pondělí 20. září 2010

Roháče - souřadnice vrcholů

Ne internetu jsem našel tento soubor obsahující souřadnice vrcholů Západních Tater a jejich nadmořskou výškku. Pro vlastní potřeby jsem si pár vrcholků ručně přepsal do formátu GPX.

http://geocaching.smejdil.cz/Rohace2010-WPT.gpx

Pro editaci souborů jsem použil šikovný program EasyGPS.

CiscoVPN a Ubuntu 10.04.1

Pro připojení do práce jsem doposud používal VPNC, které je pěkně integrované v Gnome do NetworkManager. Ale zhruba po hodině připojení spojení zamrzne. Patrně se po nějaké době reinicializuje spojení a to klient nějak neustojí. Na rychlé úkony se to použít dál Ale pokud má být spojení realizováno celý den, je to nepoužitelne :-(

Proto jsem se rozhodl používat klienta od společnosti Cisco, který je i pro Linux.

#
# CiscoVPN on Ubuntu 10.04
#
wget -q vpnclient-linux-x86_64-4.8.02.0030-k9.tar.gz

1. Rozbalíme VPN Client
tar xzf vpnclient-linux-x86_64-4.8.02.0030-k9.tar.gz

2. Download patch
wget -q fixes.patch

3. Vstoupíme do adresáře vpnclient
cd vpnclient

4. Aplikujeme patch
patch < ../fixes.patch patching file frag.c patching file interceptor.c patching file IPSecDrvOS_linux.c patching file linuxcniapi.c patching file linuxkernelapi.c patching file Makefile 5. Nainstalujeme klienta pomoci scriptu sudo ./vpn_install 6. VPN client vyžaduje nahrát patřičný modul kernelu sudo /etc/init.d/vpnclient_init start 7. Upravíme si konfigurační soubor a umístíme jej do adresáře Profile sudo cp myVPN.pcf /etc/opt/cisco-vpnclient/Profiles/ 8. Vytvoříme VPN spojení dle profilu sudo vpnclient connect myVPN


V konfiguračním souboru je třeba nastavit username heslo a group heslo, případně i další volby. Zde je nástroj na dešifrování group hesla, pokud jej neznáte.

20100922 Na ntb s 64bitovym Ubuntu 10.04.1 a s kernelem 2.6.32-24-generic mi návod sice funguje, ale již dvakrát mi celej system vythnul pri navázaném VPN spojení. Modul v kernelu dělá zjevně paseku. Našel jsem návod, ale zatím mi to šlo zkompilovat, a uvidim doma zda se to bude chovat lépe při navázaném spojení.

čtvrtek 16. září 2010

Tomcat SSL

Dnes jsem řešil pěkně vypečenej zadrhel. Před dvouma měsícema se spoustela aplikace, běžící na tomcatu, která vyžadovala užití SSL certifikátu, který app. používala pro komunikaci s jiným serverem. Vývojář vytvořil KEYSTORE a do nej uložil dodaný certifikát.

Úprava nastavení tomcatu byla následující

KEYSTORE=$CATALINA_HOME/conf/keystore
JAVA_OPTS=" ... -Djavax.net.ssl.trustStore=$KEYSTORE/mycert.truststore -Djavax.net.ssl.trustStorePassword=changeit"

Vše fungovalo. Až do doby, než se řešil problém ostatních aplikací, které dle vyjádření Java programátora nevidí Root CA certifikáty. Blesklo mi hlavou, že se to tou předchozí volbou přenastavilo.

Pátral jsem, kde má tomcat nejaké definice o keystore a nic jsem nenašel. Tak jsem hledal níže a kořenové certifikátý jsem našel v JDK.

find jdk1.6.0_21/ -name '*cert*'
jdk1.6.0_21/jre/lib/security/cacerts

Daný soubor obsahuje kořenové certifikáty certifikačních autorit, obdobně jako tomu je u prohlížečů. Pro řešení problému jsem vyexportoval certifikát z lokálního uložiště a importoval do cacert JVM, který zjevně užíva tomcat i v něm deployované aplikace (bez nutnosti nějaké konfigurace). Pro manipulaci s certifikátama java používá aplikaci keytool.

keytool -keystore mycert.truststore -list
keytool -keystore mycert.truststore -exportcert -file exportkey.crt

keytool -keystore cacerts -list
chmod 666 cacerts
keytool -keystore cacerts -importcert -file exportkey.crt
chmod 444 cacerts


Po restartu tomcatu a odstranění nevhodné konfigurace lokálního keystore z JAVA_OPTS, vše opět zařalo fungovat.

Doporučení: Po každé instalaci JVM (jre nebo jdk) je velmi vhodné změnit defaultní heslo "changeit" na nějaké bezpečnější.

úterý 14. září 2010

Samba + LDAP Password does not expire

Pokud používáte Sambu s LDAPem, po čase budete potřebovat měnit některé údaje uložené v LDAPu u jednotlivých uživatelů. Osobně jsem musel řešit malý ústupek v pezpečnosti a tím je zrušení expirace hesla.

Tato hodnota říká, jaké příznaky jsou nastavené.

sambaAcctFlags: [U]

Jak jení nastavení změnit ? Jednoduše, pomocí smbldap tools. Tabulka se Samba SAM Account Control Block Flags je zde.

smbldap-usermod -H [UX] novak

pondělí 13. září 2010

URL redirect

Způsobů, jak provést redirect URL je hnedle několik. V mnou poznamenaném odkaze je popsáno několik způsobu. Mnou nejpoužívanějsi mod_rewrite, Meta Refresh URL Redirect, PHP URL Redirect, ASP URL Redirect, Coldfusion URL Redirect, JavaScript URL Redirect a v neposlední řadě SSI Include URL Redirect.

http://www.seocompany.ca/seo/url-redirect.html

sobota 11. září 2010

Packet filter - příkazy

Občas se může stát, že ve firewallu pfSense nemáme povoloenou patřičnou IP a i přesto se např. potřebujeme dostat na webovou konfiguraci. Pokud se dostaneme např. skrze SSH z nějakého povoleného místa na konzoli, můžeme si manualně přidat další IP do nějake tabulky a tím si otevřreme vrátka. Malá ukázka jak na to.

pfctl -sT # vypis vsech tabulek
pfctl -t ip_MYTABLE -T show # vypis obsahu tabulky
pfctl -t ip_MYTABLE -T add 213.168.187.15 # pridani IP do tabulky

Oficiální stránka o firewallu Packet Filter je přeložená do češtiny.