Adam Michał Ziaja - techblog

Usuwanie KDE, GNOME itd.

2010-04-22T14:25:00.003+02:00

Aby usunąć KDE, pod Debianem wydajemy polecenie

apt-get remove `aptitude search ~skde | egrep "^i" | awk '{ if($2 ~/A/){ print $3} else print $2}'`

analogicznie żeby usunąć GNOME

apt-get remove `aptitude search ~sgnome | egrep "^i" | awk '{ if($2 ~/A/){ print $3} else print $2}'`

aby po prostu wyświetlić pakiety z KDE wpisujemy

aptitude search ~skde | egrep "^i" | awk '{ if($2 ~/A/){ print $3} else print $2}'

prosto miło i przyjemnie :).

Konfiguracja GPS Navibe GM720 do pracy z Kismet

2010-03-21T18:23:00.003+01:00

Navibe GM720 to stosunkowo tani GPS, kupiłem go na allegro.pl za około 100zł. Jego instalacja na stosunkowo nowym kernelu, w moim przypadku

2.6.32-bpo.2-686

jest banalnie prosta, podłączamy GPS do dowolnego portu USB

# lsusb
Bus 002 Device 002: ID 067b:2303 Prolific Technology, Inc. PL2303 Serial Port

następnie sprawdzamy czy moduł się załadował

# lsmod | grep pl2303
pl2303 11572 1
usbserial 21859 3 pl2303
usbcore 98194 7 pl2303,usbserial,uvcvideo,btusb,ehci_hcd,uhci_hcd

jeśli nie

insmod pl2303

następnie

dpkg-reconfigure gpsd

i jako urządzenie podajemy

/dev/ttyUSB0

restartujemy gpsd

/etc/init.d/gpsd restart

sprawdzamy czy wszystko działa jak należy

# telnet localhost 2947
r

i powinny wyświetlić się logi z GPS, następnie edytujemy plik konfiguracyjny Kismet

# nano /usr/local/etc/kismet.conf

i edytujemy część poświęconą GPS

[...]
# Do we have a GPS?
gps=true
# Do we use a locally serial attached GPS, or use a gpsd server?
# (Pick only one)
gpstype=gpsd
# gpstype=serial
# What serial device do we look for the GPS on?
gpsdevice=/dev/ttyUSB0
# Host:port that GPSD is running on. This can be localhost OR remote!
gpshost=localhost:2947
# Do we lock the mode? This overrides coordinates of lock "0", which will
# generate some bad information until you get a GPS lock, but it will
# fix problems with GPS units with broken NMEA that report lock 0
gpsmodelock=false
# Do we try to reconnect if we lose our link to the GPS, or do we just
# let it die and be disabled?
gpsreconnect=true
[...]

i gotowe.

Konfiguracja GPS po Bluetooth do pracy z Kismet

2009-11-17T21:43:00.006+01:00

Kismet to program komputerowy pozwalający na pasywne wykrywanie bezprzewodowych sieci lokalnych. Umożliwia sniffing i posiada pewne cechy systemu IDS dla sieci 802.11. Kismet działa z dowolnymi kartami WiFi jednak karta musi obsługiwać tryb monitora. Kismet pozwala na przechwytywanie ramek warstwy drugiej 802.11b, 802.11a oraz 802.11g.
Jeśli posiadamy więc GPS z Bluetooth i chcielibyśmy go podłączyć do programu Kismet w celu logowania pozycji gdzie znaleziono dana sieć to musimy wykonać następujące czynności, na początek wyszukujemy urządzenia

hcitool scan

wynik powinien być podobny do

00:0B:0D:23:47:24 MAINNAV-GPS

w moim przypadku jest to GPS MAINNAV MG-950DL DataLogger, następnie edytujemy plik

/etc/bluetooth/rfcomm.conf

i dopisujemy

rfcomm0 {
# Automatically bind the device at startup
bind yes;

# Bluetooth address of the device
device 00:0B:0D:23:47:24;

# RFCOMM channel for the connection
channel 1;

# Description of the connection
comment "MAINNAV-GPS";
}

gdzie

00:0B:0D:23:47:24

to adres urządzenia uzyskany w wyniku wpisania pierwszej komendy, następnie powinniśmy wykonać reboot lub wydać komendę

rfcomm bind rfcomm0

w kolejnym kroku wydajemy komendę

dpkg-reconfigure gpsd

i jako urządzenie podajemy

/dev/rfcomm0

restartujemy gpsd

/etc/init.d/gpsd restart

sprawdzamy czy wszystko działa jak należy

# telnet localhost 2947
# r

powinien się wyświetlić log podobny do

$GPRMC,000000,V,5015.2810,N,01751.2797,E,0.0000,0.000,000000,,*38
$GPRMC,213558,V,5015.2810,N,01751.2797,E,0.0000,0.000,171109,,*3F
$GPGSA,A,1,,,,,,,,,,,,,,,,*32
$GPRMC,000000,V,5015.2810,N,01751.2797,E,0.0000,0.000,000000,,*38
$GPRMC,213559,V,5015.2810,N,01751.2797,E,0.0000,0.000,171109,,*3E
$GPGSA,A,1,,,,,,,,,,,,,,,,*32

jeśli tak się stało, oznacza to, że GPS działa już po Bluetooth, teraz mała uwaga, wysoce zalecam instalacje najnowszej wersji Kismeta, aktualnie jest to Kismet-2009-06-R1, ponieważ znacznie różni się od poprzednich wersji, łącznie z plikiem konfiguracyjnym

/usr/local/etc/kismet.conf

który powinien tak wyglądać w części z GPS

[...]
# Do we have a GPS?
gps=true
# Do we use a locally serial attached GPS, or use a gpsd server?
# (Pick only one)
gpstype=gpsd
# gpstype=serial
# What serial device do we look for the GPS on?
gpsdevice=/dev/rfcomm0
# Host:port that GPSD is running on. This can be localhost OR remote!
gpshost=localhost:2947
# Do we lock the mode? This overrides coordinates of lock "0", which will
# generate some bad information until you get a GPS lock, but it will
# fix problems with GPS units with broken NMEA that report lock 0
gpsmodelock=false
# Do we try to reconnect if we lose our link to the GPS, or do we just
# let it die and be disabled?
gpsreconnect=true
[...]

od najnowszej wersji Kismet ma również standardowo włączony GPS, we wcześniejszych wersjach trzeba edytować kismet.conf i dostosować go do powyższego wycinku z pliku konfiguracyjnego.

Synchronizacja czasu

2009-11-16T17:40:00.003+01:00

Wraz z rozwojem Internetu zwiększa się ilość spraw i transakcji obsługiwanych drogą elektroniczną. Wymusza to konieczność uporządkowania zdarzeń i ich rejestrację zgodną z chronologią czasu. Elektroniczne systemy bilingowe, elektroniczna bankowość, obsługa giełd i sklepów to jedynie wybrane przykłady e-biznesu w których czas jest krytyczny dla prawidłowego funkcjonowania całych rozwiązań.
Niestety współczesne zegary komputerowe nie należą do dobrych mierników czasu i dlatego ich synchronizację coraz częściej powierza się publicznym serwerom czasu dostępnym w Internecie.
Automatyczna synchronizacja czasu pod Debianem jest bardzo prosta, na początek instalujemy pakiet ntpdate

apt-get install ntpdate

następnie edytujemy plik konfiguracyjny

nano /etc/default/ntpdate

i zamieniamy jego zawartość (aktualna wersja 1:4.2.4p6+dfsg-2, w przyszłości format pliku może ulec zmianie) na

# The settings in this file are used by the program ntpdate-debian, but not
# by the upstream program ntpdate.

# Set to "yes" to take the server list from /etc/ntp.conf, from package ntp,
# so you only have to keep it in one place.
NTPDATE_USE_NTP_CONF=no

# List of NTP servers to use (Separate multiple servers with spaces.)
# Not used if NTPDATE_USE_NTP_CONF is yes.
NTPSERVERS="ntp1.tp.pl ns1.net.icm.edu.pl ntp.coi.pw.edu.pl ntp.us.edu.pl ntp.nask.pl"

# Additional options to pass to ntpdate
NTPOPTIONS=""

w dowolnym momencie możemy również synchronizować zegar ręcznie po przez wydanie komendy

ntpdate ntp.icm.edu.pl

oczywiście możemy wybrać dowolne serwery czasu, ich lista znajduje się na oficjalnej stronie www.ntp.org żeby sprawdzić czy nasz system synchronizuje zegar automatycznie należy sprawdzić logi systemowe

cat /var/log/syslog | grep ntpdate | tail -5

Przygotowanie ZyDAS ZD1211 do pracy z aircrack-ng suite

2009-11-14T14:06:00.002+01:00

ZyDAS ZD1211 jest kartą WiFi, którą standardowo dostajemy przy zakupie Neostrady z routerem Livebox (Sagem F@st 3202) w Telekomunikacji Polskiej. Karta idealnie współpracuje z programami ze stajni aircrack-ng w tym obsługuje wstrzykiwanie pakietów (injection). Na początek instalujemy firmware

wget http://kent.dl.sourceforge.net/sourceforge/zd1211/zd1211-firmware-1.4.tar.bz2
tar jxvf zd1211-firmware-1.4.tar.bz2
mv zd1211-firmware /lib/firmware/zd1211
rm zd1211-firmware-1.4.tar.bz2

następnie

wget http://wireless.kernel.org/download/compat-wireless-2.6/compat-wireless-2.6.tar.bz2
tar xfj compat-wireless-2.6.tar.bz2
cd compat-wireless-*
wget http://www.zlaten.biz/tmp/zd1211rw-inject+dbi-fix-2.6.26.patch
wget http://patches.aircrack-ng.org/mac80211.compat08082009.wl_frag+ack_v1.patch
patch -Np0 -i zd1211rw-inject+dbi-fix-2.6.26.patch
patch -Np1 -i mac80211.compat08082009.wl_frag+ack_v1.patch
make
make install
make unload
modprobe zd1211rw

przypadku wystąpienia błędu

make: *** /lib/modules/2.6.30-2-686/build: No such file or directory. Stop.

pod Debianem wpisujemy

apt-get install linux-headers-$(uname -r)

na koniec pozostaje przetestowanie wstrzykiwania pakietów

airmon-ng start wlan0
aireplay-ng -9 mon0

jeśli wynikiem powyższych komend jest

# aireplay-ng -9 mon0
14:03:53 Trying broadcast probe requests...
14:03:53 Injection is working!

to znaczy, że wszystko przebiegło poprawnie.

Grsecurity

2009-11-12T14:09:00.004+01:00

Grsecurity jest popularną łatą nakładaną na kod źródłowy jądra Linux, zwiększającą jego bezpieczeństwo, dzięki czemu możemy uniknąć wielu ataków zdalnych i lokalnych. Na wstępnie chciałbym zaznaczyć, że nie polecam instalowania grsec na desktopach, a jedynie serwerach, ponieważ wynika z tego powodu wiele problemów, m.in. z odpaleniem środowiska graficznego. Instalacja nie jest zbytnio skomplikowana, opiszę ją tradycyjnie na przykładzie dystrybucji Debian GNU/Linux oraz wersji kernel 2.6.31.5, w przypadku instalacji nowszej wersji potrzeba tylko zwrócić uwagę żeby zmienić numer wersji w komendach. Mała uwaga, przykładowy plik z patchem grsec ma nazwę

grsecurity-2.1.14-2.4.37.7-200911101931.patch

oznacza to, że łatka jest w wersji 2.1.14 dla kernela 2.4.37.7 (wiec trzeba korzystać dokładnie z tych źródeł kernela) oraz data jej wydania. Na początek instalujemy wymagane pakiety

apt-get update;apt-get install kernel-package libncurses5-dev build-essential

następnie ściągamy kernela oraz łatkę

cd /usr/src
wget http://grsecurity.net/test/grsecurity-2.1.14-2.6.31.5-200910312135.patch
wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.31.5.tar.bz2

rozpakowujemy kernela oraz patchujemy go

tar -xjf linux-2.6.31.5.tar.bz2
patch -p0 < grsecurity-2.1.14-2.6.31.5-200910312135.patch

następnie wybór polityki grsec

cd linux-2.6.31.5
make menuconfig

w menu wybieramy

Security options > Grsecurity > Security Level > High
Security options > Grsecurity > Sysctl support > Sysctl support
Security options > Grsecurity > Sysctl support > Turn on features by default

w tym wypadku wybraliśmy najwyższą politykę bezpieczeństwa grsec, ich dokładny opis można przeczytać pod tym adresem, następnie przechodzimy do kompilacji kernela

make-kpkg clean
make-kpkg --initrd kernel_image kernel_headers

po kompilacji instalujemy gotowe paczki

cd /usr/src
dpkg -i linux-headers-2.6.31.5.10112009-grsec_2.6.31.5.10112009-grsec-10.00.Custom_i386.deb
dpkg -i linux-image-2.6.31.5.10112009-grsec_2.6.31.5.10112009-grsec-10.00.Custom_i386.deb

tworzymy plik initrd

update-initramfs -k 2.6.31.5.10112009-grsec -c

na koniec trzeba jeszcze tylko edytować menu gruba

/boot/grub/menu.lst

i upewnić się czy wszystko jest dobrze dopisane analogicznie do standardowego wpisu z pierwotnie zainstalowanym kernelem

title Debian GNU/Linux, kernel 2.6.31.5-grsec
root (hd0,0)
kernel /boot/vmlinuz-2.6.31.5-grsec root=/dev/sda1 ro
initrd /boot/initrd.img-2.6.31.5-grsec

prawdopodobnie będzie brakowało linijki

initrd /boot/initrd.img-2.6.31.5-grsec

która trzeba będzie dopisać ręcznie, następnie restartujemy system i przy starcie w menu gruba wybieramy nowy kernel :-).

Ściąganie plików z wrzuta.pl

2009-04-12T12:37:00.007+02:00

Ostatnio serwis wrzuta.pl "zabezpieczył się" przed ściąganiem plików znanym już wszystkim sposobem. Przełamanie tych "zabezpieczeń" nie należy do najtrudniejszych rzeczy, wystarczy odpalić pierwszy lepszy sniffer.

powyższy przykład dla pliku "Inna - Hot (Radio Edit).mp3", dostajemy 2 linki

http://djlora.wrzuta.pl/sr/f/3xvGQzK5dah
http://c.wrzuta.pl/wa9735/31adfe7a00190817490b02c4/0/inna%20-%20hot%20%28radio%20edit%29.mp3

jak widać cała filozofia sprowadza się do zamiany fragmentu linku

/audio/

/sr/f/

Powyższy sposób działa praktycznie na wszystkie serwisy tego typu.

Budowanie paczek deb

2009-04-02T10:03:00.005+02:00

deb - format pakietu instalacyjnego używanego przez system operacyjny Debian GNU/Linux i jego pochodne np. Ubuntu. Pakiet deb (i jego instalator dpkg) posiada zaawansowaną kontrolę powiązań i zależności pomiędzy poszczególnymi składnikami systemu - programami i używanymi przez nie bibliotekami. Dzięki temu instalując nowy program ma się pewność, że nie będzie miał miejsca konflikt z innymi zainstalowanymi programami. W przeciwnym wypadku instalowany program mógłby przerwać funkcjonowanie z powodu braku poszczególnych składników, które są wymagane do prawidłowego działania.
Po krótkim wstępie, przejdźmy do sedna sprawy, wbrew pozorom, budowa paczek deb nie należy do najłatwiejszych rzeczy, szczególnie jeśli budujemy paczki do oficjalnego repozytorium. Na początek musimy wybrać oczywiście jakiś program (bądź bibliotekę itp.) z którego chcemy zrobić paczkę w tym przykładzie omówię budowę paczki mpview, którą zbudowałem do oficjalnego repozytorium Debiana (i swoją drogą nie została dodana, przynajmniej do czasu, aż nie ukaże się nowa wersja programu, ponieważ sądzą, że projekt mpview umarł, jednak nikt nie raczył zdjąć flagę RFP - Request For Packing). Na początek oczywiście musimy pobrać program z którego będziemy robić paczkę, następnie tworzymy jakiś katalog, np. debian, przenosimy do niego archiwum ściągniętego programu. Ogólnie mówiąc w katalogu debian powinniśmy mieć teraz

mpview-0.4.1/
mpview-0.4.1.tar.gz

ależy tutaj zwrócić uwagę na format

program-wersja/
program-wersja.tar.gz

archiwum programu musi mieć rozszerzenie tar.gz, jeśli nie ma, to musimy przepakować, następnie wpisujemy

export DEBFULLNAME="Imię Nazwisko"

i w katalogu

mpview-0.4.1/

wydajemy polecenie

dh_make -e adres@e-mail -c licencja -f ../archiwum.tar.gz

przy parametrze -c możemy wybrać gpl, lgpl, artistic, bsd, jeśli program nie jest pod żadną z tych licencji, opuszczamy parametr, po wydaniu powyższego polecenia w katalogu powinien pojawić się podkatalog o nazwie debian, jeśli budujemy nieskomplikowaną paczkę potrzebne będą nam tylko pliki

changelog
compat
control
copyright
rules
watch

do pliku compat wystarczy wpisać 7

echo 7 > compat

na początek zajmijmy się najważniejszym plikiem, którym jest control

Source: mpview
Section: graphics
Priority: optional
Maintainer: Adam Ziaja <adam{@}ziaja.name>
Build-Depends: debhelper (>= 7), autotools-dev, libbz2-1.0 (>= 1.0.5-1~), libexpat1 (>= 2.0.1-4), libfftw3-dev (>= 3.1.2-3.1), libfontconfig1 (>= 2.6.0-3), libfreetype6-dev (>= 2.3.7-2), libgmp3c2 (>= 2), libice6 (>= 2), libjpeg62-dev (>= 6b-14), libpng12-dev (>= 1.2.27-2), libsm6 (>= 2), libtiff4-dev (>= 3.8.2-11), libx11-6 (>= 2), libxau6 (>= 1), libxcb1 (>= 1.1-1.1), libxdmcp6 (>= 1), libxext6 (>= 2), libxt6 (>= 1), zlib1g-dev (>= 1), qt4-qmake, libqt4-dev
Standards-Version: 3.8.1
Homepage: http://mpview.sourceforge.net

Package: mpview
Architecture: any
Depends: ${shlibs:Depends}, ${misc:Depends}
Description: MP View is cross-platform image viewer with possibility of image manipulation
MP View is cross-platform image viewer with possibility of image
manipulation (crop, resize, running filters), based on CImg and Qt.

