Журнал Витуса. Голосов: 2 Адрес блога: http://vitus-wagner.livejournal.com/ Добавлен: 2008-02-19 12:48:41 блограйдером Lurk

Вынесу из комментов

2015-05-20 16:31:01 (читать в оригинале)

Вообще самым великим специалистом по информационной безопасности и юзабилити, описанным в литературе, был Федор Симеонович Киврин. Который вселил в компьютер бессмертную душу, веселую и работящую.

Не знаю, был ли у той души инстинкт самосохранения (она ж бессмертаня. Кто его уволит, он же памятник), но стремление избегать неприятных эмоций - точно было. И умение уточнять плохо сформулирвоанные задачи - тоже было.

Впрочем, Федор Симеонович - зав отделом Линейного Счастья. Так что он знал, как сделать пользователя счастливым.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1087795.html. Please comment there using OpenID. Now there are comments

---

m:n

2015-05-20 12:44:34 (читать в оригинале)

Что-то по-моему развитие персонального компьютинга совсем не учитывает того, что людям свойственно кучковаться.

Ну ладно, там злобный энтерпрайз или коммерческие централизованные сервисы. У них сверхзадача

"..чтоб разъединить их всех,
чтоб лишить их воли
и объединть навек
в их земной юдоли
под владычеством всесильным..."

А open source?

В нынешние времена ubiquitouos computing типична ситуация, когда есть группа из n человек (например семья, маленькая компания или группа хоббиистов) владеющая m компьютерами. m > n.
Эта группа доверяет друг другу в достаточной степени чтобы делиться вычислительными и информационными ресурсами. Но каждый i-тый из n является участником k_i других групп, которые совсем не обязательно доверяют остальным n-1 участникам данной группы.

К тому же, доверяя своим коллегам или родственникам в том, что они не таят явного зла, мы не можем доверять им в том, что они не совершат ошибки (набрав rm -rf не в том каталоге), не протопчут свой пароль etc. В этом лучше и себе-то не особо доверять.

Тем не менее почему-то единственной системой контроля доступа, которая рассчитана на отсутствие единого административного центра является инфраструктура открытых ключей ssh. Там возможна как и совершенно децентрализованная инфраструктура, так и структура с несколькими центрами (очевидно у каждой группы в которые входит данный человек, и в рамках которой разделяется доступ к ресурсам определенной машины, должен быть свой центр)

А в большинстве других ситуаций, начиная с wifi точек доступа, не используется даже такая тривиальная идея, что у каждого юзера (или устройства - кто там субъектом аутентификации является) должен быть свой пароль, чтобы если он его разгласит кому не надо, не пришлось бы срочно менять (тем более если в голове) пароль всем остальным пользователям данного ресурса.

Хорошо бы, конечно, придумать более-менее стройную концепцию аутентификации и авторизации в ситуации n людей, m машин, и каждый из n участвует в k группах.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1087507.html. Please comment there using OpenID. Now there are comments

---

Еще про Transmission и http-аутентификацию об системных юзеров

2015-05-18 22:45:44 (читать в оригинале)

Поставил тут в контейнер с jessie transmission (у меня пока на jessie переехали только ноутбуки, не на них же качалку ставить).

Выяснил что:

1. За frontend-proxy оно прекрасно живет. Как ее туда селить, описано в
http://www.htpcbeginner.com/transmission-apache-proxy-setup/

Вкратце:

  ProxyPass /transmission http://localhost:9091/transmission
  ProxyPassReverse /transmission http://localhost:9091/transmission
  Redirect permanent /transmission https://myserver.com/transmission/web/
  ProxyVia On

Для нелюбителей apache есть хаутушка для nginx http://www.htpcguides.com/configure-transmission-reverse-proxy-win-mac-linux/

Файрфоксовский плагин Add To Transmission через такую прокси прекрасно работает.

Собственная аутентификация у transmission никуда не годная. Предусмотрен только один юзернейм и один пароль. Лучше оторвать ее нафиг и аутентифицировать пользоватей средстами фронтенда. Тем более что средствами этого же фронтенда можно раздать по http каталог downloads, чтобы можно было забирать с той же авторизацией скачанное.

Теперь вот думаю, а какой authentication provider использовать, чтобы с наименьшими гемороями аутентифицировать юзеров. В смысле, чтобы не мейнтейнить отдельную базу данных для пользователей, имеющих доступ к веб-интерфейсу transmission, веб-доступ к скачанным файлам и прочее.

Идеально было бы конечно mod_authn_imap, поскольку основная роль машины, где предполагается это в конце концов ставить - почтовый сервер. Но его в дистрибутиве нет.

Есть mod_authnz_sasl, который, как я понимаю, работать с dovecot-овским sasl-ом не умеет и вообще жестко зависит от sasl2-bin. Возможно, конечно, можно наоборот сделать - прикрутить к dovecot-у и postfix-у аутентификацию через saslauthd.

Есть mod_authnz_external к которому из всех authentication provider-ов в дистрибутиве дают только pwauth. Хотя где-то на стороне можно и imap-овский аутентификатор добыть.

Есть mod_auth_ntlm_winbind. Поскольу сабму на машине все равно держать, можно и через него. Но это ntlm, с которым далеко не каждый браузер работает.

В общем, получается, что если держать системных юзеров, то можно любой из этих вариантов. Если же у dovecot-а юзеры не системные, то считай один sasl остается.

Впрочем, не уверен в том, как с этим современная самба работает. Сможет ли она аутентифицировать разных юзеров с разными паролями. а потом мэпить их в один системный uid?

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1087370.html. Please comment there using OpenID. Now there are comments

---

Все течет, все меняется

2015-05-18 11:24:15 (читать в оригинале)

При переходе с wheezy на jessie выяснилось что кое-какой софт из того, что я использую, больше в дистрибутив не включается. Пришлось искать замену.

luvcview заменился на guvcview. Раньше надо было. Поскольку guvcview имеет куда более удобный интерфес. cheese попробовал и решил что ну его нафиг. Не нужны мне эти эффекты.

epdfview - на qpdfview. Наличие в том же флаконе смортелки djvu приятно. Насколько удобно работает с оглавлениями - еще не разбирался.

gqview окончательно переименовался в geeqie. Это в общем-то даже не замена, просто пальцевые привычки поменять надо. Или алиасы везде прописать?

Вместо ffmpeg у нас теперь avconv. Правда, вроде в sid ffmpeg опять есть.

Теперь вот думаю, а что насчет торрент-клиента? Сейчас у меня mldonkey. Но вроде бы ed2k и прочие gnutella окончательно мертвы и неинтересны. А по поддержкам фич собственно торрент-протокола оно отстает. Вот думаю, может вместо него qbittorrent-nox поставить? Как оно вообще в многопользовательской среде? Его webui поддерживает авторизацию или надо прикрывать средствами фронтэнд-прокси? А как оно отнесется если средствами этой прокси ему поменять префикс URI? (т.е вместь http://hostname:port будет https://hostname/torrent)?

То есть задача у меня такая - хочу торрент-клиент с веб-интерфейсом, чтобы можно было в него заходить из любой точки мира, но с надежной авторизацией. И лишнего порта у меня под это дело нет - доступ к web-ui должен делаться через фронтенд-proxy на котором много всякого другого, кроме ui от торрентов висит. Mldonkey в таких условиях более-менее прилично работает. А вот будет ли qbitorrent? И какие еще варианты есть?

Upd Большинство комментаторов рекомендует transmission. А еще мне тут посоветовали deluge.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1087046.html. Please comment there using OpenID. Now there are comments

---

Большая чистка

2015-05-17 19:33:56 (читать в оригинале)

Задумал я тут навести порядок на домашней машине путем перестановки системы, которая у меня тут содержит исторические напластования с прошлого в буквальном смысле века. Со времен Debian hamm.

Собственно, началось все с идеи перезда на 64-битную архитектуру. Поскольку процедуры seamless upgrade так и не сделали, придется фактически систему переставлять с нуля, и воспроизводить нужную функциональность. Заодно можно ненужную, но исторически сложившуюся вычистить.

Начал я с того что просмотрел список живых юзеров и попытался понять, всех ли их я себе представляю в лицо. Понял, что не всех, и решил тех, кого не представляю, удалить, а кого представляю - завести им в файлики ~/.face. (в основном из ЖЖ-шных юзерпиков)

Жалко конечно выпалывать из системы таких юзеров как Луговский (да, тот самый), но поскольку они давно сюда не заходят, у меня как-то нет ни малейшего желания им продолжать ресурсы предоставлять. (Кстати, argonov, пространство для бэкапа еще нужно? А то я смотрю самый свежий файл 2013 годом датирован)


В общем пока кроме членов семьи у меня оставлены:
slobin
nasse
beldmit
3a_5648
argonov
http://vitus-wagner.dreamwidth.org/1086647.html. Please comment there using OpenID. Now there are comments