Tomasz Wendlandt

Bardzo ciekawą rzeczą, nieznaną jeszcze przez wiele osób jest technika port knockingu. Umożliwia ona, za sprawą wysłanej sekwencji pakietów (puknięć) do hosta, zdalne wykonanie wcześniej zdefiniowanego polecenia na wspomnianym hoscie, bez logowania się na niego. Niby nic nadzwyczajnego, ale ciekawą sprawą jest możliwość zdefiniowania sekwencji puknięć, które np. uruchamiają jakąś usługę, bez konieczności otwierania portów, na które przychodzi puknięcie.

Klasycznym zastosowaniem tego rozwiązania jest udostępnianie ssh na serwerze, wyłącznie gdy zachodzi taka potrzeba. Istnieje przynajmniej kilka implementacji tej techniki. Ja proponuję na początek projekt knock. Po zainstalowaniu demona knockd, w Ubuntu robimy to przez zwykłe

# apt-get install knockd

przechodzimy do jego konfiguracji.

logfile = syslog

logfile, chyba nie wymaga komentarza, ustawienie tego parametru na syslog spowoduje, że demon będzie pisać do sysloga.

sequence = 7000,8000,9000

sequence, to sekwencja, określająca porty, na które mają zostać wysłane puknięcia. Można też podać typ pakietów TCP i/lub UDP.

seq_timeout = 5

seq_timeout, czas w sekundach, w jakim musi zmieścić się sekwencja pukania.

command = /sbin/iptables -A INPUT -s %IP% -p tcp –dport 22 -j ACCEPT

command, polecenie systemowe jakie ma zostać wykonane

tcpflags = syn

tcpflags, knockd ma zwracać uwagę tylko na pakiety, z flagą podaną w tym parametrze.

Ostatecznie plik konfiguracyjny wygląda następująco

# cat /etc/knockd.conf
[options]
logfile = /var/log/knockd.log
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /sbin/iptables -A INPUT -s %IP% -p tcp –dport 22 -j ACCEPT
tcpflags = syn
[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /sbin/iptables -D INPUT -s %IP% -p tcp –dport 22 -j ACCEPT
tcpflags = syn

gdzie %IP% to IP maszyny, która wykonuje pukanie. W ten sposób wysyłając sekwencję pakietów tcp z ustawiona flagą syn na porty 7000,8000,9000 otworzymy dla siebie furtkę w firewallu na port 22, a zamkniemy ją wysyłając sekwencję pakietów na porty 9000,8000,7000. Do wysyłania sekwencji puknięć możemy wykorzystać np. SendIP, klienta knock lub dla Windowsa knockknock.

Polecam też stronę o port knockingu http://portknocking.org/. Nie twierdzę, że port knocking wpływa rewelacyjnie na poprawę bezpieczeństwa, jest jednak interesującą techniką, której warto się przyjrzeć.

Przeglądając www trafiłem na dwa mini projekty, które wizualizują historię powstawania dystrybucji Linuksa. Zamieszczam link do pierwszego jak i drugiego projektu.

Ostatnio na isptechu przewinął się krótki, ale ciekawy wątek odnośnie używania SFP (Small Form-factor Pluggable) obcych producentów, w sprzęcie Cisco. Wnioski z dyskusji są następujące: różnie w praktyce to bywa:), można używać, przeważnie działa, ale nie ma 100% gwarancji, że zadziała.
Przede wszystkim, aby móc korzystać z SFP obcych producentów, należy dodać do konfiguracji:

hostname(config)# service unsupported-transceiver
hostname(config)# no errdisable detect cause gbic-invalid

Ponadto Zbigniew Zych, podał link na stronę Cisco, gdzie czytamy:

Q. Do the Cisco Catalyst 3750 Series Switches interoperate with SFPs from other vendors?
A. Yes, starting from 12.2(25)SE release, the user has the option via CLI to
turn on the support for 3rd party SFPs. However, the Cisco TAC will not
support such 3rd party SFPs. In the event of any link error involving
such 3rd party SFPs the customer will have to replace 3rd party SFPs
with Cisco SFPs before any troubleshooting can be done by TAC.

Wczoraj miała miejsce premiera nowych iPodów piątej generacji.

Wraz z wydaniem kernela 2.6.14, dołączono do jego źrodeł projekt FUSE (Filesystem in Userspace). FUSE można używać jako moduł do kernela, pozwala on na montowanie systemu plików przez użytkownika, który nie posiada praw roota. Wraz z SSH Filesystem, dostajemy wygodne rozwiązanie dla ludzi posiadających kilka kont shellowych na różnych hostach, którym zbrzydło ciągłe kopiowanie plików pomiędzy maszynami za pomocą scp. Jak całość uruchomić?

Przede wszystkich trzeba skompilować kernel z obsługą FUSE, a następnie zainstalować sshfs. W Ubuntu robi się to przez zwykłe

# apt-get install sshfs

W drugiej kolejności dorzucamy moduł fuse

# modprobe fuse

Trzeba także dodać użytkownika do grupy fuse, tak by mógł mountować zasoby

# usermod -G fuse juggler

Teraz możemy potworzyć katalogi, w których będziemy montować zdalne zasoby i ostatecznie podmontować te zasoby

$ mkdir host1.domena.com
$ mkdir host2.domena.com

$ sshfs juggler@host1.domena.com:/home/juggler host1.domena.com
$ sshfs juggler@host2.domena.com:/home/juggler host2.domena.com

i to wszystko, od tego momentu w katalogu host1.domena.com i host2.domena.com mamy podmontowane zdalne zasoby po ssh. Możemy na nich wykonywać dowolne operacje jak kopiowanie, usuwanie, edycja, modyfikacja praw itd.

Gdy skończymy zabawę zdalne zasoby odmontowujemy poprzez

$ fusermount -u host1.domena.com
$ fusermount -u host2.domena.com

Jeżeli mamy wymienione klucze z wcześniej wspomnianymi hostami możemy je dodać na stałe do /etc/fstab

sshfs#juggler@host1.domena.com:/home/juggler /home/juggler/host1.domena.com fuse defaults 0 0

Trzeba oczywiście pamiętać o dopisaniu modułu fuse do /etc/modules, tak aby był ładowany przy uruchamianiu. W sumie żadna nowość, ale dużo osób nadal o tym nie wie. FUSE można oczywiście używać także pod 2.4.x.

W ostatnich dniach, na wortalach związanych z IT, pojawiła się informacja, że VMware i XenSource wspólnie pracują nad włączeniem mechanizmów wirtualizacji do jądra Linuksa. Współpraca ma doprowadzić, aby hypervisor jednej firmy był w stanie zarządzać wirtualnymi maszynami stworzonymi przez hypervisora konkurencji. Czyli maszyna wirtualna działająca pod kontrolą VMware będzie mogła być przeniesiona i uruchomiona pod XenEnterprise i odwrotnie. Brzmi ciekawie, pozostaje czekać na wyniki.

Kiedyś trafiłem na ciekawy link na stronie Cisco. W jednym PDFie zebrana jest wydajność wszystkich routerów w PPS (Packet Per Second) i Mbps (Megabit Per Second). Więcej podobnych dokumentów, typu rozpiska featuresetów IOSa, charakterystyka Multilayer Switch Feature Cards (MSFC’s), Supervisors dla Catalyst czy opis GBICów jest dostępny tutaj.

“Cisco wprowadził na rynek najmniejszą wersję swojego najwydajniejszego routera CRS-1 (Carrier Routing System). Urządzenie, przeznaczone dla dostawców usług sieciowych, zawiera 4 gniazda i obsługuje pakiety z szybkością 320 Gb/s.
W każdym z gniazd użytkownik może zainstalować 4-portową (OC-192; 10 Gb/s) kartę liniową lub kartę zawierającą jeden port 40 Gb/s. Urządzenie wspiera szereg zaawansowanych opcji zarządzania, które pozwalają sterować przepustowością poszczególnych połączeń.
Jedna z najważniejszych opcji nosi nazwę Secure Domain Routers. Pozwala ona tworzyć bezpieczne, wirtualne routery. Istotą rozwiązania jest to, że ruch w obszarze każdego wirtualnego routera jest odseparowany od innych segmentów sieci, a administrator może nim zarządzać niezależnie od tego, jakie zasady obowiązują w innych wirtualnych routerach.
I tak np. jeden wirtualny router może obsługiwać aplikacje VOD (Video-On-Demand0, drugi wspierać protokół MPLS (Multiprotocol Label Switching), a trzeci oferować usługi IP VPN.
Rozwiązanie pojawi się oficjalnie w ofercie Cisco w listopadzie. Cena – od 160 tys. USD. “
Orginalny tekst

Release note

http://youtube.com/watch?v=A_FsuBhhD4Y

http://www.youtube.com/watch?v=Ana2TUfpnG0