Menu Zamknij

Manipulacja na systemie plików rootfs na żywo

Kiedy trzeba pomanipulować rootfs-em (na przykład trochę go pomniejszyć) to oczywiście najbezpieczniej i najprościej jest zabootować się do livecd i wykonać to wszystko poza systemem. Jednak nie zawsze jest to możliwe – głównym takim środowiskiem są VPSy wszelkiej maści nie pozwalające zabootować się do środowiska rescue. Jednak nic straconego – da się!

Moje środowisko pracy zdalnej na Windowsie (i macOS)

Jako że jednak potrzebuję windowsa jako głównego systemu na stacji roboczej od zawsze nasuwał się problemy – jak się podłączyć do serwerów linuksowych czy zbudować lokalnie jakąś paczkę. Po długich eksperymentach z cygwinem, mingw i innymi wynalazkami doszedłem do wniosku że jak potrzebuję mieć shella linuksowego żeby użyć grepa, seda i awka to wystarczy bash wbudowany w dowolnego klienta gita – na przykład cudowną aplikację Github Desktop. A jeśli chodzi o prawdziwe zainstalowanie prawdziwego pakietu to nie ma innej opcji jak maszyna wirtualna. Warto jednak dołożyć kilka kroków żeby było przyjemniej. Warto wspomnieć iż o słynnym Linuksie w Windowsie wydanym przez Microsoft nie warto wspominać. To cygwinowe ubuntu (lub SuSE) które nada się do basha, ale nawet emulatora terminala nie ma porządnego…

CVE 2017-milion-82 i kilka słów o listach mailingowych security

Fartem bo fartem ale zostałem odnotowany jako osoba zgłaszająca CVE 2017-1000082 które udowadnia że „systemd is not safe to run on a security critical machine. The developers are simply too lax about safety” (~Perry E. Metzger) bowiem kiedy wpadniemy na pomysł utworzenia usługi odpalanej przez zgodnego z POSIX użytkownika o nazwie zaczynającej się cyfrą (lub co odkryto później – zawierającego znak unicode) to systemd zfailbackuje do… roota. Bez zgłasznia tego faktu najmniejszym warningiem. A to już otwarte gwałcenie bezpieczeństwa.

Sieciowe bootowanie Linuksa w trybie „live” ale nie live-cd

Po długiej batalii o bezpieczeństwo 3 publicznych stacji roboczych (docodząc do paranoi w stylu totalnie ograniczony windows server) doszedłem do wniosku że najlepiej będzie jednak bootować je po sieci w trybie read-only – wówczas trzeba by się włamać na serwer, co już nieco łatwiej ograniczyć. Wystarczy teoretycznie postawić coś co wystawia storage i tyle. I tu zaczyna się zabawa – w TFTP, iPXE, NFS.

SpamAssasin i HTTPS_HTTP_MISMATCH

Ostatnio przeglądając folder w skrzynce Outlookowej z której moja organizacja robi brutalne forwardy do kilku osób natknąłem się na to że pewien normalny, zdrowy wątek w którym uczestniczyli ludzie na co dzień udzielający się w korespondencji, który trafił do spamu. Postanowiłem więc sprawdzić nagłówki…

Prosty slider

Znalezienie prostego (czyli nie wymagającego includowania tony pluginów do jQuery i pisania konfigu na kiladziesiąt linii) slidera w HTML proste nie jest. Dlatego napisałem własny – sflider (od oryginalnego projektu – sflider – SFI slider).