Здравствуйте, коллеги! Не знаю почему эта новость до сих пор не появилась на хабре, но совсем недавно состоялся релиз новой версии UNetLab 1.0.

Новая версия содержит множество улучшений особенно в части веб-интерфейса. Я не буду расписывать что такое UNetLab и для чего он нужен, это уже сделали до меня и довольно неплохо.

Пример очень неудачного опыта, пояснение в разделе “о технике безопасности”

К моему предыдущему посту было множество комментариев по части экспериментов с детьми. Тогда я пообещал написать отдельный пост о простых увлекательных опытах. Сейчас я это обещание выполняю. Данная статья будет вводной, в ней я расскажу только о самых популярных и известных экспериментах которые легко выполнить дома с ребенком.

Складывается ощущение, что современные дети просто рождаются с гаджетами. Для них разобраться в технологиях становится делом нескольких минут. Но оказывается их еще есть чем удивить! Программирование позволяет детям открыть совсем другой для них мир — мир технологий.

Не подозревал Томас Эдисон в 1907 году (на фото, с первым «диктофоном»), что через 93 года состоится следующий разговор.

Студенческий лагерь, берег Тихого океана:
— Леха, что ты думаешь про Ирочку?
— Я бы при первой же возможности пригласил ее поиграть в шахматы.
— Леха, принеси мне чаю с печеньками.
— Сам принеси.
— <<щелк>> «Я бы при первой же возможности пригласил ее поиграть в шахматы.»
— Тебе с сахаром или без?

Я прожил неделю в подобном режиме, многое чего сказал, о чем потом пожалел. Зато с тех пор у меня «иммунитет» — по умолчанию я считаю, что все, сказанное мной вслух, может быть записано на диктофон и выложено в публичный доступ.

Вместо того, чтобы сразу побить «звукозаписывателя», современные вежливые интеллигентные люди используют технические средства.
А ситуации бывают разные — когда мы в открытую защищаем переговоры («Ну мужик, ты же понимаешь, надо предохраняться, вот, цак одень») и когда мы скрываем то, что мы защищаемся (он скрывает что записывает, мы скрываем, что подавляем, все честно).

Про жучки я уже писал тут.
Теперь немного про то, как можно защититься от диктофона/мобильника.

Встал вопрос централизованного хранения и обработки журналов с серверов на базе Linux и Windows. Мой выбор пал на продукты от Elastic.
Большинство прочитанных статей на тему установки приложений Elastic показались мне достаточно расплывчатыми и неполными.

В повседневной практике использования почтового сервера iRedMail возникает необходимость замены SSL сертификатов (как при первичной установке, так и ежегодная смена). В топике описан процесс смены SSL сертификатов для iRedMail от StartSSL и предложен скрипт, позволяющий автоматизировать все необходимые действия.

Если вы заинтересовались, то добро пожаловать под кат.

UDP. По состоянию на 30.10.2016, инструкция утратила свою актуальность, в связи с изменениями внесенными разработчиками пакета iRedMail.

Данная статья является лиш исследованием на тему и не должна использоваться как инструкция к действию.

В связи с разгулом банхамера по интернет просторам участились советы по использованию различных прокси, vpn, tor и анонимайзеров. Эти все способы отправляют трафик третей стороне которая его может перехватывать и модифицировать. Это не наш метод. Мы сейчас просто и легко научим браузер дурить DPI.

Я вдохновился этой статьёй и сообразил относительно лёгкий способ ходить на сайты прямо не используя чужие прокси, дополнения и программы.

я осуществил необратимые манипуляции с доменным именем таким образом, чтобы не существовало ни одного достоверного и однозначного алгоритма обращения получившейся хеш-функции.

Исходные данные:
Сайт(Адрес изменён): http://rutracker.og


Страница заглушка(Адрес изменён): http://198.51.100.0/...

Адрес страницы заглушки которая появляется при попытке открытия сайта. У каждого провайдера адрес страницы заглушки наверно разный.

Долгое время меня глодало незнание того, как сделать некоторые элементарные вещи в дебиановских менеджерах пакетов, но, как часто бывает, спросить рядом было не у кого, а до написания куда-либо руки не доходили. И вот наконец вопросы вызрели и я написал свой вопрос в дебиановскую рассылку. Естественно оказалось что пропустил что-то очевидное, но и узнал много неочевидных полезностей, посему решил набросать шпаргалку, авось кому пригодится.

