Всички публикации от Nikolay

Сигурност в wordpress @ lug-bg meeting 2015

Здравейте,

тази година се включих като лектор в годишната среща на Linux потребителите в България. Бих искал да благодаря за интереса към лекцията презентацията.

Публикувам запис от презентацията и самите слайдове, ако някой иска да я прегледа или тества някой от описаните плугини.

Линк към слайдовете в PDF – WordPress_Security.

Криптиране на USB stick

В нашата компания, както предполагам и в 99% от другите компании няма строга и конкретна политика за употреба на преносими памети. Няма смисъл да ви убеждавам, че на почти всяка преносима памет има данни, които не искате да попаднат в трети лица.

Ще разгледам един бърз и ефективен метод за криптиране на USB флаш памети като имам определени изисквания:

  • Програмата за криптиране да е безплатна
  • Програмата за криптиране да може да работи без инсталация на компютъра
  • Потребителският интерфейс да бъде елементарен за употреба
  • Програмата да работи без забавяне на стари компютри
  • Програмата да е съвместима с почти всички масови операционни системи: Windows 2000/XP/Vista/7, Linux, Mac OS

За да спазим всички тези изисквания, ще използваме безплатната програма с отворен код TrueCrypt. Тя има страхотна и подробна документация, която е много полезна. Все пак мога да ви спестя малко четене, а и смятам, че моят метод е доста гъвкав.

Ето стъпките, които ще извършим (с кратки коментари):

  1. За флаш памети, върху които искаме да записваме файлове по-големи от 4GB или криптирания дял е по-голям от 4ГБ, предпочитам да форматирам флаш паметта във файловата система NTFS.
  2. Създаваме нов контейнер на преносимата памет (Volume -> Create New Volume -> Create an Encrypted file container -> Standart TrueCrypt volume). Избираме име на контейнера. Опциите за криптиране по подразбиране са най-подходящи. Важно: Няма нужда криптирания контейнер да заема цялото свободно място. Така може вашата преносима памет да съдържа  криптирано и некриптирано пространство. В моя случай съм оставил 750MB свободно некриптирано място от 32GB флаш памет. Важно е паролата, която избирате да е дълга.
  3. Има няколко начина за използване на създадения контейнер, разбира се само, ако имате паролата за него. Ще разгледам най-интересния за мен начин, а именно чрез използване на portable версия на програмата TrueCrypt. Така няма нужда да се инсталира програмата на който и да е компютър, защото тя се намира на некриптираната част от USB флаш паметта. За целта след като сме стартирали програмата избираме Tools -> Traveler Disk Setup. От File Settings избираме USB устройството, което ще използваме. От Autorun Configuration избираме Auto-mount TrueCrypt volume (specified below) и след това от вече активното поле избираме файла, който се намира на флаш паметта и ще използваме за контейнер. Натискаме бутона Create и това би било всичко, ако нямаше АКО…

На Windows 2000/XP/2003 всичко работи като пушка. За да демонстрирам, съм направил две снимки на екрана. При включване на USB устройството, операционната система прочита autorun.inf файла, който е създаден и се появява този прозорец:

mount-windows-xpПри натискане на бутона OK, програмата пита за паролата и ако въведете вярна парола създава ново виртуално устройство с първата свободна буква.

Ако искате да изключите виртуалното криптирано устройство, просто давате десен бутон върху флаш паметта (не върху виртуалното устройство) и избирате Dismount all TrueCrypt volumesunmount-windows-xpВсичко работи прекрасно, но не и на Windows Vista/7. При тях мерките са затегнати и autorun работи само при read only носители като CD и DVD. Затова си създадох два съвсем прости bat файла, които вършат същата работа, но с един клик повече.

mount-umount-windows7Файловете start.bat и stop.bat (да, имената са подбрани специално, за да бъдат разбрани от всички) съдържат:

start.bat съдържа следния код, където volume.tc трябва да бъде заместено с името на вашия контейнер:
TrueCrypt\TrueCrypt.exe /v volume.tc /a /e /q

stop.bat съдържа:
TrueCrypt\TrueCrypt.exe /d /q

С това задачата е изпълнена и си мисля, че този похват ще бъде имплементиран в нашата компания съвсем скоро.

Къде мога да намеря черно-бели филми

Имам интересна фото задача и исках да използвам няколко черно-бели филма, защото така или иначе проекта е в черно/бяло. Снимките са навън и са с голям контраст. Това поражда известни технически проблеми, но това е без значение.

Трябваха ми 2-3 рол филма със средна чувствителност – около 100АСА. Оказа се, че в нито една от големите фото вериги (няма да споменавам имена, всички ги знаят) няма един скапан филм. Тази липса на филми продължава с месеци. Не мога да разбера как която и да е уважаваща себе си верига от магазини поддържа 1 филм Ilford Delta 400 в единия си магазин, 1 филм Ilford Pan F в другия си магазин, а друга верига има един филм Ilford Delta 400. Да не говорим за малките фото ателиета, които продават филми със 100% печалба, така Ilford Delta 400 струва 15лв (за съжаление в блога нямам емотикон с изцъклени очи).

Последния възможен ден преди снимките ми изскочи късмета. Чух се с един приятел, а той ми препоръча фирма, която досега не бях чувал. Тук е мястото да похваля фирма „Екуипекс СЕ7“. Звъннах и се оказа, че имат налични много 35мм и рол филми в срок. Отидох и взех общо 15 филма. Жената беше много мила и ми направи отстъпка без дори да поискам такава. Разпитах и се оказва, че много студенти ползвали въпросната фирма, за да закупят филми. Също така зареждат редовно и поддържат наличност. Единствения минус на тази фирма е, че сайта им явно ползва стара версия на joomla и го е налазил някакъв зловреден код, затова не може да се влезе в него през Firefox (затова няма да давам линк към него).

Ето и адреса и контакти на фирмата:

Адрес: София, ул. Голаш бл. 24
Работно време: Понеделник – Петък, 09:00-17:30
Телефони: 02/8705049 и 02/9712276

flare.bg photography

Здравейте,

преди месец аз и приятели стартирахме нещо като фотографски сайт/проект, чрез който да показваме наши работи и предлагаме нашите фотографски услуги. Идеите как ще развиваме сайта са много, но само времето ще покаже кои ще реализираме и кои не. Иска ни се най-вече сайта да е интересен и полезен за начинаещите фотографи. Съвсем скоро ще стартираме блог, в който ще качваме полезна информация.

flare.bg – портретна, модна, продуктова фотография

Така сме решили да е цялото име на сайта. Както подсказва то, ще се фокусираме най-вече върху фотографията на хора. Ще пуснем и някои интересни снимки, идеи и съвети относно продуктовата фотография.

Ето и адресите, на които може да ни намерите, разгледате, добавите, харесате и т.н.:

Уеб сайт: http://flare.bg

facebook страница: http://www.facebook.com/Flare.bg

google+ страница: https://www.google.com/+FlareBgPhotography

twitter: https://twitter.com/flarebg

Ще се радвам на всякакви коментари, препоръки, забележки за сайта, включително идеи, желание за участие под някаква форма и т.н. Отворени сме към свежи идеи. Напълно съм наясно, че сайта е съвсем нов и все още не е придобил някаква конкретна насоченост, но да се надяваме, че това ще се случи съвсем скоро.

Споделяне на повече от една Интернет връзка в локална мрежа

Здравейте,

работя в голям офис, затова наскоро пуснахме втора оптична връзка към Интернет през друг доставчик. Двете връзки не се таксуват нито на свързване, нито на трафик, така че можем да ги наречем равнопоставени.

Понякога потребителите прекаляват с гледането на клипове, слушане на онлайн радиа и т.н., затова работещите колеги се оплакват от скоростта на Интернет връзката. Шейпърите не са опция във фирмата, затова реших да пусна част от по-работещите потребители през новата оптика, а останалите да си работят както досега.

Настройката е много бърза и малка, но все пак реших да я споделя, освен това е тествана и работи 🙂 Изходните данни са следните:

LAN (eth0):
IP 192.168.0.1
Mask 255.255.0.0

WAN1 (eth1):
IP 10.0.0.2
Gateway 10.0.0.1 (default gateway)
Mask 255.255.255.0

WAN2 (eth2):
IP 10.0.1.2
Gateway 10.0.1.1
Mask 255.255.255.0

Потребителите ползват Интернет през WAN1 по подразбиране, а избраните потребители през WAN2. Споделянето на Интернет връзката през WAN1 е осъществено с iptables и е тривиално, тъй като 10.0.0.1 е default gateway за самия сървър, който споделя Интернет-а.

За използване на втората връзка обаче ще трябва да извършим няколко допълнителни стъпки.

Първо искам да създам routing таблица за втората Интернет връзка. Искам да ѝ задам име, защото така е по-прегледно. Това става като редактирам файла /etc/iproute2/rt_tables. В него на най-долния ред записвам:

4 btcroute

С това задавам име на routing таблица номер 4, а името е btcroute, което явно подсказва, че връзката е към БТК.

Нека проверим какво има в тази routing таблица:

ip route show table btcroute
или същата команда, по номер на таблицата
ip route show table 4

Оказва се, че е празна. Затова ще трябва да я напълним 🙂

Тъй като ползвам един скрипт за настройка на всички потребители, ползващи Интернет във фирмата, скрипта първо изтрива правилата и после ги инициализира наново. Ако вие ползвате if-up и if-down, просто поставете частта за изтриването на правилата в if-down.

#flush old rules (изтриване на правилата за таблица 4)
ip route flush table btcroute
ip rule del fwmark 4 table btcroute
ip rule del from 10.0.1.2 table btcroute

След като сме изтрили правилата, ги създаваме наново

#add new rules (добавяне на правилата в таблица 4)
ip route add default via 10.0.1.1 dev eth2 table btcroute
ip rule add fwmark 4 table btcroute
ip rule add from 10.0.1.2 table btcroute

Да ги разясним какво правим. С първия ред добавяме default gateway за тази routing таблица. С втория ред решаваме, че всички пакети, които са маркирани с 4, трябва да се обработват с таблица 4. С третия ред казваме, че щом пакета е от алтернативния ни IP адрес (10.0.1.2), таблица 4 ще го обработи.

С това настройката на iproute2 завърши.

Следва да споделим Интернет връзката с някой от колегите, например 192.168.0.5. За целта трябва да изпълним следните две команди:

iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK –set-mark 4
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.0.5 -j SNAT –to-source 10.0.1.2

С първата команда маркираме със стойност 4 всички пакети, които влизат в PREROUTING талбицата на сървъра и са от IP адреса на щастливия 192.168.0.5. С втората команда маскираме Интернет връзката, така че да използва алтернативната Интернет връзка.

Използвана литература:

  1. http://linux-ip.net/html/adv-multi-internet.html