Być może zauważyłeś, że Debian jest podzielony na następujące sekcje: main (zawiera wolne oprogramowanie), non-free (zawiera oprogramowanie, które nie jest wolne) i contrib (zawiera wolne oprogramowanie, które zależy od oprogramowania, które nie jest wolne). Dodatkowo każda z sekcji dzieli się na logiczne podsekcje, które skrótowo opisują, do czego służy dany pakiet. Mamy zatem sekcję admin, która zawiera programy przeznaczone tylko dla administratora systemu, base z podstawowymi narzędziami, devel z narzędziami programistów, doc z dokumentacją, libs z bibliotekami, mail z programami do obsługi poczty elektronicznej, net z aplikacjami sieciowymi i demonami usług sieciowych, sound z aplikacjami muzycznymi, graphics z aplikacjami graficznymi, x11 z programami dla systemów X11, które nie pasują nigdzie indziej i wiele innych. Zmieńmy zatem Section na graphics. Prefiks "main/" jest przyjmowany domyślnie, więc możemy go pominąć. W kolejnej linii mamy Priority, pełną listę priorytetów można znaleść tutaj. Maintainer to oczywiście, osoba, która stworzyła paczkę, Build-Depends chwilowo pomińmy, Homepage to strona domowa programu, Architecture opisuje architekturę procesora, dla którego może być skompilowany pakiet. Pozostawimy w niej any, gdyż pakiet dpkg-gencontrol(1) sam wstawi w tym miejscu odpowiednią wartość dla każdego typu maszyny, na której kompilowany jest pakiet. Description jest opisem paczki, format powinien wyglądać następująco

Description: Krótki opis
[dwie spacje odstępu]dłuższy opis, dłuższy opis, dłuższy opis, załamanie linii
[dwie spacje odstępu]dalszy ciąg opisu
[dwie spacje odstępu]opcjonalnie kolejne linie

wróćmy teraz do Build-Depends, jest to lista zależności pakietów, które wymagane są do poprawnej instalacji naszej paczki i działania samego programu. Aby stworzyć taką wstępną listę, można posłużyć się skryptem

#!/bin/bash
strace -f -o /tmp/log ./configure
# or make instead of ./configure, if the package doesn't use autoconf
for x in `dpkg -S $(grep open /tmp/log|\
perl -pe 's!.* open$\"([^\"]*).*!$1!' |\
grep "^/"| sort | uniq|\
grep -v "^\(/tmp\|/dev\|/proc$" ) 2>/dev/null|\
cut -f1 -d":"| sort | uniq`; \
do \
echo -n "$x (>=" `dpkg -s $x|grep ^Version|cut -f2 -d":"` "), "; \
done

należy tutaj pamiętać o jak najbardziej optymalnym doborze parametrów do ./configure listę tych parametrów możemy zobaczyć wpisując

./configure --help

w głownym katalogu programu, skrypt wypisze nam listę wymaganych pakietów, niestety jeśli ma to być paczka do oficjalnego repozytorium to nie jest to koniec :-P, w całej liście edytujemy ciąg znaków (występuje w wersji pakietu)

-1)

-1 )

zamieniając go ciągiem

-1~)

następnie usuwany pakiety, które są wymagane w systemie jak np.

locales (>= 2.7-18)

i pakiety, które są wymagane przez inne pakiety wchodzące w listę wymaganych przez nas pakietów (masło maślane ;-P), założenie jest takie, że lista powinna być jak najkrótsza i zawierać tylko rzeczywiście wymagane pakiety. Przejdźmy do kolejnego pliku którym jest rules, przy opisie poprzedniego, nie na daremno zostawiłem opis Build-Depends na koniec, teraz musimy dopisać do pliku rules w odpowiednim miejscu parametry, które dopisaliśmy w skrypcie do generowania listy wymaganych pakietów, a także inne wymagane komendy (jeśli takie były wymagane, np. export jakieś wartości) do kompilacji programu. Przejdźmy zatem do kolejnego pliku, watch jest plikiem dzięki, któremu repozytorium może kontrolować czy nie zostały wydane nowsze wersje programu, standardowo mamy w tym pliku (watch.ex od example, z ang. przykład) różne przykłady dla popularnych stron, np. dla tego programu zawartość pliku była następująca

version=3
http://sf.net/mpview/mpview-(.*)\.tar\.gz

ponieważ strona programu znajduje się na sourceforge.net (sf.net), następnym plikiem, który omówię będzie changelog, jest to plik, który powinien zawierać odnotowane wszystkie dokonywane zmiany, przykładowo plik dla tego programu wygląda

mpview (0.4.1-1) unstable; urgency=low

* Initial release (Closes: #469088).

-- Adam Ziaja <adam{@}ziaja.name> Thu, 26 Mar 2009 12:26:55 +0100

w tym wyypadku Closes: #469088 odpowiada za zamknięcie "bug'u" numer 469088, oczywiście cały plik musi mieć wyżej napisany format, czyli przykładowo w ostatniej linii na początku przed myślnikami musi być spacja itp, niczego nie robiłem, żeby ładnie wyglądało, wszystko to jest wymagane, aby oprogramowanie mogło automatycznie odczytywać treść po przez parsowanie wszystkich tych plików, ostatnim już wymaganym (przynajmniej w przypadku tego programu, w rzeczywistości może okazać się, że będzie Wam potrzeby któryś z pozostałych plików) plikiem jest copyright, w nim muszą być dodane wszystkie licencje z programu, jeśli jakiś choćby jeden plik ma inna licencję to trzeba go dopisać według obowiązującego formatu, przykładowo plik dla mojej paczki wyglądał następująco

This package was debianized by Adam Ziaja <adam{@}ziaja.name> on
Thu, 26 Mar 2009 12:26:55 +0100.

It was downloaded from http://mpview.sourceforge.net

Upstream Author:

Martin Petricek <martin{@}petricek.net>

Files: *

Copyright:

Copyright (C) 2007-2009 Martin Petricek

License:

This package is free software; you can redistribute it and/or modify
it under the terms of the GNU General Public License as published by
the Free Software Foundation; either version 2 of the License, or
(at your option) any later version.

This package is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
GNU General Public License for more details.

You should have received a copy of the GNU General Public License
along with this package; if not, write to the Free Software
Foundation, Inc., 51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA

On Debian systems, the complete text of the GNU General
Public License can be found in `/usr/share/common-licenses/GPL'.

Files:

src/cimg/CImg.h

Copyright:

Copyright (C) 2008 David Tschumperle

License:

This software is governed by the CeCILL-C license under French law and
abiding by the rules of distribution of free software. You can use,
modify and or redistribute the software under the terms of the CeCILL-C
license as circulated by CEA, CNRS and INRIA at the following URL
"http://www.cecill.info".

As a counterpart to the access to the source code and rights to copy,
modify and redistribute granted by the license, users are provided only
with a limited warranty and the software's author, the holder of the
economic rights, and the successive licensors have only limited
liability.

In this respect, the user's attention is drawn to the risks associated
with loading, using, modifying and/or developing or reproducing the
software by the user in light of its specific status of free software,
that may mean that it is complicated to manipulate, and that also
therefore means that it is reserved for developers and experienced
professionals having in-depth computer knowledge. Users are therefore
encouraged to load and test the software's suitability as regards their
requirements in conditions enabling the security of their systems and/or
data to be ensured and, more generally, to use and operate it in the
same conditions as regards security.

The fact that you are presently reading this means that you have had
knowledge of the CeCILL-C license and that you accept its terms.

The Debian packaging is (C) 2009, Adam Ziaja <adam{@}ziaja.name> and
is licensed under the GPL, see above.

następnie jeśli chcielibyśmy zamieścić paczkę w oficjalnym repozytorium, trzeba posiadać klucz GPG, ale to już temat na oddzielny artykuł, wpisujemy w głównym katalogu programu

debuild

następnie podajemy dwa razy hasło do naszego klucza GPG, przy wydaniu powyższego polecenia może wystąpić wiele błędów np. jeśli jest błąd w linii 1319 to w głównym katalogu programu musi znajdować się plik o nazwie ChangeLog (dokładnie z C i L duże, jeśli jest inaczej to musimy poprawić), jeśli debuild dojdzie do końca, możemy zweryfikować poprawność paczki po przez wydanie polecenia

lintian -Ii *.dsc

w katalogu który utworzyliśmy na początku (~/debian), jeśli paczka nie zawiera żadnych błędów i chcielibyśmy dodać ją do oficjalnego repozytorium to trzeba będzie zarejestrować się na http://mentors.debian.net i dodać nasz klucz GPG, którym podpisaliśmy paczkę, opis budowy pliku konfiguracyjnego programu dupload (który służy do wysyłania paczki na serwer) znajduje się pod tym adresem. Aby załadować paczkę na serwer wydajemy polecenie

dupload -t mentors *.changes

w katalogu ~/debian, następnie logujemy się na stronę i wybieramy opcję, że szukamy sponsora (deweloper Debiana, który może dodać naszą paczkę do oficjalnego repozytorium). Uff, koniec i niech ktoś teraz powie, że budowa takiej paczki to łatwa sprawa, a są osoby (deweloperzy Debiana) które zbudowały po ~100 takich paczek, jednak opisałem tylko sposób budowy prostej paczki, budowa niektórych pakietów jest o wiele trudniejsza :-). PS: w całym opisie pozamieniałem znaczki @ na {@} aby uniknąć spamu.

BIND - konfiguracja serwera DNS

2009-04-01T18:21:00.009+02:00

BIND jest jednym z najpopularniejszych serwerów DNS wykorzystywanym w systemach Linux i Unix. BIND stanowi niezmiernie ważny składnik zapewniający poprawne działanie systemu nazw w Internecie. Wielu użytkowników globalnej sieci bezwiednie korzysta z serwera BIND, kiedy ich przeglądarka WWW odpytuje go o adres IP komputera udostępniającego interesującą ich stronę.
Nowa wersja BIND 9 została napisana od zera, aby rozwiązać część problemów z architekturą poprzednich wydań tego programu. Dlatego też warto byłoby nauczyć się go konfigurować dla swoich potrzeb. Artykuł ten będzie opisem konfiguracji serwera DNS pod kontrola systemu operacyjnego Linux Debian, jednak w rzeczywistości jedyne różnice jakie mogą wystąpić to inne ścieżki do plików konfiguracyjnych. Głównym plikiem konfiguracyjnym serwera jest

