Отже, ця тема аналогічна темі «Help!», тільки для більш складних питань. Сюди постити питання щодо адміністрування систем, програмування та інших речей, складних для простих юзерів.

Перше моє запитання, знайдіть глюк:


upd: моє питання вирішене. постіть свої.

Я не знаю, у чому тут помилка, але мені здається простіше це переписати на якому-небудь python’і чи іншій скриптовій мові програмування.
Робити такі речі на C++ - це жесть

маєш, напевно, рацію, тільки пайтон я поки що хріново знаю, і взагалі, там цикли for через жопу якось зроблені. та й зрештою, яка різниця?

Дописано о 22 годині 12 хвилин 35 секунд
глюк некритичний, тобто прога працює, якщо їй згодувати один файл. але все одно неприємно і цікаво знати на майбутнє, шо за фігня.

Ось вдалося накопати таке.

http://osdir.com/ml/gcc.prs/2002-07/msg00737.html

Приклад аналогічний до твого, і автор робить висновок, що, цитую ifstream::open() does not work on used ifstream Правда, автор пише про GNU Compiler Collection 3.0 і 3.1, але може, тут та сама ситуація...

ні, не то є причиною. Чомусь argv[2] є порожнім, хоча це не так. дещо переписав:



нічого не змінилося, просто виділив код конвертування в окрему функцію. ну і тепер точно для кожного файлу створюється всередині функції свій потік вводу і виводу.

Внаслідок переписування прога не зупиняється на першій помилці, і продовжує обробляти всі файли. І що ми бачимо? Ось що:



якого хрону другий аргумент (argv[2]) не передається в прогу, а третій — передається?? Якщо вписати чотири аргументи, то ще цікавіше:


парні аргументи командного рядку передаються порожньо!

Краще на Bash+Sed чи Perl вже. Але вистачить і чистого BASH.

По теме:
http://gcc.gnu.org/onlinedocs/libstdc++/fa...reopening_fails
по идее в новых компилях уже пофиксено. но на всякий случай после stream.close() делаем stram.clear()
Более того у тебя происходит херня со строчками. Ты при дописывании расширения делаешь жуткую ошибку(см. лебедев мод пункт 4.4). Ты портишь значение параметра, и пытаешься открыть очень левый файл. Даже сам посмотри — фейл на попытке открыть файл «xyz». Решение см. в лебедевмод п.5. Как иллюстрация — я не открываю файл, а просто каждый раз вывожу все параметры. Имеем:


Lebedevmode a.k.a. LikNEP:

• форматируй код! табуляция это элементарно просто, зато повышает читабельность
• загловочные стандартные файлы ДОЛЖНЫ включаться как #include <file> а не #include ”file”. Второй вариант снчала исчет в текущей папке, потом в стандарнтых, первый — наоборот.
• В строчках:
  
    char *OutputFilename=argv[i];
    strcat(OutputFilename,".xyz");
  
  почему бы не заменить расширение файла вместо дописывания? ну да ладно, это мелочи. но это то, что ожидает юзверь обычно.
• в том же фрагменте — куда большая ошибка. Мы модифицируем аргумент коммандной строки. Да-да, OutputFilename — не копия, а указатель на i-й аргумент, потому в зависимости от конкретного способа реализации параметров коммандной строки такая порнуха может привести к одному из:
  1. Segmentation fault — если выход за дозволенную память(а мы можем, т.к. строку могли выделить тютелька в тутельку под размер данных)
  2. он же — если нам средствами ОС дают этот массив только для чтения(NB: не уверен)
  3. херня, если дописанное расширение залазит по памяти на следующий аргуемент (что у тебя и происходит)

строки над делать не так, если на C++:

#include <string> // НЕ string.h
...
string filename = argv[i];
filename+=".xyz";

на си писать не буду.

”\n” ← → std::endl раз уж мы пишем на C++

using namespace std наверх

Мене стривожило оце: Fatal alarm: Cannot open file xyz Наскільки я зрозумів, оте xyz він може взяти лише звідси: strcat(OutputFilename,”.xyz”);

Є підозра, що причина тут:

char *OutputFilename=InputFilename;

В даному випадку ми працюємо не з даними, а з указниками на них, тож мені здається, что тут ми отримуємо не два однакові рядки символів, а насправді один рядок, на який вказують одночасно два указники, тому зміна OutputFilename’у призводить до зміни вихідного рядка. Спробуй замінити цей рядок на поелементне копіювання символів з одного масиву в інший.

Дописано - власне, Elf-Eluna-Alina вже це написав

Нє-а. Тут указники на різні рядки, розміщенні «поруч».

Не радьте дурниць, або радьте писати на C, а не C++

та я почав писати на беш, але щось мені не сподобалось, як там цикли зроблені. якщо не впадло, покажи, як функцію rho2xyz на беші реалізувати.


все форматую, просто скопіпастилось невдало трохи.


ясно.


я так і зробив спершу. але ска не працює ніфіга.

яке розширення в юніксоподібних системах? замінити не можна, так і задумано. поки що юзер цієї програми лише я, але загалом в схожих конвертерах така і є традиція: файл .rho — це raw data, себто густина у внутрішньому форматі обчислювальної програми, а .rho.xxx — це файл густини в форматі .xxx. Формат xxx може містити різні дані, а не тільки густину, тому потрібно подвійне розширення.


Дописано о 00 годині 40 хвилин 20 секунд
опа! заджялало! Ельфі мій Бог!

остаточна версія:

Предварительный вариант на беш(считаю что все во входном файле идет через перевод каретки). Не тестил, но должно работать. Регексп работает 100%.


Дописано о 01 годині 44 хвилин 00 секунд
ой, я провтыкал что читаем не из стдина, а из файла. невелика потеря, завтра исправлю.

FIXED01 годині 51 хвилин скількато секунд
Вроде будет пахать. Дайте файл для проверки.

дякую, завтра спробую. і файлик завтра приаттачу.

Хм... Тема
Хтось xslt знає? Зараз якраз розбираюсь з Altova StyleVision, по ходу виникають питання які багато часу забирають; може, сюди за допомогою звертатимусь.

не працює, скотина. якась несподівана помилка в рядку 6, де цієї помилки не може бути:


циферки — це NPX, NPY, XLEN та YLEN-1. аттачу файлик (перейменувати, забравши розширення .txt):

в результаті очікую ось що:

Поправил в соответствии со структурой входных данных

у меня работает только крайне невьбебенно шопиздец медленно. Алсо, смотри комменты.

bc — це, звісно, жесть. напевно, краще пайтон юзати, ніж беш все-таки.

зараз перевіримо.

Нє, а чому жесть? Ця прога саме для цього і призначена. Шел сам по собі не вміє виходити за ℤ, тому що це викликає купу геморою з точністю і округленням. Втім, я би радив Perl.

ПС: в юнікоді є символ ℤ. Я в шоці.

блін, ти цикли for дарма поприбирав. тепер замість x i y там якась незрозуміла хуіта.
x змінюється від 0 до XLEN, y теж, а скрипт видає нісенітницю.

але добре, мені впадло вже розбиратися, все одно скриптик буде корисний як зразок. дуже дякую!


а шо ти хочеш, там навіть цицьки є. прокрути у вільний час всю таблицю символів, ти охрінієш.

Читати bash-ем «до вайтспейса» — це накладно. Принаймні може я лошара, але я не знаю, як це зробити кошерно. Прибрав я тому, що читати треба рядками, а в тебе 5 координат на рядок. І то я не знаю чи їх завжди кратна п’ятірці кількість, от я зробив от так, щоб не заморачуватись.

а, он воно що. їх завжди п’ять в рядку. розмір матриці задає npx і npy, а на 5 колонок воно розбите просто так, для краси (прогу німці писали, йопт).

це радше не хелп, а просто питання з цікавості:

Як отримується сертифікат для https-сторінок та який механізм його захисту, що йому всі довіряють?

Firefox от лається на сторінки із самопідписаними сертифікатами, і просить додати виняток. я так розумію, є певні «довірені» фірми, які видають ці сертифікати. Чому їх не можна підробити? Чи коштує цей сертифікат дофіга бабла?

Сертифікат видається на домен, як я розумію. А чи реально замінити DNS та зробити фішерську сторінку із сертифікатом, який не викликає підозри?

Ой, тут нужно отвечать по пунктам.
Ну, во-первых, самое основное - http://en.wikipedia.org/wiki/RSA , http://en.wikipedia.org/wiki/Public_key_infrastructure

Вкратце схема выглядит так - есть такая штука, как SSL/TLS (http://en.wikipedia.org/wiki/Transport_Layer_Security). При установке шифрованного соединения браузер пытается аутентифицировать сайт с помощью его цифрового сертификата, подписанного доверенной CA (Certification Authority). Публичных CA существует довольно много, в частности, это Verisign, Thawte Consulting (бывшая контора Шаттлворта) etc. Также вполне можно поднять локальный CA или даже несколько. Например, для IPSec VPN. Стоит сертификат от доверенного провайдера, кстати, не так уж и много. Как работает цифровая подпись, можно посмотреть в гугле. Это тоже криптография с открытым ключом, но конкретно RSA там не используется. Еще там используется также хэширование (MD5 или семейство SHA).
Всех деталей я не знаю, пока глубоко сюда не копал, но в общих чертах оно вот так и выглядит.

За счет чего это секьюрно - ну, RSA будет считаться достаточно безопасным, пока не существует алгоритмов разложения на простые числа за реальное время. Также это зависит от реалистичных методов подделки хэша. Для MD5 они, в принципе, существуют, но очень ресурсоемкие.

Впрочем, не так давно уже провели успешную атаку (proof-of-concept) на инфраструктуру цифровых сертификатов. Но это потребовало крайне серьезных капиталовложений. И эксплуатировало MD5 collisions.

Подделка DNS - это отдельный длинный и веселый разговор, впрочем. Короче говоря, успешно подделать и DNS, и сертификат практически нереально. Гораздо проще юзать куда более обычные методики.

Дописано о 20 годині 04 хвилин 54 секунд
А, насчет локального СА - чтоб с его помощью кого-то там наябувать, нужно сначала уговорить всех производителей браузеров, что тебе можно верить.

Дописано о 20 годині 07 хвилин 48 секунд
О! Нашел материалы по теме той атаки

http://blogs.zdnet.com/security/?p=2339
http://www.crunchgear.com/2008/12/30/md5-c...cate-authority/

там можно походить по линкам и посмотреть более детальное обьяснение, как это все работает.

А, еще насчет самоподписанных сертификатов.

Их можно (и нужно) генерить и самому. Только тут уже вопрос доверия юзера к ресурсу. Потому Файрфокс и просит посмотреть сертификат и добавить исключение. Вот, например, когда ты первый раз коннектишься к жаббер-серверу или почте (по SSL), тоже требуется принять сертификат ресурса. С RPM-репозиториями та же фигня (там GPG, но суть та же).

Ну коротше, я так розумію, контори, які випускають довірені сертифікати, башляють бабло Мозіллі та іншим?

Питання актуальне для всяких сайтів, які беруть оплату картками. Якщо у них сертифікат підписано Thawte, чи означає це, що їм можна довіряти/їх загрібуть мєнти, якщо щось не так буде?

і ще: наскільки безпечно логінитись по ssh RSA-ключами? Ситуацію, що мій друг, якого я пустив за комп, спиздить мій приватний ключ, не розглядаю.



Дописано о 21 годині 17 хвилин 45 секунд

я не знаю, чи це з точки зору usability правильно. Юзер привчається додавати ексепшени, і буде робити це на автоматі. А коли клікне на фішерську сторінку, навіть не подумає про те, що є якась небезпека. Якось треба то інакше зробити.

Із недостовірних джерел:

http://habrahabr.ru/blogs/infosecurity/54018/ (зважати на коментарі)
Тут надійність більше полягає у тому, що Verisign не продасть завірення сертифікату на, наприклад, go0gle.com

В случае с провайдерами сертификатов - есть Service Level Agreement какой-то. И неустойки в случае каких-либо провтыков с их стороны.

Насчет того, кто кому башляет - честно говоря, хз, но списки trusted CA существуют. И вот этот механизм проверки сертификатов нужен как раз для всяких платежных сайтов и подобного. Для тех, кто работает с какими-либо финансовыми данными. И тут уже как раз механизм должен работать так - если ты привык видеть, что все работает нормально, то выброшенная ошибка должна свидетельствовать о том, что что-то не так. И все.

А, например, для какой-нибудь bugzilla или WebVPN достаточно один раз добавить исключение при настройке. Если потом что-то будет не так - можно проверить.

А насчет логина RSA-ключами - это вроде как дополнительная мера аутентификации. И вообще удобнее.

в моєму випадку — основна, тобто логінюсь без вводу пароля. зробив це не тільки з огляду на те, що впадло вводити пароль, а й для зменшення гемору зв’язаного з копіюванням даних через scp.

єдине що хтось може спиздити вміст папки ~/.ssh з мого ноута, ну тоді він зможе залогінитись на всі доступні мені компи (благо для зловмисника — вони є в known_hosts). ну але я наразі не знаю, як це можна зробити без фізичного доступу до нього.





Дописано о 22 годині 52 хвилин 58 секунд

суть в тому, що:
— знайшов ти в гуглі якийсь незнаний тобі інтернет-магазин
— захотів щось там купити
— ти не знаєш, можна цьому магазину довіряти, чи ні.
питання було в тому, чи можна це робити на підставі того, що в нього підписаний Versign-сертифікат.

Відповідь я розумію як: можна, але обережно

Как бы дело в том, что, как правило, за бугром магазины сами не занимаются такими вещами, а аутсорсят платежи. Например, тому же Paypal. То бишь, ты просто нажимаешь кнопочку и вводишь свои данные уже на сайте Пэйпала, а не сообщаешь их магазину. И весь прикол как раз и состоит в том, как убедить юзера, что он именно на сайте Paypal.

Да, в принципе, у нас так же. Яндекс.Деньги, Вебмани етц.

Дописано о 23 годині 07 хвилин 13 секунд
Но, конечно, корректный SSL-сертификат еще не гарантирует, что тебе товар придет Это только в той или иной мере гарантия того, что страничка совершения транзакции принадлежит именно платежной системе и, следовательно, что а) платеж пройдет, б) пройдет только этот платеж

ну, хто як. авіакомпанії самі беруть гроші.

про paypal ясно, але бувають і менш знані сайти. от нещодавно на автобус резервував квиток, а там воно перевело мене для оплати на якусь сторінку epay.pl (точну назву не пам’ятаю). я трохи напрягся, але перевірив сертифікат і ще раз правильність адреси тієї сторінки, звідки прийшов, і вирішив, що довіряти можна.

Amazon теж сам бере гроші. Правда, по суті, амазон — це контора, яка гарантує захист від шахраїв і виступає посередником у оплаті, а так книжки продають всякі дрібні ноунеймові продавці.

А, да. Насчет ~/.ssh на ноуте.

Никто пока не отменял такую штуку, как шифрование /home или вообще всего винта (тут есть нюансы, шифрованный /boot или не очень). Работать будет несколько медленнее, но зато больше уверенности, что если ноут стырят, данные не утекут.

та ну нафіг, у мене нічого надтаємного нема
якщо вкрадуть ноут, то ключі заміню на серверах, це зрозуміло.

як зробити свій сервер OpenID?

http://siegeтицькаorg/projects/phpMyID/

а нафіга сервер автентифікації питає, чи можна довіряти урлу? це дратує, чесно кажучи. яка конкретно виникає загроза безпеки, якщо всім урлам буде довіряти?

я тут ір-таблицями почав гратися, обмеживши для початку кількість під’єднань з одного ІР за хвилину для ssh. тепер хочу те саме зробити для веба, щоб прибрати кривого Петра нарешті.

Питання: при поточній відвідуваності Бонета, яку кількість з’єднань з одного ІР за хвилину ви порекомендуєте, щоб DOS-и різати і одночасно не чіпати нормальних користувачів? З урахуванням, що на серваку старий селерон зі 512М оперативки.

Друге питання: з’єднання http — це порт 80?
як заблокувати вхідні з’єднання з усіх портів, крім, власне, 80-го і 22-го? чи порекомендували б ви мені заблокувати ping? якщо так, то як це зробити?

По первому пункту - касательно конкретно веб-серверов не могу что-то точно сказать. Но вообще в цисках по умолчанию стоит нижняя граница в 400 полуоткрытых соединений за последнюю минуту и верхняя в 500. Нижняя граница значит, что просто будут дропаться новые соединения и верхняя - что существующие полуоткрытые соединения будут обрубаться до нижней границы.
Что такое полуоткрытое соединение TCP знаешь? Это значит, что от клиента пришел SYN, сервер отправил SYN ACK, но еще не получил от клиента ACK. Поскольку сервер ожидает подтверждения, он держит это соединение в памяти. Естественно, этим пользуются и подтверждение не отправляют. Атака называется SYN flood.

Короче, я тебе щас перечислю все значения по умолчанию, а ты уже делай с ними что хочешь.
Время ожидания в полуоткрытом состоянии до закрытия сессии - 30 сек
Время ожидания в установленном состоянии (без активности) - 1 час
Общее количество новых полуоткрытых соединений, нижняя граница - 400
Общее количество новых полуоткрытых соединений, верхняя граница - 500
Скорость, с которой появляются новые соединения, нижняя граница - 400/мин
Скорость, с которой появляются новые соединения, верхняя граница - 500/мин
Количество полуоткрытых соединений от одного хоста - 50

По второму пункту - да, HTTP это 80-ый порт. Если еще используется HTTPS - это 443-ий. Пинги я бы рубить не стал. Впрочем, если сильно захочется, полностью это называется ICMP echo request. Но вообще трогать ICMP не стоит. Это слишком полезная штука.

дякую. а як це в iptables прописати?

ок. https на бонеті нема. колись хотіли веб-пошту робити @bo.net.ua, але потім заглохло.

http://iptables-tutorial.frozentux.net/ipt...s-tutorial.html
Или просто гуглом. Когда я писал, предполагалось, что ты способен на man iptables

да, но я лінивий
дякую ще раз за допомогу

Ладно, покаюсь. В общем-то, я в иптаблесах сам пока что... гм.... не силен.
Дождешься сюда virus’a - он, наверное, сможет что-то конкретное подсказать. Как бы в прошлом админ гейта ЮЗИКа, все такое.

Но в конкретно том туториале я подобные вещи где-то видел. Там куча примеров с обьяснениями.

Это зависит от тех данных, которые провайдер отсылает клиенту.

стоп-стоп-стоп, це я, добровільно автентифікуюсь на сервері аааа через OpenID. І якщо в мене стоять правильні куки (тобто юзаю я свій власний, а не чужий ID), сервер має мене авторизувати, або не авторизувати. Чому його єбе, що я логінюсь на сервері ааа і передаю йому якісь дані, якщо я це роблю свідомо і добровільно? Чи може він боїться, що сервер ааа робить авторизацію без мого відома, вгадавши мій OpenID? це було б дуже цікаво, але дуууже малоймовірно. Для параноїків нехай би була така опція, а нормальних людей тре лишити в спокої.

Дописано о 21 годині 16 хвилин 49 секунд
ось тут рекомендують юзати psad:
http://blogama.org/node/98

хтось пробував?

Дописано о 21 годині 18 хвилин 54 секунд
чи може просто зробити так:


і не вийо?

Я свого часу робив за цими настановами: http://www.gentoo.org/doc/en/security/secu...?part=1&chap=12
Десь спростив, десь доповнив. Тоді захисту від брутфорсу по ssh не передбачалось, оскільки такі речі треба робити з повним усвідомленням власних дій.

о, дякую, там аж готовий скрипт є. там же ж акурат з’єднання по ssh лімітуються по 1 за секунду, з’єднання www не лімітуються у тому прикладі.



Дописано о 21 годині 42 хвилин 02 секунд

/etc/init.d/firewall panic

ага, вже побачив, гарний параметр. запустив один раз, і купуй квиточок до Києва, пдуй на Тургенівську, витягуй сервер з гермозони та відкривай своїми кривими руками назад доступ до ssh.

а взагалі, якщо нас сильно досять, то провайдер сам вирубає і вломлює люлів за криворукість.

Дописано о 23 годині 31 хвилин 23 секунд
іще ламерське питання: все, що я запхаю в /etc/init.d, саме запуститься при запуску системи? ще з урахуванням того, що в убунтів там upstart якийсь, треба в інше місце ініт-скрипти пхати.

а ми на фі дозволяємо ссш тіки з fcss.uma.kiev.ua, логінимось на нього, а з нього на сервак.

тре не забути шоб скрипт був екзкутабл і

донедавна так і було: доступ був дозволений тільки з кількох компів. з певних причин цю політику довелось змінити.

Традиційно, в папці /etc/init.d/ кладуть обгортки-скрипти навколо сервісів, що можуть запускатись на хості. Скрипти мають розуміти 3 параметра мінімум — start,stop,restart. Потім, знов таки, традиційно(System V), з цих скриптів роблять сим.посилання(ібо нах копіювати?) на /etc/rc.N/[S|K]XXservicename. N — номер runlevel-а, S — на цьому рівні цей скрипт треба start, K — на цьому рівні цей скрипт треба stop, XX — порядковий номер для того щоб організувати очередність запуску, servicename — для краси, щоб не забути де шо. Майже всі системи в тій чи іншій мірі це успадкували. Напр. у Gentoo зроблено окремі символьні ранлевели(boot, default etc.) але суть та сама.


І сенс?

ага, ніби є це все. в який мені ранлевел краще запхати?