Archiwum z Listopad 2008

« Starsze wpisy

Monitoring środowiska informatycznego

sobota, 29 Listopad 2008

Dzisiaj dostałem do testowania urządzenie do monitoringu warunków środowiska informatycznego (taki bardziej zaawansowany termometr). Urządzenie to RMS 310 firmy Infratec AG, sprzedawane w polsce przez MAXBERT s. c. Obecnie mam dostępne jedynie czujniki temperatury RMS-ST-NTC i czujnik „kombi” RMS-SH/T2 (temperatura i wilgotność). Czekam na czujnik dymu RMS-SS, czujnik otwarcia drzwi RMS-SD i system autoryzacji dostępu RMS-ACS-CC.

W dokumentację do sprzętu ubogo – nie dostałem żadnego nośnika z instrukcją czy oprogramowaniem, a jedynie wydrukowany odnośnik do strony producenta, gdzie można pobrać głównie ulotki. Niemniej nie poddałem się i od razu ruszyłem do boju!
Domyślnie założony jest jeden użytkowik ‘rms’ z hasłem ‘rms’. Zarządzanie webowe dość kiepskie, konsola daje to co powinna, a jedynym problemem jaki dotychczas napotkałem był klient DHCP, który nie potrafi się w ogóle uruchomić.

Wprawdzie można z urządzenia ściągnąć MIB’y czy posłużyć się publiczną bazą, ale zalecam snmpwalk i samodzielne odkrywanie możliwości urządzenia. Ja na razie korzystam z .1.3.6.1.4.1.1909.10.4.1.1.3.1 – temperatura 1, .1.3.6.1.4.1.1909.10.4.1.1.3.2 – temperatura 2 i .1.3.6.1.4.1.1909.10.5.1.1.3.2 – wilgotność. Historię zmian uwiecznia MRTG.

Niestety nie doszedłem jeszcze do tego jak ustawiać alarmy (przekroczenie wartości progowych danych czujników), obawiam się, że samo urządzenie tego nie potrafi i trzeba posiłkować się oprogramowaniem (producent coś takiego chyba dostarcza). Do SMS’ów produkują też osobne urządzenia, ale to jak na razie nas nie interesuje.

Tagi:,
Zaszufladkowany do Tech | 1 komentarz »

Szkolenia cd.

czwartek, 27 Listopad 2008

W zeszłym tygodniu odbyłem szkolenie pt. „Ochrona danych osobowych” organizowane przez INFOR Training Sp. z o. o., a prowadzone przez Tomasza Osieja.
Temat jak na dwa dni zbyt obszerny, przez co podczas szkolenia ‘nowi’ mogą odczuć lekki chaos, niemniej polecam gorąco (i ogólnie tematykę). Sam prowadzący bardzo konkretny – teoretyk i praktyk (pracował swego czasu w GIODO).

Ponieważ to szkolenie było otwarte, było raczej ogólne + odpowiedzi na pytania publiczności. Chętnie w przyszłości wybrał bym się na szkolenie dot. ochrony danych osobowych w branży, którą się obecnie zajmuję.

Jeśli chodzi o szkolenia na rok 2009, to zapowiada się całkiem ciekawie. Mam nadzieję, że zaliczę coś z MySQL A. B., być może, aczkolwiek niechętnie – drugi poziom FortiGate, jakiś konkret z Microsoft i coś z bezpieczeństwa (z Compendium).
W tym roku czeka mnie jeszcze Ryzyko operacyjne.

Tagi:
Zaszufladkowany do Tech, Wolne żarty | 1 komentarz »

OpenBSD – grupowanie interfejsów

poniedziałek, 17 Listopad 2008

IFCONFIG(8) OpenBSD System Manager's Manual            IFCONFIG(8)

NAME
ifconfig – configure network interface parameters

SYNOPSIS
ifconfig [-AaCm] [interface] [address_family] [address [dest_address]]
[parameters]
[...]

The following parameters may be set with ifconfig:

[...]

group group-name
Assign the interface to a „group”.  Any interface can
be in multiple groups.

For instance, such a group could be used to create a
hardware independent pf(4) ruleset (i.e. not one based on
the names of NICs) using existing (egress, carp, etc.) or
user-defined groups.

Some interfaces belong to specific groups by default:

-       All interfaces are members of the all interface
group.
-       Cloned interfaces are members of their interface
family group.  For example, a PPP interface such
as ppp0 is a member of the ppp interface family
group.
-       The interface(s) the default route(s) point to
are members of the egress interface group.
-       IEEE 802.11 wireless interfaces are members of
the wlan interface group.
-       Any interfaces used for network booting are mem-
bers of the netboot interface group.

-group group-name
Remove the interface from the given „group”.
[...]

Bardzo przydatnym parametrem w ifconfig jest group – grupowanie interfejsów. W przypadku interfejsów klonowanych dodawane są one automatycznie do grupy oznaczającej rodzinę, np. VLAN:

vlan150: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:80:1e:15:78:ab
vlan: 150 priority: 0 parent interface: rl0
groups: vlan egress
[...]
vlan5: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:80:1e:15:78:ab
vlan: 5 priority: 0 parent interface: rl0
groups: vlan
[...]

Z kolei interfejsy bezprzewodowe mają grupę wlan, a wszystkie są w grupie all.
Możemy również tworzyć samodzielnie własne grupy, a interfejsy mogą jednocześnie należeć do wielu grup.
Aby wyświetlić interfejsy należące do danej grupy należy podać jej nazwę, np.

# ifconfig phy
rl0: flags=8943 mtu 1500
lladdr 00:80:1e:15:78:ab
groups: phy
media: Ethernet autoselect (100baseTX full-duplex)
status: active
[...]
xl0: flags=8843 mtu 1500
lladdr 00:0a:5e:5f:de:77
groups: phy
media: Ethernet autoselect (100baseTX full-duplex)
status: active
[...]
xl1: flags=8943 mtu 1500
lladdr 00:50:da:18:eb:79
groups: phy
media: Ethernet autoselect (100baseTX full-duplex)
status: active
[...]
xl2: flags=8943 mtu 1500
lladdr 00:01:02:1d:c4:6d
groups: phy
media: Ethernet autoselect (100baseTX full-duplex)
status: active
[...]

Przy okazji w Solaris groupname oznacza interfejsy należące do grupy IPMP.

Tagi:,
Zaszufladkowany do OpenBSD | Brak komentarzy »

ZFS vs. LVM

piątek, 14 Listopad 2008

Jestem w trakcie szkolenia „Sun Solaris 10 & Sun Cluster” (autorskie szkolenie ITL Polska). Dobrze prowadzone przez Piotra Brańka – w zasadzie to bardziej warsztaty niż teoretyczny wykład i na pewno dalekie od marketingowego bełkotu. Jestem zadowolony. Mam pojęcie ogólne o samym systemie, Sun Cluster, Solaris Zones i ZFS.

No właśnie. ZFS! Wielu ludzi zaczynając wywód na temat „Dlaczego Solaris” mówi o ZFS upatrując w tym systemie plików największej zalety systemu i miażdżącego argumentu do dyskusji „A może inny system?”.

Słuchając na temat ZFS cały czas odnosiłem się do jedynego znanego mi podobnego rozwiązania (to czego używałem kiedyś w AIX nawet nie wiem jak się nazywa :/) – mianowicie LVM. Wiem, że nie powinno się nawet porównywać tych dwóch pojęć, bo LVM jedynie zarządza wolumenami, a ZFS to, uogólniając, system plików. Niemniej warstwa abstrakcji, która oddziela dane od fizycznych dysków, w ZFS, to dużo podobieństw (z punktu widzenia użytkownika końcowego) z LVM. I dlatego nie spadłem z krzesła na części teoretycznej :>
Przyznaję, ZFS zrobiłby na mnie ogromne wrażenie, gdybym wcześniej nie znał LVM. Na szczęście już przeszedłem pvmove (do obejrzenia jakiś mój test, później wielokrotnie powtarzany w produkcyjnych środowiskach, zawsze zakończony sukcesem) i temu podobne, toteż łatwo przyswoiłem sobie wszystko co usłyszałem na temat ZFS.

Przy okazji – ZFS jest we FreeBSD (m. in. dzięki staraniom pjd). Podobno nie będzie w Linuksie ze względu na licencję (CDDL nie podchodzi pod GPL, więcej do poczytania na kernelTRAP).

Tutaj porównanie ZFS z LVM (nie rekomenduję, po prostu znalazłem):

Tagi:, , , , , ,
Zaszufladkowany do FreeBSD, Linux | 2 komentarzy »

OpenBSD : pf : route-to

poniedziałek, 10 Listopad 2008

Nie zawsze o tym pamiętam, inni może też, więc tutaj takie krótkie info odnośnie route-to. Ważne jest, że przy używaniu tej opcji pakiety zawsze są ‘pchane’ do granicznego routera. Połączenia z sąsiadami (:network) mogą nam w takiej sytuacji nie wyjść. W takim wypadku potrzebna będzie kolejna reguła tylko dla tych połączeń.
Przy okazji pomocne mogą być wyrażenia dodawane do interfejsów sieciowych:

  • :network – określa sieć, do której należy interfejs,
  • :broadcast – adres rozgłoszeniowy podsieci,
  • :peer – adres IP po drugiej stronie połączenia point-to-point,
  • :0 – adres IP interfejsu (nie alias).

