Kerberos double-hop with resource-based constrained delegation in SQL – mission possible!

By | |
Leave a comment

In recent times there has been a lot of security issues and considerations around Kerberos. A lot of organizations are still using unconstrained delegation with protocol transition which allows hackers to exploit vulnerabilities and impersonate any account in the domain, rendering authentication almost useless in certain cases.

Let’s go back to SQL.

Let’s review teh below scenario:
ForestA DomainA: Server network
ForestB DomainB: Employee network
two-way trust between ForestA and ForestB
ForestA SQLServerA: Reporting
ForestA SQLServerB: Customer Data

In order to access customer data in the reporting sql server, the employee needs to authenticate from DomainB to DomainA across forests, then login to SQLServerA and access data in SQLServerB. This creates a situation where you need to support Kerberos in double-hop scenario. According to various resources and Microsoft official blog articles, the way to do it is by using unconstrained delegation and/or protocol transition. Either unconstrained delegation, or constrained delegation with protocol transition is to be used:

The correct resolution for the specific problem mentioned in the Microsoft article is to trust the account for delegation as selecting „trust this computer for delegation to specific services only“ and „use kerberos only“ does not set the flag in the account, making it impossible to renew tickets. Easiest way is by using Powershell:
Set-ADUser -Identity SQLAccount -TrustedForDelegation $true

There are two huge disadvanteges to both unconstrained delegation and protocol transition:
A. They leave massive security holes. For example, protocol transition allows the service to impersonate any account, without proving that they are allowed to. They can impersonate domain admins, sensitive accounts, anything.
B. They don’t work across forests. Neither unconstrained delegation or protocol transition are supported across forests. And rightly so.

So what is the solution if you don’t want unconstrained delegation or protocol transition and still need double hop across forests?

Resource-Based Constrained Delegation (RBCD)

Step one is to register the SPNs as you would normally do for each server, or if correct permissions are set, it would happen automatically as well. Then, you need to add any SPNs that would be allowed in the SQL Server service account:

Once all needed SPNs are listed, it is best to clear all cached kerberos tickets on the servers and restart the SQL services, preferably the servers themselves.

One very important aspect here is to trust the SQL Service account for delegation. Even though „Trust this user for delegation to specific services only“ is selected, the account is still missing the delegation flag so it needs to be set manually:

Set-ADUser -Identity SQLAccount -TrustedForDelegation $true

Without this, once the 10 hour service ticket time expires, the SQL service would not be able to renew it.

Now, there is still one more consideration – maximum ticket lifetime. By default service ticket lifetime is 10 hours, maximum ticket renewal time is 7 days. This means after 7 days you must get a new ticket, you can’t renew. If you have application that is sitting idle for over 7 days without reconnecting to the SQL, it will fail double hop since the ticket would have expired and the SQL Server is not allowed to obtain new ticket on behalf of the client. Extensive testing had shown that SQL server has no problem obtaining tickets using it’s own service account, meaning internal processes would not fail. Applications like IIS have much shorter session lifetime so their sessions are not sitting nearly long enough for this to be a problem. However, if you have custom applications that have infinite idle timeout, it would be best to kill sessions that are sitting idle for longer than, say, 6 days, if you have 7 days maximum ticket lifetime limit set in Kerberos. This can be done using a job in SQL Server, killing an idle session does not cause any errors unless query is actually running at the time. Doing this our of active hours is feasible solution, then any new session would re-authenticate automatically. Before doing all this, make sure you actually have sessions sitting for that long – in most scenarios, there should be no sessions running that long. Check session duration using the below query and observe the login_time column:

 SELECT *
    FROM sys.dm_exec_sessions
    where nt_domain = 'ANYCORP'
    order by login_time asc

Change ANYCORP to your domain to filter out only domain-authenticated sessions. Keep in mind there are always sessions from SQLAgent which are active since the SQL Server has been started, they are not renewed automatically even when Unconstrained Delegation is used, it is fine to have these sessions past the maximum ticket lifetime, the Job Agent is not going to be affected by that. The sessions are named SQLAgent – Email Logger and SQLAgent – Generic Refresher.

Bonus implementation: Accessing Network Shares in double-hop with RBCD

Now, with all of the above in place, you should have no problems accessing SQL resultsets with double-hop, but what about reading csv using openrowset in double-hop through linked server?

Example: select * from openquery ([SQLServerB\SQLEXPRESS],'SELECT * FROM OPENROWSET(BULK ''\\share-fs-01\Share\test_sample.csv'', SINGLE_CLOB) AS DATA;') 

By default, the above would result in access denied error, because the SQL Service account is not allowed to access that service and cannot obtain session for it due to the SMB protocol which passes the authentication through the SQL Server computer object and not the actual service account. In order to get access, we need to list all computer objects of SQL servers that would be accessing the network share through double-hop. Here is an example PowerShell to do that:

#Define the network share server computer object
$FileShare = Get-ADComputer -Identity net-share-serv

#List all SQL Servers that are going to need access to that network share via double-hop
$DBServer01 = Get-ADComputer -Identity DBServer01
$DBServer02 = Get-ADComputer -Identity DBServer02
$DBServer03 = Get-ADComputer -Identity DBServer03

#Define Array with the above objects
$SQLServers = @(
$DBServer01,
$DBServer02,
$DBServer03
)

#Set the computer object of the network share server to allow access for the SQL Servers
Set-ADComputer -Identity $FileShare -PrincipalsAllowedToDelegateToAccount $SQLServers

Final Words

Based on the above, you should have everything needed to succesfully run SQL Server with double-hop without needing unconstrained delegation or protocol transition! Contratulations on securing your environment and allowing double-hop across forests! 🙂

Extra tip: Disallow regular users to be allowed to join the domain using their own accounts – this is a big security risk as it allows non-privileged users to create computer objects, a legacy practice no longer needed in most if not all companies.

