Архив автора

Всем привет. Сегодня я немного поделюсь впечатлениями от мощных точек доступа WiFi отечественного производителя — компании Eltex.
У них много всякого железа, и первый раз я познакомился с их продукцией на примере Voip-шлюзов и свитчей доступа MES, оставшись ими более чем доволен.
Если вам интересно про их беспроводные железяки — лезем под кат.
(далее…)

Реклама

Я крайне редко рекомендую какие-то другие ресурсы явно.

Однако наткнулся тут на блог одного программиста, в чтение статей которого провалился на пол-ночи.

Вычислительная фотография
(я даже термин такой не встречал до этого, очень зачётно про современный пост-процессинг в фотокамерах)

Про не-умный дом
(ну это стандартная боль, нет устоявшихся открытых стандартов = пиздец)

и

про машинное обучение
Тут просто очень хорошо изложено про виды всего этого ИИ-хозяйства.

музей Яндекса

Posted: 2019-09-15 in По жизни, IT
Метки:,

Всем привет ! Сегодня мы снова немного затронем IT-археологию и старое железо. Еcли интересно — жмём ссылку ниже.
Фотки — конечно же, будут.
(далее…)

Есть в линуксе такой очень тёплый и очень ламповый файервол — iptables.
Присутствует он там уже 20 с лишним лет, и чаще всего используется либо в настройках по умолчанию, либо для классической раздачи инета через шлюзовой сервер посредством NAT/MASQUERADE. Иногда про него вспоминают, если поднятый сервис после старта оказался не доступен из инета =)

Однако есть у него и ряд совершенно чумовых возможностей. В одной заметке нереально уместить всё обилие фич и сценариев использования, появившихся за двадцатилетнюю историю, я же опишу лишь две из них.

IPSET.

Офигенная штука, когда надо работать с крупными списками адресов или список адресов должен быть использован более одного раза.
Пример — есть у нас список IP адресов (ркн, телеметрия майкрософт, копирасты, спамеры и прочие злыдни), с которыми соединяться не нужно даже случайно ни на вход, ни на выход. Список при этом может часто меняться. Размещать всю эту муру в основном конфиге файервола — сложно, неудобно и чревато поломкой сети в случае ошибки.
Что мы делаем ? Ставим пакет ipset, и пишем простейший скрипт типа такого:

#!/bin/sh

ipset -N banlist iphash
ipset -F banlist

# Spam bots
ipset -A banlist 92.127.233.224
ipset -A banlist 208.103.122.165
...
ipset -A banlist 95.101.95.129/25

А в начало конфига файервола пишем вот такое:
-A INPUT -m set --set banlist src -j DROP
-A OUTPUT -m set --set banlist dst -j DROP

Всё, любой входящий траффик с этих адресов и исходящий на них же будет дропаться с регистрацией в соответствующих счётчиках (iptables —list -vn). Важных замечаний ровно два. Первое — ипсеты использует такая лютая надстройка, как firewalld. Мне не очень нравится его развесистая лапша из таблиц, пытающаяся описать все распространённые случаи. Надо внимательно смотреть, что ипсеты правильно применились. Зато он полностью сам рулит ипсетами, правилами, последовательностью запуска и прочим. Но конфиг на выходе — в три экрана. Впрочем, ничто не мешает снести надстройку и написать свой конфиг файервола со скриптами, сетами и логгерами.
Второе — сеты должны быть созданы ДО запуска файервола. Как именно вы это сделаете — через юниты systemd, скриптами из rc.local или ещё как — не суть. Главное — конфиг с -m set сработает только тогда, когда используемый ipset будет создан (вполне может быть и пустым).

Очень полезная особенность — правка ipset-ов не рестартит файервол, не сбрасывает его счётчики, не трогает никакие другие правила, к ipset-у не относящиеся. В простых конфигах ipset может показаться лишней сущностью. Но для систем типа fail2ban или случая развесистых списков адресов для правил — вещь незаменимая.

