Postagens

Mostrando postagens de 2018

Como está o suporte ao Linux do Ghost

Imagem
Creating ext4 filesystem A partir da suíte Ghost Solution Suite 3.0 , suporte ao Linux foi melhorado. Binários ELF x86-32 passaram ser distribuídos e suporte ao EXT4 foi adicionado. Contudo, há limitações. - Apenas EXT2/3/4 são suportados sem recorrer à opção -ia , que faz ineficiente cópia bit-a-bit. - Versão 12.0.0.10517+ é requerida para sistemas EXT4 com recurso 64bit ativo. - EXT4 com recurso metadata_csum não é suportado até a versão 12.0.0.10618 (última enquanto escrevo). Passou a ser usado por padrão a partir da versão 1.44 da suíte e2fsprogs (Debian e derivados adotaram a mudança na 1.43). É possível editar o arquivo /etc/mke2fs.conf antes de iniciar o instalador para reverter: --- /etc/mke2fs.conf 2018-03-24 19:13:28.000000000 +0000 +++ /etc/mke2fs.conf 2018-10-14 11:20:19.918861668 +0000 @@ -11,7 +11,7 @@ features = has_journal } ext4 = { - features = has_journal,extent,huge_file,flex_bg,metadata_csum,64bit,dir_nlink,extra_isize + features = has_jou

Estou Zen

Imagem
Para constar nos registros do blog, agora estou Zen: Dell Inspiron 5675 Manual: inspiron-5675-gaming-desktop_owners-manual_en-us.pdf Configuração simples com AMD Ryzen 5 1400, Radeon RX 560.

Particionamento MBR no openSUSE Leap 15.0

Imagem
openSUSE Leap 15.0+ cria por padrão particionamento GPT mesmo ao inicializar via BIOS. Para usar MBR, recorra ao particionador avançado, clique em "Avançado..." e depois em "Criar nova tabela de partição". Selecione então "MS-DOS (estilo clássico)". Daí para frente, crie as partições a gosto.

FSArchiver 0.8.5 suporta melhor sistemas EXT

Fiz algumas melhorias no suporte aos sistemas de arquivos EXT nesta versão. - UUID é definido pelo mke2fs no momento da formatação se o programa não for pré-histórico (1.41.4+). - Quando uma imagem contendo outro sistema de arquivos é convertida para EXT2/3/4, ext_attr é habilitado e inodes de 256 bytes são usados [1] e, para EXT4, além de extent , que é mandatório, huge_file , flex_bg , uninit_bg , dir_nlink e extra_isize são habilitados. É o conjunto de recursos base da suíte e2fsprogs 1.41, que manteve-se na série 1.42 em dispositivos menores que 16 TiB. 64bit não é habilitado incondicionalmente [2] como na versão 1.43, nem metadata_csum como na 1.44. - No upgrade de EXT2 para EXT3, tamanho original do inode é mantido. Assim, imagens de distribuições muito velhas, que usem EXT2 com inodes de 128 bytes, têm mais chance de serem transplantadas com sucesso para EXT3. - Upgrade de EXT2 revisão 0 para EXT3/4 funciona. Apenas para exatidão do código mesmo, pois tais siste

Squid + ssl-bump e as hierarquias tupiniquins

Imagem
Antes de assinar páginas com seu certificado, quando bump é feito (não aplica-se a splice [1] ), o Squid validará o certificado do servidor web. Em caso de falha, retornará uma página de erro ao cliente — a menos que liberemos com sslproxy_cert_error , que é perigoso. Precisamos instalar as autoridades certificadoras raiz brasileiras na máquina onde o Squid roda. Fedora/RHEL e derivados [2] : # wget http://acraiz.icpbrasil.gov.br/credenciadas/RAIZ/ICP-Brasilv2.crt -O /etc/pki/ca-trust/source/anchors/ICP-Brasilv2.pem # wget http://acraiz.icpbrasil.gov.br/credenciadas/RAIZ/ICP-Brasilv5.crt -O /etc/pki/ca-trust/source/anchors/ICP-Brasilv5.pem # update-ca-trust # systemctl reload squid.service (enquanto escrevo, V2 e V5 estão em uso) Ao servirem páginas assinadas por certificados intermediários (a maioria), servidores web bem configurados entregam a cadeia necessária, que é usada pelo Squid 4+. Para os raros casos de servidores que não o façam, dá para especificar manualment

Modos de funcionamento do Squid

Considerando forward proxies, temos: Não transparente http_port 3128 Modo tradicional. Os clientes precisam ser configurados para usarem o proxy. NAT não é requerida no servidor — é desaconselhável inclusive [1] . Tráfego HTTP é filtrado e cacheado. Tráfego HTTPS é tunelado sem modificações; portanto, não é cacheado. Domínios HTTPS podem ser filtrados; URLs HTTPS (que incluem a parte interna dos endereços) não são visíveis, pois, após a conexão TLS [2] ser estabelecida, o proxy nada mais sabe a respeito. Transparente HTTP # sysctl -w net.ipv4.ip_forward=1 # iptables -t mangle -A PREROUTING -i int_interna -p tcp -m tcp --dport 3129 -j DROP # iptables -t nat -A PREROUTING -i int_interna -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129 # iptables -t nat -A POSTROUTING -o int_externa -j MASQUERADE http_port 3128 http_port 3129 intercept Dispensa configuração nos clientes. NAT é requerida. Tráfego da porta 80, proveniente da rede interna, é redirecionado para o próprio s

Usando o MemTest86 em UEFI

Imagem
Um dos primeiros posts deste blog foi sobre como usar o Memtest86+ . Desde lá, a PassMark comprou o projeto original (sem o +) e voltou a desenvolvê-lo exclusivamente para UEFI (atual versão 7.x). A antiga versão 4.x (BIOS-only) foi descontinuada. O fork Memtest86+ também parece ter sido abandonado. É disponibilizado um programa para criar pendrive booteável, mas, para quem apenas quer a versão UEFI, é exagero. Visto que o firmware sabe ler FAT e FAT32 , basta copiarmos a pasta EFI da imagem ISO. Funciona com Secure Boot. Changelog aqui .

Windows 10 1709 e compartilhamentos sem autenticação

Imagem
Foram notícia, quando a versão 1709 saiu, as mudanças feitas pela Microsoft no servidor e cliente SMB: SMBv1 is not installed by default in Windows 10 Fall Creators Update and Windows Server, version 1709 SMBv1 (Windows XP/Server 2003 e anteriores) foi aposentado. Com exceção de certos NAS rodando versões caducas do Samba, SMBv1 não faz mais falta. Outra mudança mais sutil deu as caras nas versões Server, Enterprise e Education: Guest access in SMB2 disabled by default in Windows 10 Fall Creators Update and Windows Server 2016 version 1709 Acesso a compartilhamentos sem autenticação, através da conta Convidado , são bloqueados. Tais compartilhamentos são habilitados, no Windows (como servidor), selecionando "Desativar compartilhamento protegido por senha" em "Central de Rede e Compartilhamento → Alterar as configurações de compartilhamento avançadas", ou ao usar map to guest = Bad User no Samba . Mesmo não sendo boa prática, é algo comum em pequenas

VLC 3.0.0

Depois que o MPC-HC foi descontinuado , precisava substituí-lo. Usar software abandonado traz riscos, pois falhas de segurança não são corrigidas. VLC é o candidato ao posto. Infelizmente, a versão 2.2.8 não está em bom estado no Windows. Decodificação via GPU não funciona e, mesmo ao usar a CPU, o desempenho é ruim. Alguns vídeos que tocam perfeitamente no MPC-HC engasgam no VLC. Partes importantes do programa foram reescritas na recém lançada versão 3.0.0 , resolvendo vários bugs. Passou a ser meu novo tocador de vídeos no Windows (no Linux o é faz tempo). Lista de mudanças: NEWS .

Como evitar que o Windows 10 apague o cache de miniaturas

Depois que o Windows 10 atualizou para a versão 1709, codinome Redstone 3, vulgo Fall Creators Update, o cache de miniaturas do Windows Explorer passou a ser apagado automaticamente no mínimo uma vez por dia. Horrível, pois, ao acessar pastas com muitas imagens e vídeos, as miniaturas são recriadas, tornando a navegação lenta e a busca difícil. Não tenho ideia da motivação por trás desse comportamento. Ou se é apenas bug. No Microsoft Community, achei esta dica : Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches\Thumbnail Cache] "Autorun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches\Thumbnail Cache] "Autorun"=dword:00000000 Até agora resolveu!

