Вступление

Решил я начать изучение не безызвестной ОС — FreeBSD. Т.к. свободного времени в не рабочее время катастрофически мало, был поднят тестовый сервер на работе! Но основная проблема заключалась в том что во всех нормальных офисах интернет раздается через proxy или NAT, в моем случае через проксю. Основной прокси сервер поднят так же на Freebsd с NTLM аутентификацией. Так же я рассмотрю настройку freebsd с basic аутентификацией на прокси сервере.

Тестовая FreeBSD, не имеет ни какого дополнительного ПО, так что в моем распоряжении терминал и командная оболочка csh.

Последнее время применение виртуализации при построении серверной инфраструктуры встречается все чаще. Гибкость, масштабируемость, экономия делают эту технологию очень перспективной. Сейчас на рынке существует достаточное количество решений, как проприетарных, так и open source, позволяющих развернуть виртуальные сервера. Один из таких вариантов я хочу рассмотреть в данной статье.

В это статье рассмотрена установка Juniper JunOS версии 10.4 для маршрутизаторов M/T серии на виртуальный стенд VMware и последующая конвертация в QEMU Image для применения в среде GNS3.

Про версии

Мы устанавливаем свежую версию JunOS, но хочется отметить, что установка более ранних версий производится аналогичным образом, поэтому Вы не задумываясь можете взять любой JunOS OS install media, также нет никаких технических оговорок относительно domestic версий, содержащих крито модули.

Общая идея

JunOS базируется на FreeBSD и аппаратно отчасти на x86 архитектуре, о чем я уже упоминал в своей предыдущей статье.
План таков:
создание виртуальной машины -> установка FreeBSD -> установка JunOS на FreeBSD, предварительно произведя обман проверки PIC -> завершение установки JunOS –> конвертация для QEMU.

Под катом много снимков экрана.

«Чем больше я знаю, тем больше понимаю, что ничего не знаю».

Даже если вы уже давно не чайник и не боитесь увеличить относительный уровень своего незнания — попробуйте проделать на своей машине:
sudo apt-get install fortunes-ubuntu-server
а потом просто вызывайте
/usr/bin/ubuntu-server-tip

Многократный мысленный оргазм гарантирован.
Вот просто некоторые примеры:

• Для создания копии файла без дублирования пути файла используйте команду '$
  cp /long/path/to/file/name{,.orig}', которая создаст копию файла с суффиксом ".orig".
• Если вы выполнили команду и забыли про 'sudo', вы можете набрать 'sudo !!'
  для вторичного запуска предыдущей команды с использованием 'sudo'.
• Последующие команды обычно принимают аналогичный аргумент. 'Alt-.' вставляет
  последний аргумент предыдущей команды. Чтение документации рулит!

Приятного чтения!

В этой статье я бы хотел привести примеры настройки NAT на ОС FreeBSD и провести некоторое сравнение способов, которые, по моему мнению, наиболее часто используются.

Для начала:
NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.

Рассмотренные варианты:
— Демон Natd
— IPFilter (ipnat)
— PF nat
— ng_nat
— ipfw nat (kernel nat)

Нашим первым материалом в блоге Citrix на Хабре был анонс решения XenClient – гипервизора первого типа, позволяющего запускать на собственном ноутбуке одновременно домашнюю и корпоративную ОС. Такой подход обеспечивает больше свободы не только пользователю, сотруднику компании, но и системному администратору.

Типичные взаимоотношения пользователя с администратором выглядят следующим образом. Сотруднику выдается ноутбук с установленной операционной системой и ограниченными правами: для обеспечения безопасности и просто стабильности, чтобы не поломал ненароком свой рабочий инструмент, подхватив вирус или просто перемудрив с настройками. В результате пользователь недоволен тем, что ему «нельзя поставить аську», а администратор – тем, что эту «аську» все же придется поставить, да и от сбоев в работе политики безопасности не спасают.

Теперь берем вариант с XenClient. На ноутбук устанавливаются две виртуальные машины: пользовательская и рабочая. В пользовательской владелец ноутбука волен делать все, что его душе угодно. Рабочая настроена так, как принято в компании, с необходимыми программами, ограничениями и системами безопасности. Корпоративная ОС синхронизируется с сервером, но пользователь может работать в ней и без подключения к рабочей компьютерной сети. Управление, обновление программ и, если надо, восстановление ОС – все настраивается и производится централизованно, на сервере: сотруднику даже не обязательно приносить ноутбук в офис, чтобы получить необходимое обслуживание. Идея хороша, но как это работает на практике? Проверить это может каждый: XenClient доступен для бесплатной загрузки на сайте Citrix. В этой статье я поделюсь собственными впечатлениями о XenClient с позиции пользователя.

На видео показан угон сессии вконтакте.ру, который почему-то до сих пор не использует авторизацию с https и передает пароли открытым текстом.
Дамп трафика собирается программой kismac в формате libpcap и параллельно парсится grep-ом с использованием регулярных выражений, что позволяет в реальном времени выводить на экран все интересующие куки и пароли. При этом не используется никаких анализаторов пакетов.

regexp для перехвата вконтакте.ру:

tail -F pcap.файл | cat | grep -aEo «remixsid=[0-9a-f]+|l=[0-9]{3,12}|p=[0-9a-f]{36}|email=[^&]+&pass=[^ ]+»

для фейсбука:

c_user=[0-9]+|sid=[0-9]{1,5}|xs=[0-9a-f]{32}

Аналогичная конструкция будет работать и с дампом собранным с помощью airdump-ng.

Все мы хоть раз в жизни использовали команду cat /proc/cpuinfo. Многие — лишь для того, чтобы узнать количество процессоров и ядер в системе, некоторые — узнать о поддержке конкретной технологии, например, аппаратной виртуализации.
Однако очень мало линуксоидов воспринимают всерьез самую длинную строку вывода — так называемые flags, а еще меньше знают, как расшифровывается тот или иной параметр, поскольку зачастую флаги имеют дикие и непонятные имена. Я постараюсь описать большинство распознаваемых флагов, специфичных для архитектуры x86.

Я оказываю услуги по настройке web- и БД-серверов. На днях ко мне обратился Иван Усачёв — владелец портала ochevidets.ru с просьбой избавить сайт от торможения.

Страницы в пиковое время стали долго загружаться, вплоть до 5 минут на страницу.

UPDATE: Статья была написана в 2010 году. Кое-что изменилось: вышли новые версии программ, у nginx изменились некоторые директивы и появились новые. Учитывайте это.

В этой статье будут описаны различные настройки MySQL, преимущественно те, которые влияют на производительность. Для удобства все переменные разделены по разделам (базовые настройки, ограничения, настройки потоки, кэширование запросов, тайминги, буферы, InnoDB). Сначала уточним имена некоторых переменных, которые изменились в версии 4 MySQL, а в сети продолжают встречаться и старые и новые варианты имен, что вызывает вопросы.

Тема блочного кеширования и ssi не раз проскакивала на Хабре. Ниже я представлю еще одну реализацию, использующего блочное кеширование, а также исходники фреймворка, использующего эти принципы, которые можно найти тут. А как это работает — прочитать ниже.

Написано по следам публикации Большие потоки трафика и управление прерываниями в Linux

В нашей городской сети более 30 тысяч абонентов. Суммарный объем внешних каналов — более 3 гигабит. А советы, данные в упомянутой статье, мы проходили еще несколько лет назад. Таким образом, я хочу шире раскрыть тему и поделиться с читателями своими наработками в рамках затрагиваемого вопроса.

В заметке описываются нюансы настройки/тюнинга маршрутизатора и NAT-сервера под управлением Linux, а также приведены некоторые уточнения по поводу распределения прерываний.

Представляю вашему вниманию мой второй перевод — новую статью Якоба Нильсена, вышедшую вчера.

Пользователи интернета тратят 80% времени, изучая информацию на «первом экране». Несмотря на то, что прокруткой они тоже пользуются, только 20% их внимания приходится на то, что расположено ниже «первого экрана».

В веб дизайне существует большая неразбериха с т.н. «первым экраном» и важностью показа самой главной информации в области, изначально видимой пользователем. (Т.е., фактически определение таково: «первый экран» обозначает «видимый без дополнительных действий».)

Я вообще довольно давно интересуюсь темой юзабилити и проектированием интерфейсов, сценариями, персонажами. Но я не занимаюсь этим профессионально. До этого момента я довольствовался только знанием того, как это делается «по-взрослому», и убеждением в том, что «по-хорошему» проекты надо развивать через UI-тестирование (test first ;). Но, как обычно, дальше разговоров и грустных вздохов не заходило.
А началось все с того, что в очередной раз обсуждая проект, фичи и дальнейшие планы, я взял и ляпнул: «Поехали в институт и проверим на студентах».

iptables — интерфейс к файрволу Linux (netfilter). При большом количестве правил iptables нагрузка может быть достаточно высокой и создавать проблемы. В этой заметке я постараюсь описать, что влияет на производительность iptables и как ее повысить.

