MYCSS

21 грудня 2012 р.

Використання pGina як засіб аутентифікації користувачів у MS Windows



pGina це Open Source проект що дозволяє замінити традиційний модуль автентифікатор "MS Windows" (Windows Credential Provider/GINA) на програму pGina з додатковими можливостями за рахунок використання зовнішніх модулів - плагінів. Як це працює можна ознайомитися на сторінці проекту.

У поточній версії 3.0 присутні наступні додаткові модулі:
  • LocalMachine - Плагін "local machine" управляє автентифікацією і авторизацією за обліковими рахунками користувачів , які існують на локальному комп'ютері.
  • LDAP Authentication - Плагін  "LDAP Authentication" надає послуги автентифікації через LDAP сервер.
  • MySQL Logger - Плагін  "MySQL Logger"  протоколює різноманітні події в базі даних MySQL.
  • MySQL Authentication - Плагін  "MySQL Authentication" проводить автентифікацію  користувачів облікові рахунки котрих збереженні у базі даних MySQL.
  • Single User - Плагін  "Single User" змушує усі автентифікації та авторизації користувачів для входу до комп'ютеру робити  під одним локальним обліковим записом.
  • Session Limit - Плагін  "Session Limit"  буде автоматично відключати сеанси користувачів після закінчення певного періоду часу.
  • Email Authentication - Плагін  "Email Authentication" під'єднується до вказаних поштових серверів за протоколами POP3 або IMAP та робить спробу автентифікації на цьому сервері.
  • Modify Username - Плагін " Modify Username" зазвичай не буде використовуватися по собі. Він призначений для зміни введеного імені користувача, щоб вони відповідали певним стандартам первинного плагіну.

Ініціалізація модуля OTP у токені "Aladdin eToken NG-OTP" за допомогою SDK

Історія

Почалася ця історія з того що компанія придбала токен "Aladdin eToken NG-OTP" для аналізу можливості його впровадження як додаткового засобу захисту інформації.  Був час експериментування, і потім задачі відклалися. З часом я забув пароль до токену, і одним з методів відновлення його роботи була його ініціалізація (Initialize Token) засобами PKI, наприклад "SafeNet Authentication Client". Доступ до токену я отримав, але генерація паролів OTP перстала працювати, і почала показувати помилку на дисплеї - "Err 14".

Теорія

"Aladdin eToken NG-OTP" використовує для генерації одноразових паролів алгоритм HOTP котрий описаний специфікацією IETF RFC 4226.
"Aladdin eToken NG-OTP" у відмінності від "Aladdin eToken PASS", поставляється без файлу з секретним ключем ініціалізації. Хоча є бонус - секретний ключ може бути змінним.

19 грудня 2012 р.

Одноразові паролі (OTP) та сервер Apache (mod_authn_otp)


Одноразові паролі (One Time Password - OTP) надають можливість підвищити рівень безпеки при доступі до певних веб сторінок з використанням традиційних паролів і ввести двох факторний рівень автентифікації. Тобто якщо ви використали публічне місце для доступу, наприклад до корпоративної web пошти, є ймовірність запису паролів що були Вамі набранні третьою стороною. Використання одноразового паролю не дасть використовувати одноразовий пароль повторно і Ваш набранний пароль до корпоративної пошти не матиме значення без правильного одноразового.
Генерація одноразових паролів може бути зробленна багатьма алгоритмами та пристроями, або комбінацією пристроїів та алгоритмів.
В даній публікації використовую пристрій для генерації одноразових паролів за алгоритмом HMAC-based One Time Password (HOTP) що описаний специфікацією IETF RFC 4226. У моєму випадку це токен "Aladdin eToken NG-OTP".

"Aladdin eToken NG-OTP", у режимі генерації HOTP.
А також можна використовувати інші пристрої з іншими алгоритмами генерації одноразових паролів, наприклад, Mobile-OTP.
Розгляну на прикладі варіанти практичної реалізації для HOTP та Mobile-OTP.

3 грудня 2012 р.

eToken доступ через сертифікати та одноразові паролі



Для тестування придбали Aladin eToken NG-OTP 72k (Java)

Налаштував автентифікацію за сертифікатами у домені, та автоматичне видання сертифікатів. З використаннями надалі наданих  документів.
Зараз пробую налаштувати OTP з OpenSources засобами.

27 листопада 2012 р.

DKIM

Згідно цієї статті http://www.opennet.ru/base/net/dkim_postfix_amavisd.txt.html налаштував поштовий сервер "Postfix" для підпису повідомлень міткою ідентифікації відправника DKIM за допомогою amavis-new.

До уваги, для реалізації цього потрібно мати можливість додати до DNS запису поштового домену тип запису TXT. Зміст цього запису є публічний ключ.
При отриманні листа поштовим сервером отримувача перевіряється зміст полів електронного листа та зашифровуваний запис DKIM використовуючи публічний ключ. На основі цього робиться висновок чи автентичний відправник чи ні.

20 листопада 2012 р.

Дуже цікавий як на мене життєвий приклад.

Українська літера «Ґ» як засіб боротьби за кримськотатарську ідентичність

"У власній заяві ми вказали тільки на єдину особливість: у відповідності до кримськотатарської фонетики просили транслітерувати ім’я дитини з кримськотатарської мови українською через п’яту літеру української абетки, а саме через «Ґ», та літери «Є», тобто «Аділь-Ґірєй», оскільки свідоцтво про народження у 1995 році у Палаці новонароджених м. Акмесджіт/Сімферополь видали російською мовою (на мою думку, це була певна ознака слабкості української держави на той час).

До речі, мій син у 1995 році був першою дитиною, по-батькові якої записали як «огълу». Оскільки, тоді співробітники Палацу новонароджених рішуче відмовлялися реєструвати дитину з таким по-батькові, довелося брати дозвіл на це особисто у міністра юстиції Республіки Крим (на той час існувала така посада та таке утворення), але це інша історія."...

13 жовтня 2012 р.

Felix and Red Bull Stratos

Daumgartner reached an estimated speed of 1,342.8 km/h (Mach 1.24) jumping from the stratosphere, which when certified will make him the first man to break the speed of sound in freefall and set several other records* while delivering valuable data for future space exploration.

http://www.redbullstratos.com/

Access remote disk over net using SFTP protocol and map it to local drive letter - SFTP Net Drive

Монтуємо як локальний диск у OC Windows, віддалений мережний диск  використовуючи SFTP (SSH).
Access remote disk over net using SFTP protocol and map it to local drive letter - SFTP Net Drive


Дуже практично, я спробував було прокинути Samba ресурс через OpenVPN, то скажу швидкість запису у "SFTP Net Drive" у тричі більша ніж запис на Samba ресурс була у моєму випадку.

10 жовтня 2012 р.

Як захистити себе від спамерів шо атакують поштовий сервер Postfix - Fail2ban, Policyd2

Як захистити себе від спамерів що атакують поштовий сервер Postfix.

Визначаємо активних  користувачів що відсилають пошту понад дозволенного ліміту за певний час, блокуємо доступ з IP адреси до сервера на певний час. Також блокуємо користувачів що ввели забагато неправильних паролів: authentication failed та супер активних користувачів що хочуть надіслати дуже швидко і багато : Connection rate limit exceeded.

1 жовтня 2012 р.

Postfix SASL cyrus

Postfix SASL cyrus

Була необхідність налаштовувати авторизацію, ось коментарі щоб не забути :)

/usr/local/lib/sasl2/smtpd.conf:
pwcheck_method: saslauthd
mech_list: plain login


Postfix main.cf:
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sender_login_maps = pcre:/var/postfix/smtpd_sender_login_maps.pcre

/var/postfix/smtpd_sender_login_maps.pcre:
/^(.*)@.*$/   ${1}

30 серпня 2012 р.

Ext4 та Windows

Роутер TP-LINK 1043 з OpenWRT використовує файлову систему Ext4 для використання як мережеве сховище.
Але якщо є потреба підключити накопичувач до комп'ютера то потрібно мати змогу використовувати його.

Використав Ext2Fsd Project Open source ext3/4 file system driver for Windows (2K/XP/VISTA/WIN7).

синхронізація сховища даних між ОС Windows та роутера з OpenWRT (Linux), rsync vs samba

Для того щоб дивитися фільми на телевізорі у час коли комп'ютер вимкнено, змонтував зовнішній накопичувач на роутері. Але фільми знаходяться на робочому комп'ютері що роздаються торентами, тому я роблю повну синхронізацію між комп'ютером та роутером за допомогою rsync, як альтернативу синхронізації через SMB. І потім порівняємо.

27 серпня 2012 р.

OpenWRT, TP-Link 1043 - INTERNET RADIO tuner

OpenWRT, TP-Link 1043 -  простий інтернет радіо приймач

Продовжуючи експерименти з OpenWrt Attitude додав можливості використовувати Router TP-Link 1043, як Інтренет радіо тюнер.
Навіщо ? По-перше цікаво, в друге іноді включаю радіо на вихідних але комп'ютер принципово не вмикаю - відпочиваю від нього, і по-третє це економія електроенергії,  бо мій комп'ютер: CPU Intel i7, RAM 24 GB... використовує електроенергії достатньо.

Як було вказанно у попередній публікації я маю, док сктанцію:
Notebook Dock Model #1500325A, що може через USB - підключати деякі мультимедійні пристрої: LPT (PL-2305H), COM (PL-2303HX), SOUND 5.1 (C-Media Electronics, Inc. Storm HP-USB500 5.1 Headset), Ehternet (ASIX AX88772), USB Hub.
Notebook Dock Model #1500325A

24 серпня 2012 р.

Підключення даних моніторінгу mbmon у FreeBSD до CACTI.


Підключення даних  до CACTI даних моніторингу переданих з серверів FreeBSD.


Я використовував поточну варстю CACTI v0.8.8a.
Втсновленну з портів, FreeBSD.


Для роботи з "Data Input Methods" створив файл ss_mbmon_common.php, що розміщується 


у теці з cacti/scripts. Цей файл у параметрах отримує параметри snmp сеовера, та режим запиту mode, кортий моде бути temps,fans або volts.


FreeBSD Sensors monitoring


1. OLD AMD

dmesg | grep CPU
CPU: AMD Athlon(tm) Processor (996.33-MHz 686-class CPU)

%cd /usr/ports/sysutils/k8temp && make install clean

%k8temp -d
CPUID: Vendor: AuthenticAMD, 0x642: Model=04 Family=6+0 Stepping=2
k8temp: CPU lacks Advanced Power Management support

%cd /usr/ports/sysutils/mbmon/ && make install clean

%mbmon -c1 -I

Temp.= 42.0, 46.0, 28.0; Rot.= 4856, 0, 0
Vcore = 1.76, 2.50; Volt. = 3.34, 4.97, 11.25, -12.18, -1.40

20 серпня 2012 р.

explorer.exe /separate

Виконати Windows Explorer від імені іншого користувача, не покидаючи сесію під Windows  XP.
runas /user:administrator "explorer.exe /separate"

TP-Link WR1043N OpenWrt Attitude Adjustment

У зв'язку з використанням IPv6, оновився до останньої версії OpenWrt.

Router Name OpenWrt
Router Model TP-Link TL-WR1043N/ND v1

Firmware Version
OpenWrt Attitude Adjustment r33206 / LuCI Trunk (trunk+svn9073)
Kernel Version 3.3.8

Оновився до r33276,LuCI Trunk (trunk+svn9138)  Aug 27 19:07:23 MSK 2012 mips GNU/Linux

DNS Round Robin Windows 7

DNS Round Robin and Destination IP address selection

Symptom

By default, Windows Vista and Windows Server 2008 follow RFC 3484 for destination IP address selection, which does not honor DNS round robin.

Solution

Add a new registry key with the following settings:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DWORD = OverrideDefaultAddressSelection
Value data: = 1

13 липня 2012 р.

Amavis переклад повідомлень системи що повертаються адресату

У випадку коли система "amavis-new" блокує повідомлення, вона може відсилати причину блокування адресату. По замовчуванню, текст шаблонів англійською мовою. Їх можна налаштовувати, описано це тут, але більш детально з особливостями і принципами відправлення DSN, можете знайомитися тут.
Тому для уникнення постійних роз'яснень що це за зміст, я зробив перескладений шаблон українською зі збереженням англійської. Приклади файлів англійською.

amavisd.conf:

11 липня 2012 р.

Amavis та SpamAssassin і помилки при використанні

http://skeletor.org.ua/?p=288

Ось деякі ціні рішення з описаних проблем автором skeletor.

Рішення:
#perl -MCPAN -e shell
>install Bundle::CPAN
>reload cpan
>exit


Рішення:
#sa-compile
#sa-update -D


Рішення:
Добавити користувача vscan до групи clamav та користувача clamav до групи vscan


Рішення:
Запускати spamassasin від користувача spamd:spamd та встановити права рекурсивно на теку /var/spool/mqueue/.spamassassin/ spamd:spamd, 0770


8 червня 2012 р.

EURO 2012 дивимося у якості HD

EURO 2012 дивимося у якості HD, як і де ?
Перший варіант це тим хто підключений до кабельного оператора "ВОЛЯ", і може приймати у цифрову форматі новий телеканал "Футбол HD'.
Але у мене кабельний оператор "TRIOLAN", з його політикою щодо телебачення я можу дивитися футбол на каналах "Перший національний", "ТРК Україна" та "ТРК Футбол". Благо є можливість дивитися ці  канали з потоку IPTV.  І нарешті футбольний канал "ТРК Футбол" змінив формат зображення до 16:9.

Але є ще супутник. Інформацію де можна дивитися EURO 2012 у HD якості можна взяти тут: http://liveonsat.com (HD канали мають префікс ~).

18 квітня 2012 р.

Дивимося супутникові HD канали через DLNA

Так сталося що я досі не визначився з моделлю супутникового приймача для прийому HD каналів, тому що у мене є деякі вимоги окрім стандартного функціоналу, медіа плеєр та IPTV плеєр.  Питання вирішення IPTV поки що стримує від вибору.
Так як мені не має багато часу для перегляду телевізора, то на супутнику дивлюся вже визначені програми або спортивні події.  І є старенький супутниковий SD приймач Openbox X-800.
А такому разі будемо використовувати те що є в наявності:
  • телевізор Samsung LE40B650 з підтримкою DLNA
  • комп'ютер під керування операційної системи Windows 7.
  • PCI DVB-S2 карта AzureWave AD SP 400 (Twinhan 1041), (TechniSat Sky Star HD 2), чипсет Mantis.
  • програма для перегляду DVB Dream, (версія 1.4 безкоштовна)
  • програма Home Media Server  (безкоштовна) (використовую версію 1.21.2)
  • програма VLC media player 
  • роутер TP-Link 1043 для мережевого з'єднання

13 квітня 2012 р.

Використання само підписаного сертифікату на стороні поштового клієнта

Проблема

Якщо використовувати на поштовому сервері само підписаний сертифікат та використовувати шифроване з'єднання SSL/TLS, то можливі проблеми підключення клієнтських поштових програм. Наприклад, якщо використовувати програму "Ritlabs The Bat!", та в налаштуваннях використовувати механізм Microsoft CryptoAPI (Рис. 1), то можуть бути проблеми позначені на  (Рис. 2) - відмова прийняття само підписаного сертифікату.

Рис. 1. The Bat!, механізм Microsoft CryptoAPI

26 березня 2012 р.

Розпилювач води, насадка для крану

Дуже давно хотілося мати в посудомийній раковині більш широкий потік води. Ось придбали таку насадку, і дивіться її можливості: два режими розпилення, шарнірна головка.
Але слід зауважити що матеріал пластмаса, тому вже надалі будемо шукати подібну насадку але більш надійний варіант з металевих сплавів. 


Кекс



Своя домашня локшина, перша спроба

Приємно мати можливість створювати на кухні щось своїми руками, колись ми спробували зробити лазанью з фірмового заготовленого тіста, нам сподобалося. Потім замовили лазанью в одному із харчових закладів, і то було щось дуже і дуже віддалене від того що ми хотіли побачити. Тому було бажання зробити самостійно тісто для блюда лазані, і придбали одну з найпростіших моделей локшинорізки. Для тестування спочатку зробили простіше що можна було зробити це локшину за інструкцією що додавалася до локшинорізки:
На одну порцію: борошно 125 г. , одне яйце або 80 мл. води.
Ми використали розмірність на 2 порції, тобто 250 г. борошна вищого ґатунку, 160 мл. води.
Замішували до однорідної маси, щоб не прилипало до пальців рук. Відрізавши не великий шматочок прокатали на  локшинорізці використовуючи умовні товщини зі значення 7 до 2го.
В тісто прокатуючи поступово додавалось борошно, для отримання більш щільної консистенції.
Експериментально виявили що кращий результат буде якщо після розкатки дати тісту просохнути перед нарізкою локшини.
Після нарізання, пересипати борошном і дати просохнути.
Слід звернути увагу на перші порції, вони будуть мати бруд до залишився від виробництва, тому як слід прокатайте тісто, але не використовуйте в їжу.


23 березня 2012 р.

Спільна адресна книга на базі OpenLDAP

OpenLDAP,
Є така ось проблема  OpenLDAP + Microsoft Outlook , простий пошук не дає резултатів, і не видно запитів до LDAP сервера.
Поштові клієнти такі як "The BAT!", "Mozilla Thunderbird"  працюють нормально.
У кого працює така зв'язка ?

Простий пошук, не дає результатів

Розширений пошук, запит на пошук

Розширений пошук, дає результат

Не видно запиту до LDAP сервера


21 березня 2012 р.

Postfix SPF policy, whitelist, rewrite of softfail rule

Sender Policy Framework
Введення перевірки SPF (Sender Policy Framework) до налаштувань поштового сервера, надає можливість достатньо ефективно боротися зі спамерами котрі відсилають пошту з недозволенних IP адрес для конкретного домену.  Так на сьогодні вже багато поштових доменів ввели запис типу TXT до DNS з описом дозволених адрес і дією щодо дозволу використання цих адрес. Наприклад:
example.com. IN TXT "v=spf1 a mx -all"
Для свого поштового сервера Postfix я використовував Python реалізацію "SPF Policy Server for Postfix (Python implementation)" на базі портації для FreeBSD "postfix-policyd-spf-python" тут є розширені можливості, чим наприклад у реалізації "postfix-policyd-spf-perl".

3 лютого 2012 р.

Настирливих спамерів в black list IP і блокуємо їх в IPFW

Є: 
  • FreeBSD, 
  • Postfix,
  • Swatch - log analyze.
  • MySQL - database
  • IPFW - firewall 

Отже завдання як тільки в logfile pistfix's з'явився запис на подобі: 
Code:
Jul 10 15:43:52 mail postfix/smtpd[89997]: warning: Connection rate limit exceeded: 10 from unknown[62.213.112.69] for service smtp
Jul 10 15:43:52 mail postfix/smtpd[89997]: disconnect from unknown[62.213.112.69]

14 січня 2012 р.

Хліб з хлібопекарні

Придбали собі простеньку домашню хлібопекарню.
Після деяких експериментів з рецептами, а головне які дріжджі. Отримали такий смачний результат.

Власний хліб

Прикрашення салату "Грибна поляна"


Прикрашення салату "Грибна поляна"

Прикрашення салату "Тигр"


Прикрашення салату "Тигр"

Прикрашення салату "Тигр"

Прикрашення салату "крабовий"


Прикрашення салату "крабовий"

Річка з містком

До школи як завжди треба робити якісь роботи начебто дітьми, ось такі реалії українських шкіл.

Ось річка з містком на весні:

 


13 січня 2012 р.

3 січня 2012 р.

"Заземлення" обов'язкове ?

Раніше я вважав що заземлення для побутової техніки є суто запобіжний засіб.
Але так сталося що була потреба тимчасово замінити автоматичну пральну машину з прямим приводом від фірми "LG", на звичайну від фірми "Siemens". І при тих самих умовах підключення (без заземлення) було замічено "пробивання" струмом при доторканні до корпусу пральної машини.
Вимірявши напругу на корпусі відносно нульового або фазового проводу у розетці визначено значення 110 Вольт.
Заглянувши до нутрощів пральної машини "Siemens" знайшов такий модуль зразу на вхідному кабелі живлення:
KPL 3524

Коли забув ти рідну мову, біднієш духом ти щодня...
When you forgot your native language you would become a poor at spirit every day ...

Д.Білоус / D.Bilous
Рабів до раю не пускають. Будь вільним!

ipv6 ready