Хроники IT-отдела

В последнее время установить Skype с портов уже не получится. Порт помечен как поврежденный и отказывается ставиться.
На самом деле это обойти очень просто.
Способ подсмотрен на официальном форуме freebsd.org.

Так как чисто для FreeBSD нет скайпа, будем ставить линуховсий скайп. Для того чтобы он заработал, надо чтобы в сисеме был установлен эмулятор linux и в ядро подгружен модуль linux.ko.
Соотвественно, ставим linux_base-f10 и подгружаем модуль.
Установка происходит следующим образом:
Заходим в /usr/ports/distfiles и удаляем если есть skype_static-2.0.0.72-oss.tar.bz2. Затем скачиваем в эту директорию skype_static-2.0.0.72-oss.tar.bz2 с http://kobyla.info/soft/distfiles/skype_static-2.0.0.72-oss.tar.bz2

# wget http://kobyla.info/soft/distfiles/skype_static-2.0.0.72-oss.tar.bz2

После чего идем в /usr/ports/net/skype и редактируем Makefile. В 12ой строке исправляем PORTVERSION=    из 2.0.0.72 в 2.0.0.72-oss, комментируем 28ю строку BROKEN= , затем сохраняемся и выходим.
Теперь можно как обычно собирать из порта.

# make install clean

Во время установки подхватится файл который мы поместили в distfiles и так же могут доставиться некоторые компоненты для эмулятора линукса.

После установки ставим и радуемся.
Чаще всего люди жалуются что не работает микрофон. Вероятно может помочь выкрутить в mixer параметр mic на максимум.

% mixer mic 100

Если вы внимательно изучаете Хайтек новости, то знаете, что мобильных телефонов, смартфонов и планшетных компьютеров под управлением FreeBSD пока нет, большинство устройств работает на Android'е.

1. Просмотреть содержимое BIOS (проверял под FreeBSD)
    
dd if=/dev/mem bs=64k skip=15 count=1 | strings | less

в первых строчках обычно упоминается название материнской платы.

2. Воспользоваться утилитой dmidecode


© Opennet

Одним прекрасным днем скакануло у нас питание, и на моей рабочей машине сдохла мама. Маму то я поменял, но вот фря отказалась грузиться, что вобщем-то верно, т.к. название жесткого диска сменилось с ad10 на ad6. Составим такой план:

Суть проблемы:
- Система не может загрузиться, т.к. мама другая.
- Маму мы поменяли, но жесткий остался старым, поэтому на чудо можно не надеяться.
- FreeBSD не грузится из-за смены названия диска.

Анализ:
- Система грузится и определяет новое оборудование.
- Система виснет при попытке смонтировать корневую файловую систему.
- Жесткий диск определяется как ad6.
- Система пытается примонтировать фс со старого диска, который назывался ad10.

Одной из задач системного администратора является удаленное администрирование различных серверов. На Windows 2003 устанавлиавается и настраивается служба маршрутизации и к ней устанавливается клиентское vpn подключение. Так у меня и было настроено, но т.к. клиент у меня был мой рабочий сервер, то это вызывало некоторые неудбства, например вынос шлюза по умолчанию, в результате у моего dns сервера напрочь терялась способность к пересылке запросов на сервер провайдера :) Стоп, подумаля, у меня же есть моя рабочая лошадка — FreeBSD 8, которая по функционалу ничуть не хуже 2003го сервера. И решил я поднять клиента на ней. Итак, поехали.

Вычитал тут на Хабре про критическую уязвимость FreeBSD 7.1-8.0 позволяющую получить рутовый доступ из-под обычного пользователя. Заметка была опубликована в конце прошлого года, но, тем не менее, нужно проверить, установлен ли патч. Приведу последовательность установки патча:

# cd /usr/src/libexec/rtld-elf/
# fetch http://people.freebsd.org/~cperciva/rtld.patch
# cat rtld.patch | patch -p1
# make && make install && make clean

Не везде он отрабытывает как нужно, поэтому находим в rtld.c  строку 366 и рядом следующий код

unsetenv(LD_ "PRELOAD");
unsetenv(LD_ "LIBMAP");
unsetenv(LD_ "LIBRARY_PATH");
unsetenv(LD_ "LIBMAP_DISABLE");
unsetenv(LD_ "DEBUG");
unsetenv(LD_ "ELF_HINTS_PATH");

удаляем эти строки и вместо них вставляем следующее

if (unsetenv(LD_ "PRELOAD") || unsetenv(LD_ "LIBMAP") ||
unsetenv(LD_ "LIBRARY_PATH") || unsetenv(LD_ "LIBMAP_DISABLE") ||
unsetenv(LD_ "DEBUG") || unsetenv(LD_ "ELF_HINTS_PATH")) {
_rtld_error("environment corrupt; aborting");
die();
}

DoS-уязвимость в squid и squid3

Уязвимые версии: squid 2.x, 3.0, 3.1 [CVE-2010-0308]
Кратковременный DoS возможен при получении некорректных пакетов DNS.

Для защиты от этой и подобных атак следует:
1) обновить Squid;
2) в конфигурационном файле включить директиву ignore_unknown_nameservers;
3) убедиться, что посторонние не могут посылать DNS-пакеты на proxy-сервер.

Подробнее об уязвимости на сайте проекта, там же патчи.
Пользователям Debian GNU/Linux достаточно обновиться, используя apt/aptitude или вручную загрузив и установив исправленные пакеты из репозиториев.

Резервирование и балансировка трафика во FreeBSD

Сергей Супрунов

На форумах, посвящённых системному администрированию, с завидной регулярностью появляются вопросы о том, как обеспечить резервирование или распределение трафика при наличии двух каналов в Интернете. Ввиду отсутствия однозначного ответа проведём собственное исследование.

Итак, вы «раскрутили» своего шефа на подключение локальной сети компании ещё к одному провайдеру. Со временем возникает желание распорядиться этим «богатством» более рационально, нежели определять факт пропадания канала по начинающейся в бухгалтерии панике и вручную переопределять шлюз по умолчанию.

Зададим себе вопрос — а что такое, собственно, промежуточный ЦС и зачем это вообще нужно? Промежуточный ЦС — это некий авторитетный источник, с помощю которого мы можем создавать свои собственные SSL сертификаты в инфраструктуре открытого ключа (PKI). Промежуточный ЦС зависит от корневого ЦС, явлющимся «верхушкой» в цепочке доверия. Основная мысль состоит в том, что если вдруг промежуточный ЦС каким-либо образом окажется скомпрометированным или же будет принято решение отозвать все ранее выданные сертификаты пользователей, то это можно будет легко сделать с помощью корневого ЦС без причинения неудобства пользователю (им нужен будет корневой ЦС, установленный в браузере и т.п.).

Насчет того зачем это нужно — тут много вариантов. В основном, такая схема реализуется из соображений безопасности, да это просто удобно — можно поэкспериментировать с сертификатами никого особо не трогая.

У меня же практическая реализация данной схемы была вызвана необходимостью использования удаленных VPN клиентов (на базе OpenVPN), в связи с чем понадобилось перечисленное абзацем выше. В Интерентах на эту тему много не написано, обычно создается корневой ЦС и он используется для выдачи сертификатов. Но, как кто-то сказал, мы не ищем легких путей. Итак, приступим.

Обеспечение безопасности серверных ОС - одна из важнейших задач системных администраторв. В этой статья я постараюсь коротко, а в тоже время полно, описать процесс установки обновлений безопасновти в FreeBSD. Надо заметить, что процесс этот несколько отличается от того, как мы привыкли делать это, например, в Debian. Сам процесс установки разобьем на несколько этапов:

• Установка настроек прокси, если нужно, командой setenv HTTP_PROXY http://myproxy:myport (подробно как это сделать описывалось в статье по команде make).
• Выполение команды freebsd-update fetch.
• Выполнение команды freebsd-update install.
• Перезагрузка.

Блин, никогда бы не догадался, что запаковывать папку в FreeBSD нужно такой командой:

# tar cf - "papka" | gzip -f9 > "papka.tar.gz"

Вот так. С другой стороны, а кто говорил, что будет легко? :)