November 18th, 2020

Cat-light

Мимолётная мысль #52

... По долгу службы время от времени приходится строить IPSec-тоннели с различными контрагентами. Обычно всё начинается с того, что они тебе присылают так называемый "опросник", который нужно заполнить: IP-адреса внутри/снаружи, шифры, контактные персоны и так далее. Так вот, 99% из них предлагают использовать морально устаревшие еще в каком-то там 2000-лохматом году алгоритмы Diffie-Hellman Group 2 и SHA-1. Среди оных попадаются и крупные операторы связи с до фига раздутыми штатами "информационной безопасности".

И никто, никто из них ни разу даже не заикнулся насчет IKEv2, например, или AES-GCM-256.  Хотя железки у них у всех мощные и свежие. Тьфу, блин, ITшнички...

... А одни из таких гавриков меня вообще улыбнули. Они со своей стороны терминируют тоннели на vSRX. То есть башляют безумные бабки за лицензию, приобретают кучу дебильных ограничений от Juniper-а (то нельзя, сё нельзя), но при этом не получают производительности ASIC-ов специализированного сетевого оборудования. Вот скажите мне, на фига? Есть жы ж замечательный  открытый проверенный временем StrongSWAN. Зачем им понадобились какие-то непонятные кустарные самоделки?

... Начиная с Debian 10 (buster) в дистрибутиве по умолчанию включён и задействован AppArmor. Эххх, и туда это модное поветрие докатилось. Как эти все "безопасности" уже достали, сил нет. Систему настраивать нормально не пробовали?

... Кто изобрел эту уродскую конструкцию осей / втулок на велосипеде? Я, конечно, понимаю, что дешёво и технологично в изготовлении. Но никогда не думают о тех, кто будет это эксплуатировать. Я всё никак не найду подходящего гаечного ключа. Один слишком толстый, другой на полмиллиметра меньше чем нужен, остальные сломаны. Один раз снял с рамы колёса, теперь вот уже почти полгода как поставить на место не могу.