28 февр. 2010 г.

Debian. Неофициальные репозитории пакетов

Некоторое количество неофициальных репозиториев Debian - тут. Вполне может пригодиться.

13 февр. 2010 г.

Samba + Корзина

Интересное решение "защиты от дурака" для samba-шар - реализация Корзины на открытых файловых ресурсах. Делается через механизм VFS. Подробности и пример конфига - тут.

10 февр. 2010 г.

samba + unix accounts

Поставил я на новый сервер Lenny, завел там с полтора десятка пользователей. И нужно теперь развести, согласно данной заказчиком бумажке, этих пользователей по различным samba-шарам, с учетом указаний видимости/невидимости тех или иных общих каталогов. Умолчальный для меня способ - завести согласно списку unix-пользователей список smb-пользователей и уже средствами samba-ы развесить нужные разрешения. Однако лень. В итоге брожения по Сети на предмет поиска идеи упрощения своей тяжелой и неказистой жизни привели к следующим выводам:
1) как вариант, использовать существующие учетки системных (/etc/passwd, /etc/shadow) пользователей, авторизуясь, тем самым, через PAM. Однако тут есть существенные грабли. Как выяснилось практически и теоретически, механизм обмена аутентификационными данными у PAM и samba шифруются разными алгоритмами, и поэтому отправить самбу к PAM'у можно (obey pam restrictions = no), но бессмысленно - хеши паролей не совпадут  со всеми вытекающими. Чтобы  это обойти, требуется дополнительно отключать шифрование паролей со стороны сервера (encrypt passwords = no) и принуждать smb-клиентов отсылать пароль в plaintext, что запрещено по умолчанию как в linux, так в windows. Для этого smbclient следует запускать с указанием альтернативного конфиг-файла, в котором записано следующее (рецепт отсюда): 
[globals]
    client lanman auth = yes
    client plaintext auth = yes
В случае win-клиента необходимо поправить реестр, запустив такой reg-файл:
REGEDIT4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanWorkStation\parameters]
"EnablePlainTextPassword"=dword:00000001
Или вручную, в Администрировании - рецепт тут.
Таким образом, клиент, желающий аутентифицироваться будет отправлен к PAM'у, где его будет ждать
auth    required        pam_unix.so nullok_secure
2) Можно утащить все в LDAP и c помощью того же PAM'а авторизовывать всех и вся. Рецептов - вал. Такой способ я считаю единственно верным в достаточно большой компании со сложной инфраструктурой и, возможно, частыми изменениями учетных данных и прав доступа. Внеся необходимые изменения в одном месте, получаем изменения во всех точках, касающихся авторизации.
3) Миграционно-ленивый метод. Здесь мы не выступаем против разграничения  /etc/passwd и smbpasswd. С другой стороны, мы противимся мартышкиному труду вбивания n-ного количества пользователей два раза, с последующим слежением (при необходимости) за синхронизацией изменений. Используя libpam-smbpass, мы будем создавать базу smbpasswd из существующей /etc/passwd постепенно. Тут можно поступить двояко. Или введя дополнительно в PAM следующее условие:
auth    optional        pam_smbpass.so  migrate
Таким образом, внеся это в common-auth, мы получим создание smbpasswd-записи для аутентифицирующегося пользователя в любом сервисе, использующем common-auth (login, ssh, proxy...). А так как для введения сервера "в бой" мне придется как минимум единожды залогиниться в систему всеми пользователями, то задача решится сама собой.
Или, с другой стороны, можно дополнительно к использовать первый способ. Такой сценарий идеален для миграции с шар "всё всем" на шары "каждому по потребностям" без геморроя и возмущенных звонков пользователей. Включил на месяц, а потом прикрыл plaintext-лавочку. И секурность соблюдена, и нервы в порядке.
Также необходимо добавить в common-password следующую запись:
password        optional        pam_smbpass.so nullok use_authtok try_first_pass
Это даст нам возможность автоматической синхронизации учетных данных при смене пароля unix-аккаунта. Раз уж мы используем одинаковые аутентификационные данные для работы в unix -среде и доступа на smb-ресурсы, то подобная синхронизация необходима. 

2 февр. 2010 г.

Вниманию абонентов "Билайна"

Касается всех абонентов "Пчелайна". В свежей редакции договора "Об оказании услуг связи "Билайн" появился вот такой пункт: 
9. Соглашаясь с условиями Договора в настоящей редакции, Абонент выражает свое согласие на получения рекламной информации, распространяемой по сетям связи в целях и случаях, когда необходимость такого согласия предусмотрена нормативно-правовыми актами о рекламе.
Под рекламной информацией в рамках настоящего пункта понимается информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования (когда объектом рекламирования является третье лицо), формирование или поддержание интереса к нему и его продвижение на рынке. К рекламной информации не относится информация об Операторе и Услугах, доведение которой до Абонента Оператором обязательно в соответствии ФЗ «О связи», Правилами и другими нормативными документами в их развитие.
В случае несогласия Абонента с получением рекламной информации условия настоящего пункта не распространяют свое действие на взаимоотношения Сторон при условии, что Абонент:
- подпишет соответствующее заявление об отказе при заключении Договора или направит его в адрес Оператора в период действия Договора, в том числе при принятии изменения условий договора;
- откажется, позвонив на соответствующий телефонный номер. Подробности на сайте www.beeline.ru
Вот такие вот пироги. И действительно, за последнюю неделю несколько единиц спама уже мною было получено. Причем, редиски, номер в договоре не прописали, и, чует мое сердце, по www.beeline.ru можно до-о-олго его искать. На наше счастие есть Хабр, а на хабре есть статья, а в статье есть нумер - 0674 05551, позвонив на который, мы от сего пункта, согласно договору, отказываемся.
Да, а бланк заявления тоже имеется - вот.

1 февр. 2010 г.

SAMS + Y2010 Error

Кто пользует Squid Account Management System (SAMS) и еще не в курсе, почему у пользователя невозможно отобразить статистику за 2010 год, читать сюда.