Преди няколко години направих един не-курс по системна администрация, чиято цел беше да даде на участниците опит, достатъчно близък до практическия. Работим по въпроса с Данчо и Леков да направим още един такъв тази година, с още по-забавни задачи (днес обсъждахме част от тях и бях обявен за извратен човек (за пореден път)), въпросът е има ли желаещи и колко ще са?
Ако ви се вижда интересна идеята, пуснете един коментар.
(отдавна се каня да го напиша)
Преди някакво количество години бях решил да пробвам различни уискита (след като Велин поиска за една работа да му се плати с една бутилка Ardbeg, щото му беше станало интересно), бяхме седнали в един бар в студентски град (“Masterpiece”, имат огромна колекция), бяхме отворили wikipedia и гледахме статията за Islay. След като нямаха Laphroaig, ми сипаха един Lagavulin и аз толкова се влюбих в него, че в следващите дни си намерих доставчик на едро, и когато се изнасях от предната квартира открих, че имам около 1 куб. метър кутии от него.
С годините тествах различни неща и открих, че в крайна сметка човек след като мине на пушени уискита, другите не са му интересни. Също така по-трудно се попада на ментета, и от тях глава не боли (а съм изпивал бая…). Ето малко бележки по нещата, които съм пробвал, ако някой иска повече информация, Iain Banks е писал книга по темата – “Raw Spirit” (питали го “не искаш ли да обиколиш Шотландия, да пробваш всичките уискита и да напишеш книга, и той в първия момент си помислил, че се шегуват с него. Всички, на които казал после го питали дали не иска помощ…).
Пушените уискита идват основно от Islay в Шотландия (малък остров с малко хора и много алкохол). Това, което най-лесно може да се намери от там по нашите магазини е Lagavulin и Laphroaig. Аз съм тествал:
Ardbeg – много торфено и доста остро. Някои хора много го обичат, аз не толкова. Имам един Ardbeg Corryvreckan, който е доста по-мек и който е печелил уиски на годината преди 2-3 години, и се хареса доста на последния запой вкъщи.
Laphroaig – Хората се делят на два лагера, има такива, дето го харесват и такива, дето не (аз съм от вторите). Пак е доста остро, малко по-малко от Ardbeg-а.
Lagavulin – първото ми любимо уиски. По-меко от Ardbeg и Laphroaig, много опушено, с истински, пълен вкус. Много хора казват, че им мирише на терпентин/доктор/акварелни боички (за другите какво казват, не ми се ще да мисля), но като цяло за мен то е централния вкус на уискито от тоя остров. Води се май едно от най-опушените уискита там (като изключим някои неща като octomore).
Kilchoman – това е най-новата дистилерия на острова, и определено ми станаха новото любимо питие от там. Kilchoman machir bay има още по-приятен аромат от Lagavulin-а, пак е меко и като цяло се пие с голямо удоволствие.
Octomore е един странен експеримент на дистилерията Bruchladdich, направили са най-опушеното възможно уиски. Има мярка за опушеност, ppm (parts per millon) на фенолите, и Lagavulin е 45ppm, Octomore 3 е 152ppm. Има няколко версии, като моите любими са 3 и Comus (5 горе-долу ставаше, новите – 10 и т.н., вече не стават). Също така са по около 60 градуса и много точно може да усетите първата глътка как си прави път през вас.
Bruchladdich имат още много други различни неща, например едно Cuvee (неопушено), ама те искат още research от моя страна.
Горе-долу това са тези от Islay, които са ми били интересни. От опушените има още едно, което много ми хареса – Glen Els Ember – немско уиски, пушено на дърво, провах го на CCC конгреса миналата година, и което трябва да се намери начин да се внася в България.
Имам и някакво количество не-опушени неща, които държа основно за други хора – основно Cardhu, на което аз викам “дамско уиски”, щото го пият основно девойките, дето не харесват пушеците.
(за мен най-голямото предимство на това пиене е, че всъщност върши много хубава работа за борба с вътрешния ми алкохолзъм. Не мога да седна да пия ей-така, трябва да имам подходящото настроение и да ми се услади, усещам как в последните години съм започнал да пия много по-малко, отколкото преди)
И пак имаше концерт на Sativa и Center в JetRock, като миналата година.
