Fáze číslo jedna – zapojení karty, oživení
Narozdíl od staré x3650 se u „em dvojky“ již nevyhazuje „integrovaný“ SATA/SAS řadič a tak stačí přidat kartu do kteréhokoliv volného PCI express slotu. Při prvním spuštění vám server (z naprosto neznámých důvodů) nedovolí použít obvyklou klávesovovou zkratku <ctrl>+<h> takže je potřeba kartu nakonfigurovat via BIOS. Počítejte s tím, že namísto standardního konfiguračního nástroje na vás vyštěkne hrůza jménem WebBios. V mém případě se „zakousl“ pokaždé, když jsem kliknul do formuláře mimo vyznačené oblasti. Z tohoto důvodu jsem si ho jak správně tušíte zrovna nezamiloval.

Fáze číslo dva – start systému, instalace
Po vytvoření požadovaného RAIDu jsem restartoval systém a pustil se do instalace Debianu. Hned v počátku mě naštvala inicializace gigabitových síťových karet Broadcom NetExtremeII. V Debianu pro ně již delší dobu existuje balíček (firmware-bnx2), ovšem v Lennym z licenčních důvodů onen balíček nemá přiložen patřičný firmware a tak je potřeba načíst ho z externího média (v mém případě z USB disku). V teple domova jsem to přežil, ale stát se mi to u zákazníka, asi bych trošku zuřil. Zbytek instalce – včetně správné detekce disku – proběhl bez jediného problému.

Fáze číslo tři – instalace podpůrných nástrojů
Pro řadiče LSI se pod linuxem používá konzolová utilita MegaCli (MegaCli64 pro 64bit. systémy). Na stránkách IBM ani na stránkách LSI bohužel nenajdete balíček pro Debian. Jak jsem již psal – podporovaný je pouze RHEL a SLES. Po krátkém studiu však zjistíte, že jsou patřičné binárky staticky slinkované a tak je nebude problém použít i v jiných distrech. Já jsem si na server stáhl utilitu MegaCli přímo z instalčního média výrobce (/CLI/LINUX/MegaCli-4.00.11-1.i386.rpm). Nástroj Alien za mě následně udělal „špinavou práci“ (převedl RPM na tgz balíček).

Nejprve je nutné nainstalovat program alien.
# aptitude install alien

Následně převedeme RPM na tgz (parametr –scripts úmyslně nezadáváme).
# alien -t ./MegaCli-4.00.11-1.i386.rpm
Warning: Skipping conversion of scripts in package MegaCli: postinst postrm
Warning: Use the --scripts parameter to include the scripts.
MegaCli-4.00.11.tgz generated

Vytvořil se nám gzip soubor MegaCli-4.00.11.tgz. Nyní jej stačí rozbalit.
# tar xvzf MegaCli-4.00.11.tgz

V adresáři /opt/MegaRAID/MegaCli můžeme nalézt utility MegaCli a MegaCli64. Nastavíme jim správná práva.
# chmod 755 /opt/MegaRAID/MegaCli/*

Pokud vše proběhlo bez problémů, můžeme si vypsat:
-Informace o všech adaptérech v systému
# /opt/MegaRAID/MegaCli/MegaCli -AdpAllInfo -aALL

- informace o všech fyzických jednotkách
# /opt/MegaRAID/MegaCli/MegaCli -PDList -aALL

- Informace o všech logických jednotkách
# /opt/MegaRAID/MegaCli/MegaCli -LDInfo -LALL -aALL

#!/bin/bash
SERVER_NAME=$1
OPENSSL_PATH=/usr/bin/openssl
$OPENSSL_PATH genrsa -des3 -out $SERVER_NAME.key 1024
$OPENSSL_PATH genrsa -out $SERVER_NAME.key 1024
$OPENSSL_PATH rsa -in $SERVER_NAME.key -out $SERVER_NAME.pem
$OPENSSL_PATH req -new -key $SERVER_NAME.pem -out $SERVER_NAME.csr
$OPENSSL_PATH x509 -req -days 365 -in $SERVER_NAME.csr -signkey $SERVER_NAME.pem -out $SERVER_NAME.crt


Stačí se přihlásit na server, kde jsou uložené zprávy ve formátu MailDir a pak spustit příkaz:
for f in `ls`; do sendmail example@example.com <$f; done
Veškeré emaily v aktuální složce se tím přeposšlou na adresu example@example.com.

