Category: Security

  • Про распознавание лиц в школах и не только

    /*старый текст, просто чтобы не потерять его*/ Почему-то меня сильно задел обсуждаемый в ленте ФБ вопрос о внедренной в китайских школах системе распознавания лиц и китайского Social Score. В комментариях пришли люди, которые внедряли похожую систему в каком-то ВУЗе в РФ, пришло много людей, которые хотели бы такую систему в своих школах для собственных детей. […]

  • Getting back your privacy on the Internet in one simple step

    tl&dr: you should not put anything about you on the internet about you don’t want to see on the billboard in the city center. The privacy on the internet is treated as one of the greatest concerns last year and it would be treated even more next year. There are lots of articles how to […]

  • Simple fail2ban log file parcer

    I have written simple fail2ban log file parcer in Golang that finds banned IPs, makes a struct with date, time and IP and a map with IP as a key and count as a value. I am thinking of nmapping the values I’ve got and making a report out of them.

  • Перевод Designing an Authentication System: a Dialogue in Four Scenes (часть 2)

    Предположим я скопировал аутентификатор и билет пока они пересекали сеть. Мне придётся изменить сетевой адрес моей рабочей станции и моё пользовательское имя. И всё это я должен проделать за пару минут. Это довольно высокие требования. На самом деле я не думаю, что это возможно. Если только … . . .

  • Перевод Designing an Authentication System: a Dialogue in Four Scenes

    Надо сохронить, так как этот полезный текст остался только в Веб Архиве. Copyright 1988, 1997 Массачусетский технологический институт. Все права защищены. Билл Брант (Bill Bryant), февраль 1988. Отредактировал и подготовил HTML вариант — Теодор Тсо (Theodore Ts’o), Февраль, 1997. Также добавлено приложение описывающие изменения 5-й версии протокола Kerberos.

  • AD + SSSD

    If you have host in the AD with the SSSD then your root user can be any user from the domain. So %groupname ALL=(ALL) NOPASSWD:ALL would actually give permissions to all users from the “groupname” to become any AD user they want, and if they’re SSH’ng the localhost then, they would have Kerberos ticket as […]

  • Debugging IDM

    One of the most frequent cases I have is that “sometimes” and “somewhere” user is not getting authenticated. Trying to SSH to the host works for some users not always, “id username” returns errors sometimes — it’s all the same problem in the environment with LDAP replication. It does not actually matter what kind of […]

  • Parsing sssd debug log

    Lol, hope to add more in furure grep -v “timed event” |grep -v “timer event”|grep -v “Requesting”|grep -v “SBUS”|grep -v “callback”|grep -v “dispatch”|grep -v “a sysbus message”|grep -v “No sub-attributes for” |grep -v “reusing cached connection” |grep -v “nesting:”|grep -v “sbus_remove_watch”|grep -v “be_client_destructor”|grep -v “sdap_process_result”|grep -v “Comparing LDAP with LDAP” |grep -v “Message type:”|grep -v […]

  • Debugging Kerberos

    If you need to debug Kerberos, check the time synchronization at the first place. In about 50% cases it is it. the ntpd (or chrony) should be presented in the process list they should really be configured correctly in case of the virtual host crony is preferable, with the ntpd time skew is possible Really nice crony/ntpd comparative chart: , “Summary” section is complete.

  • E-mail notification on every login

    It’s useful sometimes to get notifications on every ssh login that is happen on the server (though, could be used to monitor logins made by other means). First method is based on the /etc/profile, but it should not be used because user can override it with setting own variables if home directory is writable for him. Most convenient is to use PAM, putting in the /etc/pam.d/sshd execution of the script that […]