kernel panic in userspace

Каюсь, в twitter читаю ленту журнала «Хакер», так что поневоле выхватил следующую новость: Новый метод атаки позволит взломать алгоритм WPA за минуту. Тут меня, разумеется, передёрнуло сразу от заголовка. Я и сам в детстве робингудил с чужими интернетами в локальной сети (от которой отключился сам, надоели), так что вероятность того, что у родителей нынче будет кто-то в интернете сидеть нахаляву, мне совсем не нравилась.

Ежели кто ещё не в курсе, то WEP шифрование ломается очень просто, а wpa до недавнего времени был более-менее безопасен. Выясняется, что wpa2 никто ломать не может пока что, так что всё, что нужно, это выключить к чертям на роутере WPA и перевести всю технику на WPA2. В Gentoo получилось примерно следующее в /etc/wpa_supplicant/wpa_supplicant.conf:

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=wheel

network={
  ssid="bobrik"
  scan_ssid=1
  key_mgmt=WPA-PSK
  proto=WPA2
  pairwise=TKIP
  psk=<эпично крутой и невзламываемый пароль, собранный с энтропией черт знает чего>
}

Не знаю почему, но раньше был выставлен протокол WPA, а не вторая его версия. С другой стороны, почти во всех местах, где я жил в Минске, были криво настроенные модемы со стандартными паролями и без шифрования. Хоть бы менеждеры при продаже что говорили на счёт шифрования, а то ведь у людей потому будут дикие счета за интернет, к кому они пойдут?

p.s.: не отбирайте у людей интернет без должной на то причины, «админ идиот и не смог нормально настроить» — не причина.
p.p.s.: ещё можно было бы сделать сеть тайной, а SSID сделать неподбираемым, чтобы вообще шансов не было, но не знаю, как бы к этому Windows отнеслась

Палюся, але ў twitter чытаю ленту часопісу «Хакер», так што прыйшлося вылавіць наступную навіну: Новый метод атаки позволит взломать алгоритм WPA за минуту. Тут мяне, зразумела, пераклініла адроазу ад назовы артыкула. Я і сам у дзяцінстве робінгудзіў з чужымі інтэрнэтамі ў лякальнай сетцы (ад якой адключыўся сам, надакучылі), так што верагоднасьць таго, што ў бацькой зараз нехта будзе ў інтэрнэце сядзець нахаляву, мне зусім не спадабалася.

Калі хто яшчэ ня ў тэме, то WEP шыфраваньне ламаецца вельмі проста, а wpa да нядаўніх часоў быў больш-менш бяспечны. Выяўляецца, што wpa2 ніхто ламаць і ня можа пакуль што, так што ўсё, што патрэбна, дык гэта выключыць на роэтэры WPA і перавесьці ўсю тэхніку на WPA2. У Gentoo атрымалася прыкладна наступнае ў /etc/wpa_supplicant/wpa_supplicant.conf:

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=wheel

network={
  ssid="bobrik"
  scan_ssid=1
  key_mgmt=WPA-PSK
  proto=WPA2
  pairwise=TKIP
  psk=<эпічна круты і нязломны пароль, сабраны з энтропіяй чорт ведае чаго>
}

Ня ведаю чаму, але раней быў выстаўлены пратакол WPA, а не другая яго вэрсія. З іншага боку, амаль ва ўсіх месцах, дзе я жыў у менску, былі крыва наладжаныя мадэмы са стандартнымі паролямі і без шыфраваньня ўвогуле. Хоць бы мэнэджэры пры продажу што казалі наконт шыфраваньня, а то ж у людзей потым будуць дзікія рахункі за інтэрнэт, да каго яны пойдуць?

p.s.: не адбірайце ў людзей інтэрнэт без дай прычыны, «адмін ідыёт і ня змог правільна наладзіць» — не причына.
p.p.s.: яшчэ можна было б зрабіць сетку тайнай, а SSID зрабіць непадбіральным, каб увогуле шанцаў не было, але ня ведаю, як Windows знойдзе яе

Ня ведаю як вы, але мне неяк зусім не падабаецца, што ў новых вэрсіях Xorg (у мяне 1.6.1.902) узялі і адмянілі старую добрую камбінацыю Ctrl+Alt+Backspace для забіваньня таго самага Xorg. Напэўна, аўтары вырашылі, што іх прадукт настолькі якасны, што ў перазапусках не мае патрэбы. Я так не лічу зусім :)

Сітуацыю трэба неяк выпраўляць, а за няйменьнем файла /etc/X11/xorg.conf у мяёй канфігурацыі застаецца два выхады:

1. Выкарыстоўваць Ctrl+Alt+SysRq+k, што забівае працэс, які займае бягучы віртуальны тэрмінал. Калі працаваць у іксах, то яны і будуць ахвярай. Для выкарыстоўваньня гэтага варыянта патрэбна падтрымка з боку ядра (Kernel hacking —> Magick SysRq key). Трэба перавучвацца, але цалкам добры варыянт. Калі б я ня ведаў іншага, то на ім бы і застаўся.

2. Выкарыстоўваць опцыі xkb для паведамленьня іксам, што яны ўсё ж няправыя. Для гэтага ў файле наладак hal для прыстасаваньняў уводу (у мяне гэта /etc/hal/fdi/policy/10-x11-input.fdi) дадаем нешта кшталту наступнага:

<match key="info.capabilities" contains="input.keys">
<merge key="input.xkb.rules" type="string">xorg</merge>
<merge key="input.xkb.model" type="string">evdev</merge>
<merge key="input.xkb.layout" type="string">us,ru(winkeys)</merge>
<merge key="input.xkb.options" type="string">grp:alt_shift_toggle,terminate:ctrl_alt_bksp</merge>
</match>

Галоўны радок выдзелены тлустым шрыфтом.

Яшчэ можна застацца на выкарыстаньні /etc/X11/xorg.conf, у такім выпадку за ўключэньне патрэбнай камбінацыі клявіш адказвае опцыя DontZap.

Не знаю как вы, а мне как-то совсем не по душе, что в новых версиях Xorg (у меня 1.6.1.902) взяли и отменили старую добрую комбинацию Ctrl+Alt+Backspace для убивания того самого Xorg. Видимо, авторы решили, что их продукт насколько совершенен, что в перезагрузках не нуждается. Я так не считаю вовсе :)

Ситуацию надо как-то исправлять, а за неимением файла /etc/X11/xorg.conf в моей конфигурации остаётся два выхода:

1. Использовать Ctrl+Alt+SysRq+k, что убивает процесс, занимающий текущий виртуальный терминал. Соответственно, если работать в иксах, то они и будут жертвой. Для использования данного варианта нужна поддержка со стороны ядра (Kernel hacking —> Magick SysRq key). Надо переучиваться, но в целом хороший вариант. Если бы я не знал другого, то на нём бы и остановился

2. Использовать опции xkb для сообщения иксам, что они всё же не правы. Для этого в файле настроек hal для устройств ввода (у меня это /etc/hal/fdi/policy/10-x11-input.fdi) добавляем что-то типа следующего:

<match key="info.capabilities" contains="input.keys">
<merge key="input.xkb.rules" type="string">xorg</merge>
<merge key="input.xkb.model" type="string">evdev</merge>
<merge key="input.xkb.layout" type="string">us,ru(winkeys)</merge>
<merge key="input.xkb.options" type="string">grp:alt_shift_toggle,terminate:ctrl_alt_bksp</merge>
</match>

Ключевая строка выделена жирным шрифтом.

Ещё можно остановиться на использовании /etc/X11/xorg.conf, тогда за включение комбинации клавиш отвечает опция DontZap.

Вырашыў пару дзён пасьля залікаў перадыхнуць і разгрэсьці трошкі свае аверлэі для Gentoo. Перапынак – вельмі адноснае паняцце, бо адзінае, чым я займаўся, былі пакуты сумленьня наконт таго, што я нічога не раблю наконт сэсіі.

Але аб усім па-парадку. Паціху я пачаў калупаць Git і з гэтай нагоды вырашыў перавесьці абодва мае авэрлэі (bobrik-cleartype & callisto) на новую vcs. Гэтым справа не скончылася. Выявілася, што для cairo cleartype патчы ўжо ў асноўнай галіне portage, так што ў авэрлэі застолося толькі 2 пакеты.

Аверлэй bobrik-cleartype быў уліты ў састаў callisto, які зараз хосьціцца на GitHub. Стары bobrik-cleartype на Google code прашу лічыць нядзейсным. У прынцыпе, у асобным выглядзе ён сваё існаванне прыпыняе.

Зь цікавага варта адзначыць, што ў Callisto дадаўся ebuild adobe-air-sdk і цяпер магчыма больш-менш проста ставіць і выкарыстоўваць AIR аплікацыі ў Gentoo. У плянах напісаць усталёўшчык для пакетаў AIR, які будзе яшчэ і аднаўляць меню, як ў ubuntu. Дапамога вітаецца :)

Інструкцыі па даданьні Callisto overlay магчыма знайсьці тут

Решил пару дней после зачётов сделать передышку и разгрести немножко свои оверлеи для Gentoo. Передышка – понятие относительное, ведь единственное, чем я занимался, были муки совести по поводу того, что я ничего не делаю по поводу сессии.

Итак, всё по-порядку. Мало-помалу я начал изучать Git и на этом основании решил перевести оба моих оверлея (bobrik-cleartype & callisto) на новую vcs. Этим дело не ограничилось. Оказалось, что для cairo cleartype патчи уже в основной ветке portage, так что в оверлее осталось только два пакета.

Оверлей bobrik-cleartype был влит в состав callisto, который нынче хостится на GitHub. Старый bobrik-cleartype на Google code прошу считать недействительным. В принципе, в отдельном виде он своё существование прекращает.

Из интересного стоит отметить, что в Callisto добавился ebuild adobe-air-sdk и теперь можно более-менее просто ставить и использовать AIR приложения в Gentoo. В планах написать установщик для пакетов AIR, который будет ещё и пункты в меню делать, как в ubuntu. Помощь приветствуется :)

Инструкции по добавлению Callisto overlay можно найти тут

Як жа мяне ўзьбясіў гэты самы evdev у новым Xorg. Вось як бы ўсё добра працавала, а тут – бац і ў KDE клявіятура зьехала з глузду, пераводзячы клявішы ў незразумелую кашу. Напрыклад, клявіша «Уверх» стала псеўданімам для «Print Screen». І гэта без аніякіх аднаўленьняў! У Openbox усё засталося па-ранейшаму, што выклікае падвойныя пачуцьці. Тым не менш, з усякімі такімі штукамі варта змагацца.

Змагацца прыходзіцца пошукамі ў Сеціве увогуле незразумела чаго. Тым не менш, усё знайшлося. Вінавата ва ўсім узяцьцё старой мадэлі клявіятуры ў KDE, а менавіта pc105, замест новай, якай й завецца evdev. Розныя выстаўленьні гэтага ў /etc/X11/xorg.conf і /etc/hal/fdi/policy/10-x11-input.fdi ніякіх пладоў не прынесьлі, як хацелася б. Выпраўляецца ўсё выстаўленьнем патрэбнай мадэлі клявіятуры ў kxkb, скрыншот ніжэй

Таксама часовым выпраўленьнем можа быць каманда

setxkbmap -keycodes evdev

Для тых, хто будзе шукаць нешта падобнае, ніжэй прыводжу прыклады від «перастаноўкі» клявіш (крыніца)

KEY           BAD MAPPING
-------------------------
Alt Gr        KP_Enter
Right Ctrl    Page Down
Print Screen  Delete
Pause         - (doesn't react)
Insert        -
Home          Pause
Page Up       KP_Divide
Delete        -
End           Win +
Page Down     Menu
Left          Alt +
Up            Print Screen
Down          Win +
Right         -
Left Win key  -
Right Win key -
Menu key      -
KP_Divide     Insert
KP_Enter      Down

А ўсяго толькі варта было б, каб USE флагі ў Gentoo мелі некалькі больш глыбокае і зразумелае апісаньне. Ну ці хаця б магчыма было б наконт evdev папярэдзіць пасьля усталёўкі, усё ж xorg-server – не апошні пакет па папулярнасьці.

p.s.: яно яшчэ і opengl селектар выстаўляе на xorg-x11 пасьля перабудовы, зараза

Как же меня взбесил этот самый evdev в новом Xorg. Вот как бы всё хорошо себе работало, а тут – бац и в KDE клавиатура сошла с ума, переводя клавиши в непонятную кашу. Например, клавиша «Вверх» стала псевдонимом для «Print Screen». И это без каких-либо обновлений! В Openbox всё осталось по прежнему, что вызывает двоякие чувства. Тем не менее, со всем таким нужно бороться.

Бороться приходится поисками в Интернете вообще непонятно чего. Тем не менее, всё нашлось. Виновато во всём взятие в KDE старой модели клавиатуры, а именно pc105, вместо новой, которая и называется evdev. Всяческие выставления этого в /etc/X11/xorg.conf и /etc/hal/fdi/policy/10-x11-input.fdi никаких плодов не принесли, как ожидалось. Исправляется всё выставление нужной модели клавиатуры клавиатуры в kxkb, скриншот ниже

Также временным решением может служить команда

setxkbmap -keycodes evdev

Для тех, кто будет искать нечто подобное, ниже привожу примерный вид «перестановки» клавиш (источник)

KEY           BAD MAPPING
-------------------------
Alt Gr        KP_Enter
Right Ctrl    Page Down
Print Screen  Delete
Pause         - (doesn't react)
Insert        -
Home          Pause
Page Up       KP_Divide
Delete        -
End           Win +
Page Down     Menu
Left          Alt +
Up            Print Screen
Down          Win +
Right         -
Left Win key  -
Right Win key -
Menu key      -
KP_Divide     Insert
KP_Enter      Down

А всего лишь стоило, чтобы USE флаги в Gentoo имели несколько более глубокое и понятное описание. Ну или хотя бы можно было бы насчет evdev упомянуть после установки, всё же xorg-server – не последний по популярности пакет.

p.s.: оно ещё и opengl селектор выставляет на xorg-x11 после пересборки, зараза

В ходе поддержки оверлея bobrik-cleartype у меня возникла потребность написания некоторого приспособления для слежения за обновлениями в дереве portage. В оверлее содержатся те же ebuild`ы, что и в portage, но только с патчами для добавления более симпатичного (на мой вкус, по крайней мере) сглаживания.

Соответственно, мне надо поддерживать ebuild`ы до последней версии с добавлением единички к номеру ревизии, чтобы пакеты у людей случайно не обновились из portage. Кроме того, ebuild`ы имеют такое свойство, как keywords, т.е. поддерживаемые архитектуры. Так вот оно меняются вообще без изменений ревизии и версии файла, так что отследить их изменения ещё сложнее, а ведь тоже надо было бы.

Долгое время я как-то мирился с таким ходом вещей, время от времене просто вручную проходясь diff`ом по файлам. И вот мне с утра в голову ударила мысль (может сон какой?), но я решил, что нужно всё сделать просто и красиво и без писаниной на perl. Я решил сделать всё с использованием subversion. Сумасшедшие мысли – частые гости в моей голове.

Но потом я всё же ещё раз подумал и на полпути кинул дурную затею. Я решил не извращаться таким образом и просто изменил в скрипте синхронизации опции rsync на -rcvi, чтобы передавало только изменённые файлы. Теперь скипт выглядит следующим образом:

#!/bin/sh

rsync -rcvi rsync://ftp.byfly.by/gentoo-portage/media-libs/freetype freetype
rsync -rcvi rsync://ftp.byfly.by/gentoo-portage/x11-libs/libXft libXft
rsync -rcvi rsync://ftp.byfly.by/gentoo-portage/x11-libs/cairo cairo

Разумеется, если бы обновления происходили чаще, я бы всё раньше решил. Ну а так, лень, знаете ли, двигатель прогресса. В очередной раз просто не захотелось diff делать.

Падчас падтрыманьня овэрлэю bobrik-cleartype у мяне узьнікала патрэба напісаньня некага прыстасаваньня для адсьледжваньня аднаўленьняў дрэва portage. У овэрлэі усё ты я ж ebuild`ы, што і ў portage, але толькі з патчамі для дадаваньня больш сымпатычнага (на мой густ, па меншай меры) згладжваньня.

Суадносна, мне трэба падтрымліваць ebuil`ы да апошняй вэрсіі з дадачай адзіначкі да нумару рэвізіі, каб пакеты ў людзей выпадкова не аднавіліся з portage. Больш таго, ebuild`ы маюць такое свойства, як keywords, т.б. падтрымліваемыя архітэктуры. Дык вось яно мяняецца зусім бязь зьмены рэвізіі і вэрсіі файла, так што адсачыць такія зьмены яшчэ складаней, а таксама трэба.

Доўгі час я неяк мірыўся з такім ходам спраў, час ад часу проста уручную праходзячыся diff`ам па файлах. У вось сёньня з раніцы ня ведаю што мне ўдарыла ў галаву (можа сон які?), але я вырашыў, што трэба зрабіць усё проста і прыгожа і без усялякай пісаніны на perl, да таго ж. Я вырашыў зрабіць усё з выкарыстаньнем subversion. Бязглуздыя мысьлі – частыя госьці ў маёй галаве.

Але потым я ўсё ж яшчэ раз падумаў і на паўшляху кінуў дурную зацею. Я проста зьмяніў опцыі rsyncва ўжо існуючым скрыпце сінхранізацыі на -rcvi, каб перадавала толькі зьмененыя файлы. Цяпер скрыпт выглядае наступным чынам:

#!/bin/sh

rsync -rcvi rsync://ftp.byfly.by/gentoo-portage/media-libs/freetype freetype
rsync -rcvi rsync://ftp.byfly.by/gentoo-portage/x11-libs/libXft libXft
rsync -rcvi rsync://ftp.byfly.by/gentoo-portage/x11-libs/cairo cairo

Зразумела, што калі б аднаўленьні здараліся часьцей, то я б заняўся гэтам значна раней. Але так, лень, ведаеце самі, рухавік прагрэсу. У чарговы раз проста не захацелася рабіць diff.