LINUXZONE






 >> Hlavní stránka

(412, poslední 26.11.2002)


 >> Administrace

(61, poslední 26.11.2002)


 >> Literatura

(18, poslední 19.11.2002)


 >> Bezpečnost

(49, poslední 25.11.2002)


 >> Programování

(98, poslední 25.11.2002)


 >> Distribuce

(20, poslední 26.11.2002)


 >> Síťování

(32, poslední 19.11.2002)


 >> Lokalizace

(3, poslední 25.06.2002)


 >> Aplikace

(65, poslední 12.11.2002)


 >> Multimedia

(11, poslední 07.10.2002)


 >> Hardware

(29, poslední 26.11.2002)


 >> Začínáme

(106, poslední 26.11.2002)


 >> Aktuálně

(99, poslední 25.11.2002)


 >> Jinde vyšlo

přehled ostatních serverů



 Přihlášení




Login:
Heslo:
 uložit v prohlížeči


Nejste-li ješte zaregistrováni, můžete tak učinit zde.





 Vyhledávání




Hledaný výraz:
v klíčových slovech
v titulku
v anotaci
v textu








 Reklama









 Servis




*   Vaše náměty a připomínky
Máte k Linuxzone.cz nějaké připomínky nebo náměty? Našli jste na stránkách chybu? Dejte nám o tom vědět pomocí formuláře nebo v diskuzi.
Komentářů: 21
*   Podpořte Linuxzone.cz
Chcete podpořit náš server umístěním odkazu nebo zveřejněním backendu? Zde najdete vše potřebné.
*   Pište pro Linuxzone.cz
Máte zájem podílet se na obsahu Linuxzone.cz ať už jako redaktoři nebo i jinak? Dejte nám o sobě vědět!





 SOUTĚŽ: listopadová soutěž




*   V pátém kole soutěžíme opět o dvě knihy: tou první je "Rozumíme Unixu" (autorem je Jon Lasser) a tou druhou je titul "Hardware pro úplné začátečníky" (autorem je Pavel Roubal). Ceny do soutěže věnovalo již tradičně nakladatelství Computer Press.

17) K čemu slouží vestavěný příkaz "fc" v interpretu Bash?
  slouží k převedení procesu běžícího na pozadí (nebo procesu, který je pozastaven) do popředí
  k vypsání nebo editaci části historie příkazů a jejich znovuspuštění

Momentálně nejste přihlášen. Buď se přihlašte nebo zde jednorázově vyplňte Váš login nebo email a heslo.
Login:
Heslo:
 







 Aktuálně z bezpečnosti




-- 
26.11.2002, 14:36
Další chyba v poštovním klientu Pine, při parsování adres v hlavičkách mailu může Pine havarovat kvůli chybně alokované paměti. Opravené balíčky jsou k dispozici pro SuSE Linux. Podrobnosti viz linuxsecurity.com. (lz)

-- 
26.11.2002, 14:30
BIND ve verzích 4 a 8 je snadno náchylný k podvržení chybných záznamů do své databáze udržované v cache (DNS spoofing, cache poisoning). Podrobnosti na serveru http://www.kb.cert.org/vuls/id/457875. (lz)

-- 
26.11.2002, 14:20
Red Hat vydal nové balíčky jader 2.2.22 pro Red Hat Linux 6.2 a 7.0, které odstraňují chybu před časem reportovanou v konferenci bugtraq, pomocí níž mohl lokální uživatel vyvolat DoS. (Jak jsme již informovali, pro distribuce s jádry 2.4.x již opravy vyšly před týdnem). Více informací na redhat.com. (lz)

-- 
26.11.2002, 14:14
Produkty Alcatel OmniSwitch 7700/7800 obsahují závažnou chybu, pomocí které je možné zvenčí získat neomezenou kontrolu nad switchem (vývojáři zapomněli z ostré verze AOSu odstranit telnet server poslouchající na portu 6778, který byl používán při vývoji produktu). Zde je zpráva CERTu. (lz)

-- 
26.11.2002, 14:09
Knihovna LibHTTPd, pomocí které lze snadno implementovat služby webového serveru, obsahuje chybu přetečení bufferu. Pomocí této chyby může útočník vyvolat pád aplikace, v horším případě i na serveru spustit kód. Více informací na http://www.securiteam.com/unixfocus/6H00I2060I.html. (lz)

další >>





 Aktuálně o software




-- 
25.11.2002, 11:03
O špecifikách implementácie Linuxu na notebookoch sa dnes dočítate na mg.co.za. (Milan Gigel)

-- 
21.11.2002, 11:11
Dôvody dominancie RedHatu na poli linuxu dnes rozoberá newsfactor.com. (Milan Gigel)

-- 
21.11.2002, 11:09
Svetlo sveta uzrel sqlDESKTOP 1.0, vynikajúci prostriedok pre efektívnu organizáciu dát na pracovnej ploche. Viac prináša desktoplinux.com. (Milan Gigel)

-- 
21.11.2002, 11:01
UnitedLinux predstavuje prvé plody svojej práce. Viac prináša vnunet.com. (Milan Gigel)

-- 
19.11.2002, 9:33
UnitedLinux debutuje na COMDEXE 2002 s plným uvedením. Viac prináša zdnet.com.com. (Milan Gigel)

další >>





 Aktuálně z IT




-- 
25.11.2002, 11:53
Yamaha zahajuje s Linuxovým backendom vývoj stolného digitálneho rekordéra. Viac prináša zdnet.co.uk. (Milan Gigel)

-- 
25.11.2002, 11:47
O širokom poli podpory Linuxu na poli serverov sa dnes dočítate na linuxjournal.com. (Milan Gigel)

-- 
25.11.2002, 11:25
Krátku sumarizáciu hodnotenia jednotlivých distribúcií dnes prináša extremtechn.com. (Milan Gigel)

-- 
21.11.2002, 11:06
Spoločnosť SuSE rozširuje svoj partnerský backend aj na americký kontinent. Viac prináša zdnet.com.com. (Milan Gigel)

-- 
21.11.2002, 11:04
Vynikajúce vlastnosti nového PDA Zaurus od Sharpu podporujúceho Linux dnes rozoberá zdnet.co.uk. (Milan Gigel)

další >>





 Nejčtenější články




-- 
Jak to chodí v jádře aneb napište si vlastní ovladač (1)

-- 
ICQ v Linuxu - SIM

-- 
Jak to chodí v jádře aneb napište si vlastní ovladač (2)

-- 
BASH & jak se v něm neztratit

-- 
Jak to chodí v jádře aneb napište si vlastní ovladač (3)

-- 
Jak to chodí v jádře aneb napište si vlastní ovladač (4)

-- 
Efektívne zálohovanie na CD pre každého

-- 
Zveřejňování chyb, etika, ISS a ISC: kauza pokračuje (BIND)

-- 
Lonix - LIVE distribúcia nielen pre študentov a experimentátorov

-- 
Jak to chodí v jádře aneb napište si vlastní ovladač (5)






 Nejlepší články




-- 
Jak to chodí v jádře aneb napište si vlastní ovladač (8)

-- 
(nový) Security Digest

-- 
BASH & jak se v něm neztratit

-- 
Internet Protokol verze 6

-- 
Free software, Open Source, FSF, OSI, RMS, ESR, GPL, LGPL ... Zmatek?

-- 
Jak to chodí v jádře aneb napište si vlastní ovladač (1)

-- 
Jak to chodí v jádře aneb napište si vlastní ovladač (2)

-- 
Jak to chodí v jádře aneb napište si vlastní ovladač (5)

-- 
Efektívne zálohovanie na CD pre každého

-- 
(nový) Security Digest






 Anketa




Jaký je váš oblíbený správce oken (window manager)?

twm (1%)

fvwm (a jeho klony) (5%)

mwm (0%)

Afterstep (1%)

Window Maker (23%)

Enlightement (3%)

IceWM (5%)

Sawfish / GNOME (17%)

KWin / KDE (28%)

jiný (13%)

X Window System nevedu (3%)







Linuxzone.cz - server o Linuxu pro programátory, administrátory a fanoušky.
Provozuje společnost Impossible.
ISSN: 1213-8738





Cloudish - anonymný mrak

Pri surfovaní internetom, sme si už akosi zvykli, že záznamy o prístupoch k informáciám prostredníctvom HTTP protokolu sú vyhodnocované, často však nie kvôli administratívnym účelom, ale z dôvodov marketingových. Používaním cookiesov vznikajú snahy o čiastočnú identifikáciu klientov a sledovanie ich návratu na stránky, cieľov záujmu a podobne.

K dispozícii máme množstvo filtrovacích prostriedkov, ktoré čiastočne zastrú niektoré nežiadúce informácie o klientoch ich vyfiltrovaním z http trafficu, aj tak však zostáva naďalej možné sledovať jednotlivé sessions z logových súborov prideľovaním ich identifikátorov apachom a ich následným vyhodnotením. Existuje viacero projektov zaoberajúcich sa anonymizáciou klientov, či už komerčných alebo zdarma. My si dnes ukážeme, ako je možné pomocou nástroja cloudish vytvoriť svoj anonymný mrak pre uzavretú alebo otvorenú skupinu užívateľov a to jednoduchým a efektívnym spôsobom.

1. Predstavenie

Projekt s názvom cloudish vznikol pre možnosť vytvorenia siete špecializovaných proxyserverov, ktorých účelom je vytvoriť anonymný mrak. Základný princíp spočíva vo vybudovaní istej infraštruktúry s plošnou distribúciou jednotlivých serverov, kde jednotlivé servery plnia viaceré funkcie. Prvou môže byť preberanie http požiadaviek od klientov, následné odfiltrovanie identifikujúcich súčastí a uspokojenie požiadavky či už priamym requestom, alebo forwardom na lokálny proxyserver. V tomto prípade sú z http requestu odfiltrované nasledujúce súčasti

User-Agent:
Referer:
Cookie:
Proxy-Connection:
If-Modified-Since:
If-None-Match:
Keep-Alive: 

a analogicky z odpovedí

ETag:
X-Cache:
Set-Cookie:
P3P: 

Tým docielime odstránenie citlivých informácií, ktoré by mohli pomáhať v identifikácii klienta, cesty, ktorou sa dostal k dokumentu, existenciu lokálnej cachovanej kópie označujúcou návrat, ako aj jednoznačnú identifikáciu hostov pomocou cookies. V takomto jednoúrovňovom nasadení sa vlastne jedná o klasický filter, ktorý nám poskytujú mnohé proxyservery.

Za pomoci cloudish serverov je však možné vytvoriť distribuovanú sieť, v ktorej jednotlivé servery komunikujú vzájomne pomocou SSL zabezpečených kanálov a na základe definovaných pravidiel a počtu hopov uspokojujú požiadavky jednotlivých klientov distribuovane z celej anonymizačnej infraštruktúry, čím sa možnosť identifikácie klientov znižuje na minimum.

2. Inštalácia

Domovskú stránku projektu nájdete na adrese http://www.vanheusden.com/cloudish/, kde je v súčasnosti k dispozícii aktuálna verzia s označením 1.2. Pristúpime teda ako vždy k dekomprimácii

tar xzvf cloudish-1.2.tgz
cd cloudish

Hlavným predpokladom je existencia nainštalovaných SSL knižníc pre podporu krytpovanej komunikácie. V prípade, že chceme zmeniť umiestnenie a názov implicitného konfiguračného súboru, uskutočníme to modifikáciou main.cpp

40: char *ini_file="/etc/cloudish.conf";

a uskutočníme samotnú kompiláciu netypicky pomocou

./c

Výsledkom je binárka s názvom cloudish, ktorú si umiestnime do /usr/sbin

cp cloudish /usr/sbin/cloudish

3. Konfigurácia

Prvou úlohou je vytvorenie si vlastného ssl certifikátu pre tvorbu vlastných anonymizačných infraštruktúr, napríklad pomocou

openssl req -new -x509 -nodes -days 386 -out mycloud.pem \
   -keyout mycloud.pem

pre testovanie vám však postačí využiť štandardný certifikát s názvom server.pem, ktorý je súčasťou distribúcie. Vytvoríme si teda základný konfiguračný súbor pre lokálny cloudish server

debug=1
http_proxy_listen_port=5000
s_proxy_listen_port=5001
fork_retries=3

Pre diagnostiku si povolíme vypisovanie hlásení a špecifikujeme priradenie portov. Prvý určuje port, na ktorom budú prijímané http requesty, druhý určuje port pre SSL komunikáciu s okolitými cloudish servermi. V prípade, že bude požiadavka nesplnená, budú vykonané 2 opätovné pokusy.

allow_local_gets=0
cloudish_proxies=cloudisha:15001,cloudishb:25001

V prípade, že chceme zachovať svoju anonymitu, zakážeme uspokojovanie http požiadaviek, čo spôsobí nútené uspokojenie okolitými cloudish servermi z definovaného zoznamu.

initial_redirect_level=1
server_certificate=server.pem
server_certificate_password=password

Pre uspokojenie jednotlivých požiadaviek bude v našom prípade dostatočné odovzdanie ľubovoľnému z nasledujúcich cloudish serverov, v prípade rozsiahlejších štruktúr je možné vyžadovať posunutie požiadavky viac ako jeden krát pri zabezpečení príslušným certifikátom.

deny_access_to=192.168.0.0/255.255.0.0,10.0.0.0/255.0.0.0
http_access_list=192.168.10.192/255.255.255.192,\
127.0.0.1/255.255.255.255
s_access_list=cloudisha,cloudishb

Finálne špecifikujeme prístupové práva pre zakázanie prístupu cloudish serveru k lokálnemu intranetu a špecifikujeme hosty, ktoré môžu http požiadavky posielať na uspokojenie, ako aj cloudish servery, ktoré sú oprávnené umiestniť svoje požiadavky.

Tým by sme mali uskutočnenú konfiguráciu lokálneho cloudish servera alebo cloudish forwardera. Jednotlivé cloudish servery v infraštruktúre však musia mať povolenú možnosť prístupu k žiadaným http dokumentom, čo umožníme nasledovne

allow_local_gets=1
use_local_proxy=1
local_proxies=mojlokalnyproxy:3128

Povolíme lokálne uspokojovanie požiadaviek, pre zabezpečenie vyššej efektívnosti môžeme použiť lokálny proxyserver. Toto nastavenie by malo byť na každom člene skupiny cloudish serverov, aby bolo možné požadované http requesty realizovať, na rozdiel od lokálnych cloudish serverov, ktoré majú vstupovať v úlohe lokálnej brány k infraštruktúre, jednotlivé implementácie však závisia na rozsahu a šírke plošného nasadenia.

Podľa týchto informácií si pripravíme konfiguračné súbory pre jednotlivé dielčie hosty, nezabudneme pritom správne určiť na každom z hostov parametre claudish_proxies a s_access_list, aby výsledná infraštruktúra bola logicky funkčná.

4. Použitie a implementácia

Samotné spustenie realizujeme execom danej binárky. V tom prípade bude bežať na popredí a na STDERR budú vypisované všetky informácie o prevádzkových parametroch a o behu a spracovávaní jednotlivých requestov.

debug: 1
http_proxy_listen_port: 5000
s_proxy_listen_port: 5001
fork_retries: 3
allow_local_gets: 0
use_local_proxy: 1
local_proxies:
	192.168.0.10:3128
cloudish_proxies:
	111.111.111.1:15001
	111.111.222.1:25001
initial_redirect_level: 1
max_n_connect_retries: 3
server_certificate: localcloud.pem
server_certificate_password: password

incoming_s_request(): Connection from 111.111.111.101:41092
do_incoming_s_request(): redirect-level=1
ccess_list::verify_host(): copied 2 entries
access_list::verify_host(): trying 194.228.3.226
do_http_request(): connecting plain-text to lokalproxy:3128 \
  for a GET-request

Po doladení použijeme parameter -d, ktorý spôsobí spustenie v daemon móde, v prípade špecifikácie alternatívneho konfiguračného súboru ako implicitného použijeme parameter -f. Automatické zavedenie pri inicializácii systému realizujeme modifikáciou inicializačného skriptu /etc/rc.d/rc.local napríklad nasledovne

/usr/sbin/cloudish -f /etc/cloudish.1.conf -d

5. Záver

Cloudish je veľmi zaujímavý projekt, ktorý má predpoklady pre rozšírenie sa vo forme verejných anonymizačných sietí, čomu svedčí aj plánované verejné nasadenie. Aj keď v súčasnosti neponúka možnosti cieleného toku dát a koordinácie jednotlivých tokov, je vhodným prostriedkom pre tvorbu malých privátnych anonymizačných infraštruktúr, zabezpečujúcich distribúciu http požiadaviek na jednotlivé "koncové" hosty prostredníctvom zabezpečených kanálov, takže je prakticky nemožné nielen lokalizovať host vysielajúci požiadavku, ale ani z logových súborov servera pri vhodnej infraštruktúre zrekonštruovať priebeh session samotnej. Projekt je neustále v štádiu vývoja a zdokonaľovania, takže čoskoro sa iste dočkáme novej rozšírenej verzie.

Autor: Milan Gigel, 20. 06. 2002, 00:00
Sekce Síťování, Komentářů: 1
Průměrné hodnocení: 2,81

o Poslat e-mailem
o Tisk článku
o Uložit do profilu


 Přispějte nám




Líbil se Vám tento článek? Můžete ho ocenit zavoláním na tel. číslo 906 460 134.
Cena hovoru za 1 minutu je 46 Kč.





 Hodnocení článku




Článek hodnotím jako:  [1] výborný   [2] dobrý   [3] průměr   [4] špatný   [5] hrůza  





 Komentáře




--

Folkert van Heusden, 20. 06. 2002 15:45
URL of downloadpage of Cloudish















PŘIDAT KOMENTÁŘ ZOBRAZ VŠE >>










2002 © Impossible, s.r.o.   >> Kontaktujte redakci >> Právní upozornění >> Reklama