Log MSSQL Server Instance CPU usage

By | |
Коментарите са изключени за Log MSSQL Server Instance CPU usage

Here is a simple PowerShell script for logging CPU usage of each SQL instance on a server to InfluxDB. Server hostname and SQL Instance name are tags, the rest are fields

# Build Uri 
$uri = "http://10.10.10.1:8086/write?db=telegraf" 

[array]$SQLData = Get-WmiObject Win32_Process -Filter "Name = 'sqlservr.exe'" | select ProcessId, commandline

$processor_time = (((Get-Counter '\Process(sqlservr*)\% processor time' -ErrorAction SilentlyContinue -MaxSamples 1 -Sampleinterval 1).Countersamples)) | select -Property Path,InstanceName,CookedValue,Status
$regex = "^[^:]+?_\s*"
$regex2 = "_([^/]+)$"
$hostname = hostname
[array]$SQL_Name = ""
[array]$SQL_PID = ""

#loop through all SQL instances
for ($i=0; $i -lt $SQLData.Length; $i++) {
#get the SQL Instance Name from the PID
$SQL_Name = ($SQLData[$i].commandline -split'-s')[1]                                
[int]$SQL_PID = $SQLData[$i].ProcessId

#extract the process name from the perf counter path (CPU)
$proc_time = $processor_time | Where-Object {(($_.InstanceName) -replace($regex,"") -eq $SQL_PID)}  | Select-Object -Property InstanceName, CookedValue
#if there is no process name next to a PID, just write dummy process name
if(($SQL_PID | measure-object -character | select -expandproperty characters) -lt 3) { $SQL_PID = 0 }

#DEBUG: 
($env:COMPUTERNAME +": "+  $SQL_Name + " PID: " + $SQL_PID + " Processor Time: "  + ([math]::Round($proc_time.CookedValue/$env:NUMBER_OF_PROCESSORS,2)) ) 
#generate the Influx logging calls
$measurement = "sql_cpu"
$tags = "host="+$hostname.ToString() + ",Instance="+$SQL_Name
$values = "PID="+$SQL_PID + ",CPU="+(([math]::Round($proc_time.CookedValue,2))/$env:NUMBER_OF_PROCESSORS)


# Write data to Influx DB 
Invoke-RestMethod -Uri $uri -Method Post -Body "$measurement,$tags $values" -TimeoutSec 10
}

Grafana Panel JSON for visualising the data:

{
  "type": "graph",
  "title": "Panel Title",
  "gridPos": {
    "x": 0,
    "y": 0,
    "w": 12,
    "h": 9
  },
  "id": 2,
  "targets": [
    {
      "refId": "A",
      "policy": "default",
      "resultFormat": "time_series",
      "orderByTime": "ASC",
      "tags": [],
      "groupBy": [
        {
          "type": "time",
          "params": [
            "$__interval"
          ]
        },
        {
          "type": "tag",
          "params": [
            "host"
          ]
        },
        {
          "type": "tag",
          "params": [
            "Instance"
          ]
        },
        {
          "type": "fill",
          "params": [
            "previous"
          ]
        }
      ],
      "select": [
        [
          {
            "type": "field",
            "params": [
              "CPU"
            ]
          },
          {
            "type": "mean",
            "params": []
          }
        ]
      ],
      "measurement": "sql_cpu",
      "alias": "$tag_host\\$tag_Instance"
    }
  ],
  "options": {
    "alertThreshold": true
  },
  "fieldConfig": {
    "defaults": {},
    "overrides": []
  },
  "pluginVersion": "7.5.10",
  "renderer": "flot",
  "yaxes": [
    {
      "label": null,
      "show": true,
      "logBase": 1,
      "min": null,
      "max": null,
      "format": "percent",
      "$$hashKey": "object:140"
    },
    {
      "label": null,
      "show": true,
      "logBase": 1,
      "min": null,
      "max": null,
      "format": "short",
      "$$hashKey": "object:141"
    }
  ],
  "xaxis": {
    "show": true,
    "mode": "time",
    "name": null,
    "values": [],
    "buckets": null
  },
  "yaxis": {
    "align": false,
    "alignLevel": null
  },
  "lines": true,
  "fill": 1,
  "linewidth": 1,
  "dashLength": 10,
  "spaceLength": 10,
  "pointradius": 2,
  "legend": {
    "show": true,
    "values": false,
    "min": false,
    "max": false,
    "current": false,
    "total": false,
    "avg": false
  },
  "nullPointMode": "null",
  "tooltip": {
    "value_type": "individual",
    "shared": true,
    "sort": 0
  },
  "aliasColors": {},
  "seriesOverrides": [],
  "thresholds": [],
  "timeRegions": [],
  "fillGradient": 0,
  "dashes": false,
  "hiddenSeries": false,
  "points": false,
  "bars": false,
  "stack": false,
  "percentage": false,
  "steppedLine": false,
  "timeFrom": null,
  "timeShift": null,
  "datasource": null
}

war3z.org вече и по SSL

By | |
Коментарите са изключени за war3z.org вече и по SSL

С напредването на годините все по-често започвам да разбирам един забавен виц:

Съдия към подсъдим:
-Защо убихте жена си след 20 години брак?
Подсъдим:
-От мързел.
Садия:
-Е как от мързел?
Подсъдим:
-Еми, а днеска, а утре… и годините минаха..

