Про военный Линукс

Компьютеры, которые используются для хранения американской государственной информации (военные или, например, компьютеры, принадлежащие Администрации Социального Страхования), должны быть определённым образом защищены (hardened — есть ли более подходящий русский термин для этого слова?) Для этого после установки ОС, к ней необходимо применить дополнительные настройки, как-то: усиленные требования к паролям, методам криптографии, общее снижение поверхности для сетевых атак, и т.д. Так, например, на компьютерах, работающих под управлением ОС Линукс, не должен стоять FTP сервер, должна стоять обязательная проверка контрольной суммы устанавливаемых пакетов, должен быть врублен SELinux, и т.п.

Все эти настройки собраны в документы, называемые Руководства по Техническому Обеспечению Безопасности (Security Technical Implementation Guides, STIG). РТОБов есть туева хуча для всякого разного — от HP UX до роутеров, брандмауэров, и смартфонов. Их, вообще, полезно почитать для общего развития себя как сисадмина. Некоторые требования, конечно, немного перегибают палку (как, вам, например, требование невозможности копипасты пароля — только печатание пароля лапками), но в целом их внедрение способствует улучшению компьютерной безопасности.

РТОБы берут здесь:

https://iase.disa.mil/stigs/Pages/index.aspx

Они распространяются в XML формате, и там же можно сгрузить просмотрщик (STIG Viewer) — глазами XML читать сложно.

Но помимо чтения самих РТОБов ещё интересно смотреть, а для каких устройств они есть, а для каких нет. Потому что если нет РТОБов, то устройства в государственной компьютерной сети использовать невозможно. Что часто говорит о том, что устройства тупо невозможно защитить надлежащим образом или же производитель не спешит делиться техническими деталями с государственными структурами.

Так, например, среди РТОБов для смартфонов, разумеется, есть iOS. Конечно, есть BlackBerry (ещё бы, они первые подсуетились с FIPS), есть Виндофоны. А вот ведроидов — только два: ЛыЖа и Гнусмас. То-есть, все остальные производители (включая, ЧСХ, сам Гугол) государственным требованиям по безопасности — не отвечают:

https://iase.disa.mil/stigs/mobility/Pages/smartphone.aspx

А ещё я, можно сказать, обидился на то, что для Фрюниксов нет РТОБов под мою любимую FreeBSD, и совершенно отсутствует ветвь Debian, включая Ubuntu. Из Линуксов тока Красная Шапка, тока хардкор!!!! Ну ещё есть Оракл Линукс (та же Шапка, только в профиль), и разумеется, есть Солярка и прочий AIX. А вот Убунты или Фряхи — нету как класса. Обидно. Конечно, можно взять РТОБ от Шапки и перекострячить его под Убунту. Процентов 90 вполне можно применить и там и там. Но всё же это лишние телодвижения.

https://iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx

Что не надо подключать к Интернету

Забавная страничка с довольно одиозными примерами. Нашлась панель управления ГЭС, контроль системы кондиционирования воздуха, ещё пара вещей. Но самое забойное, кмк, это лежащая в публичном доступе вебкамера, которая показывает картинку с жетона RSA, используемого для двухфакторной аутентификации. Меня даже не столько безалаберность юзера удивляет, сколько количество приложенных впустую усилий. Ну ладно, не хочешь таскать с собой жетон — не таскай. На любой смартфон можно поставить RSA приложение, обладающее точно такой же функциональностью. И всё, никаких жетонов. А тут человек камеру покупал, затем настраивал, потом подключал к Интернету…

https://www.zdnet.com/pictures/shodan-safari-connected-internet-things/

Крещение огнём

Учу уже несколько месяцев всякую Циску. До этого как-то обходился без этих знаний, ну, не приходилось мне до сих пор управлять VLAN, DMZ, и прочими умными словами.

Позавчера новые знания, мягко говоря, пригодились на всю катушку, когда удачно попавшей молнией вынесло старый брандмауэр 5520 (да, древний). Вподчистую. Хорошо, что новый был уже в стойке, перекинули айпишники, и начали восстанавливать всё заново. Заново — потому что синтакс бекапов конфига 5520 к новой 5525X не подходит от слова “совсем”. Даже правила для NAT-нутых серверов надо по-другому писать, давать разрешения на доступ к ВНУТРЕННЕМУ айпишнику вместо внешнего (непонять, почему так).

Все выходные на работе просидел блин. Научился, конечно, очень многому, но ну его нафиг, так учиться.

Дископад

Примерно в 2012-2013 году все начали переходить на твёрдотельные жёсткие диски. И всё поначалу было круто, и скорость работы, и отсутствие шума. Но вот 6 лет спустя этого массового перехода я стал замечать, что практически все твёрдотельные диски, которые я куда-то устанавливал, дохнут с характерным сроком наработки на отказ около 5 лет. И скажу я вам, что на старорежимных накопителях с магнитной технологией записи я такой ерунды не замечал. У меня есть диски заметно старше 5 лет, которые прекрасно работают до сих пор. А такого же возраста SSD-шников, всё ещё в рабочем состоянии — очень немного осталось. Причём, чисто личный опыт говорит, что от марки это практически не зависит. Больше всего я видел дохлых Гнусмасов, но это потому, что мы их больше всего и покупали. Но и Micron/Crucial тоже дохнут. Вот пока Intel и SanDisk’ов дохлых не видал, но думаю, это вопрос времени. Скорее всего, это ограничения самой технологии — на флеш память невозможно записать материал более определённого числа раз. Насколько понимаю, каждый цикл записи чуточку разрушает слой изолятора, который не даёт затвору МОП-транзистора разряжаться. Постепенно он теряет свои изоляционные свойства, заряд начинает стекать, и отличить 2 от 3 (если память у нас MLC/TLC) становится невозможно. SLC в этом отношении живёт заметно дольше, но попробуйте найти в 2018 году хоть один диск вменяемой ёмкости и не за конские деньги, сделанный по этой технологии.

Но вообще всё равно удивительно. Ведь чтобы убить диск размером 256 гигабайт, на него придётся записать 2.44 петабайта информации (256 гиг записать 10 000 раз). Чтобы это успеть сделать за 5 лет, на него надо писать 58 гигабайт в час или почти 17 мегабайт в секунду, безостановочно. Хм… Хотя… Особенно если учитывать то, что на самом деле чтобы записать данные на флеш, ячейку флеша надо предварительно очистить, т.е. мы записываем по-сути, дважды. На большинстве компьютеров очисткой более неиспользуемых ячеек флеш-памяти занимается технология TRIM, в фоновом режиме, иначе производительности кабздец, см. Write Amplification. В-общем, чорт его знает, может быть, вполне возможно.

Зоопарк Ведроидов — радость хакера

Собственно, о чём уже давно говорят большевики.

Обновления для ОС регулярно выпускают только четыре вендора — сам Гугл (ещё бы), Самсунг, Сони, и Вико (никогда о таком не слышал). Остальные, включая не только Сяоми и прочие Хуевеи, но также довольно известные марки типа Моторолы, Нокии, ЛыЖы — толком не занимаются безопасностью. Даже когда пользователь, который слышал о том, что ОС периодически надо обновлять, проверяет наличие апдейтов, производитель ему радостно врёт, “усё у порядке, шеф!”. А на деле в телефоне навалом дыр:

Статья

Цисководу на заметку

Настройка SSH аутентификации в коммутаторы и маршрутизаторы Cisco по RADIUS:

http://www.ipbalance.com/security/radius/1165-windows-server-2012-as-radius-for-cisco-router-a-switch.html

Чтобы не как при царе горохе, в разных устройствах — разное имя пользователя и пароль. Хотя, конечно, аутентификация по приватному ключу SSH сильно понижает остроту проблемы.

PS: Статья про IOS, конфигурация RADIUS на NX-OS в новых свитчах немного другая, см. соотв. документ:

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/6-x/security/configuration/guide/b_Cisco_Nexus_9000_Series_NX-OS_Security_Configuration_Guide.html

Айфон — друг сисадмина

Как известно, спамеры и прочие нехорошие граждане очень любят вставлять в почтовые сообщения изображения со своих серверов. Это даёт им возможность отслеживать получение сообщений, а также узнавать больше о своей жертве — где он/а живёт, каким компьютером пользуется, где работает.

Забарывается это очень просто — загрузку удалённых изображений надо обрубать нахер. В большинстве десктопных почтовых клиентов так по умолчанию. Но не на мобильных устройствах. На айфоне это делается очень просто — в Settings -> Mail ткнуть одну кнопочку. Я могу взять любой айфон — хоть четвёртый, хоть десятый, и вырубить эту опцию.

А на ведроиде, вестимо, зоопарк, кто в лес, кто по дрова. На некоторых эта опция есть, на некоторых нет. Поэтому описать в общем случае процедуру отключения загрузки удалённых изображений, конечно, можно: “суньте это устройство себе в дымоход и разбирайтесь сами”. Но пользователи, боюсь, не поймут.

Абсолютно то же самое было с шифрованием мобильных устройств. Из-за того, что заранее неизвестно, какого цвета моча ударила в голову конкретному разработчику ведроидного устройства, в общем случае процедура надёжного удаления данных с ведроида описывается фразой “размалывать в пыль с размером частицы не более 2.3mm”.

Поэтому в корпоративном мире я всегда буду против ведроида. Это не корпоративный телефон, его невозможно поддерживать. Единственный способ — стандартизировать вендора. Чтобы у всех были, например, гугельпихли. Но так как пользователи ведроидов являются “свободными личностями”, такой подход неизбежно встречает упорное сопротивление.

Сисадминские будни

Примерно 50% сисадминской работы составляет ожидание того, когда что-нибудь произойдёт — сервер, наконец, просрётся и загрузится, сервиспак закончит устанавливаться, бекап забекапится, и т.д.

Хорошо, когда есть тыщ на 80 разного оборудования, куда можно приткнуть сапоги на время ожидания!

PS: DELL R710, кстати, реально может просираться минут 10 пока начнёт загружаться ОС.

И снова пнём Андроид

С сисадминской точки зрения телефоны с Андроидом — ЗЛО.

Почему? Потому, что если на телефоне была секретная информация, то перед выдачей новому сотруднику этого телефона или при избавлении от устройства вообще, эту информацию нужно стирать по ГОСТу стандартам NIST.

И если мы начнём читать стандарт, то процедура надёжного удаления данных для телефоном типа iPhone проста — ресетишь и в ус не дуешь. Эппл описал стандарт того, как этот алгоритм работает, и он полностью удовлетворил NIST.

А для телефонов на ОС Андроид в документе целый параграф, суть которого сводится к следующему — конкретная имплементация алгоритмов стирания зависит от производителя телефона. Поэтому процедуры надёжного удаления данных с телефонов на ОС Андроид в общем виде не существует. Сказано, что надо звонить производителю и выяснять, поддерживается ли там eMMC Secure Erase, Secure Trim и прочие умные слова.

Поэтому в общем случае, если от телефона на ОС Андроид надо избавиться, и на нём хранились секретные данные, телефон необходимо СЖИГАТЬ (ну или размалывать в пыль с размером зерна не более 2.4mm, как описано в стандарте).

И, кстати, для телефонов на ОС Windows то же самое. Вот уж никогда не подумал бы, что Яббл ближе корпоративному миру, чем Микрософт.