# vmware-server-console
/usr/lib/vmware-server-console/bin/vmware-server-console: /usr/lib/vmware-server-console lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_3.4' not found (required by /usr/lib/libcairo.so.2)
/usr/lib/vmware-server-console/bin/vmware-server-console: /usr/lib/vmware-server-console/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_4.2.0' not found (required by /usr/lib/libstdc++.so.6)

Pomoc je přitom velice jednoduchá:

# sudo ln -sf /usr/lib/libpng12.so.0 /usr/lib/vmware-server-console/lib/libpng12.so.0/libpng12.so.0
# sudo ln -sf /lib/libgcc_s.so.1 /usr/lib/vmware-server-console/lib/libgcc_s.so.1/libgcc_s.so.1


Neustále se povalující klíče od auta, motorky či bytu mě občasně doháněli k šílenství. V inkriminovaný den jsem se tedy rozhodl navštívit hypermarket Globus, kde jsem zakoupil 2 kusy univerzálních držáků. V místě mého bydliště jsem na pokyn výrobce začal vrtačkou do zdi vytvářet díry o předem danné rozteči a průměru. K mé velké smůle jsem však již při hloubení druhé díry ve zdi přeťal kabel elektrického vedení. Nenechal jsem se ovlivnit hlasitým výbojem, sršením jističů ani nadávkami z kuchyně, že dnes bude zase studená večeře a pokračoval ve vrtání třetí díry. Tím pádem se mi během několika málo vteřin podařilo vybavit nejenom všechny jističe v mé bytové jednotce, ale i ten na chodbě. Bylo mi jasné, že nyní již budu muset neodkladně provést opravu.

Co budeme potřebovat?

Abychom neustále nependlovali mezi rozmláceným bytem, baumaxem, globusem, obi a hornbachem, je vhodné si dopředu nejprve ujasnit, které nářadí a pomůcky budeme potřebovat. Vše je patrné na následující fotce:

Potřebné nářadí

Nejdůležitějším vybavením pro obnažení zdiva je středně velký majzlík a kladívko. Pokud jste stejně jako já svině líné, pak si kupte místo toho pořádné bourací kladivo. Můj 7 kilový brouček se jménem Ferm Power Hammer dokáže díky úderu o síle 7J vybourat v panelu díru pro dveře během pár chvil. Důležité je ale předem upozornit místní seismologickou stanici, že budete pracovat. V opačném připadě by se jim mohli zbláznit přístroje. Po odkrájení přebytečného zdiva využijete především štípačky, kterými odstraníte původní „překouslé“ vedení. Ostrý nůž následně hravě odstraní přebytečnou bužírku z vodičů a pro jejich spojení použijete speciální elektrikářské dutinky s izolací a lepidlem. Montáž dutinek bohužel vyžaduje speciální kleště a horkovzdušnou pistoli. Na né příliš dobře zatěsněná místa je vhodné použít vulkanizační pásku. Ve finále nezapomeňte koupit pytlík sádry a špachtli.

3-2-1 Opravujem

Před zahájením bouracích prací je vhodné vypnout všechny jističe, zkontrolovat tloušťku zdiva (jinak je možné, že se dostanete až k sousedovi do koupelny) a rozkrelit postup prací.

Lokalizace problému

Zdivo vybouráme 5 centimetrů vlevo i vpravo podél celého kabelu. Od místa přerušení pak minimálně 10cm směrem nahoru i dolů (já jsem kabel zároveň převrtal na dvou místech, takže jsem byl nucen vysekat větší kus). V okamžiku kdy je kabel volný, přestřihneme ho štípacími kleštěmi a odstraníme vadné (převrtané části).

Přeštípnutí kabelu

Odstranění přebytečného kabelu

Zbylý kabel je potřeba cca 4mm od konce odizolovat.

Odizolovaný kabel

Mezi konce kabelů vložíme spojovací dutinku. Ta po stisku speciálních kleští vytvoří pevné a nerozebíratelné spojení. Po zalisování stačí dutinku zahřát horkovzdušnou pistolí. Tím dojde k rozpuštění lepidla a smrštění vnější izolace. Spojení je pak 100%.

Spojovací dutinka

V mé výbavě jsem bohužel nenašel lisovací kleště se správným průměrem na dutinku. Na místo nich jsem použil klešte pro lisování konektorů BNC. Ty ovšem mají ostrá hrany a tak poruší vnější izolaci dutinky. Tento problém jsem vyřešil tak, že přes každou dutinku jsem přetáhl ještě jednu speciální smršťovací bužírku s velmi vysokou elektrickou pevností.

Zesílená izolace - před smrštěním

Zesílená izolace - po smrštění

Celou instalaci je více než vhodné ve finále opět zaizolovat. Já jsem použil smrtovací bužírky v kratší (horní) části spoje a vulkanizační pásky v delší (dolní) části spoje.

Finální izolace

Výsledek našeho půlhodinového snažení zasádrujeme (uděláme omítku).

Příprava sádry

Před omítnutím

Závěr

Celý úkon trval sotva hodinku a IMHO vypadá mnohem lépe než dvě spojovací krabice (jak mi radili někteří Inženýři….). Pro zvědavce uvádím, že dutinky stojí 9Kč/Kus, sádra 12 Korun, takže i finančně se to dá zvládnout.

Na co si dát příště bacha

Na kočky… Při chvíli přemýšlení jsem zpozoroval divný zvuk, který vycházel z útrob kufru od bouracího kladiva. Po jeho otevření mi vše bylo jasné.

Bambína zase chrní

Pine jsem používal před několika lety společně s fetchmailem. To už by byl dnes problém, neboť potřebuji mít k poště mobilní přístup odkudkoliv (můj mail box čítá více jak 10 000 emailů) a tak jsem začal pátrat, zda-li existuje možnost používat nativně IMAP. Naštěstí existuje!

První co bylo potřeba udělat je vyměnit starý a dnes již nevyvíjený Pine za Alpine. Jako betatester mi posloužil Ivan Bíbr – více na jeho blogu. Ovládání i konfigurační soubory jsou naštěstí stejné, takže mi nečinilo problém Alpine naohýbat k obrazu svému. Dále jsem pokračoval úpravou konfiguračního souboru .pinerc v domovském adresáři.

$ vi ~/.pinerc

V souboru .pinerc jsem upravil konfigurační volby „smtp-server„, „inbox-path“ a „feature-list“ na následující:

Pozn.: Jednotlivé volby je samozřejmě možné „naklikat“ přes menu Alpine, ale takhle mi to přijde jednodušší.

smtp-server=smtp.example.com
inbox-path={mail.example.com/user=test@test.com/ssl/novalidate-cert}INBOX
feature-list=enable-incoming-folders

Ve výše uvedeném příkladu jsem předpokládal, že:
SMTP server je: smtp.example.com
IMAP server je: mail.example.com
Přihlašovací jméno je: test@test.com
K serveru se připojujeme pomocí SSL via self-signed certifikát

Protože Alpine defaultně pracuje s lokálně uloženými složkami, bylo potřeba ho ještě naučit pracovat přímo s IMAPem. postup je velice jednoduchý:

$ alpine
Zmáčkneme S (Setup)
Zmáčkneme L (collectionLists)
Zmáčkneme A (Add Client)

Vyplníme:
Nickname : IMAP složky
Server : mail.example.com/user=test@test.com/ssl/novalidate-cert
Path : INBOX.
View :

Nakonec zmáčkneme klávesu CTRl+x pro uložení změn

Tak a je hotovo – můžu používat IMAP!

Ještě máme v záloze nějaké starší články, které jsou nadčasové (kancelář apod.), ale už od listopadu intenzivně vydáváme články nové, což se pozitivně promítlo na návštěvnosti. Minimálně od září “jdeme nahoru” – navštěvuje nás stále víc lidí a vracejí se k nám.

