2013-11-21

Из камментов у Беркема

Таки пока не нашёл источник herrAntonNN сказал: 21 Октябрь 2013, 15:23 Ой вэй!!! (искаж. от англ. “Oh, wow!”). А усьо потому что молодые люди совсем не хотят чистить трубы от говна! Таки это грязно и нудно, но кто-то должен это делать – чистить трубы! А молодые люди думают, что таки если выбросить в окно старый засранный унитаз и взять в кредит новый, то в него можно будет срать спокойно столько лет, сколько делали в старый, дай им всем здоровья и не кашлять! Я, конечно, извиняюсь, при чом тут Моня, спросите Ви? Ой, да, Моня работал у нас сантехником, и это был хороший сантехник! Он брал унитазы на складе за 12 и приходил к клиентам и говорил шо им нужен новый унитаз. Он говорил что новый унитаз будет стоить16, и он готов взять его назад если будет как со старым. Он приносил новый унитаз, он ставил – и ставил хорошо – новый унитаз и ой, КАК все работало! Мне так не жить, Ви можете не верить – но Моня никогда не уходис с 16 – ему давали 20 а иногда и 25, потому что было не сравнить, как работал новый и как работал старый, да. Моня выпивал – что было то было, и ради форсу (ну не тащить же по лестнице, он был старый человек!) – выбрасывал старый унитаз в окно, это было, да, но упаси – никакого бредлама, его Сарочка все-все потом собирала совочком и выносила на мусорку…) И люди смотрели и думали что Моня имеет легкие деньги – на ровном месте. Люди обижались и говорили плохое. Моня старый человек, он уехал в Румынию работать цыганским бароном, а мы-таки лишились его золотых рук. Много молодых швырялись унитазами из окон (и мало кто потом прибирал внизу осколки, скажем прямо)…. Много кто ставил новые унитазы – и такие не снились даже Моне, тогда таких не делали, он бы умер от зависти, если бы увидел! Но ни у кого НОВЫЙ УНИТАЗ НЕ РАБОТАЛ ЛУЧШЕ СТАРОГО! В соседнем дворе одного шлемазла таки забили за это дело вантусом – он взял на складе за 200 а поставил за 2000, а это обидно, особенно когда за такие деньги тебе на ноги течет твое же гавно…. Ой, детки, ви просто должны помнить, что ПЕРЕД тем как поставить НОВЫЙ УНИТАЗ Моня втихоря ВСЮ НОЧЬ ЧИСТИЛ ТРУБЫ. Но это пока нельзя делать через фейсбук и для ай-фона таки нет такого приложения, и я боюсь, что говна будет все больше, а сливать станет совсем некуда….

2013-08-19

Очередная блокировка от "Домолинка"

Внезапно появилась блокировка всех соцсетей. Добро пожаловать в рай.
# dig @ns2.ryazan.ru a vk.com youtube.com odnoklassniki.ru

; <<>> DiG 9.7.0-P1 <<>> @ns2.ryazan.ru a vk.com youtube.com odnoklassniki.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10749
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;vk.com.                                IN      A

;; ANSWER SECTION:
vk.com.                 86400   IN      A       77.51.247.146

;; AUTHORITY SECTION:
vk.com.                 86400   IN      NS      ns.ryazan.ru.
vk.com.                 86400   IN      NS      ns2.ryazan.ru.

;; ADDITIONAL SECTION:
ns.ryazan.ru.           81824   IN      A       212.26.224.65
ns2.ryazan.ru.          73660   IN      A       212.26.230.61

;; Query time: 1 msec
;; SERVER: 212.26.230.61#53(212.26.230.61)
;; WHEN: Mon Aug 19 16:47:36 2013
;; MSG SIZE  rcvd: 116

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24595
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;youtube.com.                   IN      A

;; ANSWER SECTION:
youtube.com.            86400   IN      A       77.51.247.146

;; AUTHORITY SECTION:
youtube.com.            86400   IN      NS      ns.ryazan.ru.
youtube.com.            86400   IN      NS      ns2.ryazan.ru.

;; ADDITIONAL SECTION:
ns.ryazan.ru.           81824   IN      A       212.26.224.65
ns2.ryazan.ru.          73660   IN      A       212.26.230.61

;; Query time: 1 msec
;; SERVER: 212.26.230.61#53(212.26.230.61)
;; WHEN: Mon Aug 19 16:47:36 2013
;; MSG SIZE  rcvd: 121

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5155
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;odnoklassniki.ru.              IN      A

;; ANSWER SECTION:
odnoklassniki.ru.       86400   IN      A       77.51.247.146

;; AUTHORITY SECTION:
odnoklassniki.ru.       86400   IN      NS      ns.ryazan.ru.
odnoklassniki.ru.       86400   IN      NS      ns2.ryazan.ru.

