книги хакеры / журнал хакер / 120_Optimized

Влад «Stealth» Глаголев

/ stealth@sourcemage.org, enqlave.net /

осенью2007 го,когдаяподумывал И портативногодевайса,способного

потребностивобластяхразработкипро ,графическогодизайнаи,конечноже,

.Поискособизанялоколо2 хмесяцев.Немогунеотметитьwebпомоглимневэтомнепростомделе:tuxmobile.org,www.

.net,www.google.com.Послевсевозможныхсравненийвыбор -Siemens,таккакнужнобылочто-топрактичное(unDell),«не

(unSony)и,вобщем-то,надежное(unRoverBook).Дальшея корпусаиотносительную«новизну».Поэтому—U9200.

упоминаниеоLinuxнаU9200янашелнасайтенемецкого журнала,—даито,весь(авозможно,иневесь)процессбылописантольков печатномиздании.Влюбомслучае,ярискнул…исейчасосознаю,чтонезря. Мойдевиз«OpenBSDeverywhere»,конечно,стрескомпровалился (несмотрянато,чтоэтаОСвсеравносейчасстоитна2 гиговойSD-карте вкачествеальтернативы:нунужен,бывает,сетевойфункционал,которого нетбольшенигде).Почему?Ноутбукдляменя—этомультимедийный «друг»,поэтомубезподдержкизвуковойкарты(приветсоздателямдрайве раazalia)всяегомультимедийностьсводитсякнулю.

ДажесмоимопытомработывдвенадцатиразличныхОС(Solaris,Darwin, QNXит.д.)ябыстроосознал,чтовсеэто—«дохлыйномер».Поэтому,не

долгодумая,вставилнарезаннуюболванкусоднимLinux-дистрибутивом инанекотороевремязабыл,чтосуществуюткакие-либоаналогионого. Названиядистрибутиваянеупоминаюумышленно,потомучтомостатья призванапомочьрешитьпроблемыU9200сЛЮБЫМдистрибутивомLinux.

Бытьдружбеилинет?

НижепредставленсписоксовместимостиустройствFujitsu-Siemens EsprimoMobileU9200сядромLinux,начинаясветки2.6.23:

01.CPU:IntelCore2Duo—OK

02.ACPI—OK

03.ЗаписьCD/DVD,TSSTcorpCDDVDWTS-L632H—OK

04.Клавиатура—OK

05.Специальныеклавиши—OK

06.Тачпад,Synaptics-совместимый—OK

07.Звук,HDAIntelALC262—OK

08.Ethernet,Marvell88E8055PCI-EGigabit-OK

09.Wi-Fi,IntelPRO/Wireless3945ABG—OK

10.Web-камера,Foxlink—OK

11.Bluetooth,CambridgeSiliconRadio,LtdBluetoothDongle—OK

12.Видео,Intel965GM(GMAX3100)—OK

13.SDкард-ридер,GenesysLogic,Inc.USB2.0microSDReader—OK

Для тех, кто соскучился

Fujitsu-Siemens Esprimo Mobile U9200 собственной персоной

Зрение

warning xorg-server и MesaLib

тесно связаны друг с другом (это собираются «исправить» в версии 1.6), поэтому при откате MesaLib до 7.0.4 придется

откатить и xorg-server до 1.4.2.

info

Не путай DRM и DRI. DRM — модуль ядра

(например, i915.ko),

работающий на более низком уровне. DRI

— модуль X-сер-

вера (i965_dri.so)

для твоего чипсета, являющийся частью

MesaLib.

