Category: сисадминское

Сотруд­ни­ца сего­дня в почте опи­са­лась про­сто зачёт­ней­ше:

“I would like to request a dicking station, please.”

При­зна­юсь, паль­цы чеса­лись отве­тить:

Sorry, we are out of those. We have some docking stations, though!

Да, я всё пони­маю — бук­вы O и I на кла­ви­а­ту­ре рядом. Чистая меха­ни­ка.

Но скрин­шо­ты-то оста­лись. Как и оса­до­чек.

Отдель­ную… глу­би­ну ситу­а­ции при­да­ёт тот факт, что автор пись­ма — суро­вая бутч-лес­би­ян­ка с шести­лет­ним ста­жем служ­бы в ВМФ.

Фрейд улы­ба­ет­ся и машет.

Есть такой бес­плат­ный (и очень мощ­ный) редак­тор тек­ста — Notepad++. Он уме­ет пони­мать син­так­сис мно­гих язы­ков про­грам­ми­ро­ва­ния, типа Python, JavaScript, PHP, и далее по алфа­ви­ту. Кро­ме того, он под­дер­жи­ва­ет рег­экс­пы, MIME, и про­чие полез­ные сись-админ­ские вещи. Я с удо­воль­стви­ем его исполь­зую.

Выяс­ни­лось, что в ста­рых вер­си­ях есть крайне инте­рес­ная уяз­ви­мость. Его встро­ен­ная обнов­лял­ка недо­ста­точ­но стро­го про­ве­ря­ла циф­ро­вые под­пи­си ска­чи­ва­е­мых паке­тов. Таким обра­зом, ей мож­но было под­су­нуть вирус­ню вме­сто леги­тим­но­го обнов­ле­ния.

Хаке­ры умуд­ри­лись взло­мать хосте­ра, где хра­ни­лись бинар­ни­ки, и щед­ро насо­ва­ли туда вся­ко­го инте­рес­но­го в панам­ку.

Клас­си­че­ская ата­ка на цепь снаб­же­ния. Очень чистая рабо­та. Пра­ц­ю­ва­ли китай­ці — какая-то хакер­ская груп­пи­ров­ка с очень хоро­шим бюд­же­том, воз­мож­но, госу­дар­ствен­ным.

Впро­чем, если вы не ази­ат­ская ком­па­ния в обла­сти теле­ком­му­ни­ка­ций или бан­кин­га, мож­но выды­хать — похо­же, цели­лись толь­ко в них.

Но на вся­кий слу­чай — обно­ви­тесь до вер­сии 8.9.1.

via
https://www.securityweek.com/notepad-supply-chain-hack-conducted-by-china-via-hosting-provider/

Update!

Тех­ни­че­ский ана­лиз с раз­бо­ром IoC:
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

Рань­ше люди хва­ста­лись золо­том, жем­чу­га­ми, и про­чи­ми бран­зу­лет­ка­ми.

А нын­че цены на опе­ра­тив­ную память такие кон­ские, что грех не похва­стать­ся сво­ей кол­лек­ци­ей пла­но­чек 🙂

Смех, увы, сквозь слё­зы. Я вот даже не знаю, когда у меня теперь вооб­ще будет новый ком­пью­тер. Это при­мер­но как несколь­ко лет назад соби­рать ПК и вне­зап­но осо­зна­вать, что видео­кар­та — это, ока­зы­ва­ет­ся, пред­мет рос­ко­ши. Блин.

Одно знаю твёр­до: если ком­па­ния Мик­ро­софт не свер­нёт с пути пла­но­мер­ной иди­о­ти­за­ции сво­ей деск­топ­ной Windows, то пусть они там… даль­ше раз­вле­ка­ют­ся без меня — а мой сле­ду­ю­щий ком­пью­тер, види­мо, будет мар­ки Макин­тош.

Вот это совсем дру­гое дело. Теперь мой канал в OnlyFans мож­но будет стри­мить в 8k в режи­ме реаль­но­го вре­ме­ни.

А если более серьёз­но, то отме­чу не толь­ко замет­но воз­рос­шую про­пуск­ную спо­соб­ность тру­бы «от меня», но и чудо­вищ­но низ­кий пинг. Он умень­шил­ся в пять-шесть раз.

В прин­ци­пе, моя коро­боч­ка с pfSense лег­ко потя­ну­ла бы и боль­ше — но потре­бо­ва­лась бы капи­таль­ная пере­дел­ка всей внут­ре­до­мо­вой сети на CAT6, апгрейд всех ком­му­та­то­ров… в‑общем, этот сок не сто­ит выжим­ки.

«Ящи­таю» ©, что у хоро­ше­го сисад­ми­на дол­жен быть не толь­ко пра­виль­но­го диа­мет­ра, гра­мот­но намо­лен­ный бубен, но ещё и спе­ци­аль­но обу­чен­ная сисад­мин­ская ермол­ка.