Предположим, что ты уже зашел несколько раз в I2P, початился там с ребятами в irc, проникся идеей ламповой невидимой и задумался о собственном (в)кладе в I2P. В раздумьях об этом ты посидел пару дней перед раскрытым блокнотом — узнав попутно из новостей, что не только флибуста, но и рутрекер был запрещен, — и наконец вспомнил про то что ты Сноуден и основатель викиликс (весьма неожиданный поворот, признаюсь, я сам не ожидал от тебя такого), и уже давно ищешь плацдарм для размещения общественно значимой информации. Например, ты решил выкладывать куда-нибудь картинки с котиками, которых ты налайкал в твиттере (Сноуден лайкает котиков в твиттере, ты знал?). И выбор твой пал на I2P.

Всем привет!
Многие из вас видели и читали прекрасные материалы под общим названием «Сети для самых маленьких». Собственно, я не претендую на лавры, но решил написать нечто подобное в области безопасности сети на основе оборудования Cisco.

Первый материал будет посвящен BaseLine/L2 Security, т.е. тем механизмам, которые можно использовать при начальной конфигурации устройств а также на L2 коммутаторах под управлением IOS.
Всем, кому интересно, поехали!

Прочитав множество руководств и примеров написания скрипта для работы Mikrotik с сервисом noip.com, так и не удалось найти готового решения.
Что не устраивало в других руководствах, например, здесь:
при написании необходимо прямо в тексте скрипта указывать имя интерфейса, с которого он будет получать внешний IP-адрес, а что если интерфейсов два, три или десять?
В моем случае имеется 2 канала: pppoe-client и ethernet без пароля, но с динамически получаемым адресом…

Вы наверняка слышали о Tox. Напомню: это свободный защищенный p2p протокол для передачи сообщений, аудио и видео потоков между участниками Tox-сети. По сути — это альтернатива скайпу. Когда я впервые услышал о Tox, мой градус неприязни к скайпу был еще не слишком высок, но я уже начал поиск альтернатив. Мне очень понравилась идея, лежащая в основе Tox: мы пишем протокол со всеми нужными плюшками, а вы пишете к нему клиенты. Когда появились первые клиенты для сети Tox, я подумал: «черт возьми, я смогу сделать это не хуже!». Вобщем, подталкиваемый неприязнью к скайпу, я взялся за проект мессенджера своей мечты. Сейчас, когда в моем локальном hg-репозитории первому комиту исполнилось 19 месяцев и был сделан 414-й комит, я наконец то созрел до того, чтобы рассказать об этом клиенте широкой аудитории Хабра.

Представляю пока две статьи, ориентированных на «продолжающих» системных администраторов, для опытных я вряд ли открою что-то новое.
В этих статьях мы рассмотрим построение интернет шлюза на linux, позволяющего связать несколько офисов компании, и обеспечить ограниченный доступ в сеть, приоритезацию трафика (QoS) и простую балансировку нагрузки с резервированием канала между двумя провайдерами.
Конкретно в этой части:

• Простейшая настройка Shorewall
• Ужасно сложная настройка dnsmasq
• Не менее сложная настройка OpenVPN
• И для многих продолжающих админов нетипичная, динамическая маршрутизация, на примере OSPF

А во второй части будут рассмотрены:

• Более подробная настройка Shorewall
• Страшный и не понятный QoS
• Балансировка нагрузки и резервирование

В третьей части:

• QoS во всю ширь в Shorewall
• Более подробная настройка Shorewall
• Раскидывание трафика по каналам в соответствии с протоколами
• Костыли, без них, никуда

В четвертой части:

• Автоматические события
• Макросы

К написанию сей заметки меня сподвигло то, что я устал делать развёрнутые замечания на эту тему в комментариях к статьям, где в качестве части инструкции по сборке и настройке чего-либо для конкретного дистра предлагают выполнить make install.

Суть сводится к тому, что эту команду в виде «make install» или «sudo make install» использовать в современных дистрибутивах нельзя.

Но ведь авторы программ в руководствах по установке пишут, что нужно использовать эту команду, возможно, скажете вы. Да, пишут. Но это лишь означает, что они не знают, какой у вас дистрибутив, и дистрибутив ли это вообще, может, вы вступили в секту и обкурилисьчитались LFS и теперь решили под свою хтоническую систему скомпилять их творение. А make install является универсальным, хоть и зачастую неправильным способом это сделать.

С момента публикации на Geektimes первой части статьи, кое-что изменилось. Я обновил тонкий клиент на HP t610 Plus и перешел на CentOS 7. Поэтому, публикую эту статью не как продолжение предыдущей, а как новую.

Microsoft перепробовала разные способы, как склонить пользователей Windows 7 и 8.1 к обновлению на Windows 10: файлы установки 3-5 ГБ скачиваются в фоновом режиме, постоянно показываются всплывающие сообщения «Ваш апгрейд готов к установке», сама программа установки «случайно» запускается на исполнение. Но теперь они превзошли себя.

