When it is done, choose wp-content/themes/atahualpa/404.php as 404 File Handling and enable AA Google 404.

Kopia zapasowa

Na wszelki wypadek, gdyby aktualizacja się nie powiodła warto wykonać kopię bezpieczeństwa aktualnego systemu. Informacje na temat wykonywania kopii całego oprogramowania (kernel + squashfs + jffs2) znajdziemy w wiki pod hasłem “BackupAndRestore“.

Aktualizacja źródeł

Zgodnie z instrukcją na stronie zatytułowanej “GetSource” pobieramy źródła. Jeśli mamy jeszcze poprzednie używamy svn switch –relocate, aby zmienić protokół z https:// na svn://, a następnie wydajemy polecenie svn up.

Nakładanie łatek

Łatka zwiększająca domyślny limit wielkości obszaru rootfs nie jest już potrzebna. Aktualny limit jest ustawiony wyżej niż ustawiała go łatka.

Łatka włączająca wsparcie dla OCF w OpenSSL wygląda tak:

Konfiguracja źródeł

Uruchamiamy make menuconfig i wczytujemy poprzednio użyty plik konfiguracyjny.

Następnie w menu wybieramy Advanced configuration options (for developers), a w podmenu Use ccache oraz Toolchain Options, a w nim Enable Stack-Smashing Protection support.

Aby używać najnowszej wersji sterownika WiFi oraz najnowszego firmware wybieramy w menu głównym Kernel modules, a następnie Wireless Drivers. W tym podmenu wybieramy kmod-b43 oraz upewniamy się, że odznaczona pozostaje opcja kmod-b43legacy.

W tym samym podmenu możemy wybrać b43 firmware version. Wybieramy 4.178.10.4 (experimental).

Kompilacja i instalacja

Kompilację i instalację przeprowadzamy zgodnie z wcześniejszą instrukcją.

Problemy

Jedyny, i w dodatku prosty do usunięcia problem jaki napotkałem to…

OPKG: Could not obtain administrative lock

Jeśli po wydaniu polecenia opkg update zobaczymy komunikat:

Collected errors:
 * Could not obtain administrative lock

Należy utworzyć katalog /usr/lib/opkg. Jeśli katalog istnieje należy usunąć z niego plik lock.

Networking

Each jail requires one IP address. First create lo1 loopback interface and assign IPs to it:

# ifconfig lo1 create
# ifconfig lo1 inet 10.0.0.1 netmask 255.255.255.0 alias
# ifconfig lo1 inet 10.0.0.2 netmask 255.255.255.0 alias
...

To make this permanent add following lines to /etc/rc.conf:

Now configure port redirection (forwarding) from your IP to your jails’s IPs. Here is my PF line (add it to /etc/pf.conf):

If jails need network access (e.g. to download ports) create NAT on your external network interface:

Finally reload PF rules:

# pfctl -d
# pfctl -e -f /etc/pf.conf

Ezjail

Install ezjail from /usr/ports/sysutils/ezjail:

# cd /usr/ports/sysutils/ezjail
# make install clean

After ezjail installation create base jail. This jail is used as skeleton of all jails. Before creating base jail you need to have current FreeBSD sources in /usr/src. If you have built them add -i option to update command to prevent (re)building them:

# ezjail-admin update

Creating jails

When basejail is installed we are ready to create jails:

# ezjail-admin create -f default apachejail 10.0.0.1
# ezjail-admin create -f default ircjail 10.0.0.2

See also

• ezjail – jail administration framework

Sprzęt: około 300 złotych. Oprogramowanie: wyłącznie darmowe. Czas instalacji: kilka godzin (najdłuższa część to kompilacja całego systemu operacyjnego i wszystkich pakietów, ale jest ona zautomatyzowana i nie wymaga interwencji użytkownika, a sama instalacja zajmuje kilka minut).

Od czego zacząć?

Zaczynamy od kupna wspieranego przez OpenWRT routera. Chodzi nam wyłącznie o najlepszy sprzęt. Oprogramowanie wymienimy zaraz po zakupie. Według moich priorytetów najlepszym wyborem jest ASUS WL-500g Premium. Na drugim miejscu uplasował się Linksys WRTSL54GS.

Gdy mamy już router

Możemy zacząć od instalacji OpenWRT w wersji WhiteRussian. Opisywać instalacji i konfiguracji WhiteRussian nie będę, każdy najdzie na ten temat wiele informacji. Jeśli się uda i router spełnia nasze oczekiwania możemy skończyć w tym miejscu. Ale jeśli chcemy skonfigurować router w zupełnie dowolny sposób najlepszym rozwiązaniem jest zbudowanie OpenWRT ze źródeł.

Oprogramowanie niezbędne do zbudowania OpenWRT

Do zbudowania OpenWRT w Debianie lub Ubuntu niezbędne jest posiadanie następujących pakietów:

# aptitude install build-essential binutils flex bison autoconf gettext texinfo sharutils subversion libncurses5-dev ncurses-term zlib1g-dev

Źródła z repozytorium Subversion

Pobieramy źródła OpenWRT z repozytorium Subversion:

$ svn co https://svn.openwrt.org/openwrt/trunk/ openwrt-svn
$ svn co https://svn.openwrt.org/openwrt/packages/ openwrt-svn/feeds/packages

Następnie tworzymy dowiązania dla pakietów z katalogu feeds:

$ make package/symlinks

Konfiguracja obrazu OpenWRT

Kolejnym krokiem jest konfiguracja obrazu OpenWRT, wybieramy rodzaj obrazu (np. SquashFS), opcje Busybox, Linuksa i pakietów:

$ make menuconfig

Opcje Target System, Profile, Image

Dla Asusa WL-500gP Target System należy ustawić na Broadcom BCM947xx/953xx [2.6] lub Broadcom BCM947xx/953xx [2.4]. Opcja ta wybiera linię jądra, odpowiednio 2.6 lub 2.4. Generalnie należy wybrać 2.6. Jeśli 2.6 nie będzie działało kolejnym krokiem będzie wypróbowanie jądra 2.4.

Jako Target Profile wybieramy Broadcom BCM43xx WiFi (default). Jeśli mamy inny rodzaj kontrolera sieci bezprzewodowej wybieramy właściwą opcję. Przydatne jeśli wymieniliśmy kartę MiniPCI w routerze np. na opartą na kontrolerze Atheros.

Target Images definiuje rodzaj systemu plików używanego jako /. Najlepszym wyborem jest squashfs zapewniający wyższy stopień kompresji niż jffs2. Drugą ważną różnicą jest to, iż jffs2 umożliwia zapis, a squashfs jest tylko do odczytu. Jeśli wybierzemy squashfs na główny system plików, na routerze zostanie stworzony obszar przeznaczony do zapisywania danych w formacie jffs2.

Advanced configuration options (for developers)

W menu Build Options wybrałem opcje Clean all ipkg files before building the rootfs oraz Use ccache. Pierwsza powoduje przebudowanie wszystkich pakietów za każdym razem, a druga włącza użycie pamięci podręcznej dla plików obiektów. program ccache przyspiesza kompilację w przypadku budowania OpenWRT po raz kolejny, z niewielkimi zmianami w stosunku do poprzedniej konfiguracji.

Natomiast w menu Toolchain Options zaznaczyłem Enable Smash Stacking Protection support, która (przynajmniej teoretycznie) powinna utrudniać wykonywanie kodu przez przepełnienie bufora. Podnosi to (nieco) poziom bezpieczeństwa w przypadku próby wykorzystania przez atakującego tego typu błędów.

Wybór pakietów

Wybór pakietów jest najdłuższą czynnością. Na szczęście dla większości pakietów dostępny jest krótki opis. Mój plik konfiguracyjny dla ASUS WL-500g Premium umieściłem tutaj jako referencję. Może on być użyty jako baza do dalszych eksperymentów albo bezpośrednio do zbudowania OpenWRT w wersji r13858.

Zmiana limitu wielkości dla rootfs

Domyślny limit wielkości obszaru rootfs jest zdefiniowany w tools/firmware-utils/src/trx.c i wynosi 0x5A0000 (większość routerów ma mniej pamięci flash niż WL500GP). W moim przypadku było to zbyt mało aby pomieścić wszystkie aplikacje, a ponieważ router bezproblemowo obsługuje większe rozmiary rootfs powiększyłem rootfs o 1MB. Poniżej patch:

Sprzętowo wspomagana biblioteka OpenSSL

Jeśli router posiada Sonics Silicon Backplane (ssb) i rdzeń IPSEC (Core 7 found: IPSEC (cc 0x80B, rev 0×00, vendor 0×4243)) warto w pliku .config włączyć:

Oraz dodać do biblioteki OpenSSL opcję włączającą wsparcie dla OCF:

Aplikacje używające libssl powinny teraz korzystać ze sprzętowej akceleracji operacji szyfrowania i haszowania. Aplikacje takie to m.in.: OpenVPN, rTorrent i wget. Dropbear (domyślny serwer SSH w OpenWRT) nie korzysta z OpenSSL i dlatego nie jest wspomagany sprzętowo.

Budowanie OpenWRT

Aby pobrać wszystkie niezbędne do zbudowania OpenWRT pliki wydajemy polecenie (jeśli tego nie zrobimy pliki będą pobierane przed budowaniem każdego pakietu):

$ make download

Gdy wszystko jest już skonfigurowane wydajemy polecenie:

$ make world

W zależności od ilości wybranych pakietów, mocy obliczeniowej procesora i ilości pamięci RAM zbudowanie wszystkiego zajmie od kilku do kilkudziesięciu minut. Włączenie ccache przyspiesza budowanie w momencie gdy wprowadzimy niewielkie zmiany w konfiguracji i budujemy OpenWRT po raz kolejny.

Instalacja OpenWRT na routerze

Ta czynność jest bardzo prosta w przypadku WL-500gP. Po odłączeniu routera od zasilania wciskamy i trzymamy przycisk reset. Trzymając reset podłączamy zasilanie. Gdy dioda informująca o stanie zasilania zacznie migać zwalniamy przycisk reset. Podłączamy kabel Ethernet do portu LAN routera i do komputera.

Ustawiamy adres IP na interfejsie eth0:0 za pomocą komendy:

# ifconfig eth0:0 192.168.1.5 up

A następnie przechodzimy do katalogu bin i wydajemy polecenie:

$ atftp --trace --option "timeout 1" --option "mode octet" --put --local-file openwrt-brcm47xx-squashfs.trx 192.168.1.1

Czekamy do zakończenia kopiowania pliku. Po zakończeniu sesji tftp czekamy około 5 minut na zapisanie obrazu OpenWRT w pamięci flash i odłączamy zasilanie. Po ponownym podłączeniu zasilania router będzie bardzo długo startował ze względu na konieczność utworzenia obszaru jffs2 i wygenerowania kluczy SSH routera.

Konfiguracja OpenWRT

Łączymy się z routerem za pomocą telnetu:

$ telnet 192.168.1.1

Następnie ustawiamy hasło:

# passwd

Ustawienie hasła uniemożliwia dalsze logowanie przez telnet. Od tej chwili należy używać wyłącznie SSH. Wylogowujemy się z routera i logujemy za pomocą SSH:

$ ssh root@192.168.1.1

Wyłączanie niepotrzebnych usług

Jeśli nie zamierzamy korzystać z serwera telnet i http możemy je wyłączyć:

# /etc/init.d/telnet disable
# /etc/init.d/httpd disable

Nazwa hosta i strefa czasowa

W /etc/config/system ustawiamy:

Dropbear

Aby włączyć logowanie wyłącznie za pomocą kluczy SSH zapisujemy w /etc/dropbear/authorized_keys nasz klucz publiczny, a następnie w /etc/config/dropbear ustawiamy:

QoS

Ustawiamy w /etc/config/qos przepływność interfejsu WAN:

Na początek pozostałe opcje warto pozostawić bez zmian.

Thomson SpeedTouch 330, PPPoA i Neostrada

Thomson SpeedTouch 330 otrzymany od TP za 1 zł jest obsługiwany przez Linuksa. Pakiet z firmware również jest obecny w OpenWRT.

W przypadku SAGEM F@st 800 OpenWRT posiada jedynie sterownik. Firmware należy skopiować ręcznie do katalogu /lib/firmware/ueagle-atm po zainstalowaniu OpenWRT.

