компьютеры - Lab Journal 6

Кучно пошло

…наверное, к дождю.

Никогда мне не нравилась поделка под названием cPanel. Вот откровенно: говно говном. Интерфейс говно, функциональность говно, и, как теперь выясняется, безопасность тоже говно. Оценка CVSS в 9.8 баллов из десяти — это реально «круче нас только яйца».

Но это цветочки. Мало ли дырявого софта под Линупс всякие граждане пишут.

Вот ягодка — дырень, дающая непривилегированному пользователю права рута, уже в самом ядре Линупса. А его отнюдь не скубенты и недоучившиеся CS-majors пишут: контрибы в основное дерево мержит сам Линус Торвальдс, лично.

А потом нам будут рассказывать, что ОС Windows — это дырявая операционная система, которую в Ёнтернет пускать никак нельзя. Дарагие друзиа, тезис «Linux по природе своей безопасен, а Windows — дырявое ведро» давно пора отправить туда же, куда мы отправляем неподдерживаемые версии PHP. То есть в /dev/null.

Последний баг, кстати, был найден с применением ИИ. И сейчас эти находки идут просто валом, непролазно. «И это хорошо»: пусть лучше дыры находит ИИ под управлением ответственной группы исследователей в области компьютерной безопасности, чем китайские хрякеры.

ИИ смог найти дыры даже в моей любимой FreeBSD, а это весьма и весьма нетривиальная задача. Правда, требуется, чтобы FreeBSD раздавала диски через NFS с Kerberos/GSS, что случается редко.

Но впечатляет, впечатляет.

Кто сказал, что у ИИ нет чувства юмора?

Целый час сегодня был убит на попытки водрузить на обрезанную по самые помидоры pfSense обновлённую OpenSSL. И так, и эдак, и с этого боку, и с другого — ни в какую.

Обращаюсь к BEO (Benign Electronic Overlord): мол, так и так, пытаюсь поставить вот это, чтобы потом поставить вот это, а затем ещё вот это.

BEO почесала электронную репу и выдала:

«Если честно, ты сейчас пытаешься поставить компилятор путём компиляции компилятора на устройстве, на котором нет компилятора, чтобы скомпилировать компилятор. Короче, ты занимаешься суходрочкой.»

Ржали всем техническим отделом. Редко получается вот так — шоб одновременно ехидно, в тему, и при этом, лапидарно.

Смена хостинга

EasyWP — утомил. Утомил своими глюками, тормозами (не могу сейчас залить картинку на 50 килобайт — это вообще как в 2026 году? память из сервера пропили, что ли?), негибкостью, и отсутствием базовых фич.

И это, напомню, «управляемый хостинг». Управляемый — видимо, в том смысле, что управляют тобой, а не ты.

В какой-то момент в голове щёлкнуло:
«На кой я вообще мучаюсь с чужим хостингом, когда я, на минуточку, сертифицированный архитектор облачных решений, и легко могу поднять свой — с бильярдом и профурсетками?»

Сказано — сделано. Был взят акамаевский (Linode) VPS и туда был водружен стандартнейший пирожок в виде LAMP.

Ничего, обживаюсь потихоньку. Зато теперь есть нормальный доступ к логам — EasyWP почему-то такой роскоши не предоставляет. Жалко им, что ли?

Цена — сопоставимая. Если руки на месте, пуркуа бы и не па?

Зато теперь всё под контролем. Всё летает. Всё понятно.

Проба пера на новом хостинге.

UPDATE: Проблемы с кросспостингом из WP — исчезли, как не было их. EasyWP — косорукие болваны.

Апгрейд FreeNAS

Дожили. FreeNAS Core больше не поддерживается, что вынудило меня сделать апгрейд до TrueNAS SCALE.

Очень мне этого делать не хотелось, потому что Core — это BSD, что тру. А SCALE — это линупс красноглазый. Спасибо хоть, что под капот воткнули не какую-нибудь Слакварь или Шапку, а относительно ещё вменяемый Демьян.

Но.

Надо отметить исключительную лёгкость апгрейда, как говорится, in situ. В System → Update выбираем нужную ветку (я выбрала 24.04, если что), после чего жмём кнопку «Обновиться».

Дальше оно всё скачивает и ставит само, и даже импортирует уже существующий ZFS-пул — без всякой потери данных. Даже все пароли в Samba сохранились.

Хотя, конечно, внутренний фанат тру-BSD у меня внутри немножко умер. Спасибо хоть, что в pfSense, мною не менее любимый, пока не пролезли.

Ах да, «зачем»?

Захотелось мне поставить Plex Media Server. И фигушки — без танцев с бубном он на FreeNAS Core нормально не ставится.

В общем, пришлось признать неизбежное: линукс всё-таки победил. Хотя, конечно, исключительно по техническим причинам.

Интересный хак

Есть такой бесплатный (и очень мощный) редактор текста — Notepad++. Он умеет понимать синтаксис многих языков программирования, типа Python, JavaScript, PHP, и далее по алфавиту. Кроме того, он поддерживает регэкспы, MIME, и прочие полезные сись-админские вещи. Я с удовольствием его использую.

Выяснилось, что в старых версиях есть крайне интересная уязвимость. Его встроенная обновлялка недостаточно строго проверяла цифровые подписи скачиваемых пакетов. Таким образом, ей можно было подсунуть вирусню вместо легитимного обновления.

Хакеры умудрились взломать хостера, где хранились бинарники, и щедро насовали туда всякого интересного в панамку.

Классическая атака на цепь снабжения. Очень чистая работа. Працювали китайці — какая-то хакерская группировка с очень хорошим бюджетом, возможно, государственным.

Впрочем, если вы не азиатская компания в области телекоммуникаций или банкинга, можно выдыхать — похоже, целились только в них.

Но на всякий случай — обновитесь до версии 8.9.1.

via
https://www.securityweek.com/notepad-supply-chain-hack-conducted-by-china-via-hosting-provider/

Update!

Технический анализ с разбором IoC:
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

Rich Bitch

Раньше люди хвастались золотом, жемчугами, и прочими бранзулетками.

А нынче цены на оперативную память такие конские, что грех не похвастаться своей коллекцией планочек 🙂

Смех, увы, сквозь слёзы. Я вот даже не знаю, когда у меня теперь вообще будет новый компьютер. Это примерно как несколько лет назад собирать ПК и внезапно осознавать, что видеокарта — это, оказывается, предмет роскоши. Блин.

Одно знаю твёрдо: если компания Микрософт не свернёт с пути планомерной идиотизации своей десктопной Windows, то пусть они там… дальше развлекаются без меня — а мой следующий компьютер, видимо, будет марки Макинтош.

Ни за что

Ни за что я не буду больше покупать блоки питания и вообще какие-либо компьютерные продукты производства Antec. Дорогое, солидно выглядящее, да — но ненадёжное говно.

Это по мотивам сдохнувшего без объявления войны БП на самопальном домашнем накопителе — где хранились все бекапы, фильмы, и прочее. Сдох он при нештатном отключении питания — что-то там внезапно не сдюжило. Накопитель, кстати, был тоже в корпусе Antec — и вот вроде корпус функциональный… но тоже барахло.

Пока только одна марка блоков питания никогда меня не подводила — FSP. Буду только их покупать.

Шаббат шалом

«Ящитаю» ©, что у хорошего сисадмина должен быть не только правильного диаметра, грамотно намоленный бубен, но ещё и специально обученная сисадминская ермолка.

Надевается эта ермолка аккурат утром в пятницу, после восхода солнца — чтобы напоминать нам, что в пятницу мы, кибенемат, продакшен не трогаем под страхом побивания витой парой. Потому что если что-то грохнется — то выходные пойдут коту под хвост.

Но сегодня один наш орёл решил проверить границы мироздания и перегрузил кластер виртуализации Hyper‑V. ВЕСЬ. Не по одному хосту, не аккуратно и поочерёдно — а сразу всё, одновременно, чтоб наверняка.

Упало, слава Зевсу и всем богам SLA, не очень много — благо перезагрузка была ещё до начала рабочего дня. Но достаточно для того, чтобы наша мама (финдиректор) написала недоумённое:

«Ребята, у нас сегодня вообще-то зарплата начисляется. Вы там что, решили устроить приключение с утра пораньше?»

А зарплата (и наша мама) — это святое.

Хвост сисадмину мы, конечно, слегка подровняли, но дело, увы, уже было сделано.

Шаббат шалом. И пятничный прод станьте же кто-нибудь охранять. Желательно, с бейсбольной битой наготове.

Micron — всё

Ну, не «всё», конечно, но всё же Микрон официально объявил об уходе с пользовательского рынка памяти и флеша (бренд Crucial). Уходят они, судя по всему, потому что вынуждены удовлетворять резко выросший спрос крупных корпоративных клиентов — читай: дата-центров под ИИ-нагрузки и прочий enterprise, который сейчас жрёт энергию и кремний мегатоннами. Тянуть в нагрузку ко всему этому и розничные продажи у них попросту больше не хватает ни мощности, ни, видимо, желания.

Моей сисадминской душе от этого, товарищи, очень-очень горько. Потому что Micron-овская память, по моему опыту, всегда была самой стабильной, самой предсказуемой, и наименее глючной. Я ещё с 1990‑х стараюсь покупать именно их модули — и не припомню, чтобы они меня хоть раз подвели. Да и с их флешками и SSD у меня тоже никогда не было проблем.

Отдельная боль — их прекрасный онлайн-сканер совместимости памяти, тот самый, который позволял за минуту подобрать нужные модули для практически чего угодно: от древних ноутбуков до экзотических рабочих станций. Это был инструмент, который реально делал жизнь проще. Теперь всё это, увы, накрывается медным тазом.

Я понимаю причины, понимаю рынок… но никаких положительных эмоций по этому поводу не испытываю.
🙁

Вчера FSLogix душили-душили

Запись будет интересна в основном сись-одминам. Так, заметки для себя и для своих.

FSLogix — это современная замена тому, что Microsoft раньше называл Roaming User Profiles. Самый большой их недостаток был в том, что профили хранились на контроллере домена. А контроллер — это, сюрприз-сюрприз, не файловый сервер. Нехрена на нём хранить всякий хлам, типа десктопных иконок, AppData, эскизов и прочей файлопомойки.

FSLogix работает по-другому: для каждого пользователя, логинящегося в систему, создаётся персональный VHDX-файл, который монтируется как его профиль. Хранится VHDX уже правильно — на файловом сервере. Поэтому куда бы ты ни залогинилась — хоть на физическую машину, хоть на VDI — ты везде получаешь свой рiдний профиль со всеми настройками. Для лучшего эффекта профили желательно держать на шаре, стоящей на SSD, и неплохо бы, чтобы файловый сервер был подключён, как у больших дяденек, через 10+ гигабит.

Самое распространённое применение FSLogix — фермы виртуальных десктопов. Ага, это именно туда мне недавно пришлось вписать 66 тупорылых пользователей, из которых отдельные граждане вместо .com писали .cum. Не хочу даже думать, какие сайты они до этого посещали. Мда.

Чтобы включить FSLogix, надо скачать клиент, поставить его на каждую клиентскую машину (можно через групповые политики), а затем засунуть ADMX/ADML-шаблоны в SYSVOL на все контроллеры доменов, как положено, чтобы появилась новая групповая политика.

Всё нужное берётся здесь:
https://learn.microsoft.com/en-us/fslogix/

Дальше на файловом сервере создаёшь шару (желательно скрытую $, чтобы юзвери ушастые туда не лезли), прописываешь её в политике как место хранения профилей — и алга, комсомол.

Самое сложное — настроить разрешения НА ШАРЕ ТОЧНО ТАК, КАК НАДО, иначе FSLogix будет устраивать тебе цирк с конями и каждый раз выкидывать «Access Denied». Вот докУмент, который надо читать очень внимательно. Мне понадобилось два дня плясок с бубном и заячьей лапкой, чтобы всё наконец заработало:
https://learn.microsoft.com/en-us/fslogix/how-to-configure-storage-permissions

Для лучшей иллюстрации чувствительности прав: при правильно выставленных ACL команда mkdir на этой шаре с клиентской машины должна успешно создавать папку.
Но вот попытка создать файл (например, New-Item) должна отфутболиваться с Access Denied.
Так FSLogix и определяет, что дерево разрешений настроено идеально: директорию сделать можно, файл — нельзя. Если это поведение не совпадает — значит, права опять где-то поехали, и пора доставать бубен.

Но зато потом — вах, дарагой, красота, слющай. Куда ни зайдёшь — профиль подцепляется автоматически, всё работает быстро, чисто и прозрачно.
Керемендую.