1. Samsung 4GE LTE GT-B3800 – mobilny hotspot od Plusa

    Maj 15, 2012 by 0verlord

    LC11_400x400_large1_cf

    Urządzenie jest całkiem zacne – robi za mini hotspot GSMowy, pozwalając podłączyć do pięciu urządzeń na raz. Oferuje coś takiego Plus, czy inni też – nie wiem.

    Pierwsze wrażenie jest całkiem zacne. Ładne, małe, zasilanie ma z mikrousb, więc od biedy można doładować z komputera w przypadku braku sieci (ładowarkę sieciową też dodali). Bateria ma 1500 mAh, więc teoretycznie powinno jej wystarczyć wg producenta na 216 minut działania – ale stawiam czas zależny od liczby podłączonych urządzeń.

    W środku jest mini router, ma dhcp, ma przekierowanie portów i proste filtrowanie sieci bezprzewodowej po macu. Można też wyłaczyć zabezpieczenia, jeżeli chcemy się podzielić naszym linkiem z najbliższym (i tym dalszym też) otoczeniem.

    Z minusów – nie udało mi się we Wrocławiu złapać jak na razie LTE, podobno nadajników jest niewiele (wg pana konsultanta z salonu – wszystkie 3).

    Urządzenie ma też wyraźnie zauważalny i irytujacy czas łapania sygnału. Kilka razy zdarzyło mi się tak, że musiałem się zalogować do interfejsu i kliknąć wielki czerwony przycisk „connect”. Kto wie, może jak bym wyłaczyć LTE i zostawił tylko 3g/2g to byłoby szybciej, ale nie chciało mi się sprawdzać. W końcu miała być moc LTE, 3g to ja mam ziomy, w telefonie ;-) .

    Tak czy siak – urządzenie jest całkiem zacne i umożliwia zestawienie chwilowego punktu w netem tam, gdzie jest to potrzebne nie tylko nam. Oczywiście, malkontenci od razu powiedzą, że ma to iPhone, i pewnie nie tylko on.
    Oczywiście jest to teoria słuszna, jeżeli nie trzeba np. z takiego mobilnego hotspota telefonicznego np. zadzwonić.

    No i wygląda całkiem ładnie, mały, lekki i estetyczny i prosty w obsłudze. Mogę polecić.
    Ale za obiecywanie LTE plus ma u mnie minus. Wielki.

    Category hardware, konfiguracja, sieci | Tags: , , , , | No Comments

  2. Administracja systemem Linux i nie tylko – dobre praktyki

    Kwiecień 18, 2012 by 0verlord

    do chin

    Jak „dobrze zarządzać” systemem operacyjnym, jak klikać, żeby się nie pogubić i wreszcie – jak to wszystko zrobić dobrze.
    W ogóle, chwila usprawiedliwienia – piszę o tym, bo w ramach podsumowania własnej pracy wyszło mi, że co przejmowaliśmy adminkę po kimkolwiek – skala rozwiązań i chaosu powodowała problemy takiego sortu, że powinienem sobie dodać na Linkedinie skilla Linux archeo-ninja-terminator. Już nawet nie mówię o nieaktualizowanych zabytkach typu CentOS 5.2 albo Ubuntu 8.04.

    Ogólny wniosek jest prosty – ilu administratorów, tyle najlepszych i w ogóle pomysłów. Przez chwilę zatęskniłem za Windowsem, w którym niektórych rzeczy nie da się sklikać inaczej, bo inne chore rozwiązanie na to nie pozwala. Ale za to wiadomo, gdzie szukać

    Ale miało być o tym, jak robić, a nie jak nie robić.

    Pierwsza sprawa, to porządek. Niby wszyscy to wiedzą, ale jeżeli się tego nie pilnuje od początku – po roku czy dwóch nawet dowolne distro linuxa nadaje się do przeinstalowania. Co tam jest, nie wie nikt, od czasu do czasu wybuchają różne biblioteki, nadpisane przy okazji instalacji różnego ciekawego lub w efekcie nieciekawego oprogramowania. I o ile Windowsy mają deinstalatory (gorsze lub często beznadziejne) o tyle Linuxy już nie do końca.
    Jeżeli ktoś używa tylko oprogramowania w postaci binarnej (paczki czy porty) – jest prosto. Instalacja jak potrzeba, deinstalacja jak system „przytyje” i już. Ale czy aby w każdym przypadku tak jest?

    Zatem zbierając kilka mądrości nabytych:

    • korzystaj z programów w postaci binarnej – nie słuchaj tych, którzy chcą wszystko kompilować. W dzisiejszych czasach to sztuka dla sztuki, na dodatek przy większej ilości serwerów – szkodliwa sztuka (ale o tym za chwilę).
      korzystaj z natywnych managerów oprogramowania dla danej dystrybucji (np. na Debianie jest alien – narzędzie do przetwarzania rpmów na deby, produkuje deby, i owszem, ale potrafi nadpisać kawał systemu swoimi skompilowanymi pod inne biblioteki softem, które potem trudno nawet wywalić z systemu). Binarki mają dodatkowo jeszcze jedną zaletę – nie śmiecą w systemie pozostałościami po kompilacji.
    • jeżeli już musisz cokolwiek kompilować – poznaj FHS (filesystem hierarchy standard, czyli co się gdzie w danej dystrybucji/systemie znajduje) dla lokalnego systemu (dla Debiana mamy do dyspozycji całe drzewo /*/local, /usr/local, /var/local – jeżeli cokolwiek tam wrzucamy – system tego nie nadpisze, ani my nie nadpiszemy systemu. Jeżeli nie masz bladego pojęcia o czym mówię – nie kopuj bezmyślnie z sieci przykładów. W przypadku kompilacji główny katalog najczęściej określa opcja --prefix. Nie /usr i nie /. Daj np. /opt, albo chociaż /moje. Wtedy będzie łatwiej zapanować nad różnicami pomiędzy kompilowanym narzędziem a systemem.
    • poznaj dokładnie swój system – np. dowiedz się, gdzie trzyma konfigurację np. apache. W Debianie jest to /etc/apache, w starych wersjach RedHata czy innych CentOSów było to /etc/httpd. W Debianie demon nazywa się apache2, gdzie indziej najczęściej httpd, więc warto to wiedzieć zanim make install narobi spustoszenia w podstawowym drzewie plików i katalogów)
    • jeżeli cokolwiek chcesz dodać do systemu – poczytaj jak to zrobić zgodnie z zasadami adminki tymże. W Debianie (tak, jestem wyznawcą) jest coś, co nazywa się The Debian Way, czyli sposób zrobienia tego tak, żeby ktokolwiek nie siądzie do systemu rozezna się z nim w chwilę moment – o ile także podąża Debian Way’em.
    • naucz się narzędzi administacyjnych dla właściwego systemu i używaj ich. To procentuje po jakimś czasie, szczególnie w przypadku konfiguracji, których nie dotyka się często.

    Ok, ale jakie są korzyści przestrzegania takich niewygodnych czynności? W przypadku adminki jednym system – żadne. Serio. Nie ma potrzeby męczyć się i robić coś zgodnie z którymś wariantem standardu. Pomijając oczywiście przypadku, w których szukamy pomocy – wtedy może się okazać, że nikt nie jest nam w stanie pomóc, bo nie trzymamy standardu. Znacie to? Ile wpisów na forum kończy się mniej więcej tak: „a bo u mnie było to trochę inaczej, ale już znalazłem i podmieniłem ścieżki/biblioteki/konfigi”. Albo ile wpisów okazuje się gonieniem własnego ogona z powodu którejś drobnej zmiany dawno temu w przeszłości?

    Czyli podsumowując: jeżeli jesteśmy adminem własnego systemu i ten system robi to co chcemy, to jak byśmy nie prowadzili hosta – będzie dobrze. Ale jeżeli zaczynamy przygodę z systemem – warto już robić to jak większość i standard, chociażby po to, żeby ktokolwiek mógł nam pomóc. Ludzie nie wiedzą, jak popsuliśmy własny system. Nawet nie podejrzewają zajebistości naszych rozwiązań ;-) .

    Teraz o tym, dlaczego standardy są ważne w przypadku pracy z innymi ludźmi i większą ilością systemów niż jeden.
    Weźmy najprostszą sytuację do wyjaśnienia – jest sobie dwóch adminów, którzy pilnują większej ilości systemów.
    Idealnie, jeżeli są to te same dystrybucje. Jeżeli nie – nie jest źle, specjalizacja jest jak najbardziej wskazana, ale trzeba tutaj zapewnić jedną bardzo ważną rzecz. W przypadku nagłego zgonu lub innego przypadku losowego specjalisty – trzeba mieć pewność, że zanim tenże zmartwychwstanie, ktoś będzie w stanie podnieść usługę lub serwer. I że zrobi to szybko i nie popsuje bardziej niż pomógł.

    Przykład prosto z życia. Ogólnie ja się zajmuję Linuxami w firmie, a kolega klika AD. Ale wszystko mamy zrobione zgodnie ze znanymi standardami w sieci. Przykład z AD: wiem gdzie leżą skrypty do dodawania usera do domeny od razu ze wszystkimi wpisami w GPO, wiem z grubsza jak się debuguje podstawowe problemy związane z brakiem możliwości zalogowania się do domeny. Od biedy potrafiłbym nawet dodać ręcznie usera, jak by mi skrypty wybuchły. Najwyżej bym go klikał kilka godzin, szukając po kolei, która grupa odpowiada za co.

    Ale jestem w stanie to zrobić relatywnie szybko, bo grupy są tam, gdzie Internet mówi, że mają być. Nazywają się tak, że na podstawie samej nazwy kojarzę OCB – patrz SHARE_SKANY_RW (grupa mająca możliwość zapisu do share sieciowego SKANY).
    Ok, może i nie umiem dodać drukarki tak, żeby się dystrybuowała przez GPO, ale to nie jest kluczowa usługa i wytrzyma do momentu, w którym pojawi się kolega i orypie mnie, że jeszcze nie dodałem drukarki ;-) . A jeżeli będzie taka potrzeba, dość szybko odnajdę pierwszy lepszy tutorial na sieci i sklikam to sam – bez szkody dla standardu.

    W przypadkach Linuxowych jest jeszcze prościej – obaj wyznajemy Debian Way. Czyli np. nowe vhosty do apache dodajemy w /etc/apache2/sites-available i potem je włączamy przy pomocy a2ensite (albo chociaż ln -s).
    Dovecot ma konfigurację w /etc/dovecot/conf.d i tam też dodajemy nowości, czy edytujemy opcje. Pewnie, można w konfigu zrobić include i dodać katalog w lokalizacji z dupy, ale szukanie tego komu innemu zajmie wieki. Jeżeli dodajemy coś do crona, to używamy katalogów /etc/cron.d, itp, itd.

    A co do przestrzegania standardu, na przykład weźmy openvpna. Jeżeli się go klika komukolwiek, robi się to na początku. Trochę pracy jest, pewnie, ale potem cisza i spokój przez dłuższy czas. Ale potem przychodzi mroczny czas po np. roku, gdzie trzeba dodać nowego usera. I teraz seria bolesnych pytań: gdzie jest CA? Jak się dodawało certyfikat i klucz dla danego klienta. Jaki był standard dodawania userów na tym serwerze. Czy jest CCD? Czy jest hasło na klucz? Jaki jest podstawowy konfig? Ratunku? Pomocy? ;-)

    Pytań może być jeszcze kilka i nie mówię, że problem nie jest nieogarnialny. W końcu odnajdziemy sposób, w jaki to konfigurował ktoś przed nami. Tylko zajmie to nieporównywalnie więcej czasu niż gdybyśmy wiedzieli jak to się robi i gdzie tego szukać. No i najważniejsza rzecz w tej całej zabawie – możemy spokojnie oddelegować zadanie koledze, jeżeli akurat składamy rozsypaną macierz czy szukamy pozostałości po włamie na serwer poczty.

    A jeszcze bardziej na koniec, najlepsze do trzymania porządku są automaty. Do wyboru jest kilka rozwiązań, chef, cfengine czy inne płatne i niepłatne wynalazki. Nawet jeżeli komuś nie odpowiada żadne z rozwiązań – jeżeli się napisze swoje własne, tak czy inaczej porządek i standard zostanie wymuszony w obrębie własnego zbioru hostów do zarządzania. Automat nie zapomina, ale i nie wybacza – jeżeli zapomnimy dodać konfiga, system zrobi to za nas. Ale i nadpisze lokalne zmiany, więc trzeba się dobrze przymierzyć do takiego rozwiązania.

    A obrazek z początku posta ma symbolizować sytuację, w której się znajdziemy, jeżeli na obcym systemie będziemy szukać właściwej drogi w rozwiązaniu autorskim umysłu, który przed nami coś połatał i działało aż do chwili temu. Najkrótsza droga do celu niekoniecznie jest najlepsza ;-) .

    Category konfiguracja, linux | Tags: , , | No Comments

  3. Canon ir 2270 i skanowanie na email

    Kwiecień 5, 2012 by 0verlord

    Skanowanie na email w tej maszynie ustawia się dość prosto, jednak należy pamiętać o jednym detalu, który spowoduje, że mimo poprawnych ustawień – nic, zupełnie nic nie zostanie wysłane na maila. Chodzi tutaj konkretnie o opcję Domain Name :, którą ustawia się w ustawieniach sieci/ dns.
    Dokładniej, klikamy w „Add func.” a następnie w „custom settings” z menu po prawej:

    Potem wybieramy z prawej kolumny opcję DNS server settings, jak na obrazku:

    A tam już wybieramy opcję:

    Domain name:

    i wpisujemy dowolną resolwującą się domenę. Potem trzeba tylko skonfigurować ustawienia wysyłanie emaila, ale to już wg manuala, ja tylko rozwiązuję problemy nierozwiązywalne ;-)

    Category hardware, konfiguracja | Tags: , , , , , | No Comments

  4. Upgrade Lenny -> Squeeze i niedziałające PHP

    Marzec 30, 2012 by 0verlord

    images-4

    Zaatakował mnie w sumie dość debilny, ale i szybko naprawialny problem. . Aktualizowałem jeden serwer z Lennyego na Squeeze, jako że nastąpił koniec wsparcia dla starego stabla.

    Aktualizacja przebiegła bez najmniejszych problemów, bo w sumie na tym hoście tylko wiatr wieje, a i to czasem.
    Po aktualizacji jedyna aplikacja, która tam była zamiast parsować PHP, pozwalała je pobrać. Problem niby znany – brak obsługi php w Apaczu. Ale nie do końca. Moduły były, wszystko dobrze pokonfigurowane, ale zamiast wyświetlać – ściągał. Co ciekawe, phpmyadmin działał bez zarzutów.
    Po wiązance kwiatów polskich w kierunku Boga Nieprzewidzianych Problemów, jeeeeest, znalaaazłem.

    Jest sobie plik ładujący podstawowy konfig do php, konkretnie ten:

    host:~# cat /etc/apache2/mods-available/php5.conf
<IfModule mod_php5.c>
    <FilesMatch "\.ph(p3?|tml)$">
	SetHandler application/x-httpd-php
    </FilesMatch>
    <FilesMatch "\.phps$">
	SetHandler application/x-httpd-php-source
    </FilesMatch>
    # To re-enable php in user directories comment the following lines
    # (from <IfModule ...> to </IfModule>.) Do NOT set it to On as it
    # prevents .htaccess files from disabling it.
    <IfModule mod_userdir.c>
        <Directory /home/*/public_html>
            php_admin_value engine Off
        </Directory>
    </IfModule>
</IfModule>

    Co on robi? Ano wyłącza php w katalogach userów, jeżeli moduł userdir jest załadowany. U mnie był. Zmyliło mnie, że ta aplikacja miała swój własny vhost. Ale już DocumentRoot łapie się w ścieżkę z wyłączonym php. Zakomentowałem, zrestartowałem i ruszyło.

    Słowo o bezpieczeństwie takiego podejścia. Ma to sens, jeżeli mamy hosta, w którym są użytkownicy, którzy korzystają z userdir i wrzucają tam różne skrypty, które mogą być dziurawe albo z powodu nadmiaru dobrych chęci mogą przywiesić hosta, jak się zapętlą na śmierć. Jeżeli mamy tylko jedną aplikację i brak innych użytkowników, można sobie wyłączać. Jeżeli mamy userów, warto się zastanowić, zanim zakomentujemy te linijki. Z drugiej strony, skoro pod Lennym działało i nagle przestało to pewnie usernia zacznie protestować.

    Category konfiguracja, linux, php | Tags: , , , , | No Comments

  5. Windows 7/Vista, Samba, pliki offline i problemy z synchronizacją

    Marzec 15, 2012 by 0verlord

    Problem da się to opanować stosunkowo prosto – jak już się zrozumie OCB i nie namiesza jakoś szczególnie mocno przy instalacji.

    Windows (klient) i Samba (serwer) wymagają włączenia oplocków, a robi się to tak:

    [global]
    oplocks = yes
    level2 oplocks = yes
    kernel oplocks = no
    create mask = 777
    map archive = yes
    map system = yes
    map hidden = yes

    Potem do rejestru Windowsa należy dodać wpisy takie:

    HKLM\Software\Microsoft\Windows\CurrentVersion\NetCache\RoundUpWriteTimeOnSync = 1
    HKLM\SYSTEM\CurrentControlSet\services\mrxsmb\OplocksDisabled = 0
    HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters\EnableOplocks = 1
    HKLM\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters\EnableOplocks = 1

    Zrestartować Sambę, zrestartować Windowsa, włączyć pliki offline i synchronizować, synchronizować. Natomiast może się pojawić kilka problemów.
    Trzeba pamiętać, że wpisy w sekcji [global] mogą być nadpisane w samej definicji udziału – więc jeżeli w globalu damy create mask = 777, a w definicji udziału zapodzieje nam się np. create mask = 0666 – wtedy synchronizacja będzie nam się sypała z dziwnymi problemami, dotyczącymi praw dostępu, zablokowanych plików, naruszeniem zasad współużytkowania plików itp. W krótkim czasie pojawią się wszystkie cztery warianty komunikatów o braku możliwości zapisania do danej lokalizacji. Do tego centrum synchronizacji będzie rzucało informacjami o konfliktach, których nie ma i o tym, że np. nie da się usunąć z lokalizacji pliku, który przed sekundą tam został przez naszego worda dokładnie tam wrzucony. Nie da się także usunąć plików tymczasowych.

    Ale najgłupszym komunikatem i zachowaniem się Office’a jakie widziałem przy okazji tego problemu, to po stworzeniu pliku w katalogu zaznaczonym do offlineowania, brak możliwości zapisania do tegoż właśnie pliku.
    Czyli tworzymy plik, coś w nim piszemy, ctrl+s i info o brak uprawnień do zapisu plików. Ciekawe, że taki problem pojawia się tylko w przypadku Visty/7. XP nie reaguje na permissiony z samby, tylko patrzy, czy może zapisać do udziału, i zapisuje. Vista/7 już patrzą do środka i stosują się do permissionów – w a przypadku create mask = 666 i synchronizacji, uprawnienia do nowo stworzonych plików znikają. Zupełnie. Nie ma żadnych wpisów w zabezpieczeniach. Są 3 wpisy: root (Unix/root), który nie może nic. Grupa users (Unix/users), bo w konfigu mamy force group = users, ale i ta grupa nic nie może, a na koniec kuriozalny user System, który (tak, właśnie tak) także nic nie może.

    Przy okazji poznałem plugin audit do samby. Konfiguruje się go tak:

    [global]
    vfs objects = full_audit
    full_audit:failure = none
    full_audit:success = mkdir rename unlink rmdir open pwrite
    full_audit:prefix = %u|%I|%m|%S

    i działa tak:

    Mar 14 15:37:34 asd smbd[11973]: user|192.168.169.170|komputer|Nazwasharea|open|ok|r|Katalog
    Mar 14 15:37:34 asd smbd[11973]: user|192.168.169.170|komputer|Nazwasharea|open|ok|r|Katalog\plik.doc

    Szybkie wyjaśnienie, pokazuje, że user windowsowy z adresu IP i z komputer wszedł do katalogu Katalog (UNC tutaj to \\Nazwasharea\Katalog), udało mu się to („ok”) i odczytał zawartość („r”). A potem to odczytał plik.doc. Można by tego modułu użyć np. do logowania tego, co się dzieje na udziale. Widać jak na dłoni, kto kasował, kto zapisywał, kto czytał itp. Pełny audyt. Widać także, kto gdzie chodził i jakie pliki oglądał. Pełny zamordyzm {-:

    Jeszcze do co buga, to trafiłem go po długich bojach i z sumie zupełnie przez przypadek. Bo skoro nie można zapisać, to znaczy, że jest problem z uprawnieniami. XP jak już pisałem, nie miał tego problemu, co dodatkowo komplikowało sytuację. Inny komputer z Vistą i bez włączonej synchronizacji także zupełnie nie doświadczał problemu. Masakra… Reinstall kompa na Win 7 był 2 tygodnie wcześniej, więc to na pewno nie było to. Karuzela wrażeń po prostu. Tylko klient coraz bardziej wnerwiony, bo Centrum Synchronizacji nie synchronizuje, ctrl+s nie zapisuje, a szalony admin zajął komputer na pół dnia i nie chce oddać.

    Podsumowując, Windows 7 i pliki offline nie są w sumie takie straszne. Kluczowe są uprawnienia, ustawiane parametrami create mask. Obowiązkowo ma być na całym sharze sieciowym 777 – czyli pliki mają mieć chmod 766 albo -rxw-rw-rw-. Inaczej losowość komunikatów zaprowadzi nas w mroczne zakątki internetu i problemów z Sambą i okolicami.

    Category konfiguracja, windows | Tags: , , , | No Comments

  6. OpenVPN i WrwrWrwrWrwrWrwr w logu oraz Need IPv6

    Marzec 6, 2012 by 0verlord

    Jeżeli przy konfiguracji OpenVPNa w logu pojawiają się długie linijki jak w temacie przy każdym ruchu sieciowym (najlepiej widać na przykładzie pinga) to należy zmniejszyć poziom debuga w konfigu. Poziom debuga „verb 2″ załatwi problem.

    Need IPv6 code in mroute_extract_addr_from_packet – ten komunikat jest trochę głupszy, bo rozwiązaniem jest wyłączenie protokołu ipv6 na interfejsie tun. Problemem jest sterownik tun pod Windowsy, nie obsługuje jeszcze ipv6 wystarczająco stabilnie, żeby chłopaki puścili go do produkcji. Albo zrobi się jak w przypadku innych narzędzi opensourcowych – nowe wersje tylko dla płacących klientów. Taki los.

    Jak na razie nie musiałem pchać ipv6 po tunelach OpenVPNowych, więc nawet ciężko mi się wypowiedzieć.

    Category konfiguracja, linux, vpn | Tags: , , , , | No Comments

  7. Router ADSL SLI 5300 z Netii i hackowanie hasła admina

    Marzec 1, 2012 by 0verlord

    $(KGrHqZ,!loE1GGmdK+6BN(M2+ipTQ~~_35

    Ten jakże zacny router rozdawała kiedyś Netia w zestawie z telefonem i internetem i „swoim” firmwarem. Router domyślnie ma dwa poziomy dostępu – user (hasło na naklejce z tyłu, lub l/p user/user) i ściśle tajny, admin z niejawnym hasłem. Ale już niedługo niejawny :)

    Router ogólnie jest zacny (ma np. funkcjonalność bramki VOIP i całkiem sensowny QOS), ale ma też kilka wad. Domyślnie nie da się zmienić hasła administratora (user admin). „Zablokowano” tą możliwość zwykłemu użytkownikowi. To oznacza, że np. nie możemy wyłączyć serwera dhcp ani ustawiać np. tras statycznych (i jeszcze kilku innych pomniejszych rzeczy).
    Metody na dobranie się do admina ogólnie są dwie. Pierwsza jest gdzieś na forach elektroda.pl. Metoda dość ciekawa, bo także wykorzystująca obejście zabezpieczeń. Konto usera pozwala na zrobienie backupu, z którego wyjmuje się zakodowany dość mizernym szyfrem hasło admina i dekoduje na podstawie załączonego arkusza. Metoda skuteczna, ale mało efektywna. Do admina się dobierzemy, ale w dalszym ciągu nie zmienimy mu hasła. Nasza metoda jest jednak lepsza :)

    Ta opowieść jest też z cyklu, dlaczego wszystkie aplikacje web powinny filtrować dane wejściowe i wyjściowe po stronie serwera, a nie Javascriptem po stronie klienta. Dlaczego? Filtrowanie JSem można wyłączyć korzystając z Firebuga. Tak to właśnie zrobiliśmy. Jak się okazało, brak możliwości zmiany hasła admina był „pilnowany” przy pomocy Javascriptu. A więc – firebug, odnalezienie odpowiedniego JSu, ustawienie breakpointa, „hack” i zmiana hasła admina bez ograniczeń i limitów.

    Niech no żyje ten, kto wymyślił takie kozackie zabezpieczenie! Niech żyje! I niech się trzyma z daleka od bezpieczeństwa banku, w którym mam konto :->

    Filmik poniżej. Włączcie fullscreen, będzie cokolwiek widać.

    SLI 5300 hack hack

    Category hardware | Tags: , , , , | No Comments

  8. Mała Księgowość Rzeczpospolitej – instalacja sieciowa

    Luty 23, 2012 by 0verlord

    mala_ks_19

    Jak to działa, jak może działać i jak się ten program aktualizuje.

