Category: сисадминское

Ну что, бра­тья сисад­ми­ны, вас, слу­чай­но, не заце­пи­ло этой пре­крас­ной дыре­нью в Exchange? Нас таки заце­пи­ло. Но, прав­да, по каса­тель­ной. Суть экп­лой­та в том, что хакер может себя авто­ри­зо­вать как один из систем­ных поч­то­вых ящи­ков, напри­мер, Discovery Mailbox. Затем он полез ломать ящик administrator. Имен­но на этом месте у китай­ских това­ри­щей вышел облом, так как учёт­ная запись Administrator у нас пере­име­но­ва­на, как и поло­же­но по РТО­Бам.
Но очень непри­ят­но думать о том, что спас­ла нас прак­ти­че­ски полу­слу­чай­ность. 5 минут, потра­чен­ные на допол­ни­тель­ный соци­аль­ный инжи­не­ринг, вполне мог­ли бы выявить назва­ния учёт­ных запи­сей с пред­по­ло­жи­тель­но боль­ши­ми при­ви­ле­ги­я­ми.

Как я уже писал, CentOS сдох. И хрен бы с ним.

Но надо отдать долж­ное шапош­ни­кам, поль­зо­ва­те­лей без тру­сов на мороз они не всё же не выго­ня­ют.

В неболь­ших коли­че­ствах лицен­зии на RHEL теперь раз­да­ют­ся бес­плат­но.

Хоро­шо сде­ла­ли.

UPDATE: Я эту запись уже вто­рой день пыта­юсь в ЖЖ опуб­ли­ко­вать. Изви­ня­юсь за спам. Попро­бу­ем ещё разик.

И хер бы с ним. Нико­гда эту грё­ба­ную Шап­ку и про­из­вод­ные не любил. Если бы не YellowDog, пода­рив­ший Шап­ке yum, уста­нов­ка соф­та на Шап­ке до сих пор была бы извра­щён­ным сек­сом с зако­ул­ка­ми, пото­му что rpm не может в авто­ма­ти­че­скую уста­нов­ку необ­хо­ди­мых сопут­ству­ю­щих биб­лио­тек.

Уточ­ню. CentOS не совсем «всё», про­сто рань­ше это был, по сути, слег­ка пере­де­лан­ный RHEL, а теперь это будет назы­ва­ет­ся CentOS Stream, и он будет являть­ся не пере­де­лан­ным RHEL, а его бета-вер­си­ей. Что авто­ма­ти­че­ски озна­ча­ет, что в про­из­вод­ство его ста­вить нель­зя.

Так что с точ­ки зре­ния сисад­ми­нов CentOS — таки «всё»!

Точ­нее, в OpenSSL паке­те.

Бегом обнов­лять­ся до вер­сии 1.1.1i

Вот есть у тебя, напри­мер, маши­на с седь­мым Вин­до­узом. И есть у тебя на ней какой-то уста­нов­лен­ный ком­мер­че­ский софт. Про­ап­грей­дить­ся до десят­ки? Не про­бле­ма. И софт, что харак­тер­но, про­дол­жит рабо­тать.

А вот теперь поме­няй Вин­ду 7 на Убун­ту 16, а деся­тую вин­ду на Убун­ту 18. И полу­чишь кон­скую эту самую на ворот­ник, что­бы шею не нати­ра­ло. Софт будет отва­ли­вать­ся с дики­ми кри­ка­ми по пово­ду нена­хож­де­ния ста­рых вер­сий самых раз­но­об­раз­ных биб­лио­тек (напри­мер, libc или libwebp — это уж смот­ря какой софт).

А на деся­той вин­де софт, рабо­та­ю­щий на XP, до сих пор запу­стит­ся (в боль­шин­стве слу­ча­ев) вполне нор­маль­но.

Линупс бес­пла­тен толь­ко в том слу­чае, если твоё вре­мя ниче­го не сто­ит.

Пост напи­сан по моти­вам «как Плот­ник обнов­лял машин­ку с Apache Guacamole, кото­рую надо из сыр­цов соби­рать, пото­му что в apt-шных репо­зи­та­ри­ях оно древ­нее гов­на мамон­та.»

Основ­ное зер­ка­ло бло­га я дер­жу на bluehost.com. Задол­ба­ли, иро­ды. PHP 7.0 — един­ствен­ная вер­сия PHP, в кото­рой есть mysqli. Соот­вет­ствен­но, шаг впра­во, шаг вле­во — и Ворд­пресс про­ле­та­ет как фане­ра над горо­дом Пари­жем. Толь­ко вот 7.0 у нас нын­че «deprecated», так что грё­ба­ный хостер каж­дый день пере­клю­ча­ет меня на PHP 7.3, и всё бла­го­по­луч­но рушит­ся. В под­держ­ке все как один, инду­сы, и гово­рят «мы ниче­го не можем сде­лать отсю­да». Нах-нах, сва­ли­ваю при пер­вой же воз­мож­но­сти.

Сдал таки экза­мен на адми­ни­стра­то­ра облач­ных реше­ний Azure. Не ска­жу, что­бы силь­но слож­но, но поучить­ся при­шлось. У меня наи­боль­шие слож­но­сти воз­ник­ли со слож­ны­ми настрой­ка­ми вир­ту­аль­ных сетей — пирин­гом, вир­ту­аль­ны­ми част­ны­ми сетя­ми, шлю­за­ми и проч.

Очень хоро­шее допол­не­ние к резю­ме, одна­ко. При­ят­но.

У меня есть некий внут­рен­ний гов­но­спи­сок ком­па­ний, чьи про­дук­ты я не поку­паю из-за преды­ду­ще­го отри­ца­тель­но­го опы­та. В первую оче­редь это, конеч­но, мой люби­мый «Сам­сунг». Пёс его зна­ет, поче­му так — у тол­пы наро­ду всё рабо­та­ет, у меня нет. Но фиг с ним, пого­во­рить я хотел не про «Сам­сунг». Ещё одним эле­мен­том спис­ка была про­дук­ция «Нет­гир». Пото­му что у меня сло­ма­лось два марш­ру­ти­за­то­ра этой фир­мы. При­чём доволь­но оди­на­ко­во сло­ма­лось — при боль­шом коли­че­стве траф­фи­ка оно, похо­ду, тупо пере­гре­ва­лось и вис­ло.

А тут купил я домой где-то око­ло двух лет назад яче­и­стую сеть Netgear Orbi. Сотруд­ни­ка послу­шал, блин. А вот не надо было нико­го слу­шать — своя баш­ка на пле­чах есть. И пона­ча­лу не было у меня к ней ника­ких наре­ка­ний. А за этот месяц, похо­же, репу­та­ция этой ком­па­нии в моём гов­но­спис­ке нако­нец оправ­да­лась. Вис­нет, пида­рас. Дети же дома, и оба мы из дома рабо­та­ем. Как под­на­ля­жем на сеть — и всё накры­ва­ет­ся мед­ным тазом, чинить мож­но толь­ко пере­за­гру­жа­ни­ем марш­ру­ти­за­то­ра.

К тому же были тут недав­но нехо­ро­шие ново­сти про их про­дук­цию:

https://www.tomsguide.com/news/netgear-router-admin-hack
https://www.pcmag.com/news/79-netgear-routers-vulnerable-to-serious-security-flaw

Это, прав­да, не про мою модель, но про­сто пока­зы­ва­ет, как ком­па­ния отно­сит­ся к без­опас­но­сти. И дело даже не в том, что в про­дук­ции есть дыры — они в любой про­дук­ции есть — а в опе­ра­тив­но­сти их устра­не­ния. У той же Цис­ки к тому вре­ме­ни, как опуб­ли­ко­ва­на инфа о дыр­ках, уже обыч­но гото­во исправ­ле­ние.

Чего буду поку­пать на заме­ну — пока не знаю. На Цис­ку у меня бюд­же­та нет — там самая дешё­вая точ­ка досту­па две­сти дол­ла­ров сто­ит. Изу­чаю вопрос. Если не Цис­ку, то, навер­ное, Линк­сис (Цис­ка им вла­де­ет). Ну или Юби­ку­и­ти.