Nie chodzi tutaj o miejsce na strone, tylko bardziej o bezpieczne miejsce na backup albo cos w tym stylu.
Naturalnie mozna sobie kupic bezpieczny serwer dedykowany i z glowy. Zeby bylo taniej mozna kupic serwer wspoldzielony, w koncu zadnych specjalnych programow nie chcemy uruchamiac.

UWAGA: Nalezy zwracac nie tylko na stosunek pojemnosci do ceny naszego dysku internetowego, nalezy rowniez przyjrzec sie jego szybkosci ! Wiekszosc tanich hostingow do stron znajduje sie w USA, przez co transfery sa zwykle biedne.

Hosting jako backup

Bardzo tanie oferty serwerow wspoldzielonych to np (porownane sa najtansze oferty):

• http://www.midphase.com/website-hosting/
  nieskonczonosc miejsca
  2,95 USD/miesiac
• http://www.hostmonster.com/
  nieskonczonosc miejsca
  6,95 USD/miesiac (chwilowa promocja 5,95$/miesiac)
• http://www.dreamhost.com/
  nieskonczonosc miejsca
  8,95 USD/miesiac
• http://www.godaddy.com/
  10Gb miejsca
  1,66 USD/miesiac (dokladniej 4,99$/3 miesiace)
• http://www.ovh.pl/serwer_wirtualny/
  25Gb miejsca
  9,75 PLN (~3,5 USD)/miesiac
  serwerownia we Francji kolo Paryza, wiec duzo lepsze transfery niz hostingi z USA

Specjalne rozwiązania do backupu / przechowywania plikow

Mozna zawsze zainwestowac w cos specjalnie zaplanowanego do backupu:

• http://aws.amazon.com/s3/
  nie ma ograniczenia miejsca, placisz za to co uzywasz
  0,18 USD/1 Gb (w Europie)
  + 0,10 USD/1Gb wgranych danych
  + 0,17 USD/1 Gb sciagnietych danych
• http://www.idrive.com/
  150Gb miejsca
  4,95 USD/miesiac (49,50 USD/miesiac)
• http://www.box.net/
  5Gb miejsca
  9,99 USD/miesiac
• http://www.filesanywhere.com/
  5Gb miejsca
  7,95 USD/miesiac, cennik elastyczny !
• https://www.dropbox.com/
  50Gb miejsca
  9,99 USD/miesiac
• http://www.syncplicity.com/
  50Gb miejsca
  9,99 USD/miesiac
• https://www.elephantdrive.com/
  nieskonczonosc miejsca
  9,99 USD/miesiac (Home Plus Edition)
  na 4 komputery, do 10 wersji wstecz
• http://www.adrive.com/
  50Gb miejsca
  6,95 USD/miesiac (Signature)
  dostęp przez WebDav (rzuc okiem nizej na darmowa wersje bez WebDav)

Wiekszosc firm oferuje darmowe konta o wielkosci 1-2Gb oraz ograniczenie na wielkosc pliku, ale to zwykle nie jest wystarczajace.
UWAGA: Niektore firmy oferuja mozliwosc wspoldzielenia i wspolpracy na plikach domyslnie, a niektore kaza sobie za to placic. Rowniez ilosc oddzielnych uzytkownikow przypisanych do konta jest rozna, zwykle 1. Czasami nie mozna w ogole dodac uzytkownika.

Darmowa przestrzeń dyskowa itp.

A mozna rowniez atakowac na cos darmowego…

• GSpace czyli uzywanie skrzynki Google Mail jako przestrzeni dyskowej
  ok 7Gb miejsca, ale pojedynczy plik moze miec chyba tylko 10Mb
  dosc szybkie, latwe w linuxie za pomoca GoogleFS, w Windzie ???
  chyba nie jest zgodne z zasadami uzytkowania Google ;D
• Live Mesh (Microsoft)
  5Gb miejsca
  mozliwosc wspolpracowania i wspoldzielenia plikow
  specjalny program do ciaglej synchronizacji plikow
• SkyDrive (Microsoft)
  25Gb miejsca
  dostęp jedynie przez przeglądarkę ! brak webdav, brak scp, brak ftp !
  w windzie mozna sie uzyc plugina do Total Commandera – SkydriveWFX
• http://www.adrive.com/
  50Gb miejsca (Basic)
  dostęp jedynie przez przeglądarkę ! brak webdav, brak scp, brak ftp !
  jak widac wyzej, dostep przez WebDav kosztuje tutaj 6,95 USD/miesiac

Zakończenie

Jak widac wybor jest trudny. Ja zaopatrzylem sie w dedykowany serwer z raidem 750Gb i narazie zyje
Ale podejrzewam ze niektorym chodzi o jakies tansze rozwiazania, dlatego zrobilem to zestawienie.

Porownanie innych backupow online na Wikipedii:
http://en.wikipedia.org/wiki/List_of_online_backup_services

• hasla w bazie danych nie sa szyfrowane !!! w ogole !!!
• lista banow zawiera tylko 20 pozycji
  przy zapchaniu listy, nowe bany nie sa dodawane (nikt nie jest banowany)

Pierwszy problem jest bardzo prosty do rozwiazania, trzeba bardzo uwazac na swoja baze danych uzytkownikow (zwrocic uwage na to kto moze, a kto nie moze tego pliku czytac, kto ma dostep do konta na ktorym biega TS itp).

TeamSpeak AntiFlood

Drugi problem, ktorym zajme sie doglebniej, jest bardzo czestym powodem problemow z serwerem. Mianowicie skuteczne floodowanie serwera uniemozliwa jego prace (20 banow zapelnia sie bardzo szybko), a jesli nawet serwer moze pracowac, to utrudnione jest korzystanie z niego (pelno komunikatow o wchodzacych i wychodzacych uzytkownikach). W najgorszym (ale wcale nie rzadkim) przypadku, serwer zawiesza sie.

Naturalnie mozna pisac skrypty do perl_mod, ale perl_mod potrafi skutecznie zezrec duzo mocy serwera. Najlepiej skorzystac z narzedzi ktore mamy juz dostepne.

iptables prosty TeamSpeak AntiFlood

Wpisanie ponizszych linijek do tablic iptables, spowoduje ze problem floodow prawie przestanie istniec:
iptables -A INPUT -p udp --dport 8767 -m length --length 208 -m state --state NEW -m recent --set --name TS
iptables -A INPUT -p udp --dport 8767 -m recent --update --seconds 30 --hitcount 3 --rttl --name TS -j DROP
Pakiet o dlugosci 208 (wielkosc pakietu logowania) przychodzacy na port UDP 8767 (standardowy port TS), jest zliczany. Jesli z jednego adresu IP przyjda 3 takie pakiety w ciagu 30 sekund, dalsze pakiety sa odrzucane (na okres 30 sekund od czasu przyjscia ostatniego pakietu).
UWAGA: Kazdy kolejny pakiet, przychodzacy w czasie bana odnawia czas bana ! Czyli floodujac bez przerwy przez np 10 minut, przejda jedynie 2 pierwsze pakiety, a potem reszta bedzie blokowana. Ban zostanie zniesiony, jesli przez 30 sekund nie przyjdzie zaden pakiet logowania z danego adresu IP.

iptables zrzucanie duzych pakietow

Wiem ze niektorzy maja wielka radoche z psucia cudzych zabawek. Niestety nie za bardzo istnieje mozliwosc doprowadzenia takiej osoby do pionu, taki wiec w pierszej kolenosci nalezy sie odpowiednio bronic.
Studiujac skrypty do floodowania TS ktore znalazlem w internecie, od razu rzucilo mi sie w oczy ze skrypty te wysylaja pakiety losowej wielkosci od 1 do 65k. Jest to oczywisce poniewaz wiekszych pakietow nie da sie prosto przeslac, a im wiekszy pakiet tym wiecej zajmuje serwerowi czasu, zeby go przejrzec i odpowiedziec.

TeamSpeak nie przesyla pakietow wiekszych niz 1k !!! (z moich badan wynika ze te pakiety nigdy nie sa wieksze niz 600, ale zalozmy pewien margines bezpieczenstwa). Linijka:
iptables -A INPUT -p udp --dport 8767 -m length --length 1000: -j DROP
zalatwia sprawe duzych pakietow. Wszystkie pakiety wyslane na port UDP 8768 wieksze niz 1000 sa odrzucane. W ten sposob serwer TS nie otrzymuje tych pakietow i nie musi sie z nimi meczyc.

iptables logowanie floodow

Aby moc przegladac logi, kiedy ktos nas floodowal, nalezy dodac jedna linijke kodu. Tak wiec cale zapytanie bedzie wygladac nastepujaco:
iptables -A INPUT -p udp --dport 8767 -m length --length 208 -m state --state NEW -m recent --set --name TS
iptables -A INPUT -p udp --dport 8767 -m recent --update --seconds 30 --hitcount 3 --rttl --name TS -m limit --limit 1/hour -j LOG --log-prefix "TS_flood "
iptables -A INPUT -p udp --dport 8767 -m recent --update --seconds 30 --hitcount 3 --rttl --name TS -j DROP
W logach systemu znajdziemy odpowiednie wpisy. Fragment –limit 1/hour oznacza ze logowanie okreslonego flooda bedzie jedynie raz na godzine. Jesli usuniemy ten fragment, logowany bedzie kazdy pakiet ktory spowoduje flooda i w ten sposob zapchamy cale logi serwera.

iptables TeamSpeak AntiFlood na okreslony adres IP

Jesli nasz serwer ma pare adresow IP, a my chcemy filtrowac tylko jeden (np TS chodzi na jednym z nich), to nalezy dodac opcje -d. Naturalnie w zmiennej IPADDR nalezy podac swoj adres IP.
IPADDR=127.0.0.1
iptables -A INPUT -d $IPADDR -p udp --dport 8767 -m recent --update --seconds 30 --hitcount 3 --rttl --name TS -j DROP
iptables -A INPUT -d $IPADDR -p udp --dport 8767 -m length --length 208 -m state --state NEW -m recent --set --name TS
Dla bardziej zaawansowanych wpisow, sugeruje przeczytac manual od iptables.

outlook

Przy filtrowaniu pakietow logowania, mozna by, oprocz wielkosci pakietu, rowniez sprawdzac tresc pakietu. W czasie wielodniowych pomiarow, jedynie pakiet logowania mial wielkosc 208 (razem z naglowkami itp), tak wiec wydalo mi sie to zbedne.
Tak czy owak, pakiet logowania zawiera w sobie bardzo charakterystyczny wpis „TeamSpeak” ktory by ulatwil jego odfiltrowanie, ale to tylko dla nadgorliwych.

Administrujac sobie spokojnie Ubuntu jaunty, natrafilem na nastepujacy problem. Mianowicie stwierdzilem ze bede robil porzadny backup.
Padlo na duplicity. Na pozostalych kilku serwerach (raczej Debiany) wszystko poszlo od razu z paczki. Instalacja na ubuntu tez nie jest specjalnym problemem, ale proba uruchomienia zakonczyla sie takim tekstem:

File "/usr/lib/python2.6/dist-packages/duplicity/gpg.py", line 25, in <module>
    import GnuPGInterface, misc, log
ImportError: No module named GnuPGInterface

Naturalnie pakiet python-gnupginterface istnial i byl zainstalowany.

Na pozostalych stabilnych serwerach mam Pythona 2.5, a na niestabilnym Ubuntu jest juz tez 2.6. Zaczalem badac w tym kierunku. Faktycznie, okazalo sie ze Python 2.5 widzi ten pakiet i jest ok, ale Python 2.6 nie widzial tego pakietu w liscie help -> modules.

Jednym z rozwiazan byloby uruchamianie duplicity przez pythona 2.5… niestety tam pojawily sie jakies problemy, bo chyba swiezutki duplicity wymaga swiezutkiego pythona.

Przeczesalem internet i rozwiazanie okazalo sie proste. Nalezy w konsoli wpisac:

export PYTHONPATH='/var/lib/python-support/python2.5'

a nawet lepiej mozna dodac te linijke w /etc/profile, wtedy problem powinien byc z glowy. Spowoduje to uzywanie w Pythonie 2.6 specyficznych modulow z 2.5 (wyglada po prostu na to ze niektore moduly z paczek lubia sie instalowac w to miejsce).

Duplicity

Tutaj chce tylko wspomniec ze duplicity jest swietnym programem do backupowania. Jest szybki, banalny w obsludze i bezpieczny (szyfrowanie plikow itp). Mozna robic backupy inkrementalne jak i pelne. Polecam.

Czy to jest problem NISa z przekazywaniem hostow, albo ich resolvovaniem ? W dziwny sposob wszystko zalezy od libc6. Przy tym updacie i nis i libc6 zostaly zupgradowane. Tak czy owak, problem da sie ominac, bez potrzeby downgradowania (musialem miec wszystko aktualne dla KDE4 i OO3 ).

Warunki

Co zrobilem zeby uzyskac takiego erora:

• Debian linux, naturalnie Sid ;D (ale w googlach widzialem tez takie cos na SuSe)
• swiezy update/upgrade okolo 20 lutego
• jedna siec, ze skonfigurowana domena i NIS
• hasla, hosty itp przekazywane przez NIS

Efekt

Przy wydaniu komendy ssh komputer2 (przy czym nazwa komputer2 jest nazwa z pliku hosts przekazanego przez NIS). Problem wystepuje rowniez w Thunderbird ktory odwoluje sie do adresu z pliku hosts przez NIS, albo np OpenOffice przy odwolywaniu sie do drukarki sieciowej… tak samo jak ssh, pozostale programy wykrzaczaja sie na starcie i nie daja sie uruchomic.

