Home
friends [entries|archive|friends|userinfo]
bsw_m

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

И снова про Mifare RFID Classic [Окт. 8, 2008|08:08 am]

securityblogru
[ivlad]
История со взломом RFID-карт с чипом Mifare Classic обрастает новыми подробностями. Кроме того, авторы выложили замечательную видеоиллюстрацию процесса.

смотреть )
ссылкаОставить комментарий

MS SQL и Win2008server [Окт. 8, 2008|11:12 am]

ru_sysadmins
[nuclear_burn]
Странные дела творятся: на MS SQL установленном на Win2008server, не запускается SQL FullText Search. Не запускается потому, что: Cлужба "SQL Server FullText Search (MSSQLSERVER)" является зависимой от следующей службы: "NTLMSSP". Возможно, эта служба не установлена.
Но из висты, как и из 2008го сервера служба просто вырезана и заменена Kerberos.
Как с этим бороться ? o_O
ссылкаОставить комментарий

[Окт. 7, 2008|10:01 pm]

ru_root
[nepilsonis]
[Tags|, , , ]

Подскажите пожалуйста, как сделать, чтобы компьютеры с linux и solaris при загрузке регистрировались на DNS сервере Active Directory?
ссылка15 комментариев|Оставить комментарий

Hash [Окт. 7, 2008|12:21 pm]

securityblogru
[reedcat]
[Настроение |busy]

А кто-нибудь напомните ссылочку на историю с подломом ГОСТовского хэша?

А то у меня она куда-то пропала...
ссылка3 комментария|Оставить комментарий

Wag the dog [Окт. 7, 2008|09:40 pm]

securityblogru
[arkanoid]
КМПВ, мы начнем с того, что расстреляем всех сотрудников Gartner по всему миру. До последней уборщицы. И бывших тоже. Нет, вы посмотрите, какая гнида..

When I told the top execs of the company that they should EOL (end of life) their "flag ship" firewall, Gauntlet, I was totally relieved to see the heads nodding around the boardroom table. They had confirmed what I already knew. The proxy firewall product did not hold a candle to the stateful inspection firewalls from Cisco, Checkpoint, and Netscreen.
...
Gartner stood firm, Gauntlet was taken off the Magic Quadrant, and NAI proceeded to divest themselves of Gauntlet, CyberCop, PGP, and Network Sniffer, and re-brand themselves as McAfee after their flagship AV product.

The next year I was called to NAI HQ again. In probably the most satisfying moment as an analyst I asked "What am I doing here? You don't have any network security business anymore.
...
The military mandated the outmoded proxy firewall technology instead...


и из комментариев:


I suspect that McAfee will try and expand that, but no amount of marketing is going to convince the world that there's a conceptual difference anymore between proxy and DPI.


UPDATE: что интересно, из многочисленных отзывов прессы о покупке McAfee Secure Computing'а, ни в одном нет упоминаний, что "это уже было".
ссылка2 комментария|Оставить комментарий

HL++ и Samba/CTDB [Окт. 7, 2008|07:34 pm]

abbra
[Tags|, , , ]

Отчитался. Организация мероприятия неплохая, соблюдение графика выступлений -- никакое. Ну да ладно: http://tinyurl.com/scalingcifs -- организаторы заливают все презентации на Slideshare, так что помимо моей там можно найти и другие. Обещают через неделю на smotri.com видео (потому что говорил я немного больше, чем просто сказано на слайдах).
ссылкаОставить комментарий

Ретранслятор wifi? [Окт. 7, 2008|07:12 pm]

ru_sysadmins
[kokosov]
Существуют ли такие девайсы, как ретрансляторы wifi с направленной приёмной антенной?
Суть в том, что на некотором расстоянии находится точка доступа, но её сигнал "то потухнет, то погаснет", от -90дб до нуля. Было бы идеально поставить ретранслятор, направив его антенну в ту сторону, чтобы он принял и усилил сигнал, позволив пользоваться сетью.
ссылка11 комментариев|Оставить комментарий

Начальство хочет странного (с) [Окт. 7, 2008|05:41 pm]

ru_root
[38th]
Уважаемый и многомудрый All. Есть домен Win2003 AD. В этом домене есть задача ограничить использование группы компьютеров группой пользователей. То есть, чтобы кроме заявленной группы пользователей (способ группировки - произвольный) на компьютеры из данной группы (способ группировки тоже не принципиален) никто залогиниться не мог.  Встроенный в домен механизм указывания разрешённых для пользователя рабочих станций не устраивает по следующим причинам:
1. Оперировать хочется именно группами, а не персональным прописыванием персонально пользователям конкретных компов
2. На компы, не входящие ни в одну из групп доступ должен быть свободный. Чтобы это сделать встроенными средствами нужно прописывать немелкие списки разрешённых рабочих станций для _ВСЕХ_ юзеров. Плюс, всё это придётся контролировать и менять при всяких изменениях. Бардак наступит очень быстро.

