Category: сисадминское

Пну-ка я снова Линукс

Вот есть у тебя, напри­мер, маши­на с седь­мым Вин­до­узом. И есть у тебя на ней какой-то уста­нов­лен­ный ком­мер­че­ский софт. Про­ап­грей­дить­ся до десят­ки? Не про­бле­ма. И софт, что харак­тер­но, про­дол­жит рабо­тать.

А вот теперь поме­няй Вин­ду 7 на Убун­ту 16, а деся­тую вин­ду на Убун­ту 18. И полу­чишь кон­скую эту самую на ворот­ник, что­бы шею не нати­ра­ло. Софт будет отва­ли­вать­ся с дики­ми кри­ка­ми по пово­ду нена­хож­де­ния ста­рых вер­сий самых раз­но­об­раз­ных биб­лио­тек (напри­мер, libc или libwebp — это уж смот­ря какой софт).

А на деся­той вин­де софт, рабо­та­ю­щий на XP, до сих пор запу­стит­ся (в боль­шин­стве слу­ча­ев) вполне нор­маль­но.

Линупс бес­пла­тен толь­ко в том слу­чае, если твоё вре­мя ниче­го не сто­ит.

Пост напи­сан по моти­вам «как Плот­ник обнов­лял машин­ку с Apache Guacamole, кото­рую надо из сыр­цов соби­рать, пото­му что в apt-шных репо­зи­та­ри­ях оно древ­нее гов­на мамон­та.»

BlueHost — замумил

Основ­ное зер­ка­ло бло­га я дер­жу на bluehost.com. Задол­ба­ли, иро­ды. PHP 7.0 — един­ствен­ная вер­сия PHP, в кото­рой есть mysqli. Соот­вет­ствен­но, шаг впра­во, шаг вле­во — и Ворд­пресс про­ле­та­ет как фане­ра над горо­дом Пари­жем. Толь­ко вот 7.0 у нас нын­че «deprecated», так что грё­ба­ный хостер каж­дый день пере­клю­ча­ет меня на PHP 7.3, и всё бла­го­по­луч­но рушит­ся. В под­держ­ке все как один, инду­сы, и гово­рят «мы ниче­го не можем сде­лать отсю­да». Нах-нах, сва­ли­ваю при пер­вой же воз­мож­но­сти.

Дурак со справкой

Сдал таки экза­мен на адми­ни­стра­то­ра облач­ных реше­ний Azure. Не ска­жу, что­бы силь­но слож­но, но поучить­ся при­шлось. У меня наи­боль­шие слож­но­сти воз­ник­ли со слож­ны­ми настрой­ка­ми вир­ту­аль­ных сетей — пирин­гом, вир­ту­аль­ны­ми част­ны­ми сетя­ми, шлю­за­ми и проч.

Очень хоро­шее допол­не­ние к резю­ме, одна­ко. При­ят­но.

Netgear

У меня есть некий внут­рен­ний гов­но­спи­сок ком­па­ний, чьи про­дук­ты я не поку­паю из-за преды­ду­ще­го отри­ца­тель­но­го опы­та. В первую оче­редь это, конеч­но, мой люби­мый «Сам­сунг». Пёс его зна­ет, поче­му так — у тол­пы наро­ду всё рабо­та­ет, у меня нет. Но фиг с ним, пого­во­рить я хотел не про «Сам­сунг». Ещё одним эле­мен­том спис­ка была про­дук­ция «Нет­гир». Пото­му что у меня сло­ма­лось два марш­ру­ти­за­то­ра этой фир­мы. При­чём доволь­но оди­на­ко­во сло­ма­лось — при боль­шом коли­че­стве траф­фи­ка оно, похо­ду, тупо пере­гре­ва­лось и вис­ло.

А тут купил я домой где-то око­ло двух лет назад яче­и­стую сеть Netgear Orbi. Сотруд­ни­ка послу­шал, блин. А вот не надо было нико­го слу­шать — своя баш­ка на пле­чах есть. И пона­ча­лу не было у меня к ней ника­ких наре­ка­ний. А за этот месяц, похо­же, репу­та­ция этой ком­па­нии в моём гов­но­спис­ке нако­нец оправ­да­лась. Вис­нет, пида­рас. Дети же дома, и оба мы из дома рабо­та­ем. Как под­на­ля­жем на сеть — и всё накры­ва­ет­ся мед­ным тазом, чинить мож­но толь­ко пере­за­гру­жа­ни­ем марш­ру­ти­за­то­ра.

К тому же были тут недав­но нехо­ро­шие ново­сти про их про­дук­цию:

https://www.tomsguide.com/news/netgear-router-admin-hack
https://www.pcmag.com/news/79-netgear-routers-vulnerable-to-serious-security-flaw

Это, прав­да, не про мою модель, но про­сто пока­зы­ва­ет, как ком­па­ния отно­сит­ся к без­опас­но­сти. И дело даже не в том, что в про­дук­ции есть дыры — они в любой про­дук­ции есть — а в опе­ра­тив­но­сти их устра­не­ния. У той же Цис­ки к тому вре­ме­ни, как опуб­ли­ко­ва­на инфа о дыр­ках, уже обыч­но гото­во исправ­ле­ние.

Чего буду поку­пать на заме­ну — пока не знаю. На Цис­ку у меня бюд­же­та нет — там самая дешё­вая точ­ка досту­па две­сти дол­ла­ров сто­ит. Изу­чаю вопрос. Если не Цис­ку, то, навер­ное, Линк­сис (Цис­ка им вла­де­ет). Ну или Юби­ку­и­ти.

Блютусное

Хозяй­ке на замет­ку. Если ваш лап­топ с деся­той вен­дой вро­де бы под­клю­ча­ет­ся к блю­тус­ным колон­кам, но в пане­ли управ­ле­ни­ем зву­ком эти колон­ки пока­зы­ва­ют­ся как «disconnected» пото­му что индус­ские дол­бо­про­грам­ме­ры в оче­ред­ной раз что-то сло­ма­ли в ОС, попро­буй­те выне­сти колон­ки из систе­мы КЕМ, и доба­вить сле­ду­ю­щий клю­чик в реестр из команд­ной стро­ки:

reg add HKLM\SYSTEM\ControlSet001\Control\Bluetooth\Audio\AVRCP\CT /v DisableAbsoluteVolume /t REG_DWORD /d 1 /f

Види­мо, по умол­ча­нию вен­да чего-то там пыта­ет­ся сде­лать с колон­ка­ми, но наты­ка­ет­ся на непо­ни­ма­ние, и мар­ки­ру­ет колон­ки как «отклю­чен­ные». А этот клю­чик, насколь­ко понял, отклю­ча­ет эту функ­ци­о­наль­ность.

Чего-то мне в послед­нее вре­мя всё боль­ше и боль­ше хочет­ся на Мак. Игр вот под ним толь­ко мало, а для рабо­ты всё, что надо, есть. Мел­ко­мяг­кие даже RDP кли­ент с под­держ­кой смарт-карт (это к вопро­су, поче­му я кате­го­ри­че­ски не могу рабо­тать под ентим вашим недо­ра­зу­ме­ни­ем под име­нем «Линупс», поми­мо мно­гих про­чих при­чин) свар­га­ни­ли для Маков.

FIPS

Даль­ше вся­кое сисад­мин­ское.

FIPS это Феде­раль­ный Стан­дарт по Обра­бот­ке Инфор­ма­ции (Federal Information Processing Standard). Когда гово­рят FIPS, обыч­но под­ра­зу­ме­ва­ют пуб­ли­ка­цию Наци­о­наль­но­го Инсти­ту­та Стан­дар­тов и Тех­но­ло­гий (NIST) за нуме­ром 140–2. В ней опи­сы­ва­ют­ся вся­че­ские стан­дар­ты без­опас­но­сти, вклю­чая алго­рит­мы шиф­ро­ва­ния, гене­ра­ции слу­чай­ных чисел и т.д. В Рос­сии тоже есть ана­лог это­го доку­мен­та, это ГОСТ 54583–2011.

В Вин­де режим сов­ме­сти­мо­сти с FIPS вклю­ча­ет­ся доволь­но про­сто — либо через груп­по­вые поли­ти­ки (если у нас домен) или же через локаль­ные настрой­ки без­опас­но­сти: Local Policies -> Security Options -> Use FIPS Compliant algorithms for encryption, hashing, and signing. Это заста­вит все про­грам­мы, выпол­ня­е­мые на ком­пью­те­ре, исполь­зо­вать толь­ко без­опас­ные алго­рит­мы. Если же про­грам­ма захо­чет исполь­зо­вать небез­опас­ный алго­ритм (напри­мер, алго­ритм хеши­ро­ва­ния MD5), то она выва­лит­ся с ошиб­кой «не шмаг­ла», а в евен­тах оста­нут­ся соот­вет­ству­ю­щие матю­ги от SCHANNEL.

И вот заод­но пнём Линукс. Вер­нее, не сколь­ко сам Линукс, сколь­ко вос­тор­жен­ных линук­со­фа­на­тов. Ска­жи­те мне, дара­гие дру­зиа, как на вашей люби­мой плат­фор­ме вклю­ча­ет­ся режим сов­ме­сти­мо­сти с FIPS? А? Чего мол­чи­те? Ну, тогда отве­чу я: НИКАК. Что­бы полу­чить FIPS-сов­ме­сти­мый Линукс, надо менять ядро на FIPS-сов­ме­сти­мое, а оно (кокой сур­приз!!) — про­да­ёт­ся и обнов­ля­ет­ся стро­го за день­ги. Про­сто вы, дара­гие дру­зиа, ниче­го слож­нее пиш­ма­шин­ки или стан­дарт­но­го LAMP-сер­ве­ра в жиз­ни не дела­ли, поэто­му про­дол­жа­е­те счи­тать, что Линукс — он бес­плат­ный.

Пой­дём далее. Самая боль­шая заса­да с вклю­че­ни­ем FIPS в том, что весь софт, кото­рый не уме­ет в SHA, AES и про­чие умные сло­ва, пере­ста­ёт рабо­тать. И лад­но там если пере­ста­ёт рабо­тать какое-то само­пис­ное изде­лие или ещё какой несе­рьёз­ный софт. А вот у меня вче­ра пере­стал рабо­тать SQL Server. Ага, вот так вот, мля, знай наших! Вер­нее, пере­стал рабо­тать не сам сер­вер баз дан­ных, а сер­вис лин­ко­ва­ния сер­ве­ров. Он же шпа­рит по шиф­ро­ва­но­му про­то­ко­лу меж­ду сер­ван­та­ми. И вот види­мо кон­крет­но эта часть не явля­ет­ся FIPS-сов­ме­сти­мой, так как от сер­ве­ра при­ле­та­ет TCP RST сра­зу после попыт­ки TLS-руко­по­жа­тия.

Будем сего­дня раз­би­рать­ся, не то это DBA чего-то не так након­фи­гу­рял, либо надо писать теле­гу в Microsoft, что­бы FIPS-сов­ме­сти­мый про­дукт стал, нако­нец, FIPS-сов­ме­сти­мым.

Новый Edge

Вполне норм, дол­жен ска­зать. Забав­но, конеч­но, как это Мик­ро­софт вдруг силь­но полю­бил про­дукт с откры­тым исход­ным кодом (ибо новый Edge это пере­ли­цо­ван­ный Chromium). Но хоро­шо хоть, что теперь на вин­де будет по умол­ча­нию вме­ня­е­мый бра­у­зер, а не это недо­ра­зу­ме­ние, нуж­ное толь­ко для того, что­бы ска­чать Фаер­фокс или Хром, кому уж что милее.