Category: сисадминское

CentOS — всё

UPDATE: Я эту запись уже второй день пытаюсь в ЖЖ опубликовать. Извиняюсь за спам. Попробуем ещё разик.

И хер бы с ним. Никогда эту грёбаную Шапку и производные не любил. Если бы не YellowDog, подаривший Шапке yum, установка софта на Шапке до сих пор была бы извращённым сексом с закоулками, потому что rpm не может в автоматическую установку необходимых сопутствующих библиотек.

Уточню. CentOS не совсем “всё”, просто раньше это был, по сути, слегка переделанный RHEL, а теперь это будет называется CentOS Stream, и он будет являться не переделанным RHEL, а его бета-версией. Что автоматически означает, что в производство его ставить нельзя.

Так что с точки зрения сисадминов CentOS — таки “всё”!

Пну-ка я снова Линукс

Вот есть у тебя, например, машина с седьмым Виндоузом. И есть у тебя на ней какой-то установленный коммерческий софт. Проапгрейдиться до десятки? Не проблема. И софт, что характерно, продолжит работать.

А вот теперь поменяй Винду 7 на Убунту 16, а десятую винду на Убунту 18. И получишь конскую эту самую на воротник, чтобы шею не натирало. Софт будет отваливаться с дикими криками по поводу ненахождения старых версий самых разнообразных библиотек (например, libc или libwebp — это уж смотря какой софт).

А на десятой винде софт, работающий на XP, до сих пор запустится (в большинстве случаев) вполне нормально.

Линупс бесплатен только в том случае, если твоё время ничего не стоит.

Пост написан по мотивам “как Плотник обновлял машинку с Apache Guacamole, которую надо из сырцов собирать, потому что в apt-шных репозитариях оно древнее говна мамонта.”

BlueHost — замумил

Основное зеркало блога я держу на bluehost.com. Задолбали, ироды. PHP 7.0 — единственная версия PHP, в которой есть mysqli. Соответственно, шаг вправо, шаг влево — и Вордпресс пролетает как фанера над городом Парижем. Только вот 7.0 у нас нынче “deprecated”, так что грёбаный хостер каждый день переключает меня на PHP 7.3, и всё благополучно рушится. В поддержке все как один, индусы, и говорят “мы ничего не можем сделать отсюда”. Нах-нах, сваливаю при первой же возможности.

Дурак со справкой

Сдал таки экзамен на администратора облачных решений Azure. Не скажу, чтобы сильно сложно, но поучиться пришлось. У меня наибольшие сложности возникли со сложными настройками виртуальных сетей — пирингом, виртуальными частными сетями, шлюзами и проч.

Очень хорошее дополнение к резюме, однако. Приятно.

Netgear

У меня есть некий внутренний говносписок компаний, чьи продукты я не покупаю из-за предыдущего отрицательного опыта. В первую очередь это, конечно, мой любимый “Самсунг”. Пёс его знает, почему так — у толпы народу всё работает, у меня нет. Но фиг с ним, поговорить я хотел не про “Самсунг”. Ещё одним элементом списка была продукция “Нетгир”. Потому что у меня сломалось два маршрутизатора этой фирмы. Причём довольно одинаково сломалось — при большом количестве траффика оно, походу, тупо перегревалось и висло.

А тут купил я домой где-то около двух лет назад ячеистую сеть Netgear Orbi. Сотрудника послушал, блин. А вот не надо было никого слушать — своя башка на плечах есть. И поначалу не было у меня к ней никаких нареканий. А за этот месяц, похоже, репутация этой компании в моём говносписке наконец оправдалась. Виснет, пидарас. Дети же дома, и оба мы из дома работаем. Как подналяжем на сеть — и всё накрывается медным тазом, чинить можно только перезагружанием маршрутизатора.

К тому же были тут недавно нехорошие новости про их продукцию:

https://www.tomsguide.com/news/netgear-router-admin-hack
https://www.pcmag.com/news/79-netgear-routers-vulnerable-to-serious-security-flaw

Это, правда, не про мою модель, но просто показывает, как компания относится к безопасности. И дело даже не в том, что в продукции есть дыры — они в любой продукции есть — а в оперативности их устранения. У той же Циски к тому времени, как опубликована инфа о дырках, уже обычно готово исправление.

Чего буду покупать на замену — пока не знаю. На Циску у меня бюджета нет — там самая дешёвая точка доступа двести долларов стоит. Изучаю вопрос. Если не Циску, то, наверное, Линксис (Циска им владеет). Ну или Юбикуити.

Блютусное

Хозяйке на заметку. Если ваш лаптоп с десятой вендой вроде бы подключается к блютусным колонкам, но в панели управлением звуком эти колонки показываются как “disconnected” потому что индусские долбопрограммеры в очередной раз что-то сломали в ОС, попробуйте вынести колонки из системы КЕМ, и добавить следующий ключик в реестр из командной строки:

reg add HKLM\SYSTEM\ControlSet001\Control\Bluetooth\Audio\AVRCP\CT /v DisableAbsoluteVolume /t REG_DWORD /d 1 /f

Видимо, по умолчанию венда чего-то там пытается сделать с колонками, но натыкается на непонимание, и маркирует колонки как “отключенные”. А этот ключик, насколько понял, отключает эту функциональность.

Чего-то мне в последнее время всё больше и больше хочется на Мак. Игр вот под ним только мало, а для работы всё, что надо, есть. Мелкомягкие даже RDP клиент с поддержкой смарт-карт (это к вопросу, почему я категорически не могу работать под ентим вашим недоразумением под именем “Линупс”, помимо многих прочих причин) сварганили для Маков.

FIPS

Дальше всякое сисадминское.

FIPS это Федеральный Стандарт по Обработке Информации (Federal Information Processing Standard). Когда говорят FIPS, обычно подразумевают публикацию Национального Института Стандартов и Технологий (NIST) за нумером 140-2. В ней описываются всяческие стандарты безопасности, включая алгоритмы шифрования, генерации случайных чисел и т.д. В России тоже есть аналог этого документа, это ГОСТ 54583-2011.

В Винде режим совместимости с FIPS включается довольно просто — либо через групповые политики (если у нас домен) или же через локальные настройки безопасности: Local Policies -> Security Options -> Use FIPS Compliant algorithms for encryption, hashing, and signing. Это заставит все программы, выполняемые на компьютере, использовать только безопасные алгоритмы. Если же программа захочет использовать небезопасный алгоритм (например, алгоритм хеширования MD5), то она вывалится с ошибкой “не шмагла”, а в евентах останутся соответствующие матюги от SCHANNEL.

И вот заодно пнём Линукс. Вернее, не сколько сам Линукс, сколько восторженных линуксофанатов. Скажите мне, дарагие друзиа, как на вашей любимой платформе включается режим совместимости с FIPS? А? Чего молчите? Ну, тогда отвечу я: НИКАК. Чтобы получить FIPS-совместимый Линукс, надо менять ядро на FIPS-совместимое, а оно (кокой сурприз!!) — продаётся и обновляется строго за деньги. Просто вы, дарагие друзиа, ничего сложнее пишмашинки или стандартного LAMP-сервера в жизни не делали, поэтому продолжаете считать, что Линукс — он бесплатный.

Пойдём далее. Самая большая засада с включением FIPS в том, что весь софт, который не умеет в SHA, AES и прочие умные слова, перестаёт работать. И ладно там если перестаёт работать какое-то самописное изделие или ещё какой несерьёзный софт. А вот у меня вчера перестал работать SQL Server. Ага, вот так вот, мля, знай наших! Вернее, перестал работать не сам сервер баз данных, а сервис линкования серверов. Он же шпарит по шифрованому протоколу между сервантами. И вот видимо конкретно эта часть не является FIPS-совместимой, так как от сервера прилетает TCP RST сразу после попытки TLS-рукопожатия.

Будем сегодня разбираться, не то это DBA чего-то не так наконфигурял, либо надо писать телегу в Microsoft, чтобы FIPS-совместимый продукт стал, наконец, FIPS-совместимым.