Category: компьютеры

Category was added automatically. Read all entries about "компьютеры".

Cat-light

ОколоITшный дыбр #18

... Вроде бы, причина неработоспособности видеонаблюдения стала чуть яснее. Посмотрел внимательнее WireShark-ом. Почему то в тот момент, когда камера (Dahua) отправляет на сервер ONVIF-событие о начале движения в кадре, на несколько секунд прекращается / задерживается трансляция RTSP-потока. Старые версии BlueIris-а на это никак не реагировали (просто на записи картинка "подлагивала"), более свежие обзавелись WatchDog-ом и стали отбивать / перезапускать RTSP-сессию. А в совсем свежих поменялся алгоритм этого WatchDog-а, поэтому камеры стали постоянно отваливаться. То есть, баг по всей видимости был всегда, просто раньше я его не замечал или списывал на маломощность ноутбука. Остались два традиционных вопроса: "кто виноват и что делать".

... Если строить site-to-site IPSec-тоннель между Juniper SRX и Cisco ASA, то можно обнаружить, что раз в полчаса (при дефолтных настройках) он рвётся и тут же восстанавливается обратно. Проблема описана, например, здесь, но на тот псто никто не ответил. С одной стороны, "быстро поднятое упавшим не считается". С другой стороны, SRX успевает опустить-поднять ST-интерфейс, событие улетает в мониторинг, условный Zabbix срабатывает, у дежурных инженеров начинает бомбить. А причина заключается в том, что на Cisco ASA по умолчанию стоит "vpn-idle-timeout". Если за полчаса через тоннель не проходит никакого трафика (DPD не считается), то циска опускает его. Как вариант, можно на SRX-е настроить RPM Probe (пингушку) на вражескую сторону. Помогает.

... Чё-то перестал у меня работать ЖЖ из-под FireFox-а с плагинами. На "голом" работает. Подозреваю, что uMatrix мешает. Тут народ всерьез начал присматриваться к Teletype. У меня всё лапки, опять же, не дойдут. Только аккаунт там себе зарегал, и всё. Кто-нибудь уже пробовал, как оно?

... И я, кажется, нашел нормальную замену для Evernote. Называется "Notion". Умеет всё то же самое и для личного использования [пока] бесплатен. Тяжко менять привычки, так что скорее всего просто "уйду" туда.

... Безопасность должна быть безопасной. Один "безопасник" настроил параноидальные параметры по сроку действия / требования к обновлению пользовательских паролей на *nix-машинах. Только не учёл, что в не менее параноидальной CentOS-и из коробки openssh-демон проверяет в том числе и это тоже через "pam_unix.so". Ходили-ходили пользователи три месяца по SSH-ключам, а потом "бац" — и внезапно их перестало туда пускать. Смешно. Казалось бы, при чём здесь Лужков пароли? А вот поди ж ты. Ещё смешнее то, что я начинаю объяснять почему так получилось, а мне не верят...

... По долгу службы поимел много секса с Apache Cassandra. С одной стороны, вроде хорошо продуманная навороченная мощная отказоустойчивая система. Кластеры-уястеры, кворумы, восстановление после сбоев и всё вот это вот. С другой стороны, вот никогда не поймешь чем конкретно она занимается в данный момент времени. Попытался по официальной инструкции перенести seed-ноду на другую машину: всё уронил к херам. Оказывается, я неправильно истолковал эту самую инструкцию, и переносить seed-ноды на самом деле нельзя. Назначил другие ноды seed-овыми, перезапустил. Cassandra начала что-то люто читать с дисков. До перезапуска 30 Мбайт/с, после рестарта — 2 ГБайт/с. Почему? А хрен его знает, товарищ прапорщик! Через полдня упало до 300 Мбайт/с. Что это было? ХЗ. По логам не понять.

В другой раз решил заменить стандартный allocator памяти на jemalloc. Только забыл установить jna и поменять в конфиге кассандры директиву "memtable_allocation_type". Точнее, не забыл, а просто не знал. Она не выругалась, с виду вроде всё работало. Но когда пошла предновогодняя нагрузка... у-у-у-у-у. Хана, короче. Тушите свет, сливайте воду. Хорошо, главный разработчик ткнул пальцем куда надо смотреть. Иначе бы я ещё сильнее огрёб. Ох и чудесатая же это штука. Не для среднего ума вроде моего.

... Прикольный артефакт. XMPP-бот, написанный на bash и sed. Я вот теперь думаю, можно ли его слегка доработать таким образом, чтобы он полученные сообщения отправлял не обратно, а на два других аккаунта. Вот надо мне это. Или может что-нибудь другое проще для этой цели взять?

... Снёс с телефона официальное приложение Сбебранка, установил допиленное народным умельцем, с выкорчеванным антивирусом, без рекламы и проверки рута. Какой же кайф! Заодно и телефон стал меньше лагать. И чего я раньше так не сделал?

