za terorizam.

Ah, možda je bolje da ne pratimo vijesti dok smo na odmoru? Problemi će nas ionako dočekati za koji dan, kad se vratimo na posao.

Kategorije: 
Vote: 
0
No votes yet

Kako ograničiti ili onemogućiti rpcbind?

$
0
0

Ukoliko ste ovih dana dobili poruku od CARNetove Abuse službe kako imate otvoren servis "portmapper", koji je predstavlja sigurnosni rizik, evo načina kako taj problem minimizirati, odnosno u potpunosti ga riješiti. Poruka koju smo dobili glasi otprilike ovako:

Postovani,

prilog sadrzi podatke o racunalima s aktivnim i javno dostupnim
Portmapper servisom. Iako samo racunalo nije ranjivo pokrenuti
servis potencijalno moze biti iskoristen u DrDoS "amplification"
napadima. Dodatno moze biti iskoristen za pribavljanje velike
kolicine informacija o ciljanom uredjaju ako je dostupan program
"mountd".
Provjera dostupnosti portmapper servisa: rpcinfo -T udp -p [IP]

Provjera dostupnosti programa mountd:

showmount -e [IP]

U prilogu maila se nalazi datoteka s opisom o kojem se računalu ili uređaju radi. Čemu ovaj servis uopće služi i trebamo li ga danas? Portmapper je servis za podršku RPC-u (Remote Procedure Call). Možemo ga promatrati i kao svojevrsni DNS server. Kada neka aplikacija želi uslugu nekog RPC servisa na vašem poslužitelja, pita rpcbind (fiksni port 111) na kojem portu i kojim protokolom (TCP, UDP) se može pristupiti usluzi. Rpcbind zna na kojem se portu servis nalazi, jer se prilikom starta sam proces registrirao u rpcbindu. Klijent se spaja na dojavljeni port i protokol i počinje s radom.

Od servisa koji koriste RPC najčešće će to biti NFS (Network File System, vidjeti https://en.wikipedia.org/wiki/Network_File_System), stariji Sunov protokol za montiranje udaljenih datotečnih sustava koji se i danas koristi. Cijela stvar zapravo nije previše komplicirana, pogledajte dijagram:

NFS je u CARNetovoj mreži pretpostavljamo i jedini servis koji bi eventualno mogao koristiti rpcbind, odnosno portmapper. Podsjetimo, nekada se servis nalazio u paketu "portmap", a od prije nekoliko godina dolazi u paketu "rpcbind" (koji donosi i virtualni paket portmap).

Ukoliko ste na svom poslužitelju izvršili naredbu "rpcinfo", mogli ste dobiti otprilike ovakav ispis:

# rpcinfo -p
   program vers proto   port  service
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp  49211  status
    100024    1   tcp  57869  status
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100227    2   tcp   2049
    100227    3   tcp   2049
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    4   udp   2049  nfs
    100227    2   udp   2049
    100227    3   udp   2049
    100021    1   udp  34430  nlockmgr
    100021    3   udp  34430  nlockmgr
    100021    4   udp  34430  nlockmgr
    100021    1   tcp  48901  nlockmgr
    100021    3   tcp  48901  nlockmgr
    100021    4   tcp  48901  nlockmgr
    100005    1   udp  58467  mountd
    100005    1   tcp  55730  mountd
    100005    2   udp  33968  mountd
    100005    2   tcp  43627  mountd
    100005    3   udp  57306  mountd
    100005    3   tcp  44915  mountd

Na ovom poslužitelju se vrti servis portmapper/rpcbind, a također su eksportirani neki direktoriji, kojima mogu pristupiti neki udaljeni klijenti. To možemo provjeriti s naredbom "showmount":

# showmount -e
Export list for server:
/home/nfs
IP1,IP2,IP3

Eksportirani direktorij je /home/nfs, a poslužitelji kojima je dopušteno montirati te direktorije se nalaze na adresama IP1, IP2 i IP3.

Ukoliko imate eksportirane direktorije, vjerojatno koristite NFS i ne možete samo tako ugasiti rpcbind. Ovo govorimo u slučaju da ste tek naslijedili poslužitelj i još nije jasno što sve vrtite na njemu, a da nema potrebe za time.

Ukoliko ste sigurni da ne koristite NFS, onda nema potrebe ni za rpcbindom, pa ga možete obrisati:

# apt-get purge rpcbind
The following packages will be REMOVED:
rpcbind*
Do you want to continue [Y/n]? y
(Reading database ... 56206 files and directories currently installed.)
Removing rpcbind...
[ ok ] Stopping rpcbind daemon....
Purging configuration files for rpcbind ...
#

Ukoliko APT pita za nfs-* pakete, možete i njih obrisati. Ovime je vaš problem s nepotrebnim servisom i mailovima od Abuse službe riješen. No, što ako ne smijete obrisati rpcbind ili NFS?

Srećom, rpcbind podržava standardni tcp_wrappers, pa možemo zadati pristupnu listu, koji hostovi smiju pristupiti servisu, odnosno spriječiti da cijeli svijet vidi vaš portmapper. Ovo isto možete napraviti i pomoći iptablesa, ako vam je tako lakše.

Sve što trebate napraviti je upisati sljedeće u /etc/hosts.deny:

rpcbind: ALL EXCEPT IP IP1 IP2 IP3

IP je adresa vašeg poslužitelja, dok su ostalo adrese udaljenih klijenata. Da bi se promjene uvažile, najjednostavnije je restartati tcp_wrapper servis. Napomena: ova access lista označava koji se klijenti mogu spajati na servis rpcbind, a sam NFS ima svoju listu. Nemojte zaboraviti da rpcbind koristi i interface "lo", odnosno 127.0.0.1, ali on nije dostupan s Interneta i nije "opasan".

Sve što je ostalo je provjeriti situaciju sa poslužitelja kojima je dopušteno spajanje, te sa poslužitelja kojima to nije dopušteno. Ispis naredbe rpcinfo bi trebao biti ovakav na poslužiteljima kojima nije dopušteno spajanja (ili se servis ne vrti uopće):

# rpcinfo -T udp -p 161.53.X.Y
rpcinfo: can't contact portmapper: RPC: Remote system error - Connection refused

Jedna zanimljivost: rpcinfo opcija "-T", kojom definiramo "transport" (UDP ili TCP) se prijavljuje kao greška na poslužiteljima na kojima se ne vrti rpcbind. Isto je ako naredbu rpcinfo pokrenete, a niste root korisnik:

# rpcinfo -T -p 161.53.X.Y
rpcinfo: invalid option -- 'T'

Isto tako, taj "-T" iz maila Abuse službe se ne pojavljuje u manualu (man rpcinfo), iako smo opis pronašli online:

"Specify the transport on which the service is required. If this option is
not specified, rpcinfo uses the transport specified in the NETPATH
environment variable, or if that is unset or NULL, the transport in the
netconfig database is used. This is a generic option, and can be used in
conjunction with other options."

No, nije još kraj, na poslužiteljima na kojima opcija -T radi čini se da njena primjena uopće nema efekta (uvijek se ispišu i tcp i udp načini transporta). Pomalo čudno, ali eto, da vas ne iznenadi zašto opcija -T ne radi - jednostavno je izostavite.

 

Vijesti: 
Kategorije: 
Vote: 
5
Vaša ocjena: NemaAverage: 5(2 votes)

SSHELPER - Secure shell server za Android

$
0
0

Mobilni uređaji s tvorničkom (stock) edicijom Android OS-a raspolažu s vrlo skromnim fondom komandnolinijskih alata. Jedan od bolno nedostajućih je i SSH u svom serverskom i klijentskom aspektu, znači, bez instalacije dodatnog softvera na Android uređaju ne možemo podići SSH servis ili rabiti naredbe poput ssh, scp, sftp, rsync.... SSH tehnologija dokazani je „numero uno“ za siguran prijenos većih količina podataka između umreženih računala i za administriranje udaljenih računala, pa prije ili kasnije neki SSH produkt ipak sjedne na Android spravice informatičara i naprednih korisnika.

Što se tiče klijentskog dijela SSH suite, Google dućan i slični mu repozitoriji Android aplikacija ponudit će nam solidan izbor alata, ali traganje za dobrim Android SSH serverom na kraju se svede na "izbor" - ili SSHelper ili ništa. Po mišljenju vašeg autora, dakako. Ovako razmišljam: za razliku od braće mu po namjeni, SSHelper se kontinuirano unapređuje i prilagođava novim verzijama AOS-a, dobro je dokumentiran, resursno skroman i pouzdan, ujedno zaista besplatan jer košta nula kuna, a ne prikazuje reklame. U prilog mu ide i jako dobar status njegovog autora u zajednici Android developera. Tijekom instalacije vidjet ćemo da aplikacija traži minimum dozvola na sustav, što je još jedan pozitivan pokazatelj njene kvalitete.



Stavka ACCESS_SUPERUSER prikazana na prethodnoj slici pojavljuje se samo tijekom instalacije na rootani Android uređaj. SSHelper normalno radi na nerootanom AOS-u samo što tada ne možemo SSH servis i web usluge što ih aplikacija nudi (log servisa i clipboard) postaviti na portove niže od 1024, također, bez dosta komplicirane rekonfiguracije SSH servis ne može pristupiti eksternom spremištu podataka. Što se tiče portova, budući da SSH klijenti uglavnom omogućuju kreiranje konektora s predefiniranim parametrima, nestandardni portovi poput defaultnog TCP 2222 na kojem sluša SSH daemon SSHelpera uopće nisu problem. Vaš autor vrti jedan SSHelper na rootanom uređaju ali nije mijenjao niti jedan predefinirani visoki port jer jednostavno nema potrebe za time.
SSHelper instalirajte ulogirani na Android kao primarni korisnik, owner. Evo koje funkcionalnosti dobijamo:

  • SSH servis s podrškom za ssh, scp, sftp i rsync protokole, predefinirani port je TCP 2222;
  • web usluga za odabir i pregledavanje logova, sluša na portu TCP 8080;
  • web usluga za razmjenu tekstualnih podataka između SSH servera i admin stanice posredstvom AOS-ovog clipboarda, sluša na portu TCP 8081;
  • Busybox s brojnim naredbama dohvatljivim kroz simbolične linkove (pa ne moramo tijekom pokretanja naredbe eksplicitno pozivati Busybox) i solidan terminal za komandnolinijski rad lokalno ili na drugom SSH serveru;
  • pregledan lokalni help sa informacijama o mogućim prilagodbama SSH hosta ili admin računala, sve kako bismo se što brže mogli prihvatiti nekog konkretnog posla.

Naredna slika pokazuje high-level konfiguraciju mog kućnog SSH servera.



Uočite da s po jednim tapom možemo isključiti web usluge ako nam ne trebaju, time ujedno rasterećujemo RAM i CPU. Uglavnom nam se isplati uključiti opciju za podizanje servisa nakon reboota uređaja – Run SSHelper service at boot.

Tijekom instalacije generiraju se verifikacijski ključevi u formatima RSA, ECDSA i DSA, u konačnici o klijentu ovisi kojim će se ključem odn. enkripcijskim algoritmom štititi konekcija. Najsigurniji je RSA pa je mudro rabiti klijentski softver koji njega preferira.



