Category: it

Category was added automatically. Read all entries about "it".

Speaker Rabbit

Как нашли Badlock

После насыщенного бессонными ночами и напряженной работой месяца, мы выпустили обновления Samba для закрытия дыр Badlock. Я написал статью в блог Red Hat Enterprise Linux, где рассказываю о том, что это такое и как его открыли.
Speaker Rabbit

Roslyn

Микрософт опубликовала исходный код своей платформы компиляторов C# и F# под лицензией Apache License 2.0: http://roslyn.codeplex.com/

Это серьезный сдвиг, оправданный прежде всего с точки зрения бизнеса компании. Думаю, что metaclass теперь может возрадоваться и для своих бухгалтерий собрать свою платформу, и не с простыми червями, а с генетически модифицированными.
Speaker Rabbit

"отчет"

Следуя ishc, несколько беспорядочных описаний статусов. Некоторые используют твиттер, а мне неинтересно писать средствами этого телеграфа.
Collapse )
Speaker Rabbit

Охлох по-русски

Есть в России и такое: https://www.facebook.com/alena.vladimirskaya/posts/3791109369189

Для нежелающих смотреть в FB, дама-хэдхантер спрашивает, почему Хабр не сделает свой github для русскоязычных программистов "из провинции" и не монетизирует статистику их взаимодействия.

Ей там многое написали, включая "вон из профессии тех, кто не знает что такое и как пользоваться github", но меня интересует другой момент.

Всегда будут те, кто не может или не хочет использовать какие-то конкретные площадки. Хотелось бы понять, как предоставление хостинга проектов на русском языке и интеграция со статистической пузомеркой может помочь вытянуть людей "из провинции", которые сейчас не хотят выкладывать свои работы публично или не имеют для этого времени, не заинтересованы в этом эксгибиционизме, но хотят найти работу. Эти люди и так не идут дальше публикации резюме с непроверяемыми данными о своем трудовом пути. Что они будут делать с новой игрушкой?

Если этот ресурс будет предоставлять коммерческий хостинг для проектов тех индивидуалов, которые не хотят публиковать свой исходный код, то на основании чего ресурс будет использовать статистику коммитов в такие проекты и непубличную тусовку вокруг них для сводничества? Понятно, что условия хостинга можно в том или ином виде определить и заложить в рамки договора, но будет ли доверие со стороны потенциальных пользователей системе хостинга, чья основная задача будет состоять в накоплении информации, которую они сознательно хотят скрывать, раз уж выбрали непубличность своего репозитария, а, следовательно, и непубличность взаимодействий с ним.

Чем такой ресурс/проект может завоевать признание и доверие непубличных пользователей?
Speaker Rabbit

Отчет о SambaXP 2012

8-11 мая в Гёттингене (Германия) прошла конференция SambaXP (http://sambaxp.org). В год проходит несколько мероприятий, на которых собирается большинство разработчиков Samba и SambaXP -- главная из них в Европе. Конференция была впервые организована в 2002 компанией SerNet, расположенной в Гёттингене, и вот уже 11 лет радует встречами разработчиков, производителей решений на основе Samba и их пользователей.

Collapse )
Speaker Rabbit

Заначка

Согласно пункту 3.1.5.16 спецификации MS-FSA, "объектное хранилище ДОЛЖНО выставить Open.File.SecurityDescriptor в InputBuffer". Как результат, том NTFS должен хранить как есть данные, записанные приложением в DACL файла. Размер одной записи в ACL -- до 64Кб. Если учесть, что обычными средствами увидеть содержимое этих дополнительных записей невозможно, то вышеописанное представляет собой идеальный способ сокрытия данных на томах WinFS.

Такие дела, в изложении Микрософт: http://lists.samba.org/archive/samba-technical/2012-April/082770.html

Интересно, в специализированном ПО для forensic analysis этот случай учитывается? Если нет, то когда будет учитываться? На постсоветском пространстве эксперты соответствующего профиля о таком знают? А свядомые догадываются?

Теперь это реализовывать в Самбе... Bug for bug, feature for feature. :)
Speaker Rabbit

trust_fetch(): SUCCESS

Скелет начинает обрастать мясом. Одной из важных частей будущего FreeIPA v3.0 является возможность настраивать доверительные отношения с доменами Active Directory. Все это для того, чтобы пользователи FreeIPA и пользователи AD считались в обеих системам доверенными и не надо было их между собой синхронизировать. Теоретически, для того, чтобы это все работало, необходимо "лишь" использовать Kerberos. Проблема в том, что AD считает необходимым атрибутом доверительных отношений ответы по тем протоколам, которые она использует для своей внутренней деятельности. То есть, в первую очередь CLDAP и CIFS, причем так, что контекстуально информация, переданная по одному каналу (например, Kerberos протокол) должна быть понятна и в рамках запросов, использующих другие протоколы (CLDAP, LSA RPC). Это означает, что сервер Kerberos и другие службы как бы работают под одним крылом.

Для решения этой проблемы в Samba4 уже давно реализуются свой LDAP-сервер (и CLDAP в нем) и свой встроенный Kerberos-сервер (на основе Heimdal). Для того, чтобы внешние реализации LDAP и Kerberos могли бы обеспечить аналогичную функциональность, необходимо научить Samba отдавать некоторые операции наружу. В CIFS для этого теоретически существует end-point mapper, аналогичный RPC map для Sun RPC. То есть, один порт слушается smbd, а затем приходящие запросы раскидываются на обработчиков в отдельных процессах. На реализацию работающего диспетчера внешних обработчиков ушло несколько лет в Samba3, этот код стал стабильным относительно недавно.

Для того, чтобы установить доверительное отношение между двумя доменами достаточно не так и много вызовов. Создается пароль для доверительного отношения и, используя необходимые административные привилегии, отправляются два запроса LSA RPC CreateTrustedDomainEx2 -- к нашему серверу домена и к сервер доверяемого домена. Фактически, из основных требований здесь только административный доступ к чужому домену. В Samba3 в утилите net есть специальный раздел 'net rpc trust', который позволяет установить это самое доверие вручную. Утилита предполагает, что она запущена на своем же сервере с правами привилегированного пользователя, поскольку при работе ей требуется запись в некоторые базы данных Samba3, права на запись в которые выданы только руту, а открывает эти базы она самостоятельно.

В случае FreeIPA сам сервер FreeIPA, который занимается настройкой остальных сущностей, запущен как WSGI процесс, работающий под непривилегированным пользователем. При обращении к нему по XML-RPC или JSON со стороны клиента происходит делегирование имеющегося пользовательского билета Kerberos, на основании которого сервер FreeIPA и обращается к различным службам от имени этого пользователя. Службы в этом случае должны понимать авторизацию силами Kerberos, но сами по себе они работают тоже под непривилегированными пользователями, отличными от того, под которым работает WSGI процесс. Коммуникация между процессами идет средствами Unix domain sockets. То есть, использовать net rpc trust для установления доверительного отношения не получится, поскольку утилита net, запущенная из под пользователя apache, не сможет открыть напрямую соответствующую привилегированную базу, права на доступ к которой есть только у root. Впрочем, если бы они были у кого-то другого, это тоже было бы невозможно без принудительной выдачи прав на запись пользователю apache, что ломает всю стройную картину разделения прав.

У Samba4 есть автоматически генерируемые питоновые модули для довольно большой часть внутренних библиотек. Эти модули позволяют реализовать практически весь функционал 'net rpc trust' самостоятельно, обращаясь из кода на Питоне, запущенного под каким угодно пользователем, к соответствующим CIFS серверам, в том числе и локальному, работающему на том же сервере, что и FreeIPA. Беда только в том, что все эти модули не имеют нормальной документации и довольно неустойчивы к некорректным данным.

Это было введение. После некоторого количества итераций и патчей, как к FreeIPA, так и к Samba, удалось, наконец, реализовать подход, при котором все операции по установлению доверительных отношений выполняются из-под непривилегированного пользователя с применением делегированного билета администратора. Вот как выглядит простой запрос информации о домене (LSA RPC OpenInfoPolicy2), необходимый для определения параметров для заполнения запросов на установление доверительных отношений:Collapse )

Осталось дописать вызовы для установления доверительных отношений в код модуля FreeIPA и большая часть функционала для FreeIPA v3.0 будет реализована.
Speaker Rabbit

PowerShell Enteprise Certified Administrator

Прелестно: Windows 8 администраторам будет рекомендовано выучить консоль и использовать Windows 8 в режиме без графического интерфейса.

http://blogs.technet.com/b/server-cloud/archive/2012/01/11/windows-server-8-server-applications-and-the-minimal-server-interface.aspx

В дополнение к серверному ядру (Server Core) и графической серверной среде (Server Graphical Shell) будет еще минимальный серверный интерфейс (Minimal Server Interface) -- локальные средства администрирования без Internet Explorer, мультимедии и десктопа в целом. В серверном ядре будет недоступна MMC (графическая консоль управления), поэтому все snap-in пойдут лесом, пока не будет установлен Minimal Server Interface. А Internet Explorer и движок MSHTML нужно будет доустанавливать отдельно.

С Server Core будет поставляться .NET Framework 4.5 и PowerShell. Так что, видимо, все админы должны готовиться знать PowerShell и C#. PSEC, короче, Администраторам.

P.S. Очевидно, получается пятничная тема, да еще и 13-го.
Speaker Rabbit

Линуксовка в SaM Solutions: В Новый Год с А.Боковым.

Поскольку всю организацию процесса взяли на себя уважаемые SaMовцы, то мне остается только перепостить. Кто будет в Минске 30 декабря, приходите!

Originally posted by mend0za at Линуксовка в SaM Solutions: В Новый Год с А.Боковым.
Представляют SaM Solutions (отдел Linux & Embedded) совместно с MLUG (Minsk Linux Users Group).

Место: Минск, ул. Филимонова 15, комн 316 (3 этаж, от лестницы прямо и направо).
Дата и время: 30 декабря (пятница) 15:00-19:00

Краткая справка: Боковой Александр aka “ab”. Principal Software Engineer в Red Hat, ex-Nokia, ex-IBM, ex-SaM Solutions (Dept6).
Участник Samba Team, был замечен также в Maemo/MeeGo, ALT Linux, Midgard Project, Fedora и многих других интересных местах.
Ветеран Minsk Linux Users Group (двух созывов).

Формат мероприятия - линуксовка:
а) непринуждённые разговоры о Free / Open Source Software
б) Linux в кровавом энтерпрайзе
в) Ligthning Talks (http://perlrussia.ru/lightningtalks/mjd/) - блиц-выступления по 5 мин.
Кому надо - есть проектор и доска. Желающие - могут заявить темы прямо на месте, без предварительной подготовки.
г) чай/кофе/плюшки
д) ностальгические беседы ветеранов броуновского движения

Вход - свободный.

Ожидается участие:
- ветеранов легендарного отдела Dept6 SaM Solutions
- Minsk Linux Users Group members разных лет
- OpenStreetMap Belarus
- специальных гостей из компании Promwad
- оргкомитета конференции Linux Vacation Eastern Europe

Чай, кофе, плюшки и прочее - включено.

Контакт организаторов:
XMPP/Jabber/GTalk: mend0za at jabber.org.by
email: v.shakhov at sam-solutions.net

PS: вот уже не думал, что снова когда-нибудь понадобится тэг “mlug”.