Jirka Vrba vydává pravidelné měsíční reporty, kde se lze dočíst, co čtenáře zajímá. Je to pro nás vodítko, řídíme se jím při přípravě nových článků.

Bohužel se mi stává, že se mi ozvou lidi se slovy “škoda, že jste skončili a na webu vycházejí jen staré články”. Nevím, jestli se mám smát, nebo nesmát. Půl roku intenzivní práce a někdo si ani nedá práci, aby nacvakal adresu www.linuxexpres.cz. Ale zřejmě to je to naše (moje) chyba, není o nás prostě slyšet. Takže to chci změnit.

LinuxEXPRES žije!

A žije bohatým životem. Vydáváme články pro server Živě, čímž se snažíme dostat Linux k lidem, kteří sledují obecný trend v IT a o Linuxu by si rádi něco přečetli. Některé diskuze jsou “živěé”, ale asi je to dobře.

Portál LinuxEXPRES.cz prošel oživovací kúrou – vylepšili jsme design, vymysleli jsme nové rubriky, přinášíme nové články:

• Dva týdny s Linuxem je pravidelný “novinkový” seriál Jirky Eischmanna, právě tenhle vychází na zmiňovaném Živě.cz.
• Jirka Němec ze serveru LinuxGames.cz pro nás připravuje pravidelný měsíční přehled o novinkách v linuxových hrách a hříčkách. Jirka se v oboru vyzná, ostatně proto jsme ho oslovili.
• “Příběhy ze života” Proč používá Linux zachycují příběhy uživatelů Linuxu. Jak se k němu dostali, proč si jej vybrali, k čemu a jak jej používají. Právě tady potřebujeme pomoc vás všech. Napište krátký text, kde ukážete, že Linux je zcela běžný moderní systém, který vám vyhovuje – byť má chyby. Příklady táhnou a mohou mít mnohem větší význam, než si můžete myslet.
• Další naší snahou je stát se službou pro lokální sdružení a seskupení, která konají různé akce. Jsme samozřejmě mediálním partnerem např. konference Linuxexpo (kam se letos chystám, abych udělal pár rozhovorů, máte se nač těšit, milí čtenáři LE ), ale zajímají nás také “malé” věci. Proto jsme vytvořili interaktivní mapu (na titulce) a také stránky měst, “kde se něco děje”. Bohužel ne všechna uvedená města mají svůj obsah, a ne všechna města, kde se něco děje, jsou v mapě. Napište, prosím.Pokud pořádáte linuxovou akci, rádi vám vydáme tiskovku, sborník nebo reportáž. Nás to nic nestojí a vám to třeba pomůže. Také máme kalendář, kam můžete data akcí zadávat – zcela zdarma a bez nějakého omezení. Chceme podporovat i drobné akce, protože si myslíme, že mají smysl.

Nápadů máme stále hodně, v přípravě je mnoho článků, samozřejmě je nebudu prozrazovat, ale věřím, že budou zajímavé a čtivé.

Hodně čtenářů se v anketě vyjádřilo, že by poslali příspěvek na provoz portálu. Buď formou SMS, nebo přímo na účet. Rozjeli jsme to a tahle možnost je tedy k dispozici (diskuze v blogu). Příspěvky poslouží k bonusovému ohodnocení autorů a vytváření nového obsahu. Ony “se” ty nápady samy neudělají, bohužel.

Jak bych to shrnul? Těší nás statistický zájem, ale brzdí nás, že se lidi nevyjádří: nediskutují, nenadávají, nechválí, nepíšou do redakce, že chtějí ten a ten článek, moc neposílají esemesky. Co je blbě?

V.O. v.r.

P.S. Otvírejte v prohlížeči, který umí animované gify…

V tom lepším případě, by při nabourání obchodu „hackerem“, mohlo vyjít najevo, že si každý měsíc po výplatě objednáváte nějakou sprosťárničku v sexshopu. V horším případě útočník zjistí i heslo a bude si tak moct číst vaši soukromou poštu s přítelkyní/milenkou/manželkou neboť do emailu zadáváte stejné heslo jako do eshopu. Pokud chcete slyšet hororové scénáře, pak věřte, že není problém využít uložených informací o vaší kartě a objednat si tak jakékoliv zboží, které ve výsledku ovšem nezaplatí útočník, ale vy z vaší karty.

