Archiwa: Job / Praca - cancer's blog

Kill It! (UNIX way)

Bartosz Maciejewski1 października, 2012

I’ve got heavy load on one box. What is strange it operate normally, despite this load:

load averages: 153.11, 152.41, 150.74 866 processes: 150 runnable, 712 sleeping, 4 on CPU

This ~720 processes ware snmpd in some strange loop of checking if snmpd is working.

I can’t kill it globally witk pkill , but kill -9 PID works. I don’t want to manually type 720 pids and don’t want to restart machine, so here comes unix way to kill 720 processess:

ps uax | grep snmpd | awk '{print $2}' | xargs kill -9

Results?

load averages: 0.04, 10.8, 59.5 98 processes: 95 sleeping, 3 on CPU

Back to normal state!

Mondays… ;)

Fun

One line to know where your users are on vacation :) (if they use company mail on vacation)

Bartosz Maciejewski12 września, 2012

Assuming You use dovecot 2.x and stores logs in /var/log/maillog:

cat /var/log/maillog | grep Login: | awk '{print $10}' | sed 's/rip=//g' | sed 's/,//g' >> /tmp/1.txt && sh -c 'for line in `cat /tmp/1.txt`; do geoiplookup $line; done' | sort | uniq | awk '{print $4 $5}'

gives You unique locations of every user login. You can also grep for specific login instead of all of them :)

If You are not rotating Your logs it will take some time to return results.

Job / Praca

Hylafax i wiele modemów oraz róźni odbiorcy.

Bartosz Maciejewski28 czerwca, 2012

Mój system faksowy rozrasta się, aktualnie obsługuje 5 numerów a w planach są kolejne dwa. Jak na razie w dwa miesiące odebrał ponad 1500 faksów i działa bez zarzutu.

Dokładając modemy oczywiście modyfikacji uległ plik z konfiguracjami FaxDispatch i skrypty konstruujące maile z faksami w formacie png.

Skrypt z tego wpisu teraz jest w osobnych plikach, każdy dla innego numeru. Każdy z tych skryptów wykorzystuje też osobny katalog tymczasowy (/tmp/faxX) aby w przypadku odbierania faksów jednocześnie pliki z obrazkami nie pomieszały się, lub nie zostały nadpisane. Eksportowanie zmiennych $SENDER i $FILE jest także uzupełnione o kolejny numer aby nie było niejasności i błędów w dostarczeniu.

Teraz najciekawsza zmiana – instrukcja CASE w pliku FaxDispatch.
FILETYPE=pdf; SENDTO=fax_pdf@***.pl; TEMPLATE=pl; case "$DEVICE" in tty00) echo $FILE > /tmp/FILE; echo $SENDER > /tmp/SENDER; /tmp/convertmime.sh; SENDTO=fax_pdf@***.pl;; ttyU0) echo $FILE > /tmp/FILE2; echo $SENDER > /tmp/SENDER2; /tmp/convertmime2.sh; SENDTO=;; ttyU1) echo $FILE > /tmp/FILE3; echo $SENDER > /tmp/SENDER3; /tmp/convertmime3.sh; SENDTO=;; ttyU2) echo $FILE > /tmp/FILE4; echo $SENDER > /tmp/SENDER4; /tmp/convertmime4.sh; SENDTO=;; ttyU3) echo $FILE > /tmp/FILE5; echo $SENDER > /tmp/SENDER5; /tmp/convertmime5.sh; SENDTO=;; esac
Pierwsze 3 linijki to standardowa konfiguracja jeśli nie zachodzi żaden CASE, co właściwie nie powinno się zdarzyć, ale w razie jakby co (np nieoczekiwana zmiana nazwy portu) fax zostanie dostarczony na mail fax_pdf@**.pl jako pdf.

Następnie CASE działający na zmiennej $DEVICE, która odpowiada portowi RS232 w NetBSD. Każdy CASE wyrzuca nazwe pliku oraz nadawce do właściwego pliku, z którego później korzysta convertmimeX.sh do skonstruowania maila. Dodatkowo modem na tty00 oprócz dostarczenia faksu w formie obrazka wysyła ten sam faks w formacie pdf.

System działa bardzo stabilnie, duże znaczenie ma zapewne jakość modemów oraz użytych przejściówek USB-RS232. W moim przypadku kable USB wpięte obok siebie, blokowały losowo któryś modem. Kiedy wpięte są co drugi port USB wolny – wszystko działa bez zakłóceń.

Na razie półka modemowa wygląda jak na zdjęciu poniżej, ale kiedy dojdą dodatkowe dwa modemy trzeba będzie pomyśleć o ładniejszej organizacji :)

Job / Praca

Administrowanie może być ładne i wygodne!

Bartosz Maciejewski24 maja, 2012

Szukając alternatywy dla SNORT + BASE natrafiłem na SNORBY. Snorby to tak samo jak Base frontend dla Snorta, z tym, że napisany w rubym i jest po prostu ładny. Wszystko się kręci, przyciemnia, przelatuje z jedno w drugie, dodatkowo ma kilka fajnych funkcji jak generowanie raportów pdf czy wysyłanie powiadomień mailem.

Co mnie szczególnie zaskoczyło to instalacja, faktycznie (przynajmniej na NetBSD) przebiegła tak jak jest pokazana w kilku krokach na stronie Snorbyego. Klonujemy najnowszą wersję przy pomocy gita, edytujemy podstawowe informacje i dostęp do bazy MySQL, uruchamiamy server na porcie 3000 – gotowe :)

Oczywiście trzeba dosintalować bardzo dużo składników samego rubiego (to się chyba naywa „gems” ? – nigdy nie miałem do czynienia z rubym :), część znajduje się w pkgsrc, część ruby sam doinstaluje przez wydanie komendy „bundle install”. w katalogu ze snorbym.

Jedyna rzecz, którą musiałem poprawić ręcznie to zrobić dowiązanie z /usr/pkg/bin/ruby193 do /usr/pkg/bin/ruby ponieważ bez tego snorby mówił że nie wie gdzie jest ruby i nie mógł odpalić „workera”, który co jakiś czas zbiera informację z bazy i aktualizuje dashboard.

Co do snorta, to konfiguracja łącząca go ze snorbym jest banalnie prosta. Trzeba tylko dodać w konfigu, aby oprócz zapisywania do pliku lub bazy danych, zapisywał też do bazy snorbiego :) To wszystko.

Po chwili w zależności jakie reguły mamy zainstalowane i co snort nałapie, wszystko powinno być ładnie odwzorowane w snorbym, gdzie już można wygodnie sobie przegladać raporty, zerkać do środka ramek, sprawdzać czy jakiś host nie za bardzo nam bruździ itp.

Porównując czystą instalację snorta i logowanie do plików a wizualizację przy pomocy Snorbiego właściwie nie ma co porównywać :)

Internet

Już nie taki brzydki hack na hylafax i png

Bartosz Maciejewski21 maja, 2012

W poprzednim wpisie – http://maciejewski.org/2012/05/16/hack-na-hylafax-i-faksy-w-png-lub-innym/ opisałem jak przerabiać tiffy generowane przez hylafax na png i wysyłać je ludziom na mail.

Skrypt w FaxDispatch co prawda działał bardzo dobrze ale był dość brzydki i toporny (tworzenie headerów przez echo >> do plików itp).

Pozatym okazało się że miał jedną zasadniczą wadę. Nie dało się przekazać wiadomości z załącznikami inline. Po naciśnięciu FORWARD wiadomość wyglądała mniej więcej tak:

Dlatego zrezygnowałem z sendmaila i uuencode na rzecz mime-construct

Poprzedni skrypt wygląda teraz tak:

convert /var/spool/hylafax/`cat /tmp/FILE` /tmp/fax/fax.png for D in /tmp/fax/*png do echo -n "--file-attach " >> /tmp/fax/faxy echo $D >> /tmp/fax/faxy done mime-construct --header 'From: Serwer faxów ' --to fax@***.pl --subject "Odebrano fax od $SENDER" `cat /tmp/fax/faxy` rm -rf /tmp/fax/*

Teraz pętla for tworzy listę plików które mime-construct ma załączyć do wiadomości.

Po zmianie skryptu dostarczanie faksów działa jak dotychczas, natomiast po przekazaniu mamy eleganckie załączniki tam gdzie powinny być :)

Job / Praca

Hack na hylafax i faksy w png (lub innym formacie graficznym)

Bartosz Maciejewski16 maja, 2012

Na początku była euforia. Będziemy mieli firmowy wirtualny faks z pięcioma numerami! Notabene „paczkę” dziesięciu kolejnych numerów od Netii dostaliśmy za darmo, a myślałem, że za darmo nikt już nic nie daje. Zatem, serwer faksów stanął na nogi dość szybko i co również ważne, pierwszy numer udało się uruchomić bez większych problemów. Serwer to hylafax 4.4.7.

$ faxstat HylaFAX scheduler on nidhog.***.pl: Running Modem tty00 (+48616******): Running and idle

Po początkowym (moim) zachwycie jak to dobrze działa i jak stabilnie, zaczęły napływać pytania i prośby o zmianę formatu dostarczania faksów. Tutaj małe wtrącenie jak wygląda u nas dostarczanie faksów. Na jeden numer do księgowości kontrahenci wysyłają faks, który następnie jest dystrybuowany do wszystkich osób którym może być to przydatne. Te kilkadziesiąt osób patrzy sobie w swoje Thunderbirdy a niektóre wybitnie oporne jednostki w Outlooki i im szybciej po łypnięciu okiem można stwierdzić, że ten faks jest potrzebny lub nie tym lepiej.

I tu właśnie zaczynają się schody bowiem hylafax po odebraniu faksu umie go dostarczyć jako postscript (domyślnie) lub wielostronicowy tiff lub pdf. Niby mamy wszystko co potrzeba, oryginał, obrazek, pdf. Niestety problem tkwi poniekąd w klientach pocztowych, które bez zagłębiania się w szczegóły nie mogą wyświetlić podglądu załącznika w pdf lub tiff.

Domyślnie hylafax nie ma także opcji dla png, jpg czy gif ponieważ w/g twórców hylafax’a formaty te nie nadają się do odwzorowywania czarno-białych faksów oraz mają problem z wielostronicowymi faksami.

Po kilkudniowych (naprawdę) poszukiwaniach jakichś pluginów i patchy okazało się, że są co prawda jakieś patche na /var/spool/hylafax/bin/faxrcvd , który jest odpowiedzialny za przyjmowanie faksów istnieją na forum hylafax ale posty są datowane między 1999 a 2004 i teraz ten plik wygląda zupełnie inaczej. Oczywiście przy każdym poście akademicka dyskusja dlaczego nie używać png czy jpg…

Jak już pisałem, w modelu odbioru faksów, który u nas z powodzeniem funkcjonuje liczy się szybkość – dostajemy kilkanaście/kilkadziesiąt faksów dziennie, który to faks może dotyczyć jednej lub kilku osób z kiludziesięciu. Musi być obrazek dostępny w podglądzie dla programów pocztowych, koniec, kropka.

Zamiast próbować zaimplementować obsługę png do faxrcvd, który dla mnie jest zbyt pokręcony, poszedłem inną drogą. Hylafax używa pliku /var/spool/hylafax/etc/FaxDispatch do dostosowywania dostarczania faksów. Można tam oprócz predefiniowanych pól dokonywać modyfikacji np przy pomocy CASE (gdy numer taki, dostarcz gdzieś) itp. Mi natomiast rzucił się w oczy przedostatni przykład z jakiegoś FaxDispatcha w cvsie hylafaxa:

## To make each received fax saved outside hylafax ## ( Don't forget to chown uucp /some/place )

/bin/cp $FILE /some/place

Czysty skrypt shellowy w pliku konfiguracyjnym :)

Po kilkunastu wysłanych faksach testowych i poprawieniu kilku błędów oraz praw urodziło się coś takiego:

FILETYPE=pdf; SENDTO=fax@***.pl; TEMPLATE=pl;

convert $FILE /tmp/fax/fax.png echo "To: fax@***.pl" > /tmp/fax/mail_fax echo "From: Serwer faxĂłw *** Sp. z o.o. " >> /tmp/fax/mail_fax echo "Subject: Odebrano fax od $SENDER" >> /tmp/fax/mail_fax echo "MIME-Version: 1.0" >> /tmp/fax/mail_fax echo "Content-Type: text" >> /tmp/fax/mail_fax echo "Content-Disposition: inline" >> /tmp/fax/mail_fax for D in /tmp/fax/*png do uuencode $D $D >> /tmp/zalaczniki done cat /tmp/zalaczniki >> /tmp/fax/mail_fax sendmail "fax@***.pl" < /tmp/fax/mail_fax rm -rf /tmp/fax/* rm -rf /tmp/zalaczniki

Do działania potrzebny jest ImageMagic.

Krótkie objaśnienie

- pierwsze trzy linijki to najbardziej podstawowa konfiguracja, odbiorca, format i szablon wiadomości. Zostawiłem podczas testowania jak przychodził faks aby przez wadliwy skrypt poniżej nie zostać pozbawionym faksów :)

- następnie konwertujemy plik tiff który tworzy hylafax w /var/spool/hylafax/recvq na png. Konkretny plik hylafax przechowuje w zmiennej $FILE więc nie musimy nawet szukać tego o którego nam chodzi. Wielostronicowy tiff konwertowany jest na wiele plików png w/g schematu - jeśli dajemy nazwę fax.png jako pliku wyjściowego dostajemy fax-1.png, fax-2.png itd.

- kolejne 6 linijek tworzy nagłówek maila, bez tego też zadziała, ale odbiorca dostanie fax bez tematu od UNIX-to-UNIX Copy (uucp@domena), założę się, że to się nie spodoba ludziom z poza IT :) Mamy zatem ładnie od kogo dla kogo, z numerem telefonu który do nas wysyłał w temacie.

- następne 4 linijki to pętla działająca na katalogu gdzie są nasze skonwertowane pliki png. Każdy plik png trzeba zakodować do ascii i dokleić do wcześniej stworzonego pliku z nagłówkiem.

- ostatecznie wysyłamy mail sendmailem dołączając nagłówki i załączniki z pliku.

- ostatnie dwie linijki - sprzątamy oczekując następnego faksu :)

Trzeba pamiętać, aby wszystkie polecenia i katalogi użyte w tym skrypcie mogły być wykonane przez użytkownika uucp.

Jeśli wszystko gra, adresat maila powinien otrzymać mniej więcej taką wiadomość:

Job / Praca

Windows Server + GPO + LogIN/OFF Script + XCOPY Incremental Backup

Bartosz Maciejewski17 stycznia, 201229 lutego, 2012

W dużym przedsiębiorstwie zadbanie o backup serwerów i stacji roboczych to dość istotne przedsięwzięcie. Użytkownicy raczej nie są świadomi, że powinni robić kopie tego co ważne. Po czym wnoszę? Po prawie 4 latach pracy jako Admin w dużej korpo, na palcach jednej ręki mogę policzyć osoby które zapytały się, jak lub gdzie mają zgrywać swoje dane lub poprosiły o kupno np dysku USB. Zatem dbamy. Serwery opiszę kiedy indziej – rsync, tar, certyfikaty do ssh, mt – raczej są znane i stosowane, dodatkowo można zastosować bonding do zwiększenia transferu, ale o tym jak już pisałem – kiedy indziej.

Dzisiaj prosty sposób na użycie polityk Windows Serwera do kopiowania plików użytkowników na zdalny storage w mieszanym środowisku Windows 7 i Windows XP.

Co to będzie robiło:
– rozpoznaje jakiego używamy Windowsa :)
– rozpoznaje czy katalog z nazwą użytkownika jest już stworzony , jeśli nie – tworzy.
– w katalogach użytkownika dzieli na podkatalogi „dokumenty” i „pulpit” aby nie było bałaganu.
– wyłącza potwierdzenia kopiowania plików na istniejące pliki
– kopiuje także pliki ukryte
– po pierwszym kopiowaniu nadpisuje tylko te które się zmieniły lub dodaje nowe.

Skrypt BAT wygląda tak:

IF EXIST %userprofile%\Documents GOTO BackupWin7


:BackupWinXP
	IF EXIST \\storage\data\%username% GOTO TylkoKopia

	mkdir \\storage\data\%username%

	xcopy  /Y "c:\Documents and Settings\%username%\Moje Dokumenty" \\storage\data\%username%\dokumenty /e /i /h /d

	xcopy  /Y "c:\Documents and Settings\%username%\Pulpit" \\storage\data\%username%\pulpit /e /i /h /d

	:TylkoKopia

	xcopy  /Y "c:\Documents and Settings\%username%\Moje Dokumenty" \\storage\data\%username%\dokumenty /e /i /h /d

	xcopy  /Y "c:\Documents and Settings\%username%\Pulpit" \\storage\data\%username%\pulpit /e /i /h /d

	Goto EOF
:BackupWin7

	IF EXIST \\storage\data\%username% GOTO TylkoKopia7

	mkdir \\storage\data\%username%

	xcopy  /Y "c:\Users\%username%\Documents" \\storage\data\%username%\dokumenty /e /i /h /d

	xcopy  /Y "c:\Users\%username%\Desktop" \\storage\data\%username%\pulpit /e /i /h /d

	:TylkoKopia7

	xcopy  /Y "c:\Users\%username%\Documents" \\storage\data\%username%\dokumenty /e /i /h /d

	xcopy  /Y "c:\Users\%username%\Desktop" \\storage\data\%username%\pulpit /e /i /h /d

	Goto EOF

:EOF

Zdalna lokalizacja to oczywiście storage – trzeba dopisać swój serwer lub IP gdzie ma się kopiować, lub dopisać do swojego DNS’a IP do maszyny która będzie nazywać się storage.

/Y – wyłącza promptowanie o potwierdzenie nadpisania pliku
/D – bez podania czasu działa jak incremental backup

Pierwszy IF EXIST na podstawie katalogu Documents sprawdza czy używamy Windows XP czy 7. Następnie w odpowiednich blokach IF EXIST sprawdza czy jest na serwerze storage katalog z nazwą użytkownika, jeśli nie ma tworzy ją i zaczyna kopiowanie. Jeśli jest, po prostu zaczyna kopiowanie.

Skrypt należy zapisać na serwerze w miejscu dla login lub logoff skryptów (odpowiedni katalog otworzy się przy dodawaniu skryptu do GPO).

W zależności od potrzeb podczepiamy skrypt na logowanie lub wylogowywanie. Przy wylogowywaniu backup następuje zaraz po zakończeniu pracy. Jeśli użytkownik używa komputera stacjonarnego to jest to najlepsza opcja, wyłącza komputer, idzie do domu, komputer kopiuje to co trzeba i się wyłącza. Gorzej jeśli to laptop i użytkownik chce go zabrać i musi czekać, wtedy lepiej dać skrypt jako login. Skrypt odpali się jednocześnie z logowaniem i będzie działał w tle umożliwiając pracę. Można dodać @echo off na początku aby nie było widoczne stado latających plików :)

Implementacja na Windows Serwer:

1. gpmc.msc
2. Wybieramy odpowiednie OU
3. Prawy klawisz na OU – Create And Link GPO Here…
4. Nadajemy nazwę
5. Prawym klawiszem na nazwie
6. Edit
7. Wybieramy User Configuration
8. Wybieramy Windows Settings
9. Wybieramy Scripts(Login/Logoff)
10. Dwa razy klikamy na wybranym skrypcie (login lub logoff)
11. W Logon lub Logoff Properties Wybieramy Add..
12. Wybieramy Browse.. i wybieramy skrypt do wykonania. (Jeśli go nie ma to właśnie w tej lokalizacji ma się znaleźć – trzeba go tam wkopiować).
13. OK i zamykamy edycję GPO.
14. W shellu uaktualniamy polityki – gpupdate /force

Próbujemy się wylogować lub zalogować, efektem powinny być katalogi użytkowników na zdalnym storageu.

root@storage:/data/samba# ll razem 44 drwxrwxrwx 10 root root 4096 2012-01-17 14:12 ./ drwxr-xr-x 7 root root 4096 2012-01-12 21:42 ../ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:08 user1/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:49 user2/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 12:59 user3/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:56 user4/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 14:05 user5/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:49 user6/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:06 user7/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 14:12 user8/

Po ciężkim dniu pracy, jeśli storage wyposażony jest w streamer można cały katalog /data/samba nagrać jako gotowy dzienny backup.
Do skryptu oczywiście można dopisać dodatkowe katalogi w/g potrzeb.
Raz na jakiś czas (np. miesiąc)warto skasować całą zawartość backupu, aby wykonał się pełen backup, ponieważ skrypt nie kasuje plików które były lokalnie, ale już ich nie ma.

Job / Praca

Bezpieczne filtrowanie poczty przy pomocy imapfilter

Bartosz Maciejewski27 października, 201129 lutego, 2012

Jeśli dostajecie mnóstwo maili codziennie, zapewne filtrujecie je w tym czy innym programie pocztowym. Jeśli jednak wyłączycie ten program, wszystkie maile trafiają do INBOX i tam czekają na swój los do czasu uruchomienia programu pocztowego który je odfiltruje. Problem pojawia się kiedy odbieramy maile na telefonie, lub na innym komputerze. Na innej maszynie można od biedy przenieść regułki filtrowania, ale robić to przy okazji każdego użycia nowego komputera albo webmaila nie ma sensu. W przypadku telefonu jest jeszcze gorzej, a ikonka koperty z liczbą 900+ zniechęca w ogóle do przeglądania poczty.

Do sprawy podchodzimy oczywiście kompleksowo, jako Admini wiemy, że trzeba się tak napracować aby się na dłuższą metę nie narobić :) Dlatego najrozsądniejszym rozwiązaniem jest użycie imapfilter’a na jakiejś UNIXowej maszynie, która i tak ciągle mieli powietrze (oczywiście w przerwach kiedy coś robi pożytecznego ;). Jeśli jesteście adminami własnego serwera pocztowego to już nie ma lepszego miejsca – łączenie do localhost jest najszybsze i najbezpieczniejsze bo nie wychodzimy poza maszynę gdzie mamy pocztę.

Imapfilter korzysta z języka LUA, którego składnia jest dość prosta a opcje imapfiltra bardzo dobrze opisane w man imapfilter_config.

Mój przykładowy konfig wygląda tak:

options.timeout = 120 options.subscribe = true


account = IMAP {

        server = 'localhost',

        username = 'login@domena.pl',

        password = 'haslo',

}
arpwatch = account.INBOX:contain_from('arpwatch@domena.pl')

account.INBOX:move_messages(account['Raporty.Arpwatch'], arpwatch)
vpnok = account.INBOX:contain_subject('VPN Accepted!')

account.INBOX:move_messages(account['Raporty.VPN.OK'], vpnok)
vpnbad = account.INBOX:contain_subject('VPN Rejected')

account.INBOX:move_messages(account['Raporty.VPN.Rejected'], vpnbad)
eventsentry = account.INBOX:contain_from('eventsentry@domena.pl')

account.INBOX:move_messages(account['Raporty.Event\ Sentry'], eventsentry)

potwierdzenia = account.INBOX:contain_subject('Przeczyt') + account.INBOX:contain_subject('Potwierdzenie doręczenia wiadomości') + account.INBOX:contain_subject('Potwierdzenie dostarczenia wiadomosci') + account.INBOX:contain_subject('Read:') + account.INBOX:contain_subject('Potwierdzenie otrzymania:') + account.INBOX:contain_subject('Potwierdzenie dostarczenia wiadomości') + account.INBOX:contain_subject('wietlono)') account.INBOX:move_messages(account['Potwierdzenia'], potwierdzenia)

Na co warto zwrócić uwagę:
+ oznacza OR
* oznacza AND
– oznacza NOT

Jeśli podkatalog w Maildirze zawiera spację, trzeba ją wyESCkejpować – np. Raporty.Event\ Sentry

Cały konfig zapisujemy w domyślnym katalogu dla imapfiltra czyli $HOME/.imapfilter/config.lua i odpalamy na początek z opcją -v aby zobaczyć więcej komunikatów. Jeśli plik z konfiguracją nazywa się inaczej lub jest w innym miejscu wywołujemy imapfilter -v -c /sciezka/do/konfiga

Jeśli nie ma błędów możemy przejść do dalszej części.

W zasadzie to jest gotowe rozwiązanie, jeśli jesteśmy sami na serwerze. Jeśli są inni użytkownicy, którzy dodatkowo posiadają prawa root’a albo po prostu nie pasuje nam pozostawiania swojego hasła gdzieś w postaci jawnego tekstu możemy zrobić taki manewr.

W przypadku NetBSD instalujemy paczkę:
wip/ccrypt: Encrypts/decrypts files using Rijndael block cipher
oraz
sysutils/shc: Shell script to C compiler

Piszemy prosty skrypt który będzie:

– dekryptował nasz konfig
– wykonywał konfig przy pomocy imapfiltra
– kryptował konfig z powrotem

na poczatek kodujemy config:

ccencrypt -e -K supertajnehaslo! config.lua

w wyniku dostajemy plik config.lua.cpt

Teraz skrypt:

#!/bin/sh ccencrypt -d -K supertajnehaslo! config.lua.cpt imapfilter -c /sciezka/do/pliku/config.lua ccencrypt -e -K supertajnehaslo! config.lua

Po wykonaniu tego skryptu jeśli ścieżki się w nim zgadzają do programów i do konfiga, uprzednio skonfigurowane filtrowanie powinno zadziałać.

No dobra, tylko co daje kodowanie pliku jeśli hasło podajemy jako parametr? W takim wypadku nic nie daje, łatwo podejrzeć hasło i zdekodować plik konfiguracji gdzie jest hasło do naszej poczty.

Należy zatem „skompilować” skrypt przy pomocy shc.

shc -v -r -T -f skrypt.sh

W wyniku dostaniemy:

skrypt.sh.x – binarka gotowa do odpalenia
skrypt.sh.x.c – kod źródłowy wygenerowany z naszego skryptu w takim jakby C.

Sprawdzamy czy uruchomienie ./skrypt.sh.x robi dokładnie to samo co odpalenie imapfiltra lub skrypt.sh. Jeśli tak to pozostaje nam skasować skrypt.sh gdzie mamy jawny klucz do zakodowanego pliku z konfigiem do imapfiltra gdzie mamy jawne hasło do naszego konta pocztowego :) oraz kasujemy skrypt.sh.x.c gdzie mamy źródła naszej binarki. Nadajemy prawo x do wykonywanie pliku – chmod 700 skrypt.sh.x

Na koniec dodajemy do crona wywoływanie programu co ileś tam minut:

crontab -e */1 * * * * /usr/home/cancer/skrypt.sh.x

Od teraz skrypt będzie dokonywał filtrowania co minutę na chwilę dekodując plik z konfiguracją, po czym będzie go kodował. Oczywiście rozwiązanie nie jest idealne, co prawda w ps hasło się nie pojawi, ale można debugować jakby się ktoś uparł. Lepsze jednak takie rozwiązanie niż żadne.

Job / Praca

tmux FTW!

Bartosz Maciejewski27 maja, 201129 lutego, 2012

W codziennej pracy Administratora, logowanie na wiele maszyn i przeprowadzanie update’ów, przeglądów, testów, audytów to niemal codzienność. Przy paru maszynach nie jest to takie problematyczne, przy kilku albo kilkunastu – codzienne logowanie może być już powoli frustrujące. Z pomocą przychodzi tmux czyli terminal multiplexer. Tmux to coś takiego jak screen, tylko lepszy :) Potrafi oprócz wielu sesji w jednym oknie które można przełączać, także dzielić okno na panele horyzontalnie i wertykalnie czyli dla osób które wytkną mi zaraz „polglisz” pionowo i poziomo. Wszystkie polecenia można podać jako parametr dlatego jedną komendą możemy sobie przygotować całe środowisko. Dla moich potrzeb – czyli logowanie się na bramki VPNowe w ilości 6 najlepszym rozwiązaniem jest siatką 3 wiersze na 2 kolumny. Dodatkowo po odpowiednim podzieleniu okna, następuje automatyczne logowanie przez ssh do odpowiednich maszyn dzięki kluczom bez hasła. Efekt ma być taki, że jedna komenda przygotowuje 6 maszyn do pracy zdalnej :)

Jedziemy:

tmux new-session -d 'ssh cancer@10.1.2.6' \; split-window -d 'ssh cancer@10.1.3.6'\; split-window -d 'ssh cancer@10.1.4.6'\; split-window -h 'ssh cancer@10.1.5.6'\; select-pane -t 2\; split-window -h 'ssh cancer@10.1.6.6'\; select-pane -t 4\; split-window -h\; attach

Krótkie wyjaśnienie:

new-session -d 'ssh cancer@10.1.2.6′ – tworzy nową sesję (okno główne i wywołuje komendę systemową w ”) -d powoduje odłączenie wszystkich klientów jeśli byli podłączeni.
split-window – dzieli okno, domyślnie w poziomie
select-pane -t n – wybiera okno (licząc od zera i od lewej do prawej)
attach dołącza do całej sesji.

Efekt:

Teraz już można od razu działać, nie tracąc czasu na logowanie się do wszystkich maszyn oddzielnie :)

Fun

Prezent noworoczny od operatora komórkowego.

Bartosz Maciejewski17 stycznia, 201129 lutego, 2012

Dzisiaj dostałem od naszego konsultanta sieci komórkowej, której nazwy nie pomnę coby na szykany nie narazić się i całej firmy – prezent noworoczny.

Chyba za dobrze negocjowałem rok temu stawki i w tym roku określili się jasno co mogę dostać. Przekaz jest jasny ;)

Z drugiej strony – nowozelandzkie wino o takiej nazwie, pewnie gwarantuje niesamowity smak w ustach. Chyba jednak postawie na półce jako dekorację, bo strach to pić ;)