    A wszystko zaczęło się od płytki… Klient zakupił sobie aktualizacją i przyszło mi wykonać wyrok na wersji z 2010.
    Sprawa wydawała się prosta – instalacja w końcu jest sieciowa bo klient ma 5 stanowisk, no to backup, aktualizacja na serwerze, sprawdzenia czy działa – działa.

    Tym razem telefon zadzwonił dziwnie, bo koło 10tej. Jeżeli coś nie działa – atakują od 8:30 ;-) . Sytuacja wyglądała tak – na 2/5 stanowisk MK działa, na 3/5 nie. Oględziny problemu wykazały, że instalacja sieciowa była taka tylko w 2/5. Na tych komputerach, gdzie działało, był normalnie zamontowany share sieciowy z udostępnioną instalką, po kliknięciu w KsięgaS.exe uruchamiał się programik i można było się zalogować do serwera.

    Ciekawsza rzecz działa się na pozostałych komputerach. Była tam zainstalowana wersja lokalna, która jak się okazało, posiada wersję umożliwiającą podłączenie się do serwera (tak, to była KsięgaS.exe). I ta wersja buczała, że nie jest zaktualizowana i że teraz wyjdzie i nie będzie działała. Nie była zaktualizowana, bo nawet nie podejrzewałem, że tak można ten program odpalić. Taki np. LEX ma to rozwiązane dokładnie tak samo (share na serwerze, binarka odpalająca z share’a) i działa. Oczywiście, LEXa też można sobie zainstalować lokalnie i w ten sposób popsuć instalację sieciową. Hm, to nawet dokładnie tak samo działa jak LEXa. {-: Tylko, że LEX to Wolters Kluwer a MK to kto inny.

    Jak się okazało po kilku wybuchach jednej workstacji, MK niezbyt sobie radziła z sharem, który nie był montowany jako /PERSISTENT:yes. A że dwa kompy to było Windowsy Home, to trzeba było hackować skryptem w autostarcie… Dysk się montował, i owszem, następnie MK odpalana z share’u nabierała 30MB ramu i wychodziła, a dysk wisiał w stanie disconnected. Taka ciekawostka.

    Z innych kwiatków, jeżeli na dobrze działającej sieci faktura księguje się długo, nawet i powyżej 30 sekund, to trzeba na share sieciowym poszukać plików serwer.exe i serweru.exe i zaznaczyć im we właściwościach uruchamianie w trybie zgodności z Windows XP SP3. Po restarcie serwera wszystko śmiga aż miło.

    Ogólnie, to jest opowieść o konieczności utrzymywania standardów w przypadku instalacji różnych narzędzi i dobrego dokumentowania. Ponieważ klient MK instalował dwa lata temu sam, nie jestem w stanie powiedzieć, dlaczego w części było tak, a w części tak. Klient też nie pamięta, bo to w końcu było dwa lata temu. Rozjechanie programu księgowego w godzinach pracy także nie przysporzyło mi raczej zadowolonych klientów.

    Standardy, dokumentacja i okresowe przeglądy wszystkich wynalazków klienta. I to taki przegląd, że trzeba przyjść i zapytać o każdą ikonkę na pulpicie „a co to pani/panie? jest i co to robi i dlaczego”. Bo potem się okaże, że mieliśmy backupować jakiś program, o którym pierwszy raz słyszymy.

    (ikonka ze strony producenta).

    Category konfiguracja, windows | Tags: , , , , , | No Comments

  9. Płatnik Asseco i częsta zmiana haseł administratora aka płatnik i hasło na stałe

    Luty 14, 2012 by 0verlord

    sdwi

    Płatnik jaki jest każdy widzi, wylano już na niego kilka wiader brzydko pachnących opinii. Ale ja nie o tym.
    Jedną z upierdliwości, z którymi się spotykam to wymuszanie zmiany hasła co 30 dni. Efekt jest taki, że na każdym komputerze, gdzie jest zainstalowany płatnik jest inne hasło. Nawet, jeżeli korzystają z tego samego pliku bazy na tym samym udziale sieciowym.

    Do tego dochodzi jeszcze niestety konieczność ustawienia innego hasła na bazę, i chaos a.d. na horyzoncie.
    Jedno znajome biuro księgowe ma schemat, którego trzymają się wszyscy pracownicy – hasła zmieniają wg numerka miesiąca doklejonego do stałego ciągu . Np. hasło201201. Działa, aczkolwiek daleko temu sensowności. Ok, zmiana haseł jest konieczna, ale żeby jeszcze mechanizm był zaszyty w pliku bazy, a nie na każdym komputerze z osobna, to bym zrozumiał. Ale nie jest.
    Chętnie bym poznał motywy, jakimi się kierowali twórcy tego softu. Ale pewnie nie poznam.

    Natomiast na szczęście da się łatwo ten limit obejść. Jak by ktoś miał ochotę, to limit jest ustawialny w kluczu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Asseco Poland SA\Płatnik\8.01.001\Parametry

    Nazwę ma raczej oczywistą, więc nie będzie problemu z identyfikacją. Zmieniamy na odległy o 10 lat i do następnej aktualizacji płatnika mamy problem z głowy.

    Category konfiguracja, windows | Tags: , , , , , | No Comments

  10. Samba w firmie – możliwości i zastosowania

    Luty 10, 2012 by 0verlord

    Samba ma szereg zastosowań w firmie i nie tylko. Można jej używać tylko do współdzielenia plików, można do backupu, ale z ciekawostek, można jej też używać jako serwer drukowania do różnych drukarek. Taki hub z podłączonymi drukarkami z różnych zakątków sieci firmowej. Kolejnym z zastosowań jest serwer plików pod centrum synchronizacji (ale tutaj uwaga, to potrafi się sypać, o ile się odpowiednio nie sklika samby)

    Generalnie, jeżeli się ma w dowolnej firmie więcej niż kilka drukarek poprzypinanych do różnych komputerów, prędzej czy później kupuje się drukarkę sieciową. Potem kolejną. Potem dochodzi jeszcze drukarka awaryjna, tylko dla niektórych ludzi. Potem do tej drukarki chce mieć dostęp ktoś jeszcze. A potem, chaos niepostrzeżenie zaczyna nam się przyglądać i łypać złym okiem.

    Pierwszy problem, to sterowniki, do każdej wersji windowsa, w odpowiednim języku, w odpowiednim wariancie architektury. Gdzie je trzymać, żeby zawsze były pod ręką jak są potrzebne. Ok, można zawsze dociągać z netu, ale to rozwiązanie krótkoterminowe. Mamy np. takiego pana klienta, który ma 1/0,25 mbita (brak jakichkolwiek możliwości technicznych na cokolwiek innego, nawet GSM działa tam tylko w EDGu). i teraz np. 39mb drivera do Kyocery za każdym razem dociągać, dla trzech różnych wersji windowsa? Łatwo policzyć ile czasu to wszystko zajmuje.

    Problem nr 2: najczęściej klikamy takie rzeczy zdalnie – a pan klient mówi, chciałbym tą drukarkę hp pod oknem. Rwa, teraz jaki to miało ipek, jaki to dokładnie model HPka, skoro w dokumentacji mamy 5 różnych (z czego 3 już są wyłaczone, bo pan klient nie powiedział, że się popsuły). I inne tego typu problemy, które potrafią zjeść cichaczem pół dnia i tylko irytują niepomiernie.

    Na ratunek przychodzi nam Samba z kolegami (LPD i CUPS).

    Jak już skonfigurujemy sobie taki serwer druku, dodanie drukarki do innego komputera wygląda tak: klikamy share \\serwer, pojawiają się drukarki. Wybieramy właściwą, klikamy „podłącz”. Reszta się robi sama. Czasem tylko trzeba kliknąć, że na pewno chcemy zainstalować driver z potencjalnie niebezpiecznej lokalizacji. Do tego nie trzeba nawet panu klientowi przejmować sterowania, tylko wytłumaczyć przez telefon co kliknąć.

    Do tego nie trzeba o niczym pamiętać, a jak byśmy zapomnieli – wszystko jest w jednym miejscu, w konfigu samby i cupsa. A drivery na tym samym dysku.

    To rozwiązanie jest zapewne znany wszystkim, którzy mają do dyspozycji Windowsa 2003/2008 (niekoniecznie jako kontroler domeny). Tam to już jest. Natomiast, jeżeli w firmie mamy „serwer” na Windowsie XP, bo serwer „jest niepotrzebny” albo „drogo kosztuje”, to takie rozwiązanie jest jak najbardziej do rozważenia.

    Szef kuchni poleca.

    Category konfiguracja, linux, sieci | Tags: , , , | No Comments

Older Entries