26 апр. 2011 г.

Отключение ssh fingerprints

В клиенте ssh имеется замечательный механизм защиты от возможных Man-In-The-Middle атак при работе с удаленными хостами. При попытке подключиться к ранее неизвестному хосту впервые считывается его fingerprint
The authenticity of host 'example.com (192.168.0.1)' can't be established.
RSA key fingerprint is 0e:33:94:9b:83:b1:d8:02:81:42:0f:0e:4c:c2:cd:98.
Are you sure you want to continue connecting (yes/no)?
и записывается в файл ~/.ssh/known_hosts
Warning: Permanently added 'example.com,192.168.1.1' (RSA) to the list of known hosts.
Впоследствии при подключениях он проверяется. Если если запомненный и высчитанный фингерпринты не совпадают, соединение сбрасывается (так как, возможно, мы пытаемся подключиться не туда, куда хотели)
:~$ ssh interra@192.168.0.1
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
e5:98:85:24:bd:62:f1:2f:9a:ab:f5:9f:24:e8:88:5c.
Please contact your system administrator.
Add correct host key in /home/delayer/.ssh/known_hosts to get rid of this message.
Offending key in /home/delayer/.ssh/known_hosts:212
RSA host key for 192.168.0.1 has changed and you have requested strict checking.
Host key verification failed.
Однако у меня в локалке это вызывает сильное неудобство, так как в сети часто появляются новые хосты (сервер приехал, настроился, уехал), которые получают одни и те же IP-адреса из заданного пула. И каждый раз приходится удалять запись о старом фингерпринте из known_hosts
Дабы этого не делать, а полностью отключать этот в целом полезный механизм, изменяем настройки ssh следующим образом (глобально - в /etc/ssh/ssh_config; для пользователя - ~/.ssh/config):
Host 192.168.0.*
   StrictHostKeyChecking no
   UserKnownHostsFile=/dev/null
И все, при подключении к хостам сети 192.168.0.0/24 фингерпринт проверяться не будет.

7 апр. 2011 г.

Debian Sid + udev start error

Свежее обновление Sid-а принесло сурприз, иксы начали стартовать без устройств ввода, то есть ни мышки, ни клавы. Исследования системы показали, что виноват в этом udevd, который не может стартовать при загрузке ОС. Причина такого поведения: появление в дистрибутиве каталога /run (откуда такой взялся, пишут, к примеру, тут), в который udev пытается что-то писать (в моем случае, записать файлик root-link-rule), но почему-то не может. А так как X.org сегодня не занимается устройствами ввода сам (отдав это на откуп udev + hal), то он запускается без оных. Workaround-ов два (пока не попилят udevd): или удалить каталог /run (тогда udev начнет работать по старинке и будет писать свои правила в /etc/udev/rules.d/ вместо /run/udev/rules.d/), или добавить в секцию ServerLayout файла xorg.conf директиву Option "AllowEmptyInput" "false".
Также по проблеме есть бага, так что ее пилят. Вроде как даже есть какие-то фиксы (обсуждают тут), но в официальный репозиторий они пока не утекли, ждем-с. ;) Там же предлагаются и иные способы решения проблемы.

6 апр. 2011 г.

win2k8 + http-принтер (CUPS)

Задача: Подключить к серверу Windows 2008 R2 принтер с рабочей станции под управлением Ubuntu 8.04 LTS
Проблема: При попытке настроить подключение через мастер выдается сообщение о невозможности найти принтер по указанному адресу.
Диагноз: Выяснилось, что в win2k8 по каким-то соображениям не установлен клиент для печати по IPP (хотя в во всей остальной линейке виндов, включая win7, он активен).
Лечение: В Панели управления найти пункт Включение и отключение компонентов Windows, далее найти пункт Добавить компоненты и, получив список, выбрать компонент IPP-клиент и установить оный. Затем в Службах перезапустить Диспетчер печати. После этого добавление сетевого принтера пройдет успешно.