Силно размазващо, претовари ми се куфелния мускул. Sativa бяха приятни, Center луди, и накрая имаше половин час импровизация от музикантите от двете групи плюс още някакви (вкл. барабанистът на “Mental Architects”, които определено трябва да чуя). Може би ми е толкова весело, щото ми е разбъркан мозъка все още, но определено трябва това да го правят по-често :)
(миналата година импровизацията беше час и половина, ама нека да не бъдем алчни)
(питах, Sativa имали 4 записани и немиксирани парчета, та може някой ден да изкарат албум)
Това чак не е интересно.
Ровейки един spam, който един приятел е получил, се загледах в DKIM подписите. Оказва се, че DKIM-а се лови от тривиално replay-ване, т.е.:
Правите си account на някое уважавано място (например gmail, в конкретния случай обаче е abv.bg). Пращате си mail до себе си, който ви генерира едни валидни подписи. Взимате цялото съобщение като source, един ваш smtp сървър, и го пращате на който си искате. От гледна точка на хората, уважавания доставчик е минал през вашия сървър и е пратил съвсем валидно писмо…
DKIM-а не знам кой го е мислил, но ето header-ите му:
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=abv.bg; s=smtp-out; t=1393422571; bh=4dLtPPWnymIO/8L0CLbvGZYxlQ5bZYMBimz0R/Li/JY=; h=Date:From:To:Message-ID:Subject:MIME-Version:Content-Type:DKIM; b=RQhl7IakYWwDQb70tpH3nG6V7CFcisAs/AyIO9/g0OpaIFD0jJpm8KbGOZ+UvVpK5 oeSzu2HLUUFOd6/o+8NHJWHTEwPKf80RZXtnkN4Jp2S/OKKBC5TImFupHy+s1uUgjhD 9yDf3LZES95JquPBNdYbotBZhc6wd9x1dNTJKCM=
Превод в ефир: Ето мой подпис на ето тези полета, които съм си харесал, които са тривиални за фалшификация.
Това е толкова тривиално, че чак българските spamer-и го ползват. Чак се чудя дали това с валидния DKIM подпис е нарочно или просто така е станало…
Интересна работа. Имаме SPF (описване на валидни източници) и DKIM (подписване на header-и от валидните източници), и нямаме свястна комбинация от двата протокола, която ДА ВЪРШИ НЯКАКВА РАБОТА.
(и разбира се, ако сте с валиден DKIM подпис, gmail и разни други мърлячи ще показват в получения ви mail картинки от външни линкове. Ето как тривиално спамерите ще видят дали ви е верен/работещ/четен mail-а)
И стандартния post за празнуването на крокодиловден.
(празнувах на 22ри, щото 23ти е неделя и в понеделник никой нямаше да иде на работа)
Събрахме се, пихме, веселихме се, т.е. стандартното. Очаквах, че като ставам на 33 някой ще ми върне жеста и ще ми сковат кръст и т.н., но имаше само един чук и пирони…
Най-странния/интересен подарък е екскурзия до лагера в Аушвиц (не във влак с товарен вагон…). Чудя се все пак дали някои от хората не са мислели, че подаръкът е еднопосочен билет натам и че лагерът още оперира…
От останалите неща това, което мога да фокусирам:
Мандолина;
Glenfidich 18, Glenfidich 12 и един Gentlemen Jack;
Един стар Sun сървър;
Един търмък и подобни инструменти за градина/user-и;
Надуваема овца, вазелин и т.н. (познайте от кого);
Тиган за палачинки (с идеята да каня хората, дето ми го подариха и да им готвя, оптимисти);
…и други. Като ми се спи малко по-малко, ще ги допиша.
Весело беше, догодина пак.
Понеже няколко пъти се е случвало да решавам тоя проблем или да го разказвам на някой, реших да го напиша.
Проблемът е следният: как да разберем, че не можем да пращаме mail до определено място, като ни дойде bounce от там? Да се parse-ва самото писмо е загубена кауза, понеже няма никакъв ясен формат.
Идеята е сравнително проста: във всеки mail има Return-Path: header, който винаги е първи, и към който се bounce-ва mail-а. Ако всяко съобщение има уникален такъв, може да се познае за кой получател (и може би и за кое съобщение) става въпрос. Самият bounce може да се познае по празният return-path (така че ако някой заблуден spam реши да дойде, да не създаде проблем).
(като всички такива хитрини, и тази е открита от Дан Бернщайн и даже си има нещо като стадарт – Verp)
Има различни начини да се направи, последният вариант, който написахме правеше return-path-а да е във следния формат:
UID_TIMESTAMP_SIGN@bounce.domain.com
където uid беше id-то на потребителя от базата, timestamp си е unix-ки timestamp и sign е sha1 на uid_timestamp_secret, като secret само ние си го знаем и така можем да проверим дали наистина ние сме го генерирали това. За да се избегне един race condition, в който потребителя си е сменил email-а преди ние да получим bounce, може в sign да се включи и оригиналния email адрес, така че bounce просто да не match-не сигнатурата си.
(гледайки сега по стандарта, заради graylist-а може да е добра идея да сменя първото _ с +)
От там нататък просто ви трябва нещо просто, което да засилва цялата поща за @bounce.domain.com към един скрипт, който да прави тривиален анализ на header-ите и да казва “да, тоя mail не е верен”.
Днес е the day we fight back.
(по случая повечето неща при мен вече са с форсирано https, сайта на initlab по същия начин, трябва да погледна по списъка какво следва)
(мяу. т.е. това е много насмукан post)
След ден, в който прегледахме варианти за хотели, обсъдихме rogueconf и ни дойдоха добри идеи, имаме остра нужда от designated протоколичик, който да записва какво сме измислили, че да го пледнем трезви и да се гърнем от ужас.
(Яна не става за тая цел – толкова се е повлияла от нас, че почва да пие по отрано).
Приемаме кандидати, които не искат заплащане, не пият, биха вършили тая работа и все още нямат жълта книжка.
(bonus е кандидатите да могат да ми помогнат да се занеса в леглото след такива писания)
(също така, ако някой ден си взема клавиатура с LED клавиши, ще взема и дрегер към нея, и в пияно състояние backspace ще свети винаги, когато има наблизо думи, които spellchecker-а не харесва.)
Update: Сутринта си видях машината и изобщо не си спомнях, че съм писал тоя post. Оставям го некоригиран…
Update 2: “не пият” да се чете като “не пият много”…
По случая, че ми пристигнаха бутилките Glen els Ember, едно дребно наблюдение:
Ако Steven Moffat и Joss Whedon направят сериал заедно, ще сме ок след това света да свърши.
(в който да участват Sarah Alexander, Morena Baccarin, Alyson Hannigan, Gina Belman, Sarah Michelle Geller, Nathan Fillion, Richard Coyle, и… може и още някакви, от мен да мине)
Днешния ден може да го броим за полезен.
Изнесохме с Митьо и Петко сайтовете на турнето при мен, подкарахме един setup за ruby приложения (продадох се и аз на хипстърската страна на силата), та там нещата са ок. Остава да припалим (почти за идеята) dnssec на it-tour.bg, ама трябва да видя как може да стане номера (register.bg го предлагат, ама domain-а са го регистрирали през superhosting).
На ludost.net вече има wildcard сертификат за всичко, който се приема (и vasil.ludost.net вече пренасочва само към https). Има валидни сертификати на jabber-а, irc-то, пощенските неща и квото-там-намерих. Тия дни ще си направя и TLSA записи.
Подкарахме https и за initlab.org и cassie.initlab.org, но понеже там Петко взе безплатните сертификати от startssl, трябва да почакаме един ден, докато се update-не OCSP-то.
Около това си преписах скрипта, който генерира config-а на apache на marla (за всички сайтове да има https и v6 vhost-ове). Следва да разцепя още малко конфигурациите, за да могат да разделя .ludost.net нещата от другите и да форсирам https за *.ludost.net. Някъде по пътя – tlsa :)
С това може да борим hackaton-а за thedaywefightback.org за приключен.
