сисадминское

RAID

Вот можно взять два массива RAID 6 и объединить их в зеркало (RAID 1). Получится RAID 61. Или взять два RAID 5 и сделать из них массив без резервирования (RAID 0). Получится RAID 50.

А можно взять массив RAID 6, состоящий из массивов RAID 6, и объединить их в массив RAID 6. Получится RAID 666!

Кстати, полученная хреновина сможет пережить отказ минимум 32 дисков (и даже больше, смотря как карта ляжет) без потери работоспособности. Но построить такого монстра будет стоить уж больно дорого, а в пересчёте в полезный объём на доллар — тупо невыгодно. Есть способы лучше потратить деньги без потери надёжности.

LAMP-овое

Дано: сервант с PHP7 в режиме fcgi
Задача: отключить выполнение скриптов типа PHP в определённой директории.
Проблема: php_flag и прочие переменные РНР в .htaccess совать нельзя, ибо в рожу прилетает 500 (fcgi же)
Найденное решение: в нужной директории создать .user.ini, в котором сделать auto_prepend_file = stop.php, а внутри stop.php написать примерно вот так:

<?
echo «Пошёл нахер»;
exit();
?>

Но как-то это неизящно. engine = off внутри .user.ini не срабатывает почему-то, блин.

Есть что лучше?

Бегом патчиться

Дырка в OpenSSH позволяет крякеру подтвердить наличие или отсутствие пользователя в системе (пакет в ответ приходит немного разный):

https://www.bleepingcomputer.com/news/security/vulnerability-affects-all-openssh-versions-released-in-the-past-two-decades/

Не то, чтобы прям ШИБКО критично (ещё ведь надо знать пароль), но неприятно. Так как понятно, что у пользователя root пароль будет хрен догадаешься, а вот у пользователя misha — уже могут быть варианты.

Вчера файлы двигали-двигали…

Вчера в связи с внезапным падежом туевой хучи дисков (видимо, молнией массив нахлобучило), перетаскивали пользовательские данные с одного сервера на другой.

Самая главная при этом эмоция — «ёлки-палки, сколько же вы, сволочи, храните у себя в пользовательских каталогах всякой ХЕРНИ!!»

С сотрудником с удовольствием тряхнули стариной. Доставали данные со старого лаптопа под 95‑й Вынью. Прямо скажем, нетривиальная задача оказалась. У лаптопа, разумеется, никакого эзернета, а PCMCIA карточки мы уже давно повыкидывали. Флопповод был, но у кого сейчас найдётся 3.5‑дюймовая дискета? Модем был, Роквелл на 56k. Но с чем его сцеплять? Кончилось тем, что в конце концов спаяли нуль-модемный кабель под 9‑пиновый серийный порт и перекинули файлы через терминал, ажно ZModem-ом! Даже удивительно, что на современном компьютере был серийный порт. До чего живучая технология, однако 🙂

Помнится, в досовских файл-менеджерах типа дос навигатора, была возможность перекидывать файлы по серийному порту (или в нортоне была такая функция, щас не вспомню). Это было бы удобнее, чем ZModem, но боюсь, что под 10 x64 виндой дос навигатор бы тупо не запустился. А если бы запустился, хер бы HAL ему дал доступ напрямую к серийному порту.

Вдогонку про весёлого пользователя

Люблю я ОС Андроид. В самом деле, это же всё правильно и логично — при наличии кода на телефоне при этом не требовать шифрования SD-карточки. Берёшь у любого встречного его телефон, выдираешь из него карточку, и смотришь на его ню-селфи, без всяких паролей. Карточку, вообще-то, зашифровать можно, но тока никто этим не заморачивается.

Пользуйтесь безопасной ОС Андроид!!!

PS: В прекрасном сериале Mr. Robot эта уязвимость Ведроида прекрасно обыграна, когда один из героев вытаскивает у другого карточку из телефона, записывает на неё трояна (она ведь не шифрована, всем всё можно), и засовывает карточку обратно.

Про военный Линукс

Компьютеры, которые используются для хранения американской государственной информации (военные или, например, компьютеры, принадлежащие Администрации Социального Страхования), должны быть определённым образом защищены (hardened — есть ли более подходящий русский термин для этого слова?) Для этого после установки ОС, к ней необходимо применить дополнительные настройки, как-то: усиленные требования к паролям, методам криптографии, общее снижение поверхности для сетевых атак, и т.д. Так, например, на компьютерах, работающих под управлением ОС Линукс, не должен стоять FTP сервер, должна стоять обязательная проверка контрольной суммы устанавливаемых пакетов, должен быть врублен SELinux, и т.п.

Все эти настройки собраны в документы, называемые Руководства по Техническому Обеспечению Безопасности (Security Technical Implementation Guides, STIG). РТОБов есть туева хуча для всякого разного — от HP UX до роутеров, брандмауэров, и смартфонов. Их, вообще, полезно почитать для общего развития себя как сисадмина. Некоторые требования, конечно, немного перегибают палку (как, вам, например, требование невозможности копипасты пароля — только печатание пароля лапками), но в целом их внедрение способствует улучшению компьютерной безопасности.

РТОБы берут здесь:

https://iase.disa.mil/stigs/Pages/index.aspx

Они распространяются в XML формате, и там же можно сгрузить просмотрщик (STIG Viewer) — глазами XML читать сложно.

