Category: компьютеры

Category was added automatically. Read all entries about "компьютеры".

Cat-light

ОколоITшный дыбр #19

... В одном из прошлых постов я уже рассказывал про заказчиков-дятлов, которые хотят чтобы им всё инсталлировали и запустили в лучшем виде, но при этом всё анально огораживают. Ни тебе доступа в интернет, ни нормальных зеркал дистрибутивов, ни IPSec-тоннеля, попадать на машины SSH-ем через три промежуточных хопа и всё в этом духе.

Теперь они хотят, чтобы внутри их же контура (!) всё бегало исключительно по SSL / TLS. Вот спрашивается, на хуа? Там у них vSphere, у меня есть подозрение, что трафик с одного физического хоста-то никуда не уходит. Но таково требование "безопасников". Ну ладно, предложил им что сгенерирую самоподписанные X509-сертификаты сроком на 50 лет и раскатаю их везде по всем сервисам. Нет, говорят. Хотят чтобы всё было подписанно их собственным PKI-ем. В чём разница, не понимаю. От чего они таким образом пытаются защититься? Ну ладно, начинаю им рассказывать про X509v3 Extended Key Usage и про X509v3 Subject Alternative Name, объясняю какие значения должны быть выставлены в этих полях, чтобы такие сертифкаты нормально зохавали бы всякие Clickhous-ы и Zookeeper-ы. Они не знают как это сделать на их PKI. Ну зашибись...

... Их не то сисадмин, не то "безопасник" не смог openssl-ем сгенерировать самоподписанный сертификат для nginx-а. Просто по собственной невнимательности: создал один файл с закрытым ключом, а nginx-у подсунул другой. Потом долго удивлялся, почему оно не взлетает. Чтобы разобраться, ему потребовалось созвать конф-колл по этому поводу на четверых инженеров и одного PM-а. Я с них просто охреневаю.

... В который раз убеждаюсь, что все эти так называемые "безопасники" занимаются ровно одним делом: постоянно доказывают всем окружающим собственную нужность и незаменимость. Ну и в качестве мелкого бонуса мешают работать всем остальным. На технические навыки у них в голове места уже обычно не остается.

... Кстати, может кто-нибудь знает, как проще всего подцепить в RedHat 7 пакетные репозитории от CentOS 7? Это у другого заказчика-дятла. Приходится туда софт доустанавливать через SSH-тоннель и TinyProxy. Но RedHat, сцуко, подписЬку требует. Я где-то уже раньше так делал. Но где, не могу вспомнить.

... А ещё вопрос к цискарям, если оные меня читают. Где можно взять / стырить последнюю-распоследнюю прошивку для Cisco ISR 2911? Завалялась у меня парочка где-то в шкафу. Выбрасывать жалко. А так, глядишь, может подо что-то и приспособлю.

... Вот не понимаю. "Ростелеком" раскидывает по почтовым ящикам листовки со своей рекламой. Мол, подключайтесь, вкусные тарифы, все дела. А звонишь им — говорят "стояки забиты, подключить не можем". Ну и где логика? На хрена тогда рекламой своей спамить? Чудики.

... Моя суперсучка умудрилась сломать себе хвост. Пруфпик ниже. Истеричная, засранка. Подумала, что её дома одну оставили. А когда я проснулся, от радости долбанула со всей дури этим самым хвостом о стеллаж.

Всем вменяемых заказчиков и целых хвостов.

Cat-light

Juniper, Fortigate, IPSec

У меня заточен отдельный зуб на тех, кто использует у себя в проде всякие там микротики, убиквити, чекпойнты, фортигейты и прочие opnsense-ы. Но сейчас не об этом.

В ждунипере (Juniper) есть давно известный баг, который приводит к невозможности построить IPSec с использованием IKEv2 до оборудования другого вендора, если в криптодомене содержится более одной записи (больше одного traffic selector-а). Проявляется, когда с другой стороны стоят некоторые Cisco ASA, Checkpoint, Fortigate. С Cisco FirePower (FTD) работает нормально. Видимо, народ забодал техподдержку последних, и они включили какой-то workaround в свои актуальные прошивки.