user@komputer:/home/userl# ssh komputer2
*** glibc detected *** ssh: free(): invalid pointer: 0x00007fb5b8deee9d ***
======= Backtrace: =========
/lib/libc.so.6[0x7fb5b652d1b8]
/lib/libc.so.6(cfree+0x76)[0x7fb5b652ecf6]
/lib/libnss_nis.so.2(_nss_nis_gethostbyname4_r+0x1b6)[0x7fb5b532f616]
/lib/libc.so.6[0x7fb5b6574ad6]
/lib/libc.so.6(getaddrinfo+0x1cd)[0x7fb5b6576d5d]
ssh[0x7fb5b8150a69]
ssh(main+0xef8)[0x7fb5b8146fd8]
/lib/libc.so.6(__libc_start_main+0xe6)[0x7fb5b64d95a6]
ssh[0x7fb5b8145a99]
======= Memory map: ========
7fb5b0000000-7fb5b0021000 rw-p 7fb5b0000000 00:00 0
7fb5b0021000-7fb5b4000000 ---p 7fb5b0021000 00:00 0
7fb5b5115000-7fb5b512b000 r-xp 00000000 08:01 1537099                    /lib/libgcc_s.so.1
7fb5b512b000-7fb5b532b000 ---p 00016000 08:01 1537099                    /lib/libgcc_s.so.1
7fb5b532b000-7fb5b532c000 rw-p 00016000 08:01 1537099                    /lib/libgcc_s.so.1
7fb5b532c000-7fb5b5336000 r-xp 00000000 08:01 1537377                    /lib/libnss_nis-2.9.so
7fb5b5336000-7fb5b5535000 ---p 0000a000 08:01 1537377                    /lib/libnss_nis-2.9.so
7fb5b5535000-7fb5b5537000 rw-p 00009000 08:01 1537377                    /lib/libnss_nis-2.9.so
7fb5b5537000-7fb5b567c000 r-xp 00000000 08:01 981431                     /usr/lib/libdb-4.6.so
7fb5b567c000-7fb5b587b000 ---p 00145000 08:01 981431                     /usr/lib/libdb-4.6.so
7fb5b587b000-7fb5b5880000 rw-p 00144000 08:01 981431                     /usr/lib/libdb-4.6.so
7fb5b5880000-7fb5b5881000 rw-p 7fb5b5880000 00:00 0
7fb5b5881000-7fb5b5886000 r-xp 00000000 08:01 982160                     /usr/lib/libnss_db-2.2.3.so
7fb5b5886000-7fb5b5a85000 ---p 00005000 08:01 982160                     /usr/lib/libnss_db-2.2.3.so
7fb5b5a85000-7fb5b5a86000 rw-p 00004000 08:01 982160                     /usr/lib/libnss_db-2.2.3.so
7fb5b5a86000-7fb5b5a91000 r-xp 00000000 08:01 1537401                    /lib/libnss_files-2.9.so
7fb5b5a91000-7fb5b5c90000 ---p 0000b000 08:01 1537401                    /lib/libnss_files-2.9.so
7fb5b5c90000-7fb5b5c92000 rw-p 0000a000 08:01 1537401                    /lib/libnss_files-2.9.so
7fb5b5c92000-7fb5b5ca8000 r-xp 00000000 08:01 1537357                    /lib/libpthread-2.9.so
7fb5b5ca8000-7fb5b5ea7000 ---p 00016000 08:01 1537357                    /lib/libpthread-2.9.so
7fb5b5ea7000-7fb5b5ea9000 rw-p 00015000 08:01 1537357                    /lib/libpthread-2.9.so
7fb5b5ea9000-7fb5b5ead000 rw-p 7fb5b5ea9000 00:00 0
7fb5b5ead000-7fb5b5eaf000 r-xp 00000000 08:01 1537095                    /lib/libkeyutils-1.2.so
7fb5b5eaf000-7fb5b60ae000 ---p 00002000 08:01 1537095                    /lib/libkeyutils-1.2.so
7fb5b60ae000-7fb5b60af000 rw-p 00001000 08:01 1537095                    /lib/libkeyutils-1.2.so
7fb5b60af000-7fb5b60b6000 r-xp 00000000 08:01 983873                     /usr/lib/libkrb5support.so.0.1
7fb5b60b6000-7fb5b62b6000 ---p 00007000 08:01 983873                     /usr/lib/libkrb5support.so.0.1
7fb5b62b6000-7fb5b62b7000 rw-p 00007000 08:01 983873                     /usr/lib/libkrb5support.so.0.1
7fb5b62b7000-7fb5b62b9000 r-xp 00000000 08:01 1537393                    /lib/libdl-2.9.so
7fb5b62b9000-7fb5b64b9000 ---p 00002000 08:01 1537393                    /lib/libdl-2.9.so
7fb5b64b9000-7fb5b64bb000 rw-p 00002000 08:01 1537393                    /lib/libdl-2.9.so
7fb5b64bb000-7fb5b6604000 r-xp 00000000 08:01 1537320                    /lib/libc-2.9.so
7fb5b6604000-7fb5b6804000 ---p 00149000 08:01 1537320                    /lib/libc-2.9.so
7fb5b6804000-7fb5b6807000 r--p 00149000 08:01 1537320                    /lib/libc-2.9.so
7fb5b6807000-7fb5b6809000 rw-p 0014c000 08:01 1537320                    /lib/libc-2.9.so
7fb5b6809000-7fb5b680e000 rw-p 7fb5b6809000 00:00 0
7fb5b680e000-7fb5b6811000 r-xp 00000000 08:01 1537446                    /lib/libcom_err.so.2.1
7fb5b6811000-7fb5b6a10000 ---p 00003000 08:01 1537446                    /lib/libcom_err.so.2.1
7fb5b6a10000-7fb5b6a11000 rw-p 00002000 08:01 1537446                    /lib/libcom_err.so.2.1
7fb5b6a11000-7fb5b6a35000 r-xp 00000000 08:01 983860                     /usr/lib/libk5crypto.so.3.1
7fb5b6a350Przerwane

Naturalnie numery pointerow i adresy w pamieci sa za kazdym razem inne.

Rozwiazanie

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         files nis
group:          files nis
shadow:         files nis

hosts:          nis files dns [NOTFOUND=return] mdns4_minimal mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Widzimy ze plik hosts jest priorytetowo przegladany przez NIS. Zmieniamy ta linijke na:

hosts:          files dns [NOTFOUND=return] nis mdns4_minimal mdns4

Naturalnie na kazdy z kilkunastu komputerow nie kopiowalem pliku hosts, wiec aby resolvowac nazwy lokalne uzywam lokalnego dnsa (dnsmasq) na serwerze. Ustawiam zeby komputer kliencki nie korzystal z NISa tylko ze zwyklego DNSa.