Автомонтирование плеера Cowon iAudio 7 в Thunar

подключениях ctrl_interface=/var/run/wpa network={

# Параметры для подключения ssid="COMPANY_SSID" scan_ssid=1

proto=WPA key_mgmt=WPA-PSK pairwise="CCMP TKIP"

psk="my_very_secure_passphrase"

}

Послеконфигурированияподнимаеминтерфейсизапускаем wpa_supplicant:

#iwconfig wlan0

#wpa_supplicant -B -i wlan0 -D wext -c /etc/ wpa_supplicant.conf

Адалеенастраиваемсетьлибосредствамиdhcp,либостатически.Дляработыbluetoothпотребуетсяпакетbluez(www.bluez.org), послеустановкикоторогосоздаемфайлконфигурации:

#nano/etc/bluetooth/rfcomm.conf

rfcomm0 {

bind yes;

#MAC-адрес устройства, полученного ко-

мандой "hcitool scan"

device 00:1E:45:46:97:A0; channel 1;

#Описание линии связи или устройства comment "Sony Ericsson K550i";

}

Внешнийвид

Времена консолей для ноутбуков, думается мне, прошли. И сейчас без проекта X.Org Foundation мы не представляем себе ежедневного существования, поэтому перейдем к конфигурированию основных секций файла

/etc/X11/xorg.conf:

#nano/etc/X11/xorg.conf

Section "Extensions"

#Включение композитного менеджера (для исполь-

зования спецэффектов в compiz и xfce compositor)

Евгений «j1m» Зобнин

/zobnin@gmail.com/

Умныеигрыссетями

Обзор необычных сетевых утилит

Измерить и обрезать

Что делать, если мы хотим узнать пропускную способность нашей сети? Наиболее верный путь — выполнить копирование произвольного файла с удаленной машины на свою. Лучше всего проделать эту операцию с помощью протокола FTP, но подойдет так же HTTP, SMB или даже SSH. Главное — выбрать файл подлиннее. Но если ни одного из подобных сервисов на машине нет, измерение скорости передачи может превратиться в проблему. Особо хардкорные товарищи в этом случае могут запустить ping и на основе его статистических данных вычислить пропускную способность канала. Я же предлагаю не перенапрягать мозг и воспользоваться утилитой bing — особой модификацией ping, предназначенной для измерения скорости передачи данных между двумя хостами. Использовать bing почти так же просто, как и его родственника на «p». Необходимо указать IP-адрес локального конца канала и адрес его удаленного собрата, подождать некоторое время (чем дольше, тем точнее результат), остановить выполнение комбинацией <Ctrl+C> и найти в выводе команды строчку «estimated throughput». В ней и будет указана средняя пропускная способность канала, измеренная в байтах в секунду. ОК, скорость передачи мы узнали, но для некоторых приложений подобный «реактивный режим» будет излишеством. На хлюпеньком 256 ме-

габитном канале даже запущенный в фоне wget может принести массу проблем при чтении форумов или интенсивном поиске в Google, а многопоточный менеджер загрузок вообще съест весь канал и не поперхнется. Умерить пыл таких программ можно с помощью хорошего брандмауэра, но не стоит заниматься мазохизмом, и на каждый чих вписывать правила и через пару часов убирать их из таблиц. Для подобных случаев есть другой, более удобный инструмент — trickle.

Trickle работает в пользовательском режиме, не требует привилегий root и позволяет установить различные скорости закачки/отдачи для нескольких приложений одновременно. Использовать его очень просто

— достаточно указать ожидаемые пороги скорости в кб/с, имя ограничиваемой программы и ее аргументы. К примеру, ограничим скорость закачки wget до 10 кб/c:

$trickle -d 10 wget ftp://ftp.host.com/big_file.tar.gz

Изапустим сервер FTP со скоростями закачки/отдачи, равными 30 кб/c и 20 кб/с:

# trickle -d 30 -u 20 ftpd

ngrep по-настоящему удобен

Если ты ограничиваешь пропускную способность для нескольких приложений одновременно, то перед стартом trickle запусти специальный демон trickled, который будет обслуживать множественные инстанции утилиты и снизит нагрузку на процессор.

Стучимся в порты

«Port knoking» (в дословном переводе на родной и могучий — «Стучаться в порты»), есть не что иное, как метод произведения каких-либо действий на стороне сервера с помощью последовательного опроса определенных портов. Проще говоря, это то же самое, что последовательность стуков в дверь, после которой за ней появляется параноидального вида мужик и быстро впускает Штирлица внутрь. В компьютерном мире роль

параноидального мужика обычно выполняет специальный демон, прослушивающий порты, а Штирлиц — это мы (те, кто хочет «войти»). Ну а дверь, как не трудно догадаться, это брандмауэр, открывающий определенный порт (обычно SSH).

«Стук в порты» — очень интересный прием со множеством плюсов. Он абсолютно невидим для постороннего. С его помощью легко защитить сервисы от брутфорса или DoSатак. При правильном использовании — он очень стойкий к подбору комбинаций портов.

Существует масса самых различных реализаций этой техники, начиная от самопальных скриптов, написанных первокурсниками, и заканчивая плагинами для iptables, но наиболее любима в народе, проста в использовании и богата на функционал система knock(www.zeroflux.org/cgibin/cvstrac/knock/wiki/). О ней и поговорим.

Настроить knock нетрудно:

1.Конфигурируем брандмауэр таким образом, чтобы все незанятые реальными сервисами порты выше 1024 были открыты. Часть из них незаметно будет слушать наш демон. Порт защищаемого сервиса оставляем закрытым.

2.Создаем файл /etc/knockd.conf и пишем в него примерно следующее:

#vi/etc/knockd.conf

[ssh-open]

sequence = 1111,2222,3333 seq_timeout = 10 tcpflags = syn

command = /usr/sbin/iptables -A INPUT -s %IP% --dport 22 -j ACCEPT

[ssh-close]

Сетевой top в действии

sequence = 3333,2222,1111 seq_timeout = 10 tcpflags = syn

command = /usr/sbin/iptables -D INPUT -s %IP% --dport 22 -j ACCEPT

3.Запускаем демон:

#knockd -d

4.Берем такси, едем домой и на домашнем компе выполняем команду:

$knock my.lovely.server.com 1111 2222 3333

5.Подключаемся SSH-клиентом к серверу и делаем то, что нужно.

6.Благополучно закрываем SSH-порт:

$ knock my.lovely.server.com 3333 2222 1111

Отныне злодей даже и не догадается о том, что на твой любимый сервер можно проникнуть извне. Для него SSHпорт всегда будет закрыт (открывается он только для того IP, с которого был осуществлен «стук»). Но и это еще не все! Заказав такси прямо сейчас, ты сможешь вернуться к серверу и получить в подарок еще более надежную технику конспирации:

#vi/etc/knockd.conf

[ssh]

sequence = 1111:udp,2222:tcp,3333:udp seq_timeout = 15

tcpflags = syn,ack

start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn --dport 22 -j ACCEPT

cmd_timeout = 10

stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn --dport 22 -j ACCEPT

Это более интересный способ открытия порта, использующий сразу два приема повышения безопасности. Во-пер-

info

•Пропускную способность Сети гораздо проще и эффективнее измерять с помощью утилиты iperf (dast. nlanr.net/Projects/ Iperf), но bing вошел в наш обзор благодаря необычности дизайна. Кроме того, на некоторых

BSD-системах iperf

показывает неверные результаты.

•С помощью knock легко организовать не только открытие портов, но и множество других полезных вещей. Это может быть, например, обратный shell, описанный в разделе про netcat, команда,

перезагружающая

определенный сервис, или скрипт, отправляющий отчет о состоянии сервера на телефон по SMS.

Измеряем пропускную способность канала

вых, теперь Штирлиц должен долбить в дверь не только рукой, но и ногой, то есть «стучать» и в TCP, и в UDP-порты. А во-вторых, брандмауэр откроет SSH-порт для входящих соединений только на 10 секунд, в течение которых мы должны успеть установить SSH-соединение (естественно, iptables должен быть сконфигурирован так, чтобы он без вопросов пропускал любой трафик уже установленных соединений). Конечная команда на подключение выглядит следующим образом:

$ knock 1111:udp 2222:tcp 3333:udp & ssh my.lovely.server.com

Незаменимый netcat

Сетевая версия cat оказалась тем инструментом, замену которому вряд ли можно найти. Обладая предельной

простотой, он невероятно богат на функционал, а диапазон его применения столь широк, что в народе netcat окрестили «Швейцарским армейским ножом». Утилита netcat по сути не делает ничего, кроме копирования данных в порт и из

него, но при этом с ее помощью можно — 1.Передавать файлы:

links

•ngrep.sourceforge.ne $ nc -z www.xakep.ru 1-1024

t

•srparish.net/scripts 4.Осуществлять фингерпринт сервисов на основе банне-

Важно понимать, что существует несколько версий netcat, поведение которых может отличаться. Экземпляр, поставляемый с дистрибутивами Linux, — это оригинал, доживший до наших дней. Все пять приведенных примеров он отработает без проблем. Версия под названием GNU Netcat не поддерживает; опции '-e', поэтому второй и пятый примеры она не воспримет.

Особого внимания заслуживает netcat, распространяемый вместе с BSD-системами, опция '-e'в нем есть, но предназначена она для шифрования входящего и исходящего трафика методом IPSec ESP:

$ nc -e 'in ipsec esp/transport//require' -e 'out ipsec esp/transport//require' 172.16.69.143 31334

Кроме того, BSD Netcat способен подключаться к удаленной машине через прокси:

$ nc -x172.16.64.1:8080 -Xconnect 172.16.69.143 31334

В этом примере прокси находится по адресу 172.16.64.1:8080, а флаг '-Xconnect'говорит о том, что он является HTTP-прокси. Также поддерживаются SOCKS версий 4 и 5, но о них следует информировать netcat через флаг '-X4' или '-X5'.

Сам netcat легко использовать в качестве прокси или редиректора портов, но в этом случае его лучше связать с демоном inetd:

# echo 'redirect-2525 to-25 2525/tcp' >> /etc/

services

#echo 'redirect-2525 to-25 stream tcp nowait nobody /usr/bin/nc nc -w 2 127.0.0.1 25' >> /etc/inetd.conf

#killall -HUP inetd

Теперь весь трафик, пришедший на порт 2525, будет перенаправляться на стандартный SMTP-порт 25. Таким же образом мы можем завернуть трафик с любого порта на другой порт/машину, просто видоизменив первые две команды.

Пользователи дистрибутивов Linux могут вообще не заморачиваться с netcat: демон xinetd, ставший стандартом де факто для Linux-систем, сам умеет перенаправить сетевой трафик:

#vi/etc/xinetd/redirect

service redirect-2525 to-25

{

\disable = no

\type = UNLISTED

\socket_type = stream

\protocol = tcp

\wait = no

\port = 2525

\redirect = 127.0.0.1 25

\user = nobody

}

Grep, sed и top на службе сети

Кроме рассмотренного выше netcat, известно еще несколько примеров удачного портирования UNIX-утилит в сетевой мир. В первую очередь, это программы ngrep и netsed, предназначенные для поиска и замены текстовых элемен-

никто не сомневается в том факте, что писать «офици- П » программы под айфон означает «получать бабло»?

Ознакомимся с примером. Жил да был на свете перец с имеСтив Деметр (никогда, кстати, не замечал, что прогеры

Стив» становятся суперуспешными?). Жил он себе, кодил , ну и накодил в результате очередной клон на тему тетриса,

оценил его в скромные $5 и отправил в AppStore. Сидит он, стало быть, у разобранного системника, чай пьет, а ему тем временем приходит чек на $250 000 — мол, получите: вашу программу за два месяца скачала туева хуча людей, вот ваше бабло.

Мило? Вот именно! А как тебе нравятся заголовки в американских таблоидах (Wired, к примеру) вроде «Кризис? Только не для iPhone-програм- меров!». И там, за океаном, и тут, ближе к Москве и Киеву, айфон-деве-

лоперы в почете. Всем охота создать крутую программу и получить с нее огромное бабло. Ну что, теперь впечатлился? То-то же! Давай быстренько разнесем по полочкам все основные понятия и примемся за кодинг.

Основные понятия

Для тех, кто далек от истерии вокруг iPhone и не страдает фанатизмом по отношению к яблочной продукции, напомним, что сначала iPhone по фичам не дотягивал даже до статуса нормального телефона. После старта продаж летом 2007 года он представлял собой недоделанный телефонплеер с качественным браузером, продавался только в США и только с привязкой к оператору. Со временем умные люди отучили его жаловаться оператору на чужую SIM-карту, научились писать и устанавливать программы и вообще, настраивать телефон под свои нужды.