Вариантов решения, к сожалению, немного.


  1. Откатываться на IKEv1, потеряв при этом возможность использовать современные криптоалгоритмы.

  2. Договариваться с вражеской стороной, чтобы в криптодомене присутствовала бы только одна запись. Например, "0.0.0.0/0", как вариант.

Мне вот искренне интересно, начиная с какой версии JunOS они исправили этот баг, и исправили ли вообще. Так-то это хороший повод обновить прошивку, но чё-то нет уверенности, что это не будет заменой шила на мыло.
Cat-light

Juniper не дружит с IKEv2

Продолжаю рубрику о ненависти к Juniper-ам.

Практика показала, что когда строишь тоннель между Juniper-ом и чем-то другим, то в случае попыток использования IKEv2 тебя ждут большие проблемы.

Самая мелкая из них заключается в том, что Juniper не даёт явно выставлять Pseudo-Random Function. Об этом я уже писал раньше.

Следующий прикол — разработчики софта традиционно по-разному трактуют RFC. А в IKEv2 появилась возможность делать как по принципу "одна SA — один тоннель", так и запихивать в рамки одной и той же SA несколько различных identities (грубо говоря, несколько маршрутов в одном тоннеле с одной SA). Так вот, иногда они не могут договориться: пруф 1, пруф 2. На практике это выглядит так, что тоннель поднимается только по запросу одной из сторон, а Juniper постоянно гадит в логи про то, что не может согласовать какие-то security associations (SA).

И самое мерзкое, с чем лично мне пришлось столкнуться — это конкретное такое "залипание" тоннелей на IKEv2. Настолько конкретное, что не спасают "clear security ike бла-бла-бла", "clear security ipsec бла-бла-бла" от слова "совсем". То есть формально Juniper показывает, что всё нормально, SPI меняются, но трафик не ходит. Помогает только деактивация проблемного traffic selector из конфига, выжидание 10 минут, потом активация обратно.

Короче говоря, между двумя Juniper-ами там особых проблем нет. А вот между какой-нибудь Cisco ASA и Juniper надо всё-таки брать IKEv1 и не вы**ываться.

Хотя, с другой стороны, мне известен как минимум один обратный кейс. Когда строили IPSec-тоннель между Juniper SRX и каким-то Huawei, то там было наоборот. IKEv1 не хотел подниматься из-за косяков в прошивке "хуявого", а вот IKEv2 таки взлетел.

Техника несовершенна. Но Juniper — это лютая попа-боль.

Cat-light

Энергоэффективная, блин, Lenovo

— А чо у вас сервак такой тормозной?
— Он не тормозной, он энергоэффективный!

Мы с коллегой относимся к поколению старых пердунов oldschool. Никаких данных ни в каких облаках не держим. Есть свой собственный парк железных серверов, чуть меньше сотни. Холим их, лелеем, меняем в них жёсткие диски, обновляем всякие UEFI и прочие FirmWare периодически.

В очередной раз обновили прошивку на одном из ящиков имени Lenovo. Водрузили туда высоконагруженный Javaписьный сервис. И заметили, что по производительности он просел больше чем в два раза по сравнению с "необновлённым" сервером. Latency по ответам выросли раза в четыре. А "сборщик мусора" дык вообще захлёбываться начал.

Стали искать причину. Я подозревал одно, коллега другое. В конце концов выяснили, что после обновления UEFI железка примерно в два раза занизила частоту всех ядер CPU. Типа, из соображений экологичности, энергоэффективности и всё вот это. Она решила, что раз ядра не утилизируются на все 100%, то нагрузки на них якобы нет. А раз так, то можно немного поэкономить электричество и зарезать тактовую частоту. Причём, из самой операционной системы повлиять на режим работы никак нельзя.

