• ↓
  • ↑
  • ⇑
 
Записи с темой: Работа (список заголовков)
16:44 

Ну и опять о вечном...

... т.е. о граблях(ТМ).
FreeBSD 7_3.
DNS. Зона прямого просмотра. Зона обратного просмотра. Файл с ключом. named-checkconf. named-checkzone. OK
DHCP. update-style interim. Зоны, primary 127.0.0.1; ключ. isc-dhcpd start. ОК.
Проверяем клиента - ipconfig /release - ipconfig /renew. Получаем адрес. nslookup <имя> - получаем IP. nslookup ip - получаем... ничего не получаем.
Лезем в логи - offer/ack, forward проапдейтили, TXT + A создали, TXT удалили, а с revers'ом - таки ой: "dhcpd: unable to add reverse map from <> to <> timed out".
В логах BIND'а чуть интересней:
client 127.0.0.1 updating zone бла-бла-бла ОК
client внешний адрес update 'x.x.x.in-addr.arpa/IN' denied.
Шо за нафиг? Прямую зону обновляем через 127.0.0.1, а обратную - через собственно интерфейс? Резво лезу в dhcpd.conf - нет, и там, и там стоит обращаться к 127.0.0.1. Странно. Запускаю tcpdump -i lo0, делаю release-renew на клиенте - думаю, может, это он, зар-раза за обновлением пополз, на DHCPD наплевав? Не-а!!! Запрос на обновление прямой зоны идет через 127.0.0.1 от, собственно, 127.0.0.1, а запрос на обновление зоны обратного преобразования идет через 127.0.0.1 же, но src-addr там именно что адрес реального интерфейса!
Для проверки меняю у зоны обратного преобразования update-policy на allow-update { адрес интрефейса }, проверяю - пашет. Меняю на 127.0.0.1 - нихтЪ. Ставлю вместо адреса ключ - опять нихтЪ. Запускаю nsupdate -k <ключ>, server = 127.0.0.1, делаю обновление - проходит.
"От такая вот загогулина"(С). Оно, конечно, и без зоны обратного просмотра прожить можно, да и на всю бОшку инсекьюрные апдейты по IP-адресу нормально пашут, но, блин, интересно же! Полдня вокруг железки с бубном плясал, так ничего и не добился. Думаю завтра качнуть с isc.org сорцы 4_1_1 вместо 3х из портов и попробовать скрестить ежа с ужом...
Вся жизнь - борьба!

@темы: Работа, FreeBSD

16:19 

Поймал себя на желании...

... в третий раз переписать основной firewall'ьный скрипт - ибо "читаемость" входит в противоречие с "простотой парсинга".
Медитирую на фразу "совершенство недостижимо", думаю странное ).

@темы: FreeBSD, Жизнь, Работа

12:51 

Мучительно размышляю...

... написать ли мне еще немного о классических (По сеансовый уровень включительно) firewall'ах "вообще", сказать пару-тройку слов конкретно про ipfw, перейти к application level proxy, или написать чуть-чуть об организации DNS в доменах MS AD и не только? ;)

Ладно, пока суть-да-дело, напишу-ка я о... ноутбуках ;). В общем-то, о том, что свой букварь я купил уже м-ммм... два года назад, и с тех пор "софтострой" так и не сподвиг меня на апгрейд ;) я уже писал. Похоже, фирма Интел победила Майкрософт "за явным преимуществом" - не самое мощное железо двухлетней давности вполне прилично тянет ОС последнего поколения с "довеском" в виде пары виртуальных машин. Конечная станция "Золотой век"? Не-а.
Итак, что способно сподвигнуть меня на замену железа:
- Мобильный интернет уровня той же Йоты (Ну или хотя бы Sky-Link'а :shuffle:), ОПСОСную USB-пипирку не предлагать ;). Конечно, дело это не (с)только "железячное" (Intel собственно, уже )) - н-но...
- Увеличенный хотя бы до 8-ми (Но десять - лучше!) часов срок автономной _работы_ (Не "включил и ждешь", а именно _работаешь_).
- Доступные SSD с прогнозируемой (Или просто увеличенной ДО) надежностью работы. Гигов 160 со скоростью записи под 200 за нормальные деньги и я ваш ;).
- Качественные изменения интерфейса Честно говоря, предполагаемые multitouch-планшетки не кажутся мне особенно удобными именно для _работы_, но в сочетании с первыми пунктами - чем черт не шутит?