Aby sprawdzić, czy po podłączeniu do portu USB routera modem został wykryty, oprogramowanie firmware załadowane, a synchronizacja ukończona pomyślnie wydajemy polecenie dmesg | tail. Powinniśmy zobaczyć taki komunikat:

speedtch 2-1:1.0: found stage 1 firmware speedtch-1.bin.4
speedtch 2-1:1.0: found stage 2 firmware speedtch-2.bin.4

ATM dev 0: ADSL line is synchronising
ATM dev 0: ADSL line is up (1312 kb/s down | 320 kb/s up)

Modem jest gotowy i możemy skonfigurować połączenie PPP. W tym celu ustawiamy w pliku /etc/config/network w sekcji WAN configuration:

Aby nawiązać połączenie używamy:

# ifup wan

IPv6

Opcje połączenia IPv6 przez tunel w SixXS definiujemy w /etc/config/aiccu. Konfiguracja radvd znajduje się w /etc/config/radvd.

OpenDNS

Konfigurację OpenDNS na OpenWRT opisałem już wcześniej.

Gdy 8MB pamięci flash to zbyt mało…

Można do portu USB podłączyć dysk twardy USB lub bezgłośny Pendrive na którym można przechowywać pliki pobierane z Internetu. Można na nim również stworzyć partycję wymiany (co przyda się gdy będziemy chcieli uruchamiać więcej programów).

Konfiguracja dodatkowych nośników danych jest przechowywana w /etc/config/fstab. Przykładowa konfiguracja z pratycją /home na pliki uzytkownika, /opt na dodatkowe, niemieszczące się w pamięci flash routera aplikacje oraz partycją swap:

opkg-link

Aby móc instalować pakiety na zewnętrznej pamięci dodajemy do /etc/opkg.conf linię:

Pakiety instalujemy na dysku USB poleceniem:

# opkg -d usb install nazwa_pakietu

Aby dodać link do pakietu w /opt w / możemy użyć skryptu opkg-link. Możemy go skopiować z UsbStorageHowto i zapisać jako /bin/opkg-link.

Podsumowanie

Nieźle jak na sprzęt za niecałe 400 zł (~300 zł router, 80 zł pendrive, 1zł modem DSL), co?

Web browser can give them so many information. For example in which languages you speak (browser shares your language preferences with sites you visit)., in which city you live (this can be obtained from IP), how big is your computer display (web page can get your display resolution), what video player or office suite you have installed (they can query installed browser plugins) and much more...

Server side

Various information are available from PHP and Apache.

This include IP address, hostname (reverse DNS lookup), source port and sometimes user name:

Your IP: 38.107.179.239Your hostname: 38.107.179.239Your source port: 43079Your username: 

Those basic information are available from _SERVER associative array members named REMOTE_ADDR, REMOTE_PORT and REMOTE_USER.

Here is an example how to get hostname quering DNS using gethostbyaddr():

In the same way we can obtain name and version of browser (HTTP_USER_AGENT). You are using:

CCBot/1.0 (+http://www.commoncrawl.org/bot.html)

HTTP_REFERER reveals site you come form. Currently:

We are able to check what browser accepts as a response (HTTP_ACCEPT, HTTP_ACCEPT_ENCODING, HTTP_ACCEPT_CHARSET):

HTTP_ACCEPT: text/html,application/xhtml+xml,text/xml;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5HTTP_ACCEPT_ENCODING: gzipHTTP_ACCEPT_LANGUAGE: en-us,en;q=0.5HTTP_ACCEPT_CHARSET: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Those settings may leak your language and, if you leave default settings, your browser identity.

Proxy

Proxy servers often adds new headers to those sent by browser. We can access them using HTTP_X_FORWARDED_FOR and HTTP_FORWARDED . Some proxy servers sets also headers like HTTP_CLIENT_IP, HTTP_VIA, HTTP_PROXY_CONNECTION, HTTP_XROXY_CONNECTION.

Currently they are set to:

X-Forwarded-For: Forwarded: Client-IP: Via: PROXY: XROXY: 

If none of above is set user is probably using direct connection. However some proxy servers (often called "high anonymous proxy" or "elite proxy") forward requests without adding any headers or even removing some headers that leaks browser identity.

Client side

Web browser may leak user identity to anyone who is able to run JavaScript. By default browsers run any script embedded into web page.

Browser identity is hold in navigator object. Its name is in navigator.appName Currently:

Browser code name (navigator.appCodeName):

Browser version (navigator.appVersion):

Finally, platform it is running on (navigator.platform):

History length (or how many pages were visited - history.length):

Screen size and dept is hold in screen object. Example code to obtain screen properties:

Result of the above:

Referrer can be read from document.referrer:

Using simple loop one can iterate trough installed plugins:

Result of above code:

Java

If Java is enabled JavaScript can use Java VM to obtain more information from OS. navigator.javaEnabled() returns true or false if Java is enabled.

JavaScript with small help of Java can obtain client IP address with:

Results:

Or with alternative version:

Results:

Java applets

Another possibility to obtain IP address of client is using Java applets. Here is sample applet that tries to connect back to web server and reveal client address:

Applet in action:

ActiveX and other threats

ActiveX object can reveal client identity, too. Fortunately AvtiveX works only in Internet Explorer on Windows. Maybe also Flash's Action Script can be used to achieve this. If you known any other possibilities let me known.

Ponieważ używam systemu operacyjnego Debian GNU/Linux i telefonu w sieci Orange poniższy opis będzie związany z konfiguracją w takim właśnie przypadku. Dla pozostałych operatorów i innych dystrybucji niektóre kroki będą inne, ale sposób konfiguracji nie powinien bardzo się różnić.

Bluetooth

Komputer i telefon komórkowy należy ze sobą sparować. Jest to krok konieczny, a sposób jego wykonania jest opisany w każdej instrukcji podłączania jakiegokolwiek urządzenia Bluetooth do komputera z Linuksem więc nie będę tego omawiał.

Gdy telefon i komputer komunikują się bez przeszkód należy poszukać kanału usługi portu szeregowego w telefonie. Wystarczy jeden port szeregowy. Możemy włączyć na chwilę "widoczność" telefonu i wydać komendę:

$ sdptool browse

Jeśli znamy adres sprzętowy naszego telefonu wystarczy podać go jako kolejny parametr (w tym przypadku urządzenie nie musi być "widoczne").

Naszym oczom ukaże się lista usług telefonu. Najbardziej interesujący na fragment wygląda tak:

Service Name: Serial Port
Service RecHandle: 0x10003
Service Class ID List:
  "Serial Port" (0x1101)
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 2

Teraz dopisujemy do pliki konfiguracyjnego /etc/bluetooth/rfcomm.conf:

Restartujemy usługę bluetooth:

# invoke-rc.d --force bluetooth restart

Telefon będzie obsługiwany tak ja modem podłączony przez port szeregowy. Jako pliku urządzenia użyjemy /dev/rfcomm0.

IrDA

Dla połączeń IrDA plikiem urządzenia jest /dev/ircomm0. Po szczegóły konfiguracji odsyłam do Linux-IrDA project.

CSD

Choć pewnie wszyscy czekają na sposób konfiguracji połączeń GPRS zacznę od CSD. Łatwiej je skonfigurować i przetestować, a skonfigurowane już połączenie CSD łatwo przerobić na działające połączenie GPRS.

Połączenia CSD (tzw. "wdzwaniane") przesyłają dane protokołem PPP. W systemie GNU/Linux za obsługe połączeń PPP odpowiada demon pppd.

Konfiguracja pppd

Aby skonfigurować pppd tworzymy w katalogu /etc/ppp/peers nowy plik opisujący połączenie (nazwałem go orange-csd) z następującą zawartością:

Jeśli nie korzystasz z sieci Orange, prawdopodobnie powinieneś zmienić login (pierwsza linia) i numer telefonu (druga linia) na właściwy dla danej sieci.

Następnie dla podanego w tym pliku loginu dopisujemy w pliku /etc/ppp/chap-secrets odpowiednie hasło. Dla Orange (hasło i login są takie same) będzie to linia:

W pliku chap-secrets cztery pola oznaczają po kolei: login, serwer, hasło i adres IP. Jeśli dostawca wymaga protokołu PAP zamiast CHAP hasło wpisujemy do /etc/ppp/pap-secrets.

Konfiguracja skryptów sieciowych

Konfiguracja pppd jest niezależna od dystrybucji. Połączenie PPP możemy nawiązać poleceniem:

pppd call orange-csd

Jeśli chcemy aby ifup i ifdown obsługiwały również połączenia PPP należy zainstalować pakiet ifscheme i resolvconf, a następnie dopisać do /etc/network/interfaces:

Przełączanie pomiędzy trybem GPRS i CSD następuje poprzez wydanie jednego z poleceń:

# ifscheme orange-gprs
# ifscheme orange-csd

GPRS

Jeśli CSD działa (nie działa, albo pominęliśmy jego konfigurację - niepotrzebne skreślić) możemy skonfigurować telefon (o ile nigdy tego nie robiliśmy i nigdy nie korzystaliśmy z Internetu na telefonie np. przez program Opera Mini). Jeśli telefon kupiliśmy w salonie i nic nie zmienialiśmy powinien być już skonfigurowany. Po opis konfiguracji telefonu odsyłam na stronę operatora lub do instrukcji obsługi telefonu. Mając działające połączenie GPRS w telefonie możemy przystąpić do konfigurowania Linuksa.

Konfiguracja pppd

Konfiguracja pppd jest analogiczna jak dla CSD. Tworzymy plik /etc/ppp/peers/orange-gprs z następującą zawartością:

Konfiguracja chat

Połączenia CSD nie potrzebowały skryptów chat do konfiguracji telefonu. W przypadku GPRS jest inaczej. Konieczne jest wybranie konfiguracji telefonu i nazwy APN. Utwórzmy dwa skrypty. Pierwszy znich - /etc/chatscripts/orange-gprs połaczy nas z APN:

Najważniejsza w tym skrypcie jest komenda AT+CGDCONT tworząca kontekst PDP. Jej parametry to numer kontekstu (od 1 do 32), tryb pracy (do połączeń z Internetem będzie to "IP") oraz nazwa APN. Nazwa APN jest specyficzna dla sieci GPRS (operatora). Numer kontekstu jest istotny jedynie dla styku DTE-DCE (komputer-telefon) i odpowiada on numerowi konfiguracji połączenia GPRS w telefonie.

Drugi - /etc/chatscripts/orange-gprs-off - będzie służył do rozłączania sesji GPRS:

Konfiguracja skryptów sieciowych

Połączenie GPRS możemy zainicjować poleceniem:

pppd call orange-gprs

Konfiguracja /etc/network/interfaces jest identyczna jak w przypadku CSD.

Podsumowanie

Osoby używające innych dystrybucji powinny dostosować konfigurację do specyfiki dystrybucji. Konfiguracja pppd i chata nie wymaga poprawek (poza ścieżkami oczywiście, jeśli są inne należy je poprawić). Konfiguracja ifup i ifdown przyda się tylko w Debianie, Ubuntu i podobnych. Dla innych niż Orange sieci GSM zmienić należy numer telefonu dla CSD, numer konfiguracji telefonu oraz nazwę APN dla GPRS oraz login i hasło w obu przypadkach.

Telefony

Prędkość połączenia szeregowego została dobrana eksperymentalnie na zasadzie "najwyższa przy której jeszcze działa". Prawdopodobnie inne telefony mogą obsługiwać wyższe prędkości niż 57600. Stabilność połączenia podnosi również wyłączenie użycia protokołu PPP Link Control Protocol (LCP):

W modelu Sony Ericsson T610 jest ona wręcz konieczna. Niektórzy polecają ustawienie jak najdłuższego czasu pomiędzy ramkami LCP (np. maksymalnego - 65535). Należy jednak pamiętać, że jest to czas (0 wyłącza użycie protokołu LCP). Długi czas co prawda, ale gdy upłynie modem i tak nas rozłączy. W połączeniu z opcją lcp-echo-failure 4 będzie on cztery razy dłuższy, ale ryzyko rozłączenia jedynie odwlecze się w czasie (65535 sekund to około 18 godzin).