Category: сисадминское

Так как в новом доме нет (пока) нор­маль­ной про­вод­ной сети, всё в доме ездит по вай­фаю. Хре­но­во ездит, я заме­чу 🙁 Соеди­не­ние посто­ян­но отва­ли­ва­ет­ся, а уж о том, что­бы фильм в HD посмот­реть, речь вооб­ще не идёт. Ван­гую навод­ки от вся­че­ско­го элек­трон­но­го барах­ла, рабо­та­ю­ще­го око­ло 2.4ГГц — что обыч­но непло­хо лечит­ся пере­хо­дом на 5ГГц. Но у 5ГГц покры­тие раза в три хуже, блин 🙁 Мало того, в 5ГГц уме­ет толь­ко часть мое­го обо­ру­до­ва­ния. Теле­ви­зор и блю­рей уме­ют толь­ко в 2.4.

Мало понят­но, что с этим делать. Не то на вай­фай надо тра­тить немно­го дру­гие день­ги, и вме­сто Линк­си­сей с Асу­са­ми поку­пать Ubiquity и про­чую Цись­ку, не то плю­нуть на всё, и кинуть вез­де мед­ный гига­бит (это рано или позд­но всё рав­но при­дёт­ся сде­лать).

Вот мож­но взять два мас­си­ва RAID 6 и объ­еди­нить их в зер­ка­ло (RAID 1). Полу­чит­ся RAID 61. Или взять два RAID 5 и сде­лать из них мас­сив без резер­ви­ро­ва­ния (RAID 0). Полу­чит­ся RAID 50.

А мож­но взять мас­сив RAID 6, состо­я­щий из мас­си­вов RAID 6, и объ­еди­нить их в мас­сив RAID 6. Полу­чит­ся RAID 666!

Кста­ти, полу­чен­ная хре­но­ви­на смо­жет пере­жить отказ мини­мум 32 дис­ков (и даже боль­ше, смот­ря как кар­та ляжет) без поте­ри рабо­то­спо­соб­но­сти. Но постро­ить тако­го мон­стра будет сто­ить уж боль­но доро­го, а в пере­счё­те в полез­ный объ­ём на дол­лар — тупо невы­год­но. Есть спо­со­бы луч­ше потра­тить день­ги без поте­ри надёж­но­сти.

Дано: сер­вант с PHP7 в режи­ме fcgi
Зада­ча: отклю­чить выпол­не­ние скрип­тов типа PHP в опре­де­лён­ной дирек­то­рии.
Про­бле­ма: php_flag и про­чие пере­мен­ные РНР в .htaccess совать нель­зя, ибо в рожу при­ле­та­ет 500 (fcgi же)
Най­ден­ное реше­ние: в нуж­ной дирек­то­рии создать .user.ini, в кото­ром сде­лать auto_prepend_file = stop.php, а внут­ри stop.php напи­сать при­мер­но вот так:

<?
echo «Пошёл нахер»;
exit();
?>

Но как-то это неизящ­но. engine = off внут­ри .user.ini не сра­ба­ты­ва­ет поче­му-то, блин.

Есть что луч­ше?

Дыр­ка в OpenSSH поз­во­ля­ет кря­ке­ру под­твер­дить нали­чие или отсут­ствие поль­зо­ва­те­ля в систе­ме (пакет в ответ при­хо­дит немно­го раз­ный):

https://www.bleepingcomputer.com/news/security/vulnerability-affects-all-openssh-versions-released-in-the-past-two-decades/

Не то, что­бы прям ШИБКО кри­тич­но (ещё ведь надо знать пароль), но непри­ят­но. Так как понят­но, что у поль­зо­ва­те­ля root пароль будет хрен дога­да­ешь­ся, а вот у поль­зо­ва­те­ля misha — уже могут быть вари­ан­ты.

Вче­ра в свя­зи с вне­зап­ным паде­жом туе­вой хучи дис­ков (види­мо, мол­нией мас­сив нахло­бу­чи­ло), пере­тас­ки­ва­ли поль­зо­ва­тель­ские дан­ные с одно­го сер­ве­ра на дру­гой.

Самая глав­ная при этом эмо­ция — «ёлки-пал­ки, сколь­ко же вы, сво­ло­чи, хра­ни­те у себя в поль­зо­ва­тель­ских ката­ло­гах вся­кой ХЕРНИ!!»

Люб­лю я ОС Андро­ид. В самом деле, это же всё пра­виль­но и логич­но — при нали­чии кода на теле­фоне при этом не тре­бо­вать шиф­ро­ва­ния SD-кар­точ­ки. Берёшь у любо­го встреч­но­го его теле­фон, выди­ра­ешь из него кар­точ­ку, и смот­ришь на его ню-сел­фи, без вся­ких паро­лей. Кар­точ­ку, вооб­ще-то, зашиф­ро­вать мож­но, но тока никто этим не замо­ра­чи­ва­ет­ся.

Поль­зуй­тесь без­опас­ной ОС Андро­ид!!!

PS: В пре­крас­ном сери­а­ле Mr. Robot эта уяз­ви­мость Вед­ро­и­да пре­крас­но обыг­ра­на, когда один из геро­ев вытас­ки­ва­ет у дру­го­го кар­точ­ку из теле­фо­на, запи­сы­ва­ет на неё тро­я­на (она ведь не шиф­ро­ва­на, всем всё мож­но), и засо­вы­ва­ет кар­точ­ку обрат­но.

Ком­пью­те­ры, кото­рые исполь­зу­ют­ся для хра­не­ния аме­ри­кан­ской госу­дар­ствен­ной инфор­ма­ции (воен­ные или, напри­мер, ком­пью­те­ры, при­над­ле­жа­щие Адми­ни­стра­ции Соци­аль­но­го Стра­хо­ва­ния), долж­ны быть опре­де­лён­ным обра­зом защи­ще­ны (hardened — есть ли более под­хо­дя­щий рус­ский тер­мин для это­го сло­ва?) Для это­го после уста­нов­ки ОС, к ней необ­хо­ди­мо при­ме­нить допол­ни­тель­ные настрой­ки, как-то: уси­лен­ные тре­бо­ва­ния к паро­лям, мето­дам крип­то­гра­фии, общее сни­же­ние поверх­но­сти для сете­вых атак, и т.д. Так, напри­мер, на ком­пью­те­рах, рабо­та­ю­щих под управ­ле­ни­ем ОС Линукс, не дол­жен сто­ять FTP сер­вер, долж­на сто­ять обя­за­тель­ная про­вер­ка кон­троль­ной сум­мы уста­нав­ли­ва­е­мых паке­тов, дол­жен быть вруб­лен SELinux, и т.п.

Все эти настрой­ки собра­ны в доку­мен­ты, назы­ва­е­мые Руко­вод­ства по Тех­ни­че­ско­му Обес­пе­че­нию Без­опас­но­сти (Security Technical Implementation Guides, STIG). РТО­Бов есть туе­ва хуча для вся­ко­го раз­но­го — от HP UX до роу­те­ров, бранд­мау­э­ров, и смарт­фо­нов. Их, вооб­ще, полез­но почи­тать для обще­го раз­ви­тия себя как сисад­ми­на. Неко­то­рые тре­бо­ва­ния, конеч­но, немно­го пере­ги­ба­ют пал­ку (как, вам, напри­мер, тре­бо­ва­ние невоз­мож­но­сти копи­пас­ты паро­ля — толь­ко печа­та­ние паро­ля лап­ка­ми), но в целом их внед­ре­ние спо­соб­ству­ет улуч­ше­нию ком­пью­тер­ной без­опас­но­сти.

РТО­Бы берут здесь:

https://iase.disa.mil/stigs/Pages/index.aspx

Они рас­про­стра­ня­ют­ся в XML фор­ма­те, и там же мож­но сгру­зить про­смотр­щик (STIG Viewer) — гла­за­ми XML читать слож­но.

Но поми­мо чте­ния самих РТО­Бов ещё инте­рес­но смот­реть, а для каких устройств они есть, а для каких нет. Пото­му что если нет РТО­Бов, то устрой­ства в госу­дар­ствен­ной ком­пью­тер­ной сети исполь­зо­вать невоз­мож­но. Что часто гово­рит о том, что устрой­ства тупо невоз­мож­но защи­тить над­ле­жа­щим обра­зом или же про­из­во­ди­тель не спе­шит делить­ся тех­ни­че­ски­ми дета­ля­ми с госу­дар­ствен­ны­ми струк­ту­ра­ми.

Так, напри­мер, сре­ди РТО­Бов для смарт­фо­нов, разу­ме­ет­ся, есть iOS. Конеч­но, есть BlackBerry (ещё бы, они пер­вые под­су­е­ти­лись с FIPS), есть Вин­до­фо­ны. А вот вед­ро­и­дов — толь­ко два: ЛыЖа и Гну­смас. То-есть, все осталь­ные про­из­во­ди­те­ли (вклю­чая, ЧСХ, сам Гугол) госу­дар­ствен­ным тре­бо­ва­ни­ям по без­опас­но­сти — не отве­ча­ют:

https://iase.disa.mil/stigs/mobility/Pages/smartphone.aspx

А ещё я, мож­но ска­зать, оби­дил­ся на то, что для Фрю­ник­сов нет РТО­Бов под мою люби­мую FreeBSD, и совер­шен­но отсут­ству­ет ветвь Debian, вклю­чая Ubuntu. Из Линук­сов тока Крас­ная Шап­ка, тока хард­кор!!!! Ну ещё есть Оракл Линукс (та же Шап­ка, толь­ко в про­филь), и разу­ме­ет­ся, есть Соляр­ка и про­чий AIX. А вот Убун­ты или Фря­хи — нету как клас­са. Обид­но. Конеч­но, мож­но взять РТОБ от Шап­ки и пере­ко­стря­чить его под Убун­ту. Про­цен­тов 90 вполне мож­но при­ме­нить и там и там. Но всё же это лиш­ние тело­дви­же­ния.

https://iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx

Забав­ная стра­нич­ка с доволь­но оди­оз­ны­ми при­ме­ра­ми. Нашлась панель управ­ле­ния ГЭС, кон­троль систе­мы кон­ди­ци­о­ни­ро­ва­ния воз­ду­ха, ещё пара вещей. Но самое забой­ное, кмк, это лежа­щая в пуб­лич­ном досту­пе веб­ка­ме­ра, кото­рая пока­зы­ва­ет кар­тин­ку с жето­на RSA, исполь­зу­е­мо­го для двух­фак­тор­ной аутен­ти­фи­ка­ции. Меня даже не столь­ко без­ала­бер­ность юзе­ра удив­ля­ет, сколь­ко коли­че­ство при­ло­жен­ных впу­стую уси­лий. Ну лад­но, не хочешь тас­кать с собой жетон — не тас­кай. На любой смарт­фон мож­но поста­вить RSA при­ло­же­ние, обла­да­ю­щее точ­но такой же функ­ци­о­наль­но­стью. И всё, ника­ких жето­нов. А тут чело­век каме­ру поку­пал, затем настра­и­вал, потом под­клю­чал к Интер­не­ту…

https://www.zdnet.com/pictures/shodan-safari-connected-internet-things/

Учу уже несколь­ко меся­цев вся­кую Цис­ку. До это­го как-то обхо­дил­ся без этих зна­ний, ну, не при­хо­ди­лось мне до сих пор управ­лять VLAN, DMZ, и про­чи­ми умны­ми сло­ва­ми.

Поза­вче­ра новые зна­ния, мяг­ко гово­ря, при­го­ди­лись на всю катуш­ку, когда удач­но попав­шей мол­нией вынес­ло ста­рый бранд­мау­эр 5520 (да, древ­ний). Впод­чи­стую. Хоро­шо, что новый был уже в стой­ке, пере­ки­ну­ли айпиш­ни­ки, и нача­ли вос­ста­нав­ли­вать всё зано­во. Зано­во — пото­му что син­такс бека­пов кон­фи­га 5520 к новой 5525X не под­хо­дит от сло­ва «совсем». Даже пра­ви­ла для NAT-нутых сер­ве­ров надо по-дру­го­му писать, давать раз­ре­ше­ния на доступ к ВНУТРЕННЕМУ айпиш­ни­ку вме­сто внеш­не­го (непо­нять, поче­му так).

Все выход­ные на рабо­те про­си­дел блин. Научил­ся, конеч­но, очень мно­го­му, но ну его нафиг, так учить­ся.