LINUX.ORG.RU

Сообщения firkax

 

fproxy v83 — локальный прокси-сервер для фильтрации http(s)-трафика

Группа Интернет

Опубликована 83-я версия кэширующего и антиспамного прокси-сервера для персонального использования c гибкими настройками.

Основные функции (всё настраивается):

  1. фильтрация нежелательного контента (белые/чёрные списки на урлы, запрет кук);
  2. принудительное и бессрочное кеширование полученных данных (в основном удобно для картинок и скриптов);
  3. исправление содержимого веб-страниц на лету (правкой исходника на Си, есть пример для замены содержания страниц-клонов stackoverflow ссылкой на оригинал);
  4. чёрные/белые списки сертификатов и certificate pinning по списку;
  5. подмена айпи-адреса/домена/пути/протокола http-запроса по конфигу (такой расширенный вариант /etc/hosts);
  6. http/https-сниффер.

Прекрасно подходит для просмотра сайтов через медленный интернет или с медленного устройства (благодаря п.1 и 2, ради которых изначально всё и затевалось), но вообще полезно в любом случае.

Прокси-сервер в целях безопасности и упрощения логики работы разделён на три части: TLS-сервер (терминирующий браузерные подключения), центральный модуль прокси и клиент, терминирующий исходящие подключения.

Программа рассчитана на персонализированное использование, то есть все конфиги и директория с текущими данными прокси-сервера привязана к конкретному пользователю, или даже к конкретному профилю браузера. Запустить прокси в качестве общесистемного демона технически возможно, но в таком виде затруднительно использовать одну из его главных функций - агрессивное кеширование всего подряд, поскольку закешированные данные у каждого профиля браузера могут быть свои, и должны быть изолированы друг от друга в целях безопасности.

Пример списка блокировки:

deny    nosub   all     share.yandex.ru browser-updater.yandex.net
deny    nosub   all     a.ria.ru # ?
deny    nosub   spec    vk.com
                query   /share.php
deny    nosub   spec    yastatic.net
                query   /pcode/adfox/loader.js
                query   /share2/share.js
deny    nosub   spec    www.youtube.com
                query   /subscribe_widget
deny    nosub   spec    pano.img.ria.ru
                query   /adriver/flashplagin/movie.swf
deny    nosub   spec    a.ria.ru
                query   /ping
deny    nosub   spec    n-ssl.ria.ru
                query   /polling
deny    nosub   spec    apis.google.com
                query   /js/plusone.js
deny    nosub   spec    yandex.ru
                pref    /clck/safeclick/
                pref    /clck/click/
                pref    /clck/jclck/
deny    all     spec
                query   /tnc    # index.ru proxied counter
                exact   /tnc.js # index.ru proxied counter
                query   /pixel.gif # some spammers use this

Пример списка роутинга:

https://my.local.site
        set proxy none
        set target http://127.0.0.1:1234/localsite
        set http_host new.host:1234
.intel.com
        resolve off
        set proxy socks5://127.0.0.1:3333

В случае обновления с версии более старой чем 78 следует сконвертировать кеш: зайти в рабочую директорию прокси-сервера от юзера (uid/gid) прокси-сервера и выполнить fproxy-cacheconv-78 (по умолчанию эта программа не компилируется).

Изменения с прошлой опублированной версии (80):

  1. fproxy-dashboard теперь имеет опцию для показа размеров контента в байтах а не кбайтах;
  2. поддержка багнутых серверов, игнорирующих заголовок «Connection: close»;
  3. поддержка багнутых серверов, отдающих некорректный заголовок «Content-Encoding: identity»;
  4. отправка TLS-опции ALPN;
  5. улучшение работы TLS-терминатора внешней стороны (клиента): он теперь поддерживает не только TLS, но и обычные соединения, поддерживает работу в виде независимого демона с приёмом запросов от основного прокси по сети, а также может пробрасывать свои исходящие соединения через другое прокси, таким образом позволяя гибко разделять задачи между узлами в условиях плохого интернет-соединения и/или необходимости организовать «выход» трафика где-то на удалённом сервере разной степени доверенности; так же новая версия более удобна для использования вручную из командной строки в качестве консольного TLS-клиента с поддержкой проксирования;
  6. упрощена сборка, теперь есть Makefile вместо шелл-скриптов
  7. организованы предсобранные .deb-пакеты в репозитории (для версий Debian 8-12)
  8. изменения файла конфигурации, обратно-несовместимые
  9. новый конфиг для управления роутингом запросов, объединивший ранее бывшие отдельными конфиги resolv и включения проброса исходящих соединений на удалённый сервер, а так же получивший ряд новых опций: теперь можно для каждого url-а (протокол, домен, порт, путь) выбирать через какой клиент, какое прокси он будет отправлен, через чей днс-сервер будет проводиться определение его айпи-адреса (включая опциональное делегирование этой задачи внешнему прокси-серверу http или socks5), либо прописать адрес вручную, а так же заменить протокол, порт или префикс пути url-а
  10. добавлена поддержка SAN-сертификатов для ip-адресов и в клиенте и в сервере (браузеры с некоторых пор перестали принимать ip-адреса в CommonName)

В планах на будущее:

  1. поддержка CGI/FastCGI/.so хуков для mitm-обработки полученного от сайтов контента
  2. менеджер профилей и конфигураций прокси
  3. интерактивное управление проверкой сертификатов удалёных сайтов и списками блокировок

>>> Подробности

 , , , ,

firkax
()

fwmx 1.3 — лёгкий оконный менеджер для x11

fwmx 1.3 — лёгкий оконный менеджер для x11
Группа Open Source

Вышла версия 1.3 набора программ fwmx, включающих в себя собственно оконный менеджер (fwm), меню запуска приложений и регулятор громкости. В качестве индикатора раскладки используется xxkb.

( читать дальше... )

>>> Подробности

 ,

firkax
()

Команда Devuan просрочила основной ключ подписи репозиториев

Группа Безопасность

Ключ, которым подписываются все системные обновления, выпущенный в 2017 году, был действителен до 2 сентября 2022 года. Сегодня пользователи дистрибутива столкнулись с невозможностью штатного обновления системы через apt в связи с отсутствием действительного ключа. Разработчики дистрибутива, судя по всему, узнали о просрочке из жалобы на форуме и сгенерировали новый пакет devuan-keyring, который предлагают скачать через http (поскольку apt неработоспособен) и без каких-либо проверок сразу установить.

wget http://deb.devuan.org/devuan/pool/main/d/devuan-keyring/devuan-keyring_2022.09.04_all.deb
dpkg -i devuan-keyring_2022.09.04_all.deb
Впрочем, какую-никакую проверку провести всё-таки можно, на странице пакета (по https) указан sha256-хэш deb-файла: 96c4a206e8dfdc21138ec619687ef9acf36e1524dd39190c040164f37cc3468d, который можно сравнить так:
sha256sum devuan-keyring_2022.09.04_all.deb
перед тем как запускать dpkg -i.

Старый ключ:

/etc/apt/trusted.gpg.d/devuan-keyring-2017-archive.gpg
------------------------------------------------------
pub   rsa4096 2017-09-04 [SC] [просрочен с: 2022-09-03]
      E032 601B 7CA1 0BC3 EA53  FA81 BB23 C00C 61FC 752C
uid         [  просрочен ] Devuan Repository (Amprolla3 on Nemesis) <repository@devuan.org>
Новый ключ:
/etc/apt/trusted.gpg.d/devuan-keyring-2022-archive.gpg
------------------------------------------------------
pub   rsa4096 2017-09-04 [SC] [   годен до: 2023-09-03]
      E032 601B 7CA1 0BC3 EA53  FA81 BB23 C00C 61FC 752C
uid         [ неизвестно ] Devuan Repository (Amprolla3 on Nemesis) <repository@devuan.org>
sub   rsa4096 2017-09-04 [E] [   годен до: 2023-09-03]

Несмотря на то, что, по-видимому, новый ключ легитимен, стоит отметить, что цепочка безопасного доверия ключей прервана, и пользователи вынуждены, при обновлении пакета, полагаться на https-сертификат сайта с информацией о пакетах, который может выпустить (поддельный) любая из огромного количества организаций, в том числе сомнительных, в доверенном списке браузера.

>>> Подробности

 , ,

firkax
()

fwmx 1.2 — лёгкий оконный менеджер для x11

fwmx 1.2 — лёгкий оконный менеджер для x11
Группа Open Source

Вышла версия 1.2 набора программ fwmx, включающих в себя собственно оконный менеджер (fwm), меню запуска приложений и регулятор громкости. В качестве индикатора раскладки используется xxkb.

Чего нового с момента прошлого релиза (v1.1 в октябре 2021):

  1. Улучшения в календаре:
  • его геометрия теперь может динамически сжиматься на слишком узких экранах;
  • теперь показываются дни от соседних месяцев до полной недели;
  • поддерживается список праздников (раньше только суббота/воскресенье);
  1. Панель задач теперь следит за изменениями разрешения экрана и подстраивается;
  2. Улучшения к регуляторе громкости:
  • новый формат командной строки;
  • шаги громче/тише теперь равны друг другу (раньше вверх делалось меньше из-за ошибок округления);
  • теперь следит за изменениями разрешения экрана аналогично панели задач;
  1. Добавлено меню запуска приложений (раньше весь запуск предполагался через хоткеи, что в общем-то вполне хорошо, но надо давать пользователю выбор).

Проект нацелен на максимальную простоту при наличии необходимой функциональности.

Поддерживается ведение списка окон, присвоение им статусов «всегда сверху», «сверху когда активно» и просто визуальное выделение цветом кнопки на панели задач. Кнопки можно передвигать. Управление самими окнами (не в панели задач) — мышкой при нажатом Super, заголовки и т.п. не рисуются.

Со списком праздников имеется сложность — его надо где-то взять, и сделать это универсально для любой страны мира невозможно, да даже для только России нет официального надёжного сервиса, с которого можно автоматически забирать список. Поэтому сам оконный менеджер этим не занимается, только читает предоставленный файл.

Найденное вменяемое место где можно брать списки праздников: xmlcalendar.ru. Или тут список для России за 2022 год.

Меню отображает дерево директорий из заданного места (или нескольких мест параллельно) на структуру меню и подменю. Обычные файлы для запуска — просто исполняемые (chmod +x) скрипты, бинарники или симлинки на них. Так же имеется базовая поддержка формата файлов .desktop для совместимости с имеющимися системами. Меню находится на стадии бета-версии, однако касается это в основном недостаточной аккуратности исходного кода и почти отсутствия настроек. Явных багов быть не должно.

В будущем планируется доработать выявленные недостатки меню, и реализовать собственный эмулятор терминала без использования громоздких сторонних библиотек.

Программа распространяется в виде исходных кодов (в основном GPLv2), есть так же готовые пакеты для Debian-based дистрибутивов.

>>> Подробности

 ,

firkax
()

fproxy v80 — локальный прокси-сервер для фильтрации http(s)-трафика

Группа Интернет

Опубликована 80-я версия кэширующего и антиспамного прокси-сервера для персонального использования c гибкими настройками.

( читать дальше... )

>>> Подробности

 , , ,

firkax
()

RSS подписка на новые темы