• Сборка rpm пакетов и настройка своего репозитория
    0
    Спасибо. Обязательно ознакомлюсь.
  • Сборка rpm пакетов и настройка своего репозитория
    0
    Кому как удобнее и проще. Мне кажется так нагляднее и понятно.
  • Сборка rpm пакетов и настройка своего репозитория
    0
    repo_gpgcheck = 1

    относится так же к проверке подписи у метаданных. Я понял о чем Вы, проверю этот момент и допишу.
  • Сборка rpm пакетов и настройка своего репозитория
    0
    Есть
    gpgcheck=1

    Про «генерировать подпись для метаданных» я как-то упустил. Спасибо. Изучу этот момент и внесу в статью.
  • Сборка rpm пакетов и настройка своего репозитория
    0
    Кому как. Сколько пользовался rpmbuild'ом не заметил неудобств в его использовании, да и не проблема работать в виртуальной среде. Все упирается лишь в количестве сборок, чем их больше и есть необходимость под разные дистрибутивы и архитектуры, тем больше есть нужда в подобных инструментах. В моем случае штатных средств хватает вполне.
  • Сборка rpm пакетов и настройка своего репозитория
    0
    Выше посмотрите там есть:
    sudo semanage fcontext -a -t public_content_t '/var/www/repo(/.*)?'
    sudo restorecon -Rv '/var/www/repo'
    


    Ниже действительно не указал `restorecon`, но это подразумевалось. Вообще .htaccess лучше не использовать, о чем я и писал в статье.
  • Сборка rpm пакетов и настройка своего репозитория
    0
    Отвечу тут Вам и товарищу ниже с подобным комментарием.

    Мне не хотелось отдельную статью делать про установку CentOS, в то же время хотелось показать, как стоит подходить к вопросу проверки целостности и достоверности дистрибутива, как его скачать в консоли в виде torrent, как закатать образ из той же консоли на флешку или диск и что все это можно сделать просто и доступными вещами. Так же в статье есть места с настройками SSH и межсетевого экрана, которые с одной стороны можно было опустить, но с другой тема с уклоном в безопасность и организацию надежного сервиса была бы не полной, по этому я принял решение описать весь путь от начала до конца, что позволит в будущем просто ссылаться на данную статью.

    Объяснений причин для каждого действия действительно не хватает, но объем статьи в таком случае увеличился бы в разы, я старался пояснять некоторые моменты, которые казались мне не очевидными.

    Про tmux — стоит отметить конфигурационный файл для него — это единственный полный, с комментариями файл конфигурации в интернете, чтобы его собрать и описать я перерыл все маны, исходный код проекта и попутно указал на некоторые оплошности на GitHub. Так что можно сказать — «моя прелесть». Ну и писать отдельную статью о конфигурации tmux посчитал мелко, для хабра.
  • Сборка rpm пакетов и настройка своего репозитория
    0
    mock действительно удобная вещь, когда ты постоянно и много собираешь пакетов, но если объем не большой, то достаточно будет:
    сборку производить на отдельном виртуальном хосте, активно используя технологию snapshot'ов


    Да вот статейка по mock, с которой можно начать.
  • Сборка rpm пакетов и настройка своего репозитория
    0
    «magic numbers» — часть отпечатка ключа, идентификатор открытого ключа (GPG key ID). В примере в статье был вывод команды:
    gpg --fingerprint chelaxe@gmail.com
        pub   2048R/E6D53D4D 2014-05-07
              Key fingerprint = EE2A FF9A 2BE3 318E 9346  A675 8440 3961 E6D5 3D4D
        uid                  ChelAxe (D.F.H.) <chelaxe@gmail.com>
    


    тут E6D53D4D и есть GPG key ID — однозначно определяет мой открытый ключ. Посмотреть его можно в самой подписи к файлу или однозначно получив от авторов ПО, например в статье в начале мы скачивали ключ CentOS для проверки подлинности файла с контрольными суммами:

    wget http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-7
    gpg --quiet --with-fingerprint RPM-GPG-KEY-CentOS-7
        pub  4096R/F4A80EB5 2014-06-23 CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>
              Key fingerprint = 6341 AB27 53D7 8A78 A7C2  7BB1 24C6 A8A7 F4A8 0EB5
    


