2017年5月22日 星期一

窮人的 proxmox 可攜式/行動機房

tux 開車載著機房 業餘機房管理員貴哥向系上要了一部較高階的桌機, 在上面安裝 proxmox 虛擬環境, 用它來架設私有雲、 管理幾部 linux 教學伺服器已經兩年了, 感覺超簡單超方便的, 很想分享給中小企業網管們, 還有喜歡電腦自主又想幫學校省錢的老師們。 小格舊版的 「虛擬機新手恩物 proxmox」 那篇蠻受歡迎的; 新版的 4.* 系列有很多改變, 所以決定重寫一篇。 也順便示範: 沒有伺服器和固定 IP 可用的窮人也能把 proxmox 安裝在一個 qcow2 檔或隨身碟裡面, 背著一間機房到處跑、 隨時拿出來練習! 這招拿來教 proxmox 很方便, 不會影響到電腦教室裡原本的 linux 系統。 (<== 真正的原始動機)

2017年5月14日 星期日

手工精簡版 qemu-kvm 虛擬區域網路

qemu/kvm 是蠻底層的 linux 虛擬化工具, 只適合用於單一虛擬機的場合。 它固定配 10.0.2.15 的 IP 給虛擬機, 這個 IP 僅供虛擬機自嗨用, 從 host 並不能用這個 IP 連到虛擬機; 。 如果要管理一整群虛擬機, 各自要有 ip、 彼此要能互連, 理論上應該改用 virsh 跟 virt-manager 比較好。 不過這兩者的相依套件蠻多的。 對於喜歡騎腳踏車勝過騎機車/開車的人來說, 其實 「含有多部 kvm 虛擬機的區域網路環境」 還是可以用 qemu/kvm 指令徒手建立出來。

2017年5月10日 星期三

用 LUKS 加密虛擬裝置來實作 linux 軟體版碎紙機

碎紙機 電腦要送修, 或是舊硬碟要賣掉、壞掉的電腦/硬碟要回收嗎? 記得要先把資料銷毀才送出去! 實驗 [ 1 2] 顯示: 從 eBay 等等地方買來的二手硬碟當中, 有相當高的百分比其中還含有不該外洩的私密資料, 包含醫療及財務資訊、 私密相片等等。 不能只靠運氣期望拿到你的硬碟的人是個正人君子啊!

2017年4月25日 星期二

把 Windows XP 收納成 qemu 虛擬機

老婆的 (Windows XP!) 電腦壞了。 她忙著買新電腦; 我則要趁著最後一部裝著 xp 的 eeepc 還沒掛掉的時候, 趕快把它變成虛擬機備份起來, 因為上面有一些她無法放棄、 又無法升級到新版 windows 的應用軟體。 這是我第一次成功的 windows P2V (Physical to Virtual) 實戰, 其中有些步驟可能對 windows 7 的 P2V 也有幫助。

2017年4月23日 星期日

隱寫術實作: 把小檔案藏在圖檔或文字檔裡

隱寫術: 把資訊藏在圖檔裡 美國越來越不像是個民主國家。 以後旅經美國可能會需要 交出密碼。 表面上說這是為了反恐, 但其實是 維安劇場 的一部分, 真正的目的是要讓政府可以擴權、 甚至踐踏人權。 所以你的資料光是加密還不夠, 甚至需要讓人看不出加密檔的存在。 這個時候你需要 隱寫術 Steganography [ 維基百科]。

2017年4月21日 星期五

設定 「只在記憶體裡解密」 的工作環境

用 symbolic link 指向記憶體裡的設定檔 開機隨身碟帶著跑很方便; 但它等於是你的筆電, 如果掉了, 私密資料都在上面, 很危險的啊! 可不可以把重要資料都加密呢? 例如 ssh 的私鑰 gpg 的私鑰 瀏覽器的密碼檔、 各種帳號密碼、 通訊錄、 ...等等。 這樣萬一掉了, 至少沒有人可以拿它來入侵你的帳號。 luks 可以加密整個檔案系統, 但是好像有點殺雞用牛刀。 eCryptfs 可以只加密一個目錄, 但是還是需要 root 權限。 讀了 這個回答 之後理解到: 「開機使用期間」 不太可能完整防護 (除非你自己是 root 大大)。 那就只談關機後的資料保護吧, 範圍縮小, 問題就變簡單啦! 私密檔案存入硬碟或隨身碟時一律加密, 只有在開機時才解開來使用。 這其實不太需要採用太複雜的技術, 只需要確保電腦關機時解密的資料通通自動消失就可以了。

2017年4月17日 星期一

在 proxmox 裡的 ubuntu lxc 安裝 nvidia GPU 驅動程式及 cuda [失敗, 不推薦這個型號]

[4/29 先講結論: 不要買這張卡! 可以的話, 最好不要買 nvidia 的產品。]

最近在玩機器學習 ML/DL。 沒有 GPU 的話, 很多程式跑起來都很慢。 盡管 Linux Torvolds 曾經說過 nvidia 是我們交手過最可惡的公司, 但是因為 tensorflow 不支援 OpenCL, 所以我還是很不爭氣地買了一張 NVIDIA GeForce GTX750Ti 晶片的電競入門顯示卡。 (不想買太新款是因為 900 之後的系列對自由軟體更加極不友善。) [4/29 最後的結果顯示不爭氣一半的下場就是白花錢了。]

2017年4月9日 星期日

firefox 與 chromium 把網站密碼存在哪裡?

我的網路生活的秘密, 誰知道得最多呢? 當然不是我的老婆, 而是我的瀏覽器。 造訪過哪些 (怪怪的) 網站、 每個網站的帳號密碼是什麼, 都存在 firefox 或 chromium 的工作目錄裡面。

2017年4月8日 星期六

設定密不透水的 ssh 服務

瓶中船 從遠端管理 linux 伺服器, 一定要開 ssh 服務。 但是開了 ssh 服務, 又怕被攻擊。 所以網管們一定要學會 用 fail2ban 保護 ssh。 在此同時, 另外還可以用白名單及強制要求使用非對稱式加密的方式, 把 ssh 服務的開口設得非常緊密, 近乎滴水不漏, 更多一層保障。

2017年3月31日 星期五

在 zfs 裡面栽種很多個作業系統

接續上一篇 zfs 檔案系統試水溫, 學會操作 zfs 之後, 下一個目標就是把 linux 的 root file system 放進 zfs 的沃土裡面。 網路上已有 純手工打造版 圖形介面版 兩種方式。 這裡介紹第三種方式: 半手工偷吃步, 雖然步驟也蠻多的, 但觀念上很簡單, 同時又保有很高的自由度。 我提出了這個構想, 結果原來 solaris + zfs 高手恆逸資訊的洪朝欽老師早就在這樣做, 然後就順手幫我把它裝到外接硬碟的 zfs 分割上了 :-)

2017年3月30日 星期四

zfs 檔案系統試水溫

zfs 檔案系統 當昇陽 (Sun Microsystems) 還沒有被 Oracle 併購時, 它曾是一家技術領先、 文化開放的公司。 他們在 2004 年時為 solaris 所開發的 zfs 檔案系統, 領先所有競爭者, 甚至到了 2017 年的今天, 似乎仍只有 linux 的 btrfs (還有微軟的 ReFS?) 勉強可與它相比。 恆逸資訊洪朝欽老師免費幫我上了好幾次個人家教課 :-) 可惜他沒在寫部落格。 所以我來轉述分享一下他教我的一小部分內容, 還有爬文及輕度使用幾個月之後的心得, 並建議一條簡單且小心翼翼的學習路徑。

2017年3月7日 星期二

用 Adblock Plus 擋惡意網站跟保護隱私

adblock plus 訂閱條件集 我對靜態的網頁廣告並沒特別反感, 而且已用其他擴充套件保護我的瀏覽器 (另文詳), 所以一直沒有裝 Adblock Plus。 直到這學期要教資訊安全的通識課才認真看了一下, 發現它不只可以擋廣告, 而且根本就是擋惡意網站跟保護隱私的第一線首選。 不論你的瀏覽器是 firefox、 chrome、 safari、 opera、 edge、 ... 還是 ie (~~), 快把 Adblock Plus 裝起來吧!