Očekivano, SSHelper omogućuje tzv. passwordless login pomoću asinkronih ključeva, znači, pogodan je za razne over-the-internet scenarije. Postupak prijelaza na public key autentikaciju naći ćemo u lokalnom helpu, ne moramo se prisjećati ili tragati po Internetu za primjerima kako to odraditi. Zgodno je u ovom kontekstu spomenuti da autentikacija lozinkom, posebno ako je ta lozinka ekstradugačka i kompleksna, nije toliko loša kakvom se često smatra, jer do etape autentikacije dolazi nakon uspostave sesije enkriptirane simetričnim ključem, potom SSH rabi svoj secure password authentication protocol kojim tijekom transporta do servera dodatno štiti unesenu lozinku. Ipak, kad sve saberemo/oduzmemo, autentikacija javnim ključem je sigurnija.

Android uređaj redovito dobija IP parametre od DHCP servisa. Budući da instalacijom SSHelpera taj uređaj de facto postaje server, mudro je osigurati mu permanentnu IP adresu. Ako želimo ostati na DHCP-u, na tom servisu napravimo rezervaciju uparivanjem određene IP adrese sa MAC adresom WiFi kartice. MAC adresu možemo naći na nekoliko mjesta, jedno od njih je Settings > About device. Opcija je postavljanje statičkih IP parametara, što je lako obaviti. Recimo da uređaju sa Lollipop AOS-om želimo postaviti statičke IP parametre: dugački tap na imenu mreže na koju se želimo spojiti > Show advanced options > pod IP settings biramo Static pa unosimo potrebne parametre. Ako se uređaj od ranije automatski spaja na mrežu, čime nam onemogućuje opisani zahvat, prvo se poslužimo naredbom Forget network. Jasno, ta IP adresa ne smije biti u opsegu adresa DHCP servera.


Glede uporabe imena umjesto IP adrese - zgodno je što se SSHelper na lokalnoj mreži oglašava Java implementacijom Zeroconfig/Bonjour protokola za resolving mrežnih imena pa se na njega možemo spojiti tako da u naredbi (ssh, scp, sftp...) navedemo ime uređaja sa sufiksom local, npr. plexus.local, što je očigledno na trećoj slici ovog članka. Doduše, ovo će proći samo kad su i SSHelper i admin stanica u istoj broadcast domeni, a admin računalo razumije taj protokol. S druge strane, uvijek možemo na klijentskom računalu rabiti lokalnu Hosts datoteku ili čak DNS ako postoji..., vidimo da konačno rješenje ovisi o značajkama mrežne infrastrukture.


Na kraju i par riječi o klijentima. Za početak, dobro je znati da SSH servis odbija SSH-1 tip konekcije, u to se možemo uvjeriti naredbom ssh -1 -p 2222 ime@IP-SSH-hosta. Nadalje, kako bismo tijekom SSH sesije nesmetano rabili naredbe SSHelperovog Busyboxa, editirat ćemo datoteku .profile (eno je u Home direktoriju SSHelpera) tako da u sekciju „user customizations“ upišemo put kojime favoriziramo BusyBox naredbe. Stvarno korisno na rootanom SSH hostu jer možemo šetkati po njegovim particijama i direktorijima te pozivati potrebnu nam naredbu bez navođenja putanje do nje.
PATH=/data/data/com.arachnoid.sshelper/bin:/sbin:/system/sbin:/system/bin:/system/xbin
Ako SSHelperu pristupamo sa Linux računala, u osnovi ne trebamo nikakav dodatni softver. Tu je terminal sa svim potrebnim naredbama a sveprisutni Nautilus možemo iskoristiti na dva načina, niža slika sve objašnjava. Android SSH server je vidljiv na mreži jer i SSHelper i Ubuntu podržavaju ranije spomenuti Zeroconf/Bonjour protokol.



Windows kao SSH klijent? Uz legendarne Putty i WinScp – problema nema! Ako još aktiviramo Windows Subsystem for Linux, prisutan na Desetki, dobijamo i kompletnu komandnu ljusku Ubuntua 16.04 pa možemo „šarati“ kako nam drago.

Kvalitetan klijentski softver postoji i za AOS. Od komandnolinijskih SSH alata poput ConnectBot i JuiceSSH (instalirajte si Hacker's Keyboard!) do GUI aplikacija za scp / sftp / rsync tipove konekcija poput andFTP i ES File Explorer. Završna slika ovog članka pokazuje kako je andFTP iskorišten za sinkronizaciju sadržaja direktorija Docs između dva Android uređaja.

Kuharice: 
Kategorije: 
Vote: 
0
No votes yet

Isprobajte incron (inode cron)

$
0
0

Cron je sastavni dio raznih Unix sustava od samih njegovih početaka. Drugi operativni sustavi također imaju slične sustave periodičkog izvršavanja naredbi, samo s drugim imenom (primjerice, "event scheduler"). No, nitko nema ugrađeni scheduler koji reagira na određene događaje. Incron je upravo to, a reagira na promjene u definiranim direktorijima, ili nad definiranim datotekama. Promjene uključuju modificiranje datoteke, promjene vlasništva i atributa, te brisanje i kreiranje.

Iako postoje programi koji upravo ovakve stvari rade na Windowsima, na Linuxu se teže nalaze. Incron je jedan od takvih programa s kojim smo odlučili automatizirati dio naših potreba. Naziv incron dolazi od "inotify cron".  Inotify je, s druge strane, mehanizam, odnosno API linuxovog kernela koji obavještava o promjenama na datotečnom sustavu. Više o njemu na adresi: https://en.wikipedia.org/wiki/Inotify .

Instalacija je identična kao i kod ostalih paketa, samo treba napraviti "apt-get install":

# apt-get install incron
The following NEW packages will be installed:
  incron
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 104 kB of archives.
...
Setting up incron (0.5.10-1) ...
Adding group `incron' (GID 142) ...
Starting File system events scheduler: incron.

Ovime je incron instaliran i pokrenut. Idemo dalje.

Incron slijedi imenovanje crontaba. Kako cron ima crontab, tako incron ima incrontab. Slično je i sa opcijama, pa će opcija "-l" izlistati postojeće incron jobove, a slično je i s drugim opcijama. Naravno, manual je dostupan, tamo su objašnjenje sve mogućnosti. Nekolicinu ćemo obraditi u članku.

Incron ima postavke sigurnosti koje "po defaultu" onemogućuju ikome da koristi incron. Problem je jednostavno rješiv s naredbom "rm /etc/incron.allow /etc/incron.deny", a o finijim podjelama ćemo nešto kasnije.

 Novi incron job ćemo kreirati sa:

$ incrontab -e

Sintaksa je ipak pomalo drugačija nego kod crona, što se moglo očekivati. Sintaksa nije obrađena u glavnoj man stranici, nego u sekciji 5, znači da ćete informacije o sintaksi dobiti naredbom "man 5 incrontab".

Sintaksa je sljedeća:

<putanja> <maska> <naredba>

<putanja>       Ovo je naravno putanja do direktorija odnosno datoteke

<maska>         Ovdje dolazi jedna od sljedećih opcija, odnosno događaja:

IN_OPENDatoteka je bila otvorena
IN_CLOSE_WRITEDatoteka otvorena za pisanje je bila zatvorena
IN_CLOSE_NOWRITENeotvorena datoteka (za pisanje) je bila zatvorena
IN_CLOSEKombinacija IN_CLOSE_WRITE i IN_CLOSE_NOWRITE
IN_ACCESSDatoteci je pristupljeno
IN_ATTRIBMetapodaci su promijenjeni (permisije, oznaka vremena, prošireni atributi...
IN_CREATEDatoteka ili direktorij je bio kreiran
IN_DELETEDatoteka ili direktorij je bio obrisan
IN_DELETE_SELFPromatrana datoteka ili dir je obrisan
IN_MODIFYPromatrana datoteka je bila modficirana
IN_MOVE_SELFPromatrana datoteka ili direktorij je bio pomaknut (move)
IN_MOVED_FROMDatoteka je bila maknuta iz promatranog direktroija
IN_MOVED_TODatoteka je bila pomaknuta u promatrani direktorij
IN_MOVEKombinacija IN_MOVED_TO i IN_MOVED_FROM
IN_ALL_EVENTSBit-maska svih događaja


Kada pratimo događaje u direktoriju, događaji se prate za sve datoteke u tom direktoriju. Kako ćemo onda znati koja se datoteka promijenila? Jednostavno, ime datoteke će se pojaviti u polju "name".

U manualu su spomenuti i dodatni simboli u maski:

IN_DONT_FOLLOWNe razrješuj stazu ako je simbolički link (razrješiti = dereferencirati)
IN_ONESHOTPrati stazu, ali "okini" samo jedanput
IN_ONLYDIRPrati samo ako je riječ o direktoriju
IN_NO_LOOPPoseban simbol, onemogućava praćenje dok ne završi proces praćenja koji trenutno traje

Staza (ili putanja, path) je puno ime datoteke ili direktorija, sve je to za Unix/Linux isto, riječ je samo o drugačijem unosu u odgovarajući inode-u.

Incron prati događaje unutar direktorija, ali ne i u poddirektorijima, pa na to obratite pažnju.

Objasnili smo što je to "putanja", "maska", a ostaje nam još objasniti "naredbu". <naredba> je naredba koja se treba izvršiti kada se neki događaj ostvari.

Ovdje se mogu koristiti određeni zamjenski znakovi (wildcards):

$$   dolarski znak
$@   staza koja se prati na dat. sustavu
$#   naziv datoteke koja je "okinula" događaj
$%   zastavice događaja (tekstualno)
$&   zastavice događaja (numerički)

Doslovce, ovi znakovi su varijable koje se popunjavaju određenim vrijednostima koje možete dalje koristiti u svojim skriptama. Vrijeme je za primjer.

Napravimo direktorij koji ćemo pratiti i otvorimo incrontab:

# mkdir /testni/direktorij
# incrontab -e

U datoteku upišimo sljedeći testni redak:

 /testni/direktorij/  IN_CREATE  echo  "$$ $@ $# $% $&"

Pazite na sintaksu pisanja direktorija, obavezno ide "/" nakraju!

Napravimo novu datoteku, može i jednostavan "touch":

# touch /testni/direktorij/test.txt

U syslogu ćemo moći vidjeti unose poput ovoga:

Aug 30 14:38:57 server incrond[18604]: (korisnik) CMD ( echo  "$ /testni/direktorij/ test.txt IN_CREATE 256")
Aug 30 14:38:57 server incrond[6515]: cannot exec process: No such file or directory

Čini se da radi, ali kakva je ovo greška na kraju? Čini se da je incrontab izuzetno osjetljiv na sintaksu, pa nismo ni bili svjesni da višestruki prazni znakovi ne "mogu proći". U tekstu se to slabo može vidjeti, ali između "echo" i parametara postoje dva znaka razmaka, a dopušten je samo jedan!

Za svaki slučaj, stavili smo po jedan razmak između svih opcija i parametara, i sada više nemamo poruku o greški. No, sada zorno vidimo što znači koja "varijabla".

 U nastavku ćemo pokazati naprednije primjere i sigurnosne postavke, odnosno tko smije, a tko ne smije pokretati incron.

Kuharice: 
Kategorije: 
Vote: 
0
No votes yet

Konferencija FSec 2016 u Varaždinu

$
0
0

FSec2016, sada već tradicionalno okupljanje stručnjaka na području informacijske sigurnosti, održat će se u Varaždinu. Ove godine, od 14.-15. 9., vrata će im otvoriti Hrvatsko narodno kazalište, te će umjesto glumaca pozornicu preuzeti domaći i svjetski eksperti za ovo iznimno važno područje poslovanja.


Dokaz važnosti ovog okupljanja, osim većeg prostora, pokazuje i značajna promjena sadržaja, koji se ove godine uz tehnički segment širi i na upravljačku razinu, od kojih će svakom biti posvećen cijeli dan.

Prepoznato je to kako u privatnom, tako i u javnom sektoru, pa su svoj dolazak uz većinu banaka, telekoma, energetskog sektora, ali i startupa, potvrdila i sva tijela javne vlasti povezana sa sigurnošću.

Upravo će zato prvi, strateško-poslovni dan, otvoriti Nikola Brzica, pomoćnik ministra obrane, nakon kojeg će slijediti okrugli stol s temom kritične infrastrukture s predstavnicima Zagrebačke banke, VIPNeta, Hrvatske elektroprivrede, Metroneta, ali i Ministarstva obrane, Zavoda za sigurnost informacijskih sustava, te Ureda vijeća za nacionalnu sigurnost.

Tradicionalno, o stanju informacijske sigurnosti govorit će PNUSKOK, Hrvatska narodna banka, Nacionalni CERT i Zavod za sigurnost informacijskih sustava.

O promjenama i sigurnosti bankarskog sektora pozvana će predavanja održati Božidar Pavlović, direktor Erste Group Card Processora i Ivica Ostojić, tehnički direktor iz Diverta.

Već na prvom danu će se uz Gorana Vojkovića i Bojana Ždrnju, pojaviti i strana imena i to upravo s aktualnim sigurnosnim temama, Yury Namestnikovm iz istraživačkog centra Kaspersky, te Arron Finnon, poznatiji kao Finux.

Za kvalitetan drugi dan, posvećen tehničkom području pobrinut će se Andrea Barisani (Inverse Path), Aleksandar Nikolić (CISCO Talos), Andreas Bogk (HERE), te uz mnoge druge i hrvatska imena, Miroslav Štampar (ZSIS) i Ivo Ugrina (King's College of London).

Popratna događanja uz posebne radionice, predstavljanje proizvoda i usluga, okupljanje OWASP, ove godine prati i tako zvani Capture the flag (CTF), a koji se zadaci etičkog hakiranja nalaze pred zainteresiranim natjecateljima, kao i nagrade, organizatori još uvijek ne otkrivaju.

Više informacija o samom događanju, predavačima, te mogućnostima sudjelovanja moguće je pronaći na fsec.foi.hr

 

 

Vote: 
0
No votes yet

Konferencija BalcCon 2k16 u Novom Sadu

$
0
0

 Balkan Computer Congress je trodnevno događanje hackera iz cijelog svijeta u organizaciji LUGoNSa (Linux Users Group Novi Sad) uz potporu fonda Wau Holland iz Hamburga. Prvi dio programa je rezerviran za prezentacije, radionice i predavanja na temu privatnosti, tehnologije, razvoja slobodnog softvera i obrađivanje socio-političkih pitanja. Drugi dio konferencije je rezerviran za hakiranje i hands-on radionice.

 

Cilj konferencije je okupiti sve hakerske zajednice iz regije, Europe i svijeta kako bi se zajedno družili, učili, razmjenjivali znanja i iskustva. BalCCon pokušava postati centralna zajednica za područje jugoistočnog Balkana, te pokušava dati priliku svim ljudima iz ovog dijela Europe, u cilju stvaranja međusobnih kontakata i suradnje u budućnosti.

Raspored ovogodišnje konferencije se može naći na ovom linku: https://2k16.balccon.org/schedule.html. Konferencija se održava od 9. do 11 rujna 2016. godine.

Teme koje se obrađuju su:

  • Softver: programiranje, AI, slobodni softver, demo scena
  • Sigurnost: reverzni inženjering, malver, penetracijski testovi
  • Mreže i telekomunikacije: internet, alternativne mreže, GSM, HAM radio
  • Privatnost: TOR, kriptografija…
  • Pravo, politika, društvo: hakerska etika, forenzika, cenzura, politika, hackerspaces, psihologija…
  • Znanost: uradi sam, znanost, građani znanstvenici, nova istraživanja, inovacije, crowdsourcing za znanost
  • Umjetnost i vještine: laseri, glazba, wearable elekronika, majstorski uradci, retro gaming, hrana, proizvodnja pića, fermentacija

 

Vijesti: 
Vote: 
0
No votes yet

Preklapanje svjetova

$
0
0

Sezona odmora jenjava, već se radi punom parom. Sistemac se vratio s godišnjeg i odmah su ga dočekali problemi. Ovog puta je to novi ransomware, nazvan Zepto. Radi se o novoj verziji notornog Lockyja, koja je prošla kroz obranu na perimetru i dospjela u Inbox užurbanog korisnika, kojeg je dočekao nagomilan posao. Kliknuo je na privitak, ne razmišljajući. Zepto mu je kriptirao sve dokumente kojih se dočepao, u My Documents, na Desktopu. Pozadinu radne površine zamijenio je svojom stranicom u kojoj korisnika obavještava da mora platiti ucjenu, kako bi dobio alat za dekriptiranje i svoj privatni ključ. Cijena prava sitnica, 4 bitcoina!

Treba li reći da korisnik nema backup svojih datoteka? Treba li reći da nije odmah isčupao mrežni kabel iz svog računala? Googlao je, naravno sa zaraženog računala, našao uzaludne upute za uklanjanje virusa u kojima piše da to ne radite sami, pa ih je ispisao na mrežnom pisaču. Radi se o multifunkcionalnom uređaju, kopirki/skeneru/printeru. Sprava je podešena tako da se korisnici autenticiraju, a onda im ispiše dokument, a u slučaju skeniranja, skenirani dokument pošalje kao PDF u share na njihovom računalu. Korisnici koji su tog jutra skenirali dokumente začudili su se kad su u shareu našli čudna imena datoteka sa .zepto ekstenzijom.

Tada se na sceni pojavljuje sistemac. Sluša korisnika, postavlja pitanja. Gasi zaraženo računalo i sve mrežne printere. Nakon ponovnog uključivanja printera, Zepto više ne kriptira korisničke shareove. Korisnikovo računalo zapljenjuje i nosi ga u lab. To jest na svoj radni stol, niste valjda mislili da mu je ustanova dala prostoriju za lab? Zašto bi lab uopće bio potreban? Zato jer ima izdvojenu mrežu, pa ne ugrožava ni korisnike ni servere. Iz skladišta sistemac korisniku donosi novo računalo, da može raditi. Zaraženo računalo boota sa rescue CD-a proizvođača antivirusnog softvera. Antivirus ne otkriva ništa. Pokušava s CD-om drugog, pa trećeg proizvođača, opet ništa.

Sistemac zatim boota live Linux distribuciju, priključuje USB tvrdi disk na kojeg snima bitcopy cijelog diska zaraženog računala. Zatim koristi softver za spašavanje datoteka s oštećenih medija, photorec. Photorec izvlači na tisuće datoteka, smješta ih u desetke direktorija. Prije nego iz tog mnoštva izdvoji Office dokumente, slike i PDF-ove, sistemac na brzinu instalira clamav, besplatni anitivirus, i pušta ga da pregleda spašene datoteke. Besplatni antivirus pronalazi Trojan downloader i nekakvog worma. Eto zašto je trebalo odmah iščupati mrežni kabel!

Sistemac se nada da je Zepto otvorio korisnikove datoteke, kriptirao ih, spremio kao nove datoteke, a stare samo pobrisao. U tom slučaju je pobrisan samo pokazivač na početak datoteke, pa bi photorec mogao rekonstruirati izbrisane dokumente. Ukoliko je virus pametan i napravio wipe originalnih dokumenata, ništa od spašavanja.

Photorec je iz slike diska izvukao na tisuće dokumenata. Neki su nečitljivi, na primjer imaju extenziju .doc ili .docx, ali ih Word ne otvara (otvara ih Libre Office :). Ako ih i uspije otvoriti, pokazuje gomilu "smeća". Da bi automatizirao proces, sistemac piše one linere koji sve datoteke s extenzijama .doc i docx prebacuje u jedan direktorij, xls-ove u drugi, pdf-ove u treći itd. Tada traži među njima uzorke kako bi u jednom potezu izbrisao sve dokumente koji zapravo nisu dokumenti. Još malo ručnog otvaranja dokumenata, eliminacija nekoliko datoteka koje su promakle skriptama za brisanje, pa sve snima na dva DVD-a i odnosi korisniku neka se sam zabavlja. Nakon nekoliko dana, korisnik u jednom dahu zahvaljuje za spašene dokumente, ali je istovremeno ljut jer mu nisu spašeni neki drugi, koji su mu još važniji. Što da mu sistemac odgovori na to? Spašeno je što se dalo spasiti. Obrisana datoteka postaje slobodan prostor na na disku koji OS koristi za nove podatke. Zato se ne može sve spasiti. Ali to korisnika ne zanima. Nedostaju mu neke važne datoteke, on bi probao nagovoriti upravu da plati hakerima crnošeširašima za dekriptiranje.

Tu je tehnički dio rješavanja problema završio, počinju administrativne zavrlame. Da bi računovodstvo platilo ucjenu, najprije traže da im donesete tri ponude! Probajte vi dobiti službene ponude od kriminalaca, s nazivom tvrtke, adresom, OIB-om i pečatom! Osim toga, plaćanje dolazi u obzir samo u kunama, kuna je jedina službena valuta u Republici Hrvatskoj! Postoji procedura za plaćanje u stranim valutama, ali ne i za Bitcoine.

Na stranicama Porezne uprave našli smo ovakvo mišljenje:

"07. svibnja 2015. Porezna uprava donijela je mišljenje o naplati PDV-a na transakcije virtualnim valutama kao što je bitcoin. Kao što smo ranije pisali, HNB bitcoin ne smatra sredstvom plaćanja u Hrvatskoj (“… bitcoin ne predstavlja novac, niti sredstvo plaćanja u Republici Hrvatskoj niti stranu valutu odnosno strano sredstvo plaćanja”). HNB također navodi da “… stavovi europskih država u odnosu na status virtualnih valuta (bitcoin) međusobno razlikuju te da neke države bitcoin smatraju proizvodom, neke imovinom, a neke financijskim instrumentom.

U skladu s tim PU donijela je mišljenje da se bitcoin transakcije mogu osloboditi plaćanja PDV-a. No, PU je svjesna da je od švedskog Vrhovnog suda zatraženo očitovanje o poreznom tretmanu bitcoina te da će njihova odluka u konačnici imati utjecaja i na porezni tretman bitcoina u Republici Hrvatskoj."

Nakon prikupljanja ponuda plaćanje bi trebala odobriti uprava, odnosno osoba ovlaštena za odobravanje isplata. Sretno vam bilo u pokušaju obrazloženja ovog troška! Bitcoin trenutno vrijedi oko 620 $, za četiri bitcoina trebalo bi dati blizu 17.000 kn. Kako u ovoj besparici opravdati takav trošak? Nema novaca ni za znanstvenu literaturu, edukaciju, stručne skupove... Jedini izvediv način je, čini se, da sam korisnik kupi Bitcoine i plati ucjenu. Ali on za to neće ni čuti, neka to plati ustanova! Nisu to njegove privatni dokumenti!