Polecam cały podręcznik do pf, a w szczególności (uszczegóławiając powyższe :>):

Tagi:, ,
Zaszufladkowany do OpenBSD, pf | Brak komentarzy »

… jeżdżę autobusami, tramwajami i ukochanym metrem…

poniedziałek, 10 Listopad 2008

Ludzie (w moim otoczeniu) już nie potrafią poradzić sobie bez samochodu, a szczytem jest dojazd do miejsca pracy odległego o ~1 km. A ja wyzwolony przemieszczam się środkami komunikacji miejskiej (przy okazji – MZK dziś jeździ jak w soboty :>). Oczywiście jest sporo „Bla, bla, bla”, ale to tylko urozmaica podróże.

Nie robię tego z jakichś ekologicznych powodów. Po prostu tak lubię!

Zaszufladkowany do Wolne żarty | Brak komentarzy »

Boogie-buggy

piątek, 7 Listopad 2008

17:30 < guzik> ile dni po poinformowaniu dostawcy o błędach w jego oprogramowaniu można o tym mówić publicznie?
17:30 < guzik> w sensie etyki
17:31 < guzik> jest jakoś zwyczajowo przyjęty termin?
17:31 <@ikt> miesiac ?
17:32 <@ikt> ^]: a o co sie rozchodzi ?
17:47 <@^C> guzik: Zapytaj dostawy.
17:47 <@^C> *dostawcy
18:25 <@s1m0n> Nie ma reguly. Niepisana umowa jest taka, zeby dac dostawcy rozsadny czas na poprawe bledu. Jesli z jego strony jest echo lub nie wyrobi
(pomijajac sytuacje w ktorych sie skontaktuje i stwierdzi zeby jeszcze sie wstrzymac z publikacja, poprosi o pomoc etc.), to sie publikuje.
18:28 <@s1m0n> Przez danie rozsadnego czasu rozumiem poinformowanie dostawcy o bledzie ze szczegolami lub bez oraz informacja, ze ma sie zamiar opublikowac
informacje o bledzie. Zapytac ile czasu by potrzebowali na poprawe bledow i voila
18:31 <@^C> hm
18:31 <@^C> a ja jestem przeciwny
18:31 <@^C> publikowaniu czegokolwiek
18:32 <@^C> jeżeli nie uzyskasz od dostawcy zgody na publikacje
18:32 <@^C> w szczególności zanim będzie poprawka
18:32 <@s1m0n> Wtedy nieopublikowane bledy sobie wisza, wisza, a inni wykorzystuja i wykorzystuja.
18:32 <@s1m0n> A tak to jest jakas mobilizacja:P
18:33 <@s1m0n> Ale masz racje.
18:33 <@^C> Myślałem, że nie mówimy o patologicznych sytuacjach.
18:33 <@s1m0n> Kazde podejscie ma swoje plusy i minusy.
18:33 <@s1m0n> Wielu juz spedzilo godziny na probie znalezienia kompromisu.
18:34 <@^]> guzik: a można wiedzieć co to za produkt?
18:34 <@s1m0n> Jesli nie wszystkie, to wiekszosc przypadkow wymaga osobnego rozwazenia za i przeciw.
18:34 <@^C> Ale takie publikowanie od czapy zwykle robi więcej złego niż dobrego.
18:35 <@^]> a może warto opublikować taką informację z łatką?
18:35 <@s1m0n> Nie jesli dostawca dba o te sprawy i rozwiazuje takie problemy profesjonalnie.
18:35 <@^C> s1m0n: A co jeżeli dostawca już nie istnieje?
18:35 <@^C> Albo nie supportuje produku sprzed X lat?
18:36 <@s1m0n> Wtedy juz pozostaje kwestia leniwych i/lub niedouczonych uzytkownikow/administratorow
18:36 <@^C> Wiesz, panią Czesie z księgowości zwykle jebie jakiś bo.
18:37 <@s1m0n> ^C: Wtedy to jest dobry czas aby przerzucic sie na cos innego lub we wlasnym zakresie poprawic *cos* jesli jest taka mozliwosc.
18:37 <@^]> a akurat pani Czesia z księgowości, którą ja znam jest bardzo kumata i problemy bezpieczeństwa nie są dla niej obojętne :)
18:37 <@^C> ^]: I klika exploity w excelowych makrach? :)
18:38 <@^]> nie, w perlu!
18:38 <@^C> to pies ją trącał.
18:38 <@^C> Myślałem, że to kobieta nowoczesna.
18:38 <@^C> A nie babochłop z brodą [
18:38 <@^C> ;[
18:38 <@s1m0n> Osobiscie jednak wole wiedziec, ze rozwiazanie z ktorego korzystam ma jakies bledy i w zwiazku z tym jakie zagrozenia wiaza sie z tym faktem.
18:39 <@s1m0n> Bleh, zamieszan zdanie ale chyba wiadomo co autor mial na mysli;]
18:39 <@^C> dobra
18:39 <@^C> zasadniczo żadne rozwiązanie nie jest dobre
18:39 <@^C> załóżmy, żę masz soft X
18:39 <@^C> a) opublikujesz -> bierzesz odpowiedzialność za użytkowników którym się ludzie wjebali przez buga
18:40 <@^C> b) nie opublikujesz -> ktoś jeszcze zrobi worma/chujumuju i będziesz pluł sobie w brodę, że nie opublikowałeś i nie ostrzegłeś świata
18:40 <@^C> więc generalnie po co szukać bugów
18:41 <@^C> bo jeżeli znajdziesz to co nie zrobisz
18:41 <@^C> to okażesz się WIELKIM CHUJEM
18:41 <@s1m0n> ;]
18:42 <@^]> dobra idę sobie
18:42 <@^]> nanra
18:42 <@^C> Jedyny akceptowalny przezemnie model:
18:42 <@s1m0n> Biorac pod uwage a i b dla mnie rachunek jest prosty;]
18:42 <@^C> info do dostawcy i koniec.
18:43 <@s1m0n> Zlewaja cie, co dalej?
18:43 <@^C> Zlewasz ich.
18:43 <@s1m0n> Kolegow po fachu tez zlewasz?
18:44 <@s1m0n> Nie sadze, mowisz im.
18:44 <@s1m0n> Oni mowia z kolei swoim kolegom.
18:44 <@s1m0n> Ktos opisuje to na blogu.
18:44 <@s1m0n> Ktos powie komus komu nie powinien
18:44 <@^C> Oj, jeżeli ktoś ma potrzebę dzielenia się swoją pracą
18:44 <@^C> to można to uznać za publikację.
18:44 <@s1m0n> To moze od razu lepiej wszystkim powiedziec?
18:45 <@^C> Generalnie jeżeli coś robisz, to weź za to odpowiedzialność.
18:45 <@s1m0n> Jak najbardziej.
18:46 <@guzik> napisałem im nawet sposoby na załatanie
18:46 <@guzik> i ogólny zarys poprawy
18:46 <@guzik> no nic poczekam jeszcze chwilę i ew. opublikuję jak wypuszczą poprawkę
18:47 <@s1m0n> A byli na tyle uprzejmi, ze chociaz odpowiedzieli.
18:47 <@s1m0n> ?

09:41 <@guzik> pierwsza odpowiedź to – nie ma błędu
09:41 <@guzik> druga – nie udało nam się tego zasymulować
09:41 <@guzik> trzecia po moich _dokładnych_ wyjaśnieniach – przekażemy sprawę programiście
09:42 <@guzik> kolejna dziura – przekażemy sprawę *Prezesowi* i zadecyduje co zrobić
10:07 <@s1m0n> guzik: full profeska;-)
10:45 <@ikt> eskalacja sie to nazywa ;)

Ta rozmowa nie ma nic wspólnego z tym czym obecnie się zajmuję. W ogóle nie miałem na myśli oprogramowania, które dane wysyła za pomocą FTP bez TLS dzięki czemu możliwe jest podsłuchanie hasła. Ani na chwilę nie pomyślałem o oprogramowaniu, które korzystając ze wspomnianego wcześniej protokołu nie izoluje użytkownika w jego domowym katalogu, co umożliwia przejrzenie mu całej struktury katalogów. Nie chodzi mi również o podatność czegokolwiek na ataki DOS.
Niemniej cały czas ciepło myślę o nieświadomych zagrożeń programistach, którzy nie muszą wyjeżdżać ‘na zmywak’, bo potrafią za pomocą myszki stworzyć spory system.

Zaszufladkowany do Wolne żarty | Brak komentarzy »

« Starsze wpisy