Menu Zamknij

CVE 2017-milion-82 i kilka słów o listach mailingowych security

Fartem bo fartem ale zostałem odnotowany jako osoba zgłaszająca CVE 2017-1000082 które udowadnia że „systemd is not safe to run on a security critical machine. The developers are simply too lax about safety” (~Perry E. Metzger) bowiem kiedy wpadniemy na pomysł utworzenia usługi odpalanej przez zgodnego z POSIX użytkownika o nazwie zaczynającej się cyfrą (lub co odkryto później – zawierającego znak unicode) to systemd zfailbackuje do… roota. Bez zgłasznia tego faktu najmniejszym warningiem. A to już otwarte gwałcenie bezpieczeństwa.

Sieciowe bootowanie Linuksa w trybie „live” ale nie live-cd

Po długiej batalii o bezpieczeństwo 3 publicznych stacji roboczych (docodząc do paranoi w stylu totalnie ograniczony windows server) doszedłem do wniosku że najlepiej będzie jednak bootować je po sieci w trybie read-only – wówczas trzeba by się włamać na serwer, co już nieco łatwiej ograniczyć. Wystarczy teoretycznie postawić coś co wystawia storage i tyle. I tu zaczyna się zabawa – w TFTP, iPXE, NFS.

SpamAssasin i HTTPS_HTTP_MISMATCH

Ostatnio przeglądając folder w skrzynce Outlookowej z której moja organizacja robi brutalne forwardy do kilku osób natknąłem się na to że pewien normalny, zdrowy wątek w którym uczestniczyli ludzie na co dzień udzielający się w korespondencji, który trafił do spamu. Postanowiłem więc sprawdzić nagłówki…

Prosty slider

Znalezienie prostego (czyli nie wymagającego includowania tony pluginów do jQuery i pisania konfigu na kiladziesiąt linii) slidera w HTML proste nie jest. Dlatego napisałem własny – sflider (od oryginalnego projektu – sflider – SFI slider).

Gogs – git po SSH odrzuca połączenia

Wspaniały i lekki zamiennik Gitlaba na pozycji lokalnego serwera Gita – Gogs umożliwia klonowanie repozytoriów i wypychanie zmian także po SSH wykorzystując w tym celu systemowego daemona SSHD. Jednak typowa ręczna instalacja zakładająca utworzenie po prostu konta git (lub gogs lub jakiegokolwiek innego dedykowanego pod tą usługę) odetnie nas od możliwości klonowania i wypychania zmian po SSH.