/etc/bind/named.conf

w nim też będziemy dodawać wszystkie domeny, przykładowo opiszę zaparkowanie domeny ziaja.name, na dole pliku named.conf dodajemy

zone "ziaja.name" IN {
type master;
file "/var/cache/bind/ziaja.name";
allow-update { none; };
allow-transfer { none; };
notify yes;
};

szczególną uwagę należy zwrócić na linie rozpoczynające się od allow, w allow-update dopisujemy IP serwerów, które będą mogły aktualizować naszą strefę, jeśli nasz serwer jest na domowe potrzeby powinniśmy wpisać none, drugi wpis tj. allow-transfer mówi o IP, które mogą widzieć wpisy w naszej domenie, jeśli przykładowo nie uwzględnimy przy parkowaniu allow-transfer, to każda osoba będzie mieć możliwość podglądu wszystkich wpisów w tej domenie po przez wydanie polecenia

dig @IPserweraDNS domena axfr

tak więc warto na to zwrócić uwagę, bo jednak często nawet największe serwisy o to nie dbają, m.in. gov.pl pozwala na taki export po przez dwa serwery dns cocos.fuw.edu.pl i dns3.atman.pl

dig @193.0.80.11 gov.pl axfr
dig @217.17.34.50 gov.pl axfr

również gmach.sejm.gov.pl pozwala na export, tylko w tym wypadku sejm.gov.pl

dig @195.187.137.108 sejm.gov.pl axfr

narzuca się pytanie, czy wszyscy muszą znać np. adres bramy

brama.sejm.gov.pl. 86400 IN A 195.187.136.89

czyli jak już wspomniałem wcześniej, nie jest to raczej korzystne i należy o to zadbać. Następnie powinniśmy utworzyć plik konfiguracyjny strefy

/var/cache/bind/ziaja.name

a w nim

$TTL 120 ; Domyślny TTL
$ORIGIN ziaja.name.
@ IN SOA dns.linux.pl. adam.ziaja.name. (
200901269 ; Numer seryjny
3600 ; Częstość odświeżania (refresh)
1800 ; Częstość powtórek (retry)
1209600 ; Czas wygaśnięcia (expire)
86400 ; Negatywne buforowanie TTL
)
@ IN NS dns.linux.pl.
@ IN A 213.135.50.73

gdzie fragment adam.ziaja.name to adres e-mail admina pisany z kropką zamiast małpy, a dns.linux.pl to adres naszego serwera DNS, przy czym należy pamiętać o kropkach na końcu i o każdorazowej zmianie numeru seryjnego np. na datę z godziną przy zmianie jakiegokolwiek elementu strefy oraz o odświeżeniu stref za pomocą komendy

rndc reload

Na końcu można dopisać dowolną ilość adresów różnego typu, w tym wypadku dopisany jest adres IP 213.135.50.73 IN A dla domeny ziaja.name (należy tutaj zaznaczyć że główny adres w domenie, ten bez subdomen musi wskazywać na IP IN A), kolejnym interesującym nas plikiem konfiguracyjnym będzie

/etc/bind/named.conf.options

w jego zawartości można wpisać np.

options {
directory "/var/cache/bind";
statistics-file "/var/cache/bind/bind.stats";
dump-file "/var/cache/bind/bind.dump";
allow-recursion { 127.0.0.1; };
allow-transfer { none; };
notify yes;
transfer-format many-answers;
listen-on { any; };
listen-on-v6 { any; };
auth-nxdomain yes;
query-source address * port 53;
transfer-source * port 53;
notify-source * port 53;
version "Microsoft DNS Server v1.5 (WinME)";
forwarders { 62.129.252.30; 213.25.47.166; 194.204.159.1; 194.204.152.34; 208.67.222.222; 208.67.220.220; 212.76.33.1; 62.179.1.60; 213.134.134.134; 217.17.34.10; 195.114.173.153; };
};

logging {
channel security_file { file "/var/log/named/security.log" versions 3 size 30m; severity dynamic; print-time yes; };
channel default_file { file "/var/log/named/default.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel general_file { file "/var/log/named/general.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel database_file { file "/var/log/named/database.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel security_file { file "/var/log/named/security.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel config_file { file "/var/log/named/config.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel resolver_file { file "/var/log/named/resolver.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel xfer-in_file { file "/var/log/named/xfer-in.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel xfer-out_file { file "/var/log/named/xfer-out.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel notify_file { file "/var/log/named/notify.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel client_file { file "/var/log/named/client.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel unmatched_file { file "/var/log/named/unmatched.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel queries_file { file "/var/log/named/queries.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel network_file { file "/var/log/named/network.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel update_file { file "/var/log/named/update.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel dispatch_file { file "/var/log/named/dispatch.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel dnssec_file { file "/var/log/named/dnssec.log" versions 3 size 5m; severity dynamic; print-time yes; };
channel lame-servers_file { file "/var/log/named/lame-servers.log" versions 3 size 5m; severity dynamic; print-time yes; };

category security { security_file; };
category default { default_file; };
category general { general_file; };
category database { database_file; };
category security { security_file; };
category config { config_file; };
category resolver { resolver_file; };
category xfer-in { xfer-in_file; };
category xfer-out { xfer-out_file; };
category notify { notify_file; };
category client { client_file; };
category unmatched { unmatched_file; };
category queries { queries_file; };
category network { network_file; };
category update { update_file; };
category dispatch { dispatch_file; };
category dnssec { dnssec_file; };
category lame-servers { lame-servers_file; };
};

gdzie version odpowiada za to jak będzie się przedstawiać nasz serwer DNS, jak zawsze nie jest wskazane korzystanie z oryginalnych bannerów ze względów bezpieczeństwa, forwarders są to adresy IP serwerów DNS do których będą przekazywane zmiany w strefach naszego serwera DNS w celu szybszego rozpropagowania dokonanych zmian, elementy w sekcji logging służą za logowanie poszczególnych zdarzeń, jedyne co można tutaj zmodyfikować to ścieżkę do logów, jeśli nie chcemy logować danych zdarzeń należy usunąć linię odpowiadająca za te zdarzenie. Jęśli posiadamy firewalla (np. iptables) to trzeba będzie dopisać jeszcze reguły

iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

To by było na tyle jeśli chodzi o podstawową konfigurację serwera BIND9 :-).

DenyHosts - zaawansowana konfiguracja

2009-03-31T14:21:00.008+02:00

DenyHosts jest programem napisanym w Pythonie i jest jednym z najlepszych narzędzi do zabezpieczania SSH przeciw ataków brute force stosowanymi najczęściej przez boty.
Plik konfiguracyjny mieści się w

/etc/denyhosts.conf

w nim będziemy dokonywać całą konfigurację programu, na początek najważniejsza opcja

SECURE_LOG

odpowiada za ścieżkę do logów SSH

HOSTS_DENY

opcja tyczy się również położenia pliku z logami, jeśli instalowaliśmy program z paczki (np. pod Debianem) to nie trzeba tych dwóch pierwszych opcji modyfikować

PURGE_DENY

odpowiada za czas po jakim IP będą odblokowywane, jeśli opcja jest bez parametrów to oznacza to, że nigdy

BLOCK_SERVICE

tutaj ustawiamy czy blokowany ma być dostęp tylko do SSH czy do wszystkich usług serwera, standardowo opcja jest ustawiona na ALL, czyli blokowanie dostępu do wszystkich usług

DENY_THRESHOLD_INVALID

po ilu nieudanych próbach logowania na konta których nie ma w /etc/passwd (ogólnie mówiąc plik z listą kont w systemie) ma być blokowany dostęp, jest to opcja zabezpieczająca przeciw atakom słownikowym

DENY_THRESHOLD_VALID

natomiast ta opcja odpowiada za ilość prób logowania na konta, które istnieją w /etc/passwd

DENY_THRESHOLD_ROOT

ilość prób logowania na konto root (główne konto administratora systemu)

DENY_THRESHOLD_RESTRICTED

odpowiada za ilość prób logowania na konta znajdujące się w /var/lib/denyhosts/restricted-usernames (standardowo), polecam ustawić wartość 1, a do pliku /var/lib/denyhosts/restricted-username dopisać konta, które nigdy nie powinny mieć możliwości logowania na SSH np. mysql, więcej tutaj

ADMIN_EMAIL

tutaj możemy ustawić adres e-mail admina na który mają dochodzić powiadomienia o blokowaniu danego IP, raczej nie polecam ustawiania tej opcji na większych serwerach :-), wszystkie opcje zaczynające się od

SMTP_

odpowiadają za sposób wysyłania poczty i dane konta z którego będzie wysyłane powiadomienie o blokadzie, natomiast wszystkie opcje zaczynające się od

AGE_RESET_

odpowiadają za czas naliczania prób logowania

SYNC_SERVER

bardzo przydatna opcja pozwalająca na synchronizację bazy blokowanych adresów IP, szczerze polecam

SYNC_INTERVAL

czas co ile lista będzie synchronizowana baza

SYNC_UPLOAD

czy program ma wysyłać zablokowane przez nasz serwer adresy IP

SYNC_DOWNLOAD

czy program ma ściągać listę IP zablokowanych adresów przez innych użytkowników programu, polecam obie powyższe opcje włączyć (yes)

SYNC_DOWNLOAD_THRESHOLD

bardzo ważna opcja, ile różnych serwerów musi wysłać dane IP, żeby zostało zablokowane na naszym serwerze, polecam wartość 3 lub więcej, to by było na tyle w temacie konfiguracji DenyHosts :).

Fail2ban - podstawy konfiguracji

2009-03-31T13:40:00.006+02:00

Fail2ban jest jednym z podstawowych narzędzi wspomagających zabezpieczanie serwerów opartych o system Linux. Program ten napisany jest w Pythonie i w skrócie mówiąc kontroluje logi, a gdy zachodzi taka potrzeba to dodaje regułę do firewalla, aby odciąć dostęp intruzowi (zazwyczaj botom).
Najważniejszym plikiem konfiguracyjnym programu jest

/etc/fail2ban/jail.conf

i to właśnie nim się zajmiemy.
Pierwsza sekcja nosi nazwę

[DEFAULT]

w niej znajdują się globalne ustawienia programu

ignoreip = 192.168.0.0/16

na początku jest bardzo ważna opcja, odpowiada za ignorowanie IP, czyli dane IP nie będą wycinane na firewallu, w tym wypadku został wpisany LAN 192.168.*.*

bantime = 3600
maxretry = 3

wartości te odpowiadają odpowiednio za czas w sekundach przez jaki będzie wycięte IP i za ilość prób logowania po jakim IP zostanie wycięte na firewallu, pozostałe wartości lepiej zostawić tak jak są standardowo, przejdźmy teraz do części

JAILS

każda sekcja odpowiada za jakąś usługę, jeśli dane więzienie (ang. jail) ma być włączone to ustawiamy

enabled = true

jeśli wylączone to

enabled = false

ważnym parametrem jest

logpath

w którym to musimy podać dobrą ścieżkę do logów z danej usługi, ponieważ program został bardzo przemyślanie napisany i żeby nie obciążać systemu monitorując ruch, monitoruje tylko logi, jeśli nic nie modyfikowaliśmy, to nie trzeba zazwyczaj poprawiać ścieżek do logów

maxretry

jak już wcześniej pisałem, odpowiada za ilość prób logowanie przed wycięciem IP na firewallu, pozostałych opcji nie trzeba modyfikować, a wręcz nie powinno się. Na koniec warto zaznaczyć, że jeśli ręcznie modyfikujemy jakieś ustawienia firewalla, to trzeba później zrestartować fail2ban.

