2010年10月25日 星期一

殺姐走了

妳的《蘭帕德的移動小窩》還沒寫完呢......

大學時期與我同家的殺姐,一直都給我酷酷的感覺,
雖然也有合作過一些活動,但後來有段時間不常見到面,
印象中最常出現的對話好像是室友的八卦、電腦問題還有婊我等等......

直到去年中問我一句「為什麼涼宮春日的憂鬱 要不按照時間順序演」,
到今年初一路聊了各種類型小說、女生為啥喜歡BL、博客來推理特價要拿哪些書湊、
推理小說要不要用輕小說寫法、日本戰國時代人物......天南地北什麼都聊,
很久很久沒遇到涉獵那麼廣的交談對象,
那時賦閒在家其實有點空虛,但跟殺姐的交流總是讓我心靈感到滿足,
接著她投稿推理小說有入選,新詩比賽也得獎,
可以算才女了,我很期待有個名作家同學......但等不到了。

意外是我最不能接受的離開人世的方式,
如果知道自己還有多少日子,還能盡力去利用以便走得了無遺憾,
但莫名奇妙突然就結束,剝奪了僅剩的機會真是太殘忍了,還有很多事等著她去做啊!

希望妳下輩子能順利完成人生目標,縱使到時我倆已互不相識。

2010年10月7日 星期四

Freeradius2 POP3 over SSL 認證

2014.06.13 更新 :如何自行選用pop3 serve;參考來源都失效了,但我目前懶得再找XD 
2016.06.15 更新參考來源位置。

Freeradius2已經附Perl模組,要做各種認證法都很容易了,比起網路上一堆用exec的範例感覺安全多了,不過卻很少人提到這新功能,就由我來介紹一下吧~
以FreeBSD 8.1環境示範,注意是裝net/freeradius2net/freeradius還是1.x版
lang/perl5.12 make時可啟用threads
參考來源:


2010年8月21日 星期六

Solaris native LDAP ldaplist 顯示 userPassword 問題

其實以前幾乎沒碰過LDAP,
但當初接手這裡的mail server時就有發現,
Solaris上有個特有的ldaplist指令,
在秀一些資訊時是很方便,無需特殊權限即可執行,但ldaplist -l passwd居然會顯示到任何人的userPassword!

最近在測試FreeBSD LDAP client + Solaris LDAP server時才發現Sun自己的LDAP還真有點難搞,然後又想起ldaplist的問題......
輪休日還念念不忘,google半天總算找出原因了!

Sun官方都是教Solaris LDAP client用cn=proxyagent,ou=profile,....來bind,
而常用的模式是,使用者驗證密碼時,proxyagent讀取userPassword到本機來做比對,
所以要給proxyagent讀取的權限,而ldaplist是直接吃ldapclient的設定,
當然也是用proxyagent的權限讀到資料。
不過那時在僅使用pam_unix時;用pam_ldap時,密碼是傳送到server端去比對,
proxyagent不用讀密碼也無妨,
但在Sun Directory Server 5.x以後,用idsconfig產生schema時,
預設有個ACI叫LDAP_Naming_Services_proxy_password_read,
所以拿掉它就OK了...

首先用ldapsearch -D ROOTBINDDN -s base -b rootSuffix "aci=*" aci
查看aci長怎樣(注意指令最後沒aci是不會顯示aci的...),
找到LDAP_Naming_Services_proxy_password_read那項後,
copy起來用ldapmodify delete掉即可。

真不愧是敦X,只會照者文件弄而不會思考......
一堆爛攤子,不想辦法幫這邊換成OpenLDAP就繼續等者被X陽吃死死吧~~

感謝以下文件:

2010年6月18日 星期五

SPF不過再檢查來源正反解

我架Postfix時,通常是在smtpd_client_restrictions時就用reject_unknown_client_hostname把正反解不合的來源擋掉,
而SPF的檢查也只能放在smtpd_recipient_restrictions。
但最近想想,要是sender domain都用SPF宣告某個ip是可信任的發信來源,
那他何必一定要設反解對應呢(spammer自己設SPF的狀況暫不考慮XD)?
...不過使用postfix-policyd-spf-perl-2.007下,單純只改postfix設定檔應該是不可能的,
還是很髒地得改部份程式~.~...在此記一下唄。

...結果本來五月中就要寫完,居然一堆事懶得寫到今天才補完...。


目的:當SPF不是pass, fail, *error時再檢查一次黑白名單,沒在名單的才檢查正反解。

2010年5月18日 星期二

TWNIC IP 列表 2010/5/6 好用格式版

最近在寫proxy pac檔,想要設定只有國外IP才使用proxy,
當然就只能拿國內IP來處理啦,twnic提供的IPv4列表改成我要用的格式費了我不少時間,
懶得寫程式就用腦自行換算prefix是多少orz,最後再靠vim替換改成pac檔要用的。
放在分享讓想用的人少花點時間唄。

2010年4月6日 星期二

1.0.0.127.dnsbugtest.1.0.0.127.in-addr.arpa:蘋果Bonjour程式產生的DNS查詢

DNS紀錄統計程式完成後,就發現一件很怪的事:校內常有不少機器查詢1.0.0.127.dnsbugtest.1.0.0.127.in-addr.arpa
這個超詭異的反解,而且每小時總和還有一百多次...
拜了谷哥後,這篇老文章提到是蘋果某個叫Bonjour的應用程式搞的。
除了MacOS外,也有Windows版,Safari和iTune也會運用到此技術,
所以也可以用這查詢紀錄來判斷哪些電腦是用Mac或是用Safari上網...可能性最大的會不會是在用iTune抓歌XD?

其他參考資訊:http://www.freepatentsonline.com/y2006/0253612.htm

2010年3月31日 星期三

以DNS查詢紀錄抓內部網路spammer

話說想到這招時,問一下谷哥,果然跟我說已經有人想到了
而且果然就是陳昌盛老師~~然後再復習一下當年旁聽他上課的投影片,
心想當年要是不那麼容易睡著,功力能提升更多吧...

昨天區網中心通知本校有個IP在前天被外國網站通報教育部在發spam,
由於我並沒有網路設備權限,所以是轉告給老管理師,
據他們說那個IP算是浮動NAT的對外IP,下面是宿網private ip,
還要找log查那時間誰在用等等...
結果他們好像很忙也沒時間找~.~
而很剛好的因為我上班不久就發現這裡DNS設定問題一堆,所以很快就拿到管理權,
慢慢恢復玩DNS的手感,於是就想到:這種狀況應該是PC中毒,
而發廣告信的程式正常講應該是直接用系統設定的DNS來查寄信目的地吧,
那DNS server一定有一堆該機器向它查外面各網域MX的紀錄...
而事實上也是如此,居然比合法mail server查詢次數多到千倍,馬上就抓到了。

而沒網路設備權限的DNS管理者不但能抓出犯人,也是可以半阻擋當時的攻擊:P
就是把該IP設進blackhole或是直接用防火牆擋讓它查不到要寄到哪,
雖然網路是通的但信不出去就還好~

但其實由DNS server偵測內部攻擊也是要在一些條件下才容易發揮:

一、該DNS server必須為內部網路大多機器使用的。
        通常在學校內就是校級計中設的那幾個、全校通用網路設定教學會提到的那幾個。
        而像系級如交大資科雖然也有系計中自己的DNS server,但主要是供外部查詢用,
        雖然內部伺服器都會設系上的DNS,但系上一般使用者仍設定校計中的DNS,
        也難怪以前都沒想到過,因為這是第一次掌握到多數使用者直接連線查詢的DNS。

二、發廣告信的程式是使用系統設定的DNS而非自定。
        例如現在谷哥提供好記的DNS給大家用,
        不依寄生系統的設定,避免被提早揪出...不知道有沒有木馬病毒先想到了,
        但至少是我寫的話就會注意這點了XD

之後寫個小程式監控log來提早在被通報前抓出並擋掉spammer吧:~

話說連寫技術文章都像流水帳啊啊啊...

久米田在小學館WebSunday的日記復活了XD

少年Sunday的twitter得知
久米田居然又開始在WebSunday寫日記了!!而且網址和以前的完全一樣,
只是之前的日記都不見了就是...久米田和小學館和好了是嗎XD?
之前聽到改藏要出新裝版時就很訝異,今天新裝版封面也出來了,封面真的重畫耶!:
說是紀念久米田出道二十週年...還有特別企畫,看來又要敗家了QQ~

2010年3月27日 星期六

試著多寫一些文章吧~

老了就開始覺得寫篇文章,擺在誰都能看的地方,就應該要認真寫,
別放流水帳...啊從小就是作文超差,結果部落格老是乾掉...
那些從技術文件開始好了...

其實已經很久沒公開寫電腦相關的文,
主要是覺得其實我會的東西都是到處找官方文件或別人的成果學來的,
又也有不少強者都有在寫了,我何必再多此一舉呢...
不過現在想想,有些人看到英文就頭痛、無法從落落長的官方文件找出他想要的資訊、
有些好文章太久也有不太適用的狀況...
也有可能極少發生的狀況,很難找資料等等,
我就充滿自我意識地貢獻一些東西吧,
順便練習寫些能在現在的單位世世代代傳下去的手套文件吧!