K-NET s.c.

Wymiana dysku na SSD

Jeszcze dwa lata temu zastanawiałem się czy całkowite zrezygnowanie z tradycyjnych dysków na rzecz SSD w moim laptopie będzie dobrym krokiem. Znajomi głównie straszyli wielką katastrofą, utratą danych spowodowaną przez niesprawdzoną technologię. Minęło sporo czasu i okazało się, że technologia ma się całkiem dobrze, nie ma spektakularnych katastrof a w nowym sprzęcie zaczynają się pojawiać wyłącznie dyski SSD. Dlatego zdecydowałem się na wymiane dysku. Generalnie rzecz biorąc jest to dość droga operacja. Nie ma się co oszukiwać ceny są jeszcze wysokie. Niemniej postanowiłem zmienić HDD 750 GB na SSD 512 GB. Producent dostarczył wraz z dyskiem specjalną wersję Acronis TrueImage, która miała uczynić cały proces bezbolesnym. Miała, gdyż nie przewidziano, że można mieć 2 systemy operacyjne (Ubuntu, Windows 7) oraz 6 partycji różnego typu (NTFS, EXT3, EXT4). Efekt był taki, że po sklonowaniu dysku nic nie działało prawidłowo. Pobieżne przejrzenie materiałów w sieci utwierdziło mnie w przekonaniu, że są duże problemy z takimi operacjami. Niemniej postanowiłem spróbować starej i sprawdzonej przeze mnie wielokrotnie metody. W tym celu potrzebowałem jedynie SystemRescueCD (http://www.sysresccd.org/SystemRescueCd_Homepage), drugiego kabla SATA (żeby podłączyć dwa dyski na raz) oraz trochę spokoju.

SystemRescueCD zawiera wszystkie potrzebne narzędzia a przede wszystkim GParted (http://gparted.sourceforge.net/), który jest bardzo łatwy w użyciu i pozwala skopiować całe partycje na nowy dysk wraz ze zmianą ich rozmiaru. Należy pamiętać, żeby odwzorować flagę partycji startowej za pomocą menu edycji partycji (opcja 'Manage flags on …’). Druga bardzo ważna czynność to skopiowanie MBR. W tym przypadku należy skorzystać z polecenia:

 dd if=/dev/sdX of=plik_mbr.img bs=512 count=1

które zapisze zawartość MBR dysku klonowanego w pliku 'plik_mbr.img’. Przy odtwarzaniu MBR na nowym dysku musimy pamiętać, że jeżeli zmienialiśmy rozmiary partycji (tak jak w opisywanym przypadku) to powinniśmy użyć polecenia:

dd if=plik_mbr.img of=/dev/sdX bs=446 count=1

w przeciwnym razie możemy odtworzyć cały obszar:

dd if=plik_mbr.img of=/dev/sdX bs=512 count=1

I w zasadzie to wszystko. Opisana metoda działa niezawodnie a co ważniejsze pozwala cieszyć się zauważalnym wzrostem wydajności naszego komputera.

MG

BulletProof Security

Zabezpieczanie stron zbudowanych w oparciu o platforme WordPress jest czynnością, która powinna wejść w nawyk każdemu autorowi. Dotyczy to zresztą nie tylko WordPressa ale również Joomli i Drupala. Wiem, że jednym z głównych argumentów za wyższością dwóch ostatnich CMS-ów jest ich większe bezpieczeństwo ale nie ma co zaprzeczać, że ostatnio WordPress stał się bardzo popularny i stale powiększa się grono jego użytkowników. Poza tym nie ma co się oszukiwać bo stara prawda głosi, że każdy system jest tak bezpieczny jak jego administrator. Zatem krótko i na temat – jeżeli nie jesteś super administratorem, nie chesz zajmować się konfiguracją plików .htaccess, chcesz po prostu komfortowo, bez zbędnych problemów prowadzić bloga lub po prostu swoją stronę www, to jako jedną z pierwszych zainstaluj wtyczkę BulletProof Security. Nie ma ona może zbyt przyjaznego interfejsu i wymaga poświęcenia około 30 minut na konfigurację ale każda z nich to bardzo dobrze spędzony czas! Nie będę dalej opisywał jej możliwości bo przecież każdy może to sprawdzić sam. A na prawdę warto.

Tryb on line w Outlook 2010 dla udostępnionych skrzynek

Udostępnianie skrzynek pocztowych za pomocą serwera MS Exchange jest jedną z najczęściej wykorzystywanych funkcji. Umożliwia wygodny wgląd w zawartość czyjejś poczty np. podczas zastępstwa lub nieobecności. W kliencie MS Outlook 2010 skrzynka udostępniana pojawia się na liście zasobów wystarczy zatem wybrać ją aby wyświetlić zawartość. W tym momencie mogą pojawić się problemy z synchronizacją. Outlook 2010 domyślnie bufforuje (tryb cache) zawartość dołączanych skrzynek co oznacza, że będzie starał się pobrać ich zawartość na dysk lokalny. Nietrudno jest sobie wyobrazić, że przy skrzynce dużych rozmiarów oraz niewydajnym łączu proces taki może trwać niemal bez końca. W poprzednich wersjach Outlooka domyślnym trybem działania był tryb bez buforowania (on line). Na szczęście istnieją sposoby za pomocą, których można przyrócić tą funkcję. Jednym z najszybszych jest zmodyfikowanie rejestru systemowego:

• Zamykamy Outlook.
• Z menu start uruchamiamy edytor rejestru: regdit.exe.
• Wyszukujemy i wybieramy następujący klucz:
  HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Cached Mode
  jeśli nie ma klucza Cached Mode to należy go utworzyć.
• W menu Edytuj wskazujemy opcje Nowy i wybieramy wartość DWORD.
• Podajemy nazwę CacheOthersMail i zatwierdzamy wciskając ENTER.
• Z menu Edytuj wybieramy opcję Modyfikuj i wpisujemy wartość 0.
• Zamykamy edytor rejestru.
• Uruchamiamy Outlook.

Od tego momentu wszystkie udostępnione szkrzynki pocztowe będą działać w trybie on line. Trzeba jednak pamiętać, że oznacza to, że aby przejrzeć ich zawartość konieczne jest połączenie z serwerem MS Exchange. Cóż, coś za coś.

MG

WordPress – włamanie w celu rozsyłania spamu (Apache+PHP+Postfix)

WordPress jako bardzo popularne narzędzie jest często obiektem ataków w celu przejęcia zawartości strony. Podmiana treści serwisu przez hackera jest widocznym skutkiem złamania zabezpieczeń. Sama w sobie nie jest jednak tak groźna jak np. wykorzystanie naszego serwera do rozsyłania spamu (co może spowodować umieszczenie go na czarnych listach). Najczęściej atakujący starają się umieścić w strukturze katalogów serwisu przygotowane skrypty PHP (w formie plików), które następnie wykorzystują do wysyłania maili. Co zrobić, żeby zabezpieczyć się przed tą formą ataku?

Przede wszystkim konieczne jest wykonanie 2 czynności: (a) ograniczenie zainstalowanych motywów do niezbędnego minimum oraz (b) usunięcie wszystkich zbędnych wtyczek (bywają takie, które z powodu słabej jakości kodu umożliwiają natychmiastowy dostęp do serwera). Kolejną rzeczą jest uniemożliwienie przesłania spreparowanego zapytania do naszego serwera. Absolutnym minimum jest przygotowanie pliku .htaccess z odpowiednimi regułami. Jeśli chcemu pójść na skróty można skorzystać ze zbioru gotowych reguł: http://perishablepress.com/5g-blacklist-2013/. W zasadzie dzięki tym dwóm prostym krokom uzyskamy przynajmniej minimalny poziom zabezpieczeń strony w WordPressie. Dodam jeszce, że na końcu .httaccess można  dopisać linijkę

RewriteRule ^(php\.ini|\.htaccess) - [NC,F]

która zabezpieczy nas przed modyfikacją zawartości plików index.php i właśnie .htaccess co z kolei uniemożliwi np. przekierowanie wywołań naszej strony na inny serwer www.

Jednak w jaki sposób powstrzymać doraźnie atak na nasz serwer (jeśli już doszło do niego). Przy założeniu, że korzystamy z domyślnej konfiguracji Apache trzeba zatrzymać wysyłanie poczty z konta www-data. Edytujemy plik /etc/postfix/main.cf i dodajemy na końcu wiersz

authorized_submit_users = !www-data, static:all

Natstępnie wczytujemy nową konfiguracje serwera poczty:

/etc/init.d/postfix reload

Teraz musimy wyczyścić kolejkę maili oczekujących na nadanie:

postsuper -d ALL

Przechodzimy do najbardziej monotonnej częsci całego procesu. Edytujemy plik /etc/php5/apache2/php.ini, żeby znaleźć (i odkomentować lub zmienić na postać przedstawioną poniżej) fragment:

mail.add_x_header = On
mail.log = /var/log/phpmail.log

Pierwsza spowoduje dodanie nagłówka do wszystkich maili nadawanych z wykorzystaniem PHP a druga włączy logowanie informacji na ten temat (do pliku /var/log/phpmail.log). Teraz pozostaje nam żmudne przeglądanie pliku z logami w celu śledzenia historii ataku oraz usuwania niepożądanych plików (zawierających np. skrypty PHP), które są wykorzystywane do rozsyłania spamu.

MG

rsync czyli kopie szybko i bezproblemowo

rsync to narzędzie dobrze znane i szeroko stosowane. Ten niezwykle wygodny w użyciu program pozwala na synchronizowanie zawartości między zasobami w niezawodny sposób. Dzięki kopiowaniu bloków informacji w miejsce całych jednostek np. plików, algorytm kopiowania jest bardzo szybki. Dodatkowo rsync sprawdza się na zawodnych łaczach, gdzie dostępne pasmo potrafi spaść nagle do kilku kb/s. Nie ukrywam, że jest to moja ulubiona metoda tworzenia kopii dlatego chciałem pokazać jak szybko przygotować rsync dla dwóch serwerów w środowisku Debian Linux. Jeden niech będzie serwerem produkcyjnym, drugi zaś serwerem kopii.

Zaczynamy od instalacji aplikacji na obu komputerach:

apt-get install rsync

Następnie tworzymy specjalne konto na serwerze kopii:

adduser zapasowe

Kolejnym krokiem jest wygenerowanie certyfikatu na serwerze produkcyjnym i skopiowanie go na serwer kopii:

ssh-keygen -t dsa

ssh-copy-id -i .ssh/id_dsa.pub zapasowe@serwer_kopii

Możecie wierzyc lub nie ale to już prawie wszystko! Teraz wystarczy wywołanie polecenia na serwerze produkcyjnym:

rsync -aogrvzP --delete -e ssh /wazne zapasowe@serwer_kopii:kopie

Spowoduje ono utworzenie dokładnej kopii zawartości katalogu wazne na serwerze kopii w katalogu kopie. Prosto i skutecznie. Aha, powyższe polecenie możemy umieścić w pliku crontab, automatyzując tym samym cały proces.

MG

Ultra Fast Boot zbyt szybki?

Już od dłuższego czasu większość sprzedawanych płyt głównych wyposażona jest w opcje Ultra Fast Boot. W połączeniu z UEFI i Windows 8 daje ona możliwość bardzo szybkiego startu komputera, nawet na poziomie kilku sekund. Wyzwaniem jest jednak dostanie się do ustawień BIOS po jej włączeniu. W praktyce bootowanie odbywa się tak szybko, że nie można liczyć na ekran POST i wciśnięcie klawisza F2 lub DEL. Użytkownicy Windows otrzymują wraz ze sterownikami płyty głównej aplikację narzędziową. Pozwala ona uruchomić komputer z wejściem do BIOS przy następnym przeładowaniu systemu. Co jednak mają zrobić właściciele Linkusów? Najczęściej można usłyszeć poradę brzmiącą mniej więcej – zdjąć obudowę i wyjąć na kilka sekund baterie podtrzymująca CMOS. Ewentulanie należu skorzystać z odpowiedniej zworki na płycie. Tak czy inaczej jest to operacja ryzykowna. Zakładając na przykład, że mieliśmy skonfigurowany software-RAID w BIOS, możemy sprawić sobie problem. Jednak jak zwykle istnieje dużo prostsze rozwiązanie. Być może nie jest ono oczywiste ale zazwyczaj sprawdza się. Skoro otworzyliśmy już obudowe naszego komputera to wystarczy odpiąć dyski twarde. Po uruchomieniu, BIOS wykryje zmiane konfiguracji i umożliwi bezpośrednio konfiguracje swoich parametrów. Korzystając z okazji wyłączamy opcję Ultra Fast Boot i zapisujemy ustawienia. Po wyłączeniu komputera i ponownym podłączeniu dysków możemy uruchomić system. Tym razem ekran POST powinien być już widoczny a my powinniśmy mieć zawsze szanse dostać się do naszych ustawień w BIOS.

MG

Android – instalacja uprawnień root za pomocą towelroot

Instalacja uprawnień root, popularnie zwana rootowaniem jest zagadnieniem, nad którym zastanawiał się chyba każdy użytkownik telefonu z Androidem. Z jednej strony obawa przed utratą gwarancji, z drugiej zaś dodatkowe funkcje w słuchawce. Przyznam, że również długo wahałem się ale w końcu uległem. I absolutnie nie żałuję. Po wykonaniu rootowania nasz telefon zyskuje zupełnie nowe możliwości. Nie chcę jednak rozpisywać się nad zaletami. Każdy może spróbować sam. No właśnie, czy możliwe jest spróbowanie bez skomplikowanych dla przeciętnego użytkownika czynności takich jak uruchomienie bootloadera, zainstalowanie odpowiedniego modu (np. popularnego ClockWorkMod) itd.

Jakiś czas temu trafiłem na stronę https://towelroot.com/. Autor (geohot) oferuje własną aplikację towelroot, która na ponad 500 modelach słuchawek z Androidem potrafi eskalować uprawnienia roota. Wszystko polega na pobraniu pliku APK ze strony i uruchomieniu go na telefonie. Oprogramowanie wykorzystuje błąd jądra Linux (tak to prawda – Android to Linux, wbrew temu co sądzą niektórzy) znany jako Futex bug (CVE-2014-3153). Dzięki niemu możemy z miejsca przetestować uprawnienia root. Metoda ta może wydawać się podejrzana, jednak błąd jest udokumentowany a czasami nie ma innej możliwości zrootowania urządzenia (tak jest np. w przypadku mojego ulubionego tabletu Lenovo A10).

Na zakończenie należy dodać, że na stonie towelroot dostępna jest ostatnia wersja oprogramowania. Nie współpracuje ona jednak ze wszystkimi telefonami. Gdyby tak się stało warto spróbować z poprzednimi wersjami:

• towelroot v.1
• towelroot v.2
• towelroot v.3

MG

Konfigurowanie użytkowników systemowych na serwerze Samba w środowisku Active Directory

Praktyka związana z budowaniem sieci komputerowych w małych i średnich firmach pokazuje, że często jesteśmy zmuszeni tworzyć środowiska heterogeniczne, gdzie np. domena Active Directory AD współpracuje z linuksowym sewerem plików Samba SMB. Aby ten dość często spotykany tandem był w pełni funkcjonalny dobrze jest zintegrować bazę użytkowników AD z kontami dla serwera SMB. Nie chcę tutaj poruszać problemów związanych z samą konfiguracją po stronie Linuksa – jest to wielokrotnie omawione w sieci (jeden z najlepszych poradników howto można znaleźć pod tym adresem). Tym razem chciałbym pokazać jak rozdzielić na serwerze Debian użytkowników AD od systemowych.

W przypadku integrowania serwera plików z domeną mamy dwie możliwości:

• albo wszystkie konta będą przechowywane w katalogu Active Directory
• albo na serwerze linuksowym pozostawimy część natywnych kont systemowych

Osobiście zawsze wybieram tą drugą opcję, chociażby dlatego aby uniezależnić niektóre usługi systemowe od domeny. Takie podejście bywa często krytykowane, szczególnie przez zwolenników centralnego zarządzania. Niemniej jest spotykane i stosowane. Problem z opisywaną konfiguracją polega na tym, że łącząc nasz serwer z domeną musimy włączyć protokół uwierzytelniania Kerberos. Przy standardowej konfiguracji oznacza to, że wszyscy użytkownicy o identyfikatorze UID większym równym 1000, będą autoryzowani na poziomie domeny (oznacza to, że np. nie zadziałają prawidłowo polecenia passwd i useradd).