Konfiguracja Samby

2009-03-13T14:06:00.008+01:00

Samba jest nazwą oprogramowania, przeznaczonego dla serwera plików oraz drukarek, współpracującego z platformą Windows, przeznaczonego dla platformy Linux/Unix. Przyjmijmy, że mamy w swojej sieci lokalnej dwa serwery postawione na Linuksie pierwszy niech będzie oparty o dystrybucję Ubuntu, drugi o dystrybucję Debian, a także komputer typu desktop oparty o system Windows XP. Teraz trzeba przyjąć założenia do czego ma być wykorzystywana nasza Samba, przyjmijmy więc, że na obu serwerach chcielibyśmy mieć jeden folder pozwalający wszystkim na odczyt i drugi pozwalający wszystkim na odczyt oraz zapis. Na obu serwerach musimy więc odpowiednio skonfigurować Sambę, plik konfiguracyjny Samby to /etc/samba/smb.conf - edytujemy go dowolnym edytorem tekstowym np. gedit lub nano. Plik konfiguracyjny na pierwszym serwerze powinien wyglądać tak

[global]
workgroup = nazwa grupy roboczej (np. WORKGROUP), nazwa musi być identyczna jak pod systemem Windows
netbios name = nazwa serwera (np. Serwer1)
server string = komentarz serwera (np. Samba na Ubuntu)
wins support = yes
name resolve order = lmhosts host wins bcast
map to guest = Bad User
invalid users = root
guest account = nobody
log file = /var/log/samba/log.%m
max log size = 1000
socket options = TCP_NODELAY SO_SNDBUF=16384 SO_RCVBUF=16384 IPTOS_LOWDELAY
security = share
dns proxy = No
unix charset = UTF8
display charset = UTF8
dos charset = CP852
preferred master = yes
interfaces = klasa IP (np. 192.168.0.0/16) lub nazwa interfejsu sieciowego (np. eth0) bądź też oba naraz
bind interfaces only = yes
character set = UTF-8
client code page = 852

[write]
comment = read & write
path = /write
create mask = 0777
directory mask = 0777
browsable = yes
writable = yes
guest ok = yes

[read]
comment = read
path = /read
read only = yes
guest ok = yes

na drugim serwerze wstawiamy ten sam plik konfiguracyjny usuwając z niego jedynie

wins support = yes
name resolve order = lmhosts host wins bcast

następnie tworzymy oba katalogi

mkdir /read;mkdir /write;chmod 0777 /write

przy czym oczywiście nazwy mogą być dowolne, musimy pamiętać tylko o zmianie parametru

path

w pliku konfiguracyjnym. Następnie restartujemy Sambę na obu serwerach

/etc/init.d/samba restart

i możemy cieszyć się działającymi serwerami Samba :). Oczywiście należy pamiętać, że jeśli posiadamy firewalla to trzeba dopisać do jego reguły

/sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 445 -j ACCEPT

w celu ewentualnej diagnostyki mogą pomóc polecenia

testparm

które służy do sprawdzenia poprawności pliku konfiguracyjnego, oraz polecenie

smbclient -d 10 -L IP_serwera_samby

dzięki któremu przeprowadzimy próbę połączenia do serwera Samby.

Najszybszy MD5 cracker

2009-02-26T22:09:00.006+01:00

MD5 jest jednym z najpopularniejszych algorytmów używanych do hashowania haseł, z tego powodu powstały liczne programy do łamania haseł zaszyfrowanych przez ten algorytm, aktualnie najszybszym programem tego typu jest BarsWF i aktualnie dostępny jest jedynie na system Windows (XP i Vista), w czym tkwi fenomen tego crackera? Otóż program BarsWF wykorzystuje procesor karty graficznej (GPU), który jest o wiele szybszy od zwykłych procesorów (CPU), przy czym jednocześnie korzysta ze zwykłego procesora, dzięki czemu łamanie hasła jest bardzo szybkie. Obsługa tego programu nie należy do najtrudniejszych, wystarczy w wierszu poleceń wpisać

BarsWF_CUDA_x32.exe -c 0aA~ -h HASHHASŁAMD5

gdzie BarsWF_CUDA_x32.exe to nazwa programu, oczywiście jeśli posiadamy kartę ATI, bądź 64 bitowy system, to wersja programu, a co za tym idzie nazwa, również będzie inna, parametr -c odpowiada za to jakie rodzaje znaków mają być testowane, "0" odpowiada za cyfry, "a" za małe litery, "A" za duże litery, a "~" za znaki specjalne, pełną listę parametrów znajdziemy na stronie programu.

Tunelowanie SSH, czyli anonimowe połączenia SSH

2009-02-03T13:19:00.005+01:00

Trasowanie cebulowe (ang. onion routing) polega na wielokrotnym szyfrowaniu wiadomości, a następnie przesyłaniu jej przez szereg węzłów zwanych routerami cebulowymi (ang. onion routers). Każdy z nich usuwa warstwę szyfrowania w celu uzyskania informacji o dalszym trasowaniu i przesyła dane do następnego routera. Takie działanie zapobiega ujawnieniu węzłom pośredniczącym pochodzenia, odbiorcy oraz treści wiadomości. Sieć TOR dominuje w wykorzystywaniu tejże technologii. W tym wpisie postaram się przybliżyć rzadko używaną opcje SSH ProxyCommand, pozwalającą określić program, przez który będą przekazywane połączenia. Na początek musimy zainstalować program TOR razem ze wszystkimi wymaganymi przez niego składnikami, w tym celu pod Debianem wydajemy polecenie

apt-get install tor

następnie ściągamy program connect.c komendą

wget http://savannah.gnu.org/maintenance/connect.c

następnym krokiem jest kompilacja tego programu

gcc -o connect connect.c

aby tunelować połączenie SSH wydajemy polecenie

ssh -o ProxyCommand="/home/ziaja/connect -S localhost:9050 %h %p" 213.135.50.72 -p 22

gdzie /home/ziaja/connect to ścieżka do skompilowanego programu connect, localhost:9050 to adres naszego serwera TOR (serwer działa standardowo na porcie 9050), a 213.135.50.72 to IP serwera do którego chcemy się połączyć za pośrednictwem SSH, parametr -p jest opcjonalny (jeśli ssh działa na standardowym porcie 22 to nie trzeba go podawać), jeśli chcemy zalogować się na inny login to przed numerem IP trzeba dodać login@, przykładowo łącząc się z Neostrady w logach pokazało się

Feb 3 13:11:55 latitude sshd[10253]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=user-38q48q0.cable.mindspring.com user=root

nie jest to moje IP więc tunelowanie działa prawidłowo.

ZyDAS ZD1211 na Debian Linux

2009-01-29T15:58:00.006+01:00

ZyDAS ZD1211 jest kartą WiFi, którą standardowo dostajemy przy zakupie Neostrady z routerem Livebox (Sagem F@st 3202) w Orange (współwłaściciel Telekomunikacji Polskiej). Konfiguracja sieci pod konsolą w Debianie przy użyciu tej karty jako urządzenia przez które będziemy się łączyć jest bardzo prosta.

Jeśli posiadamy wersję systemu etch to najlepiej zaaktualizować system do wersji lenny, w tym celu edytujemy /etc/apt/sources.list i zastępujemy go następującą treścią

deb http://ftp.icm.edu.pl/pub/Linux/debian/ lenny main non-free contrib
deb-src http://ftp.icm.edu.pl/pub/Linux/debian/ lenny main non-free contrib

deb http://security.debian.org/ lenny/updates main contrib non-free
deb-src http://security.debian.org/ lenny/updates main contrib non-free

deb http://volatile.debian.org/debian-volatile lenny/volatile main contrib non-free
deb-src http://volatile.debian.org/debian-volatile lenny/volatile main contrib non-free

deb http://sidux.com/debian/ sid main contrib non-free firmware fix.main fix.contrib fix.non-free

ostatnia linijka odpowiada za znakomity konsolowy konfigurator sieci ceni, teraz musimy dodać klucz ceni

gpg --keyserver subkeys.pgp.net --recv-keys 3916C431F80994F6;gpg --armor --export 3916C431F80994F6 | apt-key add -

następnie przechodzimy do aktualizacji systemu do wersji lenny

apt-get update && apt-get dist-upgrade

następnie instalujemy potrzebne pakiety

apt-get install bzip2 tar wireless-tools wpasupplicant ceni

w celu instalacji karty wydajemy polecenie

wget http://kent.dl.sourceforge.net/sourceforge/zd1211/zd1211-firmware-1.4.tar.bz2
tar jxvf zd1211-firmware-1.4.tar.bz2
mv zd1211-firmware /lib/firmware/zd1211
rm zd1211-firmware-1.4.tar.bz2

następnie sprawdzamy

iwconfig

jeśli karta się nie pokazała to restartujemy system, jeśli się pokazała to możemy przejść do konfiguracji sieci, w tym celu uruchomiamy zainstalowany wcześniej pakiet

ceni

No i to by było na tyle, chyba najprostsza droga konfiguracji tej karty.

IPv6 i Neostrada na Debian Linux

2009-01-22T13:30:00.020+01:00

IPv6 to najnowsza wersja protokołu IP, będąca następcą IPv4, do którego stworzenia przyczynił się w głównej mierze problem małej, kończącej się ilości adresów IPv4. Dodatkowymi zamierzeniami było udoskonalenie protokołu IP: eliminacja wad starszej wersji, wprowadzenie nowych rozszerzeń (uwierzytelnienie, zlikwidowanie konieczności stosowania translacji adresów i adresów prywatnych w wielu sieciach, kompresja i inne), zminimalizowanie czynności wymaganych do podłączenia nowego węzła do Internetu (autokonfiguracja).
Warto zaznaczyć, iż IPv6 stanowi tylko jedną warstwę w modelu OSI – nie ingeruje on w inne warstwy, np. aplikacyjną, co pozwala działać istniejącym już protokołom zasadniczo "bezboleśnie". Tak więc wypadałoby zawczasu potestować ten protokół, ponieważ za kilka lat będzie w powszechnym użyciu.

W moim przypadku jedynym utrudnieniem nie była Neostrada i dynamiczne IP, a fakt, że komputer na którym instalowałem IPv6 leży za NATem, dodatkowo chciałem mieć revDNS. Jeśli w Waszym przypadku jest podobnie to koniecznie na routerze musi być ustawiona DMZ dla IP komputera na którym będzie tunel IPv6. Na początek musimy stać się posiadaczami jakiegoś tunelu, żeby móc brać się za jego instalowanie, ja wybrałem Hurricane Electric Free IPv6 Tunnel Broker, tak więc cały wpis jest napisany pod kątem tego Tunnel Brokera i systemu operacyjnego Linux Debian. Neostrada jak powszechnie wiadomo ma dynamiczne IP, z tego powodu zaczniemy od najprostszej rzeczy, czyli zdobycia domeny na nasz dynamiczny adres IP. Dwa najpopularniejsze serwisy świadczące tego typu usługi to DynDNS.com oraz No-IP.com. Rejestrujemy się na przykład na pierwszym z nich, konfigurujemy wybraną domenę i ściągamy program

apt-get install ddclient

który co minutę będzie sprawdzał aktualność naszego adresu i w razie potrzeby wysyłał dane z nowym adresem IP (w moim przypadku DDNS został ustawiony na routerze). W artykule przyjmiemy, że została założona domena ziaja.dyndns.org. Domena ta będzie nam potrzebna przede wszystkim do wpisów typu NS dla adresów, które będziemy chcieli mieć na revDNS IPv6. Kolejnym krokiem będzie więc założenie domeny z wpisem NS kierującym na adres ziaja.dyndns.org. Najbardziej popularnym serwisem udostępniającym darmowe subdomeny jest FreeDNS. W moim przypadku domenami będą ipv6.ziaja.name i ipv6.whore.pl. Będziemy potrzebować również serwera nazw pod nasze domeny NS

apt-get install bind9

Na początek zajmiemy się tą łatwiejsza częścią czyli konfiguracją serwera DNS, edytujemy główny plik konfiguracyjny

nano /etc/bind/named.conf

i dodajemy nasze domeny NS

zone "ipv6.ziaja.name" IN {
type master;
file "/var/cache/bind/ipv6.ziaja.name";
allow-update { none; };
allow-transfer { none; };
notify yes;
};

zone "ipv6.whore.pl" IN {
type master;
file "/var/cache/bind/ipv6.whore.pl";
allow-update { none; };
allow-transfer { none; };
notify yes;
};

żeby natomiast zaparkować pulę adresów IPv6 trzeba zalogować się na stronę http://www.tunnelbroker.net, po pierwsze oczywiście założyć tunel, w tym celu klikamy w Create Regular Tunnel. Kiedy tunel jest już utworzony wpisujemy w pole RDNS Delegation NS1 adres naszego serwera DNS czyli w moim przypadku ziaja.dyndns.org. Następnie ściągamy program który pozwoli nam bezboleśnie obliczyć revDNS dla naszego IPv6

apt-get install ipv6calc

i wydajemy polecenie

ipv6calc -r 2001:470:1f07:cff::/64

gdzie 2001:470:1f07:cff::/64 to Wasz adres Routed /64 (z panelu Tunnel Brokera), wynik komendy będzie podobny do mojego

No input type specified, try autodetection...found type: ipv6addr
f.f.c.0.7.0.f.1.0.7.4.0.1.0.0.2.ip6.int.

należy tutaj zaznaczyć, że standardem jest już .arpa, a nie .int, tak więc nasz poprawny adres to f.f.c.0.7.0.f.1.0.7.4.0.1.0.0.2.ip6.arpa, ponownie wracamy do konfiguracji BINDa

nano /etc/bind/named.conf

i dodajemy konfigurację dla naszej nowej strefy

zone "f.f.c.0.7.0.f.1.0.7.4.0.1.0.0.2.ip6.arpa" {
type master;
file "/etc/bind/reverse-2001-470-1f07-cff_64.IP6.ARPA";
allow-update { none; };
allow-transfer { none; };
notify yes;
};

należy również zwrócić uwagę na wielkość znaków, ponieważ dla Linuksa litera a i A to 2 różne znaki, oczywiście można dowolnie nazwać plik z konfiguracją strefy, ale trzeba się potem tego trzymać. Tworzymy plik strefy ipv6.ziaja.name

nano /var/cache/bind/ipv6.ziaja.name

i wpisujemy konfigurację

$TTL 120 ; Domyślny TTL
$ORIGIN ipv6.ziaja.name.
@ IN SOA ziaja.dyndns.org. hostmaster.ziaja.dyndns.org. (
200901269 ; Numer seryjny
3600 ; Częstość odświeżania (refresh)
1800 ; Częstość powtórek (retry)
1209600 ; Czas wygaśnięcia (expire)
86400 ; Negatywne buforowanie TTL
)
@ IN NS ziaja.dyndns.org. ; Nasza domena DDNS
@ IN AAAA 2001:470:1f07:cff::1 ; Adres na którym chcemy mieć revDNS
@ IN A 127.0.0.1 ; Dowolny adres IP

dokładnie analogicznie robimy dla reszty domen (w moim przypadku ipv6.whore.pl), zmieniając wszędzie numer seryjny (na dowolny np. datę) i adres w linni @ IN AAAA na dowolnie wybrany z naszej puli adresowej, w moim przypadku pula to

2001:470:1f07:cff::/64

więc pierwszymi adresami kolejno będą

2001:470:1f07:cff::1
2001:470:1f07:cff::2
2001:470:1f07:cff::3
2001:470:1f07:cff::4
2001:470:1f07:cff::5
itd.

należy również zwrócić uwagę, że po każdym hoście jest kropka, hostmaster.ziaja.dyndns.org jest adresem e-mail admina z kropka zamiast małpy, następnie tworzymy plik strefy dla naszej klasy IPv6

nano /etc/bind/reverse-2001-470-1f07-cff_64.IP6.ARPA

wpisujemy konfigurację

$TTL 3d ; Domyślny TTL
@ IN SOA f.f.c.0.7.0.f.1.0.7.4.0.1.0.0.2.ip6.arpa. hostmaster.ziaja.dyndns.org. (
200901261 ; Numer seryjny
24h ; Częstość odświeżania (refresh)
30m ; Częstość powtórek (retry)
2d ; Czas wygaśnięcia (expire)
3d ; Negatywne buforowanie TTL
)
@ IN NS ziaja.dyndns.org.
$ORIGIN f.f.c.0.7.0.f.1.0.7.4.0.1.0.0.2.ip6.arpa.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR ipv6.ziaja.name.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR ipv6.whore.pl.

tutaj zaznaczam, że 10-ty numer to 0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0, a 11-ty to 1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 itd. analogicznie. Jeśli dotarliście do tego miejsca to powinniście posiadać już działający serwer DNS, dalsza jego konfiguracja nie jest wymagana, aczkolwiek zalecana, edytujemy plik

nano /etc/bind/named.conf.options

i zastępujemy zawartość tym:

options {
directory "/var/cache/bind";
listen-on { any; };
listen-on-v6 { any; };
auth-nxdomain yes;
query-source address * port 53;
transfer-source * port 53;
notify-source * port 53;
version "Microsoft DNS Server v1.5 (WinME)";
forwarders { 194.204.159.1; 194.204.152.34; };
};

linia version odpowiada za to jak przedstawia się nasz serwer DNS, im mniej prawdziwych informacji, tym lepiej ;). Następnie wymagane jest dodanie regułek do firewalla

iptables -A INPUT -j ACCEPT -i lo
iptables -A OUTPUT -j ACCEPT -o lo

dzięki, którym nie będzie blokowany ruch lokalny (wymagane dla serwera DNS), jeśli nie posiadamy jako tako nigdzie firewalla to można dopisać te linie do pliku

/etc/rc.local

następnie obowiązkowo trzeba przeładować serwer DNS, najlepiej komędą

rndc reload;/etc/init.d/bind9 restart

tak dla pewności ;P.
Teraz przejdziemy do sedna sprawy, najważniejszej części, a zarazem najłatwiejszej, stawiania tunelu IPv6. Logujemy się na http://tunnelbroker.net, wybieramy tunel i na dole wybieramy Linux-route2 (wymagany pakiet iproute, apt-get install iproute) i klikamy Show Config, IP po prawej od local zmieniamy na nasze lokalne (jeśli mamy przed sobą np. router), a ttl zmieniamy na 25 (tunel szybciej staje się dostępny przy zmianie IP), czyli przykładowo będzie to wyglądać tak

modprobe ipv6
ip tunnel add he-ipv6 mode sit remote 209.51.161.14 local 192.168.1.1 ttl 25
ip link set he-ipv6 up
ip addr add 2001:470:1f06:cff::2/64 dev he-ipv6
ip route add ::/0 dev he-ipv6
ip -f inet6 addr

gdzie 209.51.161.14 to IP mojego tunelu (tserv4.nyc4.ipv6.he.net), wystarczy wkleić teraz wszystko na shella i powinno działać, musimy jeszcze dodać nasze adresy na których chcemy mieć revDNS

ip a a 2001:470:1f07:cff::1 dev he-ipv6
ip a a 2001:470:1f07:cff::2 dev he-ipv6
ip a a 2001:470:1f07:cff::3 dev he-ipv6
ip a a 2001:470:1f07:cff::4 dev he-ipv6
ip a a 2001:470:1f07:cff::5 dev he-ipv6
itd.

oczywiście 2001:470:1f07:cff::1 i kolejne musi być adresem z Waszej puli (patrz wyżej). Aby zautomatyzować stawianie tunelu po restarcie najłatwiej będzie dodać te wszystkie linijki do pliku /etc/rc.local, a w celu automatyzacji odnawiania adresu IP użyjemy skryptu mojego autorstwa (wow ;P)

#!/bin/bash

NEW_IP=`curl -s "http://whatismyip.com/automation/n09230945.asp"`
HEUSER=123123123
HEPASS=1a2b3c1a2b3c1a2b3c
HETUNNEL=21939

curl -k -s "https://ipv4.tunnelbroker.net/ipv4_end.php?ipv4b=$NEW_IP&pass=$HEPASS&user_id=$HEUSER&tunnel_id=$HETUNNEL"
echo -e "\r"

gdzie HEUSER odpowiada za nasz numer użytkownika, HETUNNEL za numer tunelu, oba numery bierzemy z panelu HE Tunnel Broker. Natomiast HEPASS odpowiada za MD5 Hash naszego hasła, w celu jego stworzenia wpisujemy

echo -n nasze_hasło | openssl md5

zapisujemy skrypt np. w lokalizacji /root/.crontab/ipv6.sh, następnie edytujemy crontab (crontab -e) i dopisujemy linijkę

*/3 * * * * /root/.crontab/ipv6.sh >> /dev/null 2>&1

gdzie /root/.crontab/ipv6.sh to ścieżka do skryptu, */3 odpowiada za powtarzanie wywołania skryptu co 3 minuty, a >> /dev/null 2>&1 pozwala uniknąć nam spamu na lokalną pocztę z wynikami działania skryptu.
No i to by było na tyle, w tym miejscu powinniście mieć działający tunel IPv6-in-IPv4.

Bezpieczeństwo użytkowników Electronic Sports League (ESL)

2009-01-08T03:20:00.004+01:00

W dzisiejszych czasach każdy szanujący się duży portal powinien chronić dane pozwalające na ustalenie tożsamości osób w nich zarejestrowanych.
Niewątpliwie takim portalem jest ESL, w tym wpisie opiszę jak sprawdzić IP osób z którymi jesteśmy na gatherze, sprawa nie jest raczej zbyt skomplikowana.
Gathery te są zwykłymi kanałami na serwerze IRC irc.esl-europe.net i za pomocą polecenia /whois możemy sprawdzić IP osób, które nas interesują, każda osoba połączona za pomocą strony ma w polu real name wartość Java User. Oczywiście powyższe fakty tłumaczą czemu osoby z blokadą na porty 6666/6667 (IRC) nie mogą grać gatherów na ESL.

02:27 -!- Your host is irc1.esl.eu[irc1.esl.eu/6667], running version xx
02:27 -!- This server was created Fri Oct 20 2006 at 19:22:23 CEST
02:27 -!- irc1.esl.eu gnagna oiwszcerkfydnxbaugl biklmnopstveIha bkloveIh
02:27 -!- WALLCHOPS KNOCK EXCEPTS INVEX MODES=4 MAXCHANNELS=2 MAXBANS=25 MAXTARGETS=2 NICKLEN=20 TOPICLEN=120 KICKLEN=120 are supported by this server
02:27 -!- CHANTYPES=#& PREFIX=(ov)@+ CHANMODES=eIb,k,l,imnpst NETWORK=ESL CASEMAPPING=rfc1459 CALLERID are supported by this server
02:27 -!- There are 0 users and 521 invisible on 1 servers
02:27 -!- 146 channels formed
02:27 -!- I have 521 clients and 0 servers
02:27 -!- Current local users: 521 Max: 1431
02:27 -!- Current global users: 521 Max: 1431
02:27 -!- Highest connection count: 1431 (1431 clients) (2423118 connections received)
02:27 -!- - irc1.esl.eu Message of the Day -
02:27 -!- - Welcome to the ESL Instant Challenger IRC Network
02:27 -!- End of /MOTD command.
02:27 -!- You are restricted

Na serwerze obowiązuje restrykcja (nie można korzystać z opa), ogólnie sieć składa się z jednego serwera IRC, jest to serwer oparty o oprogramowanie IRCD-Hybrid i działa pod kontrolą systemu operacyjnego Debian (Linux). I tak muszę przyznać, że jestem zaskoczony konfiguracją tego serwera, czyli ogólnym zabezpieczeniu, nie działa komenda /list, co prawda ukryli wersje oprogramowania, ale tylko przy połączeniu na serwer IRC, tak więc do wysokiej klasy specjalistów to ich admini nie należą (hybrid-7.0(20030611_2). irc1.esl.eu egGIKMpZ TS5ow), na serwerze działa również Apache/2.2.3 (Debian) PHP/4.4.4-8+etch6, nie ma to jak ukrywanie bannerów ;-), swoja droga jakiś inteligentny hacker mógłby sobie z powodzeniem postawić tutaj botnet...

Blackholing w Polsce

2008-12-26T17:55:00.019+01:00

Blackholing w Polsce staje się rzeczywistością, niedawno Telekomunikacja Polska jako jedna z pierwszych największych polskich sieci zaczęła wykorzystywać blackholing w celu ochrony internautów, a w najbliższym czasie na szeroką skalę uruchomią go również (bądź już to uczynili np. członkowie projektu BGP Blackholing PL) pozostali polscy operatorzy.
Czym jest jednak wspomniany wyżej blackholing? Z ang. black hole to czarna dziura, a sformułowanie blackholing opisuje wrzucanie do niej różnego rodzaju rzeczy, w tym przypadku, chodzi o niepotrzebny lub szkodliwy wręcz ruch sieciowy, czyli przede wszystkim chodzi tutaj o botnety (znajdujące się najczęściej na serwerach IRC) i ataki typu DoS/DDoS (najczęściej za pośrednictwem botnetów).
Z jednej strony ma to swoje oczywiste plusy, są też minusy, kiedy ruch jest źle interpretowany, jak to ma miejsce np. w przypadku Telekomunikacji Polskiej, która blokuje ruch do jednego z głównych serwerów stowarzyszenia Rootnode, ponieważ jest tam serwer IRC, a stowarzyszenie posiada ok. 1000 użytkowników, z czego spora część to klienci TPSA, w ostatnim czasie Telekomunikacja Polska zablokowała nawet dostęp do prawie wszystkich największych sieci IRC co jest doskonałym przykładem na błędną interpretację ruchu.
Jak sprawdzić czy ruch jest rzeczywiście blokowany? Jednym ze sposobów sprawdzenia jest skorzystanie z serwerów Looking Glass, adres takiego serwera dla TPSA to http://lg.tpnet.pl, spora lista serwerów LG znajduje się tutaj. Na przykładzie Looking Glass Telekomunikacji Polskiej, w pole Address wpisujemy interesujący nas numer IP i jeśli w wyniku znajduje się

Community: 5511:666 5511:710 5511:5511

to oznacza to, że ruch nie jest blokowany, jeśli jednak otrzymamy wynik

Community: 5617:997 5617:3322 no-export

oznacza to, że ruch do tego numeru IP (bądź całej sieci) jest blokowany, a szczegóły możemy uzyskać pisząc na adres cert@telekomunikacja.pl, jednak w przypadku stowarzyszenia Rootnode, na niewiele się to zdało, nikt nie potrafił przedstawić nam jakichkolwiek dowodów (logów) na to, że botnet rzeczywiście znajduje się na serwerze esr.rootnode.net, do którego blokowany jest ruch z TPSA, nawet nikt nie raczył wysłać maila na abuse, kiedy adresy administratorów Rootnode i serwerowni podane są w bazie RIPE, a CERT Telekomunikacji Polskiej nieugięcie twierdzi, że na serwerze IRC uruchomionym na esr.rootnode.net znajduje się botnet, mimo, że administracja Rootnode uruchomiła nawet sniffer, a CERT zapewnia, że kiedy zagrożenie minie to blokada zostanie automatycznie zdjęta, co dzieje się co jakiś czas na okres kilku minut, tak więc ponowna blokada wiąże się z ponowną aktywnością botnetu, który jednak w żaden sposób nie jest wykrywany na snifferze, a ping również nie wzrasta, prawdopodobnie ma to związek z dużą ilością usług uruchomionych na tym serwerze i liczbą tysiąca użytkowników stowarzyszenia, czyli po prostu błędną interpretacją przez CERT TPSA.

Pozdrowienia ;).

Jak chronić konto Steam?