Sistemac razmišlja sistemski, pa se pita kako preduhitriti buduće napade na korisničke podatke? Backup je rješenje. Korisnicima su podijeljeni USB stickovi, uvijek mogu dobiti DVD-ove za izradu kopija. Ali stickovi su nekim čudom nestali, nitko ih više ne može pronaći, a svi su zatrpani poslom u toj mjeri da jednostavno ne stignu kopirati dokumente na DVD-ove! Sistemsko rješenje bio bi program koji bi automatski radio kopije korisničkih podataka. Kad bi ustanova imala novaca za takve stvari! Obično se backup smatra nebitnim sve dok se ne dogodi ozbiljan gubitak podataka. U ovom slučaju, bilo bi potrebno da više od jednog korisnika izgubi podatke. Po mogućnosti ne obični korisnici, nego netko iz uprave.  Sistemac zna slobodno, open source rješenje. Zove se Backuppc, mali pametni softver otvorenog koda koji čak ne traži instalaciju klijenata na korisnička računala. Radi tiho, u pozadini, spaja se korisniku na računalo, kad jednom napravi full backup dalje radi samo inkrementalne kopije. Toliko je diskretan da korisnici i ne osjete da im se kopiraju podaci. Uz to radi kompresiju i deduplikaciju podataka, tako da ne rasipa prostor na serveru.

Gle čuda, sistemac je na svom računalu nedavno, kao da je znao, podigao virtualku na kojoj je Backuppc već instaliran i konfiguriran, spreman za korištenje. Trebalo bi samo dokupiti disk(ove) za podatke. O tome je htio pregovarati s upravom nakon godišnjeg, a Zepto je zapravo dobro došao, sad će se lakše odobriti kupovina dodatnog diskovlja. Jupi!

Sistemca čeka još formatiranje diska i reinstalacija Windowsa i svih korisničkih programa na inficiranom računalu, jer je to jedini siguran način uklanjanja Zepta. Brze konzultacije s kolegama pokazale su da se nakon nepotpunog uklanjanja nametnik brzo vraća i ponovo čini štetu. Bez pravog laba, izolirane sredine, ne isplati se riskirati.

Na kraju ostaju samo pitanja bez odgovora. Na primjer, zašto uređaj kupljen za filitriranje e-mailova nije zaustavio privitak sa Zeptom? Zašto je besplatni clamav otkrio gamad koju tri komercijalne verzije antivirusnog softvera nisu našle? Ti su komercijalni proizvodi "certificirani" za upotrebu u državnom i javnom sektoru. Što ako su izgubljeni dokumenti ustanovi toliko važni da je spremna platiti ucjenu? Jedan od razloga popularanosti Bitcoina je anonimnost transakcija, coini se prebacuju iz walleta u wallet, sve su transakcije zabilježene u glavnoj knjizi, ali su vlasnici walleta anonimni. Naknade za transakciju su male, pa emigranti koji se zaposle na zapadu tako šalju novac obitelji doma u Bangladeš. Pošalju rodbini smartphone s instaliranom aplikacijom, da mogu plaćati trgovcima Bitcoinima, ili ih na bankomatima zamjenjivati za lokalnu valutu. Anonimnost osim sirotinji odgovara još i kriminalcima i teroristima, ali kažu da i obavještajne službe Bitcoinima financiraju svoje skrivene operacije. No naša država još živi u 19 stoljeću, nije nam dala u ruke alate za rješavanje problema 21. stoljeća. Sistemci tako žive u paralelnim svjetovima koji koegzistiraju, djelomično se preklapaju, ali uglavnom su odvojeni regulativnim barijerama. Tehnička znanja nisu dovoljna da bi sistemci mogli obavljati svoj posao najbolje što mogu, u najboljem od svih svjetova.

Kategorije: 
Vote: 
5
Vaša ocjena: NemaAverage: 5(2 votes)

Konferencija FSEC 2016

$
0
0

Ovogodišnji FSEC promijenio je mjesto održavanja: umjesto na FOI-u, održan je u varaždinskom Hrvatskom narodnom kazalištu, koje iznutra izgleda kao umanjeno izdanje zagrebačkog HNK. Iako je i FOI smješten u starom zdanju, nekadašnjem samostanu, ipak je sudionicma trebalo par trenutaka da se prilagode okruženju. Nove tehnologije predstavljene u starom zdanju - zanimljiv kontrast koji bi se mogao shvatiti kao metafora za cijelo naše društvo, koje je još zarobljeno prošlošću, a krajnje je vrijeme da se okrene budućnosti. Predavači su se obraćali publici s "dasaka koje život znače".




FSEC je moja omiljena konferencija. Zamišljena kao "vendor neutralna", od prvih je dana bila okupljalište zaigranih hakera koji su publici, uglavnom sastavljenoj od istih takvih hakera, uz primjesu sudionika iz akademske zajednice i ponekog sigurnjaka iz državnog sektora, prezentirala svoje omiljene igračke. No treba pokriti troškove, pa su tu uvijek bili prisutne i sponzorske tvrtke, ali na diskretan način. Informacijska sigurnost je široko područje, koje se može sagledavati s raznih strana, i upravo je u tome trajna vrijednost ove konferencije, koja pruža mogućnost učenja i širenja horizonata.

Kako prolaze godine, tako se širi lista sudionika i predavača. Ove su godine prva predavanja odradili predavači iz državnog i privatnog sektora. Uvodno predavanje održao je Nikola Brzica iz Ministarstva obrane. Prenio nam je kako NATO i Hrvatska kao njegova članica gledaju na cyber warfare. Podsjetio nas je na Clausewitzovu definiciju rata kao kontroliranog sukoba koji nastaje kao nastavak politike radi ostvarivanja konkretnih ciljeva, ali i na Sun Tzuovu tvrdnju da je naviše umijeće ratovanja kad postigneš pobjedu bez borbe. Drugi svjetski rat pokazao je svima kamo vodi rat kao golemo, bezumno razaranje i isrpljivanje, dakle nešto posve suprotno Sun Tzuovoj filozofiji. Danas se ratovi vode "pametnije", sve su više asimetrični, grupe država/savezi ratuju protiv jedne države ili jedne političke grupacije. Nakon cyber napada na Estoniju, kada su NATO-ovi informatičari morali priskočiti u pomoć, NATO je proširio definiciju ratovanja, ustvrdivši da cyber war može izazvati velika razaranja i štete jednako kao i klasični rat. Zapravo se više koristi termin cyber warfare, koji označava tihi rat, koji nije objavljen, ali se događa svakodnevno. Radi se o prikupljanju informacija o potencijalnim protivnicima, traženju njihovih slabosti, uključujući i slabosti informacijskih sustava. Time je zahvaćen i privatni sektor, koji mora čuvati svoje poslovne tajne od konkurencije. Brzica u svom izlaganju nije ni spomenuo obične građane i njihov položaj u svijetu stalno tinjajućeg sukoba velikih igrača. No ruku na srce, NATO se i ne bavi zaštitom privatnosti građana, a ta je tema obrađena u popodnevnom turnusu.

Uslijedio je okrugli stol koji se bavio raspravom o kritičnoj nacionalnoj infraskturi. Sudjelovali su predstavnici dva telekoma (Metronet i VIP) i Zagrebačke banke, i profesionalci iz državnog sektora, iz UVNS-a i ZSIS-a. Čini se da je tema kritične infrastukture nekako nametnuta priključivanjem EU i NATO savezu, pa se naša država još prilagođava - takav se utisak stiče iz nekoliko primjera koje smo čuli. Naime radi se o listi organizacija koje pružaju usluge koje su neophodne za funkcioniranje društva, a mogu biti ugrožene u slučaju prirodnih nepogoda ili rata. Telekomi spadaju u kritičnu infrastrukturu, a i dio bankarskih usluga, istaknuli su sugovornici iz privatnog sektora. Oni uglavnom sami financiraju ulaganja u svoju infraskturu, na što ih prisiljava konkurencije i želja da zadrže klijente, ali i regulativa. Narodna banka je tu odradila dobar posao, postavivši bankama visoke standarde. Tamo gdje još postoje monopoli država bi trebala odigrati svoju ulogu. Briga o kritičnoj infrastukturi važan je dio upravljanja svakom razvijenom i civiliziranom državom.

Ivica Ostojić iz tvrtke Diverto bavio se temom Fintecha, odnosno promjenama koje Internet i IT tehnologije donose financijskom sektoru. Po njemu će kriptovalute i blockchain tehnologija izazvati ogromne promjene u svijetu. Coini više nisu samo geek tehnologija, a blockchain se može primijeniti na brojne oblasti, poput zemljišnih knjiga, ugovora, knjigovodstva itd. Promjene koje nas čekaju dovest će do izumiranja pojedinih zanimanja: spomenuo je bilježnike, jer više neće trebati ovjeravati ugovore i potpise, računovođe, a i banke koje se na vrijeme ne prilagode bit će osuđene na propast. Konzorciji banaka u tišini razvijaju svoje verzije Bitcoina, jer su već prevazišli faze negiranja i ljutnje, sada su, po Ostojiću, u fazi "pregovaranja", odnosno nastoje iz blockchaina izvući samo ono što im odgovara. Teško mogu progutati decentraliziranost čuvanja "glavne knjige" (general ledger), jer su navikli čuvati podatke kod sebe. Takav pristup osuđen na propast, jer bi se time uzgrozila osnovna ideja, transparentnost i neporecivost svih transakcija, pa će biti prisiljeni prihvatiti tehnologiju onako kako je i zamišljena. Veliki igrači se pripremaju zauzeti pozicije i osigurati sebi lavovski dio kolača, dok se javnost smišljeno drži u neznanju. O Bitconu se u medijima govori uglavnom u negativnom kontekstu, radi (pseudo) anonimnosti koja omogućava prikrivanje transakcija. Međutim mnoge kriptovalute koji nastaju nakon Bitcona omogućavaju posvemašnju transparentnost, svaka transakcija nosi ID pravne ili fizičke osobe, tako da će država moći pratiti protok novca. S druge strane, nastaju nove valute koje omogućuju još veću anonimnost nego Bitcoin. Vrijeme će pokazati koje će od tih valuta preživjeti, ojačati, a koje će nestati u zaboravu. U svakom slučaju, svatko tko je dalekovidan sada ima priliku priskrbiti sebi dio buduće zarade i osigurati si blagostanje.

Pravnoj zaštiti naše privatnosti bilo je posvećeno predavanje Gorana Vojkovića. Postojeća je regulativa manjkava, onemogućuje pravnu zaštitu izvan državnih granica. Kako možemo biti sigurni tko pristupa našim podacima koji su smješteni negdje u oblaku, smještenom na drugom kontinetu, na primjer ako koristimo, kao dobar dio Akademske zajednice, Office 365?

Kako se hakeri nose s obradom velikih količina podatka pokazao je Milan Gabor u prezentaciji When hacker meets big data. Uz pomoć pravih alata mogu se izvlačiti uzorci i izraditi zanimljive vizualizacije.

Sladokusce će zaintrigirati minijaturno računalo smješteno na USB sticku, tvrtke Inverse Path. To je open source projekt koji će zagolicati maštu svakog geeka: Više na ovom linku.