    тут GPG key ID — F4A80EB5
  • Поднимаем SOCKS прокси для Telegram
    0
    Вообще лучше VPN сервер поднять, а чтобы не светить его можно к нему через TOR соединяться (OpenVPN умеет). TOR с обфусцированным мостом. Так надежнее и спокойнее =)
  • Поднимаем SOCKS прокси для Telegram
    +3
    CentOS 7

    вместо:
    sudo ifconfig

    , которого нет, но можно поставить:
    sudo yum -y install net-tools

    использовать нужно:
    ip addr


    Далее
    Разрешаем порт в фаерволе

    вернее будет:
    sudo vim /usr/lib/firewalld/services/sockd.xml

    Описываем наш сервис:
    <?xml version="1.0" encoding="utf-8"?>
    <service>
        <short>sockd</short>
        <description>My sockd Server.</description>
        <port port="433" protocol="tcp" />
    </service>
    

    И добавляем правило:
    
    sudo firewall-cmd --reload
    sudo firewall-cmd --get-services
    sudo firewall-cmd --permanent --zone=public --add-service=sockd
    sudo firewall-cmd --permanent --list-all
    sudo firewall-cmd --reload
    


    рекомендую также перенести ssh порт на другой, запретить подключение по ssh для всех пользователей кроме основного


    Так же запретить соединение для root, авторизацию по паролю — только ключи и настроить разрыв сессии при простое.
  • Простой способ установить Mikrotik RouterOS в любом облаке
    0
    Как вариант, у меня стоит для The Dude. Лицензию L4 получил на последнем MUM в Екатеринбурге. Образ прикрутил в LVM под Centos 7 для QEMU

    Как я это делал
    Собственно ставим пакеты, запускаем демона, качаем и создаем образ в LVM, настраиваем сеть и создаем виртуальную машину. Виртуальная машины будет запускаться автоматически.

    sudo yum install -y qemu-kvm libvirt libvirt-python python-virtinst libguestfs-tools virt-install
    sudo systemctl enable libvirtd
    sudo systemctl start libvirtd
    sudo reboot
    
    sudo mkdir /mnt/storage/mikrotik
    cd /mnt/storage/mikrotik
    sudo wget https://download.mikrotik.com/routeros/6.41.3/chr-6.41.3.img.zip
    sudo unzip chr-*.img.zip
    ls -la chr-*.img
    	-rw-r--r--. 1 root root 134217728 мар 12 12:54 chr-6.41.3.img
    sudo lvcreate -L134217728b ba_server -n dude
    sudo dd if=/mnt/storage/mikrotik/chr-6.41.3.img of=/dev/ba_server/dude bs=2M
    
    sudo cp /etc/sysconfig/network-scripts/ifcfg-{enp2s0,br0}
    sudo vim  /etc/sysconfig/network-scripts/ifcfg-enp2s0
    	DEVICE=enp2s0
    	ONBOOT=yes
    	BRIDGE=br0
    sudo vim  /etc/sysconfig/network-scripts/ifcfg-br0
    	TYPE=Bridge
    	BOOTPROTO=static
    	IPADDR=192.168.133.280
    	NETMASK=255.255.255.0
    	GATEWAY=192.168.133.1
    	DNS1=192.168.133.1
    	DEVICE=br0
    	ONBOOT=yes
    	ZONE=public
    sudo systemctl restart network
    
    sudo virt-install --connect qemu:///system --name='dude' --description='dude' --ram=512 --vcpus=1 --network bridge=br0,model=e1000 --disk path=/dev/ba_server/dude,bus=ide --os-type='other' --os-variant='generic' --nographics --hvm --boot hd --autostart
    