2008-12-26T01:30:00.008+01:00

W ostatnim czasie nasiliła się fala kradzieży kont Steam, najczęściej scenariusz wygląda następująco, abuser zakłada fikcyjne konto Steam nazywając je w stylu Admin, Valve itp. i dodaje potencjalne ofiary do znajomych, następnie obiecuje nam gry za darmo i jedyne co musimy zrobić to podać login i hasło do konta Steam (tzw. social engineering) lub też podaje nam fikcyjny link do strony, która wygląda identycznie jak steamcommunity.com i prosi nas o zalogowanie się, czyli tzw. phishing.
Jedną z podstawowych zasad którą musimy pamiętać jest to, że domeną Społeczność Steam jest steamcommunity.com, a każda wiadomość od Steam Support będzie pochodzić z domeny support.steampowered.com, przy czym musimy być czujni na domeny, które do złudzenia przypominają którąś z tych domen, czyli np. steamcomunity.com (jedno m) itp.
Kolejną ważną informacją do zapamiętania jest to, że administracja Steama NIGDY nie będzie pytać Cię o hasło, bo i po co skoro są administracją :-)? Podanie komuś hasła/cd-keya jest równoznaczne z pozbyciem się konta.
Oczywiście powinniśmy mieć zawsze aktualną bazę programu antywirusowego (np. avast) i uważać co ściągamy/klikamy, przykładowo dużo linków podawanych na IRC (i nie tylko) po przez samo kliknięcie w niego jest Wam w stanie ukraść hasło do konta Steam (jak i innych rzeczy, w tym stron www, jak i klucz Windowsa).
Kolejną ważna sprawą jest unikanie logowania się na konto na przypadkowych komputerach, w kafejce internetowej, szkole itd., a także pamiętanie o wylogowaniu się z takich komputerów.
Jeśli już dojdzie do kradzieży konta, musimy wysłać ticket na support.steampowered.com, w tym celu trzeba będzie się zarejestrować pod tym adresem, przy czym należy pamiętać, że jest to oddzielne konto od konta Steam. Następnie przechodzimy do formularza wysłania zgłoszenia. Zgłoszenie powinno zawierać takie informacje jak nazwa użytkownika konta Steam, jaki był ostatni adres e-mail, spróbuj określić także kiedy nastąpiła kradzież i jak mogło do niej dojść, kluczowym jednak dowodem jest przesłanie cyfrowego zdjęcia (lub skanu) na którym czytelnie widnieje klucz do którejś z gier tego konta Steam (klucz ten podałeś przy zakładaniu konta, żeby aktywować grę).
Jeśli po przeczytaniu tego wpisu ktoś do Ciebie napisał prośbę o podanie hasła do konta, zawsze możesz wyciągnąć jakoś jego numer IP, przykładowo podając mu stronę, która zapisuje numer IP osoby wchodzącej na nią, następnie za pomocą ripe.net można znaleźć adres e-mail administratora sieci i wysłać mu log z załączonym numerem IP jak i data/godziną zalogowania tego adresu (co może się okazać kluczowe w przypadku dynamicznego adresu IP). Przykładowo adres e-mail do zgłaszania takich incydentów dla klientów Telekomunikacji Polskiej to cert@telekomunikacja.pl.

Mapy sieci bezprzewodowych

2008-12-22T15:05:00.013+01:00

Wbrew pozorom zrobienie swoich własnych map sieci bezprzewodowych nie jest niczym trudnym, wystarczy do tego celu laptop z kartą WiFi np. netbook Eee PC i do tego jakiś GPS np. Navibe GM720 ok. 100zł na allegro.pl, mała uwaga dla posiadaczy tego GPS, u mnie nie działał bez najnowszych sterowników poprawnie z programem NetStumbler, potrzebne nam będzie do tego celu też jakieś oprogramowanie czyli już wcześniej wspomniany NetStumbler, jest to chyba najlepszy program tego typu pod Windowsa.
Tak więc do rzeczy, ściągamy program NetStumbler, z menu wybieramy View, Options, przechodzimy do zakładki GPS teraz wybieramy wszystkie opcje według wskazań producenta GPS (lepiej się nie bawić bo można sobie popsuć GPS, jeśli nie mamy pewności to lepiej nic nie zmieniać), w przypadku Navibe GM720 zmieniamy tylko wartość Bits per second na 9600 czyli według wskazań producenta podanych w specyfikacji, następnie obowiązkowo trzeba wybrać Port na którym znajduje się nasze urządzenie GPS, jeśli nie jesteśmy pewni, klikamy prawym klawiszem myszki na ikonę mój komputer, następnie Właściwości i przechodzimy do zakładki Sprzęt i klikamy w Menadżer urządzeń, następnie rozwijamy Porty (COM i LPT), teraz gdy mamy już wszystko podłączone, na dole po prawej stronie powinna pojawić się ikonka globusu i pozycja pobrana z GPS, jeśli natomiast pokazuję się znak uwaga z komunikatem Port unavailable to oznacza to że niestety wybraliśmy zły port, jeśli natomiast pokazuje się komunikat No position fix to powinniśmy wyjść z domu ;-) ponieważ GPS nie może odebrać sygnału z satelit, teraz przyszedł czas na pojeżdzenie po okolicy celem złapania kilku sieci WiFi, następnie zapisujemy wyniki do pliku *.ns1 (Ctrl+S), wchodzimy na stronę GPS Visualizer, ładujemy nasz plik *.ns1, po prawej wybieramy interesujące nas parametry (przede wszystkim polecam Google street map, a także Waypoint names & descriptions) i cieszymy się gotową mapką ;-). Mała uwaga co do map, mapy te nie pokazują zasięgu danej sieci WiFi, ale miejsce gdzie złapaliśmy tą sieć, ponieważ GPS zapisuje pozycję w której my się znajduje, ale dzięki zapisanej sile sygnału możemy łatwo PI razy oko określić zasięg danej sieci :-).

Płynność gry, czyli o czasie odświeżania ekranu, liczbie FPS i wysokości tickrate

2008-12-17T02:15:00.004+01:00

Z uwagi na tendencje w prześciganiu się graczy z liczbą klatek na sekundę (FPS), postanowiłem napisać ten oto wpis, wyjaśniający ogółem o co chodzi w częstotliwości odświeżania, liczbie klatek na sekundę, a także dodatkowo o tickrate serwerów gier.
Tak więc do rzeczy, niski współczynnik klatek na sekundę powoduje u widza wrażenie "skakania" obrazu, z kolei wysoki zwiększa wrażenie płynności wyświetlania. Dzięki przenikaniu się ze sobą kolejnych klatek filmu nagranego kamerą takie wrażenie ma miejsce już przy ok. 15 fps, dla sekwencji złożonej z klatek niemających ze sobą nic wspólnego (np. w grach komputerowych) wymagany współczynnik wzrasta do 30-60 fps. Przy tej samej karcie graficznej częstotliwość odświeżania jest odwrotnie proporcjonalna do rozdzielczości, czyli im większa rozdzielczość tym mniejsza częstotliwość odświeżania.
Przejdźmy jednak do sedna sprawy, w dużym uproszczeniu pisząc (ponieważ m.in. wyświetlanie obrazu różni się trochę na LCD jak na CRT), jeśli w grze wyciągamy np. 120 fps, a nasz monitor ma częstotliwość odświeżania 60 Hz, wtedy do bufora karty podawane jest 120 fps, jednak karta graficzna jest w stanie do ekranu przekazać tylko 60 fps (odświeżanie obrazu 60 Hz), w wyniku czego na monitor tafia połowa klatek (w uproszczeniu), przez co tracimy płynność gry, dlatego też, żeby nie tracić owej płynności powinniśmy mieć ustawioną za pomocą odpowiedniej komendy taką samą maksymalną liczbę fps jak częstotliwość odświeżania monitora, czyli jeśli mamy 60 Hz ustawiamy maksymalną liczbę 60 fps (nie piszę już nawet, że kluczowe znaczenie ma tu stała liczba fps i że przykładowo lepiej się gra na stałych 50 fps jak zmiennej liczbie 50-250 fps). Aby sprawdzić jaką częstotliwość odświeżania ma nasz monitor klikamy prawym klawiszem myszki na pulpicie, następnie właściwości, ustawienia, zaawansowane, monitor.
Maksymalną liczę fps w grze ustawimy po przez komendę com_maxfps w grach z serii Call of Duty, komenda fps_max (tutaj istnieje wyjątek, zawsze ustawiamy +1 fps, czyli jeśli mamy 60 Hz odświeżanie to ustawiamy fps_max 61) w grach z serii Counter-Strike, jak i wszystkich innych na silniku Source (np. Insurgency). Jednak jeśli nasza karta jest w stanie wyciągnąć stałe 150 fps, a częstotliwość odświeżania to 60 Hz, to możemy poprawić wygląd grafiki w grze, żeby choćby nacieszyć oko, co więcej, w większości gier FPP poprawienie wyglądu grafiki znacznie poprawia jakość rozgrywki (widoczność cieni przeciwnika itd.).
Jeśli gramy online to istnieją jeszcze inne znaczące czynniki od których zależy płynność rozgrywki, takie jak ping (opóźnienie), czy tickrate, tickrate to liczba mówiąca o tym ile razy na sekundę serwer przetwarza informacje dotyczące zmian w grze (czyli pozycje graczy, przedmiotów itd.), tickrate powinien przyjmować wartości 33, 66 lub 100, przynajmniej z teoretycznego punktu widzenia, w praktyce jest jednak różnie (serwery odpalone są np. na tickrate 100 i nie wyrabiają w wyniku czego utrzymują tickrate rzędu 80-90). Im wyższy tickrate, tym większa dokładność dokonywanych obliczeń na serwerze i częstotliwość dostarczania informacji do gracza, na serwerach z większych tickrate (np. 100, najlepiej widać to w grach na silniku Source), można odnotować lepszą precyzję w strzelaniu oraz pełną płynność w grze, natomiast na serwerach o niższym tickrate (np. 33) zauważalne są lagi (serwer nie nadąża z liczeniem) oraz bardzo częste (co zauważalne jest głównie w Counter-Strike: Source) przypadkowe trafienia, kiedy to gracz np. w czasie odwracania się odda niekontrolowany strzał, a trafi prosto w przeciwnika (taki strzał w animacji poklatkowej nawet nie jest wymierzony w przeciwnika, więcej informacji tutaj).
Mam nadzieję, że mój wpis przybliżył trochę czemu większa liczba fps powyżej pewnej wartości nie prowadzi do niczego dobrego (ponieważ tracimy płynność gry), a także dodatkowo informacje na temat jakie znaczenie ma np. trickrate serwerów gier :-).

Źródła:
http://pl.wikipedia.org
http://developer.valvesoftware.com