Наде­ва­ет­ся эта ермол­ка акку­рат утром в пят­ни­цу, после вос­хо­да солн­ца — что­бы напо­ми­нать нам, что в пят­ни­цу мы, кибе­не­мат, про­дак­шен не тро­га­ем под стра­хом поби­ва­ния витой парой. Пото­му что если что-то грох­нет­ся — то выход­ные пой­дут коту под хвост.

Но сего­дня один наш орёл решил про­ве­рить гра­ни­цы миро­зда­ния и пере­гру­зил кла­стер вир­ту­а­ли­за­ции Hyper‑V. ВЕСЬ. Не по одно­му хосту, не акку­рат­но и пооче­рёд­но — а сра­зу всё, одно­вре­мен­но, чтоб навер­ня­ка.

Упа­ло, сла­ва Зев­су и всем богам SLA, не очень мно­го — бла­го пере­за­груз­ка была ещё до нача­ла рабо­че­го дня. Но доста­точ­но для того, что­бы наша мама (фин­ди­рек­тор) напи­са­ла недо­умён­ное:

«Ребя­та, у нас сего­дня вооб­ще-то зар­пла­та начис­ля­ет­ся. Вы там что, реши­ли устро­ить при­клю­че­ние с утра порань­ше?»

А зар­пла­та (и наша мама) — это свя­тое.

Хвост сисад­ми­ну мы, конеч­но, слег­ка под­ров­ня­ли, но дело, увы, уже было сде­ла­но.

Шаб­бат шалом. И пят­нич­ный прод стань­те же кто-нибудь охра­нять. Жела­тель­но, с бейс­боль­ной битой наго­то­ве.

Запись будет инте­рес­на в основ­ном сись-одми­нам. Так, замет­ки для себя и для сво­их.

FSLogix — это совре­мен­ная заме­на тому, что Microsoft рань­ше назы­вал Roaming User Profiles. Самый боль­шой их недо­ста­ток был в том, что про­фи­ли хра­ни­лись на кон­трол­ле­ре доме­на. А кон­трол­лер — это, сюр­приз-сюр­приз, не фай­ло­вый сер­вер. Нех­ре­на на нём хра­нить вся­кий хлам, типа деск­топ­ных ико­нок, AppData, эски­зов и про­чей фай­ло­по­мой­ки.

FSLogix рабо­та­ет по-дру­го­му: для каж­до­го поль­зо­ва­те­ля, логи­ня­ще­го­ся в систе­му, созда­ёт­ся пер­со­наль­ный VHDX-файл, кото­рый мон­ти­ру­ет­ся как его про­филь. Хра­нит­ся VHDX уже пра­виль­но — на фай­ло­вом сер­ве­ре. Поэто­му куда бы ты ни зало­ги­ни­лась — хоть на физи­че­скую маши­ну, хоть на VDI — ты вез­де полу­ча­ешь свой рiд­ний про­филь со все­ми настрой­ка­ми. Для луч­ше­го эффек­та про­фи­ли жела­тель­но дер­жать на шаре, сто­я­щей на SSD, и непло­хо бы, что­бы фай­ло­вый сер­вер был под­клю­чён, как у боль­ших дяде­нек, через 10+ гига­бит.

Самое рас­про­стра­нён­ное при­ме­не­ние FSLogix — фер­мы вир­ту­аль­ных деск­то­пов. Ага, это имен­но туда мне недав­но при­шлось впи­сать 66 тупо­ры­лых поль­зо­ва­те­лей, из кото­рых отдель­ные граж­дане вме­сто .com писа­ли .cum. Не хочу даже думать, какие сай­ты они до это­го посе­ща­ли. Мда.

Что­бы вклю­чить FSLogix, надо ска­чать кли­ент, поста­вить его на каж­дую кли­ент­скую маши­ну (мож­но через груп­по­вые поли­ти­ки), а затем засу­нуть ADMX/ADML-шаб­ло­ны в SYSVOL на все кон­трол­ле­ры доме­нов, как поло­же­но, что­бы появи­лась новая груп­по­вая поли­ти­ка.

Всё нуж­ное берёт­ся здесь:
https://learn.microsoft.com/en-us/fslogix/

Даль­ше на фай­ло­вом сер­ве­ре созда­ёшь шару (жела­тель­но скры­тую $, что­бы юзве­ри уша­стые туда не лез­ли), про­пи­сы­ва­ешь её в поли­ти­ке как место хра­не­ния про­фи­лей — и алга, ком­со­мол.

Самое слож­ное — настро­ить раз­ре­ше­ния НА ШАРЕ ТОЧНО ТАК, КАК НАДО, ина­че FSLogix будет устра­и­вать тебе цирк с коня­ми и каж­дый раз выки­ды­вать «Access Denied». Вот докУ­мент, кото­рый надо читать очень вни­ма­тель­но. Мне пона­до­би­лось два дня пля­сок с буб­ном и заячьей лап­кой, что­бы всё нако­нец зара­бо­та­ло:
https://learn.microsoft.com/en-us/fslogix/how-to-configure-storage-permissions

Для луч­шей иллю­стра­ции чув­стви­тель­но­сти прав: при пра­виль­но выстав­лен­ных ACL коман­да mkdir на этой шаре с кли­ент­ской маши­ны долж­на успеш­но созда­вать пап­ку.
Но вот попыт­ка создать файл (напри­мер, New-Item) долж­на отфут­бо­ли­вать­ся с Access Denied.
Так FSLogix и опре­де­ля­ет, что дере­во раз­ре­ше­ний настро­е­но иде­аль­но: дирек­то­рию сде­лать мож­но, файл — нель­зя. Если это пове­де­ние не сов­па­да­ет — зна­чит, пра­ва опять где-то поеха­ли, и пора доста­вать бубен.

Но зато потом — вах, дара­гой, кра­со­та, слю­щай. Куда ни зай­дёшь — про­филь под­цеп­ля­ет­ся авто­ма­ти­че­ски, всё рабо­та­ет быст­ро, чисто и про­зрач­но.
Кере­мен­дую.

Я, конеч­но, очень люб­лю TrueNAS Core. Ибо FreeBSD, и это тру. Он поз­во­ля­ет дома из гов­на и палок под­нять весь­ма серьёз­ную инфра­струк­ту­ру: ZFS с RAIDZ, снап­шо­ты, репли­ка­ции, iSCSI, SMB, NFS, вир­ту­аль­ные маши­ны, алер­ты — всё это рабо­та­ет, и рабо­та­ет ста­биль­но и пред­ска­зу­е­мо.

Но есть у Core одно харак­тер­ное свой­ство, кото­рое пери­о­ди­че­ски, как фи тепер тош­ше коф­фо­ри­те по-рус­ски, анно­ит: чрез­мер­ная щепе­тиль­ность в отно­ше­нии состо­я­ния пула.

ZFS обна­ру­жил один бит, кото­рый не сов­пал? Авто­ма­ти­че­ски вос­ста­но­вил блок из пари­те­та? Скраб под­твер­дил целост­ность?

С точ­ки зре­ния ZFS — всё пре­крас­но. Но с точ­ки зре­ния TrueNAS — «Пул дис­ков нездо­ров! Сроч­но, сроч­но! Хва­тай меш­ки — вок­зал отхо­дит!»

Core упор­но счи­та­ет пул про­блем­ным до тех пор, пока:

1. Адми­ни­стра­тор лич­но не зай­дёт в интер­фейс или кон­соль,
2. Не про­ве­рит SMART по каж­до­му дис­ку,
3. Не убе­дит­ся в отсут­ствии дегра­да­ции,
4. Не под­твер­дит, что ошиб­ка была исправ­ле­на,
5. И вруч­ную не сни­мет пам­пер­сы тре­во­гу коман­дой zpool clear.

Даже если про­изо­шёл еди­нич­ный, слу­чай­ный сбой — будь то мимо­лёт­ная про­бле­ма в SATA, крат­ко­вре­мен­ный тай­маут кон­трол­ле­ра, оди­ноч­ный флип­ну­тый бит в опе­ра­тив­ной памя­ти (не ECC, ибо гов­но и пал­ки) от обыч­но­го фоно­во­го излу­че­ния, или любая дру­гая разо­вая ано­ма­лия — и ZFS пол­но­стью вос­ста­но­вил повре­ждён­ный блок из пари­те­та, TrueNAS всё рав­но ожи­да­ет руч­но­го вме­ша­тель­ства: адми­ни­стра­тор дол­жен зай­ти, про­ве­рить и фор­маль­но под­твер­дить собы­тие.

С точ­ки зре­ния надёж­но­сти под­ход фор­маль­но оправ­дан: ZFS может вос­ста­но­вить блок, но факт воз­ник­но­ве­ния ошиб­ки — это всё же диа­гно­сти­че­ское собы­тие.

Но на прак­ти­ке это при­во­дит к тому, что после любо­го мини­маль­но­го чиха — одна исправ­лен­ная кон­троль­ная сум­ма, один сбой чте­ния, одно крат­ко­вре­мен­ное собы­тие в кана­ле пере­да­чи дан­ных — TrueNAS сооб­ща­ет о «нездо­ро­вом» пуле, и сроч­но тре­бу­ет руч­ной про­вер­ки.

Ино­гда хочет­ся, что­бы систе­ма уме­ла гово­рить про­ще: «Да, демо­ны были. Мы это­го не отри­ца­ем. Но они само­лик­ви­ди­ро­ва­лись.»

Но фило­со­фия TrueNAS Core дру­гая: каж­дый сбой дол­жен быть зафик­си­ро­ван, про­ве­рен и под­твер­ждён чело­ве­ком. Нра­вит­ся это или нет — это часть его дизай­на. Но ино­гда… анно­ит.