  • Централизованный бэкап Mikrotik устройств при помощи bash-скрипта
    0
    возможно использовать на других устройствах после смерти…
  • Централизованный бэкап Mikrotik устройств при помощи bash-скрипта
    0
    Делал подобное. Я сохранял еще лицензию при постановке устройство в систему (система — это 3 скрипта =)) бекапов. И все это благолепие заворачивал в git репозиторий. Коммитил раз в месяц, мне чаще не нужно было. Плюс в том, что можно было различие отследить.
  • RPM-репозиторий — своими руками
    0
    Не совсем. Все это, и загрузка (html страница отдает по ajax php скрипту с пред обработкой rpm пакета) и обработка последующая (тут полная обработка файлов полученных от ftp) выполнена в едином php скрипте, но логически разделена. Т.е. загружаем файлы, сразу они не появляются, а раз в час только выгружаются после обработки. Если бы исключить ftp, то можно было бы сразу грузить и обрабатывать. Inotify очень понравился, но пока руки не доходят.
  • RPM-репозиторий — своими руками
    +1
    Делал подобное. У меня это была связь apache и vsftpd. Без авторизации в web части просто доступ к файлам. С помощью mod_autoindex и кучи плюшек (jquery, bootstrap, font awesome, backbone и showdown для отображения markdown файлов) сделан интерфейс, при этом отсутствие javascript не приводит к поломке отображения файлов (привет noscript). Отдельная страничка для добавления файлов в репозиторий (ajax, multiple files — привет ie9) требует авторизации. На сервисе обслуживает PHP скрипт (сразу выполнил в едином файле и добавления файлов и обход по крону кучки для добавления, ну и запуск createrepo.). vsftpd без авторизации просто доступ к файлам, а с авторизацией доступ к директории загрузки (директория одна для всех и права запрещают просмотр что приводит к тому, что не видно ее содержимое но можно загружать файлы). При запуске php скрипта из крона проходит парсинг логов vsftpd (apache не парсится там сразу записывается в бд факт добавления файлов при обработке запросов из браузера) и записываем кто какие файлы добавил. Для разбора rpm файлов в php использовал библиотеку rpmreader.

    Из идей которые еще не сделаны:
    — уход от крона в пользу механизма inotify
    — создание репозитория для pip python
    — возможность управлять добавленными пакетами
    — красивая статистика с применением d3 библиотеки для графиков
  • Файловый сервер SAMBA на базе Linux CentOS 7
    0
    Про SeLinux и Samba
    Насколько я понимаю это глобальные разрешения:
    # setsebool -P samba_export_all_ro=1
    # setsebool -P samba_export_all_rw=1
    но так не совсем правильно поступать… Для конкретной директории доступ к которой необходимо предоставить Samba делается так:
    # semanage fcontext -a -t samba_share_t '/mnt/storage/files(/.*)?'
    # restorecon -Rv '/mnt/storage/files'
    Если Вам нужно подружить одну директорию с Samba и еще что либо (Apache, VSFtpd) то делаем так:
    # semanage fcontext -a -t public_content_rw_t '/mnt/storage/web(/.*)?'
    # restorecon -Rv '/mnt/storage/web'
    Далее добавляем сами сервисы:
    # setsebool -P allow_smbd_anon_write 1
    # setsebool -P allow_httpd_anon_write 1
    # setsebool -P allow_ftpd_anon_write 1

    Также есть public_content_t если запись не нужна.
  • Файловый сервер SAMBA на базе Linux CentOS 7
    +1
    Как правило данную возможность используют, чтобы получить список необходимых правил для SeLinux. т.е. выполняем:
    # setenforce 0
    Что то творим и настраиваем. У нас все работает и мы хотим врубить SeLinux.
    Прежде делаем так:
    # cat /var/log/audit/audit.log | grep denied | audit2allow -M modul_name
    # semodule -i modul_name.pp
    # setenforce 1
    modul_name — имя модуля который подключит необходимые правила. По audit.log можно еще грепнуть по имени сервиса который настраиваем. Я как правило просто чищу файл перед началом сбора статистики.
  • Взлом Wi-Fi
    0
    Могу порекомендовать UPVEL UR-337N4G. В ситилинке 1.5к стоит. Делал большую сеть на данных девайсах с 4g модемами Huawei E3372 на двух провайдерах. OpenWrt и SoftEther. Получилось крайне надежное решение.
  • Взлом Wi-Fi
    0
    И кто в этом виноват? Настраивать нужно девайс.
  • Взлом Wi-Fi
    0
    по этой причине пользуюсь микротиками… и обновления, и отношение, железо и качество, да и софт. Не зря их в народе зовут циска для бедных.
  • Взлом Wi-Fi
    0
    просто цифры 8 штук (многие ставят пароль юзая PIN указанный на обороте роутера)
    ПРИМЕР
    image
  • Взлом Wi-Fi
    0
    Согласен. По этому и блог свой снес и писать на подобные темы перестал.
  • Взлом Wi-Fi
    0
    можно еще и не ждать когда он отключится, а самому его отключить) по типу «Атака с деаутентификацией» что выше.
  • Взлом Wi-Fi
    +1
    В журнале Хакер #158. Есть и на хабре.