Взгляните на этот скриншот. Вам ничего не кажется странным?

Let's Encrypt — это некоммерческая инициатива, предоставляющая бесплатный, автоматизированный и открытый CA (certificate authority — центр сертификации), созданный ISRG на благо общества:

• бесплатно: владелец всякого доменного имени может воспользоваться Let's Encrypt и получить доверенный (читать как «признаётся любым современным браузером») TLS-сертификат (TLS — наследник SSL) совершенно бесплатно;
• автоматизированно: Let's Encrypt предоставляет бесплатное и свободное программное обеспечение (клиент), которое, будучи настроенным на веб-сервере, может полностью автоматически запрашивать безвозмездно предоставляемые сертификаты Let’s Encrypt, автоматически конфигурировать и обновлять их;
• безопасно: Let’s Encrypt строится как платформа для продвижения наилучших практик безопасности TLS как на стороне центра сертификации (CA), так и на стороне веб-сайтов, помогая администраторам должным образом настраивать веб-серверы;
• прозрачно: информация о выпуске и отзыве каждого сертификата Let's Encrypt доступна вполне и публично так, что любой желающий изучить её сможет это сделать;
• свободно: протоколы взаимодействия со CA, позволяющие автоматизировать процессы выпуска и обновления сертификатов, будут опубликованы как открытый стандарт для максимального внедрения;
• кооперативно: как и любой протокол, лежащий в основе Интернета и Всемирной паутины, Let’s Encrypt является совместным, неподконтрольным какой-либо конкретной организации некоммерческим проектом созданным исключительно для того, чтобы принести пользу обществу.

Всем привет! Прошлая статья про прозрачное проксирование HTTPS с помощью Squid'a была вполне успешной. Приходило по почте множество отзывов об успешной установке данной системы. Но также и поступали письма с просьбами о помощи. Проблемы были вполне решаемыми. Но не так давно обратилась ко мне одна коллега с просьбой о помощи в установке этой системы на х64 архитектуре (Debian). Тут мы озадачились. Во-первых, оказалось, что прошлая статья непригодна для этого по причине отсутствия нужных исходников в репозитории Debian (там теперь 3.5.10). Найти нужные в первой статье Debian'овские исходники не удалось, а checkinstall выдавал странные ошибки. Во-вторых, хотелось более универсального решения, которое бы без проблем работало и на х64, и на х86, и (по-возможности) на других дистрибутивах. Решение было найдено. Получилось небольшое дополнение к предыдущей статье + некоторые уточнения. Данная инструкция позволяет скомпилировать как х86, так и х64 версии Squid'a и создать соответствующие пакеты. Инструкция будет разбита на несколько пунктов и подпунктов. Если интересно, идем под кат:

Благодаря GPS отслеживание разного рода объектов, определение собственных и чужих координат в наше время — не проблема. И это хорошо, поскольку многие родители хотят знать, где находятся их дети, в каждый конкретный момент времени. И речь идет, прежде всего, о маленьких детях, безопасность которых — первоочередная задача взрослых.

GPS-модули сейчас настолько малы, что их можно без труда встроить в гаджеты практически любых размеров. Например, умные часы и трекеры. Для детей есть несколько отличных моделей, о которых сейчас и поговорим.

Тяжело и грустно смотреть на современные роутеры, особенно дорогие свежие модели. Покупая устройство за 20000 рублей, владельцы первым делом советуют сменить прошивку на альтернативную из-за нестабильности заводской, а некоторым приходится мириться с той, какая есть. Подавляющее большинство производителей домашних сетевых устройств не ставят безопасность на первое место, подолгу исправляя уязвимости, либо же вообще довольно быстро снимают модель с поддержки.

Чешские ребята из CZ.NIC, что подарили миру замечательный демон маршрутизации BIRD, который используется, в том числе, в Московской точке обмена трафиком MSK-IX, DNS-сервер Knot DNS, продвигали DNSSEC с момента его появления и одними из первых запустили интернационализованные доменные имена, решили, что пора всему этому положить конец — нужно сделать достаточно мощный домашний роутер, который бы не захлебывался от гигабитного трафика, с большим количеством ROM и RAM, чтобы на нем можно было запускать все необходимое ПО, в том числе и LXC и Docker-контейнеры с полноценными ОС, который придерживался бы принципов Open Source и Open Hardware и обновлялся автоматически, без участия человека, как только разработчики закрывают уязвимости. Более того, авторы поддерживают honeypot, который симулирует роутеры с уязвимостями, на своих серверах, чтобы отслеживать последние угрозы.


замечательное видео, доходчиво объясняющее все преимущества устройства