Expertus metuit
Написано Sergey Stolyarov 2013-11-18 в 13:45

Обновлено 2016-06-26: инструкция изменена для El Capitan

В стандартной конфигурации (речь дальше пойдёт про Mac OS 10.9 Mavericks и выше) при использовании ssh-ключей во встроенном ssh-клиенте парольная фраза запрашивается через макосный security-фреймворк (и стандартный диалог запроса пароля соответственно). После первого ввода пароля запускается ssh-agent и при дальнейших вызовах ssh или git c этим ключом пароль больше не запрашивается.

На мой взгляд, такая схема слишком небезопасная и нужно какое-то разумное ограниченное время жизни «запомненного» ключа в агенте, например, пара минут. Cделать это штатными средствами через диалоги/настройки невозможно, однако можно изменить файл запуска агента и выставить там нужное время жизни ключа в агенте. В результате практически при каждой попытке использовать любой ключ будет выскакивать диалог запроса парольной фразы.

Теги: kb, macosx
Написано Sergey Stolyarov 2013-11-16 в 22:44

Homebrew — клёвая штука, однако она крайне небезопасная в обычном режиме установки — файлы ставятся в каталог /usr/local с правами текущего пользователя, поэтому, если в систему пролезет зловред, он легко сможет изменить очень важные для безопасности файлы в каталоге /usr/local. В homebrew faq очень не советуют ставить brew через sudo, однако там неявно имеется в виду установка с правами суперюзера. Так действительно жить нельзя, поэтому пойдём другим путём — выделим для brew отдельного юзера и отдельную группу, и все операции по установке будем проводить через неё.

Теги: kb, macosx
Написано Sergey Stolyarov 2013-06-04 в 11:42

Очень мерзкая проблема: если thunderbird забирает почту с Exchange-сервера через IMAP, то со временем в папке начинают появляться «мерцающие» письма, они при каждой проверке то появляются, то исчезают, причём появляются в непрочитанном виде.

Баг этот известен с 2008 года, но до сих пор не поправлен, однако недавно нашли воркараунд:

  1. В настройках аккаунта: Server Settings → Advanced, отключить крыжик Use IDLE command if the server supports it, в поле Maximum number of server connections to cache выставить 1;
  2. Открыть продвинутый редактор конфига (Edit → Preferences → Advanced → Config editor) и там выставить параметр mail.server.default.check_all_folders_for_new в true, а параметр mail.imap.use_status_for_biff в false.

Спасибо вот этому сообщению http://forums.mozillazine.org/viewtopic.php?p=12847427#p12847427.

Теги: kb
Написано Sergey Stolyarov 2013-05-21 в 00:21

Создать файл ~/.gimp-2.8/fonts.conf вот с таким содержимым:

<fontconfig>
  <match target="font">
    <edit name="rgba" mode="assign">
      <const>none</const>
    </edit>
  </match>
</fontconfig>

Изначально проблема проявляется так: на краю отрендеренного текста цветные пятна.

Теги: kb, linux, gimp
Написано Sergey Stolyarov 2013-05-13 в 18:15

В SSH есть крайне полезная фича, позволяющая организовать прозрачный проброс трафика через практически любой SSH-сервер. Такое туннелирование позволяет сравнительно легко переключаться между прокси-серверами из разных стран, а весь трафик автоматически шифруется (так как передаётся внутри ssh-сессии). Для работы достаточно самой дохлой VPS-ки, которую можно сейчас купить за очень небольшие деньги. Несколько виртуалок в разных странах — и получаем набор прокси на любой случай.

Принцип туннелирования простой: подключаемся к ssh-серверу со специальными опциями и получаем SOCKS-прокси, висящий на указанном в опциях порту локальной машины. Что самое приятное — на удалённой машине не надо ставить никакой софт, плюс необязательно быть суперпользователем, достаточно обычного аккаунта.

Дальше я детально опишу сценарий настройки и конфигурации такой системы.

Теги: kb, linux
Написано Sergey Stolyarov 2013-04-05 в 10:42

В файле ~/.ssh/config можно писать алиасы для используемых хостов, указывать для разных хостов разные ключи и так далее.

Host home
    HostName home.example.com
    Port 1488
    Ciphers arcfour,blowfish-cbc
    Compression yes
    CompressionLevel 9


Host github.com
    IdentityFile ~/.ssh/id_rsa-github

Host bitbucket.org
    IdentityFile ~/.ssh/id_rsa-bitbucket
Теги: kb, linux
Написано Sergey Stolyarov 2013-02-22 в 11:29

Типичная ситуация: коннектимся с машины M1 на машину M2 через SSH, затем на машине M2 меняем юзера через sudo и хотим там запустить X11-приложение, чтобы оно открылось на дисплее машины M1. Это может быть, например, отладчик или графическая гуйня к базе.

Дальше я по шагам распишу все этапы подключения с комментариями.

Теги: kb, linux
Написано Sergey Stolyarov 2013-02-16 в 18:22

Постоянно нужно и всегда забываю.

% arecord - | aplay -
Теги: kb, linux
Написано Sergey Stolyarov 2013-02-07 в 12:02

encfs позволяет прозрачно шифровать каталог с файлами, используется достаточно надёжный метод, такой каталог можно сравнительно безбоязненно положить в Dropbox, например. Для доступа этот каталог монтируется через fuse с вводом пароля, после чего с ним можно работать как с обычным каталогом, все данные перешифровываются на лету.

В debian/ubuntu ставится в два шага:

# apt-get install encfs
# adduser USER fuse

После чего перелогиниться, чтобы пользователь проявился в группе fuse.

Теги: kb, linux
Написано Sergey Stolyarov 2013-02-04 в 11:09

Эта вот строчка мне каждый раз мозг выносит — куда воткнуть NOPASSWD в sudoers, чтобы заработало:

%sudo   ALL=(ALL:ALL) ALL

А разгадка проста:

%sudo   ALL=(ALL:ALL) NOPASSWD:ALL

И ещё одни важные грабли: срабатывает последнее правило, которое заматчило. Например, если вы хотите для себя одного сделать исключение в виде NOPASSWD, добавьте это правило в самом конце файла для гарантии, иначе может не сработать.

Теги: kb, linux
© 2006—2016 Sergey Stolyarov | Работает на Pyrone