Понятно, что в BIOS / EFI есть соответствующая настройка. Которую просто никто никогда не трогал, вот она и осталась "с завода" по умолчанию. Но раньше с этим проблем никогда не было. А после обновления вот производитель решил, что негоже столько электричества кушать, ночью надо спать и выключать.

Ну охренеть, короче говоря. А самое западло, что "на лету" поменять эту настройку нельзя. Точнее, поменять-то можно, но новое значение вступит в силу только после полной перезагрузки. Теперь придётся перезагружать все сервера, которые мы успели обновить. Что само по себе является ещё тем развлечением...

М-дя. Я вот не понимаю, каким местом рассуждают производители энтырпрайзного жылеза? По-моему, "энергоэффективный сервер" это что-то типа безалкогольной водки или пожаровзрывобезопасного топлива. Он для того и нужен, чтобы жрать электроэнергию и считать, считать, считать. Не для мебели же он в шкафу прикручен.

А вы как думаете?

Cat-light

ОколоITшный дыбр #18

... Вроде бы, причина неработоспособности видеонаблюдения стала чуть яснее. Посмотрел внимательнее WireShark-ом. Почему то в тот момент, когда камера (Dahua) отправляет на сервер ONVIF-событие о начале движения в кадре, на несколько секунд прекращается / задерживается трансляция RTSP-потока. Старые версии BlueIris-а на это никак не реагировали (просто на записи картинка "подлагивала"), более свежие обзавелись WatchDog-ом и стали отбивать / перезапускать RTSP-сессию. А в совсем свежих поменялся алгоритм этого WatchDog-а, поэтому камеры стали постоянно отваливаться. То есть, баг по всей видимости был всегда, просто раньше я его не замечал или списывал на маломощность ноутбука. Остались два традиционных вопроса: "кто виноват и что делать".

... Если строить site-to-site IPSec-тоннель между Juniper SRX и Cisco ASA, то можно обнаружить, что раз в полчаса (при дефолтных настройках) он рвётся и тут же восстанавливается обратно. Проблема описана, например, здесь, но на тот псто никто не ответил. С одной стороны, "быстро поднятое упавшим не считается". С другой стороны, SRX успевает опустить-поднять ST-интерфейс, событие улетает в мониторинг, условный Zabbix срабатывает, у дежурных инженеров начинает бомбить. А причина заключается в том, что на Cisco ASA по умолчанию стоит "vpn-idle-timeout". Если за полчаса через тоннель не проходит никакого трафика (DPD не считается), то циска опускает его. Как вариант, можно на SRX-е настроить RPM Probe (пингушку) на вражескую сторону. Помогает.

... Чё-то перестал у меня работать ЖЖ из-под FireFox-а с плагинами. На "голом" работает. Подозреваю, что uMatrix мешает. Тут народ всерьез начал присматриваться к Teletype. У меня всё лапки, опять же, не дойдут. Только аккаунт там себе зарегал, и всё. Кто-нибудь уже пробовал, как оно?

... И я, кажется, нашел нормальную замену для Evernote. Называется "Notion". Умеет всё то же самое и для личного использования [пока] бесплатен. Тяжко менять привычки, так что скорее всего просто "уйду" туда.

... Безопасность должна быть безопасной. Один "безопасник" настроил параноидальные параметры по сроку действия / требования к обновлению пользовательских паролей на *nix-машинах. Только не учёл, что в не менее параноидальной CentOS-и из коробки openssh-демон проверяет в том числе и это тоже через "pam_unix.so". Ходили-ходили пользователи три месяца по SSH-ключам, а потом "бац" — и внезапно их перестало туда пускать. Смешно. Казалось бы, при чём здесь Лужков пароли? А вот поди ж ты. Ещё смешнее то, что я начинаю объяснять почему так получилось, а мне не верят...

... По долгу службы поимел много секса с Apache Cassandra. С одной стороны, вроде хорошо продуманная навороченная мощная отказоустойчивая система. Кластеры-уястеры, кворумы, восстановление после сбоев и всё вот это вот. С другой стороны, вот никогда не поймешь чем конкретно она занимается в данный момент времени. Попытался по официальной инструкции перенести seed-ноду на другую машину: всё уронил к херам. Оказывается, я неправильно истолковал эту самую инструкцию, и переносить seed-ноды на самом деле нельзя. Назначил другие ноды seed-овыми, перезапустил. Cassandra начала что-то люто читать с дисков. До перезапуска 30 Мбайт/с, после рестарта — 2 ГБайт/с. Почему? А хрен его знает, товарищ прапорщик! Через полдня упало до 300 Мбайт/с. Что это было? ХЗ. По логам не понять.

В другой раз решил заменить стандартный allocator памяти на jemalloc. Только забыл установить jna и поменять в конфиге кассандры директиву "memtable_allocation_type". Точнее, не забыл, а просто не знал. Она не выругалась, с виду вроде всё работало. Но когда пошла предновогодняя нагрузка... у-у-у-у-у. Хана, короче. Тушите свет, сливайте воду. Хорошо, главный разработчик ткнул пальцем куда надо смотреть. Иначе бы я ещё сильнее огрёб. Ох и чудесатая же это штука. Не для среднего ума вроде моего.

... Прикольный артефакт. XMPP-бот, написанный на bash и sed. Я вот теперь думаю, можно ли его слегка доработать таким образом, чтобы он полученные сообщения отправлял не обратно, а на два других аккаунта. Вот надо мне это. Или может что-нибудь другое проще для этой цели взять?

... Снёс с телефона официальное приложение Сбебранка, установил допиленное народным умельцем, с выкорчеванным антивирусом, без рекламы и проверки рута. Какой же кайф! Заодно и телефон стал меньше лагать. И чего я раньше так не сделал?

... Хочу продуть от пыли теплообменник своего холодильника. У кого-нибудь есть небольшой компрессор или пароочиститель погонять на недельку? Поделитесь, а?

... Чем бы помазать уплотнители дверей в автоведре, чтобы они не примерзали? Силиконовым спреем, или чем-то другим?

... Собака чего-то нажралась, схватила аллергию, расчесала себе ухо до крови. Вот блин, всегда так. Чем породистее, тем больше проблем с питанием. Сука. И главное, понять не могу на что именно. Подозреваю яблоки, но обосновать не могу.

Всем чистых теплообменников и бархатных неповрежденных ушей.

Cat-light

Juniper SRX <--> Cisco ASA : IPSEC, PRF

Предыстория вопроса.

Приходят очередные контрагенты, говорят "давай строить IPSec-тоннель". Традиционно предлагают DH Group 2 и SHA-1. При том, что у самих стоит ни разу не самая древняя Cisco Firepower 4120. Ну я им возражаю, мол, какого. Давайте тогда уж DH Group 14 и SHA-256 хотя бы. Они: "окей, давайте, но наша железка потребует тогда IKEv2". Ну давайте IKEv2, тоже мне, испугали ежа.

А дальше начинается интересное. При включении IKEv2 циска явно просит указать алгоритм PRF (pseudo-random function), которой хешируется PSK. И по умолчанию выставляет в качестве оной всё тот же приснопамятный SHA-1. Что касается Juniper-а, то он вообще не даёт пользователю / админу определять PRF, а выбирает его сам. Причём, заранее неизвестно какой именно. В документации про него ничего не сказано, в логах тоже не пишет. Просто отбивает первую фазу по "No Proposal Chosen", а дальше иди и гадай почему. И только когда IPSec-соединение будет успешно установлено, в "show security ike security-associations detail" можно будет посмотреть что же он там выбрал. Ну спасибо, добрые инженеры. Вам срочно потребуется вызвать всех телепатов из отпуска прежде чем начинать строить тоннели. Причём, телепаты должны уметь читать мысли бездушной железки.