Та и при мен се получава нещо подобно – доста на пръв поглед очевидни неща се проточват с години 🙂 По принцип SSL не е необходим за целите ми, но понеже вече идва момент, в който някои браузъри спират връзката до сайтове без SSL, активирах сертификат и за war3z.org 🙂

16 години war3z.org

By | |
Коментарите са изключени за 16 години war3z.org

idea

Image by ClipFest

Преди 16 години за първи път регистрирах war3z.org като името беше идея на мой приятел и беше заигравка с leet speak начина на изписване на думите. През последните години рядко използвам платформата, но тя остана като символ на желанието ми за развитие, търсене на нови предизвикателства и забавление.

През годините war3z.org беше дом на гейм сървъри, аудио библиотеки, хостинг решения, блогове, хардуерни проекти, метео станции и още много, много идеи и решения на проблеми.

В момента бъдещето е все така неясно както беше и през далечната 2005-та. За сега хостинг услугите продължават, когато е необходимо се публикуват блог постове по проблемите на деня.

За контакт с мен – sawo@war3z.org

COVID-19: Искаме ли всъщност да се преборим?

By | |
Коментарите са изключени за COVID-19: Искаме ли всъщност да се преборим?

илюстрация: Marina Villen Tehran

илюстрация: Marina Villen Tehran

Искаме ли да се преборим с тази съвременна чума, или ще чакаме да ни мине?
Какво всъщност е свободата – да правим каквото ни харесва на всяка цена, или да сме отговорни, без принуда да взимаме и трудни решения, подлагайки се на лишения заради другите?

През последните седмици често се тиражират най-различни мнения, включително и такива, които противоречат на медицинските и научни открития относно пандемията с коронавируса . Например – според доста хора мерките за предотвратяване на заразата не помагат, защото и страни със строги мерки дават много жертви, минали сме вече през многократни заключвания, а епидемията продължава и т.н. В случая няма да задълбаваме в опровергаване на тези твърдения най-малкото защото не почиват на никакви научни факти, а претендират, че оспорват такива, но ще разгледаме по-скоро причините за това отричане на научни истини, признати от цял свят.

Наистина ли мерките предлагани от науката не помагат, или ние грешим някъде? Дали пък не отнасяме свободата и правото на мнение до нива, на които застрашаването на нечий живот се счита за право?

Учените повтарят постоянно, че ограниченията които се налагат трябва да се въвеждат навреме и да се спазват стриктно, за да работят. Знаем добре, че масово по света нито се въвеждат навреме, нито се спазват стриктно и дори това е достатъчно да ни подсети, че не в мерките е проблема. Това обаче удобно се пропуска от повечето хора. За нас сякаш обаче е по-важно да си докажем, че мерките не работят, защото така ще можем да оправдаем неспазването им пред себе си. Проблем остава и човешкият фактор – за да имат ефект, мерките трябва да се въведат рано, когато все още няма „видима“ нужда от тях.
В противен случай, махалото няма как да бъде спряно в горна позиция и влизаме в един цикъл, който само влошава положението в дългосрочен план – още повече скептицизъм и още повече неспазване на препоръките от световната медицина. Ако обаче въведем мерките когато реално трябва, за хората е трудно да „видят“ ползите от тях – няма умрели, няма препълнени болници, има само ограничения, забрани и глоби. Иначе казано – репресии срещу свободата.

Понеже хората винаги осмисляме света около нас чрез бита и личният си опит, нека видим как би изглеждала същата ситуация, но ако не беше пандемия, а например пожар в дома ни, но следвайки логиката на отричане:

Например живеем в дървена къща с няколко стаи и забелязваме малък пламък от паднала свещ в една от стаите. Има малко пушек, но нищо сериозно. Свещта обаче е паднала зад тежък гардероб, не знаем как да загасим огъня. Преценяваме, че ако извикаме пожарна ще съсипят цялата ни къща, а в тази стая нямаме нищо чак толкова ценно. Решаваме да изчакаме малко, може пък и огъня да загасне сам? Преместваме силно запалимите материали настрана, оставяме огъня и изчакваме. Минават часове, виждаме обаче огъня все така си гори, може би малко по-силно, но все пак не изглежда сериозно. Минават още часове, забелязваме дим и в други стаи, там сякаш няма огън, но все пак дими изпод дъските в пода, от контактите по стените. Поглеждаме огъня в първата стая, започнал е да обхваща и част от мебелите.
Връщаме се обратно в останалите стаи, вече виждаме малки пламъци на места, но все още нищо фрапиращо. Решаваме, че явно ще трябва да се прежалим, звъним на пожарната и отваряме прозорците да се проветри малко от дима в другите стаи.
Пожарната обаче пътува известно време, а докато дойде, вече имаме някои изгорели мебели из стаите, а първата стая от където тръгва огъня, вече гори сериозно. Докато гасят, пожарникарите установяват, че огъня се е разпространил и зад стените, по ел. инсталацията и всъщност цялата ни къща гори, а не само това, което виждаме на пръв поглед. Зад стените вече няма какво да се направи, а докато изгасят всичко, губим част от конструкцията на къщата. Разбираме, че на места щетите вече са непоправими.
След като разгледаме щетите, се оплакваме на близките и приятелите си – ето, хем извикахме пожарна, хем пак ни изгоря част от къщата, а на всичкото отгоре и здравите части са целите подгизнали – каква беше ползата от пожарна? Поправяме каквото можем, закрепяме положението, минава обаче време и се случва нов пожар. Чудим се отново какво да правим, а някои от приятелите ни казват – „предният път нали извикахте пожарна? Каква беше ползата, освен да стане още по-зле? Изчакайте, пък вижте какво ще стане, така или иначе нямате какво да губите.“
И ние чакаме. Отново.

Какви са изводите от всичко това? Наистина ли пожарните не помагат и трябва да гледаме какво ще стане всеки път? Това не звучи рационално? Естествено, че не. Просто това е човешката природа – човек търси рационално обяснение за грешките си, по възможност и потвърждение, че всъщност не е сгрешил, а не задължително истината. А нашите приятели често се съгласяват с нас не защото сме прави, а защото сме приятели.
Разликата между пожара и пандемията е, че пожарните съществуват от над 300 години и пожарите не са спирали нито за ден. Хората са се убедили многократно, че дори и да ни се иска да имаме нещо по-добро, пожарните са ефективни. А такава пандемия не е имало от десетилетия, ние вече сме свикнали да живеем както ние искаме и не можем да приемем, че нещо, което не виждаме ще контролира живота ни.
Хората не искат да взимат трудни решения, освен ако нямат друг избор или не виждат ползите от тях в момента и пред очите си. Затова и търсим отчаяно потвърждение, че ограничителните мерки срещу пандемията не работят. Не заради друго, а защото ние не искаме да ги спазваме. Осъзнаваме обаче, че не е правилно да не искаме да ги спазваме ако спасяват живот, следователно трябва да докажем, че не работят и не са необходими. Независимо колко лекари и учени повтарят многократно доказани изследвания, исторически факти и научни разработки, ние винаги ще предпочетем конспирациите, спорните твърдения или мъглявата несигурност, ако това ще ни помогне да спим по-добре вечер.

Комплексни проблеми засягащи огромен брой хора често изискват решения, които са трудни за осмисляне и приемане от индивидуалните личности. Когато обаче друг вземе трудните решения вместо нас, макар и да е доказано по-компетентен (учени, лекари), ние по-скоро го приемаме като намеса в свободата ни, отколкото като помощ.
Изглежда това, което все още не разбираме е, че да имаш свобода не винаги означава да правиш каквото искаш на всяка цена и безусловно. По-лесното решение не винаги е правилното. Вземането на трудни решения също е признак на свобода, но преди всичко и на отговорност, на зрялост. Показва, че ние хората заслужаваме свободата си, но и умеем да я прилагаме във всякакви ситуации, не само в благоприятните. За съжаление тази зрялост се постига трудно, а не трае вечно. Трудните времена се забравят, хората бързо ставаме отново безгрижни и когато се налага да отворим нова глава в еволюцията си, никой не иска да приложи наученото ако ще трябва да върви по труден път.

Колко зависима е община Стара Загора и кой изгони старозагорци от местното управление?

By | | , ,
Коментарите са изключени за Колко зависима е община Стара Загора и кой изгони старозагорци от местното управление?

През последния месец жестоката реалност измества красивите думи по редица интересни за старозагорци теми. В единия случай имаме свободни тълкувания на закони и налагането на лични определения за казуси, въпреки ясното им дефиниране от Закона (парк „Бедечка“), а в другия, превземането на частна собственост в стил банков обир от лица, пряко свързвани с местната власт. В този текст ще се занимаем с Бедечка, в следващия ще разгледаме и въпроса за върховенството на закона в Община Стара Загора, породен от скандала с „кафенето на Янко“, където се оказва, че Общината е построила детска площадка пред кафенето на майката на общински съветник, в разрез с редица закони, като на карта е заложено не само върховенството на закона, а и здравето на ползвателите на същата тази площадка.

По първия казус („Бедечка“) може да се напише много, но интересно е развитието на събитията от последния месец. Това е месец в който се пази мълчание, докато се подреждат финалните щрихи, въпреки интереса на гражданското общество. Това е същото общество, за което кмета на Стара Загора г-н Живко Тодоров упорито настояваше, че трябва да се включва по-активно в местното управление. След референдума гражданите бяха изключени поетапно от всякаква дискусия, въпреки, че очевидно Общината на своя глава пое очевидно в съвсем различна посока спрямо обещаното преди това.

Изглежда до провеждането на местния референдум за запазване на „Бедечка“ границите на парка бяха добре известни, предвид, че бяха включени във въпроса на референдума, но след това г-н Живко Тодоров излезе и обяви, че южната част, която съставлява около 30% от територията на парка всъщност не била никакъв парк, защото… там нямало дървета.

На практика десетките прес съобщения, интервюта и други медийни изяви, в които кметът призоваваше старозагорци да упражнят правото си на участие в местното управление бяха директно хвърлени в коша след референдума. Именно от това се опасяваха и голяма част от старозагорци, които предпочетоха да не гласуват. Доста хора казаха: „какъв е смисъла да гласувам, като те пак ще направят каквото са си решили?“ – напълно разбираем въпрос.
Реално няма дефиниция, законова или каквато и да е, която да дефинира понятието парк като място, където има единствено дървета, или пък само екзотична или неестествена растителност.

Спорната територия, оградена в червено

Очаквано, много граждани подеха вълна от недоволство срещу този, за съжаление не особено изненадващ ход, предвид, че в южната част са струпани най-едрите собственици на имоти, които изглежда имат сериозно влияние над общинската администрация. Изненадващо, този път, кмет, зам. кмет и общинари се втурнаха да обясняват как гражданите, които реално упражняват правото си на участие в местното управление, към което така активно бяха приканвани, всъщност били политизирани, обслужвали частни интереси. Стигна се до там, че директно в национален ефир се отправиха твърдения, които противоречат на законите на Република България.

