Category: сисадминское

Люб­лю я ОС Андро­ид. В самом деле, это же всё пра­виль­но и логич­но — при нали­чии кода на теле­фоне при этом не тре­бо­вать шиф­ро­ва­ния SD-кар­точ­ки. Берёшь у любо­го встреч­но­го его теле­фон, выди­ра­ешь из него кар­точ­ку, и смот­ришь на его ню-сел­фи, без вся­ких паро­лей. Кар­точ­ку, вооб­ще-то, зашиф­ро­вать мож­но, но тока никто этим не замо­ра­чи­ва­ет­ся.

Поль­зуй­тесь без­опас­ной ОС Андро­ид!!!

PS: В пре­крас­ном сери­а­ле Mr. Robot эта уяз­ви­мость Вед­ро­и­да пре­крас­но обыг­ра­на, когда один из геро­ев вытас­ки­ва­ет у дру­го­го кар­точ­ку из теле­фо­на, запи­сы­ва­ет на неё тро­я­на (она ведь не шиф­ро­ва­на, всем всё мож­но), и засо­вы­ва­ет кар­точ­ку обрат­но.

Ком­пью­те­ры, кото­рые исполь­зу­ют­ся для хра­не­ния аме­ри­кан­ской госу­дар­ствен­ной инфор­ма­ции (воен­ные или, напри­мер, ком­пью­те­ры, при­над­ле­жа­щие Адми­ни­стра­ции Соци­аль­но­го Стра­хо­ва­ния), долж­ны быть опре­де­лён­ным обра­зом защи­ще­ны (hardened — есть ли более под­хо­дя­щий рус­ский тер­мин для это­го сло­ва?) Для это­го после уста­нов­ки ОС, к ней необ­хо­ди­мо при­ме­нить допол­ни­тель­ные настрой­ки, как-то: уси­лен­ные тре­бо­ва­ния к паро­лям, мето­дам крип­то­гра­фии, общее сни­же­ние поверх­но­сти для сете­вых атак, и т.д. Так, напри­мер, на ком­пью­те­рах, рабо­та­ю­щих под управ­ле­ни­ем ОС Линукс, не дол­жен сто­ять FTP сер­вер, долж­на сто­ять обя­за­тель­ная про­вер­ка кон­троль­ной сум­мы уста­нав­ли­ва­е­мых паке­тов, дол­жен быть вруб­лен SELinux, и т.п.

Все эти настрой­ки собра­ны в доку­мен­ты, назы­ва­е­мые Руко­вод­ства по Тех­ни­че­ско­му Обес­пе­че­нию Без­опас­но­сти (Security Technical Implementation Guides, STIG). РТО­Бов есть туе­ва хуча для вся­ко­го раз­но­го — от HP UX до роу­те­ров, бранд­мау­э­ров, и смарт­фо­нов. Их, вооб­ще, полез­но почи­тать для обще­го раз­ви­тия себя как сисад­ми­на. Неко­то­рые тре­бо­ва­ния, конеч­но, немно­го пере­ги­ба­ют пал­ку (как, вам, напри­мер, тре­бо­ва­ние невоз­мож­но­сти копи­пас­ты паро­ля — толь­ко печа­та­ние паро­ля лап­ка­ми), но в целом их внед­ре­ние спо­соб­ству­ет улуч­ше­нию ком­пью­тер­ной без­опас­но­сти.

РТО­Бы берут здесь:

https://iase.disa.mil/stigs/Pages/index.aspx

Они рас­про­стра­ня­ют­ся в XML фор­ма­те, и там же мож­но сгру­зить про­смотр­щик (STIG Viewer) — гла­за­ми XML читать слож­но.

Но поми­мо чте­ния самих РТО­Бов ещё инте­рес­но смот­реть, а для каких устройств они есть, а для каких нет. Пото­му что если нет РТО­Бов, то устрой­ства в госу­дар­ствен­ной ком­пью­тер­ной сети исполь­зо­вать невоз­мож­но. Что часто гово­рит о том, что устрой­ства тупо невоз­мож­но защи­тить над­ле­жа­щим обра­зом или же про­из­во­ди­тель не спе­шит делить­ся тех­ни­че­ски­ми дета­ля­ми с госу­дар­ствен­ны­ми струк­ту­ра­ми.

Так, напри­мер, сре­ди РТО­Бов для смарт­фо­нов, разу­ме­ет­ся, есть iOS. Конеч­но, есть BlackBerry (ещё бы, они пер­вые под­су­е­ти­лись с FIPS), есть Вин­до­фо­ны. А вот вед­ро­и­дов — толь­ко два: ЛыЖа и Гну­смас. То-есть, все осталь­ные про­из­во­ди­те­ли (вклю­чая, ЧСХ, сам Гугол) госу­дар­ствен­ным тре­бо­ва­ни­ям по без­опас­но­сти — не отве­ча­ют:

https://iase.disa.mil/stigs/mobility/Pages/smartphone.aspx

А ещё я, мож­но ска­зать, оби­дил­ся на то, что для Фрю­ник­сов нет РТО­Бов под мою люби­мую FreeBSD, и совер­шен­но отсут­ству­ет ветвь Debian, вклю­чая Ubuntu. Из Линук­сов тока Крас­ная Шап­ка, тока хард­кор!!!! Ну ещё есть Оракл Линукс (та же Шап­ка, толь­ко в про­филь), и разу­ме­ет­ся, есть Соляр­ка и про­чий AIX. А вот Убун­ты или Фря­хи — нету как клас­са. Обид­но. Конеч­но, мож­но взять РТОБ от Шап­ки и пере­ко­стря­чить его под Убун­ту. Про­цен­тов 90 вполне мож­но при­ме­нить и там и там. Но всё же это лиш­ние тело­дви­же­ния.

https://iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx

Забав­ная стра­нич­ка с доволь­но оди­оз­ны­ми при­ме­ра­ми. Нашлась панель управ­ле­ния ГЭС, кон­троль систе­мы кон­ди­ци­о­ни­ро­ва­ния воз­ду­ха, ещё пара вещей. Но самое забой­ное, кмк, это лежа­щая в пуб­лич­ном досту­пе веб­ка­ме­ра, кото­рая пока­зы­ва­ет кар­тин­ку с жето­на RSA, исполь­зу­е­мо­го для двух­фак­тор­ной аутен­ти­фи­ка­ции. Меня даже не столь­ко без­ала­бер­ность юзе­ра удив­ля­ет, сколь­ко коли­че­ство при­ло­жен­ных впу­стую уси­лий. Ну лад­но, не хочешь тас­кать с собой жетон — не тас­кай. На любой смарт­фон мож­но поста­вить RSA при­ло­же­ние, обла­да­ю­щее точ­но такой же функ­ци­о­наль­но­стью. И всё, ника­ких жето­нов. А тут чело­век каме­ру поку­пал, затем настра­и­вал, потом под­клю­чал к Интер­не­ту…

https://www.zdnet.com/pictures/shodan-safari-connected-internet-things/

Учу уже несколь­ко меся­цев вся­кую Цис­ку. До это­го как-то обхо­дил­ся без этих зна­ний, ну, не при­хо­ди­лось мне до сих пор управ­лять VLAN, DMZ, и про­чи­ми умны­ми сло­ва­ми.

Поза­вче­ра новые зна­ния, мяг­ко гово­ря, при­го­ди­лись на всю катуш­ку, когда удач­но попав­шей мол­нией вынес­ло ста­рый бранд­мау­эр 5520 (да, древ­ний). Впод­чи­стую. Хоро­шо, что новый был уже в стой­ке, пере­ки­ну­ли айпиш­ни­ки, и нача­ли вос­ста­нав­ли­вать всё зано­во. Зано­во — пото­му что син­такс бека­пов кон­фи­га 5520 к новой 5525X не под­хо­дит от сло­ва «совсем». Даже пра­ви­ла для NAT-нутых сер­ве­ров надо по-дру­го­му писать, давать раз­ре­ше­ния на доступ к ВНУТРЕННЕМУ айпиш­ни­ку вме­сто внеш­не­го (непо­нять, поче­му так).

Все выход­ные на рабо­те про­си­дел блин. Научил­ся, конеч­но, очень мно­го­му, но ну его нафиг, так учить­ся.

При­мер­но в 2012–2013 году все нача­ли пере­хо­дить на твёр­до­тель­ные жёст­кие дис­ки. И всё пона­ча­лу было кру­то, и ско­рость рабо­ты, и отсут­ствие шума. Но вот 6 лет спу­стя это­го мас­со­во­го пере­хо­да я стал заме­чать, что прак­ти­че­ски все твёр­до­тель­ные дис­ки, кото­рые я куда-то уста­нав­ли­вал, дох­нут с харак­тер­ным сро­ком нара­бот­ки на отказ око­ло 5 лет. И ска­жу я вам, что на ста­ро­ре­жим­ных нако­пи­те­лях с маг­нит­ной тех­но­ло­ги­ей запи­си я такой ерун­ды не заме­чал. У меня есть дис­ки замет­но стар­ше 5 лет, кото­рые пре­крас­но рабо­та­ют до сих пор. А тако­го же воз­рас­та SSD-шни­ков, всё ещё в рабо­чем состо­я­нии — очень немно­го оста­лось. При­чём, чисто лич­ный опыт гово­рит, что от мар­ки это прак­ти­че­ски не зави­сит. Боль­ше все­го я видел дох­лых Гну­сма­сов, но это пото­му, что мы их боль­ше все­го и поку­па­ли. Но и Micron/Crucial тоже дох­нут. Вот пока Intel и SanDisk’ов дох­лых не видал, но думаю, это вопрос вре­ме­ни. Ско­рее все­го, это огра­ни­че­ния самой тех­но­ло­гии — на флеш память невоз­мож­но запи­сать мате­ри­ал более опре­де­лён­но­го чис­ла раз. Насколь­ко пони­маю, каж­дый цикл запи­си чуточ­ку раз­ру­ша­ет слой изо­ля­то­ра, кото­рый не даёт затво­ру МОП-тран­зи­сто­ра раз­ря­жать­ся. Посте­пен­но он теря­ет свои изо­ля­ци­он­ные свой­ства, заряд начи­на­ет сте­кать, и отли­чить 2 от 3 (если память у нас MLC/TLC) ста­но­вит­ся невоз­мож­но. SLC в этом отно­ше­нии живёт замет­но доль­ше, но попро­буй­те най­ти в 2018 году хоть один диск вме­ня­е­мой ёмко­сти и не за кон­ские день­ги, сде­лан­ный по этой тех­но­ло­гии.

Но вооб­ще всё рав­но уди­ви­тель­но. Ведь что­бы убить диск раз­ме­ром 256 гига­байт, на него при­дёт­ся запи­сать 2.44 пета­бай­та инфор­ма­ции (256 гиг запи­сать 10 000 раз). Что­бы это успеть сде­лать за 5 лет, на него надо писать 58 гига­байт в час или почти 17 мега­байт в секун­ду, без­оста­но­воч­но. Хм… Хотя… Осо­бен­но если учи­ты­вать то, что на самом деле что­бы запи­сать дан­ные на флеш, ячей­ку фле­ша надо пред­ва­ри­тель­но очи­стить, т.е. мы запи­сы­ва­ем по-сути, два­жды. На боль­шин­стве ком­пью­те­ров очист­кой более неис­поль­зу­е­мых яче­ек флеш-памя­ти зани­ма­ет­ся тех­но­ло­гия TRIM, в фоно­вом режи­ме, ина­че про­из­во­ди­тель­но­сти каб­здец, см. Write Amplification. В‑общем, чорт его зна­ет, может быть, вполне воз­мож­но.

Соб­ствен­но, о чём уже дав­но гово­рят боль­ше­ви­ки.

Обнов­ле­ния для ОС регу­ляр­но выпус­ка­ют толь­ко четы­ре вен­до­ра — сам Гугл (ещё бы), Сам­сунг, Сони, и Вико (нико­гда о таком не слы­шал). Осталь­ные, вклю­чая не толь­ко Сяо­ми и про­чие Хуе­веи, но так­же доволь­но извест­ные мар­ки типа Мото­ро­лы, Нокии, ЛыЖы — тол­ком не зани­ма­ют­ся без­опас­но­стью. Даже когда поль­зо­ва­тель, кото­рый слы­шал о том, что ОС пери­о­ди­че­ски надо обнов­лять, про­ве­ря­ет нали­чие апдей­тов, про­из­во­ди­тель ему радост­но врёт, «усё у поряд­ке, шеф!». А на деле в теле­фоне нава­лом дыр:

Ста­тья

Настрой­ка SSH аутен­ти­фи­ка­ции в ком­му­та­то­ры и марш­ру­ти­за­то­ры Cisco по RADIUS:

http://www.ipbalance.com/security/radius/1165-windows-server-2012-as-radius-for-cisco-router-a-switch.html

Что­бы не как при царе горо­хе, в раз­ных устрой­ствах — раз­ное имя поль­зо­ва­те­ля и пароль. Хотя, конеч­но, аутен­ти­фи­ка­ция по при­ват­но­му клю­чу SSH силь­но пони­жа­ет остро­ту про­бле­мы.

PS: Ста­тья про IOS, кон­фи­гу­ра­ция RADIUS на NX-OS в новых свит­чах немно­го дру­гая, см. соотв. доку­мент:

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/6‑x/security/configuration/guide/b_Cisco_Nexus_9000_Series_NX-OS_Security_Configuration_Guide.html

После ufw, iptables и про­че­го pfSense прин­ци­пи­аль­но, конеч­но, ниче­го ново­го, толь­ко коман­ды дру­гие.

При­мер­но 50% сисад­мин­ской рабо­ты состав­ля­ет ожи­да­ние того, когда что-нибудь про­изой­дёт — сер­вер, нако­нец, про­срёт­ся и загру­зит­ся, сер­вис­пак закон­чит уста­нав­ли­вать­ся, бекап забе­ка­пит­ся, и т.д.

Хоро­шо, когда есть тыщ на 80 раз­но­го обо­ру­до­ва­ния, куда мож­но при­ткнуть сапо­ги на вре­мя ожи­да­ния!

PS: DELL R710, кста­ти, реаль­но может про­си­рать­ся минут 10 пока нач­нёт загру­жать­ся ОС.