Google v červenci ukončí další ze služeb. Bohužel to bude zrovna Google Reader. A tak jsem se začal poohližet po náhradě. Nejdříve jsem zkoušel News modul v Owncloud 5. Bohužel i přesto že vývojáři Owncloud tento modul vychvalují jako náhradu za Google reader tak zatím není moc použitelný. Takže nakonec jsem skončil u Tiny Tiny RSS. Vše v ní funguje na první šup a import přes OMPL z Google readeru proběhl bez potíží. Jako bonus je k teto čtečce i pěkná android aplikačka.

RIPE NCC již přiděluje adresy s posledního /8 bloku. Což znamená, že stavajíci LIR dostanou ještě nějaký výškrabek za tvrdších podmínek a noví již nic. Konec IPv4 v Evropě je tedy zde. Jsem zvědav jak se k tomu poskytovatelé postaví. V každem případě PODA už domácím zákazníkum dava jen 1 veřejnou IP. Doufam, že ji do budoucna ještě nespoplatní.

RIPE NCC

V pátek dorazila sonda od RIPE NCC z jejich projektu ATLAS. Sondu již mám zapojenu a měří. Zatím jsou zajimavé rozdíly dostupnosti jednotlivých kořenových DNS serveru přes IPv4/IPv6. V některých případech je rozdil i 100ms což se mi zdá dost.

Naše sonda 2873

Jelikož NFS používá k ověřování přenášení UID/GID RPC. Je zde problém že RPC používá AUTH_SYS (také se mužem setkat s označením AUTH_UNIX). Toto ověřováni vrací UID jako 32bitové číslo stejně tak GID primární skupiny do které uživatel patří a pak až 16 GID skupin do kterých uživatel patří. Pokud je tedy uživatel zaveden ve více skupinách RPC se o tomto vůbec nedoví.

Více informací zde.

Pokud používáte pro přihlašováni/podpisování nějaký certifikát nebo klič. Jistě Vás již napadlo že je to vlastně jen soubor chráněny heslem a že tedy může byt klidně odcizen a zneužit. A když například ztratíte notebook s takovým souborem nemůžete si byt jisti že se nedostal někam kam neměl. V horši variantě muže byt počítač napaden a útočník má jak Váš certfikat tak heslo k němu. A že by bylo tedy fajn oddělit tyto citlivé přihlašovací od počítače a nosit je sebou nebo je mít zamknuté třeba v šuplíku. A přesně tuto možnost nám dávají eTokeny nebo SmartCard. Do těchto zařízení lze nahrát certifikát. V zařízeni je pak chráněn tento certifikát PINem. A co je hlavní certifikát (tedy jeho privátní část) již ze zařízení nedostanete. A crypto operace (podpisování, přihlašování) se provádí přímo v tokenu.

V Linuxu lze pro tokeny použít open source midleware open-sc. Midleware je vrstva díky která dělá prostředníka mezi programem a tokenem. Token jsem použil od čínské firmy Feitan a zakoupil jsem ho na gooze.eu.

PKCS15 PKCS11 a co s tím? S těmito názvy se jistě setkáte při práci s tokeny. Jednoduše lze říci že PKCS15 je formát v kterém jsou na těchto zařízeních uloženy data. PKCS11 je pak API které slouží pro komunikaci programů s tokenem/kartou. Abychom mohli začít s tokenem pracovat je nutné nainstalovat midleware. Tedy balík open-sc ten si sebou ještě dotáhne pcscd (daemon který zřistůpní token uživatelům) a pkcs11-helper. Když máme vše nainstalované stačí nastartovat službu pcscd a zasunou token.

Jestli token správně vidíme ověříme: opensc-tool -a
Mělo by se objevit něco podobného:
Using reader with a card: Feitian ePass2003 00 00
3b:9f:95:81:31:fe:9f:00:66:46:53:05:01:00:11:71:df:00:00:03:90:00:80

Nyní tedy mužem token vymazat:
pkcs15-init -E
A vytvořit znovu strukturu:
pkcs15-init --create-pkcs15 --profile pkcs15+onepin --use-default-transport-key --pin 0000 --puk 123456 --label "Standa Schattke"
A nahrát zde třeba certifikát nebo klíč:
pkcs15-init --store-private-key somecert.p12 --format pkcs12 --label "muj certifikat" --auth-id 01
pkcs15-init --store-private-key .ssh/id_rsa --label "ssh" --auth-id 01
Vygenerování noveho klíče:
pkcs15-init -G RSA/2048 --label 'ssh' --auth-id 01

Vypsat si seznam objektů na tokenu můžete například:
pkcs15-tool -D

Když již máme data na tokenu je dobré je začít nějak používat. Co se tyka ssh je možné si token přidat do ssh-agenta nebo použit přimo v ssh příkazu. Přidání do ssh agenta:
ssh-add -s /usr/lib/opensc-pkcs11.so
Odebrání ze ssh agenta (pozor nefunguje -d nebo -D):
ssh-add -e /usr/lib/opensc-pkcs11.so
Přímé použití s ssh:
ssh -I /usr/lib/opensc-pkcs11.so user@muj.server

U Firefoxu stačí načíst /usr/lib/opensc-pkcs11.so jako další Security Device.

Pokud chceme změnit/odblokovat pin mužem použít pkcs15-tool:
pkcs15-tool --change-pin
pkcs15-tool --unblock-pin

při configure je nutné použít volbu.

--enable-pythoninterp

Ve FreeBSD lze vložit do make.conf toto:

 
.if ${.CURDIR:M*/editors/vim}
WITH_PYTHON=yes
.endif

Pak již mužem psat např. pluginy:

python << EOF
def spocitej():
        import vim,time,os
        cb = vim.current.buffer
        hostcti = os.popen("hostname")
        hostname = hostcti.readlines()
        hostname = hostname[0]
        hostname = hostname[:len(hostname)-1]
        hostcti.close()
        vim.current.buffer.append( "Document contains %s lines." % len(cb),len(cb))
        vim.current.buffer.append( "Create by St4nd3l at %s on %s" % (hostname,time.strftime("%Y-%m-%d %H:%M:%S",time.localtime())),len(cb))
        print "Text append to end document!"

EOF

Po dvou letech jsme se s partijou z prace dohodli na zopakováni úspěšné vodácke akce. Takže tuto sobotu vyrážime na Moravici. Máme zamluven jeden raft a jednu nafukovací kanoji. Počíta se s naloděním pod hrázi přehrady Kružberk a s pár mezizastávkami doplutí až do Branky u Opavy.

Nakonec se všem podařilo doplout do cile. Zaznamenány byly jen mírne ztráty na obuvi (Luke a Martin ztratili sandal) a celkem značná promočenost věci. Takže jsem zvědav jestli nám přišti plavba vyjde dřive než opět za 2 roky.

Velice zajímavý projekt rozjíždí v Anglii firma Fujitsu společně s Virgin Media a Talk Talk. Jedná se o připojení Anglického venkova gigabitovou optikou s možností upgradu na 10Gbps. Čast financí samozřejme poskytne i stat (u tak velké akce nejspiše nezbytnost).

Více informací zde.

Včera jsem si byl poprvé zašlapat na spinningu. Na dohnáni fyzičky po zimnim období ideálni.

Tak v neděli jsem prodal ZR-7 již má noveho majitele. Nakonec jsem tedy zvolil prodej misto opravy. No nic je třeba myslet do budoucna a začit šetřit na novou.