klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

ОколоITшный дыбр #2

... Кажется, список ненавистных мне продуктов пополнился VMWare-ю, Fortinet-ами и Lenovo. Ну еще и HP, который оттуда никуда и не девался никогда.

Разработчики VMWare-и явно возложили большой и толстый болт на интерфейсы и юзабилити. Понятно, что продукт изначально клепался под сисадминов. Те типа образованные, и так зохавают. Но блин... когда по пятому разу ищешь там какую-нибудь настройку, которую раньше уже точно "где-то видел", это вымораживает. Начинаешь всерьёз "ковыряться в кишках": то нельзя, сё нельзя, туда не ходи, сюда не ходи. Тип контроллера диска на установленной системе поменять не дадим, тип эмуляции сетевухи другой выставить — только удалять и заново пересоздавать.

Отдельный прикол. Если у тебя на хост-машине всего один сетевой интерфейс, то заменить Standart Switch на Distributed (VSS → VDS) ты преспокойно можешь хоть удалённо, хоть как. А вот в обратную сторону — хренушки. Разве что если только у тебя есть непосредственный локальный доступ к физической консоли. Иначе потеряешь коннект до ноды, потому что management-интерфейс ходит ровно через тот же виртуальный свитч, что и всё остальное. Ну ё-моё, как так-то?

Я раньше наивно думал, что ProxMox кривой. Но нет, по сравнению с VMWare-ю это просто образец логичности и удобства. М-дя...

С "фортиками" влетел в какой-то странный баг. Оный, значит, работает в качестве Gateway / NAT / DNS Caching Proxy. Ресолвишь любой адрес внутри локальной сети, в том числе с DNS-сервера с другой площадки через IPSec-тоннель — всё нормально. Запрашиваешь у самого FortiGate-а рекурсивно — всё нормально. Пытаешься спросить у любого другого DNS-сервера в интернете — ответ приходит через 2...5 секунд. К сожалению, их не я настраивал. И меня туда не пускают. Дебажить тоже особо нечем, не на чем и некогда. Но всё это крайне странно. Любые другие протоколы работают без проблем. Не знаю что это.

Другой глюк на другой площадке с другим "фортиком". Там он работает в том числе DHCP-сервером. Свежеустановленный Debian 10 пытается запросить адрес по DHCP и не может его получить. Причём, ответ с адресом от сервера ему на самом деле прилетает. Только, судя по всему, какой-то "невкусный". Если настроить статикой — всё работает. Если пытаться подключаться не проводом, а по Wi-Fi, тоже всё нормально. Особо доставляет, что этот же дебиан был изначально установлен ровно с того же самого провода (NetInstall). Такой же глюк иногда проскакивает и на другом ноутбуке с Debian-ом. И опять у меня нет времени отладить эту НЁХ (неведомую ***ную ****ю).

Lenovo. Фирменный десктоп. Если хочешь зайти в настройки BIOS / EFI, будь добр подключать монитор по VGA. Никакого HDMI. Иначе тупо ничего не увидишь. XXI-й век, блин, а отображать EFIшный интерфейс через HDMI-шнурок так и не научились...

Но HP aka "Невлётт-Раскард", пожалуй, доставил мне рекордное количество геморроя. Какой-то топовый абсолютно новый ноутбук (забыл модель). Нельзя просто так взять и загрузить его с флешки! Надо мудохаться в разных позах, с предварительными ласками и поглаживаниями. С какой-то попытки мы поняли, что после любой перезагрузки надо заходить в EFI и менять там настройку TPM (Trusted Platform Module) на какую-нибудь другую (неважно какую). Тогда ноут увидит загрузочную флешку. Иначе — хренъ. Я худею в вашем ресторане...

... Обновилась мобильная Яндекс.Почта. Разрабы туда встроили развлекуху: протыкайся в разные места интерфейса и получи подарок к новому году. Где в качестве "подарка" выступает 30%-ная скидка на подписку Яндекс.Диска. Одним словом, абсолютно бесполезная хрень. Не тратьте на это время.

... Говорят, выкатили мобильное приложение для ЖЖ под Android. Народ уже вовсю хает его. Кто-нибудь пробовал? А то я прям боюсь обновляться. Как говорится, работает — не трогай.

... Подумалось тут. Допустим, у тебя есть readonly-доступ к чьему-нибудь LDAPу (например, AD). И ты можешь посмотреть логины всех пользователей. А чересчур параноидальные системные администраторы настроили в домене глухую блокировку учётной записи после трёх неудачных попыток ввода пароля, с разблокировкой только вручную по письменному заявлению. Так вот, если какой-нибудь доброжелатель возьмет и пройдётся скриптом по всем учёткам с заведомо неверным паролем, это что ж получится, организация фактически потеряет доступ к своему домену?

Тут вопрос больше академический. С одной стороны, хочется противодействовать bruteforce-перебору паролей. С другой стороны, сам факт знания злоумышленником чьего-либо логина делает его легального владельца крайне уязвимым. Как эта проблема решается в реальном мире на реальных системах? Про Fail2Ban я знаю, сейчас речь про винду и интегрированные в неё и в AD сервисы.

Всем крепкого сна и надёжных паролей. Чмоке (not gay).

Tags: it, грабли, лытдыбр
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 18 comments