Any ideas?
ссылка5 комментариев|Оставить комментарий

Начальство хочет странного (с) [Окт. 7, 2008|05:40 pm]

ru_sysadmins
[38th]
Уважаемый и многомудрый All. Есть домен Win2003 AD. В этом домене есть задача ограничить использование группы компьютеров группой пользователей. То есть, чтобы кроме заявленной группы пользователей (способ группировки - произвольный) на компьютеры из данной группы (способ группировки тоже не принципиален) никто залогиниться не мог.  Встроенный в домен механизм указывания разрешённых для пользователя рабочих станций не устраивает по следующим причинам:
1. Оперировать хочется именно группами, а не персональным прописыванием персонально пользователям конкретных компов
2. На компы, не входящие ни в одну из групп доступ должен быть свободный. Чтобы это сделать встроенными средствами нужно прописывать немелкие списки разрешённых рабочих станций для _ВСЕХ_ юзеров. Плюс, всё это придётся контролировать и менять при всяких изменениях. Бардак наступит очень быстро.

Any ideas?
ссылка18 комментариев|Оставить комментарий

Валидатор почты? [Окт. 7, 2008|05:27 pm]

ru_sysadmins
[deka]
Коллеги, поделитесь опытом. Нужен некоторый валидатор такого алгоритма: если приходит электрическое письмо на адрес a@b.c, оно откладывается в очередь, и отправителю генерируется запрос на подтверждение, на который он мог бы просто ответить (а не так, что "удалите есь текст кроме бла-бла"), после чего исходное письмо отправляется адресату. Крайне желательна поддержка белых и чёрных списков отправителей, автоматическая чистка очереди.

Я знаю, что таким функционалом наделены многие списки рассылок, но городить лист-сервер ради двух-трёх адресов очень не хочется. Впрочем, если это будет таки лист-сервер с очень ограниченным функционалом -- в принципе то, что я перечислил, и есть необходимый функционал -- пусть будет лист-сервер, поскольку ставить его предполагается на групповые адреса. Также крайне желательно, чтобы это решение было независимым от MTA, потому как вроде к каким-то MTA есть "плагины", которые это реализуют.

Приветствуются названия, ссылки, пара слов личного опыта ;)
ссылка2 комментария|Оставить комментарий

Валидатор почты? [Окт. 7, 2008|05:16 pm]

ru_root
[deka]
Коллеги, поделитесь опытом. Нужен некоторый валидатор такого алгоритма: если приходит электрическое письмо на адрес a@b.c, оно откладывается в очередь, и отправителю генерируется запрос на подтверждение, на который он мог бы просто ответить (а не так, что "удалите есь текст кроме бла-бла"), после чего исходное письмо отправляется адресату. Крайне желательна поддержка белых и чёрных списков отправителей, автоматическая чистка очереди.

Я знаю, что таким функционалом наделены многие списки рассылок, но городить лист-сервер ради двух-трёх адресов очень не хочется. Впрочем, если это будет таки лист-сервер с очень ограниченным функционалом -- в принципе то, что я перечислил, и есть необходимый функционал -- пусть будет лист-сервер, поскольку ставить его предполагается на групповые адреса. Также крайне желательно, чтобы это решение было независимым от MTA, потому как вроде к каким-то MTA есть "плагины", которые это реализуют.

Приветствуются названия, ссылки, пара слов личного опыта ;)
ссылка12 комментариев|Оставить комментарий

Использовать свободное место на рабстанциях [Окт. 7, 2008|05:09 pm]

ru_sysadmins
[leo_sosnine]
Братия, кто как использует субж? Известно, что винты сейчас стали большими, объём дискового пространства на рабстанциях зачастую используется процентов на десять. Оборудование простаивает, это нехорошо. Его можно было бы использовать для хранения какой-либо не особо критичной к потере информации. Кто-нибудь знает какие-нибудь грамотные способы централизованного использования свободного места на дисках рабстанций? Поделитесь способами.
ссылка21 комментарий|Оставить комментарий

Программирование на Bash [Окт. 7, 2008|04:08 pm]

ru_linux
[queer82]
Хочу из скрипта узнать существует ли конкретный файла в конкретной дирректории, хочется получит однозначный ответ TRUE или FALSE, чтобы вставить это в оператор if.
Как это сделать с нименьшими затратами времени?
Пробовал вариант ls | grep <имя файла> - как результат получаю не только требуемый файл, но и все файлы, которые на него "похожи", find долго думает, т.к. занимается поиском нужного мне файла, да и ещё находит такие же файлы в подкатегориях, но это я думаю можно отключить.