Но я всё-таки дорюхал. Так что вот вам правильный ответ, телепатов можете отправлять обратно в отпуск.

Если для первой фазы используются AEAD-шифры, то Juniper выберет PRF=SHA384. Если "традиционные" шифры с отдельной проверкой целостности (в терминах циски "integrity", в терминах Juniper-а "authentication-algorithm"), то Juniper выберет ту же функцию, которая используется для проверки целостности. Например, для "authentication-algorithm sha-256" будет активирована PRF=SHA256 и так далее.

Собственно, у меня к такому поведению особых претензий нет. Но вот за то, что оно нигде не описано, ни в каких доступных мне мануалах, Juniper заслужил от меня очередной смачный плевок в свою сторону. Cisco в этом плане ведёт себя куда корректнее. Кстати, выбор PRF-а StrongSWAN-ом примерно похож на Juniper-овский, но там это вполне внятно задокументировано. И StrongSWAN позволяет поменять PRF при любом раскладе, в отличие от.

Так что если кто будет строить IPSec между Juniper и ASA / Firepower, имейте в виду. А, и да, ещё один нежданчик. Вот отсюда:
https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/security-edit-policy-ike.html

ascii-text key—Specify a string of 1 to 255 ASCII text characters for the key. Characters @ + - or = are not allowed

И чем же вам плюсы-минусы в PSK-то не угодили, родные? Какого хрена вы вообще мне указываете что можно писать в PSK, а что нельзя? А не уху ели ли вы часом? Та же циска жрёт в PSK что угодно и не давится.

Забавно, что в разных мануалах по Juniper-ам фигурирует разный набор разрешенных / запрещенных символов в PSK. Хрен поймет кому верить.

Грёбаные индусы...

Cat-light

ОколоITшный дыбр #15

... 10ые форточки так и норовят создать свой "раздел восстановления". Даже если мне он нафиг не нужен.

Переносил тут систему "Шиндошс 10" с одного привода на другой. Как выяснилось, проще всего это сделать при помощи утилиты "partclone", предварительно порезав целевой накопитель на разделы нужного раздела. Потом можно запустить какого-нибудь "стрельца" и иже с ним и восстановить bootmanager. Всё вышесказанное справедливо для UEFI-режима, на MSDOS не пробовал.

Так вот, в процессе переноса я старательно выкорчевал пресловутый recovery-раздел. И таки знаете шо? При ближайшем же мажорном обновлении не в меру вумные форточки самостоятельно отчекрыжили от системной партиции полгигабайта и создали там этот богомерзкий recovery.

Collapse )
Cat-light

Сила привычки

Коммутатор Cisco Catalyst. В принципе, неважно какой.

Ну никак я не привыкну. Сколько раз уже наступал на эти грабли, и всё продолжаю в том же духе.

Мало просто взять и разрешить VLAN на access-порту или в транке. Надо его ещё отдельно создать в "configure terminal" командой "vlan XXX". При этом в running-config они, сцуко, не отображаются. Только в "show vlan". Но при этом где-то сохраняются, так как восстанавливаются после перезагрузок.

К этому нужно привыкнуть. Просто привыкнуть...

Cat-light

Типа секретное меню в BIOS-е

Не спрашивайте зачем, мне понадобилось установить Debian на ноутбук имени Acer Aspre 7 (N19C5).

А прикол заключается в том, что там унутри есть Intel Optane (это такой типа RAID для NVMe-шных SSD-шек). И по умолчанию "из коробки" он включен. По данной причине на него можно установить только распоследнюю Windows 10 (build 1909 и свежее). Все остальные системы тупо не видят встроенного носителя, т.к. он представляется не как NMVе, а как SATA RAID, коим ни разу на самом деле не является.

Чего я только не пробовал, чтобы вкорячить туда Linux. И распоследние ядра использовать (5.8.5), и всякие "dmraid=true" в параметры старта ядра прописывать, и BIOS обновлять. Ничего не помогает.

Collapse )