Hodžův blog » Scriptíky

Generování Self-Signed Certifikátu skriptem

admin — Tue, 09 Jun 2009 07:23:11 +0000

Už mě to nebaví pořád psát, takže:

#!/bin/bash SERVER_NAME=$1 OPENSSL_PATH=/usr/bin/openssl $OPENSSL_PATH genrsa -des3 -out $SERVER_NAME.key 1024 $OPENSSL_PATH genrsa -out $SERVER_NAME.key 1024 $OPENSSL_PATH rsa -in $SERVER_NAME.key -out $SERVER_NAME.pem $OPENSSL_PATH req -new -key $SERVER_NAME.pem -out $SERVER_NAME.csr $OPENSSL_PATH x509 -req -days 365 -in $SERVER_NAME.csr -signkey $SERVER_NAME.pem -out $SERVER_NAME.crt

iptables v1.3.6: X Couldn’t load match `ipp2p’

admin — Thu, 13 Sep 2007 07:03:41 +0000

Také se Vám stalo, že kompilace IPP2P proběhla v pořádku, ale pčesto iptables hlásí při zavádění modulu chybové hlášení „iptables v1.3.6: X Couldn’t load match `ipp2p’„? Řešení je jednoduché – v souboru makefile zaměňte při vytváření knihovny ld za gcc. Celý postup s mým patchem naleznete zde:

apt-get install patch cd /usr/src wget http://ipp2p.org/downloads/ipp2p-0.8.2.tar.gz tar -xzf ipp2p-0.8.2.tar.gz cd ipp2p-0.8.2 wget http://hodza.net/wp-content/files/ipp2p-0.8.2.patch patch Makefile < ipp2p-0.8.2.patch make ...

Omezování P2P sítí – IPP2P & Ubuntu 7.04 (Feisty Fawn)

admin — Mon, 10 Sep 2007 07:49:50 +0000

IPP2P patří asi mezi nejlepší (volně dostupné) filtry k omezování P2P sítí. Instalace se dá zvládnout za několik málo chvil a výsledek je velmi uspokojivý. Předpokladem pro úspěšné sestavení IPP2P je ovšem přítomnost hlavičkových souborů a modul CONNMARK v jádře.

Postup instalace:
1. Nainstalujeme si hlavičkové soubory kernelu a iptables
sudo apt-get install iptables-dev linux-headers-2.6.20-16-server

2. Stáhneme rozšíření IPP2P
cd /usr/src wget http://ipp2p.org/downloads/ipp2p-0.8.2.tar.gz

3. Rozbalíme stažený archív
tar -xzf ipp2p-0.8.2.tar.gz cd ipp2p-0.8.2/

Update: aplikujeme patch na Makefile

4. Spustíme kompilaci
make

5. Nakopírujeme moduly do standardních adresářů
cp libipt_ipp2p.so /lib/iptables cp ipt_ipp2p.ko /lib/modules/`uname -r`/kernel/net/ipv4

6. Vygenerujeme novou mapu závislostí
sudo depmod

7. Načteme modul IPP2P do jádra
sudo insmod /lib/modules/`uname -r`/kernel/net/ipv4/ipt_ipp2p.ko

Samotné filtrování P2P sítí pak provádím takto:

1. Označkuju si veškeré P2P sítě (UDP pakety mimo CONNMARK!)
iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark iptables -t mangle -A PREROUTING -p tcp -m mark ! --mark 0 -j ACCEPT iptables -t mangle -A PREROUTING -p tcp -m ipp2p --edk -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --dc -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --gnu -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --kazaa -j MARK --set-mark 4 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --bit -j MARK --set-mark 5 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --apple -j MARK --set-mark 6 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --winmx -j MARK --set-mark 7 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --soul -j MARK --set-mark 8 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ares -j MARK --set-mark 9 iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --save-mark iptables -t mangle -A PREROUTING -p udp -m ipp2p --edk -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -p udp -m ipp2p --dc -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -p udp -m ipp2p --gnu -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -p udp -m ipp2p --kazaa -j MARK --set-mark 4 iptables -t mangle -A PREROUTING -p udp -m ipp2p --bit -j MARK --set-mark 5 iptables -t mangle -A PREROUTING -p udp -m ipp2p --apple -j MARK --set-mark 6 iptables -t mangle -A PREROUTING -p udp -m ipp2p --winmx -j MARK --set-mark 7 iptables -t mangle -A PREROUTING -p udp -m ipp2p --soul -j MARK --set-mark 8 iptables -t mangle -A PREROUTING -p udp -m ipp2p --ares -j MARK --set-mark 9

2. Ve vhodnou dobu pak například pomocí démona CRON P2P sítě zakazuji
iptables -t mangle -F POSTROUTING iptables -t mangle -A POSTROUTING -m mark --mark 1 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 2 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 3 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 4 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 5 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 6 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 7 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 8 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 9 -j DROP

nebo naopak povoluji:
iptables -t mangle -F POSTROUTING iptables -t mangle -A POSTROUTING -m mark --mark 1 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 2 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 3 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 4 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 5 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 6 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 7 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 8 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 9 -j ACCEPT

Antispam na pdf a xls soubory

admin — Fri, 10 Aug 2007 07:43:16 +0000

O PDF spamu jste se mohli dočíst například na stránkách Lupy ve článku Dokumenty PDF, o které nikdo nestojí. Přestože si myslím, že PDF spam nebude mít dlouhou budoucnost, je potřeba s ním bojovat. Už kdysi dávno jsem do svých serverů doinstaloval OCR plugin. Ten doposud funguje poměrně spolehlivě. Je však nutno říct, že kvůli výkonu se scanuji pouze obrázkové emaily, které prošli SpamAssasinem „bez ztráty květinky“ (to se mi doposud docela dařilo díky sadám pravidel z rulesemporium.com). Bohužel spameři jsou neskutečně vynalézaví lidé a tak postupem času zjišťuji, že čím dál tím více obrázkových emailů je nutno prohánět OCR-kem (a zatěžovat tak systém). Naštestí se našlo několik nadšenců, kteří obrázky sbírají a provozují distribuovanou databázi „spam obrázků“ a jiných „sraček“. Instalace je více než triviální:

Nejprve si stáhneme script, který se stará o pravidelný update ClamAVu (a nastavíme mu práva pro spuštění)
cd /usr/bin wget http://www.sanesecurity.co.uk/clamav/ss-msrbl.sh chmod +x ss-msrbl.sh

V dalším kroku upravíme některé parametry podle systému (u mě například)
# vi ss-msrbl.sh clamscan="/usr/bin/clamdscan" clam_sigs="/var/clamav" clam_user="clamav"

Na konec script spustíme
./ss-msrbl.sh

V případě, že je vše ok (tail /var/log/clamav/clamd.log, tail /var/log/clamav/freshclam.log ), nezbývá nám nic jiného, než celý proces zautomatizovat pomocí cronu.
# crontab -e 59 04 * * * /usr/bin/ss-msrbl.sh &> /dev/null

Po týdením sledování můžu konstatovat, že počet obrázků, které prolezli SpamAssassinem, ale nedostali se díky výše uvedenému filtru do OCR je 22,5%, což mi přijde jako docela velké číslo.

Empty jako náhrada za Expect

admin — Thu, 29 Mar 2007 08:11:52 +0000

Pro ssh přihlašování bez klíčů používám standardně expect (jak už jste se mohli dočíst). Dnes jsem potřeboval implementovat novou funkci a vzhledem k tomu, že se mi ji zrovna dvakrát nechtělo vymýšlet, rozhodl jsem se, že požádám o radu strýčka gůgla. Funkci jsem nenašel, ale zato jsem narazil na projekt empty, jenž je „obdobou“ expectu.

Finta Fň je v tom, že emty spoští procesy a apliace pod pseudo terminálem. Co se mi na něm líbí, je jednoduchost. Pro ukázku přikládám 4 scripty z jejich domovské stránky, které se přes telnet přihlásí na stroj a vypíší whoami.

1. script – v Empty
#!/bin/sh empty -f -i in -o out telnet foo.bar.com empty -w -i out -o in "ogin:" "luser\n" empty -w -i out -o in "assword:" "TopSecret\n" empty -s -o in "who am i\n" empty -s -o in "exit\n"

2. script – to samé ale v TCL/Expect
#!/usr/bin/expect spawn telnet foo.bar.com expect ogin {send luser\r} expect assword {send TopSecret\r} send "who am i\r" send "exit\r" expect eof

3. script – to samé, ale jako Perl/expect module
#!/usr/bin/perl use Expect; my $exp = Expect->spawn("telnet foo.bar.com"); $exp->expect($timeout, [ 'ogin: $' => sub { $exp->send("luser\n"); exp_continue; } ], [ 'assword:$' => sub { $exp->send("TopSecret\n"); exp_continue; } ], '-re', qr'[#>:] $' ); $exp->send("who am i\n"); $exp->send("exit\n"); $exp->soft_close();

4. script – to samé v Python/Pexpect
#!/usr/local/bin/python import pexpect child = pexpect.spawn('telnet foo.bar.com'); child.expect('ogin: '); child.sendline('luser'); child.expect('assword:'); child.sendline('TopSecret'); child.sendline('who am i'); child.sendline('exit'); child.expect(pexpect.EOF); print child.before;

Tak co – kterou metodu by jste zvolili?

Změna velkých písmen na malé v názvech souborů

admin — Fri, 02 Feb 2007 22:53:11 +0000

Jednoho dne mě začlo štvát, že mám velikost písmen u každého souboru jinak. Dělat to v emcéčku pomocí SHIFT-F6 je nuda a tak jsem si na to vymyslel jednoduchý skriptík. Tady je:

# for F in * ; do mv $F `echo $F | tr 'A-Z' 'a-z'` ; done

Uznávám, že to není nic světoborného a zvládlo by to i dítko školou povinné, ale zkuste to dělat ručně u 4000 souborů.