Eто какво каза г-н Живко Тодоров, кмет на Стара Загора пред БНР:

Ако проверите закона какво казва, той казва ясно – за да бъдат отчуждавани територии за парк, те трябва наистина да бъдат паркови територии. Ние не можем да отчуждим всеки един терен, който не можем да докажем, че е парк, просто защото така сме решили. Нали разбирате, че това е нарушаване на принципа на право на собственост, ако не можем да кажем, че тази паркова територия наистина е такава

Интересно кой ли е този закон? Доста е странно как така във въпроса на референдума г-н Живко Тодоров включи територии, които всъщност не можело да станат парк? Защо попита старозагорци, дали да направи нещо, което не можел бил да направи? Въпросът на референдума беше:

Да бъде ли извършено отчуждаване на частните незастроени имоти в квартал „Бедечка“, по реда на Закона за общинската собственост и Закона за устройство на територията, при граници: от изток – бул. „Хан Тервел“, от запад – ул. „Иван Вазов“, от север алеята към предприятие Труд и от юг – ул. „Христина Морфова“? На територията на отчуждените имоти да се изгради парк, за сметка на бюджета или активи на Община Стара Загора.

Последно парк ли ще „изграждат“, или ще отчуждават само където „вече е парк“? Изглежда са забравили да си оставят вратичка и още с въпроса на референдума са се поставили в ситуация на шах.
Интересен факт е, че г-н Живко Тодоров е отказал достъп до обществената информация (по ЗДОИ) за какво точно са били похарчени около 140,000 лв за местния референдум, предвид, че видимите разходи са около 100 бр. А3 листи с информация (ситен текст), няколко транспаранта и заплащанията на избирателните комисии. Дори по груби сметки, разходите за хората, ангажирани с референдума възлизат на сума, доста по-малка от похарчената. За сравнение, цялата информационна кампания на гражданската група „Запазете Бедечка“, която реално изнесе референдума на свой гръб, струваше около 5 000лв. Дори и да приемем, че няма никакви излишни разходи, отказа да се предостави информация на гражданите, от чиито данъци беше платен този референдум, е повече от странен.

Но нека се върнем на парка и проверим все пак закона, както ни съветва г-н Тодоров. В случая става въпрос за отчуждаване и чл. 205 на ЗУТ урежда тези случаи:

Чл. 205. Въз основа на влезли в сила подробни устройствени планове недвижими имоти – собственост на юридически и физически лица, могат да бъдат отчуждавани по реда на Закона за държавната собственост и на Закона за общинската собственост за обекти – публична собственост на държавата и общините, както следва:
3. за осъществяване на дейности по опазване на околната среда и природните ресурси, геозащитна дейност, укрепване на бреговете, както и за благоустройствени дейности – озеленени площи за широко обществено ползване, водни площи и течения, гробищни паркове и третиране на битови отпадъци;

Изглежда няма законова пречка да се отчуждават имоти, ако ще бъдат озеленени площи за широко обществено ползване. Предвид, че площите, за които говорим, реално дори в момента са озеленени и са част от една обща зелена среда, няма никаква логика така яростно да се върви към застрояването им. Или поне не и ако няма друга причина за всичко това. Чисто законово, по принцип точно за това се прави отчуждаване – за да се направи тепърва парк, а не когато територията е вече парк – ако е парк, то няма да има нужда от този закон 🙂

Важно е да се отбележи, че в южната част на парк „Бедечка“ има и стадион – стадион „Химик“, изграден от АТЗ. Този стадион би трябвало да бъде запазен чрез прегрупиране на общински имоти върху територията му – реално да бъде направена замяна, която да позволи запазването му, без да се наплащат пари. Едно облагородяване на същия този стадион ще предостави прекрасно спортно съоръжение в непосредствена близост до наскоро ремонтирания кв. „Самара“. Жителите на квартала и сега са едни от най-честите посетители на парк Бедечка. В миналото са правени опити да се предоставят терени за детски площадки за игра в кв. „Самара“. Необяснимо е защо сега, когато има реалната възможност да се заменят или отчуждят имоти, които представляват перфектни терени за целта, се върви с пълна сила към застрояването им.
Горното ни кара да се замислим – защо е цялото това усилие да се хвърли една огромна зелена площ под ножа, независимо от последствията? Всички факти до момента показват, че Община Стара Загора води политика на фиктивни действия за уж запазване на парка, като фактически се опитва да създаде условия за застрояването на южната половина на парк „Бедечка“. И всичко това, въпреки собствения си въпрос на местния референдум от миналия месец, в който недвусмислено определя границите на парка, който се простира до ул. „Христина Морфова” на юг. Въпреки интереса и на старозагорци.

Беше обявено, че проектанти ще „оценяват на място кое е парк и кое не“.

Протокол от експертния съвет, от който няма нужда

„Изненадващо“, но никой не се появи. На среща с граждани общинската администрация обяви, че няма нужда от нов експертен съвет по устройство на територията заради парк „Бедечка“. Изненадващо се оказа, че такъв експертен съвет е бил проведен седмица по-рано. Не само това, а в решението на същия този експертен съвет е записано изрично задание към проектантите, с което реално биват принудени от Общината да гарантират застрояването на южната половина на „Бедечка“. В крайна сметка планът е грозно очевиден – да се принудят проектантите да оставят южната половина от парка за застрояване, а от общината да си измият ръцете, като обявят, че такова е становището на експертите, – че „на юг няма парк“ (каквото и да означава това). Междувременно всеки, който пречи на този пъклен план, бива дискредитиран или просто игнориран. Законови аргументи за застрояване на южната половина на парка няма, а субективните такива – цената на отчуждаването, също са доста спорни. Реално има вариант, например, стадионът да бъде запазен чрез замени със съседни общински имоти. Според кадастъра, община Стара Загора разполага със значителна собственост в южната част на парка. На граждани, ангажирани със защитата на парка, предстои среща и с друг едър собственик на имот в южната част. Очакванията са на тази среща да се намери реален вариант за запазване на собствеността като озеленена и достъпна за старозагорци. Това са все стъпки, които би било логично община Стара Загора да следва, вместо да оставя гражданите да водят битките вместо нея. На практика обаче се оказва, че са впрегнати всички сили на общинската администрация да се приеме необичайно бързо нов устройствен план, преди да се разчуе, че има собственици в южната част на парка, които са съгласни собствеността  им да остане зелена и без да се изкупува от Общината.