@темы: Работа

15:58 

Две распространенные...

... ошибки (?) при написании firewall'ов:
Первая - исключение из рассмотрения одного из проходов. "Слева у меня диск С и справа у меня диск С, ну я один и удалил"(С), ага. Зачем описывать в правилах два прохода - "замышим" все на выходе в интернет и будем жить, да. В лучшем случае трафик делится на "входящий" и "исходящий" без указания интерфейсов - т.е. дважды проходит _один и тот же_ набор правил, а в худшем - просто ставится что-то вроде ipfw add allow all from any to any via <внутренний интерфейс>.
Пошло все это, как мне кажется с весьма умных людей, которые решали достаточно специфические задачи (Интернет-провайдинг) в достаточно специфических условиях (ОЧЕНЬ большой объем трафика, отсутствие каких-либо "дополнительных" служб на сервере, практически одинаковый уровень безопасности "внутренней" и "наружной" сетей и пр), охотно приводимые ими примеры отлично работали, хорошо читались, охотно комментировались и, как следствие, получили широкое распространение.
"Куда крестьяне, туда и обезьяне", ага. Увы, в "корпоративных" (Малый-средний бизнес, где все еще "в ходу" подобные "самоделки") решениях условия-требования несколько другие: "наружная" и "внутренняя" сеть обладают разными уровнями безопасности, "внутренняя" сеть, кто бы там что не думал, _НЕ_ является "абсолютно безопасной" (Т.е. решение с разрешением _всего_ трафика на внутреннем интерфейсе является категорически неприемлемым), сам брандмауэр может предоставлять внутренним пользователям дополнительные услуги (DNS-сервер, различные proxy и пр) - так что экономить на "головоемкости" не следует, и "мой тоби совет" - контролировать надо _оба_ прохода трафика, причем правила контроля "в общем случае" должны быть _разные_.
Вторая распространенная ошибка - использование nat'а в качестве stateful фильтра. Казалось бы, и там и там мы контролируем src port/addr - dst port/addr, создаем динамические правила с ограниченным сроком жизни - "... What's the difference?"(C). Увы, в большинстве современных реализаций nat'а она все-таки есть. Более-менее контроль состояния обеспечивает т.н. symmetric nat (Навскидку - pf), остальные реализации (Port restricted, addr restricted, full clone nat) допускают те или иные вольности с прохождением трафика (Из любви к истине скажем, что делается это не просто так - наиболее "безопасная" реализация nat'а, равно как и statefull filtering сам по себе, создают значительные проблемы ряду протоколов (Пиринговые сети, STUN и пр)).
Если посмотреть еще чуть-чуть глубже, например, набрав во FreeBSD'шной консоли sysctl net.inet.ip.fw мы увидим:
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
что stateful фильтрация контролирует _все_ стадии "жизни" tcp-соединения, создавая целый _ряд_ динамических правил с разным временем жизни, чем известные мне реализации nat'а (Совершенно справедливо, ибо не барское это дело ;)) не озадачиваются. Ergo - на nat надейся, а "контролем состояния" не пренебрегай, как бы геморройно это ни было в том же ipfw ;). Впрочем, чрезмерно увлекаться подобным контролем тоже не стоит - записи в таблице состояний, записи в таблице nat'а, энное количество правил + два прохода трафика = потенциальная уязвимость к (D)DOS атакам. На мой взгляд, имеет смысл использовать контроль состояния на выходе из firewall'а, а на внутреннем интерфейсе можно применять классическую пакетную фильтрацию образца 80х годов... впрочем, по этому поводу я все еще думаю, ибо "совершенство приходит с опытом" :shuffle:

@темы: FreeBSD, Работа

16:07 

Загадка...

... ну или очередные грабли - это уж кому как ;). Как запрячь в одну упряжку осла и трепетную лань совместить в одном ipfw'шном ruleset'е stateful filtering и kernel nat написано в handbook'e. Чего там _не_ написано (Не удивлюсь, если оный sysctl появился уже _после_ выхода статьи, а "поправить" ни у кого руки не дошли) - sysctl net.inet.ip.fw.one_pass надо ставить в нуль, иначе работать пример не будет. Внимание, вопрос! Можно ли нафантазировать stateful ruleset с one_pass=1 и nat?
Ответ

@темы: FreeBSD, Работа

16:25 

В отличие от большинства...

... хороших программистов, искренне недоумевающих, зачем всякие "быдлокодеры"(ТМ) пытаются натянуть контрацептив на глобус используют реляционные СУБД там, где надо и где не надо (Вот ей-ктулху, каждый раз вижу попытку запихнуть OpenLDAP в какой-нибудь MySQL -и не знаю, плакать, или смеяться), я плохой программист системный администратор подобными вопросами не задаюсь, ибо знаю ответ(ы) ;). Если кому интересно - SQL чуть ли не единственный распространенный декларативный язык программирования, более того, из всего "подмножества" известных мне языков, он является едва ли не самым "человеческим" (Знающий английский язык человек вполне способен _правильно_ понять конструкцию вида select <> from table <> where <>, даже не будучи знакомым с SQL)
Чего я НЕ знаю - так это нафига, ну нафига использовать в качестве рСУБД MySQL, а? Я бы понял, продолжай народ пихать embedded 4-ку, так ведь нет! База на две таблицы, apache с СУБД на одном компе через 127.0.0.1 общаются, а туда же - подавай им 5.1...
Вот чем им всем sqlite не нравится, а? Отличная производительность, достаточный для 995% проектов набор возможностей, практически полное отсутствие потребности в администрировании, встроенная поддержка во всех распространенных языках программирования и прочие "радости бытия", так ведь нет... Не-по-ни-ма-ю.

@темы: Работа

09:19 

"Многа думать"...

... над "шайтанамой" в очередной раз не пришлось. Отдохнул, подумал, открыл исходники, подумал, закрыл исходники, подумал еще чуть-чуть, подвесил на модуль аутентификации SUID, проверил - работает! Этой зар-разе и впрямь не хватало прав на чтение /etc/master.passwd - аутентификация на удаленных серверах проходила "на ура" а локальная - таки ой ).
С одной стороны - "самдурак", мог бы и пораньше допереть, с другой - в рассчете на таких вот дураков можно было и какую-нибудь отладку прикрутить... :shuffle:
UPD А pam_group таки не заработал. От слова "совсем". Выкрутился при помощи родного winbind'ового require_membership_of='SID' и доменных групп. Вот правда лочить пользователя при помощи net rap groupmember delete <группа> <пользователь> -U <администратор> как-то очень уж... /не может подобрать слово/, а если учесть, что пароль этим net'ям мне удалось передать только с помощью expect...
Думаю нехорошее.

@темы: FreeBSD, Работа

11:36 

Шайтанама, аднако!

При помощи кувалды напильника и божьей какой-то матери прикручиваю к проксюку аутентификацию. Номинально - все великолепно, проксюк поддерживает pam, но делает он это м-ммм... в общем, круче "английских ученых"(ТМ) "голландских программистов"(ТМ) могут быть только программисты японские. Из четырех функциональных классов (auth, account, passwd, session) поддерживается только auth да и с тем происходит нечто странное:
Требуется осуществить аутентификацию доменных пользователей, и предоставить части из них доступ в сеть интернет. Ок. Ставим samba'у с поддержкой AD, конфигуряем (Workgroup, REALM, password server, idmap'ы), джойним (net ads join -U <> -S <>), проверяем - wbinfo -u. Работает. Правим nsswitch.conf, проверяем через id <имя> - тоже работает.
Пишем pam'овский файл в одну строчку - auth required pam_winbind.so. Настраиваем проксюк. Проверяем через браузер. Работает.
Добавляем проверку принадлежности к группе - auth required pam_group.so group=internet. Создаем группу, добавляем в нее доменного пользователя, проверяем через браузер - не работает. Хм. Странно. На всякий случай явно ставим winbind enum users/groups в smb.conf - проверяем через getent group. Работает. Браузер - нихтЪ.
"Для упрощения ситуации" - плюем на доменных пользователей. Закидываем локального user'а в группу internet, меняем pam_winbind.so на pam_unix.so, проверяем - упс!
Гхм. Копируем pam'овский файл, например, в su. Проверяем. Как ни странно, su с этими настройками пашет. Копируем обратно, докидываем к unix.so опцию debug. Запускаем, смотрим в debug.log - видим даже не фигу, а вообще черте-что и с боку бантик: pam_winbind.so у которого опции 'debug' нет и не было исправно в логах гадил (Скомпилен так, похоже) а pam_unix.so молчит как кошка об забор, что уж совсем ни в какие ворота.
Многа гуглю думаю.

@темы: Работа, FreeBSD

11:55 

Проникся чувством глубокого уважения...

... к предкам. Всего-то две шестидневных недели (Вторая с двенадцатичасовым рабочим днем) и меня почитай, хоронить можно - а они так (Оу, нет! Не "так", далеко не "так"!) всю жизнь работали! Спасибо соввласти за 5*8, в общем ).

Оффтоп: кто-нибудь знает рецепты салатов с морской капустой? Самой "душманской", консервированной? "Что-нибудь" я, конечно, и сам "насооружаю", не впервой, но...

@темы: Жизнь, Работа

10:23 

А в это время...

... без особого шума и пыли вышла FreeBSD 7_3. Читаю расширенные release notes и просто-таки душа радуется:
- Ну, изменения в ядре меня особо не колышат, хотя сетвой стек JAIL'ов... впрочем, за этим в 8-ку ). Пофисенный баг планировщика радует, но оно и так патчилось
- boot loader с поддержкой zfs - м-ммм... для меня не шибко актуально, но все равно - "спасибо" )
- из hw support'а заинтересовал только пофикшенный баг ipmi и то "теоретически"
- в network'е интересного чуть побольше - починили TCP segmentation offloading в fxp-драйвере, и! (Не успел пожаловаться, ага!) пофиксили багу с whatchdog timeout'ом для xl
- запузырили поддержку vlan в GENERIC-ядро, нарисовали rc-скрипты - давно пора, ага
- пофиксили охапку багов ata-драйвера
- изменили механизм балансировки gmirror'а (Будем почитать, да-ссс)
- всякая мелочь - utf-8 в man'ах, квалификаторы размера в fdisk'е (Алилуйя! Аллилуйя! Аллиллуйя!), прикрутили аутентификацию к fetch'у и прочее разное.
Ня! Буду обновляться )

@темы: FreeBSD, Работа

16:35 

"Одной строкой":

еще пара граблей в логах:
Mar 16 05:08:29 kernel: xl1: link state changed to DOWN
Mar 16 05:08:32 kernel: xl1: link state changed to UP
Mar 16 05:26:47 kernel: xl1: watchdog timeout
или сетевуха глючная (Были на ее счет подозрения, да) - или одно из двух ) Попробовал sysctl hw.pci.enable_msi(x)=0, будем посмотреть.

Плюс недавноустановленный ntpd истошно верещит:
Mar 18 09:55:30 ntpd[4547]: kernel time sync status change 6001
Mar 18 10:46:44 ntpd[4547]: kernel time sync status change 2001
в списках рассылки сообщается, что бага (Не сами по себе микроизменения - это норма, а именно засирание логов), в dev-ветке вроде как даже пофиксенная. Думаю, выкинуть логи из syslog'а в какой-нибудь совсем отдельный файл и тупо рЭзать его newsyslog'ом - ну или просто забить, растет он _сильно_ не быстро ))).

То, что sudo нифига не экспортит переменные окружения я знаю. То, что без экспортированного TERMCAP'а TERM=SCREEN и bell этим самым SCREEN'ом не поддерживается -- тоже логично. Но почему при 'vbell off' вместо этого чертового несуществующего "bell'a" все еще выходит идиотское 'Wuff, wuff!!" мне хоть убей, не понятно.
И то и другое и третье по сути мелочь - но неприятная.

"А в это время" "с мест" сообщают, что у одного из моего серваков - год uptime'a. Однако, ДАТА!

А еще на неделе был День св. Патрика.
И пятница наступила по расписанию (Больно!).
В общем, опять нет повода не выпить! Но! Я всех обманул - и не стал ))).

@темы: FreeBSD, Жизнь, Работа

16:21 

О раздвоении личности

С одной стороны все Мы Николай Второй понимаем, что "лучший метод творчества - это воровство"(С), и удачно примененный "костыль"(ТМ) (Ну, там вместо парсинга с помощью pcre заюзать какой-нибудь, прости осподи, sed/awk, а то и просто grep'ом обойтись) вызывает у меня чувство м-ммм... пожалуй, гордости (Она, какой я умный!) с другой - проекты-франкенштейны, состоящие из костылей чуть более, чем полностью вызывают уже не "раздражение", а натуральную ненависть.
Несоответствие масштабов применяемых средств и достигаемых целей просто убивает: "А давайте мы поставим веб-сервер, базу данных, два языка программирования, поставим "по зависимостям" туеву хучу модулей" - и все это для того, чтобы (Например!) посчитать трафик в конторе на пять машин. И это НЕ единичный случай "тысячи их" в разновсяческих OpenSource проектов.
С одной стороны - изобретать велосипед как-то не хочется, а с другой - разбираться со всем этим... "... и мудрость отличать первое от второго"(С).

@темы: Работа

16:16 

Если вдруг кому интересно...

... над понедельничными граблями "долго думать" не пришлось ;).
Vmware'ная VM'ка + wireshark со всей определенностью показали, что при каждом изменении IP-адреса система разражается т.н. gratuitous ARP-пакетом (Что, в общем-то, фича - а если кто rfc с draft'ами не читает, то он сам себе злобный баклажан), но делает она это sic! даже с отключенным/static ARP (Что, похоже, все-таки бага).
К счастью, внимательное (Ключевое слово!) изучение network.subr показало, что непрерывность последовательности alias'ов, о которой говорилось в man'ах, имеет значение только для парсинга аргументов в rc.conf, но никак не для самого ifconfig'а, которому эти номера псевдонимов вообще не передаются, более того, ifconfig без проблем допускает добавление первого и единственного ip-адреса с использованием синтаксиса псевдонимов. Сталбыть, окончательный вариант решения проблемы имеет вид:
ifconfig_<интерфейс>="ether <мак-адрес> "
ifconfig_<интерфейс>_alias0="inet <адрес> netmask <маска>"
Вуаля. Можно начинать бороться с вторничными граблями ))).

@темы: FreeBSD, Работа

17:42 

Порция понедельничных...

... граблей ).

Сервак, через пень-колоду собрали. Сервак через пень-колоду об-раз-цо-во настроили, увы, "в процессе" выяснилось одно "но" - враг трудового народа провайдер производит привязку по mac-адресу, с-но, при вылете сервера записью старого mac-адреса я никто не озаботился. При подключении "временного" варианта (Зухельного роутера) пришлось через суппорт провайдера произвести привязку к другому mac'у.
Ок. При настройке сервера я это учел и mac зухеля аккуратно записал. Осталось понять, как его ак-ку-рат-нень-ко так подменить при загрузке FreeBSD. Само по себе - не бином Ньютона - ifconfig <интерфейс> ether <адрес>, но при загрузке, через rc.conf?
"Очевидный" вариант - ifconfig_<интерфейс>="inet netmask <маска> ether " по понятным причинам (Все это передается в качестве аргументов родному ifconfig'у, а он "одной строкой" устанавливать адреса разных классов не умеет) не прокатил.
Чуть менее "очевидный" вариант - дважды задать адреса для одного интерфейса в стиле:
ifconfig_<интерфейс>="inet netmask <маска>"
ifconfig_<интерфейс>="ether "
не прокатил тоже (Опять таки, не удивительно, учитывая механизм обработки rc.conf'а).
Затык-с. Просто выполнить юзерский скрипт с этим самым ifconfig'ом - "низкий класс, нечистая работа"(С) - пришлось засучить рукава и полезть изучать /etc/rc.d/netif - далее по тексту ). В процессе родилась "Оригинальная Идея"(ТМ) и файл rc.conf (В "интерфейсной части", ессно!) принял следующий вид:
ifconfig_<интерфейс>="inet netmask <маска>"
ifconfig_<интерфейс>_alias0="ether "
т.е. мы "создаем псевдоним", передаем ему в качестве адреса - mac. Ясен пень, псевдоним (Второй IP на интерфейсе) не созается, но! аргументы старательно передаются ifconfig'у.
И вот он, торжественный момент - сервак втыкается в стойку, нажимается кнопка "пуск"... пять минут - полет нормальный, но тырнетов нет. Быстрая проверка показала, что mac-адрес уже новывый, но толку от этого нет - стандартный шлюз не пингуется, а tcpdump показывает, что все, что он может "отдать" - arp'шный ответ на who has... Полчаса танцев-с-бубном, обратное подключение зухеля - нет эффекта. Пришлось звонить провайдеру. Эти... параноики на первый же ethernet frame с mac'ом отличным от ожидаемого насмерть лочат порт, а rc.conf обрабатывается последовательно...
Буду ДОЛГО думать.

@темы: Работа, FreeBSD

13:29 

Хотел быстренько задать...

... ну ОЧЕНЬ животрепещущий (Для меня) вопрос - но не успел. Абидна, да ).
Откладываем до понедельника.

@темы: FreeBSD, Жизнь, Работа

18:37 

По заявкам радиослушателей...

… о компьютерной безопасности.
Первое. Компьютер НЕбезопасен. В принципе. Так что, если ты работаешь с чем-то действительно важным — храни это не на подключенном к сети компьютере. Внешний носитель, хранящийся в каком-нибудь надежном (Флешка-в-кармане не подойдет!) месте — самоЕ оно. Если для работы постоянно нужен интернет — пользуйся парой неподключенный стационарный комп + ноутбук в сети. «Компромиссный» вариант — использовать для вэб-серфинга виртуальную машину. С современными технологиями (Coherence, Unity Mode, XPMode в 7-ке и прочими seamless RDP'ями) это вполне удобно и на порядок более безопасно, нежели использовать «для всего и сразу» одну и ту же машину.
Второе. Делай резервные копии! Делай резервные копии! Делай резервные копии! Делай... - ну, ты понял. Да-да-да, они «гарантированно нарушают права доступа к файлам» и пэ рэ — но это не повод, чтобы от них отказываться. Храни в надежном месте, шифруй как душа пожелает — но делай. Окупится.

Если у тебя нет ничего НАСТОЛЬКО важного, чтобы городить всю эту тряхомудь, но терять то, что есть все равно не хочется:
Первое — см. пункт 2 ).
Второе — обновляй операционную систему и установленные в ней программы. Регулярно. Частота, предложенная производителем более, чем подходит. Учитывая количество разновсяческих багов в софте не делать этого — хороший способ «отстрелить себе ногу». Для примера — ХРюша без сервис-паков живет в Интернете примерно 1,5 минуты до первого заражения. Делайте выводы ). (Для хитро...вумных — антивирус сам-по-себе делу НЕ поможет. Ставить его на необновляемой системе — все равно что сажать злую собаку за забором с дырками — что-то может и поймает, но часть пролезет обязательно)
Третье. Используй файрволл. От всего не защитит, но энную часть проблем ликвидирует. (Эх, хорошо бы еще понимать, что это такое и как оно вообще работает — но тут уж как получится. Уповай на то, что производитель файрволла это ПОНИМАЕТ ;))
Четвертое. Используй антивирус. Легальный. С обновлением вирусных баз. Частота обновления — рекомендуемая производителем. (Для хитро...вумных: пейратское зеркало — не самый лучший вариант. Кто его знает, с какой частотой оно синхронизируется с основным? А в случае 0-day атак речь идет о _часах_). Какой — честно говоря, не суть важно лишь бы не Касперский))). Сам сижу на avast'е и не пищу.
Пятое. Минимум раз в месяц (Можно чаще) проверяй компьютер утилитами сторонних (По отношению к используемому антивирусу) производителей. DrWeb Cureit (Хоть и скурвился он в последнее время) AVZ — что там еще... по сути любая дрянь не повредит.
Шестое. Не ставь на компьютер всякую левую фигню. Разновсяческие улучшайзеры, свистоперделки, типаклиенты и пр. не только сэкономленные «пять секунд» времени, но и пара мегобайтов редкоглюкавого кода.
Седьмое. Отключай НАФИГ всю автозагрузку в своих виндах. Более м-ммм... неудачного решения с точки зрения безопасности я, пожалуй, даже не назову. Не иначе как какой-то, прости оссподи, ди-зай-нер придумал. Еще бы неплохо создать пустой файлик autorun.inf в корне каждого диска и дать на него права только и единственно системе... но народу обычно недосуг, а ЗРЯ.
Восьмое. Используй длинные пароли. Длинные — это больше, пожалуй... 12 символов. Цифры, буквы, спецсимволы. Менять м-ммм... раз в три месяца, думаю, достаточно. Для разных типов ресурсов используй разные пароли. Не используй «запоминание» паролей, ибо нефиг.
Девятое, и, пожалуй, главное. ДУМАЙ, что делаешь и куда ходишь. «Если ты пьешь с ворами...»(С), ага? Если высунув язык ищешь по всей сети «детское порно» или «кряк для последней версии супер-программы» или там ползаешь по баннерам «одноклассников-в-контакте» - то, в общем, так тебе и надо — все что выше можно было не читать.

Ну и последнее - все это не дает _никаких_ гарантий. Совсем. Но шансы повышает значительно. Тут как с презервативами - гарантий нет (О чем производитель "мелким шрифтом" честно сообщает) - но сексом заниматься все равно хочется, так что... )))

@темы: Жизнь, Работа

16:15 

И о секьюрности(ТМ):

Разнообразные банки, Электронные Платежные Системы, Системы Передачи Электронных Документов и пр. делают все для повышения безопасности, а пользователи старательно с этим борются. Заметим, небезуспешно.
Банк делает Защищенное Соединение между клиентом и своим сервером (Как и через какое место это делает фирма "Амикон" - пожалуй, не будем ))? Юзверь старательно сносит (Ну или ставит галку "запомнить") пин-код.
Банк требует две (Три, четыре и тэ дэ) электронных подписи для отправки документов? Все три дискеты будут защищены одним паролем (1-2-3-4, ога) и лежать будут у одного человека (Оч. может быть даже не у главбуха, а у кассира )).

Обычное дело, в общем. Но примененное очередным клиентом Техническое Решение меня, если честно, удивило: вместо того, чтобы использовать в качестве "ключевых носителей" разные носители информации (Дискеты, флешки и пр.) и переключать их по требованию программы (Сбербанковского банк-клиента, если что) товарищи свалили ключи на жесткий диск и прописали _две_ конфигурации программы, отличающиеся только путем к ключу - с-но, для подписи данных перед отправкой в банк надо было не менять дискеты, а запустить две копии программы с разными конфигурациями. Элегантное решение (О "бе-зо-пас-нос-ти" помолчим), не правда ли? Вот только выяснилось все это в процессе переустановки windows с форматированием диска...

@темы: Работа

16:26 

Восстание машин

Все началось с того, что вполне знакомый, еще поза-позавчера абсолютно рабочий ключ отказался открывать дверь. Напрочь.
Параллельно выяснилось, что "интернет-не-интернетит". Весело день начинается, ага.
После Героической (При помощи плоскогубцев и какой-то матери) Победы над Дверью выяснилось, что интернет не просто "не интернетит", но и на пинги на внутреннем интерфейсе не отзывается, что уже совсем ай-яй-яй. Подключенный монитор с клавой показали, что система свалилась в single user mode по причине повреждения ufs. Ручная проверка привела к удалению... проще сказать, что не побилось, чем перечислять потери ).
Make installworld вернул системе относительную работоспособность, но вопроса (разумеется) не решил. Изучение логов показало, что 7го числа по причине глюков с первым винтом рассыпался рейд, "на честном слове и на одном винте крыле" система продержалась часов 8 и по причине глюков уже со вторым винтом свалилась в ребут. Поднялась она, разумеется, уже без всякого рейда, проработала до 5 утра 8го марта и сдохла уже куда более основательно (Побилось почитай все, смонтированное в rw - логи, кэш проксюка, обновлявшееся по расписанию дерево портов и пр).
Попытка разрулить ситуацию штатными средствами (gmirror forget - замена винта - gmirror insert) к успеху не привела - оба винта отчаянно матерились на IDMA CRC error'ы, вызывали "interrupt storm'ы" и падали на первых 10 процентах ребилда. Было принято решение "по быренькому" переставить фрюху и накатить на нее часть старых конфигов с бэкапа.
"Быренько", ага. Сначала отказался писать уже не встроенный (ВСЕ ЕЩЕ не починенный!) резак, но подключаемый через USB-контроллер IDE'шный ветеран, после успешного прожига (Гы-гы! Осуществленного с помощью линуксовой машинки, с mount -t ntf, mkisofs и прочих прелессстей) "внезапно" выяснилось что в серваке стоит только и исключительно CDROM, и ни о каких DVD речи не идет, пришлось опять подключать внешний DVD через USB-интерфейс.
После третьего ребута он даже нормально опознался, но делу это помогло не сильно - попытка записи на уже новые винты успехом не увенчалась - установка систематично падала на разных стадиях процесса с теми же ошибками винтов. Речь зашла уже не о винтах а о контроллере и на "быренько поставим" никто особо не надеялся.
Было решено поставить какой-нибудь роутер со склада и не мучится. Щаз! Найденный "wireless" зухель долго отказывался выдавать дефолтовый пароль (На коробке его не нашлось, в бумажной мануале была только рекомендация воспользоваться диском с netfriend'ом - Мать-мать-мать! Про это я как-нибудь отдельно выскажусь), в процессе первоначальной настройки выяснилось, что во время передергивания оборудования в стойке я как-то сумел вырубить розеточную панель, на которую был запитан в том числе провайдерский свитч, ну и в довершение - провайдер использовал привязку по MAC-адресу, а записать MAC старой сетевухи я того... не догадался.
В общем, весь комплект приятных ощущений поимел.
Завтра буду потрошить "умираю-но-не-сдаюсь" сервер )))

@темы: Жизнь, FreeBSD, Работа

19:01 

Что такое настоящий...

... КРИЗИС? Это когда _официальный_ представитель _Microsoft'а_ на конференции Techdays говорит, что "... раньше, в тучные времена мы могли привозить серверы, АТС, еще что-то, а сейчас..." - и показывает на два сиротливо стоящих ноутбука ))))
\ОЧЕНЬ ехиодно\ При этом MS Exchange 2010, одной из трех главных целей которого является "снижение затрат" (Sic!) стоит ничуть не дешевле 2007го )))

@настроение: Как страшно жить!

@темы: Жизнь, Работа

15:20 

О "черной магии"...

... мать её за ногу ). Есть в разновсяческих *nix'ах туева хуча энное количество параметров, которые никто толком не знает, как настраивать ("Зависит от нагрузки"(Ц) - читай "развитым классовым чутьем") - все бы хорошо, не оказывай они порой такое влияние на жизнедеятельность системы. Не будем поминать недоброй памяти maxusers (которая не "max" и к "users" никакого отношения не имеет) - она давно (Вроде как еще с 4-сколько-то) ставится автоматически, отложим в сторону nmbclusters (На не ОЧЕНЬ сильно нагруженных серваках оно почитай что и не роляет, ибо хе-хе! меняется в зависимости от maxusers), забудем на время про туеву хучу недокументированных sysctl'ей - эт все мелочи, но! Вот скажите мне, как я должен выбирать размер файла/устройства для хранения GJOURNAL'ьного журнала, а?
По формуле 3,3*(объем памяти) взятой из статьи про настройку _десктопа_? А если её у меня хренадцать гигов? М? По суперформуле ram+swap? Взять, как предлагают, ((скорость записи на диск)*20 + хрен-его-знает)? А теперь добавим к "процессу выбора" тот факт, что в случае нехватки места под журнал мы ловим глухой висяк + возможную потерю данных... весело, да?
Или вот глянем в сторону "супер-альтернативы" - zfs (Отдельные "лучи поноса": системные требования в виде 2+ гигов памяти _на файловую систему_-то!, отсутствие поддержки ACL, которые еще-только-обещают приделать, причем не posix, а вполне себе NFSv4, траблы с загрузкой...). В варианте i386: Typically you need to increase vm.kmem_size_max and vm.kmem_size (with vm.kmem_size_max >= vm.kmem_size) to not get kernel panics (kmem too small). The value depends upon the workload. - "классовым чутьем", ога. Еще и ядро пересобрать с KVA_PAGES, число которых тоже не понятно, откуда брать. А-ааатлична, я считаю.

Не, я отлично понимаю, что при помощи этой и тому подобной "черной магии" _иногда_ можно очень даже значительно повысить общую производительность системы, что в принципе невозможно в "не столь открытых" ;) системах, но, но, но... Иногда все это ОЧЕНЬ раздражает )

@темы: FreeBSD, Жизнь, Работа

Танец-с-саблями на граблях

главная