Category: сисадминское

Линукс и смарткарты

Пря­мо ска­жем, заста­вить всё это рабо­тать не явля­ет­ся три­ви­аль­ной зада­чей. Сна­ча­ла надо поста­вить несколь­ко паке­тов, демо­на (libpcsclite1, pcscd, pcsc-tools), доба­вить биб­лио­те­ку coolkey или cackey, влезть в глу­бо­кие нед­ра Фаер­фок­са, доба­вить там эту биб­лио­те­ку, настро­ить там же читал­ку смарт­карт, и толь­ко потом мож­но рабо­тать.

В Вин­де же всё, что надо сде­лать — это вста­вить смарт­кар­ту в читал­ку. ВСЁ. Далее откры­ва­ем IE или Хром, на выбор, и впе­рёд (с Фаер­фок­сом при­дёт­ся пово­зить­ся, да, а всё осталь­ное сра­зу рабо­та­ет «иско­роп­ки»).

Вме­ня­е­мый Линукс на деск­то­пе так и оста­ёт­ся недо­сти­жи­мой влаж­ной меч­той.

Давно я линупс не пинал

Выяс­ни­лось, что настрой­ка стан­дарт­ней­шей функ­ции — раз­но­го мас­шта­би­ро­ва­ния интер­фей­са для раз­ных дис­пле­ев — кото­рая была в Вин­де ещё с седь­мой (если не рань­ше) вер­сии, для самых уль­тра­со­вре­мен­ных вер­сий Линуп­са — недо­сти­жи­мый хай­тек. Так что если у тебя один мони­тор 1920×1080, а вто­рой 4k, ты будешь либо как дурак вты­кать на кро­хот­ные икон­ки на 4k, либо как сле­пой, шара­шить­ся по огром­ным кноп­кам на 1920×1080. Из гуя настро­ить раз­ное мас­шта­би­ро­ва­ние невоз­мож­но. Если занять­ся мощ­ным гуг­ле­жом и рас­чех­лить тер­ми­нал, то в неко­то­рых слу­ча­ях настро­ить это дело мож­но (с ого­вор­ка­ми), но это из серии «знать, где взять пра­виль­ный бубен, и сколь­ко раз в него стук­нуть заячьей лап­кой». И всё рав­но рабо­та­ет не все­гда.

Я, конеч­но, пред­ве­щаю реак­цию Насто­я­щих Линук­со­и­дов, кото­рые счи­та­ют, что бубен и лап­ка — это абсо­лют­но нор­маль­но, и что это и есть тот самый линукс­вей. А я ска­жу что таки­ми тем­па­ми нор­маль­но­го Линук­са на деск­то­пах мы, похо­же, не уви­дим нико­гда. Може­те про­дол­жать­ся гор­дить­ся тем, что на вашем линуп­се очень мало виру­сов — ибо он нахер нико­му не нужен.

*дан­ный крик души отно­сит­ся к линуп­сам вет­ви убун­то­по­доб­ных, как на той же шап­ке — не знаю, не про­бо­вал

PS: На Маках, кста­ти, это настра­и­ва­ет­ся абсо­лют­но без про­блем.
PPS: Это, конеч­но, пото­му, что MacOS — это пра­во­слав­ный BSD, а не Б‑гомерзский Крас­но­гла­зый Линукс!!!!!!

Вайфай, тудыть его в качель

Так как в новом доме нет (пока) нор­маль­ной про­вод­ной сети, всё в доме ездит по вай­фаю. Хре­но­во ездит, я заме­чу 🙁 Соеди­не­ние посто­ян­но отва­ли­ва­ет­ся, а уж о том, что­бы фильм в HD посмот­реть, речь вооб­ще не идёт. Ван­гую навод­ки от вся­че­ско­го элек­трон­но­го барах­ла, рабо­та­ю­ще­го око­ло 2.4ГГц — что обыч­но непло­хо лечит­ся пере­хо­дом на 5ГГц. Но у 5ГГц покры­тие раза в три хуже, блин 🙁 Мало того, в 5ГГц уме­ет толь­ко часть мое­го обо­ру­до­ва­ния. Теле­ви­зор и блю­рей уме­ют толь­ко в 2.4.

Мало понят­но, что с этим делать. Не то на вай­фай надо тра­тить немно­го дру­гие день­ги, и вме­сто Линк­си­сей с Асу­са­ми поку­пать Ubiquity и про­чую Цись­ку, не то плю­нуть на всё, и кинуть вез­де мед­ный гига­бит (это рано или позд­но всё рав­но при­дёт­ся сде­лать).

RAID

Вот мож­но взять два мас­си­ва RAID 6 и объ­еди­нить их в зер­ка­ло (RAID 1). Полу­чит­ся RAID 61. Или взять два RAID 5 и сде­лать из них мас­сив без резер­ви­ро­ва­ния (RAID 0). Полу­чит­ся RAID 50.

А мож­но взять мас­сив RAID 6, состо­я­щий из мас­си­вов RAID 6, и объ­еди­нить их в мас­сив RAID 6. Полу­чит­ся RAID 666!

Кста­ти, полу­чен­ная хре­но­ви­на смо­жет пере­жить отказ мини­мум 32 дис­ков (и даже боль­ше, смот­ря как кар­та ляжет) без поте­ри рабо­то­спо­соб­но­сти. Но постро­ить тако­го мон­стра будет сто­ить уж боль­но доро­го, а в пере­счё­те в полез­ный объ­ём на дол­лар — тупо невы­год­но. Есть спо­со­бы луч­ше потра­тить день­ги без поте­ри надёж­но­сти.

LAMP-овое

Дано: сер­вант с PHP7 в режи­ме fcgi
Зада­ча: отклю­чить выпол­не­ние скрип­тов типа PHP в опре­де­лён­ной дирек­то­рии.
Про­бле­ма: php_flag и про­чие пере­мен­ные РНР в .htaccess совать нель­зя, ибо в рожу при­ле­та­ет 500 (fcgi же)
Най­ден­ное реше­ние: в нуж­ной дирек­то­рии создать .user.ini, в кото­ром сде­лать auto_prepend_file = stop.php, а внут­ри stop.php напи­сать при­мер­но вот так:

<?
echo «Пошёл нахер»;
exit();
?>

Но как-то это неизящ­но. engine = off внут­ри .user.ini не сра­ба­ты­ва­ет поче­му-то, блин.

Есть что луч­ше?

Бегом патчиться

Дыр­ка в OpenSSH поз­во­ля­ет кря­ке­ру под­твер­дить нали­чие или отсут­ствие поль­зо­ва­те­ля в систе­ме (пакет в ответ при­хо­дит немно­го раз­ный):

https://www.bleepingcomputer.com/news/security/vulnerability-affects-all-openssh-versions-released-in-the-past-two-decades/

Не то, что­бы прям ШИБКО кри­тич­но (ещё ведь надо знать пароль), но непри­ят­но. Так как понят­но, что у поль­зо­ва­те­ля root пароль будет хрен дога­да­ешь­ся, а вот у поль­зо­ва­те­ля misha — уже могут быть вари­ан­ты.

Вчера файлы двигали-двигали…

Вче­ра в свя­зи с вне­зап­ным паде­жом туе­вой хучи дис­ков (види­мо, мол­нией мас­сив нахло­бу­чи­ло), пере­тас­ки­ва­ли поль­зо­ва­тель­ские дан­ные с одно­го сер­ве­ра на дру­гой.

Самая глав­ная при этом эмо­ция — «ёлки-пал­ки, сколь­ко же вы, сво­ло­чи, хра­ни­те у себя в поль­зо­ва­тель­ских ката­ло­гах вся­кой ХЕРНИ!!»

Сисадминское

С сотруд­ни­ком с удо­воль­стви­ем трях­ну­ли ста­ри­ной. Доста­ва­ли дан­ные со ста­ро­го лап­то­па под 95‑й Вынью. Пря­мо ска­жем, нетри­ви­аль­ная зада­ча ока­за­лась. У лап­то­па, разу­ме­ет­ся, ника­ко­го эзер­не­та, а PCMCIA кар­точ­ки мы уже дав­но повы­ки­ды­ва­ли. Флоп­по­вод был, но у кого сей­час най­дёт­ся 3.5‑дюймовая дис­ке­та? Модем был, Роквелл на 56k. Но с чем его сцеп­лять? Кон­чи­лось тем, что в кон­це кон­цов спа­я­ли нуль-модем­ный кабель под 9‑пиновый серий­ный порт и пере­ки­ну­ли фай­лы через тер­ми­нал, ажно ZModem-ом! Даже уди­ви­тель­но, что на совре­мен­ном ком­пью­те­ре был серий­ный порт. До чего живу­чая тех­но­ло­гия, одна­ко 🙂

Пом­нит­ся, в досов­ских файл-мене­дже­рах типа дос нави­га­то­ра, была воз­мож­ность пере­ки­ды­вать фай­лы по серий­но­му пор­ту (или в нор­тоне была такая функ­ция, щас не вспом­ню). Это было бы удоб­нее, чем ZModem, но боюсь, что под 10 x64 вин­дой дос нави­га­тор бы тупо не запу­стил­ся. А если бы запу­стил­ся, хер бы HAL ему дал доступ напря­мую к серий­но­му пор­ту.

Вдогонку про весёлого пользователя

Люб­лю я ОС Андро­ид. В самом деле, это же всё пра­виль­но и логич­но — при нали­чии кода на теле­фоне при этом не тре­бо­вать шиф­ро­ва­ния SD-кар­точ­ки. Берёшь у любо­го встреч­но­го его теле­фон, выди­ра­ешь из него кар­точ­ку, и смот­ришь на его ню-сел­фи, без вся­ких паро­лей. Кар­точ­ку, вооб­ще-то, зашиф­ро­вать мож­но, но тока никто этим не замо­ра­чи­ва­ет­ся.

Поль­зуй­тесь без­опас­ной ОС Андро­ид!!!

PS: В пре­крас­ном сери­а­ле Mr. Robot эта уяз­ви­мость Вед­ро­и­да пре­крас­но обыг­ра­на, когда один из геро­ев вытас­ки­ва­ет у дру­го­го кар­точ­ку из теле­фо­на, запи­сы­ва­ет на неё тро­я­на (она ведь не шиф­ро­ва­на, всем всё мож­но), и засо­вы­ва­ет кар­точ­ку обрат­но.

Про военный Линукс

Ком­пью­те­ры, кото­рые исполь­зу­ют­ся для хра­не­ния аме­ри­кан­ской госу­дар­ствен­ной инфор­ма­ции (воен­ные или, напри­мер, ком­пью­те­ры, при­над­ле­жа­щие Адми­ни­стра­ции Соци­аль­но­го Стра­хо­ва­ния), долж­ны быть опре­де­лён­ным обра­зом защи­ще­ны (hardened — есть ли более под­хо­дя­щий рус­ский тер­мин для это­го сло­ва?) Для это­го после уста­нов­ки ОС, к ней необ­хо­ди­мо при­ме­нить допол­ни­тель­ные настрой­ки, как-то: уси­лен­ные тре­бо­ва­ния к паро­лям, мето­дам крип­то­гра­фии, общее сни­же­ние поверх­но­сти для сете­вых атак, и т.д. Так, напри­мер, на ком­пью­те­рах, рабо­та­ю­щих под управ­ле­ни­ем ОС Линукс, не дол­жен сто­ять FTP сер­вер, долж­на сто­ять обя­за­тель­ная про­вер­ка кон­троль­ной сум­мы уста­нав­ли­ва­е­мых паке­тов, дол­жен быть вруб­лен SELinux, и т.п.

Все эти настрой­ки собра­ны в доку­мен­ты, назы­ва­е­мые Руко­вод­ства по Тех­ни­че­ско­му Обес­пе­че­нию Без­опас­но­сти (Security Technical Implementation Guides, STIG). РТО­Бов есть туе­ва хуча для вся­ко­го раз­но­го — от HP UX до роу­те­ров, бранд­мау­э­ров, и смарт­фо­нов. Их, вооб­ще, полез­но почи­тать для обще­го раз­ви­тия себя как сисад­ми­на. Неко­то­рые тре­бо­ва­ния, конеч­но, немно­го пере­ги­ба­ют пал­ку (как, вам, напри­мер, тре­бо­ва­ние невоз­мож­но­сти копи­пас­ты паро­ля — толь­ко печа­та­ние паро­ля лап­ка­ми), но в целом их внед­ре­ние спо­соб­ству­ет улуч­ше­нию ком­пью­тер­ной без­опас­но­сти.

РТО­Бы берут здесь:

https://iase.disa.mil/stigs/Pages/index.aspx

Они рас­про­стра­ня­ют­ся в XML фор­ма­те, и там же мож­но сгру­зить про­смотр­щик (STIG Viewer) — гла­за­ми XML читать слож­но.

Но поми­мо чте­ния самих РТО­Бов ещё инте­рес­но смот­реть, а для каких устройств они есть, а для каких нет. Пото­му что если нет РТО­Бов, то устрой­ства в госу­дар­ствен­ной ком­пью­тер­ной сети исполь­зо­вать невоз­мож­но. Что часто гово­рит о том, что устрой­ства тупо невоз­мож­но защи­тить над­ле­жа­щим обра­зом или же про­из­во­ди­тель не спе­шит делить­ся тех­ни­че­ски­ми дета­ля­ми с госу­дар­ствен­ны­ми струк­ту­ра­ми.

Так, напри­мер, сре­ди РТО­Бов для смарт­фо­нов, разу­ме­ет­ся, есть iOS. Конеч­но, есть BlackBerry (ещё бы, они пер­вые под­су­е­ти­лись с FIPS), есть Вин­до­фо­ны. А вот вед­ро­и­дов — толь­ко два: ЛыЖа и Гну­смас. То-есть, все осталь­ные про­из­во­ди­те­ли (вклю­чая, ЧСХ, сам Гугол) госу­дар­ствен­ным тре­бо­ва­ни­ям по без­опас­но­сти — не отве­ча­ют:

https://iase.disa.mil/stigs/mobility/Pages/smartphone.aspx

А ещё я, мож­но ска­зать, оби­дил­ся на то, что для Фрю­ник­сов нет РТО­Бов под мою люби­мую FreeBSD, и совер­шен­но отсут­ству­ет ветвь Debian, вклю­чая Ubuntu. Из Линук­сов тока Крас­ная Шап­ка, тока хард­кор!!!! Ну ещё есть Оракл Линукс (та же Шап­ка, толь­ко в про­филь), и разу­ме­ет­ся, есть Соляр­ка и про­чий AIX. А вот Убун­ты или Фря­хи — нету как клас­са. Обид­но. Конеч­но, мож­но взять РТОБ от Шап­ки и пере­ко­стря­чить его под Убун­ту. Про­цен­тов 90 вполне мож­но при­ме­нить и там и там. Но всё же это лиш­ние тело­дви­же­ния.

https://iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx