LINUX.ORG.RU

Рабочее место шифропанка

 ,


20

5

Привет всем! Хочу показать своё домашнее рабочее место, а также место, где хостится бОльшая часть ресурсов http://www.cypherpunks.ru

Главная часть — два компактных сервера от ETegro Technologies. Xeon процессор (чтобы поддерживать ECC память), 16 GB ECC RAM. В каждом из них корзина для 4-х hot-swap SATA дисков, но в серверах только по два диска (2-3 TB) в ZFS зеркале. В одном сервере ещё и 100 GB Kingston SSD для L2ARC кэша. Всё это соединено гигабитной сетью не связанной с Интернетом. Один из серверов выступает в качестве шлюза к Интернету — для него отдельный 100 Mbps коммутатор стоит. Есть ещё какой-то дешёвый WiFi мост, но он не включался уже много месяцев, так как вся связь между компьютерами только по Ethernet. Серверы запитаны от ИБП. К одному из серверов подключён монитор, выводящий кой какой мониторинг.

К этом подключается рабочий ноутбук — Dell Latitude 3470: довольно дешёвый, с вполне сносными характеристиками (Intel i5 на архитектуре SkyLake, 8 GB RAM, 120 GB Kingston SSD). Так как работа за самим ноутбуком (его монитором и клавиатурой) довольно редка, то претензий к качеству экрана, клавиатуры и тачпада нет никаких (любое дерьмо сгодится). Обклеен наклейками: Bradi Cerebri Ectomia, GNU, FSF, EFF, FSFE тематика — с ними работает субъективно получше. К нему подключён USB хаб на четыре порта, но, к сожалению, его не видно за монитором. Full HD 27" Монитор подключается по HDMI (в ноутбуке нет DisplayPort) и крепится на кронштейне с газпатроном — легко сделать повыше/пониже, если хочется работать стоя. Обязательно наличие Beastie — BSD системы без него... я даже не пробовал как они без него работают, ибо сомнения.

Основной элемент без которого я бы вообще не рискнул работать — тактильная механическая клавиатура. Можно поменять серверы и взять какую-нибудь лажу, можно ноутбук 10 летней давности, можно много чего — но без тактильной клавиатуры жизни нет, в принципе, вообще. Так как всё программирование проходит в редакторе, вся почта проходит в редакторе, даже набор формочек в броузере проходит в редакторе... то интерфейс между мной и редактором должен быть первостепенной важности. В данном случае это Filco Majestouch 2 с MX Blue переключателями. Абсолютно никаких к ней нареканий. Справа от неё трэкбол Kensington Expert — 4 больших полноценных кнопки, большой с хорошей инерцией шарик и колесо прокрутки вокруг него.

Работа немыслима без хорошей музыки в ушах. Asus Essence One MkII USB звуковая карта, Beyerdynamic A1 усилитель и Beyerdynamic DT990 Pro наушники — идеально под это подходят. В данный момент ноутбук ещё и заряжает сотовый телефон: OpenPhoenux (GTA4), служащий на ура уже много лет. Всё это размещается на столе Ergostol Duo — его высота может регулироваться электрическим приводом, пуль управления которого рядом с сотовым телефоном. Можно буквально все выходные провести в стоячем положении за ним. Но пришлось приобрести кронштейн для монитора — в сидячем и стоячем положении у него должна быть разная высота.

Что касается ПО, то на всех серверах и ноутбуке или HardenedBSD (в том числе в виртуалках) или FreeBSD. Все файловые системы это только ZFS (ну кроме флешек которые нужно сувать в чуждые ОС). Самое важное и ценное с точки зрения конфиденциальности расположено на зашифрованных GELI разделах: AES-XTS режим, но без явной аутентификации, ибо, так как внутри раздела ZFS, то изменить данные не получится, не нарушив целостности ФС. Трафик между серверами шифруется IPsec-ом, между ноутбуком GoVPN-ом. На шлюзе в качестве firewall: ipfw и ядерный встроенный в него NAT (к сожалению приходится иметь дело с IPv4). Касательно серверного ПО не буду вдаваться в подробности.