-m owner

Ещё одна редко используемая, но тоже в ряде случаев полезная опция.
Идея в том, что ядро системы знает, какой исходящий траффик процессом какого пользователя порожден, и может на основании этого применить специфичную обработку траффика.
Вспомнил я про это, когда один из моих знакомых спросил, можно ли запустить некое виндовс-приложение в WINE так, чтобы он не могло вылезти в сеть.

В этом случае самое очевидное, и при этом весьма надёжное — отдельная виртуальная машина. Но это а) куда менее удобно б) требует ещё один инстанс ОС.
Однако есть и готовое решение, изумительно простое в своей изящности. Оно не столь надёжно, как изолированная ВМ без сетевой карты, но поставленную задачу тоже решает.
Идея в том, что iptables для исходящего траффика может различать траффик не только по пользователю, но и по его группе и даже по SELinux-контексту. Возня с отдельными пользователями под каждую софтину — неудобна и проблемна из-за прав доступа и вопросов доступа к X-серверу, SELinux сам по себе та ещё черная магия, а вот доступ на основе группы — это то, что доктор прописал.

Базовый ман для убунты на английскои тут: https://askubuntu.com/questions/249826/how-to-disable-internet-connection-for-a-single-process/393013#393013

Для редхатных чуть иначе.
Сперва создаем группу, которую будем назначать тем, кому надо ограничить сетевые аппетиты:

groupadd no-internet

Дальше делаем нашего пользователя членом этой группы:
usermod -G no-internet UserVasya
ВАЖНО !! Опция -G — заглавной буквой ! То есть мы добавляем пользователя UserVasya в группу no-internet, но ОСНОВНУЮ группу пользователя не меняем ! Если перепутать — пользователь останется с отломанным инетом.

В файлах это будет выглядеть вот так:

# cat /etc/group | grep UserVasya
UserVasya:x:1000:
no-internet:x:1011:UserVasya

# cat /etc/passwd | grep UserVasya
UserVasya:x:1000:1000:UserVasya:/home/UserVasya:/bin/bash

Тут у нас есть пользователь UserVasya c UID = 1000, его основная группа — тоже UserVasya, с GID = 1000. Но он также входит в группу no-internet c GID = 1011. Именно это членство позволит пользователю менять группу без ухищрений с судо и запросов паролей.

Теперь напишем сетевое правило для этой группы где-нибудь в начале фильтров для OUTPUT:

-A OUTPUT -m owner --gid-owner no-internet -j DROP

Тут мы говорим файерволу, что траффик, порожденный процессами c группой no-internet, надо тихо дропнуть.

А дальше мы просто воспользуемся утилитой sg (substitute group).

Примеры волшебных команд:

sg no-internet quake2
sg no-internet konsole
sg no-internet ~/.wine_radmin/radmin.sh
env WINEPREFIX=/home/user/.wine_ut2004 sg no-internet 'wine "C:\UT2004\System\UT2004.exe"'

При их выполнении приложения запустятся, но попытка зайти на игровые сервера, соединиться с серверами radmin или пропинговать что-то в запущенной таким способом консоли — завершится неудачей.

Однако это не является 100% способом !
Например, запущенный таким образом firefox группу не меняет, и остается с сетевым доступом !

Так что реально критичным сервисам — своя ВМ, со своим файерволом.

В следующий раз попрактикуемся в ч0рной магии.

Принесли тут пачку флешек San Disk Cruser Fit USB 3.1 с одними и теми же симптомами — режим только-чтение.

В инете полно тупейших «псевдо-инструкций», советующих то воспользоваться виндовым diskpart для очистки атрибутов раздела, то подсовывающих всякие высокоуровневые утилиты для работы с разделами или даже софт для восстановления данных. Вся эта херня, как и ожидалось, не работает.

А ответ находится на сайте у вот этих суровых профи:

Никаких производственных инструментов (в том числе и программ-прошивальщиков) для контроллеров Sandisk, не имеется в свободном доступе. Так что ни о какой реанимации флешек базирующихся на данных контроллерах (в основном производства самого Sandisk, Apacer и возможно еще кого-то), говорить не приходится. Единственное что можем мы сделать, это проголосовать кошельком, против сверх закрытой политики компании Sandisk. А именно, не покупать флешки от компании Sandisk, даже если Вам очень хочется модель Sandisk Extreme USB 3.0 Flash Drive или иную “одноразовую” флешку.

Ещё полезная информация есть в логе /var/log/messages, если воткнуть флешку в линуксовую машину:


Sep 4 1:12:24 hs1 kernel: usb 1-1.2: new high-speed USB device number 5 using ehci-pci
Sep 4 1:12:24 hs1 kernel: usb 1-1.2: New USB device found, idVendor=0781, idProduct=5583, bcdDevice= 1.00
Sep 4 1:12:24 hs1 kernel: usb 1-1.2: New USB device strings: Mfr=1, Product=2, SerialNumber=3
Sep 4 1:12:24 hs1 kernel: usb 1-1.2: Product: Ultra Fit
Sep 4 1:12:24 hs1 kernel: usb 1-1.2: Manufacturer: SanDisk
Sep 4 1:12:24 hs1 kernel: usb 1-1.2: SerialNumber: ...
Sep 4 1:12:24 hs1 kernel: usb-storage 1-1.2:1.0: USB Mass Storage device detected
Sep 4 1:12:24 hs1 kernel: scsi hs10: usb-storage 1-1.2:1.0

Sep 4 1:12:25 hs1 kernel: scsi 10:0:0:0: Direct-Access SanDisk Ultra Fit 1.00 PQ: 0 ANSI: 6
Sep 4 1:12:25 hs1 kernel: sd 10:0:0:0: Attached scsi generic sg5 type 0
Sep 4 1:12:25 hs1 kernel: sd 10:0:0:0: [sde] 60063744 512-byte logical blocks: (30.8 GB/28.6 GiB)
Sep 4 1:12:25 hs1 kernel: sd 10:0:0:0: [sde] Write Protect is on
Sep 4 1:12:25 hs1 kernel: sd 10:0:0:0: [sde] Write cache: disabled, read cache: enabled, doesn't support DPO or FUA
Sep 4 1:12:25 hs1 kernel: sde: sde1
Sep 4 1:12:25 hs1 kernel: sd 10:0:0:0: [sde] Attached SCSI removable disk

Ключевое тут — «Write Protect is on» для [sde], то есть для физического устройства. Попытка снять флаг с помощью hdparm (встречал и такой совет) напишет, что флаг снят:

# hdparm -r0 /dev/sde

/dev/sde:
setting readonly to 0 (off)
readonly = 0 (off)

Но поскольку hdparm делался для scsi/ide/sata устройств, которым можно послать ATA-команды, для usb-флешей это не прокатит, и на практике флешка не будет принимать никакие команды записи, и флаг не переключит. Файловая же система на таких флешках жива и монтируется, но с предупреждением «WARNING: device write-protected, mounted read-only.»

Так что сохраняйте чеки и меняйте это по гарантии. Внятных способов оживления таких носителей в настоящий момент не найдено.

срамосорм

Posted: 2019-08-29 in IT
Метки:

То, что рано или поздно должно было случиться, случилось.

На CC’2019 в одном докладе добрым человеком была раскрыта одна утечка данных из системы СОРМ. Сам дамп хоть и весьма отрывочен и криво распарсен, крайне интересен для изучения.

Помимо ошмётков http-траффика на 443-м порту, там есть ещё масса примеров работы шпионских мобилко-бэкдоров, траффик китайских троянов, и прочий занятный цифровой мусор. Слив номеров IMEI, версий софта, номеров телефонов тоже есть.

А вам правда всё ещё нечего скрывать ?