Друг проблемен казус, по който се мълчи е издаването на още четири разрешения за строеж в северната половина на парка. Твърди се, че се търсят варианти строежите да не се разрастват, но реално няма предприети никакви действия за постигане на така заявената цел. Сдружение „Запазете Бедечка“ потърсиха правна помощ от юристи и се оказа, че напълно законно могат да бъдат отказани тези разрешения при съществуващата ситуация, но до този момент тази информация сякаш убягва на доста хора в Общината, въпреки многократното й споделяне с отговорни лица от общинската администрация.

Какво би било истинското решение за парк „Бедечка“, такова, че да покаже силна политическа воля за решаване на проблемите в Общината и извеждане на всеки казус докрай?

Това, което всички старозагорци очакват от г-н Живко Тодоров и Община Стара Загора е, да бъде отправен ясен сигнал, че общественият интерес е над частния. Борбата за „Бедечка” реално олицетворява точно тази философия на демократичното общество. Дойде време да спрем да играем хоро около проблемите и да оставим подхода две крачки напред, една назад. Границите на парк „Бедечка“ са ясни от повече от 50 години, независимо къде каква растителност има в момента. В района на парка има нужда както от дървестни видове, с пейки под дебели сенки, така и от поляни, игрища, стадиони и спортни съоръжения. Парк „Бедечка“ може да предостави всичко това и още много, стига обаче Общината да доведе до край започнатото и да запази парка в пълния му вид, въпреки частните интереси в южната част. Времето за компромиси, прикрити зад добри намерения свърши. Нека видим един ясен отказ от задкулисните игри. Нека сложим край на оправданията и решим веднъж завинаги този въпрос в полза на старозагорци, а не в полза на една малка групичка „бизнесмени“ – както опити изглежда продължават да се правят.

Освен политическите решения, които трябва да се вземат в Общината, как можем да помогнем ние, – гражданите?

Ежеседмично текат акции за почистване на парк „Бедечка”. Д, дори само с доброволен труд и за по няколко часа на седмица се виждат реални резултати по подбряване на средата в парка. Случайни посетители на парка, хора постоянно спират край доброволците– или, за да помогнат, или за да ги поздравят, че безплатно вършат това, което щяло било да струва милиони по думите на общинари.

При последното почистване започнахме да разкриваме загубени завладени от растителността алеи, да проправяме път за поляни измежду шубраците и да осигуряваме глътка въздух на задушаващи се в храсталака дървета. Не е нужно да си политик, за да помогнеш.

Ето какво заварихме миналата събота:

 

 

 

 

След няколко часа оставихме това:

 

Бранителите на Стара Загора гледат – ще опазят ли старозагорци Бедечка?

By | | , ,
Коментарите са изключени за Бранителите на Стара Загора гледат – ще опазят ли старозагорци Бедечка?

Надеждата – Сн.: Lubo Mir Ar

 

Съвсем близо до парк Бедечка е мемориалният комплекс „Бранителите на Стара Загора“, от където се вижда прекрасно Бедечка. Те, Бранителите ще следят внимателно утре старозагорци. Какво ще им покажем ние? Достойни наследници на тези земи ли сме? Имаме ли волята да отстояваме идеалите и убежденията си, или ще влезем в паралелната вселена, в която ни вкарват?

 

Интервю с Кольо Панев: историята и бъдещето на Бедечка са на всички старозагорци

By | | , ,
Коментарите са изключени за Интервю с Кольо Панев: историята и бъдещето на Бедечка са на всички старозагорци

Публикувам едно интервю на Николай Колев, който се срещна с Кольо Панев, зам.-кмет и зам.-председател на ИК на Общинския народен Съвет на Стара Загора по времето на Кольо Георгиев (7 юни 1976 – 16 юни 1986). Това интервю, според мен, освен, че ни припомня отдавна забравени моменти от създаването на едно прекрасно място за старозагорци, поставя и „Бедечка“ в една малко по-различна перспектива, спрямо казаното от всички до момента. Преди това обаче, ето и самото интервю:

Разкажете ни за началото на парк Бедечка?

Паркът беше започнат по инициатива на кмета Йордан Капсамунов (кмет на града от 1952г. до 1962г., помага активно за изграждането водопроводи, канализация, градини, паркове, лятно кино и театър, зоокъта в Аязмото и много други – б.р. ).
Той направи първо езерото и парка, а после и долното езеро, под канала (непосредствено до езерото „Загорка“ б.р.), там беше един невзрачен площад тогава, нищо не беше. Там колите паркираха върху тази площадка, която е сега това езеро.
Аз постъпих във общината през 1981-ва. Наследих ангажимент да се подготвим за световното първенство по корабомоделизъм.

Знаело се е преди това за първенството?