Nadam se da će ovih nekoliko odlomaka biti dovoljno da prenese duh ove konferencije. Osim spomenutih, FSEC je ponudio još mnoštvo zanimljivih predavanja, tako da smo otišli kući s novim znanjima i s još više otvorenih pitanja o kojima tek treba razmisliti. U tome je i najveća vrijednost ove konferencije: tjera nas na razmišljanje. Ako ste je propustili ove godine, toplo vam preporučujem da je ne propustite nagodinu.

Raspored predavanja dostupan je ovdje, a uskoro će na stranicama konferencije biti objavljena i većina prezentacija.

Vijesti: 
Kategorije: 
Vote: 
0
No votes yet

Obuzdavanje Internet prometa na Windowsima 10

$
0
0

Navada suvremenog softvera – od operativnih sustava do aplikacija – da svako malo „istrčava“ na Internet zbog ovog-ili-onog razloga postaje iritirajuća kad je Internet link slabe propusnosti ili ograničen kvotom dopuštenog prometa. A često na Internet izlazimo baš posredstvom takvih veza, spomenimo samo SOHO infrastrukturu, hotspotove, 3G/4G USB spravice... Windows 10 je posebno neugodan u tom pogledu jer je podešen tako da aktivira svakojake sinkronizacije & replikacije čim osjeti bilo kakvu mrežnu konekciju.

Sistemcima nije problem samo neplanirano trošenje raspoloživog bandwitha, naime, računalo koje po svom nahođenju pokreće razne procese, trošeći svoje i vanjske tehničke resurse, ne može biti pouzdana osnovica za izvođenje raznih testova. Takvo je računalo – neuračunljivo, heh!

Pokazat ćemo kako Windows računalo pretvoriti u pouzdanog asistenta. Na prijenosniku imam dvije instalacije Desetke, u dual-boot odnosu. Jedna je instalacija tipa „office“. Tu su sve uobičajene aplikacije opće namjene, mijenjano je tek nešto malo defaultnih postavki OS-a i samih aplikacija, ulogiravam se sa Microsoftovim računom. Na drugu se instalaciju Desetke prijavljujem s lokalnim računom, tu imam samo strukovni softver i, najvažnije, ta je instanca „disciplinirana“ utoliko što je samoinicijativa OS-a i aplikacija svedena na minimum. Dodatno, na obje instalacije po potrebi koristim jednostavnu skriptu za privremeno stopiranje/startanje servisa sklonih Internetu, a neisplativo ih  je trajno zakočiti. Osnovica te skripte izgleda ovako:

sc stop bits > nul
dir /s c:\windows > nul
sc stop wuauserv > nul
sc stop onesyncsvc_64793 > nul
echo * Za startanje servisa pikni neku tipku...
pause > nul
sc start wuauserv > nul
sc start onesyncsvc_64793 > nul

Svidi li vam se, skriptu stavite na Desktop, dopunite u skladu sa svojim potrebama i pokrećite naredbom Run as Administrator.

Sada ukratko o alatima Desetke i postupcima kojima možemo dramatično smanjiti promet ka servisima na Internetu. Sve niže napisano odnosi se isključivo na Windows 10 Professional, edicija 1607. Ne obrađujem već stoput prožvakane teme poput zaštite privatnosti (Settings > Privacy) i onih „živih pločica“ u Start izborniku, samo zbog cjelovitosti članka napominjem da i te funkcionalnosti troše mrežnu konekciju.

Izvrstan alat Resource Monitor – eno ga u Administrative Tools – u realnom vremenu nas izvješćuje koji lokalni proces pristupa nekoj IP adresi/portu na Internetu te koliko bajtova podataka taj proces prima i šalje. Kad se još upoznamo sa statistikom Desetke o uporabi networkinga od strane aplikacija i servisa OS-a (Settings > Network & Internet > Data usage > Usage details), točno znamo koji su nam prioriteti u djelovanju.



Preostaje rekonfiguriranje aplikacija i servisa koji revno "brbljaju" s vanjskim svijetom. Aplikacije bez pozadinskih servisa lako je kontrolirati, jednostavno ih pokrećemo kad baš moramo, jer one izlaze na mrežu samo kad su aktivne. Ima, kako znamo, aplikacija koje u sustav ugnježđuju pozadinske procese pa potajice izlaze van... ukrotit ćemo ih alatima Administrative Tools > Services i Task Scheduler. Također, dobro je zaviriti u postavke svake aplikacije jer neke od njih imaju opciju za sprečavanje švrljanja po Internetu.

Najvažniji alat za reguliranje Internet prometa je Settings, pa ćemo obraditi najzanimljivije stavke i ukazati na neke međuzavisnosti.

Od svih izvornih servisa Desetke, Windows Update uvjerljivo je najveći potrošač mrežnog bandwitha. Servis priča i sa Microsoftovim dućanom kako bi ažurirao s tog mjesta instalirane aplikacije. Srećom, smirit će se ako aktivnu mrežnu konekciju, u pravilu je to WiFi, označimo kao „metered“ tj. kao vezu slabe propusnosti ili s postavljenom podatkovnom kvotom: Network & Internet > WiFi > Manage known networks > Properties, ovdje uključiti Set as metered connection.

Nakon tog zahvata moramo djelovati još na dva mjesta kako bismo u potpunosti iskoristili postavljeno ograničenje na aktivnu mrežnu konekciju:
Devices > u sekciji Download over metered connections sklopku postaviti na Off jer time sprečavamo skidanje pogonskih programa. Identičan zahvat odradit ćemo i u System > Offline Maps.

Ne treba zaboraviti niti na ovo:
Update & Security > Windows update > Advanced > Choose how updates are delivered > isključiti prekidač u sekciji Updates from more than one places.

I Ethernetu možemo postaviti „metered“ status. Postupak je složeniji, ali dobro je znati za njega jer često smo u situaciji da se na lokalnu mrežu spajamo posredstvom Ethernet mrežne kartice, a link ka Internetu je „tanak“, karakteristično za SOHO okoline: http://www.windowscentral.com/how-set-ethernet-connection-metered-windows-10.

OneDrive klijent se sinkronizira sa Microsoftovim on-line diskovima i kroz „metered“ konekciju. Da bismo ga disciplinirali, moramo se prihvatiti alata gpedit.msc. Na narednoj slici onemogućili smo sinkanje. Podsjećam, i za fino podešavanje Windows Update servisa pravi alat je upravo gpedit.msc.


Desetka od prvih dana može obavljati ulogu mobilne pristupne točke, no tek edicija 1607 omogućuje administriranje te značajke kroz GUI. Svakako dobrodošla novica, ali prateća unaprijeđenja nameću potrebu kontrole stanja opcija pod Network & Internet > Mobile hotspot, posebno Turn on remotely koja je defaultno uključena.



Naizgled zabavna a realno podmukla opcija je Settings > Personalization > Lock screen > Get fun facts, tips, tricks, and more on your lock screen, jer uključena troši bandwith za sve i svašta, uključujući reklame! Ovaj primjer pokazuje s koliko se strpljenja i metodičnosti moramo oboružati kako bismo dosegli postavljeni cilj. Postoje i opcije poput Accounts > Sync your settings te Privacy > Location – očigledno utječu na trošenje Internet linka ali ako se na računalo ulogiravamo sa Microsoft računom vjerojatno ih nećemo htjeti isključiti.

U Settings > Privacy > Backgroud apps možemo isključiti sinkronizaciju instaliranih aplikacija sa „maticom“ na Internetu za svaku aplikaciju zasebno.

Na kraju, dobro je barem spomenuti Windows Firewall. Njime možemo zabraniti komunikaciju sa vanjskim svijetom svim servisima/aplikacijama koje zbog bilo kakvog razloga ne želimo stopirati. Evo primjera: ako nam nije do prikazanih usluga, ovdje im možemo brzopotezno presjeći komunikaciju s Internetom. Mnogo je takvih servisa u Desetki, za jedne blagoslov, za druge prokletstvo. :o)

Kuharice: 
Kategorije: 
Vote: 
0
No votes yet

Rušenje Windows Server 2008 R2 poslužitelja zbog VSS servisa

$
0
0

Čest je slučaj da prezaposleni sistemci neke probleme koji nisu visokog prioriteta vuku godinama i ostavljaju ih za bolje dane, "dok prođe gužva". Primjer za to je Windows Server 2008 R2, primarni domenski kontroler na našoj ustanovi. U zadnjih je godinu dana (a možda i dulje) u relativno pravilnim vremenskim razmacima, svakih 7 – 10 dana, u neko gluho doba noći, otkazivao poslušnost. Stroj je naizgled radio, lampica diska je tu i tamo zabljeskala, ali nije odgovarao na ping, niti davao sliku na monitor. Jedino što je pomagalo bio je nasilni reset. Budući da na ustanovi koristimo i sekundarni domenski kontroler koji je preuzimao poslove od primarnog, korisnici nisu primjećivali ove ispade i problem se vukao dugo, dok ga nismo istražili i riješili.

Promatranjem Windows Error Log-a, primijetili smo da uvijek zadnji event prije smrzavanja bude 8224 - The VSS service is shutting down due to idle timeout.

Kako na diskovima poslužitelja ne koristimo Volume Shadow Copy, pogledali smo stanje Volume Shadow Copy servisa u Services appletu. Startup type mu je bio postavljan na manual, kao što bi i trebao biti, no sam servis je iz nekog razloga bio pokrenut.

 


Ručno smo zaustavili servis i od tada misterioznih rušenja više nema. Zašto je servis uopće bio pokrenut i tko/što ga je pokretao još uvijek nije jasno (vjerojatno nikad neće ni biti), no bitno je da je problem riješen i da stroj sada stabilno radi. Nadamo se da će ovo iskustvo pomoći nekome od kolega.

Vote: 
0
No votes yet

Windows 10: File History na popravnom ispitu

$
0
0

File History je servis Windowsa 10 za backup/restore korisnikovih podataka. Jednom konfiguriran, prati sve promjene na dokumentima unutar odabranih mapa, pa u predefiniranim intervalima kopira novi/promijenjeni dokument na pričuvnu lokaciju, gdje sprema nekoliko verzija svakog dokumenta. Time korisniku omogućuje ne samo povrat zadnjeg stanja, nego i neke od prethodnih, radnih verzija. Kao backup lokaciju možemo odabrati lokalno priključen USB disk/stick ili mrežni dijeljeni direktorij, pri čemu je nevažno da li je domaćin tog direktorija računalo, NAS ili router s podrškom za dijeljenje lokalnog diska. Važno je samo da domaćin raspolaže kvalitetnom implementacijom SMB protokola.

Iz navedenog bi se moglo zaključiti da je File History pravo rješenje za SOHO sredine i privatnu uporabu – dostupan, razumljiv, bez spomena vrijednih dodatnih troškova... te je brzo privukao pozornost vašeg „dežurnog njuškala“. Ali jao! Kad sam ga proljetos testirao kako bih kolegama sistemcima skrenuo pozornost na njega, ostao sam zatečen: servis je padao na najjednostavnijim testovima, ukratko, pokazao se nepouzdanim. Dogovorih tada s urednikom da pričekamo Anniversary Update za Desetku, pa ako se File History i tada bude neuračunljivo ponašao, obznanit ćemo to jasno & glasno.

Prije petnaestak dana ponovo sam testirao File History u gotovo istoj testnoj okolini kao ranije, razlika je u tome što je Desetka sada sa Anniversary Updateom, dakle, edicija 1607. Sve su instalacije tipa clean install.


