Category: сисадминское

Дископад

При­мер­но в 2012–2013 году все нача­ли пере­хо­дить на твёр­до­тель­ные жёст­кие дис­ки. И всё пона­ча­лу было кру­то, и ско­рость рабо­ты, и отсут­ствие шума. Но вот 6 лет спу­стя это­го мас­со­во­го пере­хо­да я стал заме­чать, что прак­ти­че­ски все твёр­до­тель­ные дис­ки, кото­рые я куда-то уста­нав­ли­вал, дох­нут с харак­тер­ным сро­ком нара­бот­ки на отказ око­ло 5 лет. И ска­жу я вам, что на ста­ро­ре­жим­ных нако­пи­те­лях с маг­нит­ной тех­но­ло­ги­ей запи­си я такой ерун­ды не заме­чал. У меня есть дис­ки замет­но стар­ше 5 лет, кото­рые пре­крас­но рабо­та­ют до сих пор. А тако­го же воз­рас­та SSD-шни­ков, всё ещё в рабо­чем состо­я­нии — очень немно­го оста­лось. При­чём, чисто лич­ный опыт гово­рит, что от мар­ки это прак­ти­че­ски не зави­сит. Боль­ше все­го я видел дох­лых Гну­сма­сов, но это пото­му, что мы их боль­ше все­го и поку­па­ли. Но и Micron/Crucial тоже дох­нут. Вот пока Intel и SanDisk’ов дох­лых не видал, но думаю, это вопрос вре­ме­ни. Ско­рее все­го, это огра­ни­че­ния самой тех­но­ло­гии — на флеш память невоз­мож­но запи­сать мате­ри­ал более опре­де­лён­но­го чис­ла раз. Насколь­ко пони­маю, каж­дый цикл запи­си чуточ­ку раз­ру­ша­ет слой изо­ля­то­ра, кото­рый не даёт затво­ру МОП-тран­зи­сто­ра раз­ря­жать­ся. Посте­пен­но он теря­ет свои изо­ля­ци­он­ные свой­ства, заряд начи­на­ет сте­кать, и отли­чить 2 от 3 (если память у нас MLC/TLC) ста­но­вит­ся невоз­мож­но. SLC в этом отно­ше­нии живёт замет­но доль­ше, но попро­буй­те най­ти в 2018 году хоть один диск вме­ня­е­мой ёмко­сти и не за кон­ские день­ги, сде­лан­ный по этой тех­но­ло­гии.

Но вооб­ще всё рав­но уди­ви­тель­но. Ведь что­бы убить диск раз­ме­ром 256 гига­байт, на него при­дёт­ся запи­сать 2.44 пета­бай­та инфор­ма­ции (256 гиг запи­сать 10 000 раз). Что­бы это успеть сде­лать за 5 лет, на него надо писать 58 гига­байт в час или почти 17 мега­байт в секун­ду, без­оста­но­воч­но. Хм… Хотя… Осо­бен­но если учи­ты­вать то, что на самом деле что­бы запи­сать дан­ные на флеш, ячей­ку фле­ша надо пред­ва­ри­тель­но очи­стить, т.е. мы запи­сы­ва­ем по-сути, два­жды. На боль­шин­стве ком­пью­те­ров очист­кой более неис­поль­зу­е­мых яче­ек флеш-памя­ти зани­ма­ет­ся тех­но­ло­гия TRIM, в фоно­вом режи­ме, ина­че про­из­во­ди­тель­но­сти каб­здец, см. Write Amplification. В‑общем, чорт его зна­ет, может быть, вполне воз­мож­но.

Зоопарк Ведроидов — радость хакера

Соб­ствен­но, о чём уже дав­но гово­рят боль­ше­ви­ки.

Обнов­ле­ния для ОС регу­ляр­но выпус­ка­ют толь­ко четы­ре вен­до­ра — сам Гугл (ещё бы), Сам­сунг, Сони, и Вико (нико­гда о таком не слы­шал). Осталь­ные, вклю­чая не толь­ко Сяо­ми и про­чие Хуе­веи, но так­же доволь­но извест­ные мар­ки типа Мото­ро­лы, Нокии, ЛыЖы — тол­ком не зани­ма­ют­ся без­опас­но­стью. Даже когда поль­зо­ва­тель, кото­рый слы­шал о том, что ОС пери­о­ди­че­ски надо обнов­лять, про­ве­ря­ет нали­чие апдей­тов, про­из­во­ди­тель ему радост­но врёт, «усё у поряд­ке, шеф!». А на деле в теле­фоне нава­лом дыр:

Ста­тья

Цисководу на заметку

Настрой­ка SSH аутен­ти­фи­ка­ции в ком­му­та­то­ры и марш­ру­ти­за­то­ры Cisco по RADIUS:

http://www.ipbalance.com/security/radius/1165-windows-server-2012-as-radius-for-cisco-router-a-switch.html

Что­бы не как при царе горо­хе, в раз­ных устрой­ствах — раз­ное имя поль­зо­ва­те­ля и пароль. Хотя, конеч­но, аутен­ти­фи­ка­ция по при­ват­но­му клю­чу SSH силь­но пони­жа­ет остро­ту про­бле­мы.

PS: Ста­тья про IOS, кон­фи­гу­ра­ция RADIUS на NX-OS в новых свит­чах немно­го дру­гая, см. соотв. доку­мент:

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/6‑x/security/configuration/guide/b_Cisco_Nexus_9000_Series_NX-OS_Security_Configuration_Guide.html

Айфон — друг сисадмина

Как извест­но, спа­ме­ры и про­чие нехо­ро­шие граж­дане очень любят встав­лять в поч­то­вые сооб­ще­ния изоб­ра­же­ния со сво­их сер­ве­ров. Это даёт им воз­мож­ность отсле­жи­вать полу­че­ние сооб­ще­ний, а так­же узна­вать боль­ше о сво­ей жерт­ве — где он/а живёт, каким ком­пью­те­ром поль­зу­ет­ся, где рабо­та­ет.

Заба­ры­ва­ет­ся это очень про­сто — загруз­ку уда­лён­ных изоб­ра­же­ний надо обру­бать нахер. В боль­шин­стве деск­топ­ных поч­то­вых кли­ен­тов так по умол­ча­нию. Но не на мобиль­ных устрой­ствах. На айфоне это дела­ет­ся очень про­сто — в Settings -> Mail ткнуть одну кно­поч­ку. Я могу взять любой айфон — хоть чет­вёр­тый, хоть деся­тый, и выру­бить эту опцию.

А на вед­ро­и­де, вести­мо, зоо­парк, кто в лес, кто по дро­ва. На неко­то­рых эта опция есть, на неко­то­рых нет. Поэто­му опи­сать в общем слу­чае про­це­ду­ру отклю­че­ния загруз­ки уда­лён­ных изоб­ра­же­ний, конеч­но, мож­но: «сунь­те это устрой­ство себе в дымо­ход и раз­би­рай­тесь сами». Но поль­зо­ва­те­ли, боюсь, не пой­мут.

Абсо­лют­но то же самое было с шиф­ро­ва­ни­ем мобиль­ных устройств. Из-за того, что зара­нее неиз­вест­но, како­го цве­та моча уда­ри­ла в голо­ву кон­крет­но­му раз­ра­бот­чи­ку вед­ро­ид­но­го устрой­ства, в общем слу­чае про­це­ду­ра надёж­но­го уда­ле­ния дан­ных с вед­ро­и­да опи­сы­ва­ет­ся фра­зой «раз­ма­лы­вать в пыль с раз­ме­ром части­цы не более 2.3mm».

Поэто­му в кор­по­ра­тив­ном мире я все­гда буду про­тив вед­ро­и­да. Это не кор­по­ра­тив­ный теле­фон, его невоз­мож­но под­дер­жи­вать. Един­ствен­ный спо­соб — стан­дар­ти­зи­ро­вать вен­до­ра. Что­бы у всех были, напри­мер, гугель­пих­ли. Но так как поль­зо­ва­те­ли вед­ро­и­дов явля­ют­ся «сво­бод­ны­ми лич­но­стя­ми», такой под­ход неиз­беж­но встре­ча­ет упор­ное сопро­тив­ле­ние.

Сисадминские будни

При­мер­но 50% сисад­мин­ской рабо­ты состав­ля­ет ожи­да­ние того, когда что-нибудь про­изой­дёт — сер­вер, нако­нец, про­срёт­ся и загру­зит­ся, сер­вис­пак закон­чит уста­нав­ли­вать­ся, бекап забе­ка­пит­ся, и т.д.

Хоро­шо, когда есть тыщ на 80 раз­но­го обо­ру­до­ва­ния, куда мож­но при­ткнуть сапо­ги на вре­мя ожи­да­ния!

PS: DELL R710, кста­ти, реаль­но может про­си­рать­ся минут 10 пока нач­нёт загру­жать­ся ОС.

И снова пнём Андроид

С сисад­мин­ской точ­ки зре­ния теле­фо­ны с Андро­и­дом — ЗЛО.

Поче­му? Пото­му, что если на теле­фоне была сек­рет­ная инфор­ма­ция, то перед выда­чей ново­му сотруд­ни­ку это­го теле­фо­на или при избав­ле­нии от устрой­ства вооб­ще, эту инфор­ма­цию нуж­но сти­рать по ГОСТу стан­дар­там NIST.

И если мы нач­нём читать стан­дарт, то про­це­ду­ра надёж­но­го уда­ле­ния дан­ных для теле­фо­ном типа iPhone про­ста — ресе­тишь и в ус не дуешь. Эппл опи­сал стан­дарт того, как этот алго­ритм рабо­та­ет, и он пол­но­стью удо­вле­тво­рил NIST.

А для теле­фо­нов на ОС Андро­ид в доку­мен­те целый пара­граф, суть кото­ро­го сво­дит­ся к сле­ду­ю­ще­му — кон­крет­ная импле­мен­та­ция алго­рит­мов сти­ра­ния зави­сит от про­из­во­ди­те­ля теле­фо­на. Поэто­му про­це­ду­ры надёж­но­го уда­ле­ния дан­ных с теле­фо­нов на ОС Андро­ид в общем виде не суще­ству­ет. Ска­за­но, что надо зво­нить про­из­во­ди­те­лю и выяс­нять, под­дер­жи­ва­ет­ся ли там eMMC Secure Erase, Secure Trim и про­чие умные сло­ва.

Поэто­му в общем слу­чае, если от теле­фо­на на ОС Андро­ид надо изба­вить­ся, и на нём хра­ни­лись сек­рет­ные дан­ные, теле­фон необ­хо­ди­мо СЖИГАТЬ (ну или раз­ма­лы­вать в пыль с раз­ме­ром зер­на не более 2.4mm, как опи­са­но в стан­дар­те).

И, кста­ти, для теле­фо­нов на ОС Windows то же самое. Вот уж нико­гда не поду­мал бы, что Яббл бли­же кор­по­ра­тив­но­му миру, чем Мик­ро­софт.