Имаше вече започната подготовка. Езерото беше източено, изгребахме тинята, която беше нанесена – имаше един метър нанос във езерото. Направихме околната алея – около езерото. Направихме и пристаните за лодките. Форсирахме ресторанта и хотела. Ресторанта завършихме, но хотела не успяхме. Направихме паркинга от северната страна , както и южния паркинг (паркингите на парк х-л Стара Загора – б.р. )Направихме пълно почистване на парка. Имаше алеи, но не бяха асфалтирани. Прекарахме и осветление, асфалтирахме алеите – това всичко го правеха „Благоустройствени Строежи“. А почистването беше дело на бригади от предприятия, учреждения в града. Всеки ден имаше бригади. Аз, като заместник кмет, отговарях за координацията на строителните организации и бригадите. Около стадион Локомотив беше много невзрачно – всичко беше преведено в порядък.

Тогава имаше и един Младежки дом, не знам сега какво е.

Сега е сринато.

Сринато? Е, около младежкия дом (непосредствено до т.нар. малкото езеро – б.р.) всичко беше със пейки и всичко останало. Около Труд (съвсем близо до стария чинар – б.р.), тази горната част, тя беше перфектна.

А от там на юг?

От там на юг, беше току-оформено вече.

А от Труд на юг, тогава ли асфалтирахте алеите?

Да, тогава. Тук четох за Тенко Дянков (във информационния вестник на „Запазете Бедечка“ – б.р.), ние сме много близки с него, той има още повече информация, още от началото – той е проектант, ландшафтен архитект както сега му казват. Тенко Дянков и Иванка Минчева са завършили една специалност, тя беше началник отдел зелено строителство, във Общината. Тя беше организатор на цялото начинание. Тенко е проектантът, а тя беше организаторътТрябва да наблегнем на това, че навремето това беше общо дело. Общоградско дело, с пълно участие на гражданите и предприятия. Предприятията купуваха разсадъчен материал.

Предприятията са купували разсадъчен материал?

Ами да, Общината беше бедна тогава. Кмета казваше на хората: „Абе виж какво, нещичко да помогнеш, каквото можеш“. И така е правилно.  Тогава имаше ентусиазъм, дух – творчески дух. Наскоро гледах едно предаване, там казаха „по онова време, на хората е било забранено да мислят и да мечтаят“. Нищо такова – тогава младите хора с мечтите си пробиха Хаинбоаз, създадоха язовири, централи, ЖП линии. С дух, мечти и мисли.

Цялото интервю описва една по-различна епоха. Епоха, без европроекти, без информационни табели, без обществени поръчки и търгове. Старозагорци са облагородявали парк Бедечка както могат, когато могат. Включвал се е всеки, който е можел да помогне. В пресата от това време парка се описва като почти изцяло завършен, с 60 предприятия и колективи, работещи активно за облагородяването му, с асфалтирани алеи, осветление и напояване.

Напоследък, след всичко казано за пари, цени, закони, интереси и прочие, изглежда, че ние се опитваме да поставим Бедечка в едни рамки, които са дошли много след като тази природа се е появила там.

Ще си позволя да използвам една аналогия, която наскоро използваха собствениците на земи в Бедечка. А именно – какво ще стане, ако хората, върху чиито земи са построени жилищните сгради в старозагорските квартали решат да си поискат земите? Реално собствениците на апартаменти не притежават земята, върху която са построени сградите, а по времето на комунизма голяма част от земята е била реституирана? Ще си позволим ли да съборим сградите и да оставим хората, и семействата им на улицата? А хората с имоти в Аязмото? Ако и те си ги поискат?
Казусът с Бедечка е сходен с горната аналогия – дърветата и природата не притежават земята върху която се намират, но те са там и това е факт. Ако земята е на собствениците, на кого е тогава природата в Бедечка?
Както не можем да съборим първите три етажа от жилищна сграда, за да върнем земята на предишните й собственици, така и не можем да бетонираме природата, обявявайки го за „компромисен вариант“ спрямо хората с имоти там. Времето за компромиси мина – и е време да се надигнем и да решим този проблем веднъж завинаги.

сн. – архив

сн. – архив

сн. – архив

Интервю с Кольо Панев по време на преобразяването на „Бедечка“ преди световното първенство по корабомоделизъм – сн. Архив

Кънчо Матев: „Законите легализираха войната на човека с природата, а нея нямаше кой да я защити“

By | | , ,
Коментарите са изключени за Кънчо Матев: „Законите легализираха войната на човека с природата, а нея нямаше кой да я защити“

сн: NBP

сн: NBP

Днес се появи поредна гражданска позиция на един човек, направил безкрайно много за поколения старозагорци – Кънчо Матев, почетен директор на ГПЧЕ „Ромен Ролан“ и почетен гражданин на град Стара Загора. Върху предложението за номинацията му са се подписали над 600 души, като преди това е номиниран и през 1998-ма, но отказва. Директор на „Ромен Ролан“ в продължение на 27 години, Кънчо Матев е реално може би най-значимия основател на езиковото обучение в Стара Загора, борил се с всички средства, за да направи града ни едно по-добро място. Повече за неговата всеотдайност и огромен принос към Стара Загора може да прочетете в негово интервю тук.

