Category: сисадминское

EasyWP — уто­мил. Уто­мил сво­и­ми глю­ка­ми, тор­мо­за­ми (не могу сей­час залить кар­тин­ку на 50 кило­байт — это вооб­ще как в 2026 году? память из сер­ве­ра про­пи­ли, что ли?), негиб­ко­стью, и отсут­стви­ем базо­вых фич.

И это, напом­ню, «управ­ля­е­мый хостинг». Управ­ля­е­мый — види­мо, в том смыс­ле, что управ­ля­ют тобой, а не ты.

В какой-то момент в голо­ве щёлк­ну­ло:
«На кой я вооб­ще муча­юсь с чужим хостин­гом, когда я, на мину­точ­ку, сер­ти­фи­ци­ро­ван­ный архи­тек­тор облач­ных реше­ний, и лег­ко могу под­нять свой — с бильяр­дом и про­фур­сет­ка­ми?»

Ска­за­но — сде­ла­но. Был взят ака­ма­ев­ский (Linode) VPS и туда был водру­жен стан­дарт­ней­ший пиро­жок в виде LAMP.

Ниче­го, обжи­ва­юсь поти­хонь­ку. Зато теперь есть нор­маль­ный доступ к логам — EasyWP поче­му-то такой рос­ко­ши не предо­став­ля­ет. Жал­ко им, что ли?

Цена — сопо­ста­ви­мая. Если руки на месте, пур­куа бы и не па?

Зато теперь всё под кон­тро­лем. Всё лета­ет. Всё понят­но.

Про­ба пера на новом хостин­ге.

UPDATE: Про­бле­мы с крос­спостин­гом из WP — исчез­ли, как не было их. EasyWP — косо­ру­кие бол­ва­ны.

Феде­раль­ная Комис­сия по Свя­зи США запре­ти­ла рау­те­ры, в том чис­ле и домаш­ние, про­из­ве­дён­ные за рубе­жом.

Меня это, конеч­но же, не кос­нёт­ся — у меня проф­де­фор­ма­ция, поэто­му дома сто­ит пол­но­вес­ный pfSense. А вот про­стых людей, не айтиш­ни­ков, это затро­нет напря­мую.

Во-пер­вых, содер­жи­мое полок мага­зи­нов ком­пью­тер­ной тех­ни­ки очень силь­но поме­ня­ет­ся. Это сей­час мож­но зай­ти в бли­жай­ший «Бест­бай» и купить рау­тер дешев­ле пяти­де­ся­ти дол­ла­ров.

Я, кста­ти, не при­зы­ваю поку­пать такое… обо­ру­до­ва­ние. Это барах­ло — и по фичам, и по каче­ству.

Ско­ро самый дешё­вый рау­тер будет начи­нать­ся при­мер­но со ста–ста два­дца­ти дол­ла­ров. А подоб­ные мар­ки (Cudy это голи­мый Китай), ско­рее все­го, исчез­нут как класс. В окон­ча­тель­ное небы­тие уйдёт обо­ру­до­ва­ние TP-Link (тоже изна­чаль­но китай­ское). Силь­но поме­ня­ет­ся ассор­ти­мент Asus, Netgear, D‑Link, и мно­гих про­чих (вклю­чая в том чис­ле, кста­ти, широ­ко попу­ляр­ный в узких кру­гах MikroTik). Они ока­жут­ся в очень инте­рес­ной ситу­а­ции — либо пере­но­сить про­из­вод­ство в США, либо идти к госу­дар­ству с чело­бит­ной: мол, да, мы зару­беж, но стра­на «дру­же­ствен­ная». И чорт его ещё зна­ет, как это в ито­ге раз­ру­лит­ся.

Во-вто­рых, если вы арен­ду­е­те модем/раутер у про­вай­де­ра — готовь­тесь к тому, что або­нент­ская пла­та под­рас­тёт. Дол­ла­ров на десять–пятнадцать в месяц — лег­ко.

Кста­ти, если кому-то вдруг пока­за­лось, что я про­тив реше­ния ФКС — нет, вы зна­е­те, я как раз «за».

А зна­е­те поче­му? Пото­му что вы нико­гда не смот­ре­ли в логи бранд­мау­э­ра и не виде­ли того коли­че­ства зло­на­ме­рен­но­го тра­фи­ка, кото­рое каж­дую секун­ду отфут­бо­ли­ва­ет­ся обо­ру­до­ва­ни­ем, доступ­ным из интер­не­та. И огром­ная часть это­го мусо­ра идёт с дешё­вых домаш­них рау­те­ров, кото­рые поль­зо­ва­тель как при­нёс из мага­зи­на, как воткнул — и так с тех пор и не тро­гал.

И мало того, что кибе­р­ата­ки идут с подоб­но­го обо­ру­до­ва­ния — через такое обо­ру­до­ва­ние поль­зо­ва­те­лю сажа­ют тро­я­ны, пере­на­прав­ля­ют DNS-тра­фик, отправ­ля­ют поль­зо­ва­те­ля на под­дель­ные сай­ты бан­ков — в общем, с одной и той же целью: украсть день­ги.

Фирм­варь там не обнов­лял­ся со вре­мён Бать­ки Мах­но — пото­му что кетай­ско­му гов­но­про­из­во­ди­те­лю глу­бо­ко напле­вать на то, что в про­шив­ке дыры такие, что филин про­ле­та­ет. Учёт­ные запи­си — по умол­ча­нию: admin/admin, root/123456, клас­си­ка жан­ра.

Пото­му что дёше­во. Ну и что, что гов­но — зато пол­ный рот.

И сде­лать с этим — если не идти на край­ние меры вро­де того, что­бы силой заста­вить людей поку­пать нор­маль­ное обо­ру­до­ва­ние, как тут — мож­но при­мер­но ниче­го.

Дожи­ли. FreeNAS Core боль­ше не под­дер­жи­ва­ет­ся, что выну­ди­ло меня сде­лать апгрейд до TrueNAS SCALE.

Очень мне это­го делать не хоте­лось, пото­му что Core — это BSD, что тру. А SCALE — это линупс крас­но­гла­зый. Спа­си­бо хоть, что под капот воткну­ли не какую-нибудь Сла­к­варь или Шап­ку, а отно­си­тель­но ещё вме­ня­е­мый Демьян.

Но.

Надо отме­тить исклю­чи­тель­ную лёг­кость апгрей­да, как гово­рит­ся, in situ. В System → Update выби­ра­ем нуж­ную вет­ку (я выбра­ла 24.04, если что), после чего жмём кноп­ку «Обно­вить­ся».

Даль­ше оно всё ска­чи­ва­ет и ста­вит само, и даже импор­ти­ру­ет уже суще­ству­ю­щий ZFS-пул — без вся­кой поте­ри дан­ных. Даже все паро­ли в Samba сохра­ни­лись.

Хотя, конеч­но, внут­рен­ний фанат тру-BSD у меня внут­ри немнож­ко умер. Спа­си­бо хоть, что в pfSense, мною не менее люби­мый, пока не про­лез­ли.

Ах да, «зачем»?

Захо­те­лось мне поста­вить Plex Media Server. И фигуш­ки — без тан­цев с буб­ном он на FreeNAS Core нор­маль­но не ста­вит­ся.

В общем, при­шлось при­знать неиз­беж­ное: линукс всё-таки побе­дил. Хотя, конеч­но, исклю­чи­тель­но по тех­ни­че­ским при­чи­нам.

“Upgradation”

Инду­сы писа­ли. Что­бы про­чи­тать их доку­мен­та­цию (и, что важ­но — понять её) надо сна­ча­ла выпить три лит­ра само­гон­ки.

Мне осо­бен­но в их доку­мен­та­ции захо­дит “do the needful” — это, зна­чит «сде­лай­те то, что нуж­но», в пере­во­де на обще­че­ло­ве­че­ский.

Сотруд­ни­ца сего­дня в почте опи­са­лась про­сто зачёт­ней­ше:

“I would like to request a dicking station, please.”

При­зна­юсь, паль­цы чеса­лись отве­тить:

Sorry, we are out of those. We have some docking stations, though!

Да, я всё пони­маю — бук­вы O и I на кла­ви­а­ту­ре рядом. Чистая меха­ни­ка.

Но скрин­шо­ты-то оста­лись. Как и оса­до­чек.

Отдель­ную… глу­би­ну ситу­а­ции при­да­ёт тот факт, что автор пись­ма — суро­вая бутч-лес­би­ян­ка с шести­лет­ним ста­жем служ­бы в ВМФ.

Фрейд улы­ба­ет­ся и машет.

Есть такой бес­плат­ный (и очень мощ­ный) редак­тор тек­ста — Notepad++. Он уме­ет пони­мать син­так­сис мно­гих язы­ков про­грам­ми­ро­ва­ния, типа Python, JavaScript, PHP, и далее по алфа­ви­ту. Кро­ме того, он под­дер­жи­ва­ет рег­экс­пы, MIME, и про­чие полез­ные сись-админ­ские вещи. Я с удо­воль­стви­ем его исполь­зую.

Выяс­ни­лось, что в ста­рых вер­си­ях есть крайне инте­рес­ная уяз­ви­мость. Его встро­ен­ная обнов­лял­ка недо­ста­точ­но стро­го про­ве­ря­ла циф­ро­вые под­пи­си ска­чи­ва­е­мых паке­тов. Таким обра­зом, ей мож­но было под­су­нуть вирус­ню вме­сто леги­тим­но­го обнов­ле­ния.

Хаке­ры умуд­ри­лись взло­мать хосте­ра, где хра­ни­лись бинар­ни­ки, и щед­ро насо­ва­ли туда вся­ко­го инте­рес­но­го в панам­ку.

Клас­си­че­ская ата­ка на цепь снаб­же­ния. Очень чистая рабо­та. Пра­ц­ю­ва­ли китай­ці — какая-то хакер­ская груп­пи­ров­ка с очень хоро­шим бюд­же­том, воз­мож­но, госу­дар­ствен­ным.

Впро­чем, если вы не ази­ат­ская ком­па­ния в обла­сти теле­ком­му­ни­ка­ций или бан­кин­га, мож­но выды­хать — похо­же, цели­лись толь­ко в них.

Но на вся­кий слу­чай — обно­ви­тесь до вер­сии 8.9.1.

via
https://www.securityweek.com/notepad-supply-chain-hack-conducted-by-china-via-hosting-provider/

Update!

Тех­ни­че­ский ана­лиз с раз­бо­ром IoC:
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

Рань­ше люди хва­ста­лись золо­том, жем­чу­га­ми, и про­чи­ми бран­зу­лет­ка­ми.

А нын­че цены на опе­ра­тив­ную память такие кон­ские, что грех не похва­стать­ся сво­ей кол­лек­ци­ей пла­но­чек 🙂

Смех, увы, сквозь слё­зы. Я вот даже не знаю, когда у меня теперь вооб­ще будет новый ком­пью­тер. Это при­мер­но как несколь­ко лет назад соби­рать ПК и вне­зап­но осо­зна­вать, что видео­кар­та — это, ока­зы­ва­ет­ся, пред­мет рос­ко­ши. Блин.

Одно знаю твёр­до: если ком­па­ния Мик­ро­софт не свер­нёт с пути пла­но­мер­ной иди­о­ти­за­ции сво­ей деск­топ­ной Windows, то пусть они там… даль­ше раз­вле­ка­ют­ся без меня — а мой сле­ду­ю­щий ком­пью­тер, види­мо, будет мар­ки Макин­тош.

Вот это совсем дру­гое дело. Теперь мой канал в OnlyFans мож­но будет стри­мить в 8k в режи­ме реаль­но­го вре­ме­ни.

А если более серьёз­но, то отме­чу не толь­ко замет­но воз­рос­шую про­пуск­ную спо­соб­ность тру­бы «от меня», но и чудо­вищ­но низ­кий пинг. Он умень­шил­ся в пять-шесть раз.

В прин­ци­пе, моя коро­боч­ка с pfSense лег­ко потя­ну­ла бы и боль­ше — но потре­бо­ва­лась бы капи­таль­ная пере­дел­ка всей внут­ре­до­мо­вой сети на CAT6, апгрейд всех ком­му­та­то­ров… в‑общем, этот сок не сто­ит выжим­ки.

«Ящи­таю» ©, что у хоро­ше­го сисад­ми­на дол­жен быть не толь­ко пра­виль­но­го диа­мет­ра, гра­мот­но намо­лен­ный бубен, но ещё и спе­ци­аль­но обу­чен­ная сисад­мин­ская ермол­ка.

Наде­ва­ет­ся эта ермол­ка акку­рат утром в пят­ни­цу, после вос­хо­да солн­ца — что­бы напо­ми­нать нам, что в пят­ни­цу мы, кибе­не­мат, про­дак­шен не тро­га­ем под стра­хом поби­ва­ния витой парой. Пото­му что если что-то грох­нет­ся — то выход­ные пой­дут коту под хвост.

Но сего­дня один наш орёл решил про­ве­рить гра­ни­цы миро­зда­ния и пере­гру­зил кла­стер вир­ту­а­ли­за­ции Hyper‑V. ВЕСЬ. Не по одно­му хосту, не акку­рат­но и пооче­рёд­но — а сра­зу всё, одно­вре­мен­но, чтоб навер­ня­ка.

Упа­ло, сла­ва Зев­су и всем богам SLA, не очень мно­го — бла­го пере­за­груз­ка была ещё до нача­ла рабо­че­го дня. Но доста­точ­но для того, что­бы наша мама (фин­ди­рек­тор) напи­са­ла недо­умён­ное:

«Ребя­та, у нас сего­дня вооб­ще-то зар­пла­та начис­ля­ет­ся. Вы там что, реши­ли устро­ить при­клю­че­ние с утра порань­ше?»

А зар­пла­та (и наша мама) — это свя­тое.

Хвост сисад­ми­ну мы, конеч­но, слег­ка под­ров­ня­ли, но дело, увы, уже было сде­ла­но.

Шаб­бат шалом. И пят­нич­ный прод стань­те же кто-нибудь охра­нять. Жела­тель­но, с бейс­боль­ной битой наго­то­ве.