manual.txt







Приветствую!




sittin' on yer cisco switch | floodin' yer packetz


Меня зовут Денис, и я системный инженер/администратор/DevOps.
Этот ЖЖ создан в качестве рабочего блокнота для (около)айтишных записей и обмена опытом с коллегами.
Во-первых, для противодействия собственному склерозу, а во-вторых, для приведения мыслей в порядок.

Чему здесь быть:
- рабочие заметки
- обмен опытом
- howto’шки
- хаки разной степени грязности
- костыли разной степени кривости
- вопросы к читателям
- ссылки
- живое общение
- профессиональный, малопонятный большинству юмор
- двухминутки ненависти
- книги

Твиттер имеется:
https://twitter.com/hvostat

Инстаграм наличествует:
http://instagram.com/hvostat

Основные теги:

Windows, Windows Server - Windows десктопный и серверный.

juniper, JunOS - всё про Juniper вообще и JunOS в частности.

linux, CentOS, Debian - красноглазое красноглазие, пингвины, бубны оптом.

утипусечка - железо. Я очень люблю работать с разными электронными штуковинами, и с удовольствием об этом напишу.

софт - всё, что не железо.

бНОПНЯ - вопрос к аудитории.

планета Черезжопия, это не надо - иллюстрация того, как делать не надо.

рекомендация - посоветую, какое железо или софт лучше использовать, исходя из собственного опыта.

юмор - чего-нибудь похихикать.

книги - микро/нанобзоры прочитанных книг.

жизненное - о реальной жизни.

hvostat.log - про вашего покорного слугу.

Правовая оговорка и письменный отказ от ответственности:
Все упоминаемые в Блоге торговые марки и товарные знаки принадлежат их владельцам.
Автор не несет ответственности и не предоставляет гарантий в связи с публикацией фактов, данных, результатов и другой информации в данном Блоге.
Все инструкции и/или гайдлайны, написанные в данном Блоге НЕ ЯВЛЯЮТСЯ руководством и/или рекомендацией к действию.
Автор не несет ответственности за возможное нанесение ущерба любого рода, прямого либо косвенного, которое произошло вследствие выполнения инструкций и/или гайдлайнов.
Все истории, места, события и герои вымышлены. Любые совпадения с реальными личностями и событиями случайны.


//Да, на фотографии - моя кошка. Зовут Жыслая. И на юзерпике - тоже она. Язычок - настоящий, гарнитуру - прифотошопил.
//Почему Хвостат Хвостатыч? Потому что в своё время я таки был хвостат.

__

"Цыска - альтруиска"

В эфире наша постоянная рубрика "ВПП" - ВладПоделилсяПрекрасным.

Далее цитирую с примечаниями:

Мы в офис провели нового провайдера. Прямая опта. 300 мбит.

Провайдер приволок свою циску 3650 в качестве маршрутизатора.
Уж не знаю зачем, но они на этом настояли.
(теперь я понимаю, зачем)

Я ессно не удержался, и слил с нее конфиг посмотреть-почитать.

Штош.
Там во-первых password 7 вместо secret 5. Теперь я знаю их enable пароль и учетку локального админа.
Но самая мякотка - они шейпят трафик прямо на ней же!
Далее, думаю, всё очевидно.

Я аккуратно отключил шейпер и у нас теперь гигабит за те же деньги!
Ну и логирование команд на tacacs сервер я тоже отключил. ( Извините.)

Сука. Это один из крупнейших провайдеров в стране.
Б - безопасность!

__

"Фильтруем маршруты весьма можжевельно"


- Что ещё может фильтровать роутер/аппаратный файрволл кроме пакетов?
- Маршруты!


Условия:
Есть Juniper SRX, внутри него "нарезаны" виртуальные роутеры VR1 и VR2.
К ним назначены интерфейсы GE1, GE3 и GE2, G4 соответственно.

Сети/адреса на интерфейсах следующие:
GE1 - 1.1.1.1/24
GE2 - 2.2.2.2/24
GE3 - 10.0.1.1/24
GE4 - 10.0.2.2/24

Задачи:
1. Объединить VR-ы в RIB-группы, чтобы траффик мог бегать из 10.0.1.0 в 10.0.2.0 и обратно.
2. Исключить маршруты 1.1.1.1 и 2.2.2.2 из противоположных VR-ов.

Решение:
Неверным решением "в лоб" будет прописать в VR-ах статический маршрут вида:
route 1.1.1.0/24 reject;

Это НЕ сработает, так как direct маршрут имеет в Juniper наивысший, 0-й приоритет (что логично).
"Самых умных" расстрою: повышение приоритета статического маршрута до с дефолтного 5-го до 0-го, аналогично, эффекта не даёт.

Решение верное:
1) "Собрать" VR-ы в rib-group-ы.

2) Добавить в policy-options policy-statement примерно следующее:


3) После этого данный policy-statement добавить в import-rib.

Особо отмечу, что policy-options - это ЧРЕЗВЫЧАЙНО гибкая штука, которая позволяет при должном опыте и фантазии вытворять крайне любопытные вещи, особенно при использовании динамической маршрутизации.

__

"Закат солнца вручную. Метод отечественный, программный."

Поступила задача - установить некую отечественную софтину.
По заявлению производителя - "СТАВИЦЦА АДНИМ КЛИКАМ!!!11"
(смех в зале)

Как говорил известный мотиватор и коуч А.Хулинам - "Ща всё будет!".

Качаю установщик.
Когда оно потребовало отключить UAC - насторожился.

ОК. Отключил. Ставлю - оно обваливается и не ставится.
В логах невразумительное - ошибка 100500 установки компонента NNN, ошибка 100501 установки компонента MMM.
Всё как мы любим!

Я пропущу бездарно просраные в танцах с бубном полдня и 10 звонков в евойный техпод с ожиданием на линии.

Итог:
- .NET 3.5 я включал "лапами"
- .NET 4.5 ENG я ставил "лапами"
- .NET 4.5 RUS я ставил "лапами"
- криптопровайдера я ставил "лапами"
- Штатный 2012 MS SQL Express мне в техподе сказали не использовать, а скачать и поставить MS SQL 2016 Express. Лапами, да.
- слава всем богам и демонам, саму сраную говнину программу оно таки соизволило установить само

* с характерным шипением приложил мокрую ветошь к горящей жопе*

__

"Door bolt"

Столкнулся недавно с неприятной ситуацией - меня пытались взломать.

В ответ на проблему возникла идея, которая совершенно не сложно реализуется.

Итак. Ширпотребный сервис в текущем виде аутентифицируется в виде:
Логин/е-мейл + пароль

Пароль восстанавливается через тот же е-мейл или телефонный номер.

Далее, если пользователь понимает, что его пытаются взломать: подобрать пароль или "восстановить забытый пароль",
то нажимает красную кнопку на сайте и/или приложении - "BOLT THE DOOR", что означает "закрыть дверь на засов".

При этом система/сервис на заранее указанный срок:
- проверяет возраст пароля (т.е. взломать, тут же сменить пароль и "закрыть дверь" не получится)
- сохраняет на устройстве / в браузере авторизационную куку
- перестаёт реагировать даже на правильно введенные логин + пароль
- отключает все механизмы восстановления пароля

Комментарии?
Замечания?
Предложения?

__

"Электронные письма и гарантии"

Пару дней назад поступила задача подфайнтюнить почтовый севