Моето си място

Мога да пиша безкрай (почти, както е рекламното изречение на въпросната компания “Сърфирай безкрай”) за простотията наречена ADSL, по-точно “Бизнес ADSL”. Конкретният повод да не издържам повече тази гавра с клиентите, е че великите и безсмъртни “администратори” от BTC не пожелаха да направят промяна, която щеше да им отнеме не повече от 10-15 клика с мишката, включително стартирането на програмите. Поисках нещо просто - да ми се махне NAT-a, защото така или иначе тази линия (ADSL-a) мислех да я използвам само за резерва и щях да имам баланс, маршрутизатор и firewall отзад. За да постигна това, което ми се полагаше (според мен, защото услугата е “бизнес” класа), карах по каналният ред. Просто исках да видя, докъде ще я докарам. Подадох заявката за промяна, изкчаках спокойно три дена и се обадих да видя, какво става. Който не е работил с т.н. Hell Desk на BTC, само той няма да ме разбере. Искането ми било отхвърлено “защото такава била политиката на компанията”. Кратко и ясно. Аз бях прочел доста внимателно “Общите условия” за използване на ADSL, такова нещо там не пишеше. Естествено подадох жалба (след безумно разтакаване по разни телефони), естествено след седмица им напомних, че никой не ми се е обадил да каже какво става с нея, естествено след още една седмица нещата се повториха отново и (естествено!) така до днес, когато месеца и договорът ми с тях изтича. В резултат аз нямам намерение (пак да напиша, колко естествено и логично се движат нещата) да дам повече и стотинка на тези простаци и простачки (без извинение) от BTC. Тук имам в предвид шефовете на високо ниво, от колегите от по-ниските етажи, почти нямам оплаквания (за толкова пари - толкова). Тук отварям една голяма скоба - случката, която описвам стана в началото на Юни. Тогава имаше друга версия на общите условия в която липсваше думичката NAT (проверявал съм я, сигурен съм в това). Днес, преди да откажа официално да използвам “услугата” проверих отново и какво да видя…. нова версия на общите условия (v1.12 от 04/06/07) в която се казва, ей така между другото:

Услугата се предлага с NAT конфигуриран на рутера, за да се защити
оборудването на Потребителя от злоумишлен Интернет трафик. При BIZ
услугите се предоставя един статичен IP адрес като се конфигурира Port
Address Translation (PAT), за да се предостави достъп от Интернет до
пощенска кутия от вътрешната мрежа и уеб сървърите.
Не се предоставят допълнителни IP адреси, както и рутерите не се
конфигурират в “no-NAT” или “bridged” режими. BTC ADSL не е подходящ за такива приложения, като за тях трябва да се търсят алтернативни услуги като Наети линии и MAN.

Последнитят параграф, имам чувството, че е бил написан специлано заради мен, съвпадението е направо невероятно. Все пак, подадох две жалби, резултата от който чакам и до днес. Затварям скобата. Има нищожен шанс, този документ който в момента им стои на сайта да е отлежавал някъде преди да бъде приет. По-вероятно, обаче е другото - тези общи условия са приети със задна дата. Много ми е интересно, дали някой пази старата версия на документа (v1.11) в която не се среща нищо по отношение на това, как се предоставя ADSL модема. И как ли наличието на NAT ще защити компютъра ми от злоумишлен трафик? Трафик! Забележете! Егати и простотията!
Нещо за край на историята. Ще наблегна само на няколко фрапиращи “особености” на услугата “Бизнес ADSL”, ей така за пълнота:

- така наречената поддръжка. Ако някой нарича време за реакция при проблем от 5 часа до три дни “реакция”, то аз няма какаво да добавя. Мога да изброя десетки случаи в моята практика, когато се е налагало нещо да се оправи, а то е ставало след дни. Не дай си боже от това да ти зависи бизнеса - примерно искате да ви се отвори някой порт. Забравй, нямаш шанс.

- така наречените скорости. Това е ясно, всеки ISP мами с капацитета. BTC също, въреки че са “първо” ниво. Колкото и да се кълнят, че капацитет има в излишък, реалността е съвсем друга. За какво тогава да се плаща в повече?

- така наречената сигурност. Виж малко по-надолу в “Смешки от сайта на БТК”. Или да погледне сайта на Веселин Колев (евала Весо!). Най-високото ниво на сигурност, което предлата БТК е липсата на услуга. Ей, на това му викам аз сигурност - няма връзка, няма сигурност.

- липса на функционалност. ADSL-а е просто еднопосочен, или поне е такъв във варианта, който се предлага от БТК. Не може да разполагате с линията си, не може да публикувате услуги и функционалност, каквато искате. Просто и ясно - ако искате подобни “екстри”, вземете си наета линия за 670лв. или нещо по-скъпо. В крайна сметка, вие бизнесмен ли сте или лукова глава. Е, че ви бил дребен бизнеса - гледайте повече реклами, вземете кредит от някой банка и действайте!

За какво тогава е подходящ ADSL-а? Много просто: това е доста удобно, ако не искате да ви дупчат стената разни квартални “инсталатори”. Е, предполага се, че вече имате прекаран телефон и централата в населеното място го поддържа, щото тогава това няма да ви се размине. За домашно сърфиране ADSL-а е удобен, но за нищо повече - не дай си боже да поискате да напрaваите нещо повече през него - никакъв шанс.

Смешки от сайта на BTC, секция ADSL, “Интернет сигурност”, набързо извадени:

1.3 Какво е ‘хакер’?

Някой, който иска да атакува, да проникне в компютъра Ви и да го контролира.

Ако Ерик Реймъндс, Ричард Столман, Денис Ричи и т.н. искат да “проникват” и “контролират” компютъра на някой си…. Тотално изпростяване с този “хакер”. Който го интересува истинската разлика между хакер и кракер, можа да го прочете от Wikipedia. Останалите - да гледат повече ха-американски филми или да четат повече вестници. Може и сайта на BTC - все тая.

1.7 Какво е ‘реален IP адрес’?
‘Реален’ IP адрес е Интернет адрес, който е достъпен от Интернет.

Хм. Странно. Ако има “реални” адреси, то простата логика сочи, че има и “нереални”. Не знаех, че има нереални адреси. За какво ли са те и какво по-дяволите да се прави с тях?! Пак журналистически стил и подценяване интелекта на потребителите. Правилното разделяне е на “публични” и “частни”. Хората даже са написали стандарт (RFC1918) за тази работа, ма кой да чете.

1.10 Какво е ‘динамичен’ IP адрес и защо с него връзката ми е по-сигурна?
С динамичен IP адрес всеки път, когато се свързвате с Интернет, адресът ви е различен. Това прави компютърът Ви ‘подвижна мишена’, която е по-трудно достъпна.

Ей, тоя бисер е неповторим. Все едно е писан от кой старшина, сдобил се с компютърна грамотност в средното военно училище. Ми, да бяхте и дописали, че ако се свързвате от различни стаи, тогава пък със сигурност никой няма да ви намери и изхака!

1.12 Къде мога да намеря повече информация за Интернет сигурността?
Microsoft предоставя доста добра информация по темата за домашни потребители на www.microsoft.com/security. За напреднали и бизнес-клиенти добър сайт е Координационният Център CERT, спонсориран от федералното правителство на САЩ, с адрес www.cert.org

Това ми е любимото. Точно от Microsoft трябва да научавам за сигурността. Еха! Пък ако му разбирам да ходя да чета CERT (сугурно, защото се спонсорира от FBI). За разни места, като Incecure.ORG, Security Focus, Bugtraq, SecurityNews и много, много (всеки малко или повече занимаващ се с ИТ има любими места) други изобщо не става дума. Пък и за какво ли, от Mictosoft може да научиш всичко. Или от вестниците и филмите (отново, лошо няма).

Това е накратко, не ми се продължава. Мога да изпиша доста по тази тема, обаче едно знам със сигурност: колкото по-малко контакти с BTC, толкова по-добре. За щастие не сме 1995-та, когато те нямаха алтернатива - доста компании предлагат и по-качествени и по-гъвкави услуги. Не виждам, защо трябва да се занимавам с умиращи животни (мастодонти), като BTC. Да живеят по-малките и успешни видове! Да живее еволюцията!

FreeNX е свободната версия на платеният пакет NX Server на Nomachine и е доста полезен инструмент за отдалечена комуникация, сигурен колкото самото SSH (и как не, след акто това е в основата на достъпа). Използвам го отдавна и съм го инсталирал на различни платформи. С различен успех Странното е, че самата инсталация не е нищо особено, но винаги съм го постигал с някакъв зор - или от страна на сървърът, или от страна на клиента. Със сигурност, причината за това не е в пакета, просто така се случва. Както се казва “зад клавиатурното устройство” е в основата на проблема.
На последното Ubuntu (Edgy) нещата станаха най-лесно. Добавих хранилището, обновяване на пакетите и после “apt-get install freenx”. Всичко за нула време. Имаше лек проблем с версията на клиента под виндоз, ама бързо се справих. Сега на новата версия на Ubuntu, въпросното Feisty Fawn (7.04), пак имаше изненади. Все пак да опиша процеса по-подробно, така както тръгнаха нещта при мен.

На сървърът (Ядро 2.6.20-16-generic #2 SMP):

1. Добавя се хранилище, поддържано от различни фенове. Ето страницата на хранилището, там има версии и на Feisty и на Dapper.

sudo echo deb http://free.linux.hp.com/~brett/seveas/fre.enx feisty-seveas all | sudo tee –append /etc/apt/sources.lst

2. Добавят се PGP ключовете на хранилището, просто за по-сигурно

wget -q -O - http://free.linux.hp.com/~brett/seveas/freenx/seveas.gpg | sudo apt-key add -

3. Инсталация на пакета

sudo apt-get update
sudo apt-get install freenx

4. Няколко неща по самият демон SSH.
vi /etc/ssh/sshd_config, проверява се за наличието на:

- Port 22
- PubkeyAuthentication yes

…. и се добавя:

- AuthorizedKeysFile %h/.ssh/authorized_keys2

5. Да не забравите да рестартирате демона, след приключване на промените

sudo /etc/init.d/ssh restart

6. Предварителна конфигурация на nxserver

vi /etc/nxserver/node.conf, и добавяте

APPLICATION_LIBRARY_PRELOAD=/usr/lib/libX11-nx.so.6.2:/usr/lib/libXext-nx.so.6.4:/usr/lib/libXcomp.so.2:/usr/lib/libXcompext.so.2:/usr/lib/libXrender-nx.so.1.2

При мен това се наложи, защото по време на инсталацията се появи грешка:

“Error: Invalid value “APPLICATION_LIBRARY_PRELOAD=……”

Ако искате да променяте поведението на сървърът - това е мястото. Повечето параметри са добре обяснени, все пак ако ги оставите по подразбиране няма да сбъркате с много.

7. Конфигурация на nxserver

През инсталацията ви води стандартен диалог, просто има няколко въпроса на които да отговорите с “Y” или “N”.

nxsetup –install

- Do you want to abort now? [y/N]
- Do you want to use your own custom KeyPair? [y/N]

По подразбиране използвате предварително генерираният от Nomachine ключ за сървърът, т.е. нещата са достатъчно лесни за инсталация и достатъчно сигурни. Samo kydeto, това последното е малко спорно. Проблемът идва от това, че според документацията трябва да не генерирате собствен ключ. От друга страна, ако оставите техният предварително генериран ключ, рискувате по някое време да се окажете подслушани от “човекът по средата”. Лично за мен, това не е проблем, няма какво толкова да крия, затова най-мързеливо не генерирам собствен ключ. Ако за вас сигурността е от първостепенно значение - отговорете с “Y” и следвайте диалога.
8. Добавяте си потребители:

sudo nxserver –adduser
sudo nxserver –passwd
sudo nxserver –restart

Клиент:
1. Сваляте пакета:
wget http://64.34.161.181/download/2.1.0/Linux/nxclient_2.1.0-17_i386.deb

2. Инсталирате го, както намерите за добре (прег графика или с dpkg)

3. Стартирате, следвате бутона “Next”.

4. Избирате име на сесията. Това е просто наименование, за ваше улеснение въведете говорящо име (нещо от рода на 3833CK_IY )

5. Въведете IP или името на сървърът към който ще правите сесията. Обърнете внимание на port-a. По подразбиране е 22, но ако се го променяли в /etc/nxserver/node.conf, променете го и тук.
6. Изберете приблизително типът на връзката - имате възможност да избирате от няколко предварително зададени възможности, като Modem, ISDN, ADSL, WAN и LAN.

7. Next. Тук избирате, какви да бъдат типът на връзката (ssh, RDP, VNC), каква да е графичната среда и какъв да е размерът на екрана, който ще използвате. Близко до умът е, че трябва да имате инсталирани всичките Х-среди от падащото меню, както и да подберете подходящ размер за работната площ. Примерно, сесията ви може да е Gnome, с “Available Area” за размер.

8. Нещо важно! Ако правите връзка през firewall, а дори и да не го правите - изберете check box “Enable SSL encription on all traffic”. Това е не само сигурно, но и доста полезно. Просто всичко върви по SSL и минавате през всякакви firewall-ли (е, ако някой firewall admin е параноично глупав, че да забрани SSH-а… тогава ‘неа стане).

9. Next. Избирате си, дали да правите shortcut на desktop-a и дали да използвате настройките за напреднали. Това последното е задължително, ако сте генерирали собствен ключ - ще трябва да добавите публичният ключ на вашият server (това не е необходимо, ако ползвате този от Nomachine).

10. Finish.

Ако сте направили всичко, както трябва, просто въвеждате паролата i изчаквате малко. Kогато се включвате за първи път, ще трябва да импортирате публичният ключ във вашето хранилище, нищо сложно, просто натискате “Yes” на екрана с предложението за това.

Днес се случи нещо, което никога не съм предполагал, че може да се случи в нашата държава. Обяснявам:

Преди месец на моят колега, му задигнаха най-брутално телефонът от стаята, в която бях и аз. Това го направи един циганин. Не беше ром, сигурен съм. Беше си най-гнусен и мазен циганин. Влезе в стаята с някакъв документ в ръка и понеже точно този месец през офисът преминаха всякакви екземпляри, просто помислих, че това е поредният каднидат за работа. Оказа се, че просто проси нещо. С недвусмислен жест му показах вратата. Той обаче, се присламчи към колегата на съседното бюро и остави въпросният “документ” до него. Естествено, в отговор получи незабавно същото направление. И тогава явно, въпросният факир е задигнал телефона, който стоеше на бюрото “на една ръка разстояние”. Джаджата беше хубава (или ако не хубава, поне скъпа) - Nokia N70. Ей, този фокус как стана, просто не знам - бях на два метра разстояние и го гледах докато излезе. Разбрахме, че телефонът липсва чак след около 20 минути, но тогава беше късно. Както и да е, още същият ден колегата подаде молба в полицията, просто ей така, заради процедурата (или може би, защото надеждата винаги умира последна).

Телефонът в крайна сметка се намери - направо невероятно. Днес сутринта му го върнаха. Все пак, това че имаше IMEI код помогна доста. Полицията си свърши работата и по кода апаратът се намери. Браво на полицаите! Признавам си, че не очаквах подобна развръзка. По това, че и останалите колеги, които знаеха за кражбата реагираха по същият начин, показва че в крайна сметка моята реакция си беше в реда на нещата - недоверието в това, че подобен край е възможен явно се према за нормална. После ми стана малко гузно - защо ли се съмнявам в това, че нашата полиция може да свърши нещо за обикновенният човек? После си отговорих: просто - защото това не се случва (или аз поне не знам за такива случаи). Сигурно не съм прав, оставам си песемист, дано бъдещето да ме опровергае.

За три дена ми се наложи да прескоча до Кьолн за едно обучение по Lotus Notes администрация. Пътуването: нищо особено. Летях с Boeind 737-200, „Hemus Air”, пилота беше малко нервак (караше, като шьофьор на градски автобус, първа смяня), а като изключим това, че полета беше отложен с близо час (аз знаех за това два дена предварително, странно нали?), както и това че раздадоха и прибраха манждата (то една манджа, ама карай) за около 30 минути,а бирата беше топла, останалото всичко си беше наред.

От летището до Jolli Media Park Hotel - 15 минути. Трафик почти нямаше, нищо че и Кьолн, както и София е почти 1.3М (с тази дребна разлика, че почти всички основни пътища в самият град са двулентови, а магистралата – четири лентова). Хотела е в центъра на града, (от него за 4 часа, доста нещо обиколих и разгледах) и е доста добър – стаите са на ниво, за чистота да не говорим, храната е супер, в банята видях доста странни шишенца, кремове, четка за зъби, самобръсначка с крем за бръснене и т.н. Странно защо, почти традиционните презервативи за нашите хотели, там липсваха (скъпа, предполагам ще прочетеш това – да знаеш, че и да имаше оставн, щеше да си остане неизползван). Нещо явно куца в Германия – или образованието, или потентностатта? Вярно, че в Кьолн, има най-много гейове на глава от населението, ама чак пък толкова….

Kьолн е доста хубав град. В него почти всичко е ново, защото братята хамериканци са го сринали със земята в предишната война (нищо лично, просто бизнес – имало е добра промишленост във и около града). Видях едни снимки (ще се опитам да ги издиря из нета), на които се вижда само катедралата да стърчи непокътната. Как е оцеляла и идея си нямам. Като се има в предвид, точността на така нареченият „бомбен килим” прилаган през войната, на въпросната снимка всичко около нея е сринато до земята – как после човек дане стане вярващ?!

Всъщност, катедралата ми беше оснона цел на обикалянето. Самата сграда е нещо невероятно – не мога да го опиша. Просто трябва да се види. Това, което се набива в очи от далеч е поти черният цвят – доста зловещо, даже и от близо. Вероятно се е опушила последните години – не вятвам да е от възрастта, въпреки че е започната през 1280г. На който му се четат исторически факти – Wikipedia. Аз се скъсах да снимам, но за да се обхване нещо толкова голямо си требе специален обиктив, който аз за съжаление нямах. Пред самата катедрала е страхотна гмеж – народ, `всяква сволоч, снима и гледа (вярно, има какво). И аз направих същото в огромни количества, даже дарих 2EUR на един от служителите в катедралата за ремонтирането й. Ми тъй де, толкоз дребни имах, какво да ги направя монетите! Ако всеки пети от зяпачите наоколо даде по толкова – още една ще вдигнат.

Другото нещо в Кьолн, което ми направи особено впечатление бяха страшно многото велосипедисти. Още на няма и 100м от хотела един щеше да ме отнесе (добре, че той гледаше вместо мен), защото бях застанал на едно нещо по тротоара, което в последствие се оказа алея за велосипедисти, около 1.5м широка. Това нали си го представяте (примерно!) в София – тротоар, от който по въпросното разстояние се носят велосипедисти? Хм. За първи път, също така видях специални колички за бебета, които се закачат за колелото отзад (ади сега, пак се напънете и сега си представете подобно нещо по нашите улици – няма такава откачена майка в България, която да рискува житота на детето си по този начин), както и специални тегличи за сдвояване (не се сещам за по-подходяща дума) на детските колела. Към хотелите има специални паркинги, на които стоят 3-4 велосипеда, които ако поискате от рецепцията ще ви ги дадат да ги покарате. Не пробвах – просто нямах достатъчно време, иначе ми се прииска да пообиколя малко повече.

Бирата им беше доста добра, имат си местна марка, Kölsch гледат да си я пазят и рекламират. Всусът й е точно, както го обичам - естествено, слабо газирана, горчива (не прекалено, въпреки, че можех още да понеса в тази посока), с хмелен вкус и бистър цвят. За манджи не ми се говори, вярно имат всякакви мръвки, ама салатите им не струват. Краставиците им са, както (за съжаление) нашите - хидропонни, без вкус. Доматите им - горе, долу, по-ги бива. Цените - както у нас, с тази разлика, че вместо 150EUR (средно), там вземат 1500EUR (пак средно). Е, какво толкова, само 10 пъти разлика, на кой му пука.

Освен всичко останало, в Кьолн има и доста паркове – да им се чуди човек, за какво им е толкова трева? Що не изпраскат една, две кооперацийки? Странно.

Връщането – същият самолет, същият екипаж. Той пилота, просто така си карал, нищо лично. Кацането – нормално, пътят до Пловдив, също.

Ай сега, … пак ежедневие…