Но помимо чтения самих РТОБов ещё интересно смотреть, а для каких устройств они есть, а для каких нет. Потому что если нет РТОБов, то устройства в государственной компьютерной сети использовать невозможно. Что часто говорит о том, что устройства тупо невозможно защитить надлежащим образом или же производитель не спешит делиться техническими деталями с государственными структурами.

Так, например, среди РТОБов для смартфонов, разумеется, есть iOS. Конечно, есть BlackBerry (ещё бы, они первые подсуетились с FIPS), есть Виндофоны. А вот ведроидов — только два: ЛыЖа и Гнусмас. То-есть, все остальные производители (включая, ЧСХ, сам Гугол) государственным требованиям по безопасности — не отвечают:

https://iase.disa.mil/stigs/mobility/Pages/smartphone.aspx

А ещё меня задело то, что для Фрюниксов нет РТОБов под мою любимую FreeBSD, и совершенно отсутствует ветвь Debian, включая Ubuntu. Из Линуксов тока Красная Шапка, тока хардкор!!!! Ну ещё есть Оракл Линукс (та же Шапка, только в профиль), и разумеется, есть Солярка и прочий AIX. А вот Убунты или Фряхи — нету как класса. Обидно. Конечно, можно взять РТОБ от Шапки и перекострячить его под Убунту. Процентов 90 вполне можно применить и там и там. Но всё же это лишние телодвижения.

https://iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx

Что не надо подключать к Интернету

Забавная страничка с довольно одиозными примерами. Нашлась панель управления ГЭС, контроль системы кондиционирования воздуха, ещё пара вещей. Но самое забойное, кмк, это лежащая в публичном доступе вебкамера, которая показывает картинку с жетона RSA, используемого для двухфакторной аутентификации. Меня даже не столько безалаберность юзера удивляет, сколько количество приложенных впустую усилий. Ну ладно, не хочешь таскать с собой жетон — не таскай. На любой смартфон можно поставить RSA приложение, обладающее точно такой же функциональностью. И всё, никаких жетонов. А тут человек камеру покупал, затем настраивал, потом подключал к Интернету…

https://www.zdnet.com/pictures/shodan-safari-connected-internet-things/

Крещение огнём

Учу уже несколько месяцев всякую Циску. До этого как-то обходился без этих знаний, ну, не приходилось мне до сих пор управлять VLAN, DMZ, и прочими умными словами.

Позавчера новые знания, мягко говоря, пригодились на всю катушку, когда удачно попавшей молнией вынесло старый брандмауэр 5520 (да, древний). Вподчистую. Хорошо, что новый был уже в стойке, перекинули айпишники, и начали восстанавливать всё заново. Заново — потому что синтакс бекапов конфига 5520 к новой 5525X не подходит от слова «совсем». Даже правила для NAT-нутых серверов надо по-другому писать, давать разрешения на доступ к ВНУТРЕННЕМУ айпишнику вместо внешнего (непонять, почему так).

Все выходные на работе просидел блин. Научился, конечно, очень многому, но ну его нафиг, так учиться.

Дископад

Примерно в 2012–2013 году все начали переходить на твёрдотельные жёсткие диски. И всё поначалу было круто, и скорость работы, и отсутствие шума. Но вот 6 лет спустя этого массового перехода я стал замечать, что практически все твёрдотельные диски, которые я куда-то устанавливал, дохнут с характерным сроком наработки на отказ около 5 лет. И скажу я вам, что на старорежимных накопителях с магнитной технологией записи я такой ерунды не замечал. У меня есть диски заметно старше 5 лет, которые прекрасно работают до сих пор. А такого же возраста SSD-шников, всё ещё в рабочем состоянии — очень немного осталось. Причём, чисто личный опыт говорит, что от марки это практически не зависит. Больше всего я видел дохлых Гнусмасов, но это потому, что мы их больше всего и покупали. Но и Micron/Crucial тоже дохнут. Вот пока Intel и SanDisk’ов дохлых не видал, но думаю, это вопрос времени. Скорее всего, это ограничения самой технологии — на флеш память невозможно записать материал более определённого числа раз. Насколько понимаю, каждый цикл записи чуточку разрушает слой изолятора, который не даёт затвору МОП-транзистора разряжаться. Постепенно он теряет свои изоляционные свойства, заряд начинает стекать, и отличить 2 от 3 (если память у нас MLC/TLC) становится невозможно. SLC в этом отношении живёт заметно дольше, но попробуйте найти в 2018 году хоть один диск вменяемой ёмкости и не за конские деньги, сделанный по этой технологии.

Но вообще всё равно удивительно. Ведь чтобы убить диск размером 256 гигабайт, на него придётся записать 2.44 петабайта информации (256 гиг записать 10 000 раз). Чтобы это успеть сделать за 5 лет, на него надо писать 58 гигабайт в час или почти 17 мегабайт в секунду, безостановочно. Хм… Хотя… Особенно если учитывать то, что на самом деле чтобы записать данные на флеш, ячейку флеша надо предварительно очистить, т.е. мы записываем по-сути, дважды. На большинстве компьютеров очисткой более неиспользуемых ячеек флеш-памяти занимается технология TRIM, в фоновом режиме, иначе производительности кабздец, см. Write Amplification. В‑общем, чорт его знает, может быть, вполне возможно.