Архив рубрики ‘IT’

Сегодня я хотел бы познакомить читателей с таким явлением, как экзотические операционки, разработанные крайне малыми силами.
(далее…)

Всем привет.
Сегодня мы посмотрим на одну линуксовую сборную солянку от отечественных дистростроителей, разрабатывающих сборку ОС для применения в школах и прочих учебных заведениях.
(далее…)

Ситуация: IPMI сервера supermicro не монтирует ISO-образ с SMB-шары, если монтировать его из веб-морды IPMI — «Virtual Media» — «CD-ROM Image».

Были попробованы разные размеры бубнов, логины/пароли и методы авторизации, расковыряны разные настройки сосамбы. Помог обходной путь — сперва открыть ява-апплет для местной KVM-консоли, и уже из этого апплета выбрать «Virtual Media» — «Virtual Storage» и подключить ISO из своей локальной файловой системы, без всякой самбы.

Похоже на баг веб-морды IPMI, из файлового менеджера самба-ресурс доступен.

Вот такой вот обходной путь. Возможно, это решается обновлением прошивок на блейде, но про это я напишу позже, если не забуду.

Всем привет. Сегодня мы поговорим о безопасности WINE и важности изоляции вайн-префиксов.
(далее…)

Всем привет. Сегодня я напишу немного текста про такую штуку, как «секурно защищённые» крипто-флешки. Иногда у некоторых людей, озадачившихся вопросами безопасного хранения чувствительных данных, возникает вопрос, что же применить.
(далее…)

🐧 ОС Эльбрус 3.0

Posted: 2019-04-22 in IT, Software
Метки:

Пару лет назад я писал небольшой обзорчик по тогда ещё бетке(?) ОС Эльбус для x86, даже не помню, как ко мне попавшей. Сейчас эта ОС публично зарелизилась, так что если вам интересно узнать, что за это время поменялось, просим в нашу уютную читальню.
(далее…)

Расскажу немного баек.

(далее…)

Есть такое явление, как поддельные флешки. Это когда берётся мелкая микросхема флеш-памяти гига на два, а в контроллер прошивается мошенническая фирмварь, которая сообщает хосту, что её объём в разы больше (особо наглые могут заявлять о терабайтных размерах).

Чаще всего встречается на китайских барахолках, но и в магазине тоже может попасться.
Объявление вида «полный ёмкость дешевые мультфильм Монстры модель 128 ГБ USB флэш накопитель» по цене 400 рублей — это именно оно.

(далее…)

Заметка будет про китайское железо с бэкдорами и сетевую магию для нейтрализации подобной муйни.
(далее…)

в сети штормило …

Posted: 2019-02-13 in IT, Networks
Метки:,

Иногда некоторые сервисы, использующие мультикаст, могут порождать массовую генерацию мультикаст-траффика.

мультикастовый шторм 2gbps

Вот эти два пика — случившийся в одном из сегментов сети мультикаст-шторм мощностью примерно в 1,5 — 2 гбит/сек, предположительно порожденный сглючившими процессами corosync. От такой херни весь сегмент сети начинает очень сурово колбасить, потери пакетов достигают 80%, любое сетевое взаимодействие становится крайне медленным и нестабильным, всё становится очень нехорошо.
Чтобы такой херни не происходило, необходимо включать такую вещь, как Storm Control.

На джунипере оно для мультикаста по умолчанию _выключено_.
Конфигурим:

Amin@EX3300> show configuration ethernet-switching-options storm-control
interface xe-0/1/0.0 {
bandwidth 65536;
multicast;
}
interface all {
bandwidth 16384;
multicast;
}

Можно задать максимально допустимое количество принимаемого в порт широковещательного траффика как в процентах от толщины канала (level), так и в абсолютных значениях (bandwidth), в килобитах/сек. Задаваемые значения зависят от используемых приложений, в штатном режиме в логах не должно быть ругани на срабатывание storm control.

Пара подводных камней:
1). Есть ELS и не-ELS версии. Для els версий настройка немного иная (forwarding-options storm-control-profiles):
https://www.juniper.net/documentation/en_US/junos/topics/example/rate-limiting-storm-control-configuring-els.html

2). Для broadcast и unknown-unicast траффика ограничения storm control могут применяться по умолчанию, но им может быть разрешено съедать до 80% полосы.

Такая простая настройка дополнительно убережёт вашу сеть от опасно сглючивших девайсов.

i2p

Posted: 2018-12-11 in IT
Метки:,

Вошел в довольно стабильное состояние и выпускается нормальными пакетами i2pd:

https://github.com/PurpleI2P/i2pd/releases

Он существенно легковеснее классической джава-софтины.

Веб-морда тоже существенно проще и легче. В отдельной ВМ попробовать рекомендую я.

1Gbps WAN UP !!

Posted: 2018-12-08 in IT, Networks
Метки:

Апгрейд может затрагивать не только железо и софт, но и каналы связи. Мой домашний инет был подключен более 10 лет назад, и протянут был 4-х жильным кабелем. Но прогресс не стоит на месте, буквально сегодня кабель заменили и я узрел новые горизонты радости :

(далее…)

Стояла у нас на объекте камера — вот такой вот каркам. И в какой-то момент видеосервер перестал писать с неё данные. При этом IP-адрес есть, веб-морда открывается, но никакие пароли — ни наши, ни стандартные- не подходят. На самой камере снаружи никаких кнопок сброса не наблюдается.

Помня про пляски с хиквиженом, я решил прикола ради позвонить в поддержку. Оказалось, что эти крендели сброс пароля теперь классифицируют как «перепрошивка», стоит это 500 р. в их сервисе. На мои возражения, что прошивка там вполне жива, и слетели именно парольные настройки, а я хочу тупо восстановить доступ, мне начали заливать в уши ебанутую хуйню «типа про безопасность».

Мол, если у вас её спиздят, то злоумышленник может её использовать после сброса ! Я аж охуел, это прям фсб головного мозга какое-то.

На мой вопрос, что мешает злоумышленнику сбросить её за 500р. в их же сервисе или просто продать её на запчасти, и о какой вообще безопасности на объекте можно говорить, если там можно камеру просто безнаказанно отковырять, эти крендели мы ничего не ответили. А теперь собственно про безопасность, как её вижу я.

На это дивной камере открыта целая пачка портов:


PORT STATE SERVICE
80/tcp open http
407/tcp open timbuktu
443/tcp open https
554/tcp open rtsp
787/tcp open qsc
8000/tcp open http-alt

На порт 407 можно зайти телнетом и увидеть какой-то странный трейс прямо вот так сразу, без всякой авторизации:
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](1) == 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](2) == 0
[Trace]: AVStreamGetAVDataThread 725: Index = 0 Endflag == 255
[Trace]: AVStreamGetAVDataThread 727: VideoPos = 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](1) == 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](2) == 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](1) == 0
[Trace]: AVStreamGetAVDataThread 725: Index = 0 Endflag == 255
[Trace]: AVStreamGetAVDataThread 727: VideoPos = 0

Не удивлюсь, если и на порту 787 чего интересное найдется.

Прошивка тивоизирована, и сколько там прошито бэкдорных учеток — без реверсинга и не скажешь. Китайцы придумали классный наебизнес — убрать с прямой видимости кнопку резета, написать ебанутую на всю голову и априори уязвимую процедуру удаленного сброса настроек, после чего назвать это непотребство «безопасностью».

В случае с каркамом 2889 все оказалось проще — кнопка спрятана внутри герметичного корпуса. Так что откручиваем внешнее стопорное кольцо, извлекаем саму круглую камеру, и с помощью маленького ключа-шестигранника выкручиваем три винтика сзади. После снятия задней крышки видим кнопочку:

Internal reset button
for carcam 2889P


Выключаем питание, зажимаем кнопку, включаем питание (при зажатой кнопке!), держим 15 секунд, вуаля. И вот за вот это действо сервис хочет 500р , рассказывая тупые баечки про безопасность.

Так и только так — локальной кнопкой — должен быть реализован сброс настроек ! И никак иначе !
Любые «генераторы кодов сброса» при первой же утечке ключей или нахождении уязвимости откроют двери злоумышленникам к миллионам устройств, и даст рождение новым гигантским ботнетам.

Некоторые особо охуевшие конторки хотят скан паспорта. За сброс настроек, ага.

Запомните : вы не обязаны делиться своими перс-данными, тем более такими, как скан-паспорта, со всякими левыми говноконторами, не осилившими кнопку резет, чтобы восстановить доступ к своему же железу!

Кстати, российский закон о персональных данных и европейский GDPR прямо запрещают подобное.

Так что хакайте это сраное говножелезо как только можно, и в паблик, всё в паблик.

Заметочка 1 : прошивка сраное говно, веб-интерфейс работает только в ие после установки сторонних компонентов. Использовать веб-морду строго внутри виртуальной машины!

Заметочка 2 : Китайское железо откровенно бэкдорнутое, и может остукиваться китайцам. Размещайте камеры в изолированных вланах, не имеющих никакого выхода в интернеты. Доступ до своего ntp-сервера и сервера видеонаблюдения более чем достаточен.

Надо быстро слить крупный дамп неприватных данных.
В текущем каталоге запускаем такое:

python -m SimpleHTTPServer

И на 8000-м порту видим веб-сервер с индексом каталога. По завершении стопаем этот «фемтосервер :D» по Ctrl-C.
Это изумительно и прекрасно. Само собой, ценные базы и чувствительные данные так перекидывать не надо, для ценных данных есть SSH.

Во всяких железячных обсуждениях часто случаются срачи на тему сбалансированности сборки компьютера в разрезе отношений производительности центрального процессора и видеокарты. Срач абсолютно бессмысленный, пока не названо конкретное приложение.

Есть некоторые игрушки, для которых актуален мощный проц — помимо графики, в этих играх еще есть физика, сложный звук, куча событий в игровой локации, сейвы, контроллеры неписей и прочее и прочее.

Да, если такую игруху запустить на Core 2 Duo, оба его ядра встанут в полку, и никакой разгон им не поможет.
Меняем проц на что-то более свежее — и все сразу становится прекрасно. Подразумевается, что видеокарта достаточно мощная под данную гаму, чтобы не затыкаться на обсчетах графики.

Но есть ряд других бодрых и веселых приложений, на которых видеокарты раскрывают свой потенциал полностью, независимо от используемого процессора.

Беременных геймеров с нестабильной психикой прошу удалиться от монитора.


[calc@R140 ~]$ cat /proc/cpuinfo | grep 'model name' | head -n 1
model name : Intel(R) Celeron(R) CPU G3930 @ 2.90GHz

[calc@R140 ~]$ nvidia-smi -L | cut -d ' ' -f 1-6
GPU 0: GeForce GTX 1080 Ti
GPU 1: GeForce GTX 1080 Ti
GPU 2: GeForce GTX 1080 Ti
GPU 3: GeForce GTX 1080 Ti
GPU 4: GeForce GTX 1080 Ti
GPU 5: GeForce GTX 1080 Ti
GPU 6: GeForce GTX 1080 Ti
GPU 7: GeForce GTX 1080 Ti
GPU 8: GeForce GTX 1080 Ti
GPU 9: GeForce GTX 1080 Ti
GPU 10: GeForce GTX 1080 Ti
GPU 11: GeForce GTX 1080 Ti
GPU 12: GeForce GTX 1080 Ti

И никаких проблем с так называемым «раскрытием», по 100% GPU_Load на каждой из 13-и девайсин !

Задача — быстренько пережать видосы (видео -> h264, звук -> mp3), например, чтобы смотреть их на старой хумаксовской приставке (не умеющей mp4a / ogg в звуке), где-нибудь на даче. У «Твое ТВ» как раз такая приставка.

Волшебные ингридиенты: Fedora 28 x64, nvidia-driver-390.67, ffmpeg 4.x, доброкарта GTX 1070, проц не совсем тухлый.

Собственно магия:
ffmpeg -i input_file.avi -c:v h264_nvenc -acodec mp3 -vcodec h264_nvenc output_file.avi

И на скорости в несколько десятков раз выше скорости воспроизведения быстренько получаем наши видосы в новом формате.
Вывод будет примерно такой:

frame=13720 fps=1578 q=33.0 Lsize= 147246kB time=00:09:31.83 bitrate=2109.4kbits/s speed=65.8x

Добро-девайсина 1070 от этого даже не потеет — GPU_Util 7-12%, VideoEngine Util — 35-45%.

NVIDIA :: C+G Application

Posted: 2018-06-04 in Hardware, Software
Метки:

Решил тут посмотреть, сколько же ресурсов видеокарты может сжирать современная игруха.

Оказалось, достаточно скромно:

$ nvidia-smi
Mon Jun  4 00:37:59 2018
+-----------------------------------------------------------------------------+
| NVIDIA-SMI 390.59                 Driver Version: 390.59                    |
|-------------------------------+----------------------+----------------------+
| GPU  Name        Persistence-M| Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp  Perf  Pwr:Usage/Cap|         Memory-Usage | GPU-Util  Compute M. |
|===============================+======================+======================|
|   0  GeForce GTX 1070    Off  | 00000000:01:00.0  On |                  N/A |
| 24%   53C    P0    52W / 151W |   3286MiB /  8112MiB |     12%      Default |
+-------------------------------+----------------------+----------------------+

+-----------------------------------------------------------------------------+
| Processes:                                                       GPU Memory |
|  GPU       PID   Type   Process name                             Usage      |
|=============================================================================|
|    0      1155      G   /usr/libexec/Xorg                            118MiB |
|    0      1632      G   /usr/bin/kwin_x11                             42MiB |
|    0      1634      G   /usr/bin/krunner                              16MiB |
|    0      1636      G   /usr/bin/plasmashell                          75MiB |
|    0      8298    C+G   C:\Wolf2NC\NewColossus_x64vk.exe            3030MiB |
+-----------------------------------------------------------------------------+

Всего 3 Гб видеопамяти из восьми, 12% нагрузки на гпу. Интересен тип приложения — C+G, то есть оно юзает на видеокарте как собственно графические возможности, так и всякие дополнительные вычисления (обсчёт физики и сложного звука).

Wolfenstein 2 New Colossus-Hacker Central screenshot

Wolfenstein-2-New-Colossus-HackerCentral

Не понимаю, чего это у геймеров что-то там бомбит.

iМузей

Posted: 2018-04-25 in Фотки, Hardware, IT
Метки:, ,

Это будет уже третья заметка на музейную тему, и сегодня я расскажу про ещё один небольшой музей в Москве. Внизу будет много фоток.
(далее…)

Вечер пятницы пошел отлично. Вместо фитнеса после работы пришлось бороться с упавшей железкой.
Старая древняя циска-3750 пала жертвой неуловимых американских хакеров.

Один довольно свежий эксплоит «Бодрячок»:

https://pikabu.ru/story/uyazvimost_v_cisco_cve2018017_ili_klassicheskaya_pyatnitsa_5829430

, примерно 8 млн уязвимых девайсов и дурная мода циски на небезопасный по-умолчанию конфиг, в котором включено куча всего, плюс традиционная админская лень (сомнительный принцип «работает — не трогай») сделали своё дело.
Смотрю я в текущий конфиг — а там ни интерфейсов, ни ацл-ок, ни хрена.
загрузочный конфиг вообще порадовал:

Don’t mess with our elections…
~JHT
usafreedom_jht@tutanota.com

… и американский флаг в ASCII-графике.

На экране 200%-ое доказательство вмешательства американских спецслужб посредством эксплойта «Бодрячок». Срочно разбомбить Вашингтон. Выслать всех дипломатов. Попросить Путина больше не выбирать Трампа президентом США.

Пока я созерцал эту чудную аски-графику и со своего ноута переносил бэкап циско-конфига на tftp, в это время мне уже позвонил мой коллега, и сообщил, что ломают массово. Так что первым делом конфигурим минимальный сетевой интерфейс, пишем no vstack, и восстанавливаем конфиг из бэкапа, не забывал проверить злосчастную опцию. write memory, reload.
Чекать конфиг, обновлять фирмварь, выключать неиспользуемые технологии.

Всем хороших выходных, свежих прошивок и хороших конфигураций.

Всем привет. Сегодня я немного расскажу про один классный музей.
Находится он в городе Таллине, в Эстонии. Если будете в тех краях — очень рекомендую сходить. Вычислительная техника развивается и устаревает необычайно стремительно, отчего даже есть ощущение другого течения времени. Если в привычной исторической науке 70-е прошлого века — это «Новое время»/»наши дни», то у IT-археологов это — глубокая античность.
(далее…)

Небольшая заметка о железе, его устаревании и проприетарных технологиях.
(далее…)

Есть такая вещь, как приёмно-передающие модули с разъёмами SFP/SFP+/XFP.

Идея была проста и изящна — при разработке сетевого оборудования производителю вообще не надо озадачиваться особенностями физлинка, реализуя только интерфейс к приёмо-передатчику. А уже особенности физической среды реализует небольшой вставляемый модуль, в зависимости от которого один и тот же интерфейс может быть хоть медным, хоть оптическим, хоть по одному волокну, хоть по двум, на разных длинах волн, с разной мощностью сигнала и так далее.

(далее…)

Наткнулся тут на окуительную новость :

https://www.securitylab.ru/news/490978.php

Один из «нежно любимых» клиентов компании майкрософт, устав бороться с виндовс-10 на 32-х гиговом диске, как честный человек обратился на microsoft community с тривиальным, казалось бы, вопросом — как отключить авто-апдейт, поскольку при его работе место на диске в 32 Гб кончалось мгновенно, а если там и остальное железо под стать диску — то ручное обновление становится единственным возможным вариантом.

Однако вместо ожидаемого ответа местечковое модераторское хамло решило почесать свой синдром вахтёра, и повыёбываться своими очешуительными «знаниями» в юриспруденции, угрожая вопрощающему всевозможными карами сразу по нескольким кодексам.

От такого подхода фалломорфировали сразу несколько известных новостных ресурсов, и новость разнесли вполне широко.

А если по сути, то во-первых, ни в каких кодексах про авто-обновление софта ничего не сказано, во вторых, в этих самых кодексах есть понятие «адаптации ПО», а в-третьих, некоторые товарищи из около-мелкомягкой тусовки слишком уж охуели, угрозами запрещая пользователям настраивать свой собственный компьютер.

И если уж говорить про де-юре, то законы РФ имеют явно больший приоритет, чем некие байты в некоем файлике, который с любым обновлением в любой момент поменяться может в одностороннем порядке.

Озабоченность мелкомягких можно понять — после титанических усилий по протаскиванию своего управляемого мега-троянищща на десктопы им не хочется терять контроль над машинами пользователей виндовс последних версий от слова совсем даже на самую малость.

А вот если эта новость всколыхнёт большое количество недовольства — стопудово на форуме у МС подчистят, а потом будут громко заявлять, что это не они наехали на своего возжелавшего две капли свободы пользователя, а это типа «законы в мордоре такие», как это было с Поносовым.

В завершение желаю вам держаться от говна подальше, а если вы таки вляпались в говно — то сообщаю, что на SSD-разделе в 32 Гб команда mkfs.ext4 форматит партицию буквально за несколько секунд, навсегда решая дурацкие виндо-проблемы самым быстрым и правильным способом.

Сегодня я расскажу о паре устройств, предназначенных для аварийной перезагрузки зависших компьютеров — аппаратных вотчдогах. Если вам интересно, что это и как подключать — прошу под кат.
(далее…)

Два года назад я немного побенчил всякие процы на предмет расчёта хэш-функций семейства SHA.
Но по мере выхода новых процов, результаты есть смысл обновить.

Разница в разы. Интересно, как у AMD-шного райзена с этим. Если есть у кого — пришлите выводы команды openssl speed 2>&1 | grep ‘Doing sha’ и модель проца из cat /proc/cpuinfo | grep ‘model name’ | head -n 1

2019-06-30. У меня дошли руки вбить данные по райзенам и коре-ай9.
Райзен 5 2600 жжот аццке в пересчёте на ядро.
P.S. холиварщикам на тему интел-вс-амд не стоит забывать, что у райзена этих ядер 6(12 vCPU), а у коре-и9 — 18(36 vCPU), а данные в табличке — на одно ядро.