SaltwaterC - 100% scorpio

Aparent acesti doi termeni nu au multe in comun. Aparent. Citeam acum cateva zile pe un mailing list de o problema a unui sysadmin Windows: are o masina care trebuie sa copieze diferite chestii de colo-colo, dar aplicatia respectiva are nevoie de cont cu privilegii de administrator pentru a-si face treaba. Acum incepe distractia … daca in timpul zilei masina respectiva se afla sub supraveghere, in timpul noptii aceasta nu se afla … si nu, nu aici era problema. Problema era ca pentru a asigura continuitatea operatiilor, masina avea activata functia de auto-logon in contul respectiv cu privilegii de administrator. Nici pana aici nu este nici o problema … exista Windows+L care blocheaza o sesiune de logon si te trimite la Welcome Screen. Problema este ca in timpul noptii exista posibilitatea ca masina sa isi faca auto-update … si sa isi dea auto-restart.

De aici incepe si rant-ul personal. Ultimele doua auto-update-uri (efectuare in prezenta mea!) s-au ales cu urmatoarele:

Pe langa faptul ca imi este bagat pe gat un auto-restart … la aceste update-uri nici macar nu mi se oferea posibilitatea de a da ‘Cancel’. Sa fie de la faptul ca rulez sub USER? Ideea e ca nenea care a gandit chestia asta da dovada de un amatorism aparte in ceea ce priveste gandirea. Stiu ca in viziunea UNIX utilizatorul nu este considerat de incredere … dar de acolo, pana a-i nega posibilitatea de a mentine masina in uptime atata vreme cat ii vrea madularul … este cale de mers. Si da, imi permit sa vociferez pentru ca umplu papucii unui client Microsoft multumit de unele aspecte ale sistemului pe care l-am cumparat fortat de politicile lor corporatiste prin care anumite chestii sunt strict legate de platforma Win32. Deci nu, nu merge sa imi vina sa imi cante cineva la masa pe aia cu: “nu il mai folosi”. Cea mai probabila replica o sa fie cea cu “go fuck a tree” urmata la 0.1cm de “go buy a Windows licence”.

Destula abatere de la subiect. Sa revenim la sysadminii nostrii. Problema cu restart-ul si cu auto-logonul este aceea ca logonul nu se poate face in stare blocata. Si nici nu exista nimeni care sa dea Win+L. Un screensaver care odata ce este blocat are un timeout minim de 1 minut, timp in care masina este vulnerabila la acces fizic, direct cu acces de administrator. Nu trebuie sa fac desene ca sa se inteleaga in termeni de securitate ce inseamna aceasta. Solutia vine tocmai din Win32API si posibilitatile de scriptare ale Windows-ului (bune, rele, asa cum sunt, parerile sunt impartite). Nenea care a dat solutia sugera un VBS (Visual Basic Script). Eu sunt mai de “moda veche” si prefer batch scripting-ul. Ideea este ca la logon sa se ruleze la startup o chestie care sa blocheze automat sesiunea de desktop. Chestia aceea arata cam asa:

rundll32.exe user32.dll,LockWorkStation

Majoritatea utilizatorilor cu vechime cred ca deja se pravalesc pe jos de ras cand citesc astea … pentru ca este o chestie arhicunoscuta. Dar cum mie imi place sa despic firul in 4, o sa zic si ce anume face. runll32.exe este o aplicatie care executa DLL-uri pentru a le incarca in memorie, si a le face mai eficiente. user32.dll este binarul in care se afla implementata functia LockWorkStation, cea care este apelata in momentul in care se tasteaza Win+L. Se poate apela oricand, la orice ora, fie dintr-un script, fie bagand comanda respectiva la run sau in shell.

Personal as fi propus ca alternativa … dezactivarea auto-logonului … si rularea chestiei respective ca serviciu sub un cont de administrator (nu sub SYSTEM!). Ar scuti de multe probleme … dar daca omul ar fi ales direct chestia asta … nu imi mai dadea mie ce sa scriu, si motiv sa fac MS bash-ul de mai sus … nu-i asa?

Stiu … stiu … nu am mai scris de o tona de vreme. De cand am schimbat jobul, in sensul ca acum sunt programator … sa zicem ca am avut mult mai putin timp la dispozitie in general, deci implicit a trebuit sa tai de unde se poate … din pacate si din actiunea de a posta pe blog. Cred ca am gasit balaria aia de directie spre care ma indreptam, deci o sa mai scot din mine niste balarii tehnice. (more…)

Am inceput sa scriu acest post pentru ca poate pagina de WLMP din sidebar poate sa fie trecuta cu vederea. Momentan este o incercare de a pune gramada o platforma de PHP development sub Windows care sa aiba ca server HTTP pe micutul LightTPD si folosind interpretorul PHP printr-un server FastCGI. I-am dat drumul de vreo saptamana. Nu pot sa zic ca am gasit vreun bug in configurare, in schimb am intalnit mici probleme in sensul ca se intampla ca anumite scripturi sa puna in cap serverul PHP. Sper doar sa nu fie de la eAccelerator pe care l-am lasat activat. In curand o sa testez cu o versiune mai veche, 5.23 care vine cu WLMP standard, si o sa testez si binarele care sunt oferite de PHP.NET. In cel mai rau caz … mi se arata in a pune mana pe compilator si sa imi fac binarele de unul singur …

Miroase a v0.2 … Pana atunci, invit coderii PHP care lucreaza (si) sub Windows sa testeze v0.1 si sa ofere niste feedback.

Windows XP Home Edition este un alt produs unde Microsoft s-a tras pe cur. Zic asta pentru ca a implementat niste limitari stupide, practic au castrat Professional. De data aceasta ma opresc la NTFS si drepturile de acces. NTFS este un file system care aduce un sistem de drepturi de acces destul de complex, iar prin acest FS Microsoft intra in lumea buna a FS-urilor decente. Problema in Windows XP Home este faptul ca teoretic suportul pentru drepturile de acces este implementat in acest sistem, dar practic ruland de sub cont de user, uzabilitatea este pacoste. Solutii exista.
(more…)

Probabil ca este una din intrebarile care fiecare utilizator Windows ar trebui sa si-o puna. Incepand cu Windows NT, sistemul de operare al celor de la Microsoft a inceput sa implementeze o bruma de sistem de operare multi-user, deci implicit au aparut privilegiile pentru ca utilizatorii sa nu se mai plimbe de colo-colo si sa faca FUBAR sistemul. Pentru home use, incepand cu Windows XP SP2, Microsoft a inceput sa ofere in sfarsit ceea ce se doreste de la un asemenea sistem, chiar daca pe alocuri lasa de dorit.

Si totusi de ce USER? Simplu … pe vremea cand aveam vechea lista de messenger se intampla destul de des sa bornaie careva ca iar i-a fost virusat “pisiul”. Evident, lucrand in marea majoritate a timpului sub OS X sau ubuntu, mi se cam rupea de chestiile astea pentru ca nu ma loveam de astfel de probleme. Nu pentru ca sistemele respective nu ar fi virusabile, ci pentru ca nu sunt virusabile in mod implicit. Trebuie sa o faci cu intentie sau sa faci parte din clasa populatiei care este imbucurator de proasta. Pacatul Microsoft este faptul ca in mod implicit un sistem proaspat instalat da pe mana utilizatorului un cont cu drepturi de administrator. Marea masa a utilizatorilor s-au obisnuit cu ideea de a face ce le trece prin bostan chiar daca asta nu inseamna ca fac neaparat si bine, si Doamne fereste, nu ar depune eforturi intelectuale pentru remedierea situatiei. Gravitatea provine din faptul ca un virus rulat din “admin” se va instala ca “admin”, deci are acces deplin la anumite resurse care ar trebui sa fie protejate, si fara de care ar fi o simpla chestie inutila care nu ar “virusa” nimic. Si asa ajungem la aia care bornaiau mai sus ca au fost virusati.
(more…)