;; ADDITIONAL SECTION:
ns.ryazan.ru.           81824   IN      A       212.26.224.65
ns2.ryazan.ru.          73660   IN      A       212.26.230.61

;; Query time: 1 msec
;; SERVER: 212.26.230.61#53(212.26.230.61)
;; WHEN: Mon Aug 19 16:47:36 2013
;; MSG SIZE  rcvd: 124
Вот так вот соцсети становятся экстремисскими по решению суда прихоти местного интернет провайдера.. Перебрался пока на гугловские днс сервера 8.8.8.8/4.4 - и подумываю о заведении туннеля в какую-нибудь страну без Мирзулиной - пока и это не запретили..

2013-03-24

Google Reader

Жаль сабжик. Собственно их Г+ и нужен был только чтобы комментировать через "+1" читаемое в ридере. Без ридера даже эта сомнительного качества "услуга" потеряла свой смысл. Сомнительного - ибо я так и не понял, где искать чужие камменты, которые явно были - судя по счётчикам у +1. Но и мне хватало как инструмента "мыслей для себя". Поэтому первой реакцией на печальную весть стало закрытие аккаунта столь "приоритетного" для гугля Г+. И столь упорно навязываемого через разные места. Даже не поленился поискать как это сделать. Может быть просто как отчаянный способ донести до Гугля пожелание хоть немного думать о пользователях? В финальной форме "почему вы от нас уходите". Неплохо было бы предварительно выгрузить весь г+ через их takeout - хотя бы чтобы свои камменты сохранить. Хоть и пара минут всего - но забыл сделать и это. Да и без ридера к чему эти камменты приделывать? Теперь вопрос - куда перебираться. СПАСИБО ГУГЛЮ ЗА ЭТО. Реально - на пустом месте сделать проблему.. Ридер был настолько привычной и удобной частью интернета, что без агрегатора уже никуда. Я молчу про глубокую историю - когда подписанный канал можно в агрегаторе почитать за прошедшие несколько лет. Что уже не вернёшь новыми сервисами. Как и свои пометки.. Одно время пробовал сервис от Яндекса. Просто захотел посмотреть альтернативу. Чтобы немного деверсифицировать доступ к ключевым вещам. Но несколько месяцев (недель?) честных мучений (именно так) вернули меня в лоно ридера. То, что ридер у яндекса завязан на их почту. ОООчень тормозную - и нестабильную. Чтобы добраться до новостей - ждать прогрузки почты от десятка секунд и до вообще незагрузки? Когда в ридере - всё это от долей до единиц секунд.. А отсутствие привычной навигации - детально продуманных клавиатурных комбинаций, деталей дизайна. Даже враждебный интерфейс "а-ля гугль плюс" с красными гигантскими кнопками и пустыми полями как-то смогли.. прижиться? Чуток эргономики в ущерб экранному пространству - но то был тот же ридер. А Яндекс. Разделение ленты на страницы.. Ребята из Яндекса, вы серьёзно?? Или все новости сразу открыты.. Или (в упрощённом интерфейсе) требуют мышой попадать по мелким строчкам. Да куча - куча мелочей, делающая "похожий инструмент" совершенно неюзабельным. Хотя скорее всего это ридер приучил не замечать насколько он продуман и удобен для постоянного использования. Тем больше потеря. Может ещё и есть какая-то надежда что страшное не случится.. Не хочется верить. Но.. Очередной повод задуматься о переезде на родной яндекс всей корпоративной почты. В принципе то всё уже готово - осталось лишь строчку в днс прописать. Бесплатный днс хостинг яндекса, кстати, хорошая штука. Уже больше года как свой ВПС из-за переезда туда закрыл за ненадобностью. Эх, яндексовцы! Подумали бы над своей почтой - довели бы до ума. А то тормоза в вебпочте - не лучший двигатель прогресса. Хотя и спам защита на высоте. Единицы прорывающегося спама и смешное количество в спецящике. По сравнению с гуглями. Но иногда писем с восстановлением пароля и подписками не могу дождаться.. Похоже из-за того же. А в гмыле спам ящик регуляно ловит кошерные письма. И один регресс в этом плане. Неудобства от закрытого гугл-плюса не наблюдаю. А вот закрытие ридера скорее всего СУЩЕСТВЕННО скажется на пересмотре отношения к другим продуктам Доброй Корпорации.. Пойду дальше ридер читать. Пока жив..

2013-02-13

О хомяках

Недавно возникла мыслишка. Откуда есть пошли все эти "хомяки" и "сетевые хомяки". Вроде как грызуны ни к чему особо причастны не были. С чего вдруг у "лидеров протестного движения" такие ассоциации? У меня первая ассоциация была связана с мифом о массовом самоубийстве леммингов - почти тех же хомяков. Игрушки опять же про них старенькие :) Вроде удовлетворился таким для себя объяснением - ну хомяки и хомяки. Хотят в непонятное, ломают что сами построить не в силах. А тут что-то вспомнил про когда-то любимый дочкой мультик. Почти каждый день его смотрела года так три назад. Вольт называется (на самом деле Молния ака Болт ака Bolt - но who care) :) Но главное там не сам пёсик - а его сотоварищ - хомяк Рино. Вот на его психотип, думаю, и появились ассоциации у "Лидеров". хех. Воспитанный на телесериалах, однако, дальше своего кемпинга не выбиравшийся - да ещё и в прогулочном шарике, зато с неуёмной жаждой идеала, справедливости и приключений. "Как же ты можешь спать после этого". "Шика-р-р-но".

2013-01-31

Сертификаты RDP

Успешно решил намедни проблемку с терминалами. Может кому ещё пригодится, да и мне в случае, например, амнезии будет полезно вспомнить :)
Не удается проверить подлинность удаленного компьютера. Сертификат выдан не имеющим доверия центром сертификации.
Суть проблемки в следующем. Имеются сервера терминалов на windows 7 (а теперь уже и win8 попадаются - а может даже это же решение и для серверных версий подойдёт).
То есть соединения по протоколу Remote Desktop Protocol (RDP) версий 7 и 8 (бинарник версий 6.1 и 6.2 соответственно) к службе "Удалённый рабочий стол" (remote desktop services).
Теперь соединение с ними требует наличия сертификата у сервера и его проверка у клиента.
Сервер автоматически создаёт самоподписанный сертификат при подключении к нему (или если его "нечаянно" удалить).
Но при этом у клиентов в момент подключения выдаётся предупреждение "Не удается проверить подлинность удаленного компьютера: Сертификат выдан не имеющим доверия центром сертификации" - благо пока отключаемое. У серверов на Windows XP такой проблемы нет - но клиенты в XP уже ругается.
Не то, чтобы это была такая уж Проблема - так - мелкое неудобство. Но особо комфортной Ежедневную Работу не делает. Особенно администратору - который по несколько раз в день да к разным машинам цепляется..

Итак. Нужно заменить сертификаты у "серверов" на "правильные".
Как сделать "правильные" сертификаты - отдельная песня - отдельным постом.
Делал через openssl + EasyRSA (1.0 - или 2.0 что идёт в комплекте с openvpn - но пришлось слегка допиливать - но главное разобраться с конфигами - хех).
Вполне вероятно, что средствами MS (тем же certutil или GUI каким) можно было бы получить ключики куда проще, но зато слегка копнул эту x509 - теперь чуть лучше понимаю цели танцев с бубном ключами для openvpn.. Одних CA не считая промежуточных центров сертификатов пока с ними разобрался сколько понаделал :)
Можно (и желательно) получать сертификаты от доверенных сторонних центров сертификации - но они и за денюжку - и по-учиться на сертификатах не дадут.

Продолжим. В процессе кейгенеза должны получить следующие вещи:
  1. Сертификат самопального CA в формате x509/CER/base64 - пусть им будет файлик ca.crt.

  2. pkcs12/pfx ключик сервера с EKU "remote desktop connection" или "TLS server" подписанный сертификатом, который проверяется через вышеупомянутый CA - им будет файлик test.p12 с паролем "qwe" - хеш ключа - 01:23:..:cd:ef.

  3. HTTP сервер, отдающий промежуточные, корневые сертификаты и отзывы на них (crl).
    Без этого пункта работать RDP без ругани не получилось заставить - так что заранее планируйте; благо хватит какого-нибудь mangoose - ибо нашему CA требуется пока лишь отдавать мелкие статичные файлы и достаточно редко.
Это были пока лишь предварительные требования - и вот теперь, наконец, приступаем к решении задачи - как же заставить сервер(ы) использовать нашу структуру ключей.

Всё последующее требует административной консоли (с повышенными правами) на подопытном сервере.
  1. Засовываем корневой сертификат в хранилище доверенных корневых сертификатов. Это просто - используем штатную системную утилиту:
    certutil -addstore root ca.crt
  2. Засовываем ключ сервера в персональное хранилище (но "локального компьютера").
    Тут есть нюанс. При простом импорте ключа - он может поместиться в личное хранилище пользователя - да ещё и с неправильными правами. При продвинутом импорте - через mmc и оснастку "Сертификаты/Локальный компьютер" - потребуется давать права на доступ к закрытому ключу для Network Service - от имени которого работает termserv - опять же много буков и картинок потребуется, чтобы это всё описать. Самое простое найденное решение - через утилитку WinHttpCertCfg.exe - из состава Windows Server 2003 Resource Kit Tools.
    WinHttpCertCfg -a NetworkService -c LOCAL_MACHINE\MY -i test.p12 -p qwe
    Да, если ключик таки уже импортировали как-то по-другому, можно дать правильные права командой:
    WinHttpCertCfg.exe -a NetworkService -c LOCAL_MACHINE\MY -g -s SUBJ
    где SUBJ
     это сабжект ключа - чтобы утилита его смогла найти - и скорее всего он будет совпадать с именем компьютера - достаточно указать %COMPUTERNAME% .
  3. Заставляем терминал сервер отдавать наш ключ, вместо самоподписанного. Просто нужно указать хеш нужного ключа в реестре. Перезапуска сервиса а тем более компьютера не потребуется.
    reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SSLCertificateSHA1Hash /t REG_BINARY /d 0123456789..DEF



Вот такое свойство соединения..Ну Вот, собственно, и Всё. При следующем подключении - клиент не получит уведомления о неправильном сертификате сервера. Можно снова включать уведомления об этом кошмаре или даже запрещать соединяться с такими серверами.
Не правда ли, Всё очень просто?