Лучший способ научиться чему-то — это сделать самостоятельно. В качестве подопытного кролика было решено взять Debian 6.0.3, оказавшуюся под рукой и не шифровавшей домашние каталоги пользователей. На ней весь процесс и производился. Если у вас в качестве ОС используется нечто совсем далёкое, гарантий, что процесс настройки будет таким же — никаких.

Как это работает

Для организации защиты ваших персональных данных в Ubuntu разработчики предпочли eCryptfs — файловую систему, работающую «поверх» любой другой обычной ФС и прозрачно шифрующую/дешифрующую содержимое файлов. Криптографические метаданные eCryptfs хранит в заголовках каждого файла, таким образом вы можете без проблем переносить любой файл между различными системами. Всё это счастье реализовано на уровне ядра Linux, обеспечивая хороший уровень производительности по сравнению с FUSE-шифрованием (например, EncFS).

Установка

Всё, что нужно для работы eCryptfs, во всех современных Linux-дистрибутивах имеются по умолчанию «из коробки». Если же ядро Linux вы собирали самостоятельно, то удостоверьтесь, что в вашей сборке присутствует необходимый модуль:

# modprobe ecryptfs && lsmod | grep ecryptfs

Далее, для работы с eCryptfs нам понадобятся userspace-инструменты, которые в Debain/Ubuntu легко устанавливаются из пакета:

# apt-get install ecryptfs-utils

Монтирование eCryptfs

Чтобы лучше понять и увидеть на практике, как работает eCryptfs, смонтируем какой-нибудь каталог и посмотрим, что происходит в реальности. Для начала создадим пустой каталог, который будем шифровать:

# mkdir /mnt/ecryptfs-demo

Теперь смонтируем созданный каталог используя eCryptfs:

# mount -t ecryptfs /mnt/ecryptfs-demo/ /mnt/ecryptfs-demo/

Обратите внимание, что исходным и целевым каталогом команде mount указан один и тот же каталог. Это несколько «нетрадиционно» для операции монтирования, однако вполне допустимо и удобно. Если вас это запутывает, вы можете использовать разные точки с более осмысленными именами, вроде:

# mount -t ecryptfs /mnt/plaintext/ /mnt/encrypted/

После ввода команды вам необходимо ввести пароль для ключа шифрования:

Passphrase:

Введите пароль, не забывая о том, что его утеря будет означать невозможность получения данных! После ввода пароля вам будет предложено выбрать алгоритм шифрования, с по-умолчанию выбранным AES:

Select cipher:
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
 2) blowfish: blocksize = 16; min keysize = 16; max keysize = 56 (not loaded)
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 (not loaded)
 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16 (not loaded)
Selection [aes]:

Далее вам необходимо выбрать размер ключа:

Select key bytes:
 1) 16
 2) 32
 3) 24
Selection [16]:

Значением следующей опции вы разрешаете или запрещаете доступ к файлам, которые не были зашифрованы при помощи eCrypfs:

Enable plaintext passthrough (y/n) [n]:

Шифровать или нет имена файлов:

Enable filename encryption (y/n) [n]:

Далее вы увидите сводку выбранных опций (их можно использовать в опциях монтирования в будущем):

Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=8f9887d2339cafb0

Если вы впервые монтируете и/или сигнатура этого монтирования не сохранена в кэше, то вас вежливо предупредят о том, что вы могли ввести пароль неверно:

WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key
before. This could mean that you have typed your
passphrase wrong.

Если всё ок, можно подтверждать монтирование:

Would you like to proceed with the mount (yes/no)? : yes

Чтобы избежать в будущем появления вышеуказанного предупреждения, вы можете добавить сигнатуру монтирования eCryptfs в файл:

Would you like to append sig [8f9887d2339cafb0] to
[/root/.ecryptfs/sig-cache.txt]
in order to avoid this warning in the future (yes/no)? : yes

Если всё прошло успешно, вы получите соответствующее сообщение:

Successfully appended new sig to user sig cache file
Mounted eCryptfs

Теперь скопируем что-нибудь в смонтированный каталог:

# cp /etc/passwd /mnt/ecryptfs-demo/

Посмотрим его содержимое и размер:

# cat /mnt/ecryptfs-demo/passwd
...

# file /mnt/ecryptfs-demo/passwd
/mnt/ecryptfs-demo/passwd: ASCII text
# ls -l /mnt/ecryptfs-demo/passwd
-rw-r--r-- 1 root root 911 Feb  7 01:18 /mnt/ecryptfs-demo/passwd

Теперь отмонтируем eCryptfs и посмотри, как изменился наш файл:

# umount /mnt/ecryptfs-demo/

# file /mnt/ecryptfs-demo/passwd
/mnt/ecryptfs-demo/passwd: data
# ls -l /mnt/ecryptfs-demo/passwd
-rw-r--r-- 1 root root 12288 Feb  7 01:18 /mnt/ecryptfs-demo/passwd

Заглянув же вовнутрь файла, вы увидите там лишь двоичные данные.

pam_ecryptfs

Ещё одной довольно интересной и полезной штукой, идущей в поставке eCryptfs, является PAM-модуль pam_ecryptfs. Вызывается этот модуль во время логина пользователя и работает следующим образом. Если в домашнем каталоге обнаруживается файл ~/.ecryptfs/wrapped-passphrase, а также файл ~/.ecryptfs/auto-mount то модуль pam_ecryptfs расшифровывает содержимое файла ~/.ecryptfs/wrapped-passphrase, используя пароль пользователя. Далее расшифрованное содержимое используется в качестве пароля при монтировании каталога ~/.Private в точку ~/Private. Таким образом, пользователю не нужно дополнительно монтировать каталог с личными зашифрованными данными, всё происходит автоматически. Для того, чтобы модуль работал, он должен быть соответствующим образом объявлен в /etc/pam.d/common-auth:

auth    required        pam_ecryptfs.so unwrap

и в /etc/pam.d/common-session:

session optional        pam_ecryptfs.so unwrap

Зашифрованный персональный каталог Private

Чтобы пользователям было сухо и комфортно при самостоятельном создании Private-каталогов, разработчики включили в поставку eCryptfs специальный shell-скрипт ecryptfs-setup-private, который делает всю работу по подготовке персонального шифрованного хранилища:

1. создаёт каталоги  ~/.Private и ~/Private;
2. шифрует пароль монтирования и сохраняет его в ~/.ecryptfs/wrapped-passphrase;
3. позволяет настроить опции автомонтирования/размонтирования и т. п.

Работает сценарий очень просто и при запуске в режиме «по умолчанию» не требует никаких дополнительных параметров:

$ ecryptfs-setup-private

На следующий запрос введите ваш пароль, который используете при аутентификации в системе:

Enter your login passphrase:

После вам будет предложено ввести пароль, который будет использоваться при монтировании. Если не заполнять это поле, то пароль будет сгенерирован автоматически:

Enter your mount passphrase [leave blank to generate one]:

Очередное напоминание для забывчивых:

************************************************************************
YOU SHOULD RECORD YOUR MOUNT PASSPHRASE AND STORE IT IN A SAFE LOCATION.
  ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase
THIS WILL BE REQUIRED IF YOU NEED TO RECOVER YOUR DATA AT A LATER TIME.
************************************************************************

создание файлов, каталогов и тестирование:

Done configuring.
Testing mount/write/umount/read...
Testing succeeded.

И, наконец, сообщение о том, что теперь достаточно перевойти в систему, чтобы начать пользоваться благами цивилизации:

Logout, and log back in to begin using your encrypted directory.

Заново авторизуйтесь с системе и посмотрите, смонтировался ли каталог ~/.Private:

$ mount | grep Private
/home/ashep/.Private on /home/ashep/Private type ecryptfs (ecryptfs_sig=1ed127ee6eb43a05,ecryptfs_fnek_sig=2f5ceedfd83a052d,ecryptfs_cipher=aes,ecryptfs_key_bytes=16)

Всё отлично, самое время проверить работоспособность нашего нового хранилища:

$ echo "Hello, world" > ~/Private/hello.txt
$ ls -l ~/.Private/
total 12
-rw-r--r-- 1 ashep ashep 12288 Feb  7 03:14 ECRYPTFS_FNEK_ENCRYPTED.FWYjLCvTq1c39ETk7I99JlZPttqOZToCEDxsV7hasxemXl1ISz2J-43cKk--

Теперь, когда вы выйдите из системы, модуль pam_ecryptfs автоматически размонтирует точку ~/Private, таким образом оставив ваши данные в зашифрованном каталоге ~/.Private. Если вы не хотите, чтобы каталог ~/Private монтировался и/или размонтировался автоматически, удалите соответственно файл ~/.ecryptfs/auto-mount и/или ~/.ecryptfs/auto-umount.

Также имейте ввиду, что сценарий ecryptfs-setup-private принимает ряд опций, при помощи которых вы можете управляет его поведением:

$ ecryptfs-setup-private --help

Usage:

/usr/bin/ecryptfs-setup-private [-f|--force] [-w|--wrapping] [--nopwcheck] [-n|--no-fnek]
  [-u|--username USER] [-l|--loginpass LOGINPASS]
  [-m|--mountpass MOUNTPASS]

 -f, --force      Force overwriting of an existing setup
 -w, --wrapping   Use an independent wrapping passphrase,
                  different from the login passphrase
 -n, --no-fnek    Do not encrypt filenames; If this flag is
                  omitted, and the kernel supports filename
                  encryption, then filenames will be encrypted
 -u, --username   Username for encrypted private mountpoint,
                  defaults to yourself
 -l, --loginpass  Login/Wrapping passphrase for USER,
                  used to wrap MOUNTPASS
 --nopwcheck      Do not check the validity of the specified
                  login password (useful for LDAP user accounts)
 --noautomount    Setup this user such that the encrypted private
                  directory is not automatically mounted on login
 --noautoumount   Setup this user such that the encrypted private
                  directory is not automatically unmounted at
                  logout
 -m, --mountpass  Passphrase for mounting the ecryptfs directory,
                  defaults to randomly generated 16 bytes
 -b, --bootstrap  Bootstrap a new user's entire home directory
                  Generates a random mount passphrase, which
          will be wrapped when the new login passphrase
          is set. SHOULD ONLY BE CALLED FROM 'adduser'.
 --undo           Provide instructions on how to undo an
                  encrypted private setup
   Be sure to properly escape your parameters according to your
   shell's special character nuances, and also surround the
   parameters by double quotes, if necessary.

Полное шифрование домашнего каталога

Идея хранения критически-важных данных в отдельном каталоге очень даже недурна собой, но не лишена очевидного недостатка. А именно: вы обязаны постоянно выбирать, что нужно шифровать, а что не нужно. Ну, или хранить вообще всё в Private-каталоге, что, мягко-говоря, не очень удобно. Вместо того, чтобы выделять отдельный каталог, не лучше ли зашифровать вообще весь домашний каталог? Именно это и предлагает вам Ubuntu при установке, и именно eCryptfs она для этого использует!

Если вы при установке выбрали опцию, показанную на скриншоте в начале статьи, то вы уже являетесь счастливым защищённым от врага пользователем. Если же это не так, но вам очень хочется спрятать от чужих глаз свои данные в случае чего и вы уже поняли, что eCryptfs — это именно то, что вам нужно для этого, то нет проблем!

Основная загвоздка при полном шифровании домашнего каталога состоит в том, что необходимо «вынести» каталог с зашифрованными данными за пределы точки монтирования. Разработчики Ubuntu решили проблему очень просто:

# ls -l /home/ashep/.Private
lrwxrwxrwx 1 ashep ashep 30 2011-12-07 04:44 /home/ashep/.Private -> /home/.ecryptfs/ashep/.Private

То есть, в домашнем каталоге находится лишь символическая ссылка, следуя которой, eCryptfs монтирует нужный каталог. При этом, точка монтирования переопределена в файле ~/.ecryptfs/Private.mnt и указывает на домашний каталог пользователя, т. е., в данном случае, на /home/ashep. Гениально и просто!

Чтобы избавить вас от необходимости перемещать файлы и настраивать вручную все пути и символические ссылки, разработчики предлагают shell-сценарий ecryptfs-migrate-home, который проделает всю «грязную» работу за вас. Также разработчики предупреждают о том, что этот сценарий может сделать ваши данные недоступными, если вдруг что-то пойдёт не так, поэтому обязательно сделайте резервную копию перед тем, как будете запускать скрипт! Также перед запуском убедитесь, что в системе установлены утилиты rsync и lsof, а также в том, что на разделе, где находится /home, имеется достаточно свободного места.

Сценарий необходимо запускать от root, передав в качестве параметра логин пользователя, который «мигрирует». Пользователь не должен находится в системе, а также от его имени не должно быть запущено ни одного процесса.

# ecryptfs-migrate-home -u ashep

INFO:  Checking disk space, this may take a few moments.  Please be patient.
INFO:  Checking for open files in /home/ashep

************************************************************************
YOU SHOULD RECORD YOUR MOUNT PASSPHRASE AND STORE IT IN A SAFE LOCATION.
  ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase
THIS WILL BE REQUIRED IF YOU NEED TO RECOVER YOUR DATA AT A LATER TIME.
************************************************************************

Done configuring.

INFO:  Encrypted home has been set up, encrypting files now...this may take a while.

========================================================================
Some Important Notes!

 1. The file encryption appears to have completed successfully, however,
    ashep MUST LOGIN IMMEDIATELY, _BEFORE_THE_NEXT_REBOOT_,
    TO COMPLETE THE MIGRATION!!!

 2. If ashep can log in and read and write their files, then the migration is complete,
    and you should remove /home/ashep.81yFQbNJ.
    Otherwise, restore /home/ashep.81yFQbNJ back to /home/ashep.

 3. ashep should also run 'ecryptfs-unwrap-passphrase' and record
    their randomly generated mount passphrase as soon as possible.
 4. To ensure the integrity of all encrypted data on this system, you
    should also encrypted swap space with 'ecryptfs-setup-swap'.
========================================================================

Если всё пройдёт успешно, то, как требует сценарий, мигрировавший пользователь должен войти в систему до перезагрузки. Также обратите внимание, что скрипт оставляет копию незашифрованных данных в отдельном каталоге (в приведённом примере это /home/ashep.81yFQbNJ), который необходимо удалить после того, как пользователь определит, что всё прошло успешно.

Теперь, когда мигрировавший пользователь войдёт в систему, его домашний каталог будет смонтирован следующим образом:

$ mount | grep Private
/home/ashep/.Private on /home/ashep type ecryptfs (ecryptfs_sig=d8324d90c49de223,ecryptfs_fnek_sig=c4c68e3df79abc0a,ecryptfs_cipher=aes,ecryptfs_key_bytes=16)

при этом ~/.Private является символической ссылкой на каталог за пределами домашней папки:

$ ls -l /home/ashep/.Private
lrwxrwxrwx 1 ashep ashep 30 Feb  7 03:48 /home/ashep/.Private -> /home/.ecryptfs/ashep/.Private

Задачей logwatch является избавить вас от необходимости создавать велосипеды в области автоматического анализа лог-файлов. Являясь модульной по своей архитектуре, утилита предоставляет вам возможность легко (если знаете Perl) расширять перечень анализируемых типов лог-файлов. Перечень же типов лог-файлов, которые logwatch умеет анализировать «из коробки», впечатляет: начиная от /var/log/messages и заканчивая логами CISCO-оборудования. Результаты анализа утилита группирует и помещает в отчёт, который может как выводиться в stdout, так и отправляться электронной почтой. Формат отчёта предлагается в двух вариантах: plaintext или HTML, при этом вы можете регулировать уровень детализации отчёта исходя из собственных потребностей.

Установка

Установить утилиту можно либо из исходников, либо же пользуясь штатным менеджером пакетов, благо logwatch присутствует в репозиториях всех популярных дистрибутивов. В Ubuntu/Debian утилита легко устанавливается командой:

# apt-get install logwatch

В процессе установки из пакета в Debian/Ubuntu logwatch автоматически не создаёт нужного ей для хранения временных файлов каталога /var/cache/logwatch, и вам необходимо сделать это самостоятельно:

# mkdir /var/cache/logwatch

Файлы конфигурации logwatch по умолчанию находятся в /usr/share/logwatch, и если вы намерены редактировать какой-либо из них, то делать это нужно не с оригинальным файлом, а с его копии, размещённой в каталоге /etc/logwatch.

Настройка

Основной файл конфигурации logwatch находится в /usr/share/logwatch/default.conf/logwatch.conf и прежде, чем редактировать, скопируйте его:

# cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/

Файл logwatch.conf очень хорошо само-документирован и настолько прост, что у вас не должно быть сложностей с его исправлением.  Среди опций, обычно затрагиваемых при конфигурации, можно отметить следующие:

• LogDir — путь к каталогу, в котором программа будет искать файлы, обычно это /var/log;
• TmpDir — путь к каталогу, в котором утилита будет размещать временные файлы. По умолчанию это /var/cache/logwatch, который мы с вами создали ранее;
• Output — указывает программе метод вывода отчёта. Может быть: stdout (в поток стандартного вывода), mail (почтовым сообщением) или file (в файл);
• Format — определяет формат отчёта. Может иметь значение text или html;
• MailTo — определяет адрес получателя отчёта, если Output = mail;
• MailFrom — определяет адрес отправителя отчёта, если Output = mail;
• Filename — задаёт путь к файлу отчёта, если Ouput = file;
• Archives — используется для указания утилите необходимости анализа не только текущих лог-файлов, но и архивных (например messages.1, messages.2.gz и т. п.). Принимает значения Yes или No;
• Range — за какой период времени отбирать анализируемые сообщения: All, Today или Yesterday;
• Detail — определяет уровень детализации отчёта. Может принимать как числовые значения от 0 (минимум детализации) до 10 (максимум). Также можно использовать синонимы: Low, Med и High, которые соответственно равны числовым 0, 5 и 10;
• Service — этот параметр указывает программе имя службы, логи которой необходимо анализировать. Может иметь значение All или имя службы (имя файла из каталога /usr/share/logwatch/scripts/services/). Если необходимо анализировать логи более одной службы, но не всех, то опцию Service следует определить несколько раз с указанием имён нужных служб, по одной за раз. Если же необходимо анализировать лог-файлы всех служб, кроме некоторых, то необходимо сначала определить Service = All, а затем перечислить мена ненужных служб, предварив их знаком «минус», например: Service = «-zz-network»;