Лекция главы компании Mangrove Дэвида Варокьюэра для слушателей специализации «Менеджмент в сфере интернет технологий».

На определенном этапе развития большинство интернет-проектов требует материальных вложений со стороны. Привлечение подобных инвестиций дело совсем непростое: для этого организаторам проекта необходимо заставить инвесторов поверить в успех этого проекта. Компания Mangrove Capital Partners (Mangrove), среди удачных проектов которой числится такой успешный сервис как Skype, является одной из инвестиционных компаний, вкладывающих свои средства в интернет-проекты на самых ранних этапах их развития. Менеджер Mangrove Дэвид Варокьюэр (David Waroquier) рассказывал об искусстве интернет-инвестирования и о точке зрения инвесторов на развитие стартап-проектов.

Зоной особого интереса г-на Варокьюэра является Россия. Поэтому немало внимания в своей презентации он уделил обсуждению особенностей инвестирования в российские интернет-проекты.

«Почему нас интересуют российские проекты? Когда мы в первый раз вложили средства в один из российских проектов, мы поняли, что в вашей стране на рынке очень мало компаний, профессионально занимающихся инвестированием в высокотехнологичные проекты на начальных стадиях развития. Поэтому мы решили, что для нас инвестиции в этой стране будут выгодными. При этом на наше решение также повлияла территориальная и культурная близость России к Европе. Когда мы проводим анализ российских интернет-компаний, мы понимаем – существует огромная русскоязычная аудитория, огромный рынок для российских интернет-проектов. И мы полагаем, что в ближайшие 10 лет в России будет запущен ряд масштабных успешных проектов. Конечно, в России есть своя специфика. Поэтому мы работаем с нашим российским партнером – венчурным фондом ABRT, образ мышления руководства которого близок к нашему образу мышления, и в котором хорошо понимают особенности российского рынка.

Каждый месяц мы просматриваем большое число проектов и организуем встречу со стартаперами. Лично я езжу в Россию по этой причине ежемесячно. Поэтому, если у вас есть хорошее предложение для нас, присылайте мне бизнес-план, и мы его проанализируем».

Допустим, фирму вы уже создали, отдавать инвесторам 75% долю не хотите, а денег где-то взять надо. Помощь приходит совершенно из неожиданного места – Государства. Речь идет о 350 000 рублей, которые вам (внимание!) подарят! Но заплатить придется некоторой бюрократической возней и потерей времени. Речь будет идти о малых предприятиях, зарегестрированных в городе Москве, так как пишу по собственному опыту.



По программе содействия развитию малого бизнеса г.Москвы (в других регионах есть аналоги) любой субъект малого предпринимательства имеет возможность получить до 350 000 рублей на следующих условиях:

• Необходимо вложить не менее 50% собственных средств;
• Нужно иметь помещение и договор аренды;
• Необходимо потратить более 50% предоставляемой субсидии на покупку основных средств;
• Возмещение арендной платы из бюджета — не более 3 600 руб. за кв.м. в год;
• На расходные материалы можно потратить не более 20% субсидии.

Условия устраивают? Тогда действуем! 

Вступление

Нетерпеливым эти лирические отступления можно не читать.

Некоторое время назад меня посетила мысль: «Как сделать так, чтобы закрыть доступ к интернету (или к какому-то конкретному хосту) какой-нибудь одной программе в Linux?». Эта мысль меня посетила и полетела дальше по своим делам. И вот сегодня я получил в свой RSS-ридер один вопрос на askdev.ru. Ба! Да это как раз то, о чем я думал! Надо помочь человеку, заодно и самому разобраться в вопросе.

Полез я в гугл смотреть, нету ли каких-нибудь намеков на решение. Оттуда я узнал, что штатным iptables это с некоторых пор сделать стало невозможно, а народ рекомендует посмотреть в сторону AppArmor. «Горя огромным желанием изучить AppArmor», я стал искать дальше и почти случайно наткнулся на сообщение на ЛОРе, в котором описывался довольно интересный метод.

Ядро Windows всегда было лакомым кусочком для хакера, особенно при наличии законченных методик его эксплуатирования, приводящих к повышению прав. Учитывая тот факт, что за последние несколько лет количество уязвимостей, связанных с переполнением динамической памяти ядра, резко возросло, я активно заинтересовался данным направлением и, к собственному удивлению, в конечном итоге накопал столько материала, что его хватит не на один 0day-баг.