Category: в хозяйстве пригодится

Компьютеры, которые используются для хранения американской государственной информации (военные или, например, компьютеры, принадлежащие Администрации Социального Страхования), должны быть определённым образом защищены (hardened — есть ли более подходящий русский термин для этого слова?) Для этого после установки ОС, к ней необходимо применить дополнительные настройки, как-то: усиленные требования к паролям, методам криптографии, общее снижение поверхности для сетевых атак, и т.д. Так, например, на компьютерах, работающих под управлением ОС Линукс, не должен стоять FTP сервер, должна стоять обязательная проверка контрольной суммы устанавливаемых пакетов, должен быть врублен SELinux, и т.п.

Все эти настройки собраны в документы, называемые Руководства по Техническому Обеспечению Безопасности (Security Technical Implementation Guides, STIG). РТОБов есть туева хуча для всякого разного — от HP UX до роутеров, брандмауэров, и смартфонов. Их, вообще, полезно почитать для общего развития себя как сисадмина. Некоторые требования, конечно, немного перегибают палку (как, вам, например, требование невозможности копипасты пароля — только печатание пароля лапками), но в целом их внедрение способствует улучшению компьютерной безопасности.

РТОБы берут здесь:

https://iase.disa.mil/stigs/Pages/index.aspx

Они распространяются в XML формате, и там же можно сгрузить просмотрщик (STIG Viewer) — глазами XML читать сложно.

Но помимо чтения самих РТОБов ещё интересно смотреть, а для каких устройств они есть, а для каких нет. Потому что если нет РТОБов, то устройства в государственной компьютерной сети использовать невозможно. Что часто говорит о том, что устройства тупо невозможно защитить надлежащим образом или же производитель не спешит делиться техническими деталями с государственными структурами.

Так, например, среди РТОБов для смартфонов, разумеется, есть iOS. Конечно, есть BlackBerry (ещё бы, они первые подсуетились с FIPS), есть Виндофоны. А вот ведроидов — только два: ЛыЖа и Гнусмас. То-есть, все остальные производители (включая, ЧСХ, сам Гугол) государственным требованиям по безопасности — не отвечают:

https://iase.disa.mil/stigs/mobility/Pages/smartphone.aspx

А ещё я, можно сказать, обидился на то, что для Фрюниксов нет РТОБов под мою любимую FreeBSD, и совершенно отсутствует ветвь Debian, включая Ubuntu. Из Линуксов тока Красная Шапка, тока хардкор!!!! Ну ещё есть Оракл Линукс (та же Шапка, только в профиль), и разумеется, есть Солярка и прочий AIX. А вот Убунты или Фряхи — нету как класса. Обидно. Конечно, можно взять РТОБ от Шапки и перекострячить его под Убунту. Процентов 90 вполне можно применить и там и там. Но всё же это лишние телодвижения.

https://iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx

Вот сделал ты усилитель — как понять, хороший он или нет? Дураки и прочие аудиофилы, как правило, просто включают усилитель и слушают, что получилось, описывая слышимое совершенно идиотскими и ничего не значащими фразами типа “песочек в верхах”, “авторитетный бас”, “звук скрипок очень сухой и жёсткий” и далее по справочнику аудио-шизофреника.

Ну, а люди, далёкие от этих тихих и не очень помешательств, спокойно оперируют объективными понятиями типа КНИ, интермодуляционные искажения, АЧХ и так далее.

Большинство людей так или иначе слышали о КНИ, и это один из самых узнаваемых параметров усилителя. И он да, простой в понимании — меньше 0.5%, значит усилитель ничо, более 1% — уже начинает пованивать. И хотя можно померять ещё много всякого, начать, наверное, лучше всего именно с измерения КНИ.

Поизучал соответствующую тематику, и доступных домашнему инженеру способов не очень много. Я нашёл три.

Способ первый — полностью ламповый, тёплый и аналоговый. Берётся качественный генератор сигнала (его вполне можно сделать самому, хотя по-настоящему чистые синусоиды генерировать не сказать, чтобы просто). Его выход подаётся на вход усилителя. На выход усилителя сажается режекторный фильтр, настроенный на частоту генератора сигнала. Далее берём обыкновенный милливольтметр, способный на измерение аудиочастот (можно сделать приставку к обычному аналоговому милливольтметру), и меряем, что там осталось от нашего сигнала — шум, гармоники, и т.д. Делим величину остатков на величину полезного сигнала, получаем КНИ. Все достаточно просто.

Способ второй — с применением спецтехники, например, цифрового осциллографа, умеющего в преобразование Фурье. Поглядел я на этот способ, и он мне не понравился. И больше всего вопросов вызывает разрешение АЦП осциллографа — даже у дорогих осциллографов они 8-битные (в первую очередь потому что, АЦП, умеющие более 8 бит на частотах в мегагерцы стоят дико конских денег). Приблизительно оценить, насколько усилитель говно, можно, но не более. Кроме того, опять же нужен хороший генератор сигнала.

Способ третий, больше всего мне понравившийся, заключается в том, чтобы использовать обыкновенную компьютерную звуковую карту. Она не только ничуть не хуже, а даже значительно лучше осциллографа, так как имеет 16 или даже 24-битные АЦП. И никакого генератора сигнала не надо — всё под рукой. 16 бит в теории (в теории) дают КНИ примерно в 0.0015%. Для измерения качества — выше крыши, проблема не в битности. Проблема будет в выходном-входном тракте звуковой карты.

Далее всё просто — генерируем синусоиду в любимом звуковом редакторе, хоть в бесплатном Audacity, проигрываем её, подаём на вход усилителя, усилитель втыкаем во вход карты* и записываем звуковой файл. Далее лично у меня есть уже давно написанный на Питоне анализатор КНИ, генерирующий частотные графики, и рассчитывающий значения искажений.

Для совсем других целей я в своё время приобрёл внешнюю звуковую карту Behringer UCA-202, которая позиционируется как “студийная” (хотя стоит она очень недорого). Вот и попробуем её заиспользовать. На ней есть два выхода-“тюльпана” и столько же входов. Воткнём одно в другое, будет тест тракта самой карты, без всякого дополнительного оборудования.

Скажу сразу, картой я был немного разочарован. Вот судите сами, проигрываю я вот такое:

А записывается вот такое:

Как-то слабо у меня вяжется соотношение сигнал/шум в 74.5дБ со студийной записью. Это лишь незначительно лучше MP3, виниловой пластинки или катушечного магнитофона. Но заметно хуже компакт-диска.

Портят всё нелинейные искажения, в первую очередь гармоники 2 и 3. Вполне стандартные искажения, которых я ожидал, но не думал, что они окажутся такими (относительно) большими. Хотя КНИ получившегося составляет ~0.019%, что вообще-то неплохо. Соответственно, 0.019% будут составлять “ноль” на шкале моего “искажометра”. Всё, что меньше, я померять тупо не смогу — хотя если у меня получится подизайнить и собрать усилитель с искажениями меньше 0.019 — я, прямо скажем, буду вполне доволен собой. Это будет лучше чем подавляющее большинство усилителей на рынке, особенно, хе-хе, ламповых.

В дальнейших планах дорисовать программку на Питоне, чтобы генерировала, играла, записывала и анализировала звук самостоятельно, ибо не надо заставлять меня работать. Меня надо заставлять думать, а работает пускай компьютер.

*подавать звук с выхода усилителя прямо на звуковую карту чревато. Сначала надо убедиться в том, что сигнал такой амплитуды не убьёт карточку — мерять напряжение, и выставлять безопасное, например, подключая через резисторный делитель, а ещё лучше дополнительно спаять предохранитель на диодах, например, чтобы всё, что выше определённого уровня напряжения — срезалось нахрен.

В начале 2000х относительно популярны видеокамеры с записью прямо на DVD (использовались маленькие 80mm диски). Сотрудник принёс на работу старый диск, который хоть тресни — не читался. Суёшь в читалку — комп говорит “диск чистый! писать бум?” К особой досаде сотрудника, на диске был фильм, где его ребёнок, двух дней от роду, лежал в отделении интенсивной терапии так как не мог нормально питаться. И существовало это видео в одном-единственном экземпляре.

Behold teh powar of *nix! Всего-то стоило сунуть его в комп с никсами (использовался Убунту) и скопировать образ диска:

sudo dd bs=2048K if=/dev/sr of=video.vob

Полученный файл прекрасно открылся в VLC и проигрался без всяких проблем.

Вдруг кому пригодится.

Вернее, не в самом протоколе, а в его реализации на некоторых почтовых клиентах при обработке писем в формате HTML.

Вкратце — если пишете строго plain text, то бояться нечего. А если не plain text, и используете, например, Enigmail, то можете начинать бояться.

https://www.bleepingcomputer.com/news/security/users-warned-of-critical-email-encryption-security-flaw/
https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html

Настройка SSH аутентификации в коммутаторы и маршрутизаторы Cisco по RADIUS:

http://www.ipbalance.com/security/radius/1165-windows-server-2012-as-radius-for-cisco-router-a-switch.html

Чтобы не как при царе горохе, в разных устройствах — разное имя пользователя и пароль. Хотя, конечно, аутентификация по приватному ключу SSH сильно понижает остроту проблемы.

PS: Статья про IOS, конфигурация RADIUS на NX-OS в новых свитчах немного другая, см. соотв. документ:

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/6-x/security/configuration/guide/b_Cisco_Nexus_9000_Series_NX-OS_Security_Configuration_Guide.html