Category: сисадминское

На рабо­те про­во­ди­ли гене­раль­ную убор­ку. Спи­сы­ва­ли вся­кую ста­рую хрень, типа древ­них ноут­бу­ков и про­че­го.

Как обыч­но, обна­ру­жи­ли несколь­ко кор. есов!*

Тоси­ба, сде­ла­но в Япо­нии. До сих пор, поди, рабо­та­ет, если най­ти что-то древ­нее, где этот кон­трол­лер есть.

Заод­но ска­жу ещё, что совре­мен­ные ком­пью­те­ры прак­ти­че­ски во всех обла­стях ста­ли намно­го прак­тич­нее и удоб­нее. И дале­ко не толь­ко в плане дру­же­ствен­но­сти интер­фей­сов. Они и внут­ри ста­ли намно­го про­ще для сбор­ки и ремон­та. Вот возь­мём, напри­мер, разъ­ёмы, про кото­рые толь­ко что напи­сал дру­же­ствен­ный жур­нал. Срав­ним, что было внут­ри AT-шно­го ком­па, из кото­ро­го выта­щи­ли этот дис­ко­вод, чисто по разъ­ёмам?

Нач­нём с пита­ния на AT мате­рин­ской пла­те. Кто их пом­нит? Зна­е­те, что там было пло­хо? Пло­хо там было то, что их было два, и воткнуть их мож­но было в про­из­воль­ном поряд­ке. И если воткнуть не так, то из пла­ты мог вый­ти вол­шеб­ный белый дым, на кото­ром вся элек­тро­ни­ка рабо­та­ет. Запом­нить было, впро­чем, доста­точ­но про­сто — ч0рные про­во­да (зем­ля) — в цен­тре.

А теперь у нас ATX 2.0 — ну, тоже не иде­ал, но его хотя бы воткнуть непра­виль­но без кувал­ды слож­но.

Потом были кабе­ли PATA. Вот где было кон­цен­три­ро­ван­ное зло. 40 кон­так­тов — это дофи­га: они все­гда вхо­ди­ли очень туго (боль­ше кон­так­тов — боль­ше сопро­тив­ле­ние). На более новых пла­тах разъ­ёмы на пла­те хотя бы име­ли соот­вет­ству­ю­щие выре­зы в пласт­мас­се, так что воткнуть кверх нога­ми было слож­но. А на ста­рых надо было вни­ма­тель­но гля­деть, с какой сто­ро­ны тек­сто­лит под одним кон­так­том был мар­ки­ро­ван белой точ­кой — это был кон­такт №1, и крас­ную полос­ку сбо­ку кабе­ля надо было рас­по­ла­гать с этой сто­ро­ны. Ну и про master/slave и про­чее насле­дие про­кля­тых белых экс­плу­а­та­то­ров не забу­дем.

А щас у нас SATA, кра­со­та! Воткнуть его непра­виль­но — ну опять же, толь­ко с кувал­дой. И вдум­чи­во курить пере­мыч­ки на дис­ках тоже не надо. А ещё эти пере­мыч­ки не вез­де рабо­та­ли оди­на­ко­во. У неко­то­рых про­из­во­ди­те­лей (Maxtor и Seagate, ЕМНИП), пере­мы­чек было не одна, а две. Смот­ри, не пере­пу­тай.

А совре­мен­ный M2 это вооб­ще щасье. И пита­ние, и дан­ные — вты­ка­ет­ся всё сра­зу.

Кста­ти, уди­ви­тель­ное дело, но разъ­ём дан­ных для изоб­ра­жён­но­го на кар­тин­ке кор. еса (5.25-дюймовый дис­ко­вод, если кто не зна­ет) был срав­ни­тель­но нор­маль­ным — лег­ко цеп­лял­ся, и имел вырез.

Не забу­дем про разъ­ёмы пита­ния для дис­ков — молекс это зло, блин. И хотя углы у него были ско­ше­ны, и воткнуть его непра­виль­но было непро­сто, но углы у него были ско­ше­ны недо­ста­точ­но — разъ­ём вхо­дил в розет­ку ров­но настоль­ко, что­бы ты решил, что вты­ка­ешь пра­виль­но. Ну, что­бы потом с весё­лым матер­ком осо­знать свою ошиб­ку.

И толь­ко один совре­мен­ный разъ­ём раз за разом вызы­ва­ет у меня при­сту­пы нена­ви­сти — это USB. Всё квад­рат­ное — ЗЛО. Это та же про­бле­ма, что и с молек­сом — лег­ко решить, что вро­де как вты­ка­ешь пра­виль­но, а потом мате­ришь­ся. Поэто­му я очень рад тому, что эта херь посте­пен­но про­па­да­ет и заме­ня­ет­ся USB‑C.

*кор. ес. — опе­чат­ка в инвен­та­ри­за­ци­он­ной опи­си иму­ще­ства звез­до­лё­та «Бас­тлер» из науч­но-фан­та­сти­че­ско­го рас­ска­за Эри­ка Рас­се­ла.

Поми­мо чисто тех­ни­че­ских вопро­сов про спе­ци­аль­ность сисад­ми­на у меня есть вопро­сы чисто орга­ни­за­ци­он­ные.

Напри­мер, «что вы буде­те делать, если столк­нё­тесь с про­бле­мой, реше­ния кото­рой вы не зна­е­те»?

Дурак, кото­рый нико­гда не рабо­тал в орга­ни­за­ции с дру­ги­ми людь­ми отве­ча­ет «нагуг­лю как решать, и сде­лаю!»

Это в корне непра­виль­ный ответ. Пото­му что нагуг­лить-то ты, конеч­но, нагуг­лишь, но у стан­дарт­ной сисад­мин­ской зада­чи обыч­но есть как мини­мум два реше­ния. И не факт, что ты най­дёшь пра­виль­ное, при­ня­тое в дан­ной орга­ни­за­ции. Поэто­му пра­виль­ный ответ — сна­ча­ла спро­сить у дру­гих, есть ли уже при­нят­ное реше­ние у дан­ной зада­чи, или нет. А потом уже иди гуг­лить.

После полу­то­ра меся­цев поис­ков таки нашли, похо­ду, работ­ни­ков.

Млад­ших, прав­да, сисад­ми­нов, не стар­ших. Нор­маль­ные ребя­та, и что самое глав­ное — не выпенд­ри­ва­ют­ся.

Вот не люб­лю я когда люди выпенд­ри­ва­ют­ся, начи­на­ют козы­рять типа зна­ни­я­ми, а нач­нёшь спра­ши­вать дета­ли, так чело­век сра­зу начи­на­ет пла­вать. Когда я чело­ве­ка спра­ши­ваю что-то, а он не зна­ет ответ, я нена­ви­жу, когда люди что-то начи­на­ют при­ду­мы­вать. Про­стое «я не знаю», а ещё луч­ше «я не знаю, но пред­по­ла­гаю что вот так, и знаю, где искать ответ» — это гораз­до луч­ше.

После несколь­ких интер­вью вот при­мер­ный спи­сок неслож­ных вопро­сов, кото­рый я задаю соис­ка­те­лям на пози­цию стар­ших систем­ных адми­ни­стра­то­ров:

Исполь­зо­ва­ли ли вы Active Directory? Какие инстру­мен­ты вы исполь­зо­ва­ли для управ­ле­ни­ем этой служ­бой?
Что такое груп­по­вые поли­ти­ки? Для чего вы их исполь­зо­ва­ли?
Если груп­по­вые поли­ти­ки насле­ду­ют­ся с более верх­не­го OU, какая груп­по­вая поли­ти­ка име­ет наи­выс­ший при­о­ри­тет?
Какой инстру­мент луч­ше все­го исполь­зо­вать для раз­ре­ше­ния кон­флик­тов меж­ду груп­по­вы­ми поли­ти­ка­ми?
В чём раз­ни­ца меж­ду фай­ло­вы­ми систе­ма­ми NTFS и FAT32/exFAT?
В чём раз­ни­ца меж­ду раз­ре­ше­ни­я­ми modify и full control?
Как наи­бо­лее опти­маль­но раз­да­вать раз­ре­ше­ния поль­зо­ва­те­лям на сете­вые ресур­сы?
В чём раз­ни­ца меж­ду груп­па­ми Domain Admins и Enterprise Admins?
Что такое дове­рие меж­ду доме­на­ми? Кто может его создать?
Как хоро­шо вы зна­ко­мы с сетя­ми TCP/IP? Что такое IP адрес?
Сколь­ко доступ­ных адре­сов в сети 192.168.1.0/24?
Поде­ли­те эту сеть на две оди­на­ко­вые под­се­ти и назо­ви­те пер­вый и послед­ний доступ­ный айпи адрес в каж­дой под­се­ти.
В чём раз­ни­ца меж­ду TCP и UDP?
Как про­ис­хо­дит созда­ние TCP сес­сии?
На уда­лён­ном сер­ве­ре вклю­чён RDP, но я не могу к нему при­со­еди­нить­ся, что нуж­но про­ве­рить?
Я не могу при­со­еди­нить­ся к уда­лён­но­му сер­ве­ру SQL Server, какой порт нуж­но открыть на бранд­мау­э­ре?
Что такое VLAN?
Как может про­ис­хо­дить марш­ру­ти­за­ция паке­тов меж­ду раз­ны­ми VLAN?
Что такое port security?
В чём раз­ни­ца меж­ду WEP и WPA?
Что такое 802.1X?
Что такое VPN?
С каки­ми дис­три­бу­ти­ва­ми Linux вы име­ли дело?
Каки­ми коман­да­ми про­ис­хо­дит уста­нов­ка ново­го про­грамм­но­го обес­пе­че­ния в этом дис­три­бу­ти­ве?
Какая инфор­ма­ция хра­нит­ся в /etc/passwd?
Как про­ще все­го управ­лять уда­лён­ным сер­ве­ром? Какое про­грамм­ное обес­пе­че­ние вы для это­го исполь­зо­ва­ли?
В какой лог-файл запи­сы­ва­ют­ся ошиб­ки аутен­ти­фи­ка­ции SSH?
Как настра­и­ва­ет­ся аутен­ти­фи­ка­ция по клю­чу?
Как дать поль­зо­ва­те­лю доступ к базе дан­ных SQL Server? (реаль­но боль­ше ника­ких зна­ний в этой обла­сти от людей я не тре­бую — писать запро­сы это уже есть кого спро­сить)
С каки­ми облач­ны­ми ресур­са­ми Azure вы име­ли дело?
Что такое Infrastructure as Code?
В чём раз­ни­ца меж­ду бил­дом и рели­зом в Azure DevOps?
Если вам нуж­но создать две­сти управ­ля­е­мых облач­ных дис­ков, какой инстру­мент вы буде­те исполь­зо­вать?
Писа­ли ли вы скрип­ты Bash или PowerShell?
Что такое пере­мен­ная? Что такое мас­сив, и какая меж­ду ними раз­ни­ца?
Как в скрип­те повто­рить какое-то дей­ствие пять­де­сят раз?
В чём раз­ни­ца меж­ду IaaS, PaaS и SaaS?
Что такое мно­го­фак­тор­ная аутен­ти­фи­ка­ция? Два раз­ных паро­ля — это двух­фак­тор­ная аутен­ти­фи­ка­ция?

Ну и ещё раз­ное.

Пока даже на поло­ви­ну никто отве­тить не смог… хотя каза­лось бы, не до звёзд дотя­ги­ва­юсь!

Дожи­ли. Мик­ро­софт выка­ти­ли свой дис­три­бу­тив Линуп­са. Назы­ва­ет­ся CBL-Mariner. Брать тут:

https://github.com/microsoft/CBL-Mariner

Толь­ко вот по кой хер они взя­ли за осно­ву Шап­ку, а не Демья­на, непо­нят­но. APT-то покру­че будет, чем RPM.

Сде­ла­ли пол­ный круг, назы­ва­ет­ся. У них уже был в своё вре­мя дис­три­бу­тив Юник­са, назы­вал­ся Зиникс (SCO Unix, слег­ка под­пи­лен­ный).

Это вос­хи­ти­тель­но. Пакет управ­ле­ния паро­ля­ми от Кас­пер­ско­го в каче­стве источ­ни­ка энтро­пии (слу­чай­ных собы­тий) исполь­зо­вал мест­ное вре­мя. В резуль­та­те чего любой сге­не­ри­ро­ван­ный этим гов­ном пароль был неслу­чай­ным, и взла­мы­вал­ся на счёт «три».

Я про­стой ску­бент, и то знаю, что источ­ни­ков энтро­пии надо при­ме­нять несколь­ко, и жела­тель­но исполь­зо­вать чело­ве­ка. Напри­мер, мерять вре­мя меж­ду нажа­ти­я­ми кла­виш. Чело­век, как он ни бей­ся, не может повто­рять собы­тия абсо­лют­но оди­на­ко­во. На веб­сер­ве­ре пре­крас­но мерять вре­мя меж­ду запро­са­ми поль­зо­ва­те­лей. Про­бле­мы воз­ни­ка­ют на нена­гру­жен­ных сер­ве­рах, где внеш­них обра­ще­ний мало. Поэто­му непло­хо иметь в каче­стве источ­ни­ка шума хард­вер­ные источ­ни­ки. Напри­мер, шум полу­про­вод­ни­ков — он кван­то­вый, и даже с самы­ми совре­мен­ны­ми при­бо­ра­ми его невоз­мож­но пред­ска­зать. Крип­то­гра­фи­че­ский сопро­цес­сор (TPM), соб­ствен­но, этим и зани­ма­ет­ся.

Я не думаю, что на Кас­пер­ско­го рабо­та­ют бес­то­ло­чи. Так что это не дурость, это хуже. Это сде­ла­но спе­ци­аль­но, что­бы в ресур­сы, защи­щён­ные паро­ля­ми, сге­не­ри­ро­ван­ны­ми этой про­грам­мой, Кто Надо, мог лег­ко про­ник­нуть.

Источ­ник: https://donjon.ledger.com/kaspersky-password-manager/

Рус­ские в оче­ред­ной раз попы­та­лись нас под­ло­мить. Но наша кон­то­ра вовре­мя увер­ну­лась.

Надо­е­ло уже.

На рабо­те пери­о­ди­че­ски зани­ма­юсь рас­сыл­кой вре­до­нос­ных писем (фишинг). Ну, не насто­я­щих, конеч­но, а тре­ни­ро­воч­ных. Тех­но­ло­гию я раз­ра­бо­тал сам, а идею под­гля­дел на преды­ду­щем месте рабо­ты, где пре­па­ри­ро­вал ком­пью­тер­ные виру­сы.

В прин­ци­пе, ниче­го слож­но­го. Глав­ное — вовре­мя оста­но­вить­ся, и оста­вить поль­зо­ва­те­лям доста­точ­но дета­лей, выгля­дя­щих подо­зри­тель­но, что­бы эти дол­бо­клю­вы всё же хоть чему-то научи­лись. Мно­гие, напри­мер, пола­га­ют­ся на поле From: — хотя в SMTP, кото­рым мы, блин, уже сорок лет поль­зу­ем­ся, хоть и с добав­ле­ни­я­ми, ника­кой про­вер­ки на досто­вер­ность это­го поля нет. Но я всё рав­но пишу там вся­кое hren@nahren.com — так как в 99.99999% слу­ча­ев спа­ма в этом поле имен­но такой подоб­ный мусор.

Рано или позд­но я научу их не пола­гать­ся и на это поле. Когда я толь­ко начал эту про­грам­му, я отлав­ли­вал до 35% поль­зо­ва­те­лей. Со вре­ме­нем я довёл это чис­ло до 15%. И это, без­услов­но, всё рав­но боль­ше, чем надо, но ещё не вечер.

Этот спо­соб — наи­луч­ший спо­соб научить юзве­рей уша­стых не нажи­мать что попа­ло. Кро­ме того, нали­чие подоб­но­го рода тре­ни­ро­воч­ных про­грамм нын­че уже часто не опци­о­наль­но. Кто слы­шал сло­ва NIST-800–171, тот зна­ет.

А вы зна­е­те, кто из поль­зо­ва­те­лей у меня на рабо­те в этом плане самый умный? Вы не пове­ри­те — бухи и рецеп­ци­о­ни­сты. В послед­ний заход, сего­дня, я не отло­вил ни одно­го чело­ве­ка, кото­рых неко­то­рые пре­зри­тель­но назы­ва­ют «офис­ный планк­тон». Зато зна­е­те, кого я отло­вил? Типа умных людей с нехи­лой зар­пла­той — одно­го сисад­ми­на, одно­го погро­ми­ста и аж ДВУХ офи­це­ров по без­опас­но­сти. Ну, и про­да­ва­нов, конеч­но, куда без них.

Вот вам и «офис­ный планк­тон».

Длин­ная, но инте­рес­ная ста­тья (англ) про взлом ком­па­нии RSA, про­из­во­ди­те­ля токе­нов для двух­фак­тор­ной аутен­ти­фи­ка­ции.

By Alexander Klink — Own work by uploader, taken using a Sony alpha 700, Minolta 50mm 2.8 Macro, CC BY 3.0, https://commons.wikimedia.org/w/index.php?curid=5046467

Для тех, кто не вполне в кур­се того, как это рабо­та­ет — циф­ры на бре­ло­ке посто­ян­но меня­ют­ся, и исполь­зу­ют­ся как одно­ра­зо­вый пароль (вто­рой фак­тор) при аутен­ти­фи­ка­ции поль­зо­ва­те­ля. Преду­га­дать, какие циф­ры будут на бре­ло­ке в какой-то опре­де­лён­ный момент вре­ме­ни — невоз­мож­но. Что­бы это сде­лать, надо знать изна­чаль­ный век­тор ини­ци­а­ли­за­ции это­го алго­рит­ма (seed value). В 2011 году китай­ские хаке­ры имен­но это и сде­ла­ли — влез­ли на сер­вер, где хра­ни­лись век­то­ры ини­ци­а­ли­за­ции, и бла­го­по­луч­но их укра­ли. Там обра­зом, они зна­чи­тель­но облег­чи­ли рабо­ту по вле­за­нию в ком­пью­те­ры дру­гих ком­па­ний, защи­щён­ных этим алго­рит­мом, устра­нив вто­рой фак­тор аутен­ти­фи­ка­ции. Так, кря­ке­ры попы­та­лись влезть в Лок­хид Мар­тин. Насколь­ко успеш­но, неиз­вест­но.

Что самое, бля­ха-муха, обид­ное, так что хак начал­ся с про­сто­го как лом, при­ё­ма — фишин­га. Был выслан эксе­лев­ский доку­мент со скрип­том, ата­ку­ю­щим уяз­ви­мость в Adobe Flash. И все эти ваши бранд­мау­э­ры, двух­фак­тор­ные аутен­ти­фи­ка­ции, мно­го­слой­ные защи­ты — пошли лесом. Доко­ле, блин.