Блокнотик Centaur’а

Почему-то обновленный с F-Droid-а Fluffychat стал рассказывать что "у меня на телефоне, наверное нет сервисов гугля, и это хорошо для приватнсоти". Сервисы гугля у меня есть, whatsapp-то работает. Возможно это f-droid-овская сборка fluffychat не умеет с ними работать. Это мне не первый раз попадается.

Но в процессе оно рассказало, что существуют альтернативные гуглю системы push-нотификаций. В частности есть ntfy которая вся из себя открытая, и можно свой сервер поставить если очень хочется. Кстати почитав про ntfy я пришел к выводу что значительную часть того, для чего я использую матрикс, оно сделает и само по себе, а не в качестве прибамбаса к матриксу.

Гораздо более интересно то, что еще одним вариантом оперативного получения пуш-нотификаций о приходе сообщений в matrix, является xmpp-клиент conversation. То есть джаббер сам по себе.(ну это в общем понятно - протокол xmpp предполагает наличие постоянно открытого сокета. А матрикс работает через http(s).

Единственное что я пока из всей этой ситуации не понял - это откуда мой синапс узнает что слать нотификации моему мобильному клиенту надо через вот этот ntfy сервер (благо там единственным способом аутентифиации является URL-ка подписки), а в случае xmpp - откуда возьмет аккаунт с когорого можно слать сообщения.

Нашел вот в дистрибутиве пакет libpam-ssh-agent-auth и вот теперь думаю, а повысится ли безопасность моего сервера, если я его буду использовать.

Работает эта штука так - прописывается в /etc/pam.d/sudo и аутентифицирует пользователя желающего сделать sudo, если у него имеется работающий (отфорварженный) ssh_agent с доверенными ключами.

Какому файлу доверять - прописываается в /etc/pam.d/sudo. Можно прописать свой рабочий ~/.ssh/authorized_keys, можно для желающих пользоваться sudo завести отдельный файлик где-нибудь в /etc/.

Оба подхода имеют свои преимущества. Первый - если у меня утек какой-то из приватных ключй ssh, например утерян ноутбук или смартфон, я быстрее вычищу скомпрометированный ключ если он будет лежать в приватном месте. Второй - злоумышленнику недостаточно добраться до моего аккаунта, нужно уже получить рута чтобы прописать свои ключи в этот файлик.

Но главное вообще-то не в этом. Главное в том, что если у нас sudo с паролем, то вообще говоря оно уязывимо к установке keylogger, а вот ssh-вый агент использует криптографию с открытыми ключами, и поэтому не боится перехвата чего либо на стороне сервера.

Но у пароля есть крайне полезное свойство - если на локальной и удаленной машине пароли разные, то когда юзер перепутает окно и наберет не на той машине, пароль не подойдет и команда не выполнится. Вероятность перепутать окно, несмотря на то что prompt-ы разноветные и содержат имя машины - намного выше вероятности хакерской атаки.

Хотя вот на работе жил я с NOPASSWD в sudoers (там было слишком много серверов и контейнеров, чтобы везде пароли расставлять) и ничего.

P.S. Соберетесь настраивать у себя, не забудьте прописать в /etc/sudoers, что environment кирпичом не чистят переменную SSH_AUTH_SOCK из environment удалять не надо. А то не найдет вашего агента.

X-Post to LJ

В связи с последними событиями надо срочно вытаскивать из архивов проект A-57 Бартини.

Чтобы стратегическая авиация не была так уязвима к атакам диверсионных дронов, она не должна требовать многокилометровых бетонных ВПП, которые строятся годами, и должна уметь перебазироваться чуть ли не каждый день на любую подходящую речную пристань.

https://nohello.net/

Там рекомендуют не посылать приветствие в чате отдельной репликой, а сразу в первой реплике упоминать содержателный вопрос,

Утверждается, что это потому, что большинство людей печатает гораздо медленнее, чем говорит, поэтому собеседник, получив от вас "Привет" будет вынужден несколько минут ждать того, что вы собственно хотели сказать.

Забавно, что аналогичную культуру общения я описывал у спейсиан в "Детях пространства". Там, правда это объяснялось не медленностью печати, а задержками распространения сигнала на межпланетных расстояниях.

— Это вас так учат, в первой же реплике вываливать на собеседника важную информацию? Как мешком по голове.

— Конечно. Если радиосигнал до собеседника идёт минут десять, времени на обмен всякими ритуальными репликами вроде «Привет!», «Как дела?» может уйти безумно много. Поэтому, если звонишь по делу, тему этого дела надо объявить в первой же реплике.

Впрочем, подозерваю что возникновение этой кампании только сейчас, а не тогда, когда я начинал писать "Детей пространства", произошло потому что очень многие люди пользуются экранными клавиатурами на мобильниках.

X-Post to LJ

Сегодня в нашей деревне мы обнаружили аж два борщевика. Один небольшой, но на обочине дороги (копать там сложно - гравий). Второй огромный в сосновой лесополосе, служащий границей нашего участка. Так близко к нашему дому по-моему еще ни разу не было.

Июнь еще не начался, а он уже почти длиннее рукоятки лопаты вырос.

Представим себе некую планету, на которой водится много разнообразной мегафауны, совершенно не похожей на земную какого-либо исторического периода.

И вот земляне, колонизировавшие эту планету дают монстрам названия из Кэррола. Поскольку у Кэррола монстров не так много - Snark, Bujum, Jabberwockey и Bandersnatch, используются названия из разнообразных переводов. То есть кроме Джаббервоков по лесам там бегают Бармаглоты и Жилбылволки, растут деревяья Джуб-Джуб, Тумтум и Баобук, и это разные деревья, хливкие шорьки выяснсяют отношения с мильынми бокрами, а глокая куздра своими развихрами курдячит и тех, и других.

И вот прилетает туда какой-то любитель творчества Кэррола, знающищй все переводы. И, почитав местный учебник зоологии, спрашивает:

— А где же Спордодрак?

— А спор до драк, — отвечают ему, — случается у нас каждый раз, когда открывают нового монстра и начинают ему подбирать имя.

(дракот простой и дракот диковищный там, тем не менее, есть).