Iako sam File History dobrano ugnjavio – prekidao mrežne konekcije na duže vremenske intervale, uspavljivao prijenosnik, a USB stick vadio, pa nakon nekoliko sati priključivao u drugi USB utor, primjenjivao zakrpe na računala i restartao ih... nisam ga uspio omesti u njegovoj misiji kopiranja izmijenjenih (i novododanih) foldera i dokumenata na odredište. Mališa je popravni ispit položio s odličnim uspjehom! Barem u testnoj okolini!

Sve u svemu, zaslužio je da ga implementiramo. Ovo je štivo za IT profesionalce pa su u fokusu samo oni detalji koji se lako previde na operativnoj razini.

Ako nam je backup na lokalnom USB portu, formatiramo uređaj i ostavimo ga aktivnog. Ukoliko će File History odlagati kopije u mrežni direktorij, kao problem nam se može pojaviti loša implementacija SMB protokola na strani domaćina mrežnog direktorija, naime, nakon nekog vremena on spusti SMB sesiju pa ne zna dogovoriti reestablish, zbog čega će pasti nastupajući ciklus replikacije. Suočimo li se s takvom situacijom, treba domaćina podesiti da ne spušta SMB sesiju. Ako je lokacija backupa na Desetki, nećete imati opisani problem, uvjerio sam se u to tijekom testiranja.
 
Da bi File History tijekom konfiguracije na radnoj stanici pronašao mrežni direktorij i tako nam omogućio njegov odabir kao backup lokaciju, pripazit ćemo da u aktivnom mrežnom profilu radne stanice - u SOHO okolišu to je u pravilu Private – budu aktivirane opcije File & Print Sharing i Turn on network discovery.

Tada na red dolazi podešavanje same značajke. File History kao applet nalazi se u Setting i Control Panel. Preporuča se konfiguriranje kroz Settings, jer je verzija dostupna iz CPanela ovdje zbog kompatibilnosti sa Windowsima 8.x, mada, vidjet ćemo, ponekad se isplati otići baš u CPanel.

Znači, na radnoj stanici strukturiramo hijerarhiju mapa i dokumenata koje nakanismo backupirati, potom slijedimo putanju Settings > Update & Security > Backup. Uključimo značajku i dalje je sve samorazumljivo. Na slici je testna konfiguracija s prijenosnika.



Važno je nakon postavljanja željenih parametara kliknuti na gumb Back up now, da se odradi inicijalnio kopiranje. Nadalje servis fhsvc u zadanim intervalima kopira promjene na odredište. Sve se odvija transparentno, sa neznatnim opterećivanjem lokalnih resursa, jer servis prati stanje čitajući tablicu promjena (USN Journal), što je jedan od metapodataka svakog NTFS volumena.


U jednom pokrenut File History možemo naknadno dodavati nove mape, ili isključivati postojeće. Samo ako mijenjamo backup lokaciju moramo prije te promjene aktivirati gumb Backup to different drive, čime se raskida veza sa aktualnom lokacijom (kopije se ne brišu), i podesimo sad već poznate nam parametre.

Kako stojimo s obnovom backupiranih datoteka? To je svrha svakog backupa, zar ne!? Možemo izravno s pručuvne lokacije kopirati što god nam drago, gdje god nam drago. Možemo iskoristiti putanju Settings > Backup > More options > Restore files from current backup pa kroz File History preglednik „pročešljavati“ backup po datumima, vremenima i dokumentima. Ako nam je, pak, do vraćanja prethodne verzije jednog dokumenta: na radnoj stanici u Windows Exploreru desni klik na dokumentu > Restore previous versions pa iskoristimo mogućnosti gumba Open i Restore.



Na kraju jedan važan detalj – periodično uređivanje backup lokacije. Primijenimo li učestala kopiranja promijenjenih dokumenata, recimo, svakih 10 – 15 minuta, i još intenzivano radimo na tim dokumentima, ubrzo će se na backup lokaciji nakupiti gomila verzija. A ta lokacija je u konačnici samo disk „zakucanog“ kapaciteta. Dokumentima zatrpan disk možemo pročistiti ovako: Control Panel > File History > Advanced Settings > Clean up versions pa... vidi ilustraciju!

Vote: 
0
No votes yet

Nestanak Windows 10 start menija

$
0
0

Na žalbu korisnika da ne može isključiti računalo preko start menija, nimalo zabrinuti odlazimo do korisnika smatrajući da se radi o manjem problemu. Nakon dolaska stvari ne izgledaju baš bezazleno, naime iz nepoznatog razloga start meni u Windowsu 10 je jednostavno nestao, odnosno prestao reagirati na lijevu tipku miša.

Pristup je moguć samo pomoću desne tipke, pa tamo dobijemo pomoćni izbornik u kojem se nalaze opcije Command prompt, Shutdown itd

 

Prvo što u tom trenutku možemo napraviti je da potražimo pomoć na Googleu. Kao rezultat pretraživanja dobijemo link za preuzimanje .DIAGCAB datoteke na linku http://aka.ms/diag_StartMenu (DIAGCAB arhiva je namijenjena za uporabu u alatu Microsoft Support Diagnostic Tool, koji bi se automatski trebao pokrenuti kada kliknete na arhivu).

Izgleda da smo brzo našli rješenje, pa sretni i zadovoljni pokrećemo alat i čekamo da odradi posao. Nažalost, alat nam nije pomogao.

 Zatim pokušavamo standardnom naredbom za popravak sistemskih datoteka System File Checker:

Naredbu "sfc /scannow" pokrećemo iz command prompta pod administratorskim ovlastima, ukoliko je uopće potrebno posebno naglašavati. No, nakon kraćeg vremena izvršavanja, ni ona nije dala rezultate.

Sljedeći u nizu alata s kojima ćemo pokušati riješiti problem je DISM: Deployment Image Servicing and Management.

DISM je još jedan od alata za popravak oštećenog sustava, a inače se koristi kad sfc nije u mogućnosti otkloniti problematične datoteke. Pokrenuli smo command prompt s administratorskim ovlastima, te upisali sljedeću naredbu (nama je važan parametar restorehealth– koji vrši provjeru i pripremu automatskog oporavka):

dism /Online /Cleanup-Image /RestoreHealt

 Opet nemamo sreću, ponovo greška, pa se postavlja pitanje da li istraživati ovu grešku ili pokušati nešto novo.

Jedna od mogućnosti koja nam se još nudi, kako bi izbjegli reinstalaciju ili osvježavanje Windowsa, jest zamjena oštećenih datoteka u "TileDataLayer Database" (folder u kom se nalaze podešenja start menija, kojeg alat MSDT nije uspio detektirati kao neispravan). Za ovaj način potreban nam je novi korisnički račun, kojeg odmah ubacite u grupu administratora. Isto tako, ukoliko slučajno na računalu nije aktiviran administratorski račun, aktivirajte ga preko Computer Managementa (budući da nam izbornik ne radi, koristimo desnu tipku za pomoćni izbornik te odabiremo Computer Management).

Dodatni korisnički račun potreban je zbog toga što ćemo iz njega kopirati ispravan direktorij \...\TileDataLayer\Database.

Novi korisnički račun napravit ćemo s komande linije pod administratorskim ovlastima:

net user pero novazaporka /add 

Nakon kreiranja korisničkog računa isti postavimo u administratorsku grupu:

net localgroup administrators pero /add 

Nakon što smo se prijavili s novim korisničkim računom "pero", pričekajmo da Windows 10 kreira novi profil. Nakon što je kreiran profil za našeg "peru", odjavimo se i ponovo prijavimo kao administrator.

Nakon što smo pokrenuli Windows Explorer i otvorili mapu novog korisnika C:\users\pero\AppData\Local\TileDataLayer, možemo kopirati cijelu mapu Database.

Sada otvorimo oštećeni profil C:\users\korisnik\AppData\Local\TileDataLayer, mapu Database preimenujemo u DatabaseOLD, a na njezino mjesto stavimo ispravnu mapu Database profila "pero".

Nakon ovog postupka nije potrebno resetiranje računala. Odjavimo se s administratorskog računa, prijavimo na profil kojem je bio oštećen start meni i uvjerimo se da se start meni vratio u svom izvornom obliku.

Kuharice: 
Kategorije: 
Vote: 
0
No votes yet

Kada je minus plus

$
0
0

Jedan od problema s kojima se sistemci pri radu u komandnoj liniji susreću je pamćenje silnih parametara brojnih naredbi. Jasno, lako je zapamtiti opcije naredbe koje koristimo svaki dan, ali što s onima koje pokrećemo samo povremeno, na primjer jednom godišnje?

Doduše, uvijek su tu man stranice, ali se češće pouzdamo u pamćenje - a tako možemo pogriješiti. Naime, parametri su ponekad vrlo slični (imaju slično značenje kod različitih naredbi) ili se razlikuju iako pripadaju istom paketu (kada se ssh-om želite spojiti na drugi port morate koristiti "-p", ali kod scp-a je to veliko "-P"). No, ovo nije priča o ssh-u, nego nečem drugom.

Dodavanje paketnog repozitorija nije operacija koju ćete svakodnevno obavljati (a neki možda i nikada). Osim upisivanja adrese u odgovarajućem obliku u sources.list, digitalni ključ repozitorija treba ubaciti u apt-ov keyring (kako bi SecureApt funkcionirao). Nakon skidanja ključa s repozitorija, treba pokrenuti naredbu "apt-key add", te ju tako po sjećanju i pokrećemo:

# apt-key add < repozitorij.com.gpg.key
gpg: can't open `': No such file or directory

Ovo nije rezultat koji smo očekivali. Po sjećanju "smo sasvim sigurni" da naredba apt-key mora primati ključ i preko standardnog input (STDIN-a), zašto neće sada? Probajmo na staromodni način sa pipeom:

# cat repozitorij.com.gpg.key | apt-key add
gpg: can't open `': No such file or directory

Rezultat je isti. Ovdje počinjemo sumnjati da smo sintaksu, koju smo tako samouvjereno primijenili, uopće dobro zapamtili. Nakon još nekoliko iteracija i nekoliko minuta izgubljenog vremena, brza konzultacija manuala pokazuje da treba staviti "-" kao oznaku datoteke, kada želimo proslijediti tu datoteku preko stdina:

# apt-key add - < repozitorij.com.gpg.key

I to je sva magija, a oznaku "-", umjesto imena datoteke, označavajući tako da očekuju ulaz sa stdina, upotrebljavaju i drugi programi. U ovom konkretnom slučaju, nije potrebno ni to, sintaksa je jednostavno:

# apt-key add repozitorij.com.gpg.key

Pouka je: ne treba se previše pouzdati u vlastito pamćenje kod stvari koje ne radimo često. Iako je ovaj slučaj trivijalan i bezazlen, kucanje naredbi napamet može vam napraviti štetu ili barem oduzeti vremena kojeg nikada nema dosta.

Kuharice: 
Kategorije: 
Vote: 
0
No votes yet

Incron 2 dio

$
0
0

U prošlom članku predstavili smo incron, njegove mogućnosti i zadali jedan incron job primjera radi. U nastavku ćemo dati pravi primjer iz prakse i objasniti još neke stvari o incronu.

