Приветствую.

Имеется типичный набор локалхостов в лице сервера-файлопомойки и нескольких роутеров (в VPN). Хочу две вещи: смотреть на графики из разнообразных чисел (начиная от мощности 3G-сигнала в одной из сетей VPN'а и aggregate traffic за день и заканчивая температурой жёстких дисков в файлопомойке и количеством тонера в принтере) и получать оповещения о заранее определённых событиях на почту (например, когда развалился туннель, перегрелись диски или отвалился их контроллер, заспамив лог ядра предупреждениями — увы, такое случается часто, потому что железо нищебродское).

Какой набор софта вы можете для этого посоветовать? Железа мало, поэтому разные там SNMP, discovery и шаблоны скорее вредны, чем полезны. В принципе, все необходимые данные со всех узлов я могу собирать с помощью самописных шелл-скриптов — от мониторилки нужна возможность запускать эти скрипты по расписанию (или в потоковом режиме), оповещать по электронной почте при наступлении указанных условий, складывать численные данные в какую-нибудь и уметь строить адекватные графики и диаграммы (включая несколько типов графиков из одних и тех же данных).

Некоторые мысли и ссылки на этот счет. Может где-то и на уровне капитана очевидность, но все-таки. Интересно мнение на этот счет.

Введение

Почему надо бороться? Ответ: потому что эта полностью закрытая аппаратная подсистема на материнской плате во всех чипсетах Intel уже примерно года с 2006. Имеет абсолютно прозрачный доступ ко всей памяти компьютера, к сетевой плате, может работать при выключенном питании (но включенном в элекросеть компе). Прошивка закрыта, от изменений защищена sha256 и т.д. Важно, что подсистема в том или ином виде присутствует даже там, где официально ее нет.

Формально, это как бы полезная подсистема, которая позволяет пользователю (если все правильно настроить) удаленно управлять своим компьютером, используя аппаратные возможности: то есть, независимо от ОС. Однако кто еще кроме пользователя может? :-)

То есть, это некое НЕЧТО, которое в принципе может делать что угодно в вашем компьютере.

Ссылки (так получилось, что на хабр):

Рассказ о Intel ME

Как отключить Intel Me

И еще статья про отключение Intel Me

К сожалению, методы отключения не являются гарантированными. Требуют модификации прошивки, что в системах с новыми процессорами затруднено.

Собственно мысли по нейтрализации

Если допустить, что отключить троянца от Intel или AMD (там тоже есть аналогичное - AMD PSP - Platform Security Processor) не удается, то что можно сделать для затрудения его работы без модификаций прошивок? Конечно, лучше всего не использовать троянское железо, но что поделать, если это слишком сложно.

0) Использовать OpenSource операционные системы. Они если и не защищают от этих технологий, то по крайней мере, и не помогают специально, чего вполне можно ожидать от винды или мака.

1) Шифрование диска или хотя бы отдельных файлов/каталогов.

Эта мера помешает автоматически дистанционно читать или модифицировать содержимое винчестера. Так как хардтроян работает вне операционной системы, он столкнется с невозможностью напрямую прочитать информацию с диска. Хотя в принципе, от него можно ожидать и извлечения из памяти ключей, но это уже более сложный уровень и например, небольшая модификация алгоритмов может обломать. Хотя с просто чтением из памяти ничего нельзя поделать. Во всяком случае мне неизвестно, чтобы Linux или BSD могли работать с постоянно зашифрованной RAM. Однако, если бы это было реализовано, оно сильно бы подгадило хардтроянцам.

2) Перекрыть на внешнем файрволе tcp порты 5900, 16992, 16993, 16994, 16995.

Эти порты штатно используются для работы с Intel Me. Не то чтобы следовало всерьез рассчитывать на нейтрализацию таким простым способом, но все же. По крайней мере, это может помочь, если система как бы штатно работает, но об этом владелей забыл или не знал, например, что-то по дефолту включил и т.п.

3) Использовать не-интеловскую сетевую карту.

Тоже не Бог весть чего дает, но как и в случае с OpenSource операционками хотя бы можно ожидать, что дополнительных возможностей не будет. В любом случае, чем более нестандартная кофигурация, тем сложнее работать хардтрояну. Так что, не лишнее и чего-нибудь навроде сетевого соединения через Firewire устроить.

4) Сетевые соединения в интернет или куда-то еще делать исключительно через VPN (или другой защищенный коннект) на сервер-файрвол с неинтеловской архитектурой или старый до 2006-го года комп.

Смысл в том, что хардтроян может мониторить трафик (например, для своей активации) или передавать что-то независимо от ОС, но ему затруднительно незаметно влезть прямо в защищенный поток данных. В то же время, если на файрволе связь с защищаемым компьютером исключительно через VPN это помешает несанкционированной связи с внешним миром. Более того, попытки такой связи можно будет детектировать. Даже если с какого-то внешнего ресурса что-то придет внутри пользовательских данных для работы с Intel Me (например, внутри якобы обычной картинки), туннель невозможно будет установить прозрачно для ОС. Во всяком случае без наличия уязвимостей в ней.

Вышла новая версия Kaitai Struct — языка спецификации произвольных бинарных форматов файлов, пакетов, протоколов и т. д.

Основная идея проекта в том, что формат бинарного файла описывается один раз на языке .ksy, после чего файлы такого формата можно рассматривать в визуализаторах, получая представление о том, каким байтам соответствуют какие значения элементов формата, сгенерировать человекочитаемую диаграмму формата, а самое главное — сгенерировать готовую библиотеку парсинга такого формата на одном из 8 поддерживаемых целевых языков: C++, C#, Java, JavaScript, Perl, PHP, Python, Ruby.

( читать дальше... )

>>> Подробности

Общее представление о конференции Linux Piter #2 мы постарались передать в видеоролике.

Все презентации мы выложили в открытый доступ на странице конференции. Мы также начали выкладывать видеозаписи докладов и планируем выкладывать по два ролика в 2-3 недели.

Во время конференции мы записывали небольшие интервью со спикерами и участниками конференции, их мы также активно выкладываем на нашем канале в YouTube.

Пишите в комментариях, какие доклады вы хотели бы увидеть, постараемся их выложить в первую очередь.

>>> Linux Piter 2016

Radare2 — это свободный кроссплатформенный фреймворк для реверс-инжиниринга, включающий дизассемблер, шестнадцатеричный редактор и анализатор кода.

( читать дальше... )

>>> Полный список изменений

В рамках нового экспериментального проекта KSM создаётся гипервизор для процессоров Intel с поддержкой VT-x и EPT. Релиз подготовлен для Linux и Windows. Прграмма написана на C и распространяется под лицензией GPLv2. KSM ставит своей основной задачей создание дополнительного уровня защиты для хоста, создавая песочницу для изоляции приложений. Поддерживается вложенная виртуализация, присутствует возможность создания окружений для запуска других гипервизоров. К отличительным особенностям KSM можно отнести обработку исключений #VE процессоров Intel при нарушении EPT (Extended Page Tables), а также применение VMFUNC над EPTP (Extended-Page-Table Pointer). В скором времени ожидается релиз для macOS, поддержка APIC, UEFI, Intel TXT (Trusted Execution Technology), а также AMD-V и NPT

>>> Подробности

Какая самая лучшая вебморда для докерсов, моя прелесть? (открытая/свободная/бесплатная). И почему?

Перемещено tailgunner из development

Доброго времени суток!

https://github.com/Firemoon777/tgfs
Собственно, сабж.
Реализован базовый набор функций (скачивание/загрузка/удаление), данные о диалогах пока хромают.

Всем привет.
Есть определенное желание направить свое свободное время в улучшение мессенджеров, использующих свободные протоколы, такие как XMPP. Тем не менее, сам XMPP не очень соответствует реалиям мобильного мира с его нестабильной связью, вероятностью наличия нескольких одновременно работающих клиентов и т.п., см. например тут.
Так вот, изобретать велосипед и городить свой протокол не хотелось бы - существуют ли какие-то протоколы, помимо XMPP, которые были бы полностью открыты, более-менее распространены и в той или иной мере решающие обозначенные мной вопросы?
Досадно, что нет нормальных открытых альтернатив всяким whatsapp и телеграммам.

Прошел игру Life is Strange, и немного остался недовольным. Обзор игры делать не буду, но советую погрузиться в нее поклонников жанра игр «интерактивное кино».

Мой вопрос: есть ли похожие текстовые игры? (написанные на tads, instead, renpy или других движках). Мои критерии: никакой боевки (ну или самый минимум, чтобы не напрягала), наличие несложных пазлов опционально. Основной упор на развитие сюжета и персонажей, обследование окружающей среды, диалоги, сложные моральные выборы, которые влияют на сам сюжет. И чтобы были хотя бы 2-3 сильно отличающихся ветки сюжетных линий.

На слуху testlink, из вспомогательных - xmind. Что есть еще интересного?

Добрый день.
Попробовал вещать с RaspberryPi , PiFM , получилось , теперь хочу большего , хочу сигнал вместо антенны вывести на базу транзистора а на эмитер подать вольт триста постоянного тока(выпрямленные и сглаженные 220вольт)
Получится ли у меня так передатчик помощнее ?

Пока грубо гуглю общие понятия. Чтоб потом нормальные вопросы организациям задавать. Но, наверняка, кто-то из местных уже ходил по этому полю граблей. Интересны советы.

Короче говоря планируется загородный дом. 1-2 этажа, квадратов 150-200. Нужно будет автономное отопление и ГВС. Вариантов собственно два: газ (магистральный или СПГ) или солярка.

Понятно, что магистральный это самая халява-халява из халяв. Но шансов на это мало, т.к. земля в таких местах сильно дороже.

Поделитесь мыслями :)

Вот мне интересно стало, можно ли из bash скрипта отловить факт того, что пользователь уже раз заходил в систему и теперь меняет пользователя? Меня не привилегии интересуют, а именно факт того, что текущая интерактивная сессия открыта через

su или sudo -i?

(Ну я имею ввиду более человеческий способ, чем парсить выхлоп ps axf.)

Здравствуйте всем. Я не силен в данной теме поэтому прошу помощи. Стоит дома комп 2 ядра по 3.0 GHz + 4 гб оперативки. Стоит centos 7 server. Установлено Nginx + php-fpm 7.0 + mariadb. Поставил цмску и попробовал протестировать на siege:

siege -c25 -d3 -t1M -i "http://test.site"
Availability: 93.49 %
siege -c50 -d3 -t1M -i "http://test.site"
Availability: 64.39 %

Также есть копия этого сайта на дешманском хостинге на апаче, так там показывает:

siege -c25 -d3 -t1M -i "http://test.site"
Availability: 100.00 %
siege -c50 -d3 -t1M -i "http://test.site"
Availability: 100.00 %

nginx + php-fpm по socet php-fpm:

• pm = dynamic
• pm.max_children = 75
• pm.start_servers = 35
• pm.min_spare_servers = 20
• pm.max_spare_servers = 40
• pm.max_requests = 500

MariaDB выставлен конфиг на хеви инноДБ на 4 гига оперативки. На nginx кэш и куки выставлены. Можете подсказать что нашаманить то надо чтобы дотянуть до хреновенького хотя бы хостинга, а то у них постоянный проблемы с аптаймами.

Debian stable, ядро 4.7 (4.7.8-1~bpo8+1) из backports, chroot работает

[host]# chroot /chroot_env /bin/bash
[in_chroot] # 

Тот же Debian stable, ядро 4.8 (4.8.11-1~bpo8+1) из backports, chroot НЕ работает

[host]# chroot /chroot_env /bin/bash
Segmentation fault
[host]# chroot /chroot_env /bin/dash  --- (dash работает)
[in_chroot] # bash
Segmentation fault
[in_chroot] # tcsh
Segmentation fault
[in_chroot] # ldd
Segmentation fault

selinux'a нет.

Что изменилось такого в 4.8? Что делать, кроме отката на 4.7?

Состоялся релиз FreeDOS 1.2.

Основные новшества:

• новый установщик, созданный Jerome Shidel;
• новые программы и утилиты, в том числе программа для воспроизведения звуков, утилита для обновления графических файлов, средства подключения к сети, веб-браузер, а также несколько Open Source игр;
• утилита FDIMPLES.

>>> Страница проекта

>>> Наиболее подробный список изменений из всех, что удалось найти

>>> Пресс-кит, включающий в себя описание изменений и скриншоты

Коллективный разум LOR-а, подскажи, каким инструментом решать следующую задачу:

Имеются наборы данных, над которыми требуется выполнять наборы хорошо распараллеливаемых операций. Чтобы было более понятно, примерами (умозрительными) таких операций могут быть «скомпилировать бинарный пакет для каждого исходного пакета в репозитории», «перекодировать с указанными параметрами каждое видео в указанном списке», «выполнить набор тестов для каждого варианта конфигурации приложения» и т.п.

Также имеется сетка на N узлов, на которых мы можем производить вычислениях.

Задача - обеспечить распределённое выполнение запрошенных операций на узлах сети. Т.е. необходимо раскидывать выполнение операций по узлам, обеспечивать банлансировку нагрузки, перезапускать операции на других узлах при выходе из строя некоторого узла.

В качестве инструмента для запуска операций предполагается использовать docker, и обработчики операций будут представлены образами docker-а. Даные для обработки будут доступны как тома. То есть, для выполнения операции «скомпилируй мне бинарный пакет для дебиана из вот этого исходного пакета» мы запускаем контейнер из образа «сборщик пакетов для дебиана» и подсовываем ему тома данных, откуда он возьмёт исходный и куда положит бинарный.

Контейнеры не предполагаются долговременно запущенными, т.е. они не сервисы. Контейнер сделал дело - умер и удалился. Для следующей операции будут поднят новый контейнер.

Как это сделать на локальной машине - в общих чертах понятно. А вот как это организовать в виде кластера - не понятно, с чего начинать.

Перемещено leave из development

Господа спецы по Java!

Поделитесь пожалуйста идеями: какие значения памяти можно отдавать JVM?

Грубо говоря, если у нас SOA, и часть компонентов попала на один сервак - стоит ли делать сто жвм на десять гигабайт (каждому сервису по жвм) - или одну на терабайт и впихнуть в неё ВСЁ? Какие аргументы есть для каждого из подходов?

Может, есть какие-то диапазоны памяти (пример: «от 30 до 40 гигабайтов»), которые НЕ стоит выделять под одну JVM?

Не цитату из методички политрука Оракла «наша жвм может что угодно», а как на самом деле?

Олсо, кто-нибудь покупал Азуловскую JVM, она на больших объемах рамы стоит того? Опять же хотелось бы не цитату из методички политрука, совет номер 1 - «всегда говори, что наш продукт самый лучший»