Като гражданин, милеещ за Стара Загора и виждащ какво се случва в момента, Кънчо Матев призовава всички нас, които са готови да поставят Стара Загора над частния интерес да подкрепим Общината и кмета Живко Тодоров в усилията им да запазят парк Бедечка. Държа да отбележа, че позицията на Кънчо Матев е знакова, защото не само призовава гражданите на Стара Загора за помощ, но и дава пример – по негови думи има земя около р. Бедечка, но дори не е помислял да си я иска, за да строи, за да не унищожи природата, която ни държи живи и здрави. Пълния текст на неговия призив може да прочетете по-долу:

Скъпи съграждани, приятели!
Предстои ни да вземем едно съдбоносно решение – да продължава ли нашият град да бъде най-добрият за живеене в страната, т.е. да живеем все по-добре, да бъде ли щастливо детството на бъдещите поколения. Смятам, не е тайна, че градът получи това почетно звание не само заради правите и красиви улици, не само заради луксозните обществени сгради и добрата инфраструктура. Дори не само заради своите стопани – хилядите негови създатели. Той спечели и заради своите прекрасни паркове, между които Аязмото – един от най-красивите кътове в България, един блестящ край на Средна гора. Какво би представлявала Стара Загора без Аязмото и северния зелен пояс, т.е. без своите бели дробове – не бих казал, че ще се превърнем в пустиня, но какъв въздух, плод на „цивилизацията“, щяхме да дишаме, къде щяха да отдъхват старозагорци след напрегнатите трудови делници. Тук трябва да признаем огромната заслуга на ръководството на града, за да може това да се случва.
Природният парк „Бедечка“ е един от подаръците, с които природата е дарила нашия град. Аз и сега си спомням как през 30-те години на миналия век, а и по-късно, след големите български празници Великден, Гергьовден и 24 май градът се изнасяше именно в района на парк „Бедечка“ – правихме люлки, децата играеха на свобода, а при горещо време се разхлаждахме в реката. Отивахме до най-големия вир на Бедечка, Куловия бент, който със своите 2м дълбочина и около 4 м диаметър бе единственото място, където старозагорци можеха да се къпят и плуват.
Не само жителите на града се радваха на природните красоти. Изключително богат и разнообразен бе растителният и животински свят. Природата ни възпитаваше със своята красота и необятност. Но човекът й обяви война – макар и под закрилата на закона. Законите легализираха войната на човека с природата, а нея нямаше кой да защити. Преди 09.09.1944 г. , когато градът наброяваше 30 000 души, заемаше територия, на която би трябвало да живеят 400 000. И днес, когато населението се увеличи петкратно, на площта на днешна Стара Загора биха могли да живеят и повече от половин милион души. Но разликата е в това, че природата беше в домовете – рядко можеше да се види къща без кладенец или достатъчно голям двор, в който се отглеждаха плодове, зеленчуци и красиви цветя под грижите на своите стопани, а в колибки и къщички имаше най-различни домашни животни. Ако сега попитате някое дете какво представлява козата, заека, пуйката, едва ли би ви отговорило.
Преди известно време по телевизията съобщиха, че в Сливенска област има само две гугутки от определн вид, изчезват врабчетата, лястовиците…да не изброявам повече. Бетонът загроби дворовете, а така изчезнаха т.нар. зелени площи. Войната с природата трябва да спре, защото в нея няма победители. Победата на бетона над природната красота е равна на самоубийство.
И нека не се крием зад закона. За тези от вас, които имат имоти в парк „Бедечка“ , искам да кажа: аз съм един от собствениците на земя край р. Бедечка. Но даже и през ум не ми е минавало да помисля за строителство, което ще наруши природното равновесие. Мисля, че малцината живи старозагорци от моето поколение ще се съгласят с мен, че красотата – а по-голям художник от природата не може да има – не само ще спаси света, но и ще го направи по-добър.
Ръководството на Община Стара Загора и лично неговия кмет г-н Живко Тодоров, които правят толкова много за благоденствието на нашия град, трябва да бъдат подкрепени в техните усилия не само за запазването, но и за благоустрояването на природен парк „Бедечка“, за да се превърне той в един красив резерват, в който щастливо съжителстват човекът и природата.
С уважение към всички съграждани Кънчо Матев, почетен гражданин на Стара Загора

 

Калната кампания срещу Бедечка или как „крадеца вика дръжте крадеца“

By | |
2 Comments

Подкрепата, която я няма

През последната седмица кампанията на лобито, което упорито се опитва да накара старозагорци да му купят квартал засилва натиска върху всеки, който е за парка. Агресията стигна до там, че в един момент хората започнаха да се чудят за какво всъщност е референдума – за парка, или за хората, които подкрепят запазването му? Постоянно се обяснява какви били природозащитниците, какви интереси имали, от кого били платени и т.н. Вадят се от сто кладенеца вода, само и само да не се говори директно за парка.

В един доста грозно манипулиран материал, публикуван в сайта на ТВ Стара Загора, са се опитали да извадят няколко твърдения извън контекста, в отчаян опит да очернят хората, които защитават парка:

Твърди се, че „Запазете Бедечка“ са присвоили подкрепата на ТД „Сърнена Гора“, понеже няма решение на управителния съвет, с което да се заяви подкрепа. Тази толкова проблемна подкрепа обаче стои заявена на тяхната Facebook страница, докато пиша този текст. Буквално часове след публикуването на материала в сайта на телевизията, в социалните мрежи започна вълна от недоволство заради информацията, че членове на ТД „Сърнена Гора“ са били заплашвани по телефона заради подкрепата си за каузата. Информация, която не беше опровергана.

Следващата манипулация беше подкрепата на фен клуба на „Берое“, за която също се твърди, че „Запазете Бедечка“ са присвоили – отново нищо невярно.

Eто и публикацията на „Запазете Бедечка“:

 

 

 

 

 

 

 

 

 

 

А относно прегърнатата кауза…

 

 

 

 

 

 

 

 

 

 

 

 

 

Мащабната кампания продължава с все сила – всеки, който открито подкрепя парка, бива притискан, сплашван и тормозен – било то директно или чрез преките си висшестоящи. И това от една група хора, които за пред обществото обясняват, как работят в негова полза, как всъщност са за парка, но просто нямат желание. Реално единствените, които имат комфорта официално да изразят позиция, са една малка група противници на парка. Скоро ще разгледаме и тях – тези, които открито вървят срещу интереса на старозагорци.