![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vitus_wagnerКогда-то давно это были категории живые, мертвые и ушедшие в море. С тех пор изобрели радиосвязь и люди, ушедшие в море уже ничем не отличаются от живых.
Теперь люди делятся на живых, мертвых, и тех у кого разрядился телефон.
(впрочем прежде чем написать про это в DW я впихнул это в "Звезду из созвездия Лебедь"). В качестве части инструктажа по технике безопасности по полевым работам на Марсе.
vitus_wagnerКогда-то давно я поставил себе на ноутбук пакет v2ray. Который на самом деле v2fly. На предмет документацию почитать и вообще разобраться в этих технологиях обфускации.
Документации в пакете не обнаружилось.
Вчера при апгрейде я присмотрелся и обнаружил что оказывается при установке этот пакет автоматически запускает сервер, к которому можно коннектиться по протоколу v_mess и пользоваться им как прокси для всего интернета.
Это называется "бойтесь". Правда, дальнейшее разбирательство показало, что бояться рано. uuid который надо знать, чтобы приконнектиться, генерируется случайным образом postinst скриптом пакета.
Что-то это мне напоминает устроенную вчера на слэшдоте панику насчет того, что более дюжины популярных в США VPN-приложений сделаны в Китае. Тиипа а что вы хотели? Китайцы первыми столкнулись с таким явлением как Большой Государственный Файрволл. Следовательно именно у китайцев есть больше всего наработок по поводу обхода цензуры.
Но поскольку для американца все китайцы на одно лицо, они там не различают китайских диссидентов, китайских гиков, обходящих запреты ровно потому что это запреты и функционеров КПК. Поэтому "если китайское, то стучит непосредственно товарищу Си".
Так же и тут "если запустило сервис не спросясь меня, причем в режиме сервера, а не клиента, значит бэкдор". Ну в общем раз он все равно работал, пришлось настроить.
Вот интересно, а если завернуть openvpn over tcp унутрь этого v2ray который работает в режиме websocket по 443 порту - оно сильно тормозить будет или не очень. На том конце у него будет, естественно openvpn сервер на той же машине, что и веб-сервер в режиме ws proxy и v2ray сервер.
Опять же возникает проблема - как менеджить базу uuid-ов. У меня же толпа ноутбуков и мобильных телефонов.И, естественно, каждому я выдаю свой uuid. Чтобы в случае утери или иной компрометации девайса можно было его того, экскоммуницировать. Пока имя устройства в конфиге сервера комментарием прописываю. Но это требует редактирования конфига сервера при каждом добавлении устройства. Правда, не перезапуска сервисов - я там десяток uuid-ов про запас прописал.
vitus_wagnerЗлые мыши прогрызли парус к байдарке, лежавший на чердаке. Аутригеры на первый взгляд не трогали. Саму байдарку я еще не смотрел, но в ее упаковке вроде прогрызенных норок нет, в отличие от упаковки с парусом.
Крупным планом
Upd: Один аутригер все же прогрызли:
vitus_wagnerОбнаружил в trixie еще две проблемы, кроме вчерашней со сканированием из GIMP 3.0
Надо будет баги зарепортить.
1) Не работает XKBOPTIONS=compose в /etc/default/keyboard. В смысле не долетает, видимо до X-сервера. В качестве workaroun можно определить Multi_key через xmodmap. Но вообще без compose грустно. Не через диграфы же в vim-е знаки препинания вставлять.
xmodmap -e 'keysym Control_R = Multi_key'
в .xsessionrc. Вместо Control_R можно поставить что-нибудь другое но у меня в /etc/default/keyboard было написано именно compose:rctrl
2) Почему-то сегфолтится spacefm при отмонтировании диска, который открыт в текущем окне. Раньше он так не делал а спокойно переходил в ${HOME}. C этим еще немножко поразбираться надо, потому что версии вроде в bookworm и trixie одинаковы, менялись только опции сборки.
vakvitus_wagnerCапгрейдил первую железку (основной рабочий ноутбук, Хару) на Debian 13. Которому до выхода еще месяца полтора, есле не два.
Раньше я как-то всегда начинал рабочие машинки апгрейдить за несколько месяцев до выхода. Это bookworm вышел внезапно в июне, а не в августе, и я тогда все апгрейдил после выхода.
А сейчас вот мне приспичило чтобы у меня libssl-dev был версии 3.5.0, а не 3.0.16. Можно было бы конечно отдельную openssl собрать для экспериментов. Но пока проще так.
Первое что обнаружил - поторопились они там переходить на GIMP 3.0. ох, поторопились. Потому что пакет sane (который в исходниках sane-frontends) и xsane еще не готовы к новому интерфейсу плагинов. Похоже что их никто толком не мейнейнет, в результате чего sane (содержащий xsanimage, scanadf и xcam) из дистрибутива вообще выпал в ходе стабилизации, а xsane как был 0.999 так и остался, даже в sid, хотя для gimp3 нужен 1.0 (который еще не вышел. Но коммиты с поддержкй 3.0 там уже в мастер влиты). Пришлось скачать маленький (103 строки) питоновский скрипт xsanecli.py.
Надо еще разобраться, что они там намутили с перездом от FreeRDP2 к FreeRDP3. Не то чтобы мне был сейчас так уж нужен RDP-клиент. Рабочих виндовых виртуалок куда нужно ходить по RDP у меня сейчас нет. Но там интересные вещи вроде proxy и раздачи своей существующей сессии по протоколу rdp.
Ну и еще выпал из дистрибутива utox. Не больно-то и хотелось. Не прижился он у меня. Можно, конечно, qtox поставить.
vak
vakspamsink минимизацию булевских функций. Тема из далёкого студенчества. Задачка нетривиальная, но давно и глубоко проработанная. Озадачил нею Грока, получил два решения:$ rustc minimize-boolean-function.rs
$ /usr/bin/time ./minimize-boolean-function
Truth table: 0000000000X10000000000000000000000000000000000000000000000000000010X010X010X010X010X010X010X010X010X010X010X010X010X010X010X010X00000000001X0000000000000000000000000000000000001X1X1X1X1X1X1X1X0000000000000000000000000000000000000000000000000000000000000000
8-variable result: ~ABH + ~B~C~DE~FG + A~BCD
6.26 real 6.22 user 0.03 sys
vitus_wagnerПочему-то обновленный с F-Droid-а Fluffychat стал рассказывать что "у меня на телефоне, наверное нет сервисов гугля, и это хорошо для приватнсоти". Сервисы гугля у меня есть, whatsapp-то работает. Возможно это f-droid-овская сборка fluffychat не умеет с ними работать. Это мне не первый раз попадается.
Но в процессе оно рассказало, что существуют альтернативные гуглю системы push-нотификаций. В частности есть ntfy которая вся из себя открытая, и можно свой сервер поставить если очень хочется. Кстати почитав про ntfy я пришел к выводу что значительную часть того, для чего я использую матрикс, оно сделает и само по себе, а не в качестве прибамбаса к матриксу.
Гораздо более интересно то, что еще одним вариантом оперативного получения пуш-нотификаций о приходе сообщений в matrix, является xmpp-клиент conversation. То есть джаббер сам по себе.(ну это в общем понятно - протокол xmpp предполагает наличие постоянно открытого сокета. А матрикс работает через http(s).
Единственное что я пока из всей этой ситуации не понял - это откуда мой синапс узнает что слать нотификации моему мобильному клиенту надо через вот этот ntfy сервер (благо там единственным способом аутентифиации является URL-ка подписки), а в случае xmpp - откуда возьмет аккаунт с когорого можно слать сообщения.
vak
vakvitus_wagnerТут некоторое время назад обнаружились проблем с работой матричных клиентов. Причем всех. Ну как минимум nheko и fluffychat страдали.
Выяснилось что почему-то перестали работать клиентские соединения на 8448 порт. На 443 все работает и после перенастройки клиентов все стало летать.
При этом synapse продолжает слушать на этом порту и openssl s_client к нему вполне коннектится.
Вопрос в том, а должно ли работать в таком режиме s2s. Ау. nataraj, может потестируем?
Синапс вроде не обновлялся. Сейчас packages.debian.org его вообще ни в bookworm-backports, ни в trixie не показывает. Как выйдет trixie, придется, наверное из sid ставить.
