środa, 25 lipca 2012
Apache Basic Auth jakiego nie znacie!
Basic Auth w protokole HTTP jest to najprostszy i zapewne najszerzej wykorzystywany rodzaj autoryzacji. O bezpieczeństwie tego typu autoryzacji możemy mówić dopiero wtedy gdy używamy szyfrowanego https, ale dla nas nie ma to w tym momencie zanczenia :) Basic Auth konfigurujemy w apache bardzo łatwo np:
niedziela, 15 lipca 2012
Bind, sed, hosty i dopełnianie
W ostatnim poście pisałem jak usprawnić dopełnianie nazw hostów w dużym środowisku. Polecałem wtedy polecenie "rndc dumpdb -zones". Jak się jednak okazuje, potrafi ono często zwrócić segmentation fault. Chcąc nie chcąc w takim przypadku trzeba użyć jakiegoś toola który przeleci konfiguracje bind-a. Dla mnie, najprostszym rozwiązaniem było użycie polecania sed:
$ cat bind2hostname.sh
#!/bin/bash
sed -n '
{
:loop
s/\$ORIGIN[ \t]\+\(.*\)\./\1/
T nextcheck
h
n
:nextcheck
s/^\([[:alnum:].-]\+\).*IN.*/\1/
t hostname
n
b loop
:hostname
G
s/\n/./
p
d
n
b loop
}'
Działanie skryptu jest bardzo proste. Wyszukuje wartości dla parametru ORIGIN i dokleja je do znalezionych nazw hostów. Teraz wystarczy dodać do crona polecenie podobne do tego poniżej
$ cat /etc/bind/P/+([a-z.-]) | /home/scripts/bind2hostname.sh > /etc/named_hosts.db
Można jeszcze pokusić się o dopisanie adresów ip i wrzucenie tego wszystkiego do /etc/hosts. Mi jednak tyle wystarczy, a konfiguracja binda nie zawsze jest łatwa do parsowania :)
$ cat bind2hostname.sh
#!/bin/bash
sed -n '
{
:loop
s/\$ORIGIN[ \t]\+\(.*\)\./\1/
T nextcheck
h
n
:nextcheck
s/^\([[:alnum:].-]\+\).*IN.*/\1/
t hostname
n
b loop
:hostname
G
s/\n/./
p
d
n
b loop
}'
Działanie skryptu jest bardzo proste. Wyszukuje wartości dla parametru ORIGIN i dokleja je do znalezionych nazw hostów. Teraz wystarczy dodać do crona polecenie podobne do tego poniżej
$ cat /etc/bind/P/+([a-z.-]) | /home/scripts/bind2hostname.sh > /etc/named_hosts.db
Można jeszcze pokusić się o dopisanie adresów ip i wrzucenie tego wszystkiego do /etc/hosts. Mi jednak tyle wystarczy, a konfiguracja binda nie zawsze jest łatwa do parsowania :)
niedziela, 18 marca 2012
DNS i dopełnianie nazw hostów
Od dosyć dawna Bash posiada wsparcie dla dopełniania nazw plików, jednak nie wszyscy zdają sobie sprawę, że dopełniać klawiszem TAB możemy praktycznie wszystko. Jest to mechanizm wysoce konfigurowalny i wiele dystrybucji posiada skrypt /etc/bash_completion który definiuje specjalne dopełnianie dla wielu popularnych poleceń - np dopełnianie opcji. Krótkie wprowadzenie można znaleźć tutaj - część pierwsza i druga.
W codziennej pracy administratora na pewno bardzo przydatną opcją jest dopełnianie nazw hostów. Doszukamy się nawet gotowego rozszerzenia dla ssh, scp i innych poleceń - zwykle wystarczy zainstalować tylko pakiet bash-completion. Rozszerzenie to potrafi nawet dopełniać w poleceniu scp nazwy plików i katalogów na zdalnym hoscie!
Cały mechanizm jest świetny, ale jak zapewne się już domyślacie jest jedna rzecz którą chce poprawić :) Dopełnianie nazw hostów bazuje na urządzeniach/komputerach do których już się zalogowaliśmy (poprzez ssh), lub takich które mamy zapisane w plikach hosts (np. /etc/hosts). Takie rozwiązanie nie sprawdza się w dużym środowisku, gdzie bardzo często logujemy się do hostów na których wcześniej nie byliśmy, dodatkowo dokładanych jest cały czas sporo maszyn a inne są usuwane.
Można ten problem rozwiązać instalując avahi... ale jest to trochę jak strzelanie z armaty do muchy, a dodatkowo musielibyśmy wprowadzić ten pakiet na większość maszyn.
Dla mnie idealnym rozwiązaniem jest dopełnianie nazw hostów bezpośrednio z serwera dns... jak? Po pierwsze musimy jakoś te nazwy wydobyć. Z pomocą przychodzi nam tutaj polecenie rndc dumpdb -zones które potrafi wylistować wszystkie strefy i zapisać je w pliku named_dump.db. Jest to plik tekstowy, który nadaje się idealnie do dalszej obróbki. Wykonujemy zatem polecenia dzięki którym wygenerujemy listę wszystkich hostów i stref zdefiniowanych w naszym lokalnym serwerze DNS:
# ssh root@zlomex.local "rndc dumpdb -zones; cat /var/cache/bind/named_dump.db" > named_dump.db
# sed -ne '/in-addr.arpa/d; s/^\([[:alnum:].-]\+\)\..*IN.*/\1/p' named_dump.db | sort | uniq > named_hosts.db
# rm named_dump.db
Mój serwer DNS to oczywiście zlomex.local :) Polecenia te najlepiej ustawić jako cyklicznie wykonywane zdanie cron, zwłaszcza jeżeli używamy do autentykacji kluczy ssh - nie musimy wtedy podawać hasła. Plik named_hosts.db zawiera teraz listę hostów:
local
localhost
test.local
wpad.local
zlomex.local
Następnie modyfikujemy standardowy skrypt dopełniający nazwy hostów, tak by uwzględnił zawartość pliku named_hosts.db. Edytujemy zatem /etc/bash_completion i szukamy funkcji _known_hosts_real() używanej do dopełniania nazw hostów. Przy końcu tej funkcji, ale przed wywołaniem __ltrim_colon_completions, dokładamy kilka linijek przeszukujących dodatkowo nasz plik named_hosts.db. Końcówka funkcji powinna zatem wyglądać podobnie jak poniżej:
named_hosts=$( grep "$cur" /etc/named_hosts.db )
if [ -n "$named_hosts" ]; then
COMPREPLY=( "${COMPREPLY[@]}" $named_hosts )
fi
__ltrim_colon_completions "$prefix$user$cur"
return 0
}
ps: Jeżeli nie mamy dostępu poprzez ssh do maszyny, możemy spróbować jeszcze polecenia listującego całą strefe, np dig @zlomex.local local axfr.
ps2: W ostateczności można również przelecieć poleceniem sed pliki konfiguracyjne binda ;)
W codziennej pracy administratora na pewno bardzo przydatną opcją jest dopełnianie nazw hostów. Doszukamy się nawet gotowego rozszerzenia dla ssh, scp i innych poleceń - zwykle wystarczy zainstalować tylko pakiet bash-completion. Rozszerzenie to potrafi nawet dopełniać w poleceniu scp nazwy plików i katalogów na zdalnym hoscie!
Cały mechanizm jest świetny, ale jak zapewne się już domyślacie jest jedna rzecz którą chce poprawić :) Dopełnianie nazw hostów bazuje na urządzeniach/komputerach do których już się zalogowaliśmy (poprzez ssh), lub takich które mamy zapisane w plikach hosts (np. /etc/hosts). Takie rozwiązanie nie sprawdza się w dużym środowisku, gdzie bardzo często logujemy się do hostów na których wcześniej nie byliśmy, dodatkowo dokładanych jest cały czas sporo maszyn a inne są usuwane.
Można ten problem rozwiązać instalując avahi... ale jest to trochę jak strzelanie z armaty do muchy, a dodatkowo musielibyśmy wprowadzić ten pakiet na większość maszyn.
Dla mnie idealnym rozwiązaniem jest dopełnianie nazw hostów bezpośrednio z serwera dns... jak? Po pierwsze musimy jakoś te nazwy wydobyć. Z pomocą przychodzi nam tutaj polecenie rndc dumpdb -zones które potrafi wylistować wszystkie strefy i zapisać je w pliku named_dump.db. Jest to plik tekstowy, który nadaje się idealnie do dalszej obróbki. Wykonujemy zatem polecenia dzięki którym wygenerujemy listę wszystkich hostów i stref zdefiniowanych w naszym lokalnym serwerze DNS:
# ssh root@zlomex.local "rndc dumpdb -zones; cat /var/cache/bind/named_dump.db" > named_dump.db
# sed -ne '/in-addr.arpa/d; s/^\([[:alnum:].-]\+\)\..*IN.*/\1/p' named_dump.db | sort | uniq > named_hosts.db
# rm named_dump.db
Mój serwer DNS to oczywiście zlomex.local :) Polecenia te najlepiej ustawić jako cyklicznie wykonywane zdanie cron, zwłaszcza jeżeli używamy do autentykacji kluczy ssh - nie musimy wtedy podawać hasła. Plik named_hosts.db zawiera teraz listę hostów:
local
localhost
test.local
wpad.local
zlomex.local
Następnie modyfikujemy standardowy skrypt dopełniający nazwy hostów, tak by uwzględnił zawartość pliku named_hosts.db. Edytujemy zatem /etc/bash_completion i szukamy funkcji _known_hosts_real() używanej do dopełniania nazw hostów. Przy końcu tej funkcji, ale przed wywołaniem __ltrim_colon_completions, dokładamy kilka linijek przeszukujących dodatkowo nasz plik named_hosts.db. Końcówka funkcji powinna zatem wyglądać podobnie jak poniżej:
named_hosts=$( grep "$cur" /etc/named_hosts.db )
if [ -n "$named_hosts" ]; then
COMPREPLY=( "${COMPREPLY[@]}" $named_hosts )
fi
__ltrim_colon_completions "$prefix$user$cur"
return 0
}
ps: Jeżeli nie mamy dostępu poprzez ssh do maszyny, możemy spróbować jeszcze polecenia listującego całą strefe, np dig @zlomex.local local axfr.
ps2: W ostateczności można również przelecieć poleceniem sed pliki konfiguracyjne binda ;)
sobota, 10 marca 2012
Ultra przeźroczyste domowe proxy
W ostatnich latach serwer proxy w firmie stał się już prawie standardem. Nawet jeżeli nie ma parcia na różnego rodzaju odciążanie łącza czy serwerów, to czasami jest parcie na blokowanie czy kontrolowanie stron odwiedzanych przez pracowników.
Jeżeli się głębiej nad tym zastanowić to z tych samych powodów możemy chcieć postawić proxy w naszej domowej sieci. Będziemy kontrolować na jakie strony wchodzą nasze pociechy (czasem blokować) oraz odciążymy łącze. Ostatnio korzystanie z internetu opiera się głównie o serwisy w stylu youtube, demotywatory itp które potrafią wysycić praktycznie każde łącze i są generalnie uciążliwe przy współużytkowaniu na słabym łączu domowym :)
Jeżeli się głębiej nad tym zastanowić to z tych samych powodów możemy chcieć postawić proxy w naszej domowej sieci. Będziemy kontrolować na jakie strony wchodzą nasze pociechy (czasem blokować) oraz odciążymy łącze. Ostatnio korzystanie z internetu opiera się głównie o serwisy w stylu youtube, demotywatory itp które potrafią wysycić praktycznie każde łącze i są generalnie uciążliwe przy współużytkowaniu na słabym łączu domowym :)
piątek, 2 marca 2012
Hardbot, irc itp
Niedawno przypomniałem sobie o ircu i zatęskniłem za starymi czasami ;] Szybki przelot przez kanały, gdzieniegdzie znajome nicki, ale generalnie pustki. Czaty www zrobiły swoje. Chwila zadumy nad obsługą irssi, niegdyś tak prostą, intuicyjną...
Przypomniałem sobie również o pewnym programie którego chyba nigdy szerzej nie publikowałem - HardBot. Jest to bot do irca dla zaawansowanych użytkowników, działający na zasadzie firewalla. O dziwo skompilował się bez zająknięcia na najnowszym Debianie Squeeze po przeszło 5 latach - zero poprawek w kodzie przez ten czas. Czasy irca już raczej przeminęły, więc zapewne nie wielu osobom się to przyda...
Przypomniałem sobie również o pewnym programie którego chyba nigdy szerzej nie publikowałem - HardBot. Jest to bot do irca dla zaawansowanych użytkowników, działający na zasadzie firewalla. O dziwo skompilował się bez zająknięcia na najnowszym Debianie Squeeze po przeszło 5 latach - zero poprawek w kodzie przez ten czas. Czasy irca już raczej przeminęły, więc zapewne nie wielu osobom się to przyda...
wtorek, 28 lutego 2012
Linux terminal session live hijacking!
Przepraszam za krzykliwy angielski tytuł ale nie mogłem się powstrzymać :)
Wyobraźcie sobie taką scene:
Oto admin widzi że system spowalnia. Loguje się przez ssh i sprawdza kto jest zalogowany, jakie procesy konsumują czas procesora oraz I/O. Ma podejrzenie, że jest to użytkownik psuj. By sprawdzić co też nasz psuj psuje, mógłby wykonywać co chwile polecenie w oraz obserwować procesy poleceniem top. Chciałby jednak obserwować sesje użytkownika na żywo (on live).
Niestety psuj nie uruchomił programu script, a w systemie również nie mamy innych narzędzi monitorujących. Co powinien zrobić nasz sprytny admin i czy jest w ogóle możliwy taki podgląd? Systemy Unixowe mają ogromne możliwości i zaraz się o tym przekonacie na własne oczy :)
Wyobraźcie sobie taką scene:
Oto admin widzi że system spowalnia. Loguje się przez ssh i sprawdza kto jest zalogowany, jakie procesy konsumują czas procesora oraz I/O. Ma podejrzenie, że jest to użytkownik psuj. By sprawdzić co też nasz psuj psuje, mógłby wykonywać co chwile polecenie w oraz obserwować procesy poleceniem top. Chciałby jednak obserwować sesje użytkownika na żywo (on live).
Niestety psuj nie uruchomił programu script, a w systemie również nie mamy innych narzędzi monitorujących. Co powinien zrobić nasz sprytny admin i czy jest w ogóle możliwy taki podgląd? Systemy Unixowe mają ogromne możliwości i zaraz się o tym przekonacie na własne oczy :)
niedziela, 26 lutego 2012
Łatwe prlimit bez prlimit
Ostatnio pisałem w jaki sposób poradzić sobie bez wywołania systemowego prlimit. Okazuje się, że poradzić sobie można nawet jeszcze łatwiej!
Wystarczy znaleźć adress funkcji setrlimit w pamięci naszego procesu
# cat /proc/7747/maps | grep libc
b767f000-b781b000 r-xp 00000000 08:03 64163 /lib/libc-2.15.so
b781b000-b781d000 r--p 0019c000 08:03 64163 /lib/libc-2.15.so
b781d000-b781e000 rw-p 0019e000 08:03 64163 /lib/libc-2.15.so
# printf "0x%x\n" $(( 0xb767f000 + 0x000e06d0 ))
0xb775f6d0
Pamiętajcie, że liczba 0x000e06d0 to oczywiście offset funkcji setrlimit w bibliotece dzielonej libc-2.15.so, który znaleźliśmy ostatnio ;] Teraz wystarczy już tylko:
Wystarczy znaleźć adress funkcji setrlimit w pamięci naszego procesu
# cat /proc/7747/maps | grep libc
b767f000-b781b000 r-xp 00000000 08:03 64163 /lib/libc-2.15.so
b781b000-b781d000 r--p 0019c000 08:03 64163 /lib/libc-2.15.so
b781d000-b781e000 rw-p 0019e000 08:03 64163 /lib/libc-2.15.so
# printf "0x%x\n" $(( 0xb767f000 + 0x000e06d0 ))
0xb775f6d0
Pamiętajcie, że liczba 0x000e06d0 to oczywiście offset funkcji setrlimit w bibliotece dzielonej libc-2.15.so, który znaleźliśmy ostatnio ;] Teraz wystarczy już tylko:
Prlimit bez prlimit!
Chwile czasu mnie nie było, więc teraz postaram się trochę nadrobić zaległości w blogowaniu :)
Kto słyszał już o nowej funkcji systemowej Linuksa, prlimit? Wywołanie to pozwala na zmianę nałożonych wcześniej limitów (np. ograniczenie czasu procesora, otwartych plików) dla już działającego procesu. Niby nic takiego ale jednak. Umożliwia to tuningowanie parametrów pracy serwera bez potrzeby restartu serwisów. Administrator systemu nie musi już ostrzegać o niedostępności usług, lub wysłuchiwać skarg użytkowników, gdy chce przydzielić np więcej czasu procesora dla serwera Apache.
Wszystko ładnie pięknie, ale jest to rozwiązanie które jeszcze nie weszło na dobre do systemu i nie wiadomo kiedy zacznie się pojawiać w stabilnych wersjach Linuksa. Czy do tej pory nie można było zmieniać limitów bez prlimit i restartu? Oczywiście że tak!
Kto słyszał już o nowej funkcji systemowej Linuksa, prlimit? Wywołanie to pozwala na zmianę nałożonych wcześniej limitów (np. ograniczenie czasu procesora, otwartych plików) dla już działającego procesu. Niby nic takiego ale jednak. Umożliwia to tuningowanie parametrów pracy serwera bez potrzeby restartu serwisów. Administrator systemu nie musi już ostrzegać o niedostępności usług, lub wysłuchiwać skarg użytkowników, gdy chce przydzielić np więcej czasu procesora dla serwera Apache.
Wszystko ładnie pięknie, ale jest to rozwiązanie które jeszcze nie weszło na dobre do systemu i nie wiadomo kiedy zacznie się pojawiać w stabilnych wersjach Linuksa. Czy do tej pory nie można było zmieniać limitów bez prlimit i restartu? Oczywiście że tak!
Subskrybuj:
Posty (Atom)
-
Tekst wyjątkowo jest w języku angielskim Before you start reading, p lease read article on lwn , if you have not already done so . The ...
-
Będzie to kontynuacja ostatniego wpisu na temat wymiany kontrolera w Monoprice Maker Ultimate / Wanhao D6. Niestety temat kalibracji dru...
-
Niedawno zostało odkryte kilka problemów w Linuksowej obsłudze protokołu TCP. Najpoważniejszy problem o sygnaturze CVE-2019-11477 umożl...