Category: работа

Даль­ше вся­кое сисад­мин­ское.

FIPS это Феде­раль­ный Стан­дарт по Обра­бот­ке Инфор­ма­ции (Federal Information Processing Standard). Когда гово­рят FIPS, обыч­но под­ра­зу­ме­ва­ют пуб­ли­ка­цию Наци­о­наль­но­го Инсти­ту­та Стан­дар­тов и Тех­но­ло­гий (NIST) за нуме­ром 140–2. В ней опи­сы­ва­ют­ся вся­че­ские стан­дар­ты без­опас­но­сти, вклю­чая алго­рит­мы шиф­ро­ва­ния, гене­ра­ции слу­чай­ных чисел и т.д. В Рос­сии тоже есть ана­лог это­го доку­мен­та, это ГОСТ 54583–2011.

В Вин­де режим сов­ме­сти­мо­сти с FIPS вклю­ча­ет­ся доволь­но про­сто — либо через груп­по­вые поли­ти­ки (если у нас домен) или же через локаль­ные настрой­ки без­опас­но­сти: Local Policies -> Security Options -> Use FIPS Compliant algorithms for encryption, hashing, and signing. Это заста­вит все про­грам­мы, выпол­ня­е­мые на ком­пью­те­ре, исполь­зо­вать толь­ко без­опас­ные алго­рит­мы. Если же про­грам­ма захо­чет исполь­зо­вать небез­опас­ный алго­ритм (напри­мер, алго­ритм хеши­ро­ва­ния MD5), то она выва­лит­ся с ошиб­кой «не шмаг­ла», а в евен­тах оста­нут­ся соот­вет­ству­ю­щие матю­ги от SCHANNEL.

И вот заод­но пнём Линукс. Вер­нее, не сколь­ко сам Линукс, сколь­ко вос­тор­жен­ных линук­со­фа­на­тов. Ска­жи­те мне, дара­гие дру­зиа, как на вашей люби­мой плат­фор­ме вклю­ча­ет­ся режим сов­ме­сти­мо­сти с FIPS? А? Чего мол­чи­те? Ну, тогда отве­чу я: НИКАК. Что­бы полу­чить FIPS-сов­ме­сти­мый Линукс, надо менять ядро на FIPS-сов­ме­сти­мое, а оно (кокой сур­приз!!) — про­да­ёт­ся и обнов­ля­ет­ся стро­го за день­ги. Про­сто вы, дара­гие дру­зиа, ниче­го слож­нее пиш­ма­шин­ки или стан­дарт­но­го LAMP-сер­ве­ра в жиз­ни не дела­ли, поэто­му про­дол­жа­е­те счи­тать, что Линукс — он бес­плат­ный.

Пой­дём далее. Самая боль­шая заса­да с вклю­че­ни­ем FIPS в том, что весь софт, кото­рый не уме­ет в SHA, AES и про­чие умные сло­ва, пере­ста­ёт рабо­тать. И лад­но там если пере­ста­ёт рабо­тать какое-то само­пис­ное изде­лие или ещё какой несе­рьёз­ный софт. А вот у меня вче­ра пере­стал рабо­тать SQL Server. Ага, вот так вот, мля, знай наших! Вер­нее, пере­стал рабо­тать не сам сер­вер баз дан­ных, а сер­вис лин­ко­ва­ния сер­ве­ров. Он же шпа­рит по шиф­ро­ва­но­му про­то­ко­лу меж­ду сер­ван­та­ми. И вот види­мо кон­крет­но эта часть не явля­ет­ся FIPS-сов­ме­сти­мой, так как от сер­ве­ра при­ле­та­ет TCP RST сра­зу после попыт­ки TLS-руко­по­жа­тия.

Будем сего­дня раз­би­рать­ся, не то это DBA чего-то не так након­фи­гу­рял, либо надо писать теле­гу в Microsoft, что­бы FIPS-сов­ме­сти­мый про­дукт стал, нако­нец, FIPS-сов­ме­сти­мым.

Всё же дал стране угля Мик­ро­софт с послед­ним обнов­ле­ни­ем, закры­ва­ю­щим не про­сто дыру, а ДЫРУ с боль­шой бук­вы в crypt32.dll ТАКИХ раз­ме­ров, что филин зале­та­ет туда не скла­ды­вая кры­льев. Началь­ство потре­бо­ва­ло, что­бы оно было уста­нов­ле­но вез­де к кон­цу неде­ли, и у всех наших сисад­ми­нов зад­ни­ца в мыле.

Что инте­рес­но, кста­ти, что Мик­ро­соф­ту про эту дыру рас­ска­за­ло АНБ США. Инте­рес­но, сколь­ко лет они об этой дыре зна­ли и сиде­ли на этой инфор­ма­ции, исполь­зуя дыру в сво­их целях.

Крип­то­гра­фи­че­ские сопро­цес­со­ры (TPM) про­из­вод­ства STM и Intel име­ют уяз­ви­мость, исполь­зуя кото­рую мож­но выта­щить из сопро­цес­со­ра клю­чи шиф­ро­ва­ния. В том чис­ле — и уда­лён­но, по сети, т.к. крип­то­гра­фи­че­ский сопро­цес­сор исполь­зу­ет­ся в том чис­ле при уста­нов­ле­нии TLS сес­сии. Потре­бу­ет­ся, прав­да, быст­рая сеть, т.к. воз­мож­ность ата­ки силь­но зави­сит от раз­ни­цы во вре­ме­ни меж­ду посыл­ка­ми команд.

У меня сопро­цес­сор про­из­вод­ства Infineon, так что нуж­ды пат­чить­ся у меня нет. Вла­дель­цы чипов Nuvoton тоже могут выдох­нуть.

Про­смот­реть инфор­ма­цию о про­из­во­ди­те­ле cопро­цес­со­ра на Вин­де мож­но при помо­щи ути­ли­ты tpm.msc. IFX — это Infineon. Про дру­гих не знаю.

https://www.zdnet.com/article/tpm-fail-vulnerabilities-impact-tpm-chips-in-desktops-laptops-servers/

Ну, а вла­дель­цы облач­ных сер­ве­ров сего­дня спо­ют и спля­шут — нас-то это не каса­ет­ся. За это мы и любим облач­ные тех­но­ло­гии.

Блин, послед­нюю неде­лю прак­ти­че­ски все мои раз­го­во­ры на рабо­те про­ис­хо­дят так:

Тесте­ры: Вы доба­ви­ли на фаер­волл ексеп­ше­ны?
Я: А вы мне при­сла­ли спи­сок ексеп­ше­нов как я потре­бо­вал две неде­ли назад?
Тесте­ры: Вот пря­мо щас погля­дим и при­шлём!

Про­грам­ми­сты: вы уста­но­ви­ли наш новый код на веб-при­ло­же­ние?
Я: А вы его ском­пи­ли­ро­ва­ли и мне его дали, как я про­сил три неде­ли назад?
Про­грам­ми­сты: Дай­те пять минут, при­шлём!

Отдел доку­мен­та­ции: что-то мы до сих пор не видим новую базу дан­ных, кото­рую мы про­си­ли доба­вить
Я: А вы при­сла­ли мне схе­му БД кото­рую я уже вто­рую неде­лю еже­днев­но про­шу, что­бы я её доба­вил?
Отдел доку­мен­та­ции: Ну добавь­те хоть чего!
Я: Чего добав­лять-то? Тон­ну таб­лиц и тол­пу вар­ча­ров? А какой дли­ны? Сколь­ко? А индек­сы где будем делать? А про­вер­ки на уни­каль­ность? А пер­вич­ный ключ надо? А кто к это­му дол­жен иметь доступ, и какой?
Отдел доку­мен­та­ции: Мы щас поду­ма­ем.

Началь­ник: Чего-то у нас нихе­ра не рабо­та­ет!
Я: У меня все ходы запи­са­ны.
Началь­ник: Понят­но. Щас я их смо­ти­ви­рую.

А зав­тра будет, япон­ский бог, ров­но то же самое.

О чём я уже неод­но­крат­но гово­рил.

И, что харак­тер­но, я счи­таю такую ситу­а­цию абсо­лют­но пра­виль­ной и логич­ной. Имен­но на тако­го чело­ве­ка долж­но опи­рать­ся обще­ство, имен­но их нани­мать в первую оче­редь, и имен­но им давать мак­си­мум бене­фи­тов. Не на холо­стя­ков же опи­рать­ся — сего­дня они есть, а зав­тра их нет. Я не о том, что «нет ответ­ствен­ных работ­ни­ков-холо­стя­ков» — они есть. Но в мас­се (повто­ря­юсь — в мас­се) это народ менее надёж­ный.

Дано: сер­вант с PHP7 в режи­ме fcgi
Зада­ча: отклю­чить выпол­не­ние скрип­тов типа PHP в опре­де­лён­ной дирек­то­рии.
Про­бле­ма: php_flag и про­чие пере­мен­ные РНР в .htaccess совать нель­зя, ибо в рожу при­ле­та­ет 500 (fcgi же)
Най­ден­ное реше­ние: в нуж­ной дирек­то­рии создать .user.ini, в кото­ром сде­лать auto_prepend_file = stop.php, а внут­ри stop.php напи­сать при­мер­но вот так:

<?
echo «Пошёл нахер»;
exit();
?>

Но как-то это неизящ­но. engine = off внут­ри .user.ini не сра­ба­ты­ва­ет поче­му-то, блин.

Есть что луч­ше?

Дыр­ка в OpenSSH поз­во­ля­ет кря­ке­ру под­твер­дить нали­чие или отсут­ствие поль­зо­ва­те­ля в систе­ме (пакет в ответ при­хо­дит немно­го раз­ный):

https://www.bleepingcomputer.com/news/security/vulnerability-affects-all-openssh-versions-released-in-the-past-two-decades/

Не то, что­бы прям ШИБКО кри­тич­но (ещё ведь надо знать пароль), но непри­ят­но. Так как понят­но, что у поль­зо­ва­те­ля root пароль будет хрен дога­да­ешь­ся, а вот у поль­зо­ва­те­ля misha — уже могут быть вари­ан­ты.

Вче­ра в свя­зи с вне­зап­ным паде­жом туе­вой хучи дис­ков (види­мо, мол­нией мас­сив нахло­бу­чи­ло), пере­тас­ки­ва­ли поль­зо­ва­тель­ские дан­ные с одно­го сер­ве­ра на дру­гой.

Самая глав­ная при этом эмо­ция — «ёлки-пал­ки, сколь­ко же вы, сво­ло­чи, хра­ни­те у себя в поль­зо­ва­тель­ских ката­ло­гах вся­кой ХЕРНИ!!»

У поль­зо­ва­те­ля пере­стал гру­зить­ся ноут­бук. Что-то с жёст­ким дис­ком. Так как граж­да­нин в дру­гом горо­де, про­шу при­слать ноут­бук по почте. Полу­чаю ноут­бук. Смот­рю, в ноут­бу­ке тор­чит кар­точ­ка памя­ти (по пра­ви­лам ком­па­нии это, вооб­ще-то, запре­ще­но). Смот­рю, что на кар­точ­ке, а там фото­гра­фии с теле­фо­на, при­чём, такие, зна­е­те, с огонь­ком — изоб­ра­же­ния поль­зо­ва­те­ля с женой в раз­ных позах, части, кгм, тела с раз­ных ракур­сов, и тому подоб­ное. Не соску­чишь­ся, в‑общем, с наши­ми поль­зо­ва­те­ля­ми.

PS: Отдал кар­точ­ку офи­це­ру по без­опас­но­сти, он поль­зо­ва­те­лю анус отпес­ко­стру­ит.

При­мер­но в 2012–2013 году все нача­ли пере­хо­дить на твёр­до­тель­ные жёст­кие дис­ки. И всё пона­ча­лу было кру­то, и ско­рость рабо­ты, и отсут­ствие шума. Но вот 6 лет спу­стя это­го мас­со­во­го пере­хо­да я стал заме­чать, что прак­ти­че­ски все твёр­до­тель­ные дис­ки, кото­рые я куда-то уста­нав­ли­вал, дох­нут с харак­тер­ным сро­ком нара­бот­ки на отказ око­ло 5 лет. И ска­жу я вам, что на ста­ро­ре­жим­ных нако­пи­те­лях с маг­нит­ной тех­но­ло­ги­ей запи­си я такой ерун­ды не заме­чал. У меня есть дис­ки замет­но стар­ше 5 лет, кото­рые пре­крас­но рабо­та­ют до сих пор. А тако­го же воз­рас­та SSD-шни­ков, всё ещё в рабо­чем состо­я­нии — очень немно­го оста­лось. При­чём, чисто лич­ный опыт гово­рит, что от мар­ки это прак­ти­че­ски не зави­сит. Боль­ше все­го я видел дох­лых Гну­сма­сов, но это пото­му, что мы их боль­ше все­го и поку­па­ли. Но и Micron/Crucial тоже дох­нут. Вот пока Intel и SanDisk’ов дох­лых не видал, но думаю, это вопрос вре­ме­ни. Ско­рее все­го, это огра­ни­че­ния самой тех­но­ло­гии — на флеш память невоз­мож­но запи­сать мате­ри­ал более опре­де­лён­но­го чис­ла раз. Насколь­ко пони­маю, каж­дый цикл запи­си чуточ­ку раз­ру­ша­ет слой изо­ля­то­ра, кото­рый не даёт затво­ру МОП-тран­зи­сто­ра раз­ря­жать­ся. Посте­пен­но он теря­ет свои изо­ля­ци­он­ные свой­ства, заряд начи­на­ет сте­кать, и отли­чить 2 от 3 (если память у нас MLC/TLC) ста­но­вит­ся невоз­мож­но. SLC в этом отно­ше­нии живёт замет­но доль­ше, но попро­буй­те най­ти в 2018 году хоть один диск вме­ня­е­мой ёмко­сти и не за кон­ские день­ги, сде­лан­ный по этой тех­но­ло­гии.

Но вооб­ще всё рав­но уди­ви­тель­но. Ведь что­бы убить диск раз­ме­ром 256 гига­байт, на него при­дёт­ся запи­сать 2.44 пета­бай­та инфор­ма­ции (256 гиг запи­сать 10 000 раз). Что­бы это успеть сде­лать за 5 лет, на него надо писать 58 гига­байт в час или почти 17 мега­байт в секун­ду, без­оста­но­воч­но. Хм… Хотя… Осо­бен­но если учи­ты­вать то, что на самом деле что­бы запи­сать дан­ные на флеш, ячей­ку фле­ша надо пред­ва­ри­тель­но очи­стить, т.е. мы запи­сы­ва­ем по-сути, два­жды. На боль­шин­стве ком­пью­те­ров очист­кой более неис­поль­зу­е­мых яче­ек флеш-памя­ти зани­ма­ет­ся тех­но­ло­гия TRIM, в фоно­вом режи­ме, ина­че про­из­во­ди­тель­но­сти каб­здец, см. Write Amplification. В‑общем, чорт его зна­ет, может быть, вполне воз­мож­но.