Kolega sistemac, odnosno njegov IT odjel, dobio je zadatak popunjavati web stranice sadržajem (uglavnom slike i nešto video sadržaja) kojeg FTP-om dostavljaju vanjski suradnici i djelatnici u određen direktorij svog korisničkog računa. Dogovoreno je da će obavijesti o novom sadržaju stizati nama na mail, ali kako se moglo i pretpostaviti, obavijesti su stizale sa zakašnjenjem ili nikako.

Potražili smo rješenje pomoću crona koji bi provjeravao direktorij svakih 10 minuta, ali smo otkrili incron koji upravo ovakve poslove znatno olakšava.

Za postojećeg korisnika postavili smo ovakav incrontab:

/home/korisnik/files/ IN_CREATE /usr/bin/mail -s Postavljene_nove_datoteke root

Obratite pažnju na to da smo u naslovu poruke stavili podvlake umjesto navodnika, jer incrontab ne podržava ekspanziju posebnih znakova kao shell. Tako nije moguće raditi nikakvu redirekciju sa znakovima >, <, >> i drugima, zvjezdicu, navodnike i druge znakove koje shell interpretira posebno. Ovdje će naredbi mail svaka "riječ" iza nje biti proslijeđena kao parametar.

Da smo naslov ostavili bez razmaka, poruka naslova "Postavljene" otisla bi korisnicima "nove", "datoteke" i "root". Ukoliko želite veću fleksibilnost, morat ćete napraviti skriptu kojoj ćete proslijediti primatelje maila.

Incron neće korisnika upozoriti na probleme u konfiguraciji, nego će tiho odustati od izvršavanja ili čak obrisati problematičnij redak. Primjerice, koristenje tabova u incrontabu neće prijaviti nikakvu grešku kod postavljanja, ali će obrisati redak i jedino će u datoteci /var/log/syslog pisati:

incrond[591]: access denied on /nekidri/#011IN_CREATE#011/usr/bin/mail - events will be discarded silently

Nemojte koristiti direktorij /tmp za testiranja. To je sistemski direktorij gdje se neprestano nešto zapisuje ili briše, pa ćete biti zatrpani mailovima ili tisućama bespotrebnih operacija što može zagušiti vaš poslužitelj

Za drugi primjer iskoristit ćemo isti folder, samo ćemo incron koristiti da napravimo backup sadržaja direktorija, odnosno kompletno zrcalimo na drugi server pomoću naredbe rsync.

/home/upload/files/ IN_CLOSE_WRITE,IN_CREATE,IN_DELETE /usr/bin/rsync -ap /home/upload/files korisnik@server2.domena.hr:backup

Ovime smo zadali da pri svakoj promjeni unutar direktorija /home/korisnik/files, cijeli direktorij bude kopiran na drugi server. Ovo je jako praktično ako planirate napraviti redundantni web site, ali ni korisnost instant kopije korisničkih (ili vaših) podataka nije za odbacivanje.

Naravno, prema potrebama ćete podesiti koje ćete "evente" pratiti, hoćete li brisati ili gaziti podatke na drugom serveru i tako dalje. Kako omogućiti rad rsynca bez upisivanje zaporke potražite na adresi https://sysportal.carnet.hr/node/999 .

Neki incron koriste kao mali IDS (Intrusion Detection System). Umjesto da upogonite cijeli IDS, možete se osloniti na incron da vam javlja promjene u ključnim datotekama: /etc/passwd, /etc/shadow, /etc/group, direktoriju /home. I promjene u drugim datotekama i direktorijima mogu ukazati da je dodan novi korisnik ili se nešto na sustavu promijenilo bez vašeg znanja.

Uvijek koristite pune putanje (path) do naredbi, iz sigurnosnih razloga, a i korisnik root možda nema taj direktorij u stazi.

Spomenuli smo sigurnost, odnosno da "po defaultu" nijedan korisnik nema pravo izvršavati incron jobove. U prvom tekstu smo jednostavno obrisali kontrolne datoteke incron.allow i incron.allow, onemogućiivši tako bilo kakvu sigurnosnu kontrolu.

Možda niste bili svjesni, ali i standardni cron ima isti mehanizam zaštite, pa da vidimo kako on radi:

Ako postoji /etc/incron.allow, samo korisnici koji su navedeni unutra mogu koristiti incron.

Ako postoji /etc/incron.deny, izvršavanje incron jobova je zabranjeno za korisnike navedene u toj datoteci.

Ovo vrijedi čak i za root korisnika! Pokušajmo izlistati sadržaj incrontaba s opcijom "-l" ("--list"):

# incrontab --list user 'root' is not allowed to use incron

Što ako se koriste obje datoteke a isti se korisnik nalazi u obje? U tom slučaju, prednost ima "allow" datoteka, te se "incron.deny" ni ne gleda.

Koju ćete od ove dvije datoteke koristiti, na vama je, a vjerojatno će ovisiti o tome koliko korisnika morate upisati u datoteku. Vjerojatno će vam biti lakše ako koristitie samo "incron.allow".

Za kontrolu incron jobova imamo postavke koje su ekvivalentne onima za crontab. Opciju za ispis joba smo već vidjeli (opcija "--list" ili "-l"), a također i za uređivanje incrontaba ( "--edit" ili "-e").

Za brisanje joba koristimo "--remove" ili "-r":

# incrontab --remove removing table for user 'root' table for user 'root' successfully removed

Ništa lakše. Osim ove, imamo i mogućnost prikaza poslova određenog korisnika "--user" ili "-u". No, opcija koju crontab nema jest "--reload" ili "-d" (ovdje pripazite ako ćete koristiti kratki oblik, jer "-r" znači brisanje).

Ova opcija govori glavnom procesu incrond da napravi reload tablice i primjeni stara pravila na nove datoteke (ili da ponovo pokrene ciklus za event IN_ONESHOT). Ovo je na određeni način obrnuto od onoga što radi "kill -HUP", koji govori procesu da ponovo pročita konfiguraciju koja se promijenila.

Ako želite isprobati testnu konfiguraciju incron.conf-a, možete je zapisati u neku drugu datoteku i taj naziv proslijedit: "--config=lokacija" ili "-f lokacija", no sumnjamo da ćete je ikada zatrebati.

To su ujedno i sve opcije koje podržava incrontab.

Najsvježiji verziju incrona možete naći na adresi: http://inotify.aiken.cz/?section=incron&page=about&lang=en

Umjesto toga uvijek možete koristiti verziju koju je Debian zapakirao u trenutnoj distribuciji.

Kuharice: 
Kategorije: 
Vote: 
0
No votes yet

Novosti u izdanju Debian 8 (Jessie)

$
0
0

Iako je Debian 8 izašao već odavno, u praksi se Jessie ne susreće tako često. U novoj distribuciji ima dosta promjena, neke su kontroverzne, ali ima i uobičajenih stvari. Pa pogledajmo novosti u Debianu 8.

Prva i najbitnija promjena je systemd. Ovaj inicijalizacijski sustav se sada nalazi u većini distribucija LInuxa, u nekima jedino zato što Gnome ovisi o njemu. Systemd je izazvao brone rasprave jer se smatra da odstupa od Unixova načela "do one thing and do it well" i da je prekompliciran. Neki su išli toliko daleko da su forkali cijeli Debian i nazvali ga Devuan, Projekt je dugo vremena bio tih, ali je distribucija izašla i može poslužiti za nadogradnju s Debianovog izdanja Wheezy.

Sumnjamo da će ovaj projekt zaživjeti, vjerujemo da će većina korisnka ostati kod Debiana bez obzira na systemd.

Time je tradicionalni način inicijalizacije otišao u povijest, a skripte u direktoriju /etc/init.d služe uglavnom za "kozmetiku". One su i dalje tamo, ali sve se odvija preko međusobnih ovisnosti u zaglavljima tih datoteka. Iako servis još uvijek možete pokrenuti naredbom "/etc/init.d/servis start", ispravan način je "systemctl start servis". Evo primjera kako dobiti informacije o statusu pojedinog servisa:

# systemctl status clamav-daemon
● clamav-daemon.service - Clam AntiVirus userspace daemon
Loaded: loaded (/lib/systemd/system/clamav-daemon.service; enabled)
Active: active (running) since Mon 2016-09-26 09:22:10 CEST; 1 weeks 2 days ago
Docs: man:clamd(8)
man:clamd.conf(5)
http://www.clamav.net/lang/en/doc/
Main PID: 17579 (clamd)
CGroup: /system.slice/clamav-daemon.service
└─17579 /usr/sbin/clamd --foreground=true

Oct 05 09:00:13 server clamd[17579]: SelfCheck: Database modification detected. Forcing reload.
Oct 05 09:00:16 server clamd[17579]: Reading databases from /var/lib/clamav
Oct 05 09:02:12 server clamd[17579]: Database correctly reloaded (7408847 signatures)
Oct 05 10:02:19 server clamd[17579]: SelfCheck: Database status OK.
Oct 05 11:05:29 server clamd[17579]: SelfCheck: Database status OK.
Oct 05 12:13:43 server clamd[17579]: SelfCheck: Database status OK.
Oct 05 13:14:28 server clamd[17579]: SelfCheck: Database modification detected. Forcing reload.
Oct 05 13:14:31 server clamd[17579]: Reading databases from /var/lib/clamav
Oct 05 13:16:28 server clamd[17579]: Database correctly reloaded (7409047 signatures)
Oct 05 13:58:06 server systemd[1]: Started Clam AntiVirus userspace daemon.

Pomoću ove naredbe možete vidjeti dosta informacija o servisu, što je korisno za debugiranje.

Osim systemd-a, kojeg u uobičajenom radu ne bi trebali primjećivati (jer je zamišljen kao drop-in zamjena za sysvinit, a postoji i paket za kompatibilnost systemd-sysvinit), dolaze nam nove inačice standardnih paketa. Tako je Apache sada u inačici 2.4.10. Od novosti u odnosu na inačicu 2.2.20 možemo izdvojiti neke koje ćete odmah primjetiti u logovima. U novoj inačici vaši virtualni poslužitelji, odnosno njihove konfiguracijske datoteke moraju imati ekstenziju .conf, inače neće biti učitane. Direktorij mora izgledati otprilike ovako:

$ ls -l /etc/apache2/sites-available/
-rw-r--r-- 1 root root 983 Sep 22 01:21 001-ssl.conf
-rw-r--r-- 1 root root 665 Sep 22 10:39 002-server.institucija.hr.conf
-rw-r--r-- 1 root root 114 Sep 22 10:54 003-www.institucija.uniXX.hr.conf

Sve druge datoteke bit će ignorirane, pa počistite višak kako bi nadogradnja protekla što lakše.

Osim ovoga, u Apachu je nestala direktiva NameVirtualHost, pa ju trebate ukloniti. O ovome, kao i preimenovanju datoteka u gornjem slučaju, brine paket apache2-cn, a ovo napominjemo za slučaj da ne koristite taj paket.

Od ostalih paketa, BIND je skočio s inačice 9.8 na inačicu 9.9. Kernel koji dolazi u Jessie je 3.16 (stari je iz serije 3.2), Postfix je 2.11 (stari 2.9), PHP 5.6 (stari 5.4), a nekima će biti najvažnija činjenica da se MySQL 5.5 isporučuje zajedno sa MariaDB 10.0. Ovo znači da će se u Debianu 9 (stretch) naći samo jedna od ove dvije baze. Kako je MariaDB drop-in zamjena za MySQL, ovo ne bi trebao predstavljati problem.

U Jessie dolazi jedan novi paket, debian-security-support. On bi trebao obavještavati sistemca da uskoro ističe sigurnosna podrška za neki paket ako se to dogodi za vrijeme "života" trenutne distribucije. Preporučujemo da ga instalirate.

Ukoliko rabite CMS na poslužitelju kojeg želite nadograditi, provjerite kompatibilnost sa PHP-om 5.6. Najbolje rješenje je nadograditi CMS na zadnju inačicu, čime ujedno rješavate sigurnosne probleme vašeg CMS-a. Kako s Debianom 9 dolazi PHP 7.0, provjerite je li vaš CMS spreman za njega.

U CARNetovim paketima nema bitnijih izmjena, osim onih koje prate izmjene u Debianovim paketima. Osim navedene konverzije konfiguracijskih datoteka u datoteke s ekstenzijom .conf, paket apache2-cn prebacuje dosadašnji direktorij conf.d u conf-available. Također, samopotpisani certifikati se sada kreiraju s metodom SHA-256.

Još jedan bitan paket je amavisd-cn. U njemu su izbačene stara amavisd-cn i amavis skripte iz direktorija /etc/init.d, pa se sve prepušta Debianu.

Ovo je samo kratki pregled nekih važnijih promjena. Ako se ukaže potreba, obradit ćemo i druge izmjene.

Kategorije: 
Vote: 
0
No votes yet

Kako ograničiti usera na njegov $HOME direktorij - SFTP

$
0
0

Uz vlastite korisnike (profesore, studente i ostale djelatnike), na vlastiti poslužitelj ponekad moramo dodati i vanjske korisnike (primjerice, web developere). Kako vanjskim (a niti 'domaćim')  korisnicima ne bismo trebali u potpunosti vjerovati, želja nam je ograničiti ih u mogućnosti da mogu vidjeti datoteke na datotečnom sustavu, odnosno izvan svog $HOME direktorija.

Malo googlanja i dobit cemo rješenje pod nazivom 'chroot jail'.

Pristup na poslužitelj obično imaju preko FTP-a, SFTP-a ili SSH-a. Neki sistem-inženjeri odavno ni svojim  korisnicima ne daju SSH pristup (a ostali čim prije napravite isto), pa SSH u principu nije problem.

FTP je prastari standard koji se i dalje itekako koristi, ali ima svoje mane, koje ponekad znaju zasmetati.  Najveća mana je što prijenos nije enkriptiran, pa mnogi pribjegavaju SFTP-u. Jer, jelte, postali smo svjesni  da podatke treba štiti i koristiti samo 'sigurne' kanale komunikacije.

No. Vratimo se početku i FTP-u. O ograničavanju korisnika FTP-a je već bilo pisano na Portalu u članku "VSFTP: Ograničenje korisnika na njegov $HOME" na adresi https://sysportal.carnet.hr/node/1034

Opis je i dalje točan, ali vrijedi samo za FTP. A kako smo mi odlucili implementirati SFTP,  pri testiranju smo uočili da se nije ništa promijenilo. i nakon nekoliko sati googlanja otkrijete da od distribucije Debian 7 (wheezy) trebate napraviti još jedan dodatni korak. :)

$HOME direktorij moramo uzeti korisniku i dati korisniku root:

# chown root:root /home/korisnik1
# chown root:root /home/korisnik2
# ...

Kreirajte folder unutar korisničkog $HOME, nad kojim user ima full ovlasti. To ujedno može biti i public_html koji je već tamo, ili neki novi.

# mkdir /home/korinik1/ftpdir
# chown korinsik1:student /home/korinik1/ftpdir
# chmod 755 /home/korinik1/ftpdir

Svi direktoriji iznad njega također moraju biti u vlasništvu roota, ali to je za direktorije "/home" i "/" ionako slučaj, pa ne moramo raditi nikakve dodatne intervencije.

S obzirom da se spajamo preko protokola SFTP (ovdje mislimo na kvazi-FTP u sklopu protokola SSH), morat ćemo podesiti SSH daemon.

Ove retke treba dodati na kraj datoteke /etc/ssh/sshd_config (obavezno na kraj!):

---- /etc/ssh/sshd_config ----

Subsystem sftp internal-sftp
Match Group sftpuser
     ChrootDirectory %h
     ForceCommand internal-sftp
     AllowTcpForwarding no

---- /etc/ssh/sshd_config-----

Ove postavke određuju da će svi korisnici u grupi "sftpuser" kada pristupaju preko protokola SFTP biti zaključani na svoj vlastiti korisnički direktorij. Neće moći vidjeti datotečni sustav izvan svog $HOME.

Naalje, moramo pripremiti ostatak sustava, prvo ćemo kreirati grupu "sftpuser" i dodati korisnike u nju:

# groupadd sftpuser
# usermod korisnik -g sftpuser

Opcija "-g" naredbe usermod određuje da se radi o novoj primarnoj grupi, te će sve datoteke unutar $HOME biti "chownane" na novu grupu (ne i datoteke izvan kućnog direktorija!).

Ukoliko želite da korisnik ima pristup nekom drugom direktoriju (u uobičajeni /home/korisnik), ne zaboravite promijeniti i taj podatak:

# usermod korisnik -d /neki/drugi/direktorij

Ne zaboravite na pravilo o vlasništvu svih direktorija iznad, koji moraju biti u vlasništvu roota!

Na kraju je potrebno restartati servis SSH, kako bi promjene bile vidljive:

# /etc/init.d/ssh restart

Ukoliko želimo (a želimo) u potpunosti zabraniti korisnički pristup ljusci (shellu), potrebno je korisniku promijeniti osnovnu ljusku. Najbolje je to napraviti tako da odredimo da je login ljuska naredba /bin/false:

# usermod korisnik -s /bin/false

Kako bi ta naredba bila uvažena kao login ljuska, potrebno ju je dodati u datoteku /etc/shells (ako već nije tamo od prije):

# cat /etc/shells
# /etc/shells: valid login shells
/bin/ash
/bin/csh
/bin/sh
/usr/bin/es
/usr/bin/ksh
/bin/ksh
/usr/bin/rc
/bin/sash
/usr/bin/esh
/usr/bin/screen
/bin/bash
/bin/rbash
/bin/zsh
/usr/bin/zsh
/bin/dash
/bin/tcsh
/usr/bin/tcsh
/bin/mksh
/bin/mksh-static
# echo "/bin/false">> /etc/shells

Ukoliko ste sve ispravno podesili, korisnik se neće moći logirati preko SSH, ali će moći pristupiti preko FTP-a i SFTP-a, te će biti ograničen samo na svoj kućni direktorij.

Ukoliko ste pažljivo čitali, nismo spominjali ograničavanje korisnika na svoj kućni direktorij preko SSH pristupa (samo smo ga u potpunosti blokirali).

Također, ukoliko ste ranije dobro planirali, pa su vam korisnički računi (studenti, djelatnici, ..) kod kreiranja bili dodjeljivani u zasebne GUID-e, onda vam je posao uvelike olakšan. Jer, sa jednom skriptom možete pokupiti samo te korisnike i promijeniti im GUID, shell, $HOME vlasništvo, ... (ali to je za drugu kuharicu).

Ovakav način rada nije trivijalno ostvariti, niti je takav chroot jail posebno siguran (to mu ni nije prava namjena), pa ga nećemo ovaj put obraditi.

 

Kuharice: 
Vote: 
0
No votes yet

Redundacija – mo'š mislit!

$
0
0

Bilo je to za vrijeme godišnjeg odmora, olimpijade u Riu 2016. i čaše piva koju sam ispijao dok sam uživao u prijenosu. Nekako ovo ljeto i godišnji prolaze smireno, telefoni miruju, računalo rijetko koristim, tu i tamo pogledam pristiglu poštu, pročitam vijesti i čekam prijenos natjecanja.

Negdje u večernjim satima, dok uživam gledajući kako naši osvajaju medalje, kao iz nekog predosjećaja, ustanem iz fotelje i sjedam za laptop. Prvo pregledavam poštu: osim nekoliko poruka i obavijesti ništa posebno.

Kako imam običaj provjeriti sve servise, provjeravam i drugi server na kojem imam nekoliko webova raznih projekata, lokalni Moodle, studentske korisničke račune i druge stvari za koje nije bilo mjesta na primarnom serveru.

Prvo pokusavam pristupiti sustavu Moodle, a preglednik mi izbaci poruku "Server not found". Dobro, pomislim, možda je nestalo struje i da je upravo u tijeku ponovno "podizanje" sustava. Nakon desetak minuta ne mogu pristupiti web stranicama, nervoza počinje rasti nakon što se sshd ne odaziva, pa ni ftp (koji treba raditi zbog vanjskih suradnika).

Osim pinga nemam drugog izbora, ali je rezultat (naravno) nula. Napredujem od nervoze do lagane panike. Oko 22:15 sati sjedam u auto i pravac radno mjesto. Odlazim do servera koji se ne da pingati. S prednje strane pravo mrtvilo, ni jedna "lampica" ne gori. Ma dobro, nestalo je struje i server se iz nekog razloga nije bootao. Ključićem otvaram prednju masku i pritisnem tipku "Power".

Server ne reagira, pregledavam kablove, no čini se da je sve u najboljem redu. Sa stražnje strane gledam dva napajanja koja imaju kontrolne ledice, no ni jedna ne svijetli. Pokušavam malo jače ugurati kablove od napajanja, možda su se malo izvukli, no ni to ne pomaže.

Izvlačim oba hot-swap napajanja jedno po jedno i ponovo vraćam u kućište servera, bez uspjeha. Zaključak je jednostavan, oba napajanja su pregorila i to za vrijeme godišnjeg odmora. Istraživanjem se da zaključiti da je prije dva tjedna otišlo jedno napajanje, a zatim i drugo. Kakva redundancija! Što je najgore, u vrijeme godišnjeg odmora kvar jednog napajanja se ne može primjetiti bez fizičkog pregleda, jer server radi na redundantnom napajanju.

Novi dan godišnjeg, odlazim rano na posao, uzimam telefon i nazivam redom sve tvrtke koje se bave hardverom. Nitko nema odgovarajuće napajanje na zalihi, pa  zovem sve meni poznate sistemce, bivše sistemce i prijatelje ne bih li dobio na posudbu jedno napajanje.

Kako nitko nije imao odgovarajuće napajanje, preostaje mi samo googlati i tražiti tvrtke po Europi koje bi mogle imati napajanje. Nakon nekoliko sati potrage, javio se prijatelj s informacijom da je locirao napajanja – i to u mom vlastitom gradu.

Nisam mogao vjerovati, pa sam nestrpljivo osobno otišao po njih. Odmah sam ih upogonio i upalio server. Srećom filesystem nije bio oštećen, kao ni baze podataka, pa se server bez problema vratio u život.

I na kraju zaključak: redundacija, da, pomaže, ali nekad ni to nije dovoljno! Ipak bi trebalo imati bar još jedno rezervno napajanje na polici, pogotovo što tvrtke dobavljači u ovoj krizi nastoje imati što manje robe na zalihi.

Koristim priliku da od srca se zahvaim osječkim sistemcima i sistemašici koji su, ne štedeći svoje slobodne dane i godišnji odmor, pomogli da riješim ovaj nezgodan problem.

Kategorije: 
Vote: 
0
No votes yet
Viewing all 594 articles
Browse latest View live