UPD: Всем большое спасибо. Буду дальше изучать Bash
ссылка8 комментариев|Оставить комментарий

[Окт. 7, 2008|03:52 pm]
ru_root
[panzerheart]
Добрый день.
Объясните пожалуйста такое поведение tar
делаю

$find /var/spool/mail/virtual/spam\@local.ru/cur/ -mtime +94 -type f -print | xargs tar -cvf /var/1/spam.tar

файл spam.tar начинает расти. в какой-то момент файл как-будто перезаписывается, и начинает расти заново. так несколько раз.
в итоге получаю spam.tar содержащий 2402 файла, вместо предполагаемых 84333, нашедшихся find

что я делаю неправильно?©

solved, спасибо
ссылка21 комментарий|Оставить комментарий

Лекции/программа занятий [Окт. 7, 2008|12:53 pm]

ru_linux
[cleanvuoksa]
Встречал ли кто в инете тексты лекций, связанных с общими знаниями по Linux. Что-нибудь, что можно преподать в школе вместо стандартной мелкомягкой информатики. Может быть какие-нибудь связные тексты по принципам Open Source? Теоретически все это можно собрать по разным сайтам, но не хотелось бы велосипед изобретать.
ссылка14 комментариев|Оставить комментарий

[Окт. 7, 2008|11:05 am]

ru_sysadmins
[mimikael]
Всем привет. На сервере под управлением Win 2008 стоит WSUS 3.0. Сервер находится в домене, но не является контролером домена. Есть порядка 60 рабочих станций из которых машин 40 под управлением WinXP Pro и машин 20 под Vista. Взаимосвязь WSUS с остальными компами настроена через груповые политики. gpresult показывает, что политики применяются правильно. Проблема: WSUS не видит ни одного компа, апдейты соотвественно нигде не ставятся. Программа диагностики клиента WSUS выдаёт следующие:

WSUS Client Diagnostics Tool

Checking Machine State
Checking for admin rights to run tool . . . . . . . . . PASS
Automatic Updates Service is running. . . . . . . . . . PASS
Background Intelligent Transfer Service is running. . . PASS
Wuaueng.dll version 7.0.6000.381. . . . . . . . . . . . PASS
This version is WSUS 2.0

Checking AU Settings
AU Option is 3 : Notify Prior to Install. . . . . . . . PASS
Option is from Policy settings

Checking Proxy Configuration
Checking for winhttp local machine Proxy settings . . . PASS
Winhttp local machine access type

Winhttp local machine Proxy. . . . . . . . . . NONE
Winhttp local machine ProxyBypass. . . . . . . NONE
Checking User IE Proxy settings . . . . . . . . . . . . PASS
User IE Proxy. . . . . . . . . . . . . . . . . NONE
User IE ProxyByPass. . . . . . . . . . . . . . NONE
User IE AutoConfig URL Proxy . . . . . . . . . NONE
User IE AutoDetect
AutoDetect not in use

Checking Connection to WSUS/SUS Server
WUServer = http://server_name:8350
WUStatusServer = http://server_name:8350
UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS

Вот выдержка из лога WindowsUpdate на клиентской машине:

2008-10-07 09:36:09:333 1088 ee0 PT WARNING: Cached cookie has expired or new PID is available
2008-10-07 09:36:09:333 1088 ee0 PT Initializing simple targeting cookie, clientId = e2066f07-ae06-4500-bec5-487be077cf4d, target group = , DNS name = comp.company.com
2008-10-07 09:36:09:333 1088 ee0 PT Server URL = http://server_name:8350/SimpleAuthWebService/SimpleAuth.asmx
2008-10-07 09:36:42:353 1088 ee0 Misc WARNING: Send failed with hr = 80072efe.
2008-10-07 09:36:42:353 1088 ee0 Misc WARNING: SendRequest failed with hr = 80072efe. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
2008-10-07 09:36:42:353 1088 ee0 PT + Last proxy send request failed with hr = 0x80072EFE, HTTP status code = 0
2008-10-07 09:36:42:353 1088 ee0 PT + Caller provided credentials = No
2008-10-07 09:36:42:353 1088 ee0 PT + Impersonate flags = 0
2008-10-07 09:36:42:353 1088 ee0 PT + Possible authorization schemes used =
2008-10-07 09:36:42:353 1088 ee0 PT WARNING: GetAuthorizationCookie failure, error = 0x80072EFE, soap client error = 5, soap error code = 0, HTTP status code = 200
2008-10-07 09:36:42:353 1088 ee0 PT WARNING: Failed to initialize Simple Targeting Cookie: 0x80072efe
2008-10-07 09:36:42:353 1088 ee0 PT WARNING: PopulateAuthCookies failed: 0x80072efe
2008-10-07 09:36:42:353 1088 ee0 PT WARNING: RefreshCookie failed: 0x80072efe
2008-10-07 09:36:42:353 1088 ee0 PT WARNING: RefreshPTState failed: 0x80072efe
2008-10-07 09:36:42:353 1088 ee0 PT WARNING: PTError: 0x80072efe
2008-10-07 09:36:42:353 1088 ee0 Report WARNING: Reporter failed to upload events with hr = 80072efe.
ссылка11 комментариев|Оставить комментарий

OOO Impress и автоповтор [Окт. 7, 2008|10:44 am]

ru_linux
[_till]
Привет!
Подскажите, плиз как заставить openoffice impress крутить презентации в автоповторе?
Макросы писать или опция какая есть?
ссылка2 комментария|Оставить комментарий

Gigabit Ethernet [Окт. 7, 2008|10:37 am]

ru_linux
[j_sheridan]
Уважаемые, поделитесь опытом.
Я тут собрался дома на гигабит перейти. Какие сетевушки брать, чтобы под линухом они завелись? Причем дома есть и x86 и x86_64 архитектуры.
То что нарыл у знакомых поставщиков:
D-Link 32 bit DGE-528T 10/100/1000 PCI
D-Link 32 bit DGE-530T 10/100/1000 PCI
Acorp L-1000S 32 bit 10/100/1000 (UTP) PCI

Свич думаю взять D-Link DGS-1005D 5-port 10/100/1000Mbps

Что скажете?

upd Всем спасибо, заказал D-Link 32 bit DGE-530T 10/100/1000 PCI
ссылка9 комментариев|Оставить комментарий

PPPoE sniffer [Окт. 7, 2008|10:19 am]

ru_sysadmins
[yurrock]
Доброго утра.

Дано: небольшая домашняя сетка на 60 машин, построено цепочкой из дешёвых неуправляемых свичей. Подключено к роутеру провайдера прямым линком на один из свичей в центре цепочки. В Интернет провайдер выпускает через PPPoE. Вчера получил от провайдера lj-cut text="вот такой лог:">
DES-3010G:4#show fdb mac_address 00:00:00:00:00:01
Command: show fdb mac_address 00-00-00-00-00-01

VID VLAN Name MAC Address Port Type
---- ---------------- ----------------- ---- ---------
51 vlan51 00-00-00-00-00-01 3 Dynamic


2008-10-06 15:32:32 FAKE PPPoE ACCESS SERVER DETECTED: '00:00:00:00:00:01' in vlan 51

Captured:

00:00:00:00:00:01 00:17:9a:5e:c8:cb, ethertype 802.1Q (0x8100), length 72: vlan 51, p 0, ethertype PPPoE D, PPPoE PADO [AC-Name "sniffer"] [Service-Name][|pppoe]
и предписание избавиться от этого. Поскольку сниффер работает не постоянно, выловить его ответы на padi wiresharkом не удалось. Есть вариант ставить сниффер на сутки, но ответ сниффера происходит только на запрос, как я понимаю, т.е. надо периодически опрашивать сеть на предмет pppoe, а как это делать не вручную? Подскажите, какие превентивные меры можно принять? Пока решил проблему отключением подозрительного сегмента от сети, но как-тонадо же обезопасить её полностью.
ссылка5 комментариев|Оставить комментарий

Возвращаясь к напечатанному [Окт. 7, 2008|12:59 am]

toxa
В комментариях к моему посту любви к современным, красивым и допизды дружелюбным дистрибутивам ОС ГНУ/Линух был задан вопрос касаемо того, что я думаю про аналогичные выходки с BSD-семейством. - "Ты же бээсдэшник до мозга костей", - говорили мне - "так чего ж не напишешь про PC-BSD или DesktopBSD?".

Спрашивали - отвечаем.

Все дело в том, что если тенденция портить торвальдсовское ядро и гнушный юзерленд своими гениальными представлениями о том, как должна выглядеть настоящая "настольная ОС" еще имеет под собой какую-то основу, то покушаться на святое непростительно по определению. Поэтому и PC-BSD, и DesktopBSD - говно настолько ужасное, даже не по реализации, а по своей сути, что и писать об этом не стоит. Но пару слов я скажу.

Во-первых, авторы этих двух позорищ считают, что "десктоп", то есть рабочая станция для "пользователя конца" (end user'a), должна непременно иметь KDE в роли WM DE (так что те, кто венцом простоты и удобства считает Gnome - спешите высрать собственный акт дружелюбия в формате .ISO, место пока еще вакантно). Во-вторых, графические инсталляторы обоих систем основаны на стандартном фреймфорке BSD Installer. Собственно, это все. В понимании авторов, этих двух вещей достаточно, чтобы гордо именовать свою систему "десктопной". Ах да, велосипедисты из PC-BSD пошли чуть дальше и придумали свою пиздатую систему управления установленным ПО, согласно которой каждый пакет помещает все свои файлы в один отдельный каталог, со всеми библиотечными зависимостями (sic!). Странно, что следующий логический шаг - линковать все статически - пока еще не проделан. Винчестеры же щас большие, хуле.

Ебический провал заключается в том, что ни один из этих моментов не является ключевым. Во-первых, давайте вообще отвлечемся и помедитируем на понятие "десктоп" как таковое. Что такое "ОС для десктопа"? Почему KDE? Вот я, например, на своем десктопе использую Openbox и много-много терминалов. А владелец ноутбука, с которого я пишу этот пост, в качестве DE использует XFCE и тоже не испытывает перед ним никаких моральных затруднений. Ни одна из BSD-систем пока что, слава Богу, не позиционирует себя для десктопа, но это не значит, что на десктопах их нельзя использовать. Понятие очень простое: "Это не ОС для рабочего стола. Но если тебе нравится, если тебе удобно - используй". Уже, наверное, лет восемь как инсталляция _любого_ дистрибутива _любой_ популярной UNIX-like ОС не вызывает никаких затруднений для того, кто умеет читать и совсем чуть-чуть думать. Я понимаю там, оффсеты на диске по секторам считать...

Ебический провал также усугубляется веткой фряхи (а оба пациента за плохо прикрытую основу используют FreeBSD). Непозиционирование этой системы для десктопа, которое надо бы лечить, коли нацелился "на стол", заключается во второстепенном уделении внимания вопросам поддержки различного конзьюмерского железа. То есть поддержка, например, последних ревизий atheros'овского чипсета комиттится в цуррент для тестирования и не всегда бэкпортируется в стабильную ветку. Особенно ярко это проявляется в OpenBSD, которая полноценно заработала на любимых всеми задротами уебищных eeePCPCPC еще летом, однако только выходящий через месяц релиз 4.4 будет уметь встроенный беспроводной чипсет "из коробки". Поэтому довольно странно видеть в качестве основы "десктоп ОС" стабильную семерку или даже устаревшую шестерку. Цуррент, только цуррент, или - как наименьшее зло - бэкпорты всего важного ручками. Иначе провал.

Собственную ебическую систему пакетов PC-BSD надо отметить особо. Это вообще катастрофический пиздец, что мешало воспользоваться уже давно сто раз написанными гуями для управления прекомпилироваными официальными пакаджами с ftp-зеркал FreeBSD, остается загадкой. Чтобы пользователю легче было удалить софт "руками" (rm -rf /usr/share/myprograms/foobar)? Так он же того... в KDE и все такое :)

Стандартный GENERIC в качестве ядра по умолчанию тоже не вызывает восторга, как и отсутствие userland-тюнинга. Это ж, блять, десктоп. Так сделайте свой devd.conf, чтобы devd конфигурировал автоматически все что можно. Подстройте ядро, погуглив "tuning FreeBSD for desktop". Ну и все такое прочее.

А еще лучше - уберите свои потные ручки от нормальных систем. Линукс на десктоп куда как лучше сгодится. "Пользователю конца" один хер какой йуникс использовать, он все равно не знает, что это такое.

ссылка14 комментариев|Оставить комментарий

navigation
[ viewing | most recent entries ]
[ go | earlier ]