(цял ден оперативки, по работа и турнето, и между тях успях да събера ето това събитие)
Ходих на “Непознатите истории на социализма I: Забравени или заличени. Лагерите на смъртта”. Представляваше прожекция на кратки неща и разказ от Христо Христов накратко за историята на лагерите.
Случи се в някакво странно място до малките пет кьошета (essence center) и беше организирано от някакви хора, който май бяха някаква българска либертарианска организация. Имат идея да направят още две такива лекции, една за ефектите от плановата икономика и една за ефектите на тоталитаризма върху образованието.
Започнаха с прожекция на кадри от два филма, които със разкази на свидетели разказваха за убийствата в лагерите и мъченията в ДС (записал съм като заглавие “Присъда: въдворени”, но не го намирам, надявам се някой каже как точно се казват). Ставаха много добре за увод и определено трябва да се гледат от незапознатите.
След това Христо Христов разказа за разследванията си за лагерите. Спомена доста интересни неща, които трябва да погледна, например:
Спомени на Петър Семерджиев, който е лежал по лагери преди и след 1944;
Книга на Крум Христозов, в която има и рисунки на самите лагери (никъде няма запазени снимки, т.е. вероятно няма никакви);
Самият лагер в Ловеч по някакво счетоводство за няколкото години, в които е работел е изкарал 6м лв, което определено искам да проверя как е станало (Солженицин има много интересни изследвания за неефективността на съветските лагери);
Има поклонение всяка последна събота на март в Ловеч за жертвите в лагера, организира се от хора от самия град;
Планира се да има по-голямо и пълно издание на книгата на Христов за лагерите, с по-пълна и подробна история (това беше въпроса, който се канех да му задам, но той сам си каза);
Във въпросите някой запита защо всички говорят само за съветските и нацистките лагери, а никой не споменава тези, които били организирани в Либия от италианци, или от англичаните в Индия. Аз лично от него разбрах, че е имало такива и вероятно ще се заровя в темата…
(лекцията беше записана, не знам къде ще се появи записът, но ще пусна link, ако чуя нещо по темата.)
(сайтът на Христов е desebg.com, има доста информация за книги и филми по тези въпроси)
От едно едно интервю с Калин Терзийски:
”
Много е хубаво човек да открие един ден, че колкото и да е гаден животът, той може да се опълчи на обичайните му гадости и без помощта на глътка водка сутрин. Но не бих казал и дума на упрек към тия, които продължават да пият. Все пак те го правят, за да могат да продължат по тежкия си път. Разберете – пиещият творец е нещо съвсем различно от пиещия тъпак. Творецът пие именно, за да може (все някак) да издържа тъпака. И въпреки него да продължи да твори.
”
Чак се замислих дали да не си налея едно.
За всички, които имат нужда от имена на сървъри (и да си пазя аз какви съм давал), направих списък на даваните, дадените и бъдещи имена за сървъри, може да е полезен и на още някой.
Ще има регионална среща на RIPE в София на 14-15 април. Може да пратите идея за лекция, или да се регистрирате за присъствие (ще пиша пак, като излезе програмата).
Около всякаквите неща на конгреса и това, съм си формулирал следния план за действие:
В рамките на следващите 3 месеца:
Ще подкарам dnssec за domain-ите си (вече има за ludost.net, остава да се разбера с registrar-а ми да ми сложат DS записите);
Ще сложа SSHFP и TLSA записи за каквото трябва в dns-а (което ще иска да накарам някои хора да си upgrade-нат bind-овете);
Ще се погрижа за сертификати за всичките domain-и при мен (има за ludost, може би няма да са от cacert);
Ще форсирам tls на входа на jabber сървъра (тва е въпрос на един рестарт);
Ще подкарам tls на каквито ftp неща има при мен;
След това, поетапно:
Ще спра не-tls irc-то, на нормалния порт ще има съобщение “закачете се по ssl на 6697”;
Ще направя http-то да връща само redirect към https, по същия начин за ftp-то;
Ще отрежа на jabber-а не-tls комуникацията с други сървъри;
Ще махна не-криптираните варианти на pop3, imap и smtp submission;
Още не знам какво ще правя със самото междусървърно smtp и още една-две услуги, които търкалям.
