работа - Page 6 - Lab Journal 6

pfSense

Перешёл, наконец, дома на пфСенс вместо Нетгировсого маршрутизатора. Отличная вещь!

Донором для маршрутизатора стала старенькая малоформатная рабочая станция Dell. Для внутренней сети я приобрёл для неё беушную сетевую карточку аж на четыре гигабитных порта. В ней стоят правоверные сетевые чипы Intel PRO/1000, и она прекрасно работает с BSDшным (пфСенс под капотом это мой любимый FreeBSD) драйвером em. Это хорошо тем, что драйвер и чипсет поддерживают 802.1Q, так что если мне захочется заморочиться с VLAN (учитывая наличие китайских камер видеонаблюдения может быть невредно), это легко можно будет сделать.

Одной из первых вещей настроил OpenVPN, дабы моя матушка могла посылать в правильном направлении роскомгестапо и прочих придурков, и заходить в любые нужные ей вебсайты и читать любую информацию без ограничения доступа. А то все используемые ей до этого VPN перестали работать.

Тут меня ждала небольшая засада — по какой-то причине встроенный мастер настройки OpenVPN сервера не создаёт автоматически нужные правила NAT. Внутри дома я использую сеть 172.30.1.0/24, а VPN клиентам раздаю 10.11.12.0/24. Какого-то лешего, правило, позволяющее одним адресам транслироваться в другие, автоматически создано не было. Долго чесал репу, наконец-то, понял. Берите на вооружение, кому надо.

В‑общем, изучаю пока, но открылась масса новых возможностей. Надо будет настроить pfBlockerNG, чтобы перехватывать всякую срань ещё до попадания трафика внутрь моей сети и можно будет делать ещё много всякого интересного — например, honeypots — ловить тупорылых хацкеров.

Рекомендую. Пожалуй что, именно этим мы и заменим на работе Cisco ASA. Только, конечно, не бесплатной версией, а за деньги, чтобы была поддержка.

На работе

В офисе прошёл долгожданный тренинг на тему того, как реагировать на ситуацию появления в офисе опасного для окружающих урода (совершенно необязательно, кстати, вооружённого огнестрелом).

Не узнал, в принципе, сильно много нового, но точка зрения ветерана полиции и ФБР (то-есть, человека, намного лучше разбирающегося в распоясавшихся подонках, чем я) была интересной.

Итого, как же реагировать на опасного урода? В порядке от лучшего к худшему.

1. Начать сопротивляться. Если есть оружие, укрыться за пуленепробиваемой преградой и начать отстреливаться.

Дело в том, что преступники не являются мастерами планирования. У них тупо нет «плана Б». Они ожидают, что жертва замрёт и не будет сопротивляться. Как только потенциальный потерпевший ломает этот шаблон поведения, у преступников нередко случается сбой и они тупо сдаются и убегают. Конечно, есть исключения — но на то они и исключения.

2. Если оружия нет, и нет ничего под рукой, чем можно сопротивляться (нож, перцовый баллон, дубинка, палка, огнетушитель, крепкие кулаки) — надо попробовать убежать.
3. Если и убежать нельзя, надо спрятаться, желательно за чем-нибудь пуленепробиваемым (бетонные или стальные столбы идеальны), хорошо бы закрыться.

Худшее, что можно сделать — это замереть и никуда не двигаться. Это гарантия гибели. К сожалению, большинство людей так себя и ведёт, что и приводит к таким большим цифрам погибших, когда озверевшие подонки приходят с оружием в школы, синагоги, магазины, и т.д.

Выбегая из здания надо рассчитывать на то, что на улице стоит вооружённая до зубов полиция, поэтому выходить надо с поднятыми руками, а не держа в руках личный пистолет.

Как-то так.

Сотрудникам отныне разрешено приходить на работу с персональным оружием, но не дефилировать с ливольвертом на боку по офису, а тихо совать его себе в портфель или в ящик стола.

И ладушки. Так отныне и поступаю.

Про VMWare

Братцы-виртуализаторщики, куды бечь с VMWare ESXI? Как известно, ВМВарь перекупили Бродком, а уж чем Бродком известны, так это тем, что всё, чего они касаются, незамедлительно превращается в говно. Вот они перекупили Симантек Антивирус. Был нормальный, стал говно. Сбежали на Битдефендер.

А теперь, значит, ВМВарь пошла под этот нож. Маленьких клиентов, чувствуется, они пустят под откос.

У нас примерно 100 виртуальных машин в кластере. Не весть какой парк, но всё же.

Я вот сижу думаю про:

ProxmoxVE
Xen
Citrix Hypervisor, но Цитрикс, по моему предыдущему опыту, усрёсся ставить и настраивать.

Нет, HyperV не имеет многих нужных фич.

Ни у кого не было опыта?

Особенности Южного рабочего менталитета

На работе случилось два изменения в политике компании.

1. Третьего дня все получили рекомендательное письмо из отдела кадров.

–Уважаемые сотрудники компании! К нам поступили сообщения о том, что многие из вас во время рабочих собраний, обращаясь ко всем присутствующим, используют слово «ребята» (guys). Это слово недостаточно инклюзивное, так как потенциально исключает женщин и других сотрудников, считающими, что слово «ребята» относится не к ним. Рекомендация отдела кадров следующая: наша компании находится на Юге, давайте об этом не забывать, и чаще использовать в нашей речи слово «вы все» (y’all), которое является классическим инклюзивным обращением к группе людей в культуре Юга Соединённых Штатов.

2. Пришло другое письмо. Что мы будем проходить тренинг по тому, что делать в ситуации, если к нам в офис зайдёт подонок с оружием с целью всех пострелять. И что отныне политика компании в отношении ношения оружия на работе изменится, и сотрудникам отныне будет разрешено приходить на работу с оружием.

Конференц-зал, надо думать, теперь будет выглядеть вот так:

Таков, дорогие сэры, Юг. Надо будет прикупить ольстру поудобнее.

PS: Хех, наконец-то теги «работа» и «огнестрельное оружие» встретились!!!

Про работу в ентом ОйТи

Прочитал интересный разговор.

–А чем плоха работа в IT сфере?
–Моментальным устареванием. Вот смотри, я высококвалифицированный инженер-программист. Десять лет назад наша компания разработала один из широко ныне применяемых программных пакетов для поиска новых нефтяных месторождений. Мы одними из первых начали использовать машинное обучение для решения подобных задач, изучали пробы, ландшафт, делали предсказания. Программа работала превосходно, мы с большой помпой её презентовали, удачно продавали и заработали кучу денег.
–Так ведь здорово!
–Ну да, только уже после полугода с момента выхода мы начали выпускать к ней обновления, пять лет назад серьёзно переписали, а теперь она уже морально устарела и её надо переделывать почти заново. Появились обещающие многое нейросети, анализ местности теперь производится с дронов, объём данных серьёзно вырос, нам уже надо использовать графические ускорители для их обработки, и по сути всю работу надо начинать чуть ли не с нуля. А два года назад мы с женой были в Европе. И знаешь что я там увидел? Картины Рембрандта. И тут мне пришло в голову — ё‑моё, этим картинам почти четыреста лет, а они до сих пор прекрасны, и будут радовать людей и дальше. А моё творение за десять лет устарело и место ему теперь на помойке.

Иногда испытываю схожие мысли. Я в начале жизни в США ещё в 1990 годах работал на стройке, плотничал. Построенный дом стоит до сих пор. А все IT проекты, в которых я участвовал, в течение нескольких лет выходили в тираж. На этом самом острие надо находиться постоянно, это особенно важно в облачных технологиях, где всё за год может поменяться радикальнейше. Смотришь на что-то, что использовал буквально месяца три назад, ан вишь оно уже deprecated и надо разбираться с чем-то новым; это, безусловно, интересно, но иногда подобная недолговечность сильно ездит по мозгам.

Рабочее

По работе иногда пересекаюсь с сисадмином из другой конторы, с которой мы вместе строим облачный продукт. Парень хороший, работящий. Что характерно — индеец-маскоги. Фамилия у индейцев часто индейское имя какого-нибудь прадедушки. У него фамилия — Хокай (Hawk Eye), т.е. «Ястребиный глаз».

Пикантность ситуации в том, что он… слепой 🙂 «Слепой», кстати, не значит, что он не видит нихрена. Просто он видит недостаточно хорошо, чтобы, например, водить автомобиль. Но он вполне может читать текст на экране, если он крупный и высококонтрастный.

Хорошо, что теперь сисадминить можно из любой точки планеты, не надо никуда ехать. И даже за продуктами не надо никуда ходить, так как есть конторы типа Shipt. А лет пятьдесят назад сидел бы без работы, блин. Да здравствует прогресс.

Сисадминское

Читать будет неинтересно, кроме как маньякнутым компьютерщикам. Сугубо рабочее.

Винда становится всё более удобной для работы. Хорошо, что на ней практически всё то, что мне нужно, работает «искоропки».

Смарткарты — пожалуйста
Отсюда же сразу, не вставая с дивана, имеем 2FA
Проброс оных в сессию RDP — да легко
ГПУ и прочая КУДА с драйверами — какие хошь, ибо никто не будет разрабатывать железо, не работающее под Виндой.
Фотошоп — отож.
Даже Фаерфокс взялся за ум, и стал поддерживать смарткарты с нуля. Раньше с ним надо было долго совокупляться, минимум в трёх позициях.

А сегодня я обнаружил отличную вишенку на тортике — при установленных WSL и терминале, можно поставить WSL как среду терминала по умолчанию. И что мы имеем с гуся? Теперь можно на любой папке (ну, за исключением сетевых, если они не смонтированы) нажать «открыть в терминале» — и у тебя сразу открывается WSL ровно там, где надо. Без того, чтобы долго крючиться, переходя в нужную директорию. Можно сразу делать всяческий foreach, grep, и прочий sed. Исключительно удобно.

Часто моя работа заключается в быстром поиске проблем. Всё это надо искать в логах, поэтому без полноценной командной оболочки мне никуда. Раньше я спасался cygwin-ом, но если кто-то хоть раз пробовал его обновлять или ставить дополнительный софт, знает, какая это морока. А в WSL это намного проще.

Мои попытки перейти на Линукс окончились ничем. Я впустую убил неделю, так и сумев нормально запустить… много чего, но главное, что не взлетело — это Nvidia Quadro с двумя внешними мониторами, подцепленными через размножитель портов с USBC-PD. Хотя я очень не новичок. А на винде… А на винде они у меня заработали ещё на этапе установки (учитесь, блин, как надо делать нормальную поддержку железа!) Переходить на 11 винду мне окончательно расхотелось, так что остановился на десятке + WSL.

Ещё бы WSL научился поддерживать полноценный нормальный FreeBSD вместо всякого красноглазового… но это уже так, мечты 😉

Страховка — дрыгатель прогресса

Весь ИТ-отдел гудит как улей. Сегодня наша страховая компания спустила нам указивку, что если к концу Ноября ВСЕ ИТ-сервисы не будут защищены многофакторной аутентификацией, то они не будут продлевать страховой полис.

Это как раз такой случай, когда «не было бы счастья, да несчастье помогло». Двухфакторную аутентификацию я планировал ввести в строй уже почти год, но во-первых, не доходили руки, а во-вторых, мне не давали денег. А в‑третьих, я не хотел объяснять тупым юзверям, почему вдруг доступ к ресурсам стал сложнее.

А теперь — и денег дали, и другие проекты отодвинули. И самое главное — теперь мне не надо никому объяснять, почему это, и зачем. Страховка — и всё тут.

Не всё, правда, гладко на деле. Вот сканер сетевой, что документы юзверю ушастому в его каталог забрасывает — никаких смарткарт оно, конечно, не поддерживает. Придётся репу чесать, что с ним делать дальше. Скорее всего придётся подцеплять сканеры напрямую к машинам через USB.

Sitrep

Две недели занимались практически только тем, что на работе выкидывали всякой хлам:

–Это выкинуть или оставить?
–Эту выкини, эту оставь, а эту мы отвезём в переработку.

Некоторые вещи было чуть ли не жалко отвозить в переработку. Вот, например, 23-дюймовые мониторы. Они до сих хорошо работают. Но вот беда — у них входы только D‑SUB и DVI‑D. К любому современному компьютеру их приходится подключать через переходник. А это не всегда работает. Теоретически они электрически совместимы, но вот беда — не вполне, уровни сигнала разные, как меня тут просветили. И согласовалки, при всей их тупости, всё равно иногда глючат. Поэтому с точки зрения оказывания услуг проще такие мониторы не использовать. А раз не использовать, то чего с ними делать? Пусть стоят, пыль собирают? Э, нет. В переработку. Какие-то вещи народ растащил по домам. Я оказался владельцем аж пяти компьютеров HP 800G2. Причём, неплохих таких — i7 шестого поколения, 32 гектара памяти. Это лучше, чем у меня сейчас — i7 четвёртого поколения.

Думал сначала приспособить их себе — ан хрен там был. Там БП дохлый, 280 ватт, мою видеокарту не тянет. Хорошо, можно купить 400-ваттный. Купил, воткнул — а видеокарту всё равно не прикрутишь — она по длине в этот брендовый корпус не влезает, блин. В корзину для жёстких дисков упирается. Её, конечно, можно было отрезать болгаркой, но… Так и плюнул, заказал себе новый комп, i9 одиннадцатого поколения, 8 ядер, 64 гектара памяти. Фигли мелочиться. У меня с 2012, что ли, года, нового компа не было.

Думал про ентот ваш АМД «Рязань» — типа то же самое, но ядер 12 вместо 8. Ну, а потом почитал сравнения «лоб в лоб» и оказалось, что 8 интеловских ядер уделывают 12 ядер АМД. Ожидаемо, чо. Ентот ваш АМД начинает обгонять Интел только когда деньги значения не имеют, и можно купить 64-ядерную «Рязань», которая тупо задавит Интел массой. И то не на всех задачах.

Сижу, чешу репу, чего теперь делать с етими Хепешниками. В кластер Хадуп их, что ли, объединить? Хотя, конечно, у меня нет таких задач, плюс есть мнение, что моя 1070GTX их не вставая с дивана запинает, даже если бы были.

На работе всё остальное хорошо, новый сотрудник довольно быстро во всё врубается, можно будет скоро переложить на него основную массу работы, а самому новым сетевым проектом заняться. У нас щас два оптоволоконных провайдера, надо перетащить всю сеть под нового. Это потребует создания новой IP сети, настройки маршрутизации между ними… в‑общем, много всякого интересного.

Про работу и жизнь

Времени писать всякую фигню в уютный бложик практически нет. Вернее, даже, не сколько времени, сколько свободных нейронов. Всё время занято работой, так как теперь приходится делать работу руководителя ПЛЮС работу сисадмина — так как текущие проекты никуда не испарились.

Пути решения этой проблемы известны: надо выучить сотрудников, после чего делегировать им эти задачи. Но новый сотрудник отработал покамест только одну неделю, и многого пока ещё не знает. Второй потенциальный сотрудник, зараза, с крючка сорвался — пошёл в пентестеры. Там ему, полагаю, быстро надоест — подавляющее большинство пентестерских работ это «запустить нессус с заданными параметрами, после чего муторно писать отчёт». Писать какие-то свои инстрУменты, подыскивать правильные параметры для отработки SQL injection, рыбалить сотрудников — это удел высококлассной «красной команды», а не рядовых пентестеров. Но чорт с ним, не пошёл так не пошёл, насильно мил не будешь. Удачи ему лично, парень он хороший.

Ещё к нам попыталась наняться бабушка-айтишница. Лично я бабушку бы нанял. Она была бы вменяемым хорошим сотрудником. Но начальник зарубил её кандидатуру — её увольнение с прошлого места работы было очень странным (скопировала файлы, к которым формально у неё не должно было быть доступа). Поэтому «лучше перебздеть».

Потом пришёл гражданин, который вроде что-то там знал, но после того, как я хорошенько пошерстил интернет, мне стало очевидно, что проверку биографии он, скорее всего, тоже не пройдёт. Вот он вроде как айтишник. И вроде как зарабатывает неплохо. Но живёт в очень херовом месте с мамой. Дом его стоит 40 тысяч долларов, это примерно долларов двести в месяц со стандартной ипотекой. Мама тоже работает (всё это лежит в открытом доступе, просто надо знать, как искать). Вопрос — куда уходят деньги? На какую такую херню, не на героинчик ли? Подозрительный человек. Ситуации бывают разные, но если у чувака есть серьёзные финансовые проблемы, его не надо нанимать. Почему? Потому что финансовые проблемы могут привести к тому, что он будет менее устойчив к даче взятки, например. Ну, чтобы поискать чего-нибудь интересное, кому надо, у нас в сети.

В‑общем, не соскучишься с такими соискателями.

Ну, и, конечно, ощутив себя в шкуре начальника, к руководству компаниий вообще начинаешь относиться совершенно по-другому.

Вот некоторые, например, думают, что начальство — это кровопийцы, которые нихера не делают. И их надо всех прогнать, и тогда ужЪ точно ЗАЖИВЁМЪ!!! Старое доброе раздувание классовой вражды, ага. Ну, в Советском Союзе тоже так думали, разогнав «буржуев» и прочих. И пробовали заводами управлять через Рабочий Контроль. Ну, чтобы решения принимали не какие-то там начальники. И что бы вы думали — разумеется, нихера не получилось. Пришлось срочно с нуля выращивать своих собственных менеджеров.

Лично мне пока нравится, но часто натыкаюсь на недостаток опыта. Управление требует совсем других навыков, которых у меня пока нет. Купил полезную книжку, читаю потихоньку. Два главных совета, которые я пока из книги вынес:

1. Будь скромным. Да, тебя облечили властью, но чтобы тебе подчинялись, сначала тебе надо завоевать авторитет среди сотрудников. Злоупотребление собственной властью — плохой инструмент для создания авторитета.
2. Не начинай карьеру с того, чтобы с размаху всё менять. Сначала присмотрись, и попытайся понять, почему оно устроено так, как оно устроено. А потом уже меняй, если по-прежнему считаешь это нужным.