Docker vs. systemd

I’ve decided to setup a few docker hosts. I needed to accessed them remotely, so I deployed the necessary CA and server keys and certs (see https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl for more). So far, so good.

I knew that docker should have been instructed to use these files, also to listen on 0.0.0.0. So I edited /etc/default/docker (on Ubuntu Bionic), restarted the docker daemon, and nothing happened.

I rushed to the docker site to figure out what da heck, and end up at https://docs.docker.com/engine/reference/commandline/dockerd/#daemon-configuration-file  telling me that unfortunately it wouldn’t work with systemd, you must use /etc/docker/daemon.json.

I’ve created the file:

{
“hosts”: [“0.0.0.0:2376”],
“tlsverify”: true,
“tlscacert”: “/etc/docker/ca.pem”,
“tlscert”: “/etc/docker/server-cert.pem”,
“tlskey”: “/etc/docker/server-key.pem”
}

 

then restarted docker, and still nothing. The -H fd:// option in /lib/systemd/system/docker.service file caused trouble preventing docker to listen on 0.0.0.0:

ExecStart=/usr/bin/dockerd -H fd://

Fear not, the fix is to remove -H fd:// as follows:

ExecStart=/usr/bin/dockerd

Then run systemctl daemon-reload && systemctl restart docker, and you should be able to connect to docker on the remote host.

Disable udp ports for Jenkins

I’ve noticed that Jenkins has an unpleasant habit to listen on two UDP ports (5353 and 33848) on all interfaces even if it was told to listen on 127.0.0.1:8080.

These ports are for UDP multicast broadcast. You may not need either of them, and you can disable them by adding the following options:

-Dhudson.DNSMultiCast.disabled=true -Dhudson.udp=-1

eg.

java -Dhudson.DNSMultiCast.disabled=true -Dhudson.udp=-1 -jar jenkins.war –httpListenAddress=127.0.0.1 –httpPort=8080 –daemon –logfile=/home/jenkins/jenkins.log

See the Jenkins docs for more https://wiki.jenkins.io/display/JENKINS/Features+controlled+by+system+properties

Secure your pendrive

Pendrives often contain customer, personal or other sensitive data. Now that GDPR is on us, it’s high time to protect those pendrives. The following example assumes that your pendrive is /dev/sdb, and you have a Linux partition on it (/dev/sdb1).

Format the device:
cryptsetup luksFormat /dev/sdb1

Open it:
cryptsetup luksOpen /dev/sdb1 pendrive

Create a filesystem:
mkfs.ext4 /dev/mapper/pendrive

Create a directory where we can mount it:
mkdir /mnt/pendrive

And finally mount the pendrive:
mount /dev/mapper/pendrive /mnt/pendrive

Őszintén sajnálom, bocsánatot kérek

Legalábbis ezeket a szavakat használta az arrogáns Dabóczi Kálmán a Portfolio cikke szerint – ha valaki egyáltalán hitelt adna a szavának.

Ennek aligha az az oka, hogy emberünk rájött, hogy igazi seggfejként viselkedett, meg nyilatkozgatott, hanem sokkal inkább az, hogy a BKK és a T-Systems facebook oldalain masszív kritikát kapott mindkét cég.

Szóval a meginduló népharag még Tarlós ingerküszöbét is elérte, aki “átfogó” vizsgálatot követel.

De hadd segítsek Tarlósnak. Az történt, hogy a T-Systems kiadott egy szakmailag vállalhatatlan, kritikán aluli terméket. A legalapvetőbb biztonsági, adatvédelmi tesztek sem történtek meg, vagy ha voltak is ilyenek, azok bizonyára buktak.

Noha ez nem egy kézzel fogható termék, nem is egy hagyományos szoftver, amit letöltesz, megveszel, stb, hanem Software as a Service (SaaS) megoldással szolgáltatja ezt a T-Systems a BKK részére. Ez azonban nem lenne kizáró oka annak, hogy a BKK azt műszakilag átvegye, tesztelje. Ez nem is történt meg, vagy ha mégis, akkor hasonló komLOLysággal és eredménnyel, mint a T-Systems részéről.

Nehezen tudom elképzelni, hol kéne a seggberúgásoknak végetérniük, de abban biztos vagyok, hogy kezdődniük a Dabóczi Kálmán nevű kirúgásával kell. Thx, kispajtás, tartsd meg magadnak a hazudozást. Aztán ott van még a T-Systems nagypofájú megmondója, Takács József IT-biztonsági igazgató. Neki kell következnie.

Aztán ott van még a T-Systems vezére, Kaszás Zoltán. Szegény lelkemnek ennyi idő kellett, mire átlátta a nyilvánvalót. És ez csak az elnézőbb forgatókönyv. Szegénykémnek biztos szóltak a német főnökei, hogy WTF van nála ebben a kuplerájban, hogy az internet népe ilyen szinten lehúzta a német anyacég facebook értékelét is?

Az ő helyében kitenném a netre, hogy milyen minőségbiztosítási folyamatok lesznek hétfőtől a cégében, hogy a jövőben ne ismétlődhessen meg hasonló fiaskó. Mert amikor Takácsnak feltették a kérdést, hogy “[…] a rendszer műszaki színvonalát jellemzőnek tartja-e a T-Systems által fejlesztett egyéb megoldásokra is?“, akkor ő sokatmondóan hallgatott.

Twitter sucks

Regisztráltam egy twitter acc-ot. De meg is bántam. Egyrészt a kívánt username nem volt elérhető. OK, legyen egy másik. Shit happens. Aztán retweet-eltem 3 tweet-et, majd Donald Trumpnak küldtem volna egy kedveset, amikor szólt a twitter, hogy valami nagyon furcsát csináltam, ezért telefonos ellenőrzés szükséges.

Nyátokat, aztat. A regisztráció során skippeltem a telefonszám megadását. Nem akarom boldog boldogtalannak megadni, még akkor sem, ha a 2 faktoros authentikáció (+sms-ben kapott kód) növeli a biztonságot.

Kedves Twitter! Ez nagyon gyenge próbálkozás volt a számom megszerzésére. Hogy stílusosan fejezzem ki magam: #fuckyou #twitter

T-Systems: vállaljuk a BKK értékesítési rendszerét

Ezzel a címmel jelent meg egy cikk a HWSW-n az alábbi felvezetővel:

“Örömmel vesszük a hibajelentéseket” – mondta Takács József, a BKK új online értékesítési rendszerét fejlesztő T-Systems Magyarország IT-biztonsági igazgatója, majd néhány mondattal később közölte, hogy személyesen tett büntetőfeljelentést az egyik súlyos hibát kimutató és azt bejelentő felhasználó ellen.

A cikkben elképesztő biztonsági problémákról tudósítanak (pl. clear text szövegként tárolt jelszavak, 50 Ft-ért is meg lehetett venni a 9500 Ft-os bérletet, ha ügyesen manipulálod az online fizetés folyamatát), és ki tudja, mi lehet még a felszín alatt, ha valaki jobban megkaparja azt.

Amikor pedig valaki jelez egy otromba biztonsági hibát a T-systems nevű kuplerájnak – akik állítólag SaaS megoldásban üzemeltetik a rendszert, és havi csillió pénzt kasszíroznak a BKK-tól – akkor a takács józsef nevű hulladék ahelyett, hogy udvariasan megköszönné a javító szándékú bejelentést, még neki áll feljebb, és büntetőfejlentést tett. Hogy nem sül le a pofájáról a bőr!

“[…] Takács elismerte, hogy a rendszert a T-Systems fejlesztette, annak műszaki színvonalát pedig vállalja”

Szabad fordításban: ez így jó, ahogy van, ti vagytok a hülyék, ha valami ‘nem úgy alakul’.

Amikor megkérdezték tőle, hogy kedves barátom, a t-systems többi cucca is ilyen kalap szar? akkor nem válaszolt. Mivel a hallgatás beleegyezés, így ezt elfogadom töredelmes beismerő vallomásnak: takács józsef szerint a többi t-systems terméktől is kb. hasonlóra lehet számítani.

“a főváros, a BKK és a T-Systems egybevágó közlése szerint a rendszerből támadóknak nem sikerült adatot kinyerniük, a felhasználók személyes adatai biztonságban voltak és biztonságban is vannak.”

Aha, egybevágó közlemény. Mintha a fővárosnak meg a BKK-nak halvány fingja lenne az IT biztonságról. Nyilvánvaló hazugság. Én lebeszélek mindenkit, hogy a t-systems nevű kupleráj rendszerét használja.

De most jön a legjobb:

“[…] Takács is meglepetését fejezte ki, hogy a megoldás ellen “rosszindulatú támadások” indultak

Erről egy klasszikus jut eszembe a TV bemondó casting-ról: Jaj kamera! Jaj, mikrofon!

A kommentelők persze szétszedték emberünket, ami nem is csoda. Éppen azon gondolkoztam, kinek lehet megköszönni, hogy megint egy csomó  közpénzt szórnak el valami ordenáré böszme dologra? Köszönjük meg a takács józsef nevű emberi hulladéknak, ill. a t-systems nevű kuplerájnak.