Както писах, основният извод от конгреса е “we’re screwed”.
Ако на ИББ някой пита “Коя ви е родината” и хората се замислят коя страна ги е направила това, което са, прилична част ще кажат България, друга част ще кажат НРБ, но доста биха казали Internet.
(интересно, никога не бих могъл да се срамувам толкова от целия internet с всичките глупости в него, колкото от произволна част на държавната ни администрация, например)
Факт е, че една прилична част това ни е изградило като (бих искал да кажа “хора”, но не е ясно доколко е вярно) индивидуалности, и всичко, което посяга на нещо толкова основно и толкова важна част от начина ни на живот не може да бъде оставено без последствия.
Точно поради това всичко, което се изясни на конгреса (голяма част от което знаехме, но имахме нужда от една обща картина) е толкова гадно. Усещането е като да откриеш как си завъдил хлебарки – като откриеш писмените им планове да те изнасилят и използват за развъдник на яйцата си.
Краткият извод е, че ни се налага за твърде много неща да почнем от нулата. Очаквам в близките месеци разни хора да се занимаят по-сериозно с отворения хардуер и да се стигне и до малки процесори от дискретни компоненти (понеже поне доколкото аз знам няма как да се продадат троянизирани транзистори), да се появи някаква идея за ремонт на DNSSEC и SSL/TLS, да се пуснат още повече https сървъри (аз вече планирам следващата ми машина просто да няма http), някакво (вероятно) малко количество хора да почне да мигрира към собствени услуги или поне такива извън щатите, и може би някакво проникване на тази информация в други среди, не само на родените в internet-а.
Очаквам също така и още по-силен натиск от страна на държавните учреждения, под всякакви форми. Чудя се кога ли ще се появят неща на тема “Internet” в закона за МВР например…
Та, от една страна сме преебани. От друга страна, както казва Пратчет, като се биеш срещу много голям противник, е по-лесно да го уцелиш…
И на принципа на трите лъжи на студента (“от утре спирам да пия”, “от утре започвам да уча” и “изобщо няма да боли”), да взема да напиша някакви планове за годината.
Да чета малко повече сериозни книги (сложил съм пак 120 като challenge в goodreads, да видим как ще излезе разпределението);
Да ида/участвам в Балканския компютърен конгрес тая година;
Да се наспя (и ако успея, да видя дали мога да постигна и световен мир);
(миналата година си отспах в болницата, но някакси предпочитам тази да го направя без да ми правят дупка в главата)
Да отделя повече време на свиренето (не би трябвало да е сложно, при колкото малко отделях миналата година);
Да направя най-накрая някаква техническа лекция, може би дебъгването;
Повече технически и по-малко човешко/политически занимания;
Да пиша по-често (което не само няма да е трудно, ами май и съм го започнал);
И да успокоя разни хора (и да направя други нещастни) – план ми е и да не се гръмна :)
И едно дообяснение на предишния ми posting.
Много от нещата, които правим, са друсане. Понеже думичката е малко натоварена, нека да я сменя с “докарване на щастие/допамин от short-term неща”.
В това влизат ужасно много неща, които правим само и единствено да се почустваме по щастливи за някакво кратко време. Например, повечето хора, които познавам (и аз включително) правим секс за удоволствие и малко хора го правят поради основната му функция (размножаване), размерът на порно-индустрията сам по себе си говори много по тоя въпрос. По същия начин четенето на фентъзи книги (голяма част от тях нямат друга функция, освен да са приятни), яденето на много вкусна храна и т.н. са все неща от тая категория, и реално неща, от които практическа нужда нямаме, т.е. човек може да е аскет и пак да си живее нормално.
От друга страна, възприемането на света е гадна дейност поради стандартната му гадност. Ето няколко базови неща, които са трудни за възприемане:
Размерът на вселената и нашата незначителност в нея (в Пътеводителя има описано най-страшното устройство за мъчение – такова, което ти показва точно колко си незначителен);
Смъртта – не само нашата, но и като цяло, че цялата вселена няма смисъл, просто се разширява и по някое време изпада в топлинна смърт;
На по-локално ниво четенето на политически новини (или българската преса) може да откаже всеки мислещ човек от живота;
Като цяло новините могат да те накарат да загубиш вяра в човешкия род;
Всеки един прочит на “Мисленето” (“Thinking fast and slow”) на Канеман може да ни покаже колко ужасяващо грешим в повечето си преценки и възприятия (което ще го спомена пак по-надолу);
И всякаквите сриващи съществуващите изградени системи по неприятен начин неща (“To protect and infect, pt.2” и какво ли още не).
Вероятно мога да изброявам още такива неща, и за всяко някой може да намери оправдание или омекотяващо обстоятелство, както и вероятен метод да се справим, но в крайна сметка омекотяващите неща са просто капаци, които да си сложим, за да можем да възприемем и справим с останалото (някъде в лекцията ми за принципите на системната администрация в реалния живот има “не се занимавайте с проблеми, за които нищо не може да направите”). Друсането с допамин е един от тези методи, просто защото то помага на хората да възприемат нещата като по-малко страшни, да не обръщат внимание на разни неща и т.н., я като смъкват капацитета за разсъждения, я като ни отвличат вниманието.
(както аз отварям да погледна 9gag по средата на писането, просто да мога да си прочистя главата и да се развеселя малко)
Това не е израз на моята депресия, това си е някакъв default-ен факт от живота, който може да се намери описан в доста книги, вкл. при Пратчет, по темата за клачианското кафе, където човек изпада в състоянието knurd и трябва да пие две големи, за да се върне в нормалното такова и да може да понася света. Също това не е “нищо няма значение/смисъл”, понеже и значението и смисъла са неща, които ние си измисляме и винаги можем да си създадем отнякъде, с или без допамин.
(също така съм почти сигурен, че “допамин” не е точен израз, но мисля, че поне в тоя контекст върши работа)
(на мен писането например ми е такава дейност)
Около конгреса, празнуванията и няколко разговора, имам генерален извод:
Не можем да понесем светът около нас в чистия му вид, и ни се налага да се друсаме по различни начини – пиене, дрога, купони, секс, само и само за да можем да го издържим и да не се изтрепем.
За едни хора това е причина да се купонясва повече, за други – да се променя света. Първото е пораженчество, второто е загубена кауза.
Наздраве.
Update: Един от вариантите на невързприемането на света около нас, който е от най-често срещаните е хората да не спират да говорят и да правят нещо, само и само, за да не се наложи да обърнат внимание на мислите в главата си и на реалните проблеми. По случая моля всички хора, на които казвам “МЛЪКНИ” да го възприемат като зов за персонално просвещаване…
Денят започна без махмурлук, да живее хубавото пиене.
To protect and infect, part 2 се появи в плана тая сутрин, като първа лекция за сутринта, и се оказа много ценна – Jacob Appelbaum разказа подробно за release-а на документи за това какво могат/правят NSA (нещата са пуснати в der Spiegel). Информацията е съвсем прясна, доста интересна, и прилично депресираща.
В общи линии интересен бизнес модел би било да ги накараш да те target-нат (Бостън, пирони, тенджера), и след това да събираш с honeypot 0day vulnerability-та и да го продаваш.
Гледах и лекцията за evil maid атаките, дава някаква добра ориентация за типа на атаката, но нищо особено интересно като защита.
NOC review беше много интересно – всичките екипи се похвалиха какво/как са направили. Тази година за пръв път имаше система от тръби за предаване на капсули, и се похвалиха, че са били нормалната мрежа по скорост (с 1TB в капсула).
Трябва да напиша и нещо по-подробно по темата за генералния извод от конгреса, но за целта трябва да се наспя, а сега имам да ставам в 4, за да си хвана полета.