Klopot rozwiazany ! Dziwny eror juz nie wystepuje i mozna dalej cieszyc sie spokojem

Inne info na ten temat

http://forums.opensuse.org/network-internet/406690-nis-host-resolution-bug.html

Oczywiste jest ze P2P rownowazy obciazenie sieci rozkladajac sie na wiele zrodel, awaria jednego ze zrodel nie wplywa na mozliwosc sciagniecia danych itd… ale potem pojawia sie RapidShare itp. ktory znowu wraca do teoretycznie malo efektywnego modelu klient-serwer. Najwidoczniej oni musza cos na tym zarabiac, skoro sie rozwijaja…

Sciaganie z RapidShare daje duza wieksze bezpieczenstwo, poniewaz jest nawiazywane jedno zwykle polaczenie z serwerem. Przy sieciach P2P pierwszy lepszy firewall, NAT itp. moga calkowicie zablokowac mozliwosc korzystania z takich sieci.

Kazdy zna problem RapidShare… pojedyncze pliki mozna sciagac co ok 15-20 min + ok 60 sekund oczekiwania bezposrednio przed sciagnieciem. I tu sie pojawia SlimRat…

Linux

Skrypt jest napisany do Linuxa, wiec uruchomienie go jest banalne. Wymagane pakiety:

• perl
• libwww-mechanize-perl (wersja konsolowa)
• libgtk2-gladexml-perl (wersja okienkowa)
• wget
• slimrat (-> slimrat)

Debian

W Debianie sprawe z potrzebnymi programami rozwiazuje:
apt-get install perl libwww-mechanize-perl wget

Potem wystarczy sciagnac slimrata. Dziala bardzo prosto, obsluga intuicyjna.

Windows

W Windowsie trzeba sie jak zwykle troche pomeczyc, ale na pewno warto

Krok po kroku… 

• perl (-> Active Perl)
  Najbardziej popularne to Strawberry Perl i Active Perl.
  Strawberry Perl mial u mnie problem z instalacja pakietu WWW:Mechanize, tak wiec sugeruje uzyc Active Perl.
• Instalujemy odpowiednie pakiety do perla

  perl -MCPAN -e "install Getopt::Long, LWP::UserAgent, Term::ANSIColor, WWW::Mechanize"

  Moze to chwile potrwac (moja instalacja sie wiesza na t\cookies, mozna przerwac bo wtedy juz wszystko dziala).

• slimrat (-> slimrat)
  Sciagamy skrypt i w pliku slimrat zmieniamy „wget” na „wget.exe” (chyba w dwoch miejscach).
• wget (-> Bart Puype wget)
  Binarka 1.11.4 z tej strony http://gnuwin32.sourceforge.net/packages/wget.htm NIE DZIALA
  Wget moze byc w prawie dowolnej wersji. Sciagnij i wrzuc go do katalogu slimrata.
• Tworzymy plik slimrat.bat z zawartoscia:

  perl slimrat -l lista.txt

• Tworzymy plik lista.txt z lista plikow do sciagniecia z RapidShare (kazdy plik w nowej linii).
• Odpalamy slimrat.bat !!!

Windowsowe kwestie sniki-triki:

• Spodziewam sie ze jestes zwyklym windowsowym userem, tak wiec do edytowania plikow tekstowych uzywasz Notepada (Notatnika). Nie rob tego w tym wypadku, poniewaz plik byl napisany w Linuxie, a Notatnik inaczej zapisuje i odczytuje znaki konca linii (czyli caly plik zobaczysz bez przelaman linii).
  Do edycji uzyj Notepad++ albo prosciej WordPada.
• Jesli przy wywolywaniu komendy perl z konsoli, wyskakuje ze polecenie nie jest znane, nalezy w pliku slimrat.bat wpisac absolutna sciezke do pliku perl.exe, np. C:\Perl\bin\perl.exe
• Jesli skrypt sie uruchamia, ale po odczekaniu czasu wyswietla ze wget nie jest znanym poleceniem, przekopiuj plik wget.exe do tego samego katalogu co slimrat
• Jesli wget jest tam gdzie ma byc i skrypt sie uruchamia i czeka, ale zamiast sciagac wyswietla cos w stylu:
  Unsupported scheme. Download failed.
  Nalezy jeszcze raz poprawic plik slimrat, w linii 88 zamiast 

  "'$fileurl'"

  usunac niepotrzebne

  '

  i powinno byc 

  "$fileurl"

   

Powodzenia

Inne stronki na ktorych dziala SlimRat: DepositFiles, Direct, FastLoad, Leteckaposta, MediaFire, RapidShare, YouTube.

• jak dysk sie sypnie
• trzeba zresetowac haslo „Windoministratora”
• wcielo partycje
• boot manager znikl
• …

Chcialoby sie miec jakiegos podrecznego linuxa… ale jak to czesto bywa, nie chce nam sie go instalowac, bo potrzebujemy tylko jedno malutkie narzedzie ktore jest akurat tylko w linuxie (chyba to nikogo nie dziwi ;D).

Wtedy z pomoca przychodzi nam plytka LiveCD, czyli w pelni dzialajacy system linux do zbootowania z CD/DVD/USB/karta_pamieci bez potrzeby instalacji.

Niestety, tak samo jak dystrybucji Linuxa jest wiele, LiveCD tez jest wiele. Jak wybrac podreczny LiveCD ktory jest wyspecjalizowany w tym co chcemy robic…

Co to jest LiveCD -> wikipedia

Jaki LiveCD do czego ?

Dystrybucje ogolne

• Knoppix

  http://www.knoppix.net/

  najpopularniejszy ogolny LiveCD (bazuje na debianie), dostepny w wielu wersjach jezykowych

• Debian LiveCD project

  http://debian-live.alioth.debian.org/

  zwykly debian, przydatny do przekonywania kogos do linuxa, przyspiesza instalacje/reinstalacje

• Ubuntu LiveCD

  https://help.ubuntu.com/community/LiveCD

  kolejna standardowa dystrybucja w wersji Live

Dystrybucje narzedziowe/”naprawcze”

• System Rescue CD

  http://www.sysresccd.org/Main_Page

  przydatny podreczny zestaw narzedzi do naprawy kompa

Mini dystrybucje (trudno nazwac je LiveCD )

• Damn Small Linux

  http://www.damnsmalllinux.org/

  bardzo maly, z wieloma podstawowymi przydatnymi narzedziami, odpali prawie na wszystkim

Dystrybucje… wyspecjalizowane

• Arudius

  http://www.fosstools.org/

  do testowania bezpieczenstwa sieci (zarowno kablowej jak i WiFi), zawiera np. popularny AirCrack

• PHLAK – Professional Hackers Linux Assault Kit

  http://sourceforge.net/projects/phlakproject/

  kolejny przydatny pakiet narzedzi

• BackTrack

  http://www.remote-exploit.org/backtrack.html

  popularne narzedzie do wardrivingu… ehem glownie do testowania zabezpieczen sieci

WebDAV Konqueror

Aby uzyc WebDAVa w Konquerorze nalezy podac adres:

• webdav://www.costam.nic/webdav/

Po potwierdzeniu loginem i haslem mozemy juz edytowac zawartosci folderu WebDAV.

Mountowanie WebDAV

Dla uproszczenia calego procesu i latwego dostepu do webdawa z dowolnej linuxowej aplikacji, katalog mozna zamountowac. Np.:

mount -t davfs http://www.costam.nic/webdav /mnt/dav

Potrzebujemy do tego pakiet davfs. Mozna to jeszcze bardziej zautomatyzowac tworzac wpis w fstab.

Kilka dni temu sieć została zaatakowana przez inwazje słabych kluczy. W skrócie chodzi o to że klucze prywatne generowane przez wersje openssl od 2006-09-17 do 2008-05-13 najprawdopodobniej są słabe.

Słabe klucze ?… mianowicie zamiast faktycznych niezliczonych kombinacji, jedynym zrodlem losowosci byl PID procesu generujacego klucz, czyli faktycznych kombinacji bylo 32768 (15 bit). Moze ta liczba wydawac sie duza, ale w dzisiejszych czasach 512 bitowy klucz jest troche slaby: 2⁵¹² = 1.34078079 × 10¹⁵⁴.
Nie uzywam zwrotu „słaby klucz” w stricte definicji, poniewaz sam problem nie dotyczy algorytmu, jedynie losowosci ziarna (random seed) generatora liczb pseudolosowych.

Ten problem mogł spotkać wszelkie rodzaje kluczy generowane przez openssl, ssh-keygen albo openvpn –keygen. Tak wiec w kazdym wypadku warto poczytac i sprawdzic czy wszystko gra.

• http://www.debian.org/security/2008/dsa-1571
• http://www.debian.org/security/key-rollover/
• http://wiki.debian.org/SSLkeys
• http://metasploit.com/users/hdm/tools/debian-openssl/
  (pomocna strona, zawiera blacklisty fingerprintow w roznych formatach i cale pakiety wygenerowanych kluczy, jak i rozne programy do testowania)

Zagrożenie

Co to znaczy dla zwyklego zjadacza chleba… zasadniczo nic
Ale jesli uzywasz bezhaslowego logowania sie na shella, dostep do konta mozna uzyskac w ok 20 minut. Drugim zagrozeniem jest to, ze ktos moze sie podszyc pod twoj komputer, przedstawiajac sie falszywym (ale takim samym jak twoj) kluczem. Jest to raczej glownie problem dotyczacy bezpiecznych certyfikatow do szyfrowania lub bezpiecznej identyfikacji serwera.

Tak wiec, w kazdym wypadku nalezy dziure zalatac.

Ratunek

Naturalnie pierwszym krokiem jak zawsze w takich sytuacjach jest zupgradowanie systemu:
apt-get update
apt-get upgrade
(dokładnie chodzi o apt-get install openssl openssh-server).

Krytycznym pakietem wymagajacym zupgradowania jest naturalnie openssl, a drugim w kolejce jest openssh-server. Zupgradowanie openssl poprawia blad blednie wygenerowanych kluczy, oraz automatycznie generuje nowy, silny klucz. Nowa wersja openssh-server natomiast, po pierwsze uniemozliwia bezhaslowe logowanie sie slabymi kluczami (zawartymi w specjalnych blacklistach), po drugie zaopatruje nas w narzedzie ssh-vulnkey, służące do sprawdzania istniejących kluczy.

Aby sprawdzic klucze pojedynczego uzytkownika, mozna po prostu uruchomic ssh-vulnkey. Mozna rowniez sprawdzic wszystkie klucze na serwerze (mieszczace sie w standardowych miejscach), wywolujac z konta roota polecenie ssh-vulnkey -a.

UWAGA: Wg autora, skrypt sie czasami moze mylic. Tzn czasami czasami ma false-positives, a czasami false-negatives.

Not blacklisted: 1024 xx:xx:[...]:xx:xx /etc/ssh/ssh_host_dsa_key
Unknown (no blacklist information): 4096 xx:xx:[...]:xx:xx /home/costam1/.ssh/id_rsa.pub
COMPROMISED: 2048 xx:xx:[...]:xx:xx /home/costam2/.ssh/authorized_keys

Ostatni klucz nalezy natychmiast wymienic/usunac, w szczegolnosci jesli jest to authorized_keys, sluzacy do logowania bezhaslowego. Pierwszy klucz jest najprawdopodobniej dobry i raczej nie trzeba go wymieniac, chyba ze jest sie pewnym ze zostal utworzony na trefnym systemie (posiadajacym wspomniany blad openssl).
Jednak co zrobic ze srodkowym, swiezo utworzonym kluczem ? Czy on jest zly czy dobry ?
Klopot w tym ze oficjalna blacklista zawiera jedynie rodzaje kluczy DSA 1024 i RSA 2048, jako że są najpopularniejsze. Jednak co jeśli mam klucz RSA 4096 ? Lub stary RSA 1024 ?
(Aby uniknać pytań wspomne, że DSA wystepuje tylko jako 1024 bitowy.)

Rozwiązanie jest niby proste… trzeba wygenerowac liste trefnych kluczy, na blednym systemie i wgrac ja do ssh-vulnkey. Nie moglem takiej listy znalezc w internecie, dlatego zdecydowalem sie na wyciagniecie fingerpintów z innych wygenerowanych list (http://metasploit.com/users/hdm/tools/debian-openssl/).

Tak więc oto blacklisty do użycia z programem ssh-vulnkey (openssh-client 1:4.7p1-9):

1. Oficjalne
   • blacklist.DSA-1024.bz2
   • blacklist.RSA-2048.bz2
2. Utworzone na architekturze x86 (utworzone z plikow metasploit)
   • blacklist.RSA-1024.bz2
     
   • blacklist.RSA-4096.bz2
3. Utworzone na architekturach x86 i amd64 (utworzone z plikow Max Bowsher) ZALECANE
   • blacklist.RSA-1023.bz2
   • blacklist.RSA-1024.bz2
   • blacklist.RSA-4096.bz2
   • RSA-8192… podobno 4096 to juz paranoja

Należy je umieścic w /etc/ssh/ obok pozostałych oficjalnych plikow. Ważne jest żeby nie zmieniać nazwy.
Po tym, program ssh-vulnkey od razu powinien odpowiednio rozpoznawac pozostale klucze.

Not blacklisted: 4096 xx:xx:[...]:xx:xx /home/costam3/.ssh/authorized_keys

Ja juz jestem zabezpieczony, przy okazji pozamienialem klucze userow i serwerow na 4kbit…

Powodzenia !

AKTUALIZACJA: Wyszla nowa wersja openssh-blacklist, o numerze 0.1.2. Mozna zaczekac az pojawi sie w pakietach, albo od razu sciagnac stad. Wyglada na to ze format list sie zmienil, zaczekam na rozwoj sytuacji i aktualizuje swoje pakiety.

• Apt-Get

Aby móc spokojnie instalować nowe pakiety należy poustawiać źródła apt-geta. Wiemy że debian/ubuntu występuje w 3 odmianach, „stable” (stabilna), „testing” (testowana) i „unstable” (niestabilna, rozwijana). Jest jeszcze odmiana experimental dla twardzieli ;D
Ja z natury jade na unstable, u ludzi instaluje testing, a na poważnych serwerach mam naturalnie stable. Tak więc żeby mieć przjemny, raczej dobrze działający system należy wpisać następujące linie do /etc/apt/sources.list:
deb http://security.debian.org/ etch/updates main contrib non-free
deb http://ftp.de.debian.org/debian/ sid main contrib non-free
W przypadku jakby ktoś zaczął wymiękać należy odpowiednio zmienić wpis sid w drugiej linijce. Plusem korzystania z wersji testowych/niestabilnych jest posiadanie nowego oprogramowania i aktualnych jego wersji.

• Sieć

Wszystkie informacje o zwykłej sieci znajdziemy w /eth/networking. Standardowo będziemy mieli najprawdopodobniej coś takiego:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
Pierwsze dwie linijki są dla nas nieważne i ich nie dotykamy. Jeśli otrzymujemy adres ip z serwera dhcp, możemy zostawić konfigurację tak jak jest. Zdarza się jednak, że tak jak w Windowsie mamy potrzebę zmienić adres MAC, robimy to następująco
auto eth0
iface eth0 inet dhcp
hwaddress ether 00:00:00:00:00:00
Zamiast zer, wpisujesz swój adres MAC i po wykonaniu komendy /etc/init.d/networking restart powinno wszystko zadziałać.

Jeśli chcemy na stałe wpisać konfigurację sieciówki, robimy to następująco:
auto eth0
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
gateway 192.168.0.100
dns-nameservers 192.168.0.100
To przykładowa konfiguracja z już wpisanymi danymi, które naturalnie należy zastąpić własnymi. Obowiązkowe są oczywiście dwie pierwsze linie, pole address, netmask i gateway (pola network i dns-nameservers chyba nie są obowiązkowe).

Należy zwrócić uwagę ze może występować wiecej eth (np eth0, eth1, eth2 itd.), w zależności ile portów sieciowych ma się w komputerze. Wtedy całą konfigurację należy przeprowadzić dla określonego eth.

• Bezpieczeństwo – SSH Brute Force Attacks – Atak słownikowy

Po skonfigurowaniu sieci, będąc podłączonymi do internetu jest duże zagrożenie że ktoś będzie atakował nasz komputer atakiem słownikowym przez SSH. Pociąga to za sobą dwa problemy, jeśli nasze hasło jest w słowniku (np test/test) to zostanie złamane i mamy kłopot. Drugim problemem jest to że nasz komputer może zostać zafloodowany (nasze łącze internetowe obciążone i nasz komputer zajęty odpowiedziami na atak).
Niestety ! Widziałem mocne komputery (ok ~1Ghz) z zamęczonym na 100% prockiem przez atak na serwer ssh !

Chyba najprostszą i banalną metodą jest ochrona plikami hosts.allow i hosts.deny.
Wpisujemy w /etc/hosts.allow:
sshd: .pl
sshd: 192.168.0.0/16
Zakładam że serwer stoi w Polsce (pierwsza linijka) i może być bramką internetową dla komputerów w podsieci (druga linijka).
W /etc/hosts.deny wpisujemy natomiast:
ALL: ALL
(zalecane) blokujemy wszystko, poza tym co jest zezwolone w allow, lub
sshd: ALL: DENY
blokujemy wszystko na porcie ssh, pozatym co jest w allow (inne porty i usługi pozostają tak jak były).

Takie zagranie blokuje wielką część ataków, które normalnie są przeprowadzane z USA, Chin, Rosji, Indii itp. Ataki z polski zdarzają się bardzo rzadko i to jedynie z komputerów które zostały zhakowane.
Tak więc wpisy w hosts i silne hasło i jesteśmy bezpieczni.

• Czas

Po zainstalowaniu programu ntpdate, należy postąpić zgodnie z instrukcjami na -> mojej stronce.

• Kolorowa linia poleceń

To trochę bajer, ale trochę się przydaje Wpisujemy w pliku /etc/bash.bashrc (pod linia PS1=) i w /etc/profile (gdzieś pod koniec) linię:
export PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;32m\]\w\[\033[00m\]\$ '
Jeśli zwykły user również chce mieć kolorowy shell (zakładając ze root już ma), musi on w swoim pliku .bashrc wykomentować wszystkie wpisy zaczynające się na PS= (w czystym debianie są to 3 linijki). Wtedy jego shell będzie brał kolory z /etc/bash.bashrc i /etc/profile.

Najpierw niezbędne oprogramowanie (nie zawsze instalowane out-of-the-box).
Podstawowe podstawy:

1. openssh-server
   daje możliwość zdalnego zalogowania się na kompa (np. przez Putty)
2. screen
   można rzucić proces w tło (np sesję irca, itp)
3. ntpdate
   ustawianie czasu przez internet
4. mc
   bez midnajt komandera nie da rady menadżer/edytor plików
5. zip i unzip
   zipowanie i unzipowanie plików
6. rar i unrar
   rarowanie i unrarowanie plików
7. alsa
   obsługa kart muzycznych i dzwięku
8. alsa-utils
   daje przydatną komendę alsaconf
9. parted
   rozbudowany edytor partycji, obsługujący wszystko (no ale mozna użyć też cfdisk)
   

Jeśli nasz komputer ma serwować usługi:

1. ez-ipupdate
   obsługa dyndns
2. wondershaper
   uproszczony QOS, optymalizacja łącza
3. apache2 lub lighttpd (jeden albo drugi)
   serwer stron www
4. php5-cgi (zwykle w wydaniu fcgi)
   kompilator php
5. mysql-server-5.0
   serwer baz danych
6. sqlite3
   serwer baz danych
7. samba
   przydatne jeśli mamy kompy z windowsem w sieci
8. dovecot
   serwer poczty imap
9. cupsys
   obsługa drukarek
10. dhcp3-server
    serwer dhcp

Jeśli nasz komp ma służyć jako desktop:

1. kde
2. openoffice.org2
   pakiet biurowy
3. firefox (=iceweasel)
   przeglądarka www (polecany jest również swiftweasel)
4. thunderbird (=icedove)
   klient poczty (polecany jest również swiftdove)
5. kile
   edytor latex
6. tetex
   kompilator latex
7. qtiplot
   program do wykresów i obróbki danych (kompatybilny z Origin)
8. labplot
   inne coś do obróbki danych
9. kmplot
   sympatyczny programik do wykreślania funkcji itp
10. krusader
    graficzny norton commander
11. kmix
    mikser do dzwięku do KDE
12. w32codec
    zestaw codeców do oglądania filmów

Również przydatne:

1. nmap
   skanowanie portów
2. arping
   pingowanie arp
3. nload
   sprawdzanie sumarycznego obciążenia łącza
4. iftop
   sprawdzanie obciążenia łącza przez poszczególne połączenia
5. dnsutils
   narzędzia do badania domen i dnsów (np dig)
6. whois
   do zapytań whois
7. nis
   jeśli twój komputer ma działać w domenie
8. lshw
   wylistuj sprzęt w komputerze (od przerwania IRQ, do adresu slotu PCI)

Napisałem to raczej dla siebie, żebym nie musiał sobie przypominać czego normalnie używam
Możliwe że przyda się to nie tylko mi.