Usando o sfdisk

Os programas cfdisk , fdisk e sfdisk , da suíte util-linux, voltaram a ser desenvolvidos de uns anos para cá. São particionadores modernos, que levam em conta a topologia do disco ao alinhar as partições e suportam GPT. Me concentrarei no sfdisk , a ferramenta scriptável. Existem duas formas de fornecer-lhe entrada . Esta é mais simples: início tamanho tipo booteável Os campos são separados por espaços, vírgulas ou ponto e vírgulas (uso vírgulas). Ao ser omitido, o programa adota um valor padrão para cada campo: início: primeiro setor livre tamanho: máximo disponível tipo: partição Linux, 0x83 (MBR/MS-DOS), 0FC63DAF-8483-4772-8E79-3D69D8477DE4 (GPT) (ver sfdisk(8) para outros tipos) booteável: desabilitado (MBR/MS-DOS apenas) Ao criar mais de uma partição, cada uma é representada por uma linha. Exemplo: ,50G,L,* ,,L Primeira linha: - início: vazio (nada antes da vírgula), corresponde ao primeiro setor disponível, que, num disco limpo, considerando

Sem antivírus? Windows Update ficará empacado

Quem não usa antivírus precisa adicionar esta chave no registro, pois do contrário o Windows Update não baixará as atualizações KB4056892 (Windows 10 1709), KB4056891 (Windows 10 1703), KB4056890 (Windows 10 1607), KB4056898 (Windows 8.1) e KB4056897 (Windows 7): Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat] "cadca5fe-87d3-4b96-b7fb-a231484277cc"=dword:00000000 Mitigam as falhas de segurança Meltdown (Intel) e Spectre (variante 1; Intel e AMD). Já a variante 2 da Spectre (Intel e AMD) só com atualização de BIOS/UEFI ou recompilação dos programas por um compilador que implemente retpolines .

Série Divergente

Imagem
Atenção! Contém spoilers! Terminei de ler os três livros da série: Divergente, Insurgente e Convergente. Legais, apesar dos constantes questionamentos amorosos de Tris cansarem, principalmente no primeiro. Daí fui assistir aos filmes... que decepção. Em Divergente, até que o roteiro ficou mais ou menos dentro da história. O final, quando Quatro comanda a simulação de ataque, é modificado, porém dá para engolir com boa vontade. Em Insurgente, começa a invencionice. Partes que me irritaram: o interrogatório de Tris e Quatro na sede da Franqueza, o esfaqueamento de Eric por Tris, suprimido do filme, a rendição espontânea de Tris à Erudição, sua quase execução e o assassinato de Jeanine. Quatro, no interrogatório, é frio como de costume. Tris, naquela altura, não é mais tão sentimental. Sente-se angustiada por ter matado seu amigo Will. Remói-se em pensamentos quando lembra disso, mas não perde o controle. Resite ao soro da verdade e decide falar sobre o assunto por escolha.

PCID/INVPCID: fundamentais agora em hardware Intel

Para não comprometer demais o desempenho de programas que dependam muito de chamadas de sistema, os patches que mitigam a falha Meltdown têm requerimentos importantes, para os quais ninguém dava bola antes: PCID (Process-Context IDentifier) e a instrução INVPCID (INValidate Process-Context IDentifier). PCID está presente desde os Intel Sandy Bridge, a segunda geração dos i3/i5/i7. INVPCID está presente desde os Haswell, a quarta geração. Windows requer INVPCID para não precisar recorrer a flushes de TLB a cada interrupção ou troca de contexto. Linux requer pelo menos PCID. No Linux, procure por pcid e invpcid na linha flags de /proc/cpuinfo (ou na saída de lscpu ). No Windows, use o Coreinfo (asterisco ao lado de PCID e INVPCID ). Nota 1: PCIDs são suportados apenas em x86-64. Nota 2: Processadores AMD não são afetados .

Derreteu

Imagem
Sobre as falhas Meltdown e Spectre: https://meltdownattack.com/ https://googleprojectzero.blogspot.com.br/2018/01/reading-privileged-memory-with-side.html https://gist.github.com/woachk/2f86755260f2fee1baf71c90cd6533e9 https://github.com/marcan/speculation-bugs/blob/master/README.md https://groups.google.com/forum/m/#!topic/mechanical-sympathy/L9mHTbeQLNU https://www.renditioninfosec.com/files/Rendition_Infosec_Meltdown_and_Spectre.pdf https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html https://www.redhat.com/en/blog/what-are-meltdown-and-spectre-here%E2%80%99s-what-you-need-know https://access.redhat.com/articles/3307751 https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/ https://www.schneier.com/blog/archives/2018/01/spectre_and_mel_1.html https://fedoramagazine.org/kpti-new-kernel-feature-mitigate-meltdown/ http://www.kroah.com/log/blog/2018/01/06/meltdown-status/ https://support.google.com/faqs/