Настраиваемые параметры анализатора для каждой службы  можно найти в /usr/share/logwatch/default.conf/services, а пути размещения лог-файлов каждой службы — в /usr/share/logwatch/default.conf/logfiles. Обычно значений параметров, определённых в этих файлах, достаточно для корректной работы, если в вашей системе все файлы хранятся в каталогах по умолчанию и имеют стандартные имена. Если же у вас в системе некоторые файлы расположены в специфических местах, то вам следует указать logwatch, где их искать. Рассмотрим на примере лог-файлов Apache, конфигурация для которого расположена в файле /usr/share/logwatch/default.conf/logfiles/http:

########################################################
#   Define log file group for httpd
########################################################

# What actual file?  Defaults to LogPath if not absolute path....
LogFile = httpd/*access_log
LogFile = apache/*access.log.1
LogFile = apache/*access.log
LogFile = apache2/*access.log.1
LogFile = apache2/*access.log
LogFile = apache2/*access_log
LogFile = apache-ssl/*access.log.1
LogFile = apache-ssl/*access.log

# If the archives are searched, here is one or more line
# (optionally containing wildcards) that tell where they are...
#If you use a "-" in naming add that as well -mgt
Archive = archiv/httpd/*access_log.*
Archive = httpd/*access_log.*
Archive = apache/*access.log.*.gz
Archive = apache2/*access.log.*.gz
Archive = apache2/*access_log.*.gz
Archive = apache-ssl/*access.log.*.gz

# Expand the repeats (actually just removes them now)
*ExpandRepeats
# Keep only the lines in the proper date range...
*ApplyhttpDate

Как видим, logwatch использует опцию LogFile для определения маски имён лог-файлов, и опцию Archive — для маски архивов. Обратите внимание, что маски файлов указываются относительно каталога, определённого в опции LogDir основного файла конфигурации.  Допустим, у вас есть отдельный каталог для хранения логов Apache, скажем, для отдельного домена. В этом случае необходимо скопировать файл /usr/share/logwatch/default.conf/logfiles/http.conf в /etc/logwatch/conf/logfiles и добавить в него несколько строк:

LogFile = apache2/mydomain.com/access.log
LogFile = apache2/mydomain.com/access.log.1
Archive = apache2/mydomain.com/access.log.*.gz

Запуск

После того, как файлы конфигурации готовы и проверены, достаточно лишь запустить утилиту:

# logwatch

и приступить к анализу полученной информации. Естественно, анализом лог-файлов стоит заниматься как можно чаще, поэтому обычно запуск logwatch осуществляют по расписанию, а многие дистрибутивы автоматически добавляют запуск logwatch в ежедневное расписание планировщика. Например, в Ubuntu/Debian:

$ ls -l /etc/cron.daily/*logwatch*
-rwxr-xr-x 1 root root 268 Mar  4  2011 /etc/cron.daily/00logwatch

Удачного вам анализа!

В данной статье описывается настройка TLS в Apache с использованием self-signed сертификата, что не годится для public-ресурсов, но вполне подойдёт для организации работы с вашим личным/командным сервером.

При написании заметки в качестве тестовой площадки использовался сервер под управлением Debian 6.0 и Apache 2.2.16.

Установка OpenSSL

Прежде чем приступать к настройке SSL-сайта в Apache, необходимо создать ключ шифрования, а также self-signed сертификат этого ключа. Данные действия выполняются утилитами, которые не входят в состав Apache и должны быть установлены отдельно, если их нет в вашей системе. В Debian/Ubuntu всё ставится одной командой:

# apt-get install openssl

В других дистрибутивах название пакета скорее всего будет таким же.

Генерация закрытого ключа и сертификата

В TLS используются асимметричные алгоритмы шифрования, то есть для шифрования и расшифровки данных используется не один ключ, а пара: открытый и закрытый. Открытый ключ сервера передаётся клиенту вместе с сертификатом сервера на стадии генерации сеансового ключа.

Создайте каталог, в котором вы намереваетесь хранить закрытый ключ и сертификат сервера:

# mkdir -p /etc/apache2/ssl

Теперь можно сгенерировать закрытый ключ и self-signed сертификат для него:

# cd /etc/apache2/ssl
# openssl req -new -x509 -nodes -out server.crt -keyout server.key

где server.key — имя файла закрытого ключа, а server.crt — имя файла сертификата.

Перед генерацией утилита предложит ответить вам на несколько вопросов, касательно данных, которыми будут заполнены поля сертификата. Поскольку он самоподписанный, можно не заморачиваться, а оставить всё как есть:

Generating a 1024 bit RSA private key
..............++++++
..............................................................++++++
writing new private key to '/etc/apache2/ssl/server.key'
-----
You are about to be asked to enter information that will be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:
Email Address []:

После того, как ключ и сертификат будут готовы, не забудьте ограничить доступ к файлу закрытого ключа:

# chmod 0600 /etc/apache2/ssl/server.key

Включение mod_ssl

Чтобы иметь возможность пользоваться благами SSL, в Apache необходимо включить соответствующий модуль, реализующий нужный функционал:

# a2enmod ssl

а также включить работу виртуальных хостов на порту 443, отредактировав соответствующий участок файла /etc/apache2/ports.conf:

<IfModule mod_ssl.c>
 Listen 443
 NameVirtualHost *:443
</IfModule>

Настройка сайта Apache

Теперь, когда ключ и сертификат готовы, а поддержка SSL в Apache включена, можно приступать к настройке сайта. Создайте конфигурацию виртуального хоста для вашего защищённого сайта (предположим, что вы расположили его в каталоге /var/www/secure) в файле /etc/apache2/site-available/secure:

<IfModule mod_ssl.c>
<VirtualHost *:443>
 ServerName secure.localdomain
 ServerAdmin webmaster@localhost
 DocumentRoot /var/www/secure
 SSLEngine on
 SSLCertificateKeyFile /etc/apache2/ssl/server.key
 SSLCertificateFile    /etc/apache2/ssl/server.crt
</VirtualHost>
</IfModule>

Обратите внимание на директивы SSL:

• SSLEngine включает или отключает работу модуля mod_ssl;
• SSLCertificateKeyFile определяет путь к файлу закрытого ключа сервера;
• SSLCertificateFile определяет путь к файлу сертификата.

Конечно же, опций, отвечающих за настройку поведения mod_ssl гораздо больше и множество из них определены по умолчанию в файле /etc/apache2/mods-available/ssl.conf. Целью данной заметки являлось создание руководства из серии «за две минуты» и поэтому освещён необходимый минимум знаний. Желающим углубиться в раскопки недр работы и настройки TLS в Apache советую в первую очередь посетить официальную страницу документации, а также справочник по опциям mod_ssl.

Теперь, когда всё готово к работе, можно включать созданный виртуальный хост:

# a2ensite secure

и перезапускать Apache:

# /etc/init.d/apache2 restart

Проверка

Если всё прошло успешно и вы не получили никаких ошибок в результате перезапуска сервера, самое время проверить результаты работы. Открыв в браузере URL вашего сайта, вы должны увидеть предупреждение о риске для вашей безопасности в связи с тем, что сайт использует self-signed сертификат:

Добавив этот сайт в исключения, вы получите полноценное TLS-шифрование трафика, спрятав таким образом от любопытных глаз ваши диалоги с HTTP-сервером:

CryptFolder-Indicator обладает немногочисленными но очень полезными возможностями:

• монтирование, размонтирование каталогов EncFS одним кликом;
• создание новых каталогов EncFS;
• хранение паролей в GNOME Keyring, что избавляет вас от необходимости ручного ввода паролей или хранения их в открытом виде;
• изменение пароля существующих каталогов EncFS.

Для своего детища автор позаботился о создании PPA-репозитория, так что пользователи Ubuntu смогут легко его установить и автоматически получать обновления. Установка занимает минуту:

$ sudo add-apt-repository ppa:atareao/atareao
$ sudo apt-get update
$ sudo apt-get install cryptfolder-indicator

После установки приложения его можно запустить из главного меню GNOME:

После чего в области уведомлений появится индикатор приложения, при помощи которого и осуществляется управление приложением:

Дальше всё совсем просто. Левым кликом по индикатору открываем «Edit crypt folders» и попадаем в диалог редактирования каталогов EncFS:

При помощи кнопки «+» в правой панели окна вызываем диалог добавления нового ресурса и указываем пути каталогов с шифрованным содержимым, открытым содержимым и пароль:

После нажатия «ОК» вы увидите в предыдущем диалоге новый ресурс, который будет автоматически смонтирован:

Чтобы размонтировать ресурс, достаточно снять птичку в столбце «Mounted».

Подобным образом добавьте все ваши каталоги, нуждающиеся в EncFS-шифровании и после закрытия окна «Edit crypt folders» вы сможете монтировать/размонтировать ваши ресурсы одним кликом по ресурсу из выпадающего списка индикатора в панели.

В будущем, если вам понадобится изменить пароль вашего EncFS-каталога, необходимо будет лишь заново открыть окно «Edit crypt folders» и, выделив нужный ресурс, нажать кнопку редактирования.

Удалить добавленный ресурс также очень просто: выберите нужный каталог и нажмите на кнопку удаления справа в панели. Только имейте ввиду: при удалении ресурса будут удалены оба каталога (как шифрованный, так и нешифрованный) со всем содержимым!

Чтобы включить автозапуск приложение а автомонтирование добавленных ресурсов, отмеченных для монтирования, откройте диалоговое окно «Preferences» и отметьте птицей «Autostart»:

Один из вариантов — это шифровать файлы при помощи GnuPG перед отправкой их в удалённое хранилище. При резервном копировании вполне удобный вариант. Несколько по другому обстоит дело с синхронизацией файлов в реальном времени: как вы объясните клиенту DropBox или Wuala то, что перед синхронизацией файлы необходимо шифровать? Я лично не знаю пока такого способа. Из этого следует, что файлы должны быть уже зашифрованы, прежде чем клиент онлайн-сервиса приступит к их отправке на сервер, то есть файлы должны шифроваться в реальном времени и уже готовенькие к отправке лежать в условленном месте.

Для решения этой задачи сегодня мы с вами воспользуемся услугами EncFS — FUSE-ФС, предназначенной для шифрования/дешифровки файлов в режиме реального времени.

EncFS должна присутствовать в репозиториях всех современных дистрибутивов, поэтому установка не должна вызвать у вас проблем. Тех, кому по каким-то причинам необходимы исходные коды, отправляю на официальный веб-сайт EncFS, а в своей Ubuntu всё как всегда предельно просто:

$ sudo apt-get install encfs

Пользоваться EncFS очень просто. Допустим, вам необходимо, чтобы всё, что попадало в каталог ~/private, было зашифровано и в таком виде записано в каталог ~/.encrypted. Для создания такой структуры, достаточно дать команду (каталоги можно не создавать, программа сама создаст их при необходимости):

$ encfs ~/encrypted ~/private

Далее, если каталоги не существуют, программа попросит вас подтвердить их создание:

The directory "/home/ashep/encrypted" does not exist. Should it be created? (y,n) y
The directory "/home/ashep/private" does not exist. Should it be created? (y,n) y

После этого вам необходимо выбрать опции шифрования:

Please choose from one of the following options:
 enter "x" for expert configuration mode,
 enter "p" for pre-configured paranoia mode,
 anything else, or an empty line will select standard mode.

Здесь вы можете просто нажать «Enter», что приведёт к выбору стандартных опций. Выбрав «p», вы включите «параноидальный» режим, в котором предустановки настроены на обеспечение максимальной безопасности (естественно, за счёт производительности). Если же вы разбираетесь в терминах криптозащиты, вы можете выбрать «x» и настроить все, как вашей душе угодно.

После этого вы получите сообщение о том, с какими параметрами будет создаваться файловая система, а также в некоторых случаях небольшое предупреждение о невозможности использования жёстких ссылок:

Configuration finished.  The filesystem to be created has
the following properties:
Filesystem cipher: "ssl/aes", version 2:2:1
Filename encoding: "nameio/block", version 3:0:1
Key Size: 256 bits
Block Size: 1024 bytes, including 8 byte MAC header
Each file contains 8 byte header with unique IV data.
Filenames encoded using IV chaining mode.
File data IV is chained to filename IV.
File holes passed through to ciphertext.
-------------------------- WARNING --------------------------
The external initialization-vector chaining option has been
enabled.  This option disables the use of hard links on the
filesystem. Without hard links, some programs may not work.
The programs 'mutt' and 'procmail' are known to fail.  For
more information, please see the encfs mailing list.
If you would like to choose another configuration setting,
please press CTRL-C now to abort and start over.

И приглашение дважды ввести пароль:

Now you will need to enter a password for your filesystem.
You will need to remember this password, as there is absolutely
no recovery mechanism.  However, the password can be changed
later using encfsctl.
New Encfs Password:
Verify Encfs Password:

На этом всё. В каталоге ~/encrypted будет создан файл .encfs6.xml, содержащий всю необходимую информацию для работы EncFS:

Теперь, если поместить в каталог ~/private файлы/каталоги, в каталоге ~/encrypted появятся зашифрованные версии этих файлов и каталогов:

После того, как вы закончите работу и виртуальная ФС вам больше не понадобится, вы можете вручную отмонтировать её:

$ fusermount -u ~/private

И остаться наедине с зашифрованными версиями ваших файлов:

Позже, когда вам снова понадобится незашифрованное содержимое, просто смонтируйте каталог ~/encrypted в каталог ~/private (или какой вам больше подходит) той же командой, которой мы создавали зашифрованный каталог ранее.

Теперь осталось только настроить синхронизацию каталога ~/encrypted с вашим любимым онлайн-хранилищем и уже не стоит волноваться о возможном потустороннем доступа к вашим секретам.

Ко всему прочему, если ваши данные локально надёжно защищены, вы можете создать небольшой shell-сценарий, который бы автоматически  монтировал шифрованный каталог при входе в систему:

#!/bin/bash
echo ВАШПАРОЛЬ | encfs -S ~/encrypted ~/private

Здесь опция '-S' сообщает encfs о том, что пароль следует считывать из стандартного ввода, а не запрашивать интерактивно. Сам пароль передаётся через конвейер при помощи echo. Ещё раз обращу внимание: не пользуйтесь таким способом, если есть большая вероятность того, что доступ к вашим локальным файлам будет получить очень просто. Храните деньги в сберегательной кассе используйте шифрованные файловые системы!

Опять пролили пиво на любимое кресло? Святое дело, после проливания его на клавиатуру. Не расстраивайтесь. Химчистку мебели на дому быстро, качественно и недорого можно заказать на himchistkamebeli.ru! Клавиатуры, правда, не чистят :(

По этим и некоторым другим причинам онлайн-сервис хранения файлов DropBox стал таким популярным.  Предоставляя пользователям бесплатного аккаунта 2 гигабайта дискового пространства, DropBox даёт возможность пользователям иметь резервные копии особо важных файлов, при этом получать к ним доступ почти с любого компьютера, подключённого к сети, а также делиться отдельными или всеми файлами хоть со всем миром!

Однако многие не обратили внимание на одно «но». Ваши файлы, хранящиеся на серверах DropBox, находятся там в открытом виде, то есть любой недобросовестный сотрудник DropBox или же умник, получивший доступ к содержимому их хранилища с помощью взлома, получит доступ к вашим файлам. Хорошо, конечно, если самым «страшным» среди ваших секретов окажется то, как вы с нарисованными усами спите в ванной на вечеринке друга, посвящённой дню системного администратора... А что, если у вас есть данные, закрытость которых от публичного доступа определяет побольше, вплоть до вашего благополучия и свободы? Что, если благодаря известным уязвимостям в DropBox, кто-то сможет получить то, что ему вовсе не предназначалось?

Рад вам представить Wuala — безопасное онлайн-хранилище файлов из Швейцарии. Во многом Wuala предоставляет те же возможности, что и DropBox, однако есть интересные дополнения, о которых мы с вами поговорим далее в этой статье, а пока — краткий перечень возможностей сервиса:

• Безопасность. Данные, хранящиеся на серверах Wuala, а также в локальном кэше клиента, установленного в вашем компьютере, надёжно зашифрованы. Ко всему прочему ваш пароль никогда не передаётся сервису, поэтому доступ к нему никто кроме вас получить не может (естественно, если вы его сами кому-нибудь не сообщите).
• Резервное копирование и контроль версий. Wuala позволяет хранить различные версии одних и тех же файлов, что даст вам возможность не беспокоиться в случае ненужного случайного удаления или изменения файлов.
• Синхронизация. При помощи этой функции вы сможете автоматически синхронизировать ваши файлы между несколькими компьютерами, что избавит вас от необходимости настраивать синхронизацию или же выполнять ручное копирование фалов между компьютерами.
• Доступ отовсюду. Вы сможете получить доступ к своим файлам из любой точки мира, таким образом вам не нужно постоянно таскать с собой ноутбук.
• Разделение доступа. При помощи Wuala вы сможете избавиться от необходимости отправлять файлы вашим  друзьям, коллегам и знакомым по почте.
• Совместная работа. Вы можете создавать группы пользователей, и предоставлять им ваши файлы для совместной работы, что опять-таки избавит вас от необходимости обмениваться с коллегами изменёнными версиями файлов по почте.
• Торговля дисковым пространством. Вы можете обменивать свободное дисковое пространство вашего компьютера на дополнительное пространство для вашей учётной записи на Wuala.

Ниже вы можете посмотреть промо-ролик Wuala на английском, наглядно демонстрирующий всё вышеперечисленное:

Установка

Клиент Wuala создан на Java и существует для нескольких платформ: Linux, Mac, Windows, Android и iPhone. В этой статье рассматривается установка Wuala под Ubuntu Linux 10.10, а на сайте сервиса вы сможете найти установщик или пакет для вашей платформы, если она отличается от рассматриваемой здесь.

Перейдите на сайт сервиса и кликните по большой красной кнопке Download:

после чего вы будете автоматически перемещены на страницу загрузок, соответствующую вашей ОС, где сможете выбрать подходящую вашей платформе ссылку на скачивание установочного пакета. Я выбрал свой вариант:

После того, как файл будет сохранён, установите его удобным для вас способом. Я выбрал для этих целей Ubuntu Software Center:

Теперь, когда пакет установлен, ссылка на запуск приложения появилась в Gnome Menu:

Запустив приложение, необходимо создать новую учётную запись, если у вас ещё нет таковой:

Вы получите изначально 2 гигабайта дискового пространства вместо одного, если введёте при регистрации промо-код 7NKMKJCG3AP74GGKAPAB в поле «Promo code»

Если всё пройдёт успешно, перед вами откроется клиент Wuala, отображающий содержимое ваших данных, хранящихся на сервисе:

а также значок программы в системном лотке:

Всё, вот и вся установка!

Интеграция с файловой системой

У клиента Wuala есть возможность интегрироваться в файловую систему а-ля DropBox, то есть, для сохранения файлов на сервере Wuala, вам их нужно просто поместить в специальный каталог. Этот самый специальный каталог создаётся программой в домашнем каталоге пользователя, что мне не очень понравилось и я решил отключить эту опцию, а для управления файлами использовать возможности клиента Wuala.

Если вам, подобно мне, больше нравится именно такой вариант, откройте меню «Edit — Preferences...» и в разделе «General» снимите птичку «Enable filesystem integration», после чего перезапустите Wuala, кликнув правой кнопкой по значку программы в системном лотке, выбрав «Exit» и запустив её снова.

Добавление каталогов

Чтобы добавить в хранилище каталог с файлами, выберите в меню клиента «File — Add Folder to Wuala» и укажите нужный каталог с файлами:

и после нажатия «ОК» дождитесь добавления всех файлов:

Вуаля! Вот и наш каталог на серверах Wuala:

Просмотр свойств файлов и каталогов, комментарии

После того, как вы добавили файлы/каталоги в Wuala, вы можете просматривать их свойства при необходимости. Сделать это можно либо при помощи контекстного меню файла/каталога, выбрав «Properties...»:

либо развернув панель свойств, кликнув на небольшой выступающий треугольник в окне клиента справа:

Как видно, в окне свойств в отличие от панели предлагается больше информации и различных действий. В частности, вы можете увидеть и скопировать ссылку для доступа к объекту через веб, и сменить область видимости объекта (об этом — дальше). Зато в панели свойств вы можете добавлять комментарии к объектам, чего нельзя сделать непосредственно из окна свойств. Также комментарии можно добавлять из контекстного меню объекта, выбрав «Add Comment...».

Корзина

Думаю, вы уже обратили внимание на присутствие корзины в клиенте. Да, это именно то, о чём вы подумали! Удаляя файлы на сервисе, вы удаляете их в корзину, что весьма удобно, а иногда и крайне полезно, поскольку восстановить случайно удалённое в этом случае — дело пары секунд.

Резервные копии

О необходимости резервного копирования уже столько разговоров говорено, что кажется, ежу понятна важность сего дела. Однако сплошь и рядом возникают ситуации, когда пользователи, надеясь на «авось» и попросту говоря, проявляя свою лень во всей своей красе, пальцем не пошевелили, чтобы хоть как-то обеспечить сохранность своих данных.

Думаю, благодаря Wuala, энтузиастов делать резервные копии должно стать больше, поскольку настроить резервное копирование в этом случае — дело пары минут, после чего данные будут храниться в надёжном «облаке» сервиса, откуда вы всегда сможете извлечь нужное в случае каких-то непредвиденных ситуаций. Вдобавок отслеживание версий файлов даст вам возможность извлечь нужный файл в нужном состоянии.

Чтобы создать объект резервного копирования, необходимо в верхней панели клиента (или в меню «File») нажать кнопку «New» и в появившемся меню выбрать «Backup...», после чего в появившемся окне выбрать источник для создания резервных копий, указать каталог для хранения бэкапов на сервисе, опционально указать фильтр для отсева ненужных файлов и частоту созданий копий:

После нажатия на кнопку «ОК» окно клиента примет примерно такой вид, показывая в верхней части информацию о резервной копии:

Теперь Wuala будет наблюдать за изменениями в файлах указанного вами каталога и при необходимости отправлять изменения на сервис. Если вдруг в какой-то момент вам понадобится восстановить из резервной копии файл или каталог в каком-то состоянии, вы сможете сделать это при помощи контекстного меню:

Синхронизация

Синхронизацию часто путают с резервным копированием из-за того, что многие рассматривают резервное копирование как «процесс создания копии чего-то где-то», что не совсем правильно. Резервное копирование, как правило, подразумевает контроль версий файлов. А вот синхронизация — нет. Задача синхронизации файлов состоит в том, чтобы поддерживать одинаковость состояний файлов и каталогов во всех синхронизируемых точках. В этом смысле данная функция Wuala полностью аналогична функции DropBox.

Чтобы создать объект синхронизации, необходимо в верхней панели клиента (или в меню «File») нажать кнопку «New» и в появившемся меню выбрать «Sync...», после чего в появившемся окне выбрать источник синхронизации и указать каталог для хранения объекта синхронизации на сервисе:

После нажатия на кнопку «ОК» вы увидите созданный объект синхронизации, а в верхней панели — информацию о том, между сколькими компьютерами он синхронизируется:

Совместная работа

Для организации совместной работы над файлами в Wuala сперва необходимо создать «группу». Работа в группе аналогична работе с «персональном» режиме, то есть вы можете так же добавлять файлы, каталоги, резервные копии, синхронизации, только при этом работать над файлами сможете не только вы, но и члены группы, которым вы дадите доступ.

Чтобы создать группу, в верхней панели клиента (или в меню «File») нажмите кнопку «New» и в появившемся меню выберите «Group...». В следующем окне необходимо выбрать имя для вашей группы, её тип и нажать «Create»:

Обратите внимание на опцию «Web access through secret weblink», отметив которую вы сможете предоставить доступ другим через веб к файлам группы при помощи секретной ссылки. При необходимости вы можете создать открытую группу, переставив переключатель на «Public Group». Файлы такой группы будут доступны для чтения всем, в том числе и поисковым ботам и к группе смогут присоединяться все желающие. Присоединившиеся к группе пользователи получат доступ к файлам на запись.

После того, как файлы добавлены, можно приглашать участников, воспользовавшись контекстным меню группы:

Приглашённые в группу пользователи могут иметь одну из трёх ролей. Имена и права этих ролей можно редактировать в окне управления группой, доступном из контекстного меню группы «Manage Group...»:

Используя переключатель «Default Role for new Members», вы можете определять роль по умолчанию для новых участников вашей группы.

Общий доступ к файлам

Часто бывает нужно поделиться с кем-то парой-тройкой файлов, при этом нет никакого желания заморачиваться с отправкой файла электронной почтой (ох уж эта лень человеческая!). Wuala предлагает простой и быстрый способ предоставления общего доступа к вашим файлам (точнее, каталогам). Кликните по нужному каталогу правой кнопкой и в контекстном меню выберите «Share this Folder — Sharing & Access...»:

В появившемся окне вы сможете выбрать нужный вам способ предоставления общего доступа к каталогу, а также выбрать пользователей из ваших Wuala-контактов:

Торговля пространством

Если у вас какое-то количество свободного дискового пространства, которым вы не прочь поделиться с другими, вы можете сделать это в обмен на дополнительное пространство от Wuala для себя. Единственное условие: вы должны быть в онлайне не менее 4 часов в сутки. Для того, чтобы включить опцию торговли пространством, откройте «Edit — Preferences...», перейдите в раздел «Trading» и поставьте птичку «Trade up to», выбрав количество гигабайт, которые вы готовы предоставить народу в раздельное пользование:

Локализация

Ах, да, чуть не забыл! Интерфейс клиента Wuala переведён на множество языков, среди которых есть и русский:

Резюме

Отличный сервис, во многом превосходящий DropBox. Гибкость и безопасность, а также недорогие расценки (от 19 евро за 10 гигабайт в год) делают Wuala отличным решением для тех, кому нужно надёжное хранилище для своих файлов.

Карта ссылок, к которой идёт речь, содержит URL более чем 7100 текстовых файлов, каждый из которых содержит 5000 ссылок на Google-профили. Такие карты предназначены для того, чтобы облегчить другим поисковым веб-службам индексацию профилей пользователей Google. В большинстве случаев Koot удалось получить не только имена пользователей (которые по сути являются почтовыми адресами), но и реальные имена людей, информацию об образовании, местах работы, месте жительства, ссылки на профили Twitter и LinkedIn, а также ссылки на фотоальбомы Picasa. Спамерам подобный набор информации окажется явно полезным.

Небольшие исследования показали, что большое число пользователей оставляют в открытом доступе свои фотографии. Чтобы проверить, доступен ли ваш Google-профиль поисковым машинам, проверьте настройки вашей учётной записи, выберите «Изменить профиль», после чего проверьте состояние параметра «Доступность для поиска».

Прошлым летом некто собрал коллекцию информации о более чем 170 миллионах пользователей Facebook, сделав их доступными всем при помощи BitTorrent. Осенью 2009-го подросток, пользуясь краулером, смог собрать данные из более чем миллиона профилей немецкой социальной сети SchülerVZ, что вызвало вопрос: является ли сбор публичных данных пользователей преступлением и если да, то насколько серьёзным? В случае с SchülerVZ человек был арестован по подозрению в хищении данных, однако обвинения были сняты из-за того, что подозреваемый совершил самоубийство, находясь в камере.

Источник: h-online.com

В большинстве современных дистрибутивов Nmap присутствует в стандартных репозиториях. Если к используемой вами системе это не относится, вы можете получить исходные коды утилиты и некоторые бинарные сборки со страницы загрузок проекта.

Синтаксис вызова утилиты из командной строки следующий:

nmap <опции> цель

Допустим, вам необходимо попытаться определить тип и версию запущенной ОС на удалённой системе target.host.com. Запустите Nmap с опцией '-O' (использование этой опции требует администраторских привилегий):

# nmap -O target.host.com

Опрос удалённой системы займёт некоторое время и после того, как он завершится, вы получите вывод, подобный представленному ниже:

Starting Nmap 5.21 ( http://nmap.org ) at 2010-02-27 23:52 EST
Nmap scan report for 10.0.0.1
Host is up (0.0015s latency).
Not shown: 997 closed ports
PORT      STATE SERVICE
53/tcp    open  domain
5009/tcp  open  airport-admin
10000/tcp open  snet-sensor-mgmt
MAC Address: 00:11:24:6B:43:E2 (Apple Computer)
Device type: WAP|printer
Running: Apple embedded, Canon embedded, Kyocera embedded, Xerox embedded
OS details: VxWorks: Apple AirPort Extreme v5.7 or AirPort Express v6.3; Canon imageRUNNER printer (5055, C3045, C3380, or C5185); Kyocera FS-4020DN printer; or Xerox Phaser 8860MFP printer
Network Distance: 1 hop
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.21 seconds

Как вы видите, Nmap предоставил достаточно много информации. В представленном примере Nmap выполнил ряд тестов, на основании которых попытался определить тип и версию ОС, используемую на хосте. Приведённый выше вывод Nmap — результат сканирования роутера Apple Airport Extreme. Помимо того, что Nmap сообщил нам тип предполагаемой ОС, он также вывел информацию о сетевой удалённости устройства, MAC-адрес и производителя сетевого интерфейса, перечень открытых портов и время, затраченное на сканирование.

Ниже представлен вывод другого сканирования, хоста под управлением Ubuntu 9.10:

Starting Nmap 5.21 ( http://nmap.org ) at 2010-02-28 00:00 EST
Nmap scan report for 10.0.0.6
Host is up (0.0039s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
MAC Address: 00:17:08:2A:D6:F0 (Hewlett Packard)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.19 - 2.6.31
Network Distance: 1 hop
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 3.40 seconds

Здесь мы видим, что производителем сетевого интерфейса является HP, операционной системой является Linux с ядром версии в районе 2.6.19-2.6.31. Вообще, точно определить версию ядра Linux с помощью Nmap обычно невозможно.

Предупреждение

В приведённых выше примерах я сканировал свой собственный роутер и одну из рабочих станций, находящихся в моей сети, поскольку я имею на то полное право. В принципе вы можете сканировать любой хост, какой пожелаете, однако, не очень хорошая идея заниматься сканированием чужих сетей и хостов без разрешения их владельцев. Если вам нужен хочт для экспериментов, сообщество готово вам его предоставить по адресу scanme.nmap.org. Этот хост специально создан для тестирования Nmap, только если вы не собираетесь тестировать на нём атаки типа DoS.

Некоторые администраторы без понимания относятся к неожиданным сканированиям их сетей, поэтому не вылезайте за рамки и сканируйте те хосты, которые вам разрешено сканировать. Помимо всего прочего, действие некоторых агрессивных методов сканирования Nmap могут выходить за рамки правил, установленных вашим провайдером, так что будьте внимательны.

Сканирование нескольких хостов

За один запуск Nmap вы можете сканировать более одного хоста. Если в качетсве целей сканирования вы используете IP-адреса, вы можете передавать их Nmap в виде диапазонов, например: 10.0.0.1-6 или 10.0.0.0/24. Первый способ определяет диапазон IP-адресов c 10.0.0.1 по 10.0.0.6, а вторая — с 10.0.0.1 по 10.0.0.254, т. е. всю подсеть 10.0.0.0 с маской 24 в CIDR-нотации. Например, если вы хотите выполнить сканирование хостов с IP-адресами 10.0.0.1-10.0.0.42, команда будет следующей:

# nmap -O 10.0.0.1-42

Если же вы используете имена хостов вместо адресов, то просто перечислите имена через пробел:

# nmap -O host1.target.com host2.target.com

Поиск открытых портов

Если вы запустите Nmap без опций, передав ему лишь имя целевого хоста, то Nmap выполнит сканирование цели на предмет открытых сетевых портов и служб их прослушивающих. Например:

$ nmap target.hostname.com

Interesting ports on target.hostname.com (10.0.0.88):
Not shown: 1711 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
3306/tcp open  mysql
Nmap done: 1 IP address (1 host up) scanned in 0.228 seconds

Здесь вы можете увидеть, что на целевом хосте открыты порты 22, 80 и 3306 с перечислением названий сервисов, сидящих на этих портах, соответственно ssh, http и mysql. Nmap распознаёт шесть состояний портов: open (открыт), closed (закрыт), filtered (порт недоступен, скорее всего фильтруется файрволом), unfiltered (порт доступен, но состояние определить не удалось), open|filtered (открыт или фильтруется файрволом), и closed|filtered (закрыт или фильтруется файрволом).

Если вам нужна более детальная информация, воспользуйтесь одинарной или двойной опцией '-v', например:

$ nmap -vv host.target.com

Initiating Ping Scan at 11:44
Scanning 10.0.0.28 [1 port]
Completed Ping Scan at 11:44, 0.00s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 11:44
Completed Parallel DNS resolution of 1 host. at 11:44, 0.00s elapsed
Initiating Connect Scan at 11:44
Scanning host.target.com (10.0.0.28) [1714 ports]
Discovered open port 22/tcp on 10.0.0.28
Discovered open port 80/tcp on 10.0.0.28
Discovered open port 3306/tcp on 10.0.0.28
Completed Connect Scan at 11:44, 0.08s elapsed (1714 total ports)
Host host.target.com (10.0.0.28) appears to be up ... good.
Interesting ports on host.target.com (10.0.0.28):
Not shown: 1711 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
3306/tcp open  mysql
Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.104 seconds

Сканирование служб

Если вам необходимо выяснить как можно подробней, что за сервис болтается на том или ином порту, попробуйте воспользоваться опциями '-sV'. Эти опции заставляют Nmap вместо обычного сканирования портов, произвести более агрессивное сканирование, опрашивая сервисы, находящиеся на том или ином порту. Также этот метод иногда позволяет более точно определить тип и версию используемой на целевой системе ОС.

$ nmap -sV target.host.com

Starting Nmap 5.21 ( http://nmap.org ) at 2010-02-28 00:15 EST
Nmap scan report for test.host.net (XX.XXX.XXX.XX)
Host is up (0.090s latency).
Not shown: 965 closed ports, 33 filtered ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)
80/tcp open  http    Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.10 with Suhosin-Patch)
Service Info: OS: Linux
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.43 seconds

Как видно из вывода выше, Nmap определил серверы SSH-4.7 и Apache-2.2.8, находящиеся на портах 22 и 80. Также из названий версий ПО удаётся определить, что сервер работает под Ubuntu Linux. Такой метод сканирования может оказаться весьма кстати, когда вам необходимо выявить устаревшие версии ПО, работающие на ваших хостах, которые могут быть подвержены известным угрозам.

Кто живёт в моей сети?

Не уверены точно, что знаете обо всех обитателях своей сети? Попробуйте запустить Nmap с параметрами '-sP' и он выполнит обычное пинг-сканирование, определяя лишь отвечающие хосты, не прибегая к сканированию портов. Например, чтобы определить «живых» в подсети 10.0.0.0/24, достаточно простой команды:

$ nmap -sP 10.0.0.0/24

Или же, как было сказано выше, вы можете указать диапазон хостов, а не всю подсеть. Например:

$ nmap -sP 10.0.0.1-16

Zenmap

Если работа в режиме командной строки — не ваш конёк, вы можете воспользоваться Zenmap — GUI-утилитой, облегчающей построение командной строки Nmap, а также обладающую некоторыми бонусами вроде построения графической карты сети.

Zenmap обладает предустановленными профилями сканирования, которые вы можете просто выбрать из выпадающего списка и, возможно, не погружаться в тонкости работы опций Nmap. Zenmap — отличный инструмент для тех, кто ещё только собирается познакомиться с Nmap или просто желает с ним поиграть. Если же вам по долгу службы придётся использовать Nmap часто, то конечно же, обязательно изучите документацию к нему и потратьте время на эксперименты.

Итоги

В будущих статьях об Nmap мы более плотно прикоснёмся к этому невероятно мощному инструменту. А пока, я надеюсь, эта статья даст некоторый стимул к его изучению тем, кто ещё этого не сделал.

По материалам Linux.Com

Исследуя клиент под Windows, Newton обнаружил серьёзную уязвимость при работе ПО с данными для доступа к учётной записи. В процессе установки клиента сервиса от пользователя требуется ввод персональных данных учётной записи, на основании которых в процессе установки генерируется токен аутентификации, т. н. host_id, который впоследствии локально сохраняется в файле %APPDATA%\Dropbox\config.db системы.

Newton сообщает, что host_id не привязан к системе, на которой он был сгенерирован и, следовательно, может быть перенесён ан другие системы. Эта возможность может быть использована троянскими конями для передачи config.db злоумышленникам, которые в последствии смогут подключаться к сервису от имени взломанной системы и получить доступ к файлам пользователя. Такие подключения, очевидно, никак не могут быть обнаружены, поскольку используется host_id взломанной системы. Никаких запросов для ввода персональных данных при подключении не выводится и никакие посторонние хосты в списке подключённых к сервису систем пользователь не увидит.

Смена пароля в качестве превентивной меры не поможет, поскольку это действие никак не изменяет содержимое host_id. Исключить неавторизованное использование host_id можно перейдя на www.dropbox.com/account и выбрав «My Computers», а затем «Unlink»для скомпрометированной системы.

Newton считает, что подобная дыра в безопасности образовалась из-за недостатков в архитектуре ПО клиента для Windows. Он не уверен, присутствует ли подобная уязвимость в клиенте для других ОС, однако скорей всего, это так, поскольку архитектура клиентской части сервиса для всех платформ одинакова. Newton советует корпоративным пользователям пока воздержаться от использования Dropbox. Эксперт также рекомендует хранить важные файлы на сервисе в зашифрованном виде, а также отключить все неиспользуемые системы от сервиса, чтобы уменьшить риск использования злоумышленниками украденных файлов config.db.

В обсуждении, развернувшемся на форуме Dropbox, главный технический директор проекта Arash Ferdowsi выразил своё несогласие с заявлениями эксперта. Он отметил тот факт, что как только некто получает несанкционированный физический, или при помощи трояна, доступ к файловой системе компьютера, битву можно считать проигранной, поскольку злоумышленник получает доступ ко всем данным системы. Но, несмотря на это, Ferdowsi соглашается с тем, что токен аутентификации необходимо защитить. Он говорит, что компания «очень внимательно относится ко всем идеям повышения безопасности, которые можно сделать» и внедряет их в новых версиях клиента Dropbox. Он упомянул о вариантах использования более сложных токенов, изменения прав доступа к файлам, а также запутывания фактического местоположения токена. Также в качестве варианта рассматривается генерация токена с использованием информации, специфичной и уникальной для каждой системы, исключив таким образом несанкционированное использование токенов аутентификации.

Источник: h-online.com

Вообще, на мой взгляд, очень странно что сегодня многие популярные сайты, требующие от пользователя авторизации в том или ином виде, всё ещё не предлагают выполнять это посредством HTTPS. Чем вызвано отношение владельцев таких сайтов к пользователям — непонятно. Но сегодня не об этом. Сегодня мы будем делать защищённым наш собственный сервер.

Ещё раз напоминаю на всякий случай: все примеры, приводимые в этой серии статей, применимы к Debian 5 «Lenny». То есть в вашем дистрибутиве Linux/UNIX могут отличаться пути к файлам конфигурации и init-сценариям. В остальном всё должно быть точно так же. В любом случае, вы всегда можете задать вопрос в комментариях или же попытаться разобраться самостоятельно.

Генерация сертификата и закрытого ключа

Для работы HTTPS (который попросту говоря является HTTP, «завёрнутым» в SSL) на стороне сервера требуется наличие закрытого ключа шифрования, а также SSL (X.509) сертификата, содержащего в том числе открытый ключ, передаваемый клиенту в процессе работы протокола. Если у вас есть сертификат выпущенный для вас специально вы можете использовать его. Я же в этой статье буду использовать ключ и self-signed сертификат сгенерированные самостоятельно.

Для генерации X.509-сертификата и закрытого ключа шифрования понадобится установленный пакет openssl. В системе он, как правило, присутствует по умолчанию, однако если это не так, вы можете установить его традиционным в Debian способом:

# apt-get install openssl

Теперь создайте каталог, в котором будут храниться сертификат и ключ:

# mkdir /etc/nginx/ssl

Перейдите в созданный каталог и создайте ключ и сертификат при помощи команды:

# cd /etc/nginx/ssl
# openssl req -new -x509 -nodes -out server.crt -keyout server.key

Вам необходимо будет ответить на вопросы, касающиеся идентификационных данных сертификата, после чего будут созданы два файла: server.crt и server.key, являющиеся сертификатом и ключом соответственно. Не забудьте прикрыть посторонним доступ к ключу вашего сервера:

# chmod 0600 /etc/nginx/ssl/server.key

Настройка Nginx

Теперь, когда все необходимые компоненты для организации работы SSL в вашем Nginx готовы, можно приступать к настройке самого Nginx. Создайте новый файл конфигурации, в каталоге /etc/nginx/sites-available с именем, например, secured и следующим содержимым:

server {
  listen 443;
  server_name  secured;
  access_log  /var/log/nginx/secured.access.log;
  error_log  /var/log/nginx/secured.error.log;
  ssl on;
  ssl_certificate /etc/nginx/ssl/server.crt;
  ssl_certificate_key /etc/nginx/ssl/server.key;
  location / {
    root   /var/www/secured;
    index  index.html index.htm;
  }
}

Все параметры, за исключением трёх, вам должны быть знакомы из предыдущих статей про Nginx. Сейчас же рассмотрим три новых параметра конфигурации.

Обратите внимание на значение параметра listen равное 443. Оно является таким потому, что веб-браузеры при использовании HTTPS-протокола по умолчанию будут пытаться соединяться именно на порт 443. Оправдаем их ожидания ;)

Установка значения опции ssl равным on включает в работу модуль сервера http_ssl_module (кстати, если вы собирали Nginx из исходных кодов, обратите внимание, чтобы вы собрали его с этим модулем, иначе SSL работать не будет).

При помощи опции ssl_certificate Nginx узнаёт о том, где хранится SSL-сертификат.

Значением параметра ssl_certificate_key опрделеяется местоположение файла закрытого ключа.

Также следует отметить, что перечисленные параметры могут встречаться как в контексте секций server, так и в общей секции. Иными словами, вы можете использовать либо один ключ и сертификат для всех виртуальных серверов, или же для каждого свой.

Теперь создайте root-каталог для хранения контента сервера и разместите там что-нибудь, вроде файла index.html с каким-нибудь содержимым.

# mkdir /var/www/secured
# echo "Test" > /var/www/secured/index.html

Осталось «включить» наш новый безопасный виртуальный хост:

# ln -s /etc/nginx/sites-available/secured /etc/nginx/sites-enabled/secured

И перезапустить сервер:

# /etc/init.d/nginx restart

Теперь попробуйте подключиться из вашего любимого браузера к вашему серверу по HTTPS-протоколу. Как правило, браузеры «гавкают» на сертификат, который невозможно проверить. Это логично, поскольку мы используем selfsigned-сертификат, не удостоверенный ни одним CA. В случае, если вы располагаете сертификатом выпущенным специально для вашего домена и подписанного центром сертификации, такого сообщения от вашего браузера вы получить, само-собой, не должны.

Как говорилось в предыдущей статье, файл конфигурации vsftpd в различных системах по умолчанию располагается в различных местах:

• в FreeBSD — /usr/local/etc/vsftpd.conf
• в Fedora — /etc/vsftpd/vsftpd.conf
• в Debian — /etc/vsftpd.conf

Создание SSL-сертификата

Прежде чем vsftpd сможет функционировать в качестве TLS FTP-сервера, необходимо создать сертификат, содержащий необходимые данные для работы протокола TLS в том числе и закрытый ключ.  Сертификат мы будем создавать self-signed, хотя никто не мешает вам в случае необходимости использовать сертификат подписанный одним из доверенных центров сертификации.

Для генерации сертификата используется присутствующая практически во всех системах утилита openssl.

# /usr/bin/openssl req -x509 -nodes -days 3065 -newkey rsa:1024 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

Обратите внимание на значение параметра -days, определяющее срок действия сертификата и выберите подходящий для вас вариант. И, естественно, не забудьте убедиться в правильности пути, где будете размещать файл сертификата. После ввода команды вам необходимо будет ответить на несколько вопросов касательно идентификационной информации ключа и в завершении вы получите готовый файл сертификата и закрытого ключа в указанном вами месте.

Настройка vsftpd

Теперь, когда сертификат и закрытый ключ готовы, можно переходить к настройке vsftpd. Откройте конфигурационный файл vsftpd.conf в вашем любимом текстовом редакторе и добавьте/измените параметры, описанные ниже.

Первым делом необходимо включить использование SSL:

ssl_enable=YES

Если необходимо, разрешить анонимным пользователям использовать SSL:

allow_anon_ssl=YES

Указать расположение файла, содержащего сертификат и закрытый RSA-ключ:

rsa_cert_file=/etc/vsftpd/vsftpd.pem

На этом всё. Осталось перезапустить vsftpd. В FreeBSD:

# /usr/local/etc/rc.d/vsftpd restart

В Debian/Fedora:

# service vsftpd restart

Конечно же, vsftpd обладает ещё массой параметров, управляющих настройкой TLS-соединений. Как правило, приведённых мной вполне достаточно для работы, оставив остальные в состоянии «по умолчанию». Если же вам требуется настроить TLS в vsftpd более тонко, вы можете обратиться к man-странице демона.

TLS FTP-клиенты

Теперь, когда всё настроено и сервер перезапущен, можно подключаться. Чтобы подключиться к FTP-серверу, используя TLS, необходимо чтобы ваш клиент имел поддержку этого протокола. Из консольных клиентов под UNIX/Linux рекомендую:

• lftp — доступен в FreeBSD/Debian/Fedora
• ftp-ssl — доступен в стандартных репозиториях Debian
• ftp-tls — доступен в коллекции портов FreeBSD

Среди графических кроссплатформенных FTP-клиентов для работы с FTPS подойдут:

• FileZilla FTP Client
• FireFTP

Прошли те времена, когда маркетинг сайта играл маленькую роль в жизни и развитии компании. Сегодня грамотное создание и продвижение web-сайта зачастую определяет количество и качество клиентов фирмы. В агентстве «Бенефис» для вас в кратчайшие сроки и за разумные деньги разработают план успешного продвижения вашего сайта и воплотят его в жизнь.

«После выхода maintenance-релиза IPFire в ноябре 2010, разработчики рады представить новую версию — 2.9. Было внесено более 400 изменений и около сотни бета-тестеров трудились над исследованием бета-версий. В IPFire появилась новая служба, называемая 'fireinfo', предназначенная для отсылки анонимной статистики работы дистрибутива на сайт проекта. Настоятельно просим каждого включить эту службу, чтобы мы могли исследовать необходимую нам информацию. IPFire 2.9 построен на базе longterm-ядра Linux 2.6.32.28».

Официальная информация о релизе — здесь. Желающие скачать отправляются на страницу загрузок, или же сразу качают ISO-образ с сайта или при помощи Torrent.

Ни для кого не секрет, что своевременная и качественная заправка картриджей принтеров и копировальных аппаратов — залог бесперебойной работы любого офиса. Позаботьтесь об этом заранее!

bash

В bash таймаут автологаута регулируется значением переменно TMOUT. Значение этой переменной, отличное от нуля, определяет количество секунд с момента последнего нажатия клавиши, по истечению которых оболочка автоматически завершит свою работу. Чтобы применить данное огрниачение на бездействие ко всем пользователям системы, можно воспользоваться таким трюком.

Создайте файл /etc/profile.d/autologout.sh со следующим содержимым (не забудьте исправить значение TMOUT на нужное вам):

TMOUT=300
readonly TMOUT
export TMOUT

Сделайте созданный файл исполняемым:

# chmod 0755 /etc/profile.d/autologout.sh

tcsh

В этой оболочке аналогичной по действию переменной является переменная autologout с тем лишь исключением, что её значение задаётся не в секундах, а в минутах. Действия для глобального внедрения ограничений пользователям tcsh похожи на описанные выше.

Создайте файл /etc/profile.d/autologout.сsh со следующим содержимым (не забудьте исправить значение autologout на нужное вам):

set -r autologout 5

Сделайте созданный файл исполняемым:

# chmod 0755 /etc/profile.d/autologout.csh

OpenSSH

OpenSSH предоставляет собственные средства по организации автоматического выбрасывания неактивных пользователей. Таймаут активности клиента регулируется параметром конфигурации ClientAliveInterval и задаётся в секундах.

Откройте файл /etc/ssh/sshd_config и добавьте/исправьте значение параметра:

ClientAliveInterval 300

Не забудьте перезапустить сервис:

# service sshd restart

По мотивам статьи на cyberciti.biz

Какой офис сегодня обходится без современных средств связи? Продажу, установку, настройку и обслуживание мини-АТС Panasonic вы можете быстро и недорого заказать на upats.ru.

Эта мысль занимает вас, но тут вы вспоминаете: «Ой, URL же правильный, а значит фишинга здесь быть не может. Если фишинга нет, значит передо мной реальная страница логина Facebook и бояться нечего, ведь Facebook использует HTTPS для обмена данными с клиентами. Таким образом, даже если и существует вероятность присутствия MITM, то ему не достанется ничего, кроме зашифрованных данных, которые он вряд ли сможет расшифровать».

Довольный своими умовыводами, вы спокойно вводите логин и пароль к вашему аккаунту в Facebook и успешно авторизуетесь. На следующий день выясняется, что ваш аккаунт взломан.

Надеюсь, никому из читателей не хочется оказаться в подобной ситуации? А вот с парой моих друзей подобное уже приключилось.

Итак, вся описанная ситуация вызывает вопрос: как именно злоумышленник получил пароль? Была ли это фишинг-атака? На это вы ответите: «Я более, чем дважды убедился в правильности введённого URL, так что это определённо не было фишингом.»

Угадайте, что это было? Это мог быть фишинг. Чтобы понять, как такое может быть, представим, что имеется MTIM. Когда вы открываете URL в браузере, ваш компьютер сперва преобразует DNS-имя сервера, к которому вы обращаетесь, в его IP-адрес. После того, как IP будет определён, вы подключаетесь к серверу, используя определённый IP. Теперь вспомните, что между вами и Интернет находится тот самый MTIM, то есть злоумышленник. Вот он и может на стадии определения вашим компьютером IP-адреса сервера Facebook послать вашей системе в ответ IP такой, какой ему заблагорассудится. Теперь представьте, что этот IP — это адрес его собственного сервера, содержащего копию страницы логина Facebook. Таким образом, вы действительно видите в адресной строке корректный URL, вводите логин и пароль, ничего не опасаясь... Бамс! Вы попались!

Эта замечательная техника называется DNS-спуфингом. Есть также ещё похожая методика, называемая десктоп-фишингом. В этом варианте на компьютере жертвы нужным хакеру образом модифицируется файл hosts.

Но только ли фишинг возможен при использовании HTTPS? Кто-то может сказать: «Ну да, ведь при использовании HTTPS все данные шифруются и получивший секретные данные злоумышленник ничего полезного из них не выудит. Таким образом, если страница логина настоящая — беспокоиться больше не о чем.»

Вот и пришло время вернуться в реальный мир: HTTPS может быть легко обойдён MTIM при помощи техники, называемой «SSLStrip». Этот эксплойт тоже достаточно прост по принципу действия: находясь между жертвой и сайтом, хакер заставляет её работать через незащищённое соединение, по обычному HTTP-протоколу.

Хакер получает от пользователя логин и пароль в открытом виде, затем подключается к серверу по HTTPS, передавая ему полученные ранее от пользователя данные. После получения ответа от сервера по HTTPS, хакер дешифрует его и отправляет пользователю. Таким образом, сервер со своей стороны работает в обычном для него режиме — по HTTPS, а вот ничего не подозревающий клиент шлёт данные хакеру в открытом виде.

Конечно, существует намного больше способ хищения секретных данных, но в одной статье их все описать просто невозможно. В качестве резюме я бы советовал вам не подключаться к Интернет через публичные сети вроде интернет-кафе, поскольку подобные места часто являются местом обитания различных злоумышленников.

Оригинал статьи на houcemhachicha.blogspot.com

«Яблочная» техника, завоевавшая сердца многих, заслужила это по праву. А в интернет-магазине «Город Apple» можно купить не только Apple iPad 3G, но и другие новинки от известного производителя по адекватной цене, с доставкой по России.

Null route или, как его ещё называют, blackhole route — это запись в таблице маршрутизации, которая направляет трафик «в никуда». Таким образом, достигается эффект, подобный при использовании брэндмауэра — соответствующие правилу пакеты фактически не достигают пункта назначения.

Допустим, IP-адрес, обмен трафиком с которым вы хотите запретить — 193.19.153.3. Добавление нулевого маршрута в таблицу маршрутизации будет выглядеть так:

# ip route add blackhole 193.19.153.3

Вышеприведённым правилом весь трафик, направленный в ответ к атакующему хосту, будет блокирован, что не даст ему возможности установить соединение. Если после добавления указанного маршрута попробовать

$ ping 193.19.153.3

или

$ ip route get 192.19.153.3

получим

RTNETLINK answers: Network is unreachable

чего и требовалось получить. Чтобы удалить добавленный маршрут, достаточно простой команды:

# ip route del blackhole 193.19.153.3

Я далёк от того, чтобы советовать этот способ в качестве альтернативы нормально-настроенному брэндмауэру. Боже упаси. Однако, когда нужно временно блокировать обмен трафиком с определённым хостом/сетью, этот способ мне более симпатичен, поскольку лишний раз лезть в правила настроенного брэндмауэра — занятие сомнительной полезности. Хотя, как всегда, решать вам.

После трудного рабочего дня всегда полезно хорошо отдохнуть. Можно почитать интересный мужской журнал, сходить с друзьями на пиво или просто поспать. Выбор за вами ;)