    а вообще у меня в блоге был подробный разбор всех моментов и wps.
  • Форма авторизации с отправкой зашифрованного пароля
    +3
    Есть OpenPGP.js или crypto-js. В свое время на основе их и Node.js делал чат с шифрованием.
  • Шпаргалка по работе с Tmux (терминальный мультиплексор)
    +1
    По хорошему — это расписать вторую главу. Какие настройки, что меняют и т.д. Та же возможность задать свои цвета, шаблоны, сочетания клавиш, команды и т.д.
  • Поднимаем Owncloud с нуля с динамическим IP и Let's Encrypt. Тысяча слонов!*
    +1
    Перешел на него и в организации тоже перешли на него. Все отлично проблем нет. Советую.
  • Dynamic DNS на C# и Яндекс.API
    0
    Недавно писал подобное на Node.js, но после непродолжительной работы все сломалось… от сервера стало прилетать 5xx ошибка. Подумал и сделал на djbdns.

    Для Яндекс.API

  • Dropbox — прекращение отображения в браузере HTML-контента
    0
    NextCloud, OwnCloud умеет это. Syncthing больше для синхронизации каких то отдельных директорий.
  • Немного о VPN: Дополнения к обзору программных реализаций
    0
    Собственный протокол SoftEther SSL-VPN он по шустрее OpenVPN
  • Немного о VPN: Дополнения к обзору программных реализаций
    0
    В политиках отключаем много лишнего, юзаем сжатие и в нашем случае tcp соединение, ну и убираем сервера с роутеров и переносим на нормальный сервер (все таки прожорлив)
  • Dropbox — прекращение отображения в браузере HTML-контента
    0
    Syncthing отличная вещь! Тоже им пользуюсь. Бэкапы шифрую и сжимаю pbz2, далее складываю на яндекс диск.
  • Немного о VPN: Дополнения к обзору программных реализаций
    0
    Клиент SoftEther поддерживает только собственный протокол SSL-VPN SoftEther, а сервер в свою очередь поддерживает L2TP/IPsec, MS-SSTP, OpenVPN, L2TPv3 протоколы и соответственно клиенты которые работают с данным протоколом. Как то так.
  • Немного о VPN: Дополнения к обзору программных реализаций
    0
    SoftEther имеет собственный протокол SSL-VPN, так что думаю он не совместим с «чистым» MS-SSTP. В то же время сервер SoftEther поддерживает L2TP/IPsec, MS-SSTP, OpenVPN, L2TPv3 протоколы.
  • Немного о VPN: Дополнения к обзору программных реализаций
    +2
    Могу сказать за SoftEther — все классно. Быстро и просто развернуть. Понятен. Подключиться к нему можно чем угодно. Штатными средствами Android, клиентом OpenVPN, клиент SoftEther есть под OpenWRT и работает стабильно (сеть из 50 устройств более года эксплуатации на производственном участке). Минусы которые встречались: при организации канала необходимо было уменьшить объем паразитного трафика, как выяснилось часть такого трафика генерит сам SoftEther. Это отключается, но все же пришлось помаяться. Так же повысить скорость соединения не так уж просто (из коробки было 5 Мбит, после долгих работ удалось получить до 20 Мбит). Но в общем стоящий комбайн, порадовал, советую.
  • Dropbox — прекращение отображения в браузере HTML-контента
    +2
    Читаю печальные новости о Dropbox и тихо радуюсь NextCloud`у, который развернул недавно в замен OwnCloud`у у себя на сервере дома. Как то спокойнее, когда все у себя под рукой.
  • Опубликованные данные элитной кибергруппировки Equation Group не оказались шуткой
    0
    В конце статьи есть ссылки.
  • Пример базы Keepass для сетевого администратора
    0
    ну я не стал DropBox доверять и храню все в OwnCloud`е сейчас планирую переезд на NextCloud
  • Пример базы Keepass для сетевого администратора
    0
    Думаю можно попробовать создать плагин для шифрования. В нем как раз не делать шифрования и хранить все красиво. Вот только хранить без шифрования гору паролей мне кажется это критично.