Всем привет. Сегодня мы поговорим про двухфакторную аутентификацию, или если более широко — о дополнительных способах усиления / защиты аккаунта через дополнительные факторы аутентификации.
Если вам интересна эта тема, и вам таки есть что скрывать, например данные вашей банковской карточки, приглашаю вас в избу-читальню.
(далее…)

Недавно одному клиенту вышележащий провайдер переслал одно интересное абузное письмо.

От: GOV-CERT.RU
Тема: Уведомление о зараженной ВПО ПЭВМ – [GOV-CERT.RU#]

Добрый день!

НКЦКИ располагает подтвержденными сведениями о внедрении ВПО типа
Trojan-Banker.Win32.RTM на объект, находящийся в адресном пространстве
вашей компании.

В период с 11 июня по 18 июля зафиксированы факты взаимодействия
представленного во вложении IP-адреса с центром удаленного управления
(C&C). Для получения IP-адресов C&C ВПО осуществляет запрос по адресу
hxxps://chain[.]so/api/v2/get_tx_received/BTC/ (IP-адреса 104.25.48.99,
104.25.47.99). В ответе содержится набор транзакций на счет криптокошелька.

Просим довести данные сведения до владельца указанного объекта для
принятия мер по реагированию на компьютерный инцидент.

О проведенных мероприятиях просим проинформировать.

С уважением,
Команда Национального координационного центра по компьютерным инцидентам
Сайт — http://cert.gov.ru/
Почта — gov-cert@gov-cert.ru
Телефон: +7 (916) 901-07-42

Chain.so — это вообще-то эксплорер по самым распространённым криптовалютам.
Конечно, там мог притулиться и C&C, но это совсем уж наглость, размещать C&C
на публичном проекте.

Современные трояны много чего умеют,
но зачем банкеру лазить в блокчейн — не очень понятно.
Такое поведение больше характерно для вирусов-шифровальщиков.

Тем не менее, gov-cert считает эту активность 100% относящейся к банковскому трояну
Trojan-Banker.Win32.RTM.

Обычно подобные письма раньше присылали всякие иностранные секурити-конторы
или автоматизированные IDS-системы. Оказывается, в России тоже создан такой центр,
и судя по письмам — даже начал заниматься чем-то внятным.

Сам троян Trojan-Banker.Win32.RTM тоже весьма интересен:

Троянец-банкер Arnold: TwoBee или не TwoBee

Его ключевая идея — подмена реквизитов для безналичной оплаты в файле обмена данными между банк-клиентом и 1С.
Дело в том, что при большом потоке документов на оплату интеграция банка и 1С обычно настраивается один раз классическим методом через текстовый файлик обмена данными, и забывается надолго. И вот этот вирус как раз таки мониторит обращения к этому файлу, и вместо реквизитов компании-получателя подставляет реквизиты мошенника-однодневки.

Техника весьма изящная и непалевная — с точки зрения банка, просто появляются платежи на новые реквизиты. С точки зрения 1С нечего не меняется — файл переписывается позже и другим процессом. С точки зрения антивируса — всё ок, клиентский софт переписал один-единственный текстовый файлик.

Активность в сторону chain.so выглядит на этом фоне особенно странно. Получается, либо gov-cert ошибся, либо там действительно приютился C&C, либо троян не только пиздит деньги из банк-клиента, но и готовится причинить жертве ещё более серьёзные проблемы. Была мысль, что это анализ именно криптовалютной активности (гэбня роет под юзеров крипты ?!), но для неё нет надёжных подтверждений на текущий момент.
Но есть ещё один весьма логичный вариант — вирусы научились хранить в блокчейне инфу о новом расположении C&C ! Это весьма новая техника для обеспечения доступности C&C, и если это так — мне крайне любопытно получить подтверждение этому, это мощное и очень красивое решение.

Вообще Gov-CERT создан для защиты государственных IT-систем ещё в 2012-м, и курирует его ФСБ.

Тем удивительнее было обнаружить, что они не ограничились защитой только госов и своей внутренней кухней, но и начали участвовать в информировании пострадавших о заражениях.
При этом они смогли избежать тёмного соблазна использовать всякие крипто-про и отечественную крипту в паблике — как и все нормальные cert-ы, используют для подписания писем PGP-ключ с вот таким iD: 4D72 E5BD EA7F 046E 6C33 FB86 B6B8 3E23 25D8 A13B , который выложен у них в контактах.

Что и разумно — гостайной и персданными инфа о червиях не является, а использовать устоявшиеся стандарты для защиты почты более чем логично.

Но само событие более чем любопытное, на него стоит обратить внимание — гос-CERT шлёт письмо провайдеру, что у него есть заражённый банковским трояном клиент, но в качестве примера активности указываются коннекты к блокчейн-эксплореру.

Вот такая вот странная фигня случилась. Если узнаю ещё чего интересное — добавлю в заметку.

Всем привет.
Полгода назад я уже писал о корпоративных зомбарях, считающих франкенштейна из виндофс-10 и диска 32 Гб рабочим, готовым к продаже решением. Оказалось, что эта тема вовсе не заглохла.

Там перлы в каждом абзаце. Сперва автор запускает на этом нечто-девайсе гниловс-10, прилетает крупный апдейт, место кончается, начинается лютое колдунство и шаманство в тяжких попытках выжать из раздела требуемое свободное место — снос бэкапов/контрольных точек, отключение швопа, удаление ранее поставленного софта, и как финальный аккорд — включение сжатия файловой системы для системного раздела.
Не знаю, как насчёт 30 лет назад, но сейчас, в 2019-м, я признаю сжатие только в изначально спроектированных под это дело специализированных файловых системах, таких как SquashFS. Там это работает изумительно. Во всех остальных случаях это существенный головняк как минимум со скоростью работы.

Дело в том, что времена, когда основным объемом данных были прекрасно сжимаемые текстовые файлы, прошли как раз примерно 30 лет назад. Сейчас у нас на ФС полно картинок, музыки, видео, инсталляторов, архивов (docx / xlsx / odt / ods — тоже архивы по сути) и прочих данных, совершенно не поддающихся сжатию. Исполнимые файлы и всякий текстовый PDF жмутся, но цена за это — резкий рост задержек и нагрузок. Но жест отчаяния вышел артистично, таки да.

А беда эта идёт от того, что в виндовс до сих пор нет менеджера пакетов. Не надо только мне говорить про шоколате !
Возможно, эта утилита и снижает уровень жжения в жопе от работы с гнидовс, но ей до менеджера пакетов — как папуасам карго-культа до Альфа-Центавры. То есть в общем случае ОС виндовс имеет лишь очень приблизительное представление, что творится в её кишках. То есть версию сервис-пака она конечно знает, и даже может знать, какие из апдейтов и софтин установлены, если в реестре что-нить не побилось. Но вот произвести чистую деинсталляцию что родного, что стороннего приложения, вернув систему в исходное состояние — то есть с полной вычисткой всех хвостов, штатными средствами невозможно. Точно также может оказаться предельно сложным или и вовсе нереальным обновить только один компонент из сервис-пака, не сломав всё остальное. Да даже просто сказать, какой файл каким апдейтом был обновлён — уже квест. Автор хабро-заметки знатно зарубился с ветряной мельницей.

Ещё виндовс не умеет убирать за собой. Ну вот поставился СП. Все работает. Месяц, два, три. Что мешает удалить ненужные файлы самостоятельно ?! Из-за такой нечистоплотности каталог виндовс, изначально немаленький, разпухает иной раз до каких-то совсем нереальных размеров. Ситуация, когда виндовс-10 может апдейтиться больше часа, вполне стала привычной, и даже SSD уже не спасает.

Меня же позабавило то, что у меня тоже были подобные случаи, но там не было виндовс, и решалось это несопоставимо проще.
Я просто расскажу, как это сделано у здоровых людей, на примере той же федоры.
Сперва о примерах. В моём случае у меня не было 32 Гб — на таком просторном накопителе я бы даже не заметил каких-либо проблем.
В первых двух случаях система ставилась на мелкий диск, я забил на lvm, и пожмотил места под корневую фс.
Раздел — 15 Гб в одном случае и 20 Гб во втором. Под всю систему вместе с софтом. Третий случай был экстремальный — 2 Гб весь винт, но это была тестовая платформа вообще без графики.
Понятное дело, что накатить крупные апдейты разом невозможно — места просто не хватит. В случае виндовс такая ситуация фатальна — штатная обновлялка не работает, а закат солнца вручную чреват перезагрузкой в синий экран и даже потерей данных.
Как же делаем мы в таком случае, если у нас ОС здорового человека ? Нет, мы ничего из софта по-крупному не сносим, не занимаемся удалением «косынок», не говоря уже о библиотеках и системном ПО. И швоп не отключаем. И даже не трогаем файловую систему.

Ключевые идеи такие:
— перенести кэш скачанного /var/cache/dnf на другой диск, можно внешний, и заменить его симлинком.
— если места совсем пипец как мало, меньше 200 Мб — расчистить логи/журнал/древние копии ядер, разгрести /var/tmp — может найтись так нужный в этой ситуации лишний гектар, чтобы не переставлять тяжелые пакеты.
— обновлять частями. Да, вместо dnf update делаем сперва серию dnf update a* b* с*, потом dnf update d* e* f* и в самом конце — завершающий и всеобщий dnf update. Это позволит разбить одну огромную транзакцию на несколько более мелких, и в итоге успешно обновиться. Поскольку пакетный менеджер стирает старые версии бинарей и кэшированные файлы после успешной установки, каждая успешно завершенная малая транзакция будет вам давать дополнительное место.
— Только в очень запущенном случае вам возможно придется снести и заново поставить после завершения апдейтов какой-нибудь один крупный пакет (типа либреоффиса, гимпа или виртуалбокса) — но для этого место должно быть выжрано почти под ноль.
Да, тут лучше снести таки офис / гимп / блендер — их реинсталл делается одной командой. А вот всякие виртуалбоксы и нвидиа-драйверы лучше так не мочить — нет смысла создавать себе лишние сложности.
— прочистить кэши с помощью dnf clean all и вернуть /var/cache/dnf на исходное место.

Самое зачетное, что даже переход на следующий релиз через dnf system-upgrade можно делать таким образом (но съемный диск надо будет добавить в /etc/fstab , таки да). Это совершенная ерунда по сравнению с той болью, что испытал автор заметки.

Ну и немного упомяну про идиотские советы, которые часто встречаются в комментариях от всяких левых «гуру».

— не разбивать диск. Исключительно тупой совет, независимо от ОС. Он был плох даже во времена MS-DOS.
Когда у вас пользовательские данные и системные файлы лежат в разных разделах — вы обладаете гораздо большей свободой действий в плане работ по системному разделу. Переустановка / миграция ОС, восстановление систем, проверки целостности, снятие образов системного тома, сохранение необходимого минимума свободного места под логи / кэши / апдейты — всё это на порядки проще и куда менее нервозно, когда у вас в той же ФС не болтается куча ценных пользовательских файлов.
То, что так делают вендоры — не означает, что так делать надо. Вендоры ставят виндовс-10 на ноут с целероном и 32 Гб ссд.

— не обновлять систему. Я очень угорел, что ещё есть люди, наивно верящие, что они вот сейчас настроят ОС, всё там вычистят и поотключают, снимут образ системного раздела и будут спать спокойно. Нет, фиг вам. Это работало в 90-х и немного в начале 2000-х. Сейчас это не работает так хорошо, как работало раньше. Необновленная ОС опасна и рискованна в применении, даже если это JunOS или Cisco IOS на магистральной железке. Со старой виндовс можно особенно запросто стать жертвой крипто-вымогателей. Особенно зачётно будет, если у вас в сети будет гулять червь, а в последнем образе будет дамп уязвимой версии системы — вы с него даже восстановиться безопасно не сможете, не прибегнув к дополнительным ухищрениям.

При этом сама идея снятия образов — вполне здравая. НО!! Только при условии их автоматического обновления и ротации версий. Так работают бэкап-системы для виртуальных машин. Если у вас есть +/- постоянно работающая система, которую вы бэкапите образом — то и её образ тоже надо актуализировать. Старый образ часто имеет нулевую ценность, а иногда даже весьма опасен.

— полагаться на чистильщики / твикеры / оптимизаторы. Я вообще этот софт считаю сугубо вспомогательным, а существенную его часть — просто мусорным. Чисто обычно там, где специально не серут. Где серут постоянно — дворник обычно не справляется.
Конечно, есть случаи, когда даже сильно усратую систему переставлять сильно не хочется. Но надо понимать, что после качественного заражения или глубокого осквернения всякими «амиго», майл-ру-агентами, спай-хантерами, кондуитами и прочим рекламно-адварным трешем, вычистить систему «в ноль», какой она была до заражения, чтобы вот прям ни одного лишнего ключа в реестре не осталось — это очень вряд ли. Тут как в медицине — лучше предотвратить, чем лечить. Увы, но в мире виндовс пока к этому не пришли.

Пользуйтесь хорошими системами, и да пребудет с вами Сила =)

Если вам не безразличны государевы потуги в борьбе со свободой интернета, то вам будут определённо интересны и возможные побочные эффекты, на которые почему-то редко обращают внимание. Подробности под катом.

(далее…)

Сегодня мы поговорим о таком компоненте любого компьютера, как блок питания. Казалось бы, там всё давно стандартизировано, обкатано, надёжно защищается и единственное, с чем можно ошибиться — это выбор мощности, числа коннекторов и уровня шума. Но это опасное заблуждение, которое может стоит вам много нервов и денег.
Если интересно — поток сознания под катом.
(далее…)

Сегодня я хотел бы познакомить читателей с таким явлением, как экзотические операционки, разработанные крайне малыми силами.
(далее…)

Всем привет.
Сегодня мы посмотрим на одну линуксовую сборную солянку от отечественных дистростроителей, разрабатывающих сборку ОС для применения в школах и прочих учебных заведениях.
(далее…)

Ситуация: IPMI сервера supermicro не монтирует ISO-образ с SMB-шары, если монтировать его из веб-морды IPMI — «Virtual Media» — «CD-ROM Image».

Были попробованы разные размеры бубнов, логины/пароли и методы авторизации, расковыряны разные настройки сосамбы. Помог обходной путь — сперва открыть ява-апплет для местной KVM-консоли, и уже из этого апплета выбрать «Virtual Media» — «Virtual Storage» и подключить ISO из своей локальной файловой системы, без всякой самбы.

Похоже на баг веб-морды IPMI, из файлового менеджера самба-ресурс доступен.

Вот такой вот обходной путь. Возможно, это решается обновлением прошивок на блейде, но про это я напишу позже, если не забуду.

Всем привет. Сегодня мы поговорим о безопасности WINE и важности изоляции вайн-префиксов.
(далее…)

Всем привет. Сегодня я напишу немного текста про такую штуку, как «секурно защищённые» крипто-флешки. Иногда у некоторых людей, озадачившихся вопросами безопасного хранения чувствительных данных, возникает вопрос, что же применить.
(далее…)

ОС Эльбрус 3.0

Posted: 2019-04-22 in IT, Software
Метки:

Пару лет назад я писал небольшой обзорчик по тогда ещё бетке(?) ОС Эльбус для x86, даже не помню, как ко мне попавшей. Сейчас эта ОС публично зарелизилась, так что если вам интересно узнать, что за это время поменялось, просим в нашу уютную читальню.
(далее…)

Расскажу немного баек.

(далее…)

Есть такое явление, как поддельные флешки. Это когда берётся мелкая микросхема флеш-памяти гига на два, а в контроллер прошивается мошенническая фирмварь, которая сообщает хосту, что её объём в разы больше (особо наглые могут заявлять о терабайтных размерах).

Чаще всего встречается на китайских барахолках, но и в магазине тоже может попасться.
Объявление вида «полный ёмкость дешевые мультфильм Монстры модель 128 ГБ USB флэш накопитель» по цене 400 рублей — это именно оно.

(далее…)

Наш небольшой исследовательский отдел, специализирующийся на особо негуманных методах насилия и садизма, для удовлетворения самых изысканных требований профессионалов разработал инновационный продукт (в дальнейшем — изделие), способное с медицински доказуемой эффективностью смягчать последствия ряда легких психических расстройств, выражающихся в навязчивых иллюзиях насчёт существования необнаруживаемых «сущностей» в радиоэлектронных аналоговых компонентах.

(далее…)

Заметка будет про китайское железо с бэкдорами и сетевую магию для нейтрализации подобной муйни.
(далее…)

в сети штормило …

Posted: 2019-02-13 in IT, Networks
Метки:,

Иногда некоторые сервисы, использующие мультикаст, могут порождать массовую генерацию мультикаст-траффика.

мультикастовый шторм 2gbps

Вот эти два пика — случившийся в одном из сегментов сети мультикаст-шторм мощностью примерно в 1,5 — 2 гбит/сек, предположительно порожденный сглючившими процессами corosync. От такой херни весь сегмент сети начинает очень сурово колбасить, потери пакетов достигают 80%, любое сетевое взаимодействие становится крайне медленным и нестабильным, всё становится очень нехорошо.
Чтобы такой херни не происходило, необходимо включать такую вещь, как Storm Control.

На джунипере оно для мультикаста по умолчанию _выключено_.
Конфигурим:

Amin@EX3300> show configuration ethernet-switching-options storm-control
interface xe-0/1/0.0 {
bandwidth 65536;
multicast;
}
interface all {
bandwidth 16384;
multicast;
}

Можно задать максимально допустимое количество принимаемого в порт широковещательного траффика как в процентах от толщины канала (level), так и в абсолютных значениях (bandwidth), в килобитах/сек. Задаваемые значения зависят от используемых приложений, в штатном режиме в логах не должно быть ругани на срабатывание storm control.

Пара подводных камней:
1). Есть ELS и не-ELS версии. Для els версий настройка немного иная (forwarding-options storm-control-profiles):
https://www.juniper.net/documentation/en_US/junos/topics/example/rate-limiting-storm-control-configuring-els.html

2). Для broadcast и unknown-unicast траффика ограничения storm control могут применяться по умолчанию, но им может быть разрешено съедать до 80% полосы.

Такая простая настройка дополнительно убережёт вашу сеть от опасно сглючивших девайсов.

i2p

Posted: 2018-12-11 in IT
Метки:,

Вошел в довольно стабильное состояние и выпускается нормальными пакетами i2pd:

https://github.com/PurpleI2P/i2pd/releases

Он существенно легковеснее классической джава-софтины.

Веб-морда тоже существенно проще и легче. В отдельной ВМ попробовать рекомендую я.

1Gbps WAN UP !!

Posted: 2018-12-08 in IT, Networks
Метки:

Апгрейд может затрагивать не только железо и софт, но и каналы связи. Мой домашний инет был подключен более 10 лет назад, и протянут был 4-х жильным кабелем. Но прогресс не стоит на месте, буквально сегодня кабель заменили и я узрел новые горизонты радости :

(далее…)

Sci-Hub, живи

Posted: 2018-11-17 in По жизни
Метки:

РКН и копирасты тянут свои мерзкие щупальца к этому воистину прекрасному и светлому ресурсу.

https://whereisscihub.now.sh/
scihub22266oqcxt.onion

#SciHub, #наука, #роскомпозор.