Jak zwykle w takich przypadkach istnieje wiele rozwiązań, o czym można przekonać się poszukując materiałów w sieci. Niemniej najprostszym i prawdopodobnie najszybszym będzie wyedytowanie pliku/etc/pam.d/common-password. Następnie należy zmienić wartość paramteru minimum_uid (która domyślnie wynosi 1000):

password requisite pam_krb5.so minimum_uid=2000

Powyższy wpis oznacza, że odtąd użytkownicy LDAP (którzy w tym przypadku są użytkownikami AD) mają identyfikatory UID zaczynające się od 2000, zaś lokalny administrator linuksowy może spokojnie operować na kontach systemowych.

MG

Administracja usługami za pomocą rcconf i sysv-rc-conf

Jeśli chcemy precyzyjnie zarządzać demonami systemowymi uruchamianymi w trakcie startu sytemu to pakiety rcconf i sysv-rc-conf mogą okazać niezastąpionym narzędziem. Wyobraźmy sobie, że administrujemy sewerem Debian bez powłoki graficznej. Aby dodać lub usunąć usługę systemową do listy procesów startowych możemy skorzystać z dobrze znanego skryptu update-rc.d. Niestety, zdarza się, że podczas jego użycia napotkamy błędy związane ze skryptami startowymi. Co można zrobić w takiej sytuacji? Jeżeli zależy nam na czasie, proponuje zainstalować z repozytorium odpowiednie narzędzia:

apt-get install rcconf
apt-get install sysv-rc-conf

Następnie wystarczy wydać odpowiednią komende z linii poleceń i rozpocząć konfiguracje systemu. rcconf jest nakładką (front-end) dla skryptów update-rc.d, zaś sysv-rc-conf to rozbudowane narzędzie, które umożliwia np. szczegółowe dodawanie i suwanie usług w zależności od poziomu startowego (runlevel). Tak czy inaczej obydwa są bardzo przejrzyste i intuicyjne. Myśle, że poradzi sobie z nimi każdy, nawet początkujący administrator.

MG

Dovecot, Postfix, IMAP – Operation not permitted

Dzisiaj krótki, wakacyjny wpis dotyczący błędu związanegoz konfiguracją obsługi IMAP za pomocą Dovecot. W tandemie ze standardowo skonfigurowanym Postfixem, gdy zdecydowaliśmy się przechowywać pocztę w formacie mbox w katalogu /var/mail/ przy próbie pobrania poczty za pomocą dowolnego programu pocztowego (np. Thunderbird) w pliku /var/log/mail.log mogą pojawić się następujace błędy:

dovecot: imap(...):
Error: chown(...) failed: Operation not permitted
Error: mkdir(...) failed: Operation not permitted
Error: fchown(...) failed: Operation not permitted
Error: file_dotlock_create(...) failed: Permission denied

Jest to związane z niewystarczającymi uprawnieniami w katalogu użytkownika. Zgodnie z dokumentacją powinniśmy zajrzeć na stronę z opisem roziwązania http://wiki2.dovecot.org/Errors/ChgrpNoPerm. Ponieważ dla mnie obydwa omawiane tam rozwiązania wyglądają niedobrze, proponuję zastosować w pliku /etc/dovecot/conf.d/10-mail.conf zastosować następującą łatkę, w miejsce linijki:

mail_location = mbox:~/mail:INBOX=/var/mail/%u

podstawić:

mail_location = mbox:~/mail/mailboxes:INBOX=/var/mail/%u:→
DIRNAME=mBoX-MeSsAgEs:INDEX=~/mail/index:CONTROL=~/mail/control

Sprawdziłem… pomaga. Tak jak obiecałem – krótko i na temat136.

MG