У меня, конечно сразу возникло предположение что это злобный мегафон стал резать https-соединения на нестандартные порты. Если так, то s2s в безопасности - серверов никто в мобильном интернете не держит.
vak
vak| Disputed Text/Image | Justification | Comment |
|---|---|---|
| — А что ты мне говорила, когда я писал, что Путина нужно сместить и судить за нарушение Хасавюртовских соглашений? | Призыв к смене власти в России. | Исключить |
| — Потрясающе. То есть ты хочешь сказать, я же и виновата в том, что у тебя нет прежних возможностей плеваться желчью? — Не ты одна. Народ опять взалкал величия и вечных ценностей. Как я еще в девяносто седьмом писал, сравнивая нацистскую Германию и современную Россию, «расцвет национальной культуры даром не проходит». |
Приравнивание СССР к гитлеровской Германии. | Убрать или переформулировать |
| Любить эту страну может только тот, кто любит, когда его, извините, дерут в зад. Коллективно. Повзводно. | Имеются признаки пропаганды нетрадиционных сексуальных отношений | Убрать или переформулировать |
| Просвещали их двое: некий сильно пожилой представитель «Полудня», неприятный франтоватый энтузиаст, и вторым голосом — местный офицерик, будто соскочивший с плаката типа «Дошли до Берлина»: лицо безмозгло восторженное, розовые крепкие щеки, пшеничный чуб лихо выбивается из-под фуражки... в больших городах таких лиц уже не встретишь. | Презрительное отношение к Победе в Великой отечественной войне и советским солдатам | Исключить или переформулировать |
| Лишь через много лет он убедился, что это единственно верная и единственно достойная позиция, что в большом мире лишь она и пользуется уважением. Поэтому так легко он становился своим для совсем, вроде бы, чужих — от прибалтийских якобы ветеранов СС до чеченских так называемых боевиков... | Оправдание чеченских боевиков и прибалтийских неонацистов | Исключить |
| Возлюбил, сказал Славомир, исламских прихвостней жидовни и сидит в одних президиумах то с мусликами, то с какой-нибудь валютной Хакамадой... | Упоминаются реальные люди. В частности Хакамада, которую автор обвиняет в проституции | Удалить |
| Еврей, вечно невинная овечка, как всегда, со скрипочкой, на худой конец — у синхрофазотрона, таджик, ясен перец, то с лопатой, то с мастерком, армянин, натурально, с книжкой (чаще, правда, с чековой — но ведь все равно с книжкой!); а русский, подлюка, снова, из года в год, из века в век, беспробудно — с окровавленным топором и с пеной на губах. | Оскорбление евреев и русских по национальному признаку | Удалить |
| Все диктатуры именно этим и берут — обещают личную безопасность. А потом ежедневно творят такое, что никакая мафия за сто лет не сумеет... — Ну, адаптированная к свободам двадцать первого века шарашка, — сказал Бабцев, примирительно улыбнувшись. — Все-таки времена не те, пришлось им сделать косметические поправки. Но в целом... А как ты думаешь — Путин про вашу контору в курсе? — Ну, знаешь... Он мне как-то не отчитывался. Думаю, вряд ли такое дело могло быть организовано без поддержки с самого верха. |
Обвинения президента Путина в использовании рабского труда ученых | Удалить или переформулировать |
| Всякий хоть немного интеллигентный россиянин впитывает с молоком матери — одна-единственная спецслужба в мире представляет для него опасность, одна-единственная: своя, российская. Наглая, подлая, открыто презирающая и в то же время беззастенчиво использующая все лучшие свойства души человеческой: доброту, верность, порядочность, чувство долга... Люди для нее — мусор. Лагерная пыль. Всегда. При царях, при генсеках, при президентах всенародно избранных... Всегда. | Обвинение спецслужб России в насилии над народом | Удалить или переформулировать |
| А позволь, Микитка, я положу на тебя свою ножку, — пробормотала она. — А он и рад тому: не то что ножку, говорит, но и сама садись на меня. И как увидел он ее белую полную ножку... — Ты эти секс-прихваты брось, — с негодованием прервал он. — Подрасти сперва! — Это же «Вий»!.. |
Сексуальные темы, подросток и ребенок, не достигший возраста согласия | Удалить или переформулировать |
| Недавно в новостях прошло: где-то в Европах боевая организация лесбиянок обнаружилась. Караулили на улицах беременных и били, стараясь вызвать выкидыш. Идеологию придумали: беременность, являющаяся результатом гетеросексуальных контактов, есть вопиющее проявление гомофобии и шовинистической дискриминации сексуальных меньшинств. И суд их чуть не оправдал, что ли; во всяком случае, адвокаты закрутили уж так убедительно, что дальше некуда: беременным, дескать, не следовало выставлять напоказ свое состояние, это было провоцирующее поведение, сами виноваты... | Пропаганда ЛГБТ | Удалить |
| Нет, неужто НАСТОЛЬКО взаправду русскому серьезности и ума может вогнать только казарма? Неужели Вовка там кого-то по-настоящему убил — о, конечно, отцы-командиры ему объяснили, что это враг! — и теперь из-за этого почувствовал себя таким полноценным? Чудовищный народ... | Презрительное отношение к армии и солдатам | Удалить |
| Безответственное манипулирование такими аляповатыми абстракциями, как «Родина-мать», в наше время как раз и воспринимается отрыжкой сталинских времен. | Оскорбительное отношение к символам Победы | Удалить |
| Я, конечно, не утверждаю, что приказ убить известного оппозиционного журналиста Бабцева отдали лично господин Медведев или господин Путин, но весь уклад нынешней жизни в России, вся деятельность преступной власти дает негласный, но явный и однозначный сигнал любому негодяю, у которого чешутся кулаки: убивать честных людей можно... | Обвинения Путина и Медведева в убийствах журналиста Бабцева, прототипом которому послужил некий Бабченко, бежавший на Украину. | Удалить |
vak
vitus_wagnerНашел вот в дистрибутиве пакет libpam-ssh-agent-auth и вот теперь думаю, а повысится ли безопасность моего сервера, если я его буду использовать.
Работает эта штука так - прописывается в /etc/pam.d/sudo и аутентифицирует пользователя желающего сделать sudo, если у него имеется работающий (отфорварженный) ssh_agent с доверенными ключами.
Какому файлу доверять - прописываается в /etc/pam.d/sudo. Можно прописать свой рабочий ~/.ssh/authorized_keys, можно для желающих пользоваться sudo завести отдельный файлик где-нибудь в /etc/.
Оба подхода имеют свои преимущества. Первый - если у меня утек какой-то из приватных ключй ssh, например утерян ноутбук или смартфон, я быстрее вычищу скомпрометированный ключ если он будет лежать в приватном месте. Второй - злоумышленнику недостаточно добраться до моего аккаунта, нужно уже получить рута чтобы прописать свои ключи в этот файлик.
Но главное вообще-то не в этом. Главное в том, что если у нас sudo с паролем, то вообще говоря оно уязывимо к установке keylogger, а вот ssh-вый агент использует криптографию с открытыми ключами, и поэтому не боится перехвата чего либо на стороне сервера.
Но у пароля есть крайне полезное свойство - если на локальной и удаленной машине пароли разные, то когда юзер перепутает окно и наберет не на той машине, пароль не подойдет и команда не выполнится. Вероятность перепутать окно, несмотря на то что prompt-ы разноветные и содержат имя машины - намного выше вероятности хакерской атаки.
Хотя вот на работе жил я с NOPASSWD в sudoers (там было слишком много серверов и контейнеров, чтобы везде пароли расставлять) и ничего.
P.S. Соберетесь настраивать у себя, не забудьте прописать в /etc/sudoers, что environment кирпичом не чистят переменную SSH_AUTH_SOCK из environment удалять не надо. А то не найдет вашего агента.
X-Post to LJ
vitus_wagnerПредставился фонтан под названием "Душераздирающее зрелище".
Представляет собой фигуру Самсона, опутанного душевым шлангом и раздирающего этому шлангу разбрызгивающий наконечник. Из наконечника, естественно, бьют струи воды.
vitus_wagner - Люди делятся на три категорииvitus_wagner - v2rayvitus_wagner - Парус, сожрали парус!vitus_wagner - Еще про trixievak - V JEPA 2vitus_wagner - Поиграем c Trixievak - The Byte Book Of Pascalvak - Quine–McCluskey algorithmvitus_wagner - О push нотификацияхvak - Как запустить VAX VMS на Raspberry Pivak - Как молоды мы былиvak - Последний адрес: выдолбленный пеньvak - Интересный поворотvitus_wagner - Фигня с матрицейvak - На пыльных тропинках далёких планетvak - Они называют это литературойvak - Технологическая катастрофаvitus_wagner - Password or no passwordvak - Запускаем мак на микроконтроллереvitus_wagner - Душераздирающее зрелищеtimeasmymeasurekrja
