Category: работа

Дано: сер­вант с PHP7 в режи­ме fcgi
Зада­ча: отклю­чить выпол­не­ние скрип­тов типа PHP в опре­де­лён­ной дирек­то­рии.
Про­бле­ма: php_flag и про­чие пере­мен­ные РНР в .htaccess совать нель­зя, ибо в рожу при­ле­та­ет 500 (fcgi же)
Най­ден­ное реше­ние: в нуж­ной дирек­то­рии создать .user.ini, в кото­ром сде­лать auto_prepend_file = stop.php, а внут­ри stop.php напи­сать при­мер­но вот так:

<?
echo «Пошёл нахер»;
exit();
?>

Но как-то это неизящ­но. engine = off внут­ри .user.ini не сра­ба­ты­ва­ет поче­му-то, блин.

Есть что луч­ше?

Дыр­ка в OpenSSH поз­во­ля­ет кря­ке­ру под­твер­дить нали­чие или отсут­ствие поль­зо­ва­те­ля в систе­ме (пакет в ответ при­хо­дит немно­го раз­ный):

https://www.bleepingcomputer.com/news/security/vulnerability-affects-all-openssh-versions-released-in-the-past-two-decades/

Не то, что­бы прям ШИБКО кри­тич­но (ещё ведь надо знать пароль), но непри­ят­но. Так как понят­но, что у поль­зо­ва­те­ля root пароль будет хрен дога­да­ешь­ся, а вот у поль­зо­ва­те­ля misha — уже могут быть вари­ан­ты.

Вче­ра в свя­зи с вне­зап­ным паде­жом туе­вой хучи дис­ков (види­мо, мол­нией мас­сив нахло­бу­чи­ло), пере­тас­ки­ва­ли поль­зо­ва­тель­ские дан­ные с одно­го сер­ве­ра на дру­гой.

Самая глав­ная при этом эмо­ция — «ёлки-пал­ки, сколь­ко же вы, сво­ло­чи, хра­ни­те у себя в поль­зо­ва­тель­ских ката­ло­гах вся­кой ХЕРНИ!!»

У поль­зо­ва­те­ля пере­стал гру­зить­ся ноут­бук. Что-то с жёст­ким дис­ком. Так как граж­да­нин в дру­гом горо­де, про­шу при­слать ноут­бук по почте. Полу­чаю ноут­бук. Смот­рю, в ноут­бу­ке тор­чит кар­точ­ка памя­ти (по пра­ви­лам ком­па­нии это, вооб­ще-то, запре­ще­но). Смот­рю, что на кар­точ­ке, а там фото­гра­фии с теле­фо­на, при­чём, такие, зна­е­те, с огонь­ком — изоб­ра­же­ния поль­зо­ва­те­ля с женой в раз­ных позах, части, кгм, тела с раз­ных ракур­сов, и тому подоб­ное. Не соску­чишь­ся, в‑общем, с наши­ми поль­зо­ва­те­ля­ми.

PS: Отдал кар­точ­ку офи­це­ру по без­опас­но­сти, он поль­зо­ва­те­лю анус отпес­ко­стру­ит.

При­мер­но в 2012–2013 году все нача­ли пере­хо­дить на твёр­до­тель­ные жёст­кие дис­ки. И всё пона­ча­лу было кру­то, и ско­рость рабо­ты, и отсут­ствие шума. Но вот 6 лет спу­стя это­го мас­со­во­го пере­хо­да я стал заме­чать, что прак­ти­че­ски все твёр­до­тель­ные дис­ки, кото­рые я куда-то уста­нав­ли­вал, дох­нут с харак­тер­ным сро­ком нара­бот­ки на отказ око­ло 5 лет. И ска­жу я вам, что на ста­ро­ре­жим­ных нако­пи­те­лях с маг­нит­ной тех­но­ло­ги­ей запи­си я такой ерун­ды не заме­чал. У меня есть дис­ки замет­но стар­ше 5 лет, кото­рые пре­крас­но рабо­та­ют до сих пор. А тако­го же воз­рас­та SSD-шни­ков, всё ещё в рабо­чем состо­я­нии — очень немно­го оста­лось. При­чём, чисто лич­ный опыт гово­рит, что от мар­ки это прак­ти­че­ски не зави­сит. Боль­ше все­го я видел дох­лых Гну­сма­сов, но это пото­му, что мы их боль­ше все­го и поку­па­ли. Но и Micron/Crucial тоже дох­нут. Вот пока Intel и SanDisk’ов дох­лых не видал, но думаю, это вопрос вре­ме­ни. Ско­рее все­го, это огра­ни­че­ния самой тех­но­ло­гии — на флеш память невоз­мож­но запи­сать мате­ри­ал более опре­де­лён­но­го чис­ла раз. Насколь­ко пони­маю, каж­дый цикл запи­си чуточ­ку раз­ру­ша­ет слой изо­ля­то­ра, кото­рый не даёт затво­ру МОП-тран­зи­сто­ра раз­ря­жать­ся. Посте­пен­но он теря­ет свои изо­ля­ци­он­ные свой­ства, заряд начи­на­ет сте­кать, и отли­чить 2 от 3 (если память у нас MLC/TLC) ста­но­вит­ся невоз­мож­но. SLC в этом отно­ше­нии живёт замет­но доль­ше, но попро­буй­те най­ти в 2018 году хоть один диск вме­ня­е­мой ёмко­сти и не за кон­ские день­ги, сде­лан­ный по этой тех­но­ло­гии.

Но вооб­ще всё рав­но уди­ви­тель­но. Ведь что­бы убить диск раз­ме­ром 256 гига­байт, на него при­дёт­ся запи­сать 2.44 пета­бай­та инфор­ма­ции (256 гиг запи­сать 10 000 раз). Что­бы это успеть сде­лать за 5 лет, на него надо писать 58 гига­байт в час или почти 17 мега­байт в секун­ду, без­оста­но­воч­но. Хм… Хотя… Осо­бен­но если учи­ты­вать то, что на самом деле что­бы запи­сать дан­ные на флеш, ячей­ку фле­ша надо пред­ва­ри­тель­но очи­стить, т.е. мы запи­сы­ва­ем по-сути, два­жды. На боль­шин­стве ком­пью­те­ров очист­кой более неис­поль­зу­е­мых яче­ек флеш-памя­ти зани­ма­ет­ся тех­но­ло­гия TRIM, в фоно­вом режи­ме, ина­че про­из­во­ди­тель­но­сти каб­здец, см. Write Amplification. В‑общем, чорт его зна­ет, может быть, вполне воз­мож­но.

После ufw, iptables и про­че­го pfSense прин­ци­пи­аль­но, конеч­но, ниче­го ново­го, толь­ко коман­ды дру­гие.

При­мер­но 50% сисад­мин­ской рабо­ты состав­ля­ет ожи­да­ние того, когда что-нибудь про­изой­дёт — сер­вер, нако­нец, про­срёт­ся и загру­зит­ся, сер­вис­пак закон­чит уста­нав­ли­вать­ся, бекап забе­ка­пит­ся, и т.д.

Хоро­шо, когда есть тыщ на 80 раз­но­го обо­ру­до­ва­ния, куда мож­но при­ткнуть сапо­ги на вре­мя ожи­да­ния!

PS: DELL R710, кста­ти, реаль­но может про­си­рать­ся минут 10 пока нач­нёт загру­жать­ся ОС.

С сисад­мин­ской точ­ки зре­ния теле­фо­ны с Андро­и­дом — ЗЛО.

Поче­му? Пото­му, что если на теле­фоне была сек­рет­ная инфор­ма­ция, то перед выда­чей ново­му сотруд­ни­ку это­го теле­фо­на или при избав­ле­нии от устрой­ства вооб­ще, эту инфор­ма­цию нуж­но сти­рать по ГОСТу стан­дар­там NIST.

И если мы нач­нём читать стан­дарт, то про­це­ду­ра надёж­но­го уда­ле­ния дан­ных для теле­фо­ном типа iPhone про­ста — ресе­тишь и в ус не дуешь. Эппл опи­сал стан­дарт того, как этот алго­ритм рабо­та­ет, и он пол­но­стью удо­вле­тво­рил NIST.

А для теле­фо­нов на ОС Андро­ид в доку­мен­те целый пара­граф, суть кото­ро­го сво­дит­ся к сле­ду­ю­ще­му — кон­крет­ная импле­мен­та­ция алго­рит­мов сти­ра­ния зави­сит от про­из­во­ди­те­ля теле­фо­на. Поэто­му про­це­ду­ры надёж­но­го уда­ле­ния дан­ных с теле­фо­нов на ОС Андро­ид в общем виде не суще­ству­ет. Ска­за­но, что надо зво­нить про­из­во­ди­те­лю и выяс­нять, под­дер­жи­ва­ет­ся ли там eMMC Secure Erase, Secure Trim и про­чие умные сло­ва.

Поэто­му в общем слу­чае, если от теле­фо­на на ОС Андро­ид надо изба­вить­ся, и на нём хра­ни­лись сек­рет­ные дан­ные, теле­фон необ­хо­ди­мо СЖИГАТЬ (ну или раз­ма­лы­вать в пыль с раз­ме­ром зер­на не более 2.4mm, как опи­са­но в стан­дар­те).

И, кста­ти, для теле­фо­нов на ОС Windows то же самое. Вот уж нико­гда не поду­мал бы, что Яббл бли­же кор­по­ра­тив­но­му миру, чем Мик­ро­софт.

Но воз­вра­ща­юсь на ста­рое место рабо­ты. Сисад­ми­нить.

Вдо­ба­вок к при­бав­ке в зря­пла­те выцы­га­нил новые обя­зан­но­сти (ина­че какой смысл воз­вра­щать­ся?), так что теперь учить:

Azure/AWS: IaaS и про­чий PaaS

Полу­чать CCNA Cloud и CISSP. Плот­но занять­ся SIEM.

Вот это будет бом­ба. Так как буду­щее опре­де­лён­но за облач­ны­ми сер­ви­са­ми, я обес­пе­чу себе хоро­ший задел на гря­ду­щее.

А инфо­без… «Some things look better just passing through», как пел Элтон Джон. Да, в инфо­бе­зе мож­но зара­бо­тать боль­ше денег. Без вопро­сов. Хотя лич­но я боль­шой раз­ни­цы не вижу, по край­ней мере, с той сте­пе­ни, с кото­рой мне при­шлось начи­нать в этой обла­сти. И, как уже сто раз было гово­ре­но, пока­за­но и обос­но­ва­но, связь меж­ду зар­пла­той и удо­воль­стви­ем от рабо­ты если и есть, то очень сла­бая.

Полу­чил два офе­ра. Один со ста­рой рабо­ты, дру­гой из теку­щей кон­то­ры, сме­нить про­филь сно­ва на IT. По день­гам, с учё­том бене­фи­тов — прак­ти­че­ски оди­на­ко­во (на ста­рой рабо­те чут­ка поболь­ше, если чисто в бап­ки пере­во­дить).

По про­фес­си­о­наль­но­му росту — тоже прак­ти­че­ски оди­на­ко­во. В теку­щей кон­то­ре боль­ше упор на облач­ные тех­но­ло­гии, на ста­рой — мно­го дела­ет­ся с обыч­ным желе­зом. Сле­ду­ю­щей эво­лю­ци­ей сво­их уме­ний я назо­ву плот­ную рабо­ту с сетя­ми. На ста­рой рабо­те всё па-бага­то­му, на цис­ках. На новой — pfSense, Ubiquity. Так дешев­ше пото­му что. Коро­че, при­бли­зи­тель­но оди­на­ко­во всё полу­ча­ет­ся.

Чего делать — сам не знаю. На новой рабо­те офис мне мень­ше нра­вит­ся (в цен­тре горо­да, в небо­скрё­бе, отку­да име­ем херо­вей­шую ситу­а­цию с тра­фи­ком и пар­ков­кой). Хотя, конеч­но, гла­мур­ней.

Вот ведь­блин.