На ноутбуке в качестве оконного менеджера — DWM. Терминал — st. Шрифты — Inconsolata LGC. Почти всё автоматически запускается под Tmux — несколько буферов обмена, scrollback буфер с большой историей и возможностью поиска, табы, скриптование. БОльшую часть времени провожу в Vim редакторе. Почта читается в Mutt. В качестве IRC клиента — irssi, Jabber/XMPP — Bitlbee, Tox — Toxic. RSS/Atom новости сыпятся в почту через rss2email Python программу, хотя когда-то очень любит Newsbeuter. Музыка слушается Cmus-ом. На одном из серверов мультимедиа библиотека, доступ к которой идёт через NFS. На одном из серверов запущен почтовый — почта сыпется не в mailbox, а в NNCP который сохраняется в своём буфере исходящих сообщений письма для ноутбука. Когда он подключается к серверам, то забирает/отправляет всё что накопилось. Если нужно сбросить на серверы бэкапы или какие-то данные для хранения, то, опять же, все они отправляются в NNCP набор утилит чтобы fire-and-forget-ом пересылать большие объёмы данных когда появляется связанность машин.

>>> Просмотр (1296x774, 144 Kb)



Проверено: JB ()

Ответ на: комментарий от Pyzia

Ваше соединение не защищено

Ещё видать и Lets Encrypt не осилил.

th3m3 ★★★★★ ()
Ответ на: комментарий от Pyzia

Не путайте людей. https:// версии нет. И не несите клеветы о том что я якобы чего-то не осилил. Осильте, прошу вас, сделать DNS запрос на http://www.cypherpunks.ru и посмотреть кто и как вам ответит на 443-их портах получившихся хостов.

stargrave ()
Ответ на: комментарий от stargrave

Официально нету сайта https://www.cypherpunks.ru/.

А неофициально он торчит, так может попросишь роскомнадзор, чтобы он заблокировал твой хттпс, чтоб кто попало не видел то, чего официально нет?

Pyzia ★★★★ ()
Ответ на: комментарий от Pyzia

Как в анекдоте когда мужчина жалуется на то что у него из окна видно женскую баню. Комиссия приходит и говорит что ничего не видно. А он им: а вот если вы на шкаф залезите и за батарею схватитесь, то вот тогда видно.

Это ваши проблемы что вы куда-то там лазаете и видите то, чего не хочется.

stargrave ()
Ответ на: комментарий от stargrave

О, я много чего вижу, друк. Торент, ирка, тор-нода, почтовик, днс, а что на 7000 у тебя висит, не подскажешь? ну малацца, что поднял, так держи, но всё-таки «неофициальное» на своём хосте лучше закрывай, хоть ты и не справился за 12 часов, главно друзякам это не говори и будешь норм панк на шифре.

Pyzia ★★★★ ()
Ответ на: комментарий от Pyzia

Молодец что nmap осилил. Вот если бы ещё и подключился openssl_client/gnutls-cli/stunnel то увидел бы что на 7000 порту IRC за TLS-ом (могу ошибаться, но мне казалось что nmap может даже TLS попробовать сделать). Ну и ты только половину перечисили наверное от того что там ещё назапущено.

А «закрыть» http://www.cypherpunks.ru TLS проблемы. Закрыть порт — нельзя, так как там вполне себе HTTPS валидные https://lists.cypherpunks.ru например. Сделать там другой сертификат — так уже понабегали другие (лазащие во все порты), говоря что у меня там не в порядке всё. Или как должен HTTP сервер ответить на TLS соединение по неизвестному домену? Нет нормального решения: везде найдутся типа вас которые придерутся к чему угодно другому, считая что шифропанк это чувак способный настроить TLS (!!! уж молодец он какой!).

stargrave ()
Ответ на: комментарий от stargrave

Так как люди, воспитанные корпорациями, очень очень хотят увидеть заветный business-oriented HTTPS, не смотря на то, что будет одна точка отказа для данного ресурса (ведь приватные ключи могут находится только на подконтрольном мне железе) (им плевать на доступность данных), то я, так уж и быть, сделал костыль в виде перенаправления TLS трафика с одного из round-robin IP-шников http://www.cypherpunks.ru на HTTPS сервер. Теперь все могут удовлетвориться https:// версией. Хотя .onion версия (http://vabu56j2ep2rwv3b.onion) была давным давно.

stargrave ()
Ответ на: комментарий от masterdilly

Откуда уверенность

Topre

У меня уже несколько лет Topre Realforce 87u Black Silenced. Хорошая, но ничего экстраординарного. Не могу утверждать, что на голову выше чем Cherry, у меня никогда не было клавиатуры с Cherry. А у вас была? Какие конкретно это были Cherry, какой цвет?

Camel ★★★★★ ()
Ответ на: Откуда уверенность от Camel

Были все MX, кроме нового (бесцветный). Был topre разной силы нажатия. Были и от Microsoft. Не было только Kinesis. Может под её углом работать на MX будет приятна, я не знаю, не пробовал.
Так вот, лучше hhkbS («S"ilence тут главный фактор, так как переключатели по нажатию другие) - лучшее седло.

masterdilly ()
Ответ на: комментарий от NextGenenration

LLVM ещё два раза. Iridium — на «поглядеть» на этот геморрой.

Сколько оперативки выделяешь под сборку?

Оно как-то само — я в этом не участвую.

iZEN ★★★★★ ()
Ответ на: комментарий от iZEN

Оно как-то само — я в этом не участвую

Меня интересует возможный опыт сборки крупных проектах на ограниченных ресурсах

NextGenenration ★★ ()
Ответ на: комментарий от stargrave

Сертификат был подписан с использованием алгоритма подписи, который был отключён, так как он небезопасен.

Ладно, давай это предположим. Давай предположим, что все сертификаты в цепочке не проверяются. Ладно, ок. Объясни, о великий гуру, ошибку процитированную, которая появилась при заходе на твой гит. Нет, я не спорю, что именно для git.stargrave.org сертификат нормальный, а вот выше? :)

Просто чтобы до тебя дошло наконец - ВСЕ сертификаты проверяются в цепочке, предоставленной сервером:

Verify return code: 19 (self signed certificate in certificate chain)

А вот с en.pztrn.name, который защищен Letsencrypt и у которого сертификат CA в локальном хранилище:

Verify return code: 0 (ok)

Проверь сам с помощью openssl. Почему self-signed - это и так понятно, потому что его нет в хранилище сертификатов на моей системе, следовательно, этот сертификат также, как и сертификат для объекта, будет проверен. А если вышестоящего нет - привет сообщение про self-signed. А root у CACert еще и md5 - отсюда и сообщение первой строчки.

Как вы смеете меня обвинять в том, что я как баран не ведусь и не играю в игрушки корпораций.

Я утверждал не это. Или у вас бомбит от слова «корпорации»?

Более того, вы вообще не имеете права что-то обсуждать по поводу безопасности, после того как заfailились на претензии о подписи с MD5 хэшом для *CA* сертификата.

Ты зафейлился, утверждая про какой-то out-of-band, предоставляя всю цепочку сертификатов. Out-of-band ничего не передается, сертификат либо у тебя в локальном хранилище, либо передается с цепочкой. А то, что с корневым сертификатом у CACert полная жопа - это да.

Мне плевать сколько есть *vendor-specific* утилит. Мне хочется видеть утилиты опирающиеся на стандарты, на стандарты запросов на сертификаты: PKCS# 10, CRMF, CMC, итд. И они с нами есть, независимые от вендоров: openssl, certtool как минимум.

Хы. Ну давай так, вот тебе драфт - https://datatracker.ietf.org/doc/draft-ietf-acme-acme/. Что будешь отвечать, когда его примут?

Как вы смеете меня обвинять в том что я не раздвигаю (как вы) булки перед этими отморозками?

У тебя в прошлом проблемы с этим были, или что? Зачем опускаться до такого? И до всего прочего, что у тебя по тексту далее в этом пункте.

pztrn ★★★★ ()
Последнее исправление: pztrn (всего исправлений: 1)
Ответ на: комментарий от pztrn

Out-of-band ничего не передается, сертификат либо у тебя в локальном хранилище...

А как у вас локально оно оказалось? Именно out-of-band и передано: с диском от дистрибутива или там с покупкой компьютера. А вы говорите что ничего не передаётся. Противоречите сами себе. Так что вы заfailились уже второй раз.

Касательно вашей проверки цепочки: вы всё верно описали. Только не сделали поправку на то, что у вам LE CA сертификат наверное импортирован и поэтому ошибки не возникло. Система проверяющая цепочку не может доверять и не может быть уверена в том что цепочка полная и что её последний элемент является действительно «root» CA. Посмотрите RFC 5280 и разделы о том как надо цепочку проверять: везде предположения о том что CA уже импортирован и его можно будет найти по issuer-у. Во всех остальных случаях будет fail, но не регламентировано какой именно ошибкой. Mozilla вот да — падает с тем что видит MD5.

А до всего остального я опустился потому-что вы начали меня обвинять в некомпетентности без вменяемых объяснений. Пока вы не понимаете суть подписей CA, пока вы не учитываете что проверка цепочки у вас на компьютере с LE имеет локально установленный CA сертификат. Вы технически/криптографически менее грамотны и начали обвинять. Думаю что вы просто тупо троллите, поэтому моим мудрым шагом будет закончить с вами общение. Повторюсь: объективных оценок CA не может быть (ну когда явно нет технических fail-ов конечно же), а вы всё пытаетесь заставить меня перейти на другой CA (и до сих пор без объяснения весомых технических причин и с закрываением глаз на то что оно только добавляет геморроя (короче время жизни сертификатов и необходимость установки vendor-specific софта (когда их draft примут — тогда и поговорим)).

stargrave ()
Ответ на: комментарий от stargrave

Только не сделали поправку на то, что у вам LE CA сертификат наверное импортирован и поэтому ошибки не возникло.

То есть это единственная может быть причина, потому что импортирован? Других причин нету? :) А если он не импортирован, но все равно валиден? Почему?

имеет локально установленный CA сертификат

Да, и я ранее писал, как он был импортирован и какую прошел проверку. Почему эту проверку не может пройти CACert?

Повторюсь: объективных оценок CA не может быть

Может, только вы в них не поверите. Вы упоротый.

везде предположения о том что CA уже импортирован и его можно будет найти по issuer-у.

Предложи методологию лучше. Только так, чтобы это работало. В текущем виде система (с большими огрехами, конечно) работает.

А до всего остального я опустился потому-что вы начали меня обвинять в некомпетентности без вменяемых объяснений.

Ладно давайте так: как только вы объясните, почему человек, называющий себя шифропанком, не использует современные средства (тот же letsencrypt или получение сертификатов по протоколу ACME) и не придерживается общих рекомендаций и здравого смысла (забудьте сейчас про RFC) - мы, возможно, сможем продолжить диалог. Или вы считаете, что использование HardenedBSD + шифрование дисков + web1.0 странички + хостинг пары сервисов в клирнете и в торе делают из вас шифропанка?

И да - я указываю «шифропанку», что он зафейлился, не предоставив адекватного сертификата для своего сайта. А «адекватным» сейчас считается как раз сертификат, который может пройти проверку в браузере, например. И вообще пройти проверку на валидность, включая всю цепочку.

с закрываением глаз на то что оно только добавляет геморроя

Только вот я забыл, когда последний раз РУКАМИ менял сертификаты. Все автоматизировано и у меня есть время для более нужных или приятных дел.

короче время жизни сертификатов и необходимость установки vendor-specific софта

Открываем поисковик и гуглим «ssl cert acme». Офигенный vendor-specific. Очень много CA уже адаптировало или адаптирует этот протокол, который можно использовать много с чем. Например, Caddy умеет автоматически получать и обновлять сертификаты по протоколу ACME. certbot (официальный клиент) умеет в webroot, что дает возможность использовать его с любым HTTP сервером.

а вы всё пытаетесь заставить меня перейти на другой CA

Нет, я просто пытаюсь понять, почему шифропанк не использует современные средства защиты, шифрования и их обеспечения.

Пока вы не понимаете суть подписей CA

А вы, значит, понимаете? И для доказательства этого швыряете ссылку на RFC, в котором что-то не регламентировано? Правильно, ведь блочить плохие методы хеширования браузеры, например, начали плюс-минус 7 лет назад (ориентируюсь на https://bugzilla.mozilla.org/show_bug.cgi?id=590364). До SHA1 очередь дошла недавно. А представленный вами RFC устарел лет пять назад минимум (нет, не перекрытием другим RFC, а отсутствием как раз обработки разных ошибок, что уже за гранью здравого смысла).

pztrn ★★★★ ()
Ответ на: комментарий от pztrn

Вы упоротый.
...мы, возможно, сможем продолжить диалог.

То есть, я должен после таких обращений ко мне (и тех что были раньше) продолжать диалог?

Шифропанком меня делает: 1) понимание того, что TLS не является адекватным и современным средством — достаточно посмотреть сколько косяков в нём сделано вплоть до версий 1.2 (или 1.1, не говоря уже об SSL). Пример адекватного средства? IPsec — часть его IKE протоколов даже формально верифицирована. IPsec с самого начала не имел никаких фатальных ошибок с проектировании. TLS 1.3 вроде бы действительно уже делается с привлечением специалистов, но сколько десятков лет понадобилось для этого. Ещё раз, подчеркну: TLS всегда был и пока остаётся наколеночным поделием, в отличии например от IPsec (если уж хотим говорить про масштабно используемые промышленные протоколы). 2) Понимание того, что TLS сделан так, что потенциально оставляет возможность делать MitM силовыми службами (они всегда могут прийти в CA и потребовать выдать им тоже валидный сертификат для нужной цели). Или мы с вами обсуждаем что-то серьёзное: или безопасно или нет, или мы не говорим о полумерах, защищающих только от соседа прослушивающего WiFi. 3) Популяризация PET средств, призыв/участие увеличивать anonimity set в сетях анонимизации, призыв создавать более независимые P2P/F2F решения, знакомства людей с криптографией, её основами, её кирпичиками, попытка заинтересовать и вовлечь их в этот прекрасный мир, написание софта типа GoVPN. Как минимум 1 и 2 пункты отличают меня от вас и делают куда более шифропанком чем вы.

Ваше игнорирование RFC и даже обращение внимание на срок давности, говорит что вы явно не знаете как устроен PKI в этом мире. Вы явно удивлены и морщитесь от того что действительно всё это делается на стандартах десятилетних давностей, сериализуется ASN.1 из 80-х годов, где люди битики экономили. Вас это явно удивляет, показывая что вы вливаетесь в эту тему недавно. Я искренне ненавижу то что делается на основе ASN.1, X.509 и искренне уважаю ACME протоколы с их куда более простыми (пусть и не столь эффективными) JSON-based протоколами, но, в отличии от вас, я работаю в сфере связанной с PKI и в мире всё завязано на убогих доисторических стандартах. Почему? Потому-что до безопасности и технического совершенства всем насрать — тут только и только бизнес и бумажки, с договорами о том что мы должны работать по стандартам. И даже забавно слышать что вы мне что-то хотите сказать про PKI и проверку цепочки сертификатов и говорите что я тычу вас куда-то не туда. Только этот 5280 RFC единственный и описывает как это должно производится. *Все* броузеры работают (обязаны) по нему. А вы хотите его проигнорировать.

stargrave ()
Ответ на: комментарий от stargrave

То есть, я должен после таких обращений ко мне (и тех что были раньше) продолжать диалог?

Но вы же продолжаете :)

понимание того, что TLS не является адекватным и современным средством

А их и сейчас нет. Но можно защититься от большинства угроз. А он государства вас ничто не защитит, да.

Вы слышали про PFS? Что, тоже никак не помогает?

Пример адекватного средства? IPsec

Мимо.

TLS всегда был и пока остаётся наколеночным поделием, в отличии например от IPsec

А какие ваши доводы, что IPSec это не наколенное поделие?

ставляет возможность делать MitM силовыми службами (они всегда могут прийти в CA и потребовать выдать им тоже валидный сертификат для нужной цели)

Как от этого застрахован CACert, которому вы доверяете?

Как минимум 1 и 2 пункты отличают меня от вас и делают куда более шифропанком чем вы.

А я говорил, что TLS - это суперская защита? Где? Может, перевирать не будем?

Ваше игнорирование RFC

Я его не игнорирую. Я говорю, что он не соответствует современным реалиям. Да, браузеры в большинстве пунктов его соблюдают, но это еще ничего не значит.

вы явно не знаете как устроен PKI в этом мире

Зря так думаете.

явно удивлены и морщитесь от того что действительно всё это делается на стандартах десятилетних давностей

Ни разу. Но пока нет ничего лучше этого всего.

но, в отличии от вас, я работаю в сфере связанной с PKI

Озвучьте, пожалуйста, сферу.

pztrn ★★★★ ()
Ответ на: комментарий от pztrn

Но вы же продолжаете :)

Каюсь, грешен и глуп. Спасибо что напомнили.

stargrave ()

Работа немыслима без хорошей музыки в ушах.

какая например ?

x905 ★★★★★ ()
Ответ на: комментарий от NextGenenration

Вот тебе задание: собрать KDE 4.14.3 из исходников. И ты получишь незабываемый опыт сборки крупных проектов на ограниченных ресурсах.

iZEN ★★★★★ ()
Последнее исправление: iZEN (всего исправлений: 1)
Ответ на: комментарий от stargrave

Что скажешь про браузер www/iridium, он действительно очищен от зондов Google Chrome?

iZEN ★★★★★ ()
Ответ на: комментарий от iZEN

Ничего не могу сказать. Первый раз про него услышал, да и размер софта настолько колоссальный, что там сложно всё оценить :-).

Я использую Lynx и Xombrero. Последний правда уже давно не поддерживается и использует сильно старую и вроде как небезопасную версию webkit, но удобнее броузера (для себя) не встречал. Когда-то давно использовал Firefox с Pentadactyl, NoScript, NoRedirect, HTTPS everywhere плагином, но pentadactyl перестал собираться на новых версиях, а постоянно поддерживать/пересобирать старую версию FF было лень, вот и переехал на Xombrero.

stargrave ()
Ответ на: комментарий от stargrave

xombrero-1.6.4 можно собрать как с Gtk2, так и с Gtk3 (по умолчанию). Движок www/webkit-gtk[23] обновился в мае прошлого года.

iZEN ★★★★★ ()
Ответ на: комментарий от iZEN

Я пока ещё собираю с gtk2, так как глазу сильно приятнее как выглядят табы. Но это возможно тривиально настраивается. Просто не пробовал. Но спасибо за информацию!

stargrave ()
Ответ на: комментарий от iZEN

собрать KDE 4.14.3 из исходников

что может быть ненужнее этого?

И ты получишь незабываемый опыт сборки крупных проектов на ограниченных ресурсах

Спасибо, однако твой совет бесполезен чуть более чем полностью

NextGenenration ★★ ()

Столик как у меня только шире

Deleted ()
Ответ на: комментарий от masterdilly

Cherry rules?

Таки если Cherry такое говно, то почему эти кнопки используются во всех кассовых аппаратах? Там бузинесмены рискуют десятками тысяч долларов.

Camel ★★★★★ ()
Ответ на: комментарий от NextGenenration

Отчего же бесполезен? Разве я тебе предлагаю пользоваться KDE после самостоятельной сборки? Нет, не предлагаю. Задача в получении опыта сборки больших проектов (на ограниченных ресурсах), а KDE - один из самых больших программных проектов. Его настройка и сборка занимает приличное время. У тебя есть возможность попробовать силы в настройке и сборке. Конечно, это при условии, что у тебя есть цель и желание её достигнуть.

iZEN ★★★★★ ()

А какой powerline используется и как от него впечатления, как пропускная способность?

Clayman ()
Ответ на: комментарий от Clayman

TP-Link TL-PA2010. Использовал в двух квартирах: в одной ~55Mbps, в другой 60-70 Mbps AFAIR. Работает, но было несколько раз то, что он «повисал», ничего не передавал, приходилось вытаскивать из розетки и снова втыкать. Впечатления очень положительные, несмотря на то, что это одни из самых дешёвых моделей.

stargrave ()
Ответ на: комментарий от BruteForce

Видел у коллег много. Лично мне в нём ничего не заинтересовало для моих use-case-ов, а кода в нём сильно больше. Но вот если понадобится когда-либо иметь возможность иметь несколько «колонок» окон, то надо будет смотреть на i3. Awesome, xmonad — не жалую. i3 уважаю.

stargrave ()
Ответ на: комментарий от hikikomori

Э, не. У вас немного другая версия — как у меня на работе (http://www.stargrave.org/photoes/work.jpg — хотя там и не видно толком). В этой версии у него пластиковые немного выпученные глаза, а в моей «домашней» они полностью тряпичные, никакого пластика. Ну и рот по другому пошит. Ну а суть то конечно одна.

stargrave ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.