LINUX.ORG.RU

HACIENDA?

 , ghm, , ,


0

2

На http://gnu.org пишут о некой HACIENDA (а ещё там trollface на главной). Насколько я понял, это какая-то очередная программа слежки от АНБ, созданная для «Total World Domiantion» (так написано в английской версии gnu.org). Там же написано о некой программе противодействия с помощью скрытных служб TCP, подготовленной «студентом» GNU, с которой он выступил на GNU Hacker's Meeting. Ссылки ведут на сайт GNUnet. При этом, я впервые вижу упоминания о HACIENDA.

Может ли кто-нибудь прояснить, что происходит?

https://gnunet.org/kirsch2014knock
https://gnunet.org/ghm2014knock



Последнее исправление: srm (всего исправлений: 5)

HACIENDA до селе секретная программа gchq для слежки за населением планеты путём сканирования удалённых портов. Немецкий студент навелосипедил «knock» который должен предотвращать/уведомлять о сканировании.

hope13 ★★★
()
Ответ на: комментарий от hope13

Кстати, существуют ли сколь-нибудь эффективные способы обнаружения сканирования (в том числе от ботнетов) при условии, что за сутки приходят миллионы запросов со всей планеты, хотя их количество и ограничено pps на свитче? Причём большинство, похоже, ICMP. Можно конечно отключить торрент-клиент, но так ведь не интересно.

wakuwaku ★★★★
()
Ответ на: комментарий от intelfx

Пипец, sysctl же говорит, что это нормально иметь конфиг в /etc/sysctl.conf… При этом sysctl -p читает файл /etc/sysctl.conf, а sysctl --system — /etc/sysctl.conf.d/* Сделал. спасибо, переход на systemd откладывается на неопределённый срок.

wakuwaku ★★★★
()
Ответ на: комментарий от intelfx

почему лесенка?

net.ipv4.tcp_rfc1337 = 1
net.ipv4.ip_forward = 0
net.ipv4.ip_dynaddr = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_ecn = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.core.rmem_max = 4194304
net.core.wmem_max = 1048576
net.ipv4.tcp_congestion_control = yeah
vm.swappiness = 90
vm.dirty_background_bytes = 4194304
vm.dirty_bytes = 4194304
net.ipv4.conf.all.arp_ignore = 1

такое было раньше, для пиров, у которых венда. какой из параметров в этом виноват?

wakuwaku ★★★★
()
Последнее исправление: wakuwaku (всего исправлений: 2)
Ответ на: комментарий от wakuwaku

Понятия не имею.

net.ipv4.tcp_syncookies = 1

В dmesg ничего не сыпется по поводу SYN flooding?

vm.dirty_background_bytes = 4194304
vm.dirty_bytes = 4194304

Не слишком ли мало? 100-200MiB обычно ставлю.

intelfx ★★★★★
()

в сканировании портов нет ничего противозаконного, интернеты - публичное место

Harald ★★★★★
()
Ответ на: комментарий от intelfx

Нет, насчёт второго где-то читал, что оптимальное значение в районе 16-32мб, в зависимости кэша на самом диске или вроде того. Но с 32 уже начинают проявляться заметные фризы, с 4 их нет.

//эта жёсткая лесенка провалов скорости пропала, сделаю вид, что это проблема удалённого пира, а не моя. :>

wakuwaku ★★★★
()
Последнее исправление: wakuwaku (всего исправлений: 1)
Ответ на: комментарий от devl547

Что «for conf»? У тебя небось sysvinit, и никуда ты с него уходить не собираешься, а мы тут несовместимые изменения в systemd обсуждаем.

intelfx ★★★★★
()
Ответ на: комментарий от wakuwaku

Существует, но не поможет. Сканировать можно и прикинувшись нормальным клиентом. Для iptables где-то в сети есть примеры обнаружения скана и блокировкой.

gh0stwizard ★★★★★
()
Ответ на: комментарий от Harald

Никто и не говорит, что это противозаконно. Просто пытаются сделать защиту.

vurdalak ★★★★★
()
Ответ на: комментарий от wakuwaku

// теперь outgoing в районе 20kb/sec… okay. also нездоровые скачки 100->0->90 для пиров с мюторрент, кубитторент вроде бы ок, но там скорость около 10kb/sec почти стабильно… ну и ладно. :> возможно дело в географическом расположении пира, дальний восток совсем нулёвый отсюда, а большинство пиров где-то там обитает.

wakuwaku ★★★★
()
Последнее исправление: wakuwaku (всего исправлений: 1)
Ответ на: комментарий от wakuwaku

Да, почему-то не берёт больше sysctl параметры после загрузки из /etc/sysctl.conf, к чёрту openrc, перешёл на systemd.

Эпическое неосиляторство ITT. Как мои сервера только на OpenRC берут параметры из sysctl - вот это загадка...

Pinkbyte ★★★★★
()
Ответ на: комментарий от devl547

Проблема не в systemd, а в том, что большинство системных компонентов прибито к нему в большей или меньшей степени. Это новое поведение sys-process/procps начиная с версии 3.3.9, но пользователям об этом можно не сообщать, конечно.

wakuwaku ★★★★
()
Ответ на: о да от wakuwaku

У меня для тебя плохие новости - в Gentoo до сих пор поддерживается и sysctl.conf и sysctl.d

Пруф можешь увидеть здесь(кусок /etc/init.d/sysctl):

        for conf in /etc/sysctl.conf /etc/sysctl.d/*.conf; do
                if [ -r "$conf" ]; then
                        vebegin "applying $conf"
                        if ! err=$(sysctl -p "$conf" 2>&1 >/dev/null) ; then
                                errs="${errs} ${err}"
                                sysctl -e -p "${conf}" >/dev/null
                        fi
                        veend $? || retval=1
                fi
        done

Так что твой наброс, без технического обоснования - мимо.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от wakuwaku

Дружище, у меня везде sys-process/procps-3.3.9(он нынче stable) и везде работает sysctl.conf. Я не знаю что там у тебя за проблема и как ты всё сломал, но пара десятков моих серверов с тобой сильно не согласна.

Мигрировать на чистую /etc/sysctl.d мы планируем, но позже

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

тогда что вот это:

#!/sbin/openrc-run
# Copyright (c) 2007-2008 Roy Marples <roy@marples.name>
# Released under the 2-clause BSD license.

depend()
{
	before bootmisc logger
	keyword -prefix -vserver
}

start()
{
	ebegin "Configuring kernel parameters"
	sysctl --system
	eend $? "Unable to configure some kernel parameters"
}

весь /etc/init.d/sysctl

wakuwaku ★★★★
()
Последнее исправление: wakuwaku (всего исправлений: 2)
Ответ на: комментарий от wakuwaku

Версию openrc в студию

Повангую:
Unstable? Ну так enjoy your unstable и пиши багрепорт.
Stable? В нём другой /etc/init.d/sysctl, так что мимо

И да, бага не в openrc, цитирую man sysctl:

       --system
              Load settings from all system configuration files.
              /run/sysctl.d/*.conf
              /etc/sysctl.d/*.conf
              /usr/local/lib/sysctl.d/*.conf
              /usr/lib/sysctl.d/*.conf
              /lib/sysctl.d/*.conf
              /etc/sysctl.conf

Грузить должен отовсюду.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 2)
Ответ на: комментарий от Pinkbyte

повторю, 3.3.9 не читает /etc/sysctl.conf при sysctl --system, маны говно мамонта, очевидно, и написанное в них кардинально расходится с реальным положением дел.

wakuwaku ★★★★
()
Ответ на: комментарий от wakuwaku

повторю, 3.3.9 не читает /etc/sysctl.conf при sysctl --system, маны говно мамонта, очевидно, и написанное в них кардинально расходится с реальным положением дел.

Повторю - это происходит в unstable(уже воспроизвел в тестовой среде, stable не задет), пиши багрепорт, будем разбираться.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

По поводу какого пакета? openrc, который всё сломал пару дней назад, или sys-process/procps, действия которого отличаются от ожидаемых? Мне почему-то кажется, что его мейнтейнер в курсе, не зря ведь оставлены 3 (o_0) версии в стейбле. Значит всё-таки насчёт некорректных манов?

wakuwaku ★★★★
()
Последнее исправление: wakuwaku (всего исправлений: 1)
Ответ на: комментарий от wakuwaku

Виноват здесь однозначно procps, смотри ссылку на debian-овский багтрекер - http://bugs.debian.org/732920

Чуваки из OpenRC привели init-скрипт к такому состоянию, о котором заявляет upstream. Маны актуальные, проблема в том, что сам код в том месте - говно.

Обрати внимание на условие, которое нихрена не должно быть таким, какое оно там есть сейчас. В итоге имеем поломанный апстримом unstable.

Единственная радость - на то он и unstable, шоб временами ломаться ;-)

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
4 декабря 2014 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.