... Хочу продуть от пыли теплообменник своего холодильника. У кого-нибудь есть небольшой компрессор или пароочиститель погонять на недельку? Поделитесь, а?

... Чем бы помазать уплотнители дверей в автоведре, чтобы они не примерзали? Силиконовым спреем, или чем-то другим?

... Собака чего-то нажралась, схватила аллергию, расчесала себе ухо до крови. Вот блин, всегда так. Чем породистее, тем больше проблем с питанием. Сука. И главное, понять не могу на что именно. Подозреваю яблоки, но обосновать не могу.

Всем чистых теплообменников и бархатных неповрежденных ушей.

Cat-light

Juniper SRX <--> Cisco ASA : IPSEC, PRF

Предыстория вопроса.

Приходят очередные контрагенты, говорят "давай строить IPSec-тоннель". Традиционно предлагают DH Group 2 и SHA-1. При том, что у самих стоит ни разу не самая древняя Cisco Firepower 4120. Ну я им возражаю, мол, какого. Давайте тогда уж DH Group 14 и SHA-256 хотя бы. Они: "окей, давайте, но наша железка потребует тогда IKEv2". Ну давайте IKEv2, тоже мне, испугали ежа.

А дальше начинается интересное. При включении IKEv2 циска явно просит указать алгоритм PRF (pseudo-random function), которой хешируется PSK. И по умолчанию выставляет в качестве оной всё тот же приснопамятный SHA-1. Что касается Juniper-а, то он вообще не даёт пользователю / админу определять PRF, а выбирает его сам. Причём, заранее неизвестно какой именно. В документации про него ничего не сказано, в логах тоже не пишет. Просто отбивает первую фазу по "No Proposal Chosen", а дальше иди и гадай почему. И только когда IPSec-соединение будет успешно установлено, в "show security ike security-associations detail" можно будет посмотреть что же он там выбрал. Ну спасибо, добрые инженеры. Вам срочно потребуется вызвать всех телепатов из отпуска прежде чем начинать строить тоннели. Причём, телепаты должны уметь читать мысли бездушной железки.

Но я всё-таки дорюхал. Так что вот вам правильный ответ, телепатов можете отправлять обратно в отпуск.

Если для первой фазы используются AEAD-шифры, то Juniper выберет PRF=SHA384. Если "традиционные" шифры с отдельной проверкой целостности (в терминах циски "integrity", в терминах Juniper-а "authentication-algorithm"), то Juniper выберет ту же функцию, которая используется для проверки целостности. Например, для "authentication-algorithm sha-256" будет активирована PRF=SHA256 и так далее.

Собственно, у меня к такому поведению особых претензий нет. Но вот за то, что оно нигде не описано, ни в каких доступных мне мануалах, Juniper заслужил от меня очередной смачный плевок в свою сторону. Cisco в этом плане ведёт себя куда корректнее. Кстати, выбор PRF-а StrongSWAN-ом примерно похож на Juniper-овский, но там это вполне внятно задокументировано. И StrongSWAN позволяет поменять PRF при любом раскладе, в отличие от.

Так что если кто будет строить IPSec между Juniper и ASA / Firepower, имейте в виду. А, и да, ещё один нежданчик. Вот отсюда:
https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/security-edit-policy-ike.html

ascii-text key—Specify a string of 1 to 255 ASCII text characters for the key. Characters @ + - or = are not allowed

И чем же вам плюсы-минусы в PSK-то не угодили, родные? Какого хрена вы вообще мне указываете что можно писать в PSK, а что нельзя? А не уху ели ли вы часом? Та же циска жрёт в PSK что угодно и не давится.

Забавно, что в разных мануалах по Juniper-ам фигурирует разный набор разрешенных / запрещенных символов в PSK. Хрен поймет кому верить.

Грёбаные индусы...

Cat-light

ОколоITшный дыбр #15

... 10ые форточки так и норовят создать свой "раздел восстановления". Даже если мне он нафиг не нужен.

Переносил тут систему "Шиндошс 10" с одного привода на другой. Как выяснилось, проще всего это сделать при помощи утилиты "partclone", предварительно порезав целевой накопитель на разделы нужного раздела. Потом можно запустить какого-нибудь "стрельца" и иже с ним и восстановить bootmanager. Всё вышесказанное справедливо для UEFI-режима, на MSDOS не пробовал.

Так вот, в процессе переноса я старательно выкорчевал пресловутый recovery-раздел. И таки знаете шо? При ближайшем же мажорном обновлении не в меру вумные форточки самостоятельно отчекрыжили от системной партиции полгигабайта и создали там этот богомерзкий recovery.

Collapse )
Cat-light

Сила привычки

Коммутатор Cisco Catalyst. В принципе, неважно какой.

Ну никак я не привыкну. Сколько раз уже наступал на эти грабли, и всё продолжаю в том же духе.

Мало просто взять и разрешить VLAN на access-порту или в транке. Надо его ещё отдельно создать в "configure terminal" командой "vlan XXX". При этом в running-config они, сцуко, не отображаются. Только в "show vlan". Но при этом где-то сохраняются, так как восстанавливаются после перезагрузок.

К этому нужно привыкнуть. Просто привыкнуть...

Cat-light

Типа секретное меню в BIOS-е

Не спрашивайте зачем, мне понадобилось установить Debian на ноутбук имени Acer Aspre 7 (N19C5).

А прикол заключается в том, что там унутри есть Intel Optane (это такой типа RAID для NVMe-шных SSD-шек). И по умолчанию "из коробки" он включен. По данной причине на него можно установить только распоследнюю Windows 10 (build 1909 и свежее). Все остальные системы тупо не видят встроенного носителя, т.к. он представляется не как NMVе, а как SATA RAID, коим ни разу на самом деле не является.

Чего я только не пробовал, чтобы вкорячить туда Linux. И распоследние ядра использовать (5.8.5), и всякие "dmraid=true" в параметры старта ядра прописывать, и BIOS обновлять. Ничего не помогает.

Collapse )
Cat-light

IKEv2, IPSec, aes256-gcm, DH-group-20, PRF

Пытаемся строить IPSec-тоннель между Juniper SRX и Cisco ASA. Хотим использовать IKEv2 с шифрованием первой фазы алгоритмом aes256-gcm, обменом ключами по DH-group-20 и аутентификацией по Pre-Shared Key.

В такой постановке задачи именно с такой комбинацией параметров Juniper применяет Pseudo-Random Function (сокращенно PRF) hmac-sha384 и не позволяет её изменять. То есть, она там прибита гвоздями. Причём, нигде в документации вы не найдёте какой именно алгоритм используется в этой самой PRF.

Cisco ASA вполне допускает задание произвольной PRF, хоть SHA1 в конфиге ей назначай. Какую выставишь, такая и будет.

Вот мне теперь стало зело любопытно. Это Juniper такой негодяй, что нагло ограничивает сисадмина в выборе средств. Или это Cisco мурзилка, которая в нарушение каких-нибудь RFC разрешает переназначать то, что по-хорошему меняться не должно. Где бы это посмотреть?

Cat-light

Бессвязного дыбра псто #56

... У меня прямо таки горит-сияет-полыхает от SELinux. Хочется придушить сразу двух персон: того, кто его придумал и того, кто запретил его отключать. По старой привычке сделал SVN Checkout в папке "/etc", чтобы выборочно сохранять-версионировать критичные конфиги. Сто раз так делал. Но при включенном SELinux-е коммиты вполне нормально проходят, а апдейты (svn update) — фиг вам. Причем, за полчаса гугления я так и не понял, как ему (SELinux-у) объяснить, чтобы не мешал мне это делать. Сцобака. И вот казалось бы, чем svn update отличается от тупо копирования файла в папочку? Бред какой-то. Ну и второй вопрос: на фиг вообще нужна такая супер-безопасная операционная система, с котрой ты сам ничего сделать не можешь?

Collapse )
Cat-light

Про ноутбуки

Озаботился я в очередной раз выбором и приобретением себе ноутбука. Нужна рабочая консоль для Linux на случай, если вдруг меня отправят в командировку в какие-нибудь эталонные **еня (Los Ebenes). Ну или сам утеку куда-нибудь в дерёвню / турпоездку / ЦОД (нужное подчеркнуть).

Требования.


  1. Нормальный матовый 15-дюймовый монитор с разрешением 1920x1080, от которого не вытекают глаза. Тач-скрин не надо.

  2. Прочный корпус. Чтобы не развалился и не погнулся от постоянного таскания в рюкзаке.

  3. Вес меньше двух киллограммов. Чем легче — тем лучше.

  4. Желательно наличие "полноразмерных" USB-портов, а не type-c.

  5. Поскольку буду ставить Linux, то видеокарта Radeon или Intel (с nVidia сейчас у Linux-а совсем плохо).

  6. Понятное дело, что не огрызки (что я буду с ними делать?).

  7. Желательно 16 GB RAM, не самый тухлый процессор и 512 GB SSD.

  8. Бюджет... да в принципе похрен, я себе ноутбуки раз в 8 лет покупаю.

  9. Время работы от батарей тоже похрен. Сейчас везде кроме самолётов можно найти 220 Вольт.

Сначала смотрел в сторону ультрабуков Dell XPS. Почитал отзывы, передумал. Как-то у них всё ну совсем уж плохо с механической прочностью. Вот прикольный агрегат. Вроде как даже в алюминиевом корпусе (якобы). Но расстраивает, что у него богомерзкая GeForce GTX внутри. Вот прикольная лошадка, но внутри всё тот же GeForce. Есть еще серия Latitude 5501 у тех же Dell-ов, но они отличаются от Vostro только видюхой, насколько я понял. Непонятно чем они лучше или хуже.

Есть какие-нибудь мысли по поводу, о уважаемый многоликий all?