Stále si myslíte, že se vám to nemůže stát neboť nakupujete pouze v renomovaných a velkých eshopech? Chyba!

Před před více jak týdnem jsem zcela náhodou objevil na stránkách jednoho z největších českých prodejců outdoorového vybavení – firmy Rock point zcela zásadní (a naprosto školáckou) bezpečnostní chybu. Ihned jsem prodejce emailově kontaktoval a problém mu nastínil. Bohužel do dnešního dne jsem neobdržel odpověď a chyba je stále neopravená.

O co jde?

Při hledání dokumentace k jednomu z výrobků jsem narazil na následující odkaz:

http://www.rockpoint.cz/download.php?soubor=soubory/seznam_odberatelu_NET.xls

Nebývá zrovna zvykem, že by prodejce uveřejňoval seznam svých odběratelů. To ve mě vyvolalo pocit, že tato stránka měla být před zraky zákazníků ukryta. Začal jsem přemýšlet, co by se stalo, kdybych zadal jako parametr jiný soubor než je seznam_odberatelu_NET.xls. Po chvíli jsem tedy do adresního řádku zadal následující adresu:

http://www.rockpoint.cz/download.php?soubor=soubory/../index.php

Při čemž „index.php“ bývá „startovací stránkou“ webu a řetězec „../“ značí, že se jedná o nadřazený adresář.
To co se stalo mi téměř vyrazilo dech. Zobrazila se mi totiž opravdu zdrojová stránka souboru index.php. Opravdu bych nečekal, že u tak velkého prodejce narazím na tak kritickou chybu.

Ze zvědavosti jsem stejným způsobem procházel všechny ostatní soubory na serveru, až jsem došel k následujícímu:

http://www.rockpoint.cz/download.php?soubor=inc/conf_databaze.php

Tento soubor (jak je již patrné z názvu) obsahuje data potřebná pro připojení k My SQL databázi.
Tím ovšem má zvědavost neskončila. Rozhodl jsem se výsledek ověřit.

V konfiguračním souboru je uveden jako My SQL host „uvdb4.globe.cz“. Vzdálený přístup k této databázi sice není povolen, ale to mě nemohlo odradit. Po chvíli hledání jsem zjistil, že se jedná o server, který je provozován v rámci hostingu Active 24. Na stejnojmenných stránkách jsem pak v sekci podpora našel odkaz k PHPMyAdminovi, který umožňuje spravovat My SQL databáze pomocí web prohlížeče. Kliknul jsem na link a zadal přihlašovací údaje. Nemohlo následovat nic jiného, než úspěšné přihlášení. Přede mnou byl kompletní seznam všech výrobků, uživatelů, objednávek a seznamů prodejen. V podstatě bych v této chvíli mohl eshop plně ovládnout, ale mě zajímala poslední neprozkoumaná věc – administrativní sekce obchodu.

Administrační sekci nebylo zase tak těžké najít. Kupodivu se nacházela na url:

http://www.rockpoint.cz/admin/

Nahlédl jsem zpět do tabulky administrátorů, abych zjistil přihlašovací jméno a heslo. Zde byla alespoň nějaká snaha o zabezpečení – heslo bylo zakódováno pomocí algoritmu MD5. Bohužel tento algoritmus je už dnes „překonaný“. Heslo prvního administrátora jsem tak „rozlouskl“ díky jeho jednoduchosti přes jednu z online HASH databází. Heslo druhého administrátora bylo sice složitější, ovšem pod útokem rainbow tabulek bylo později prolomeno také. Oba účty jsem ještě otestoval – byly funkční. Tím má „práce“ skončila.

Výše uvedený text nenabádá k zneužití popsané chyby. Text byl sepsán z důvodu laxního přístupu administrátorů danných stránek.

Tento příspěvek je chráněn heslem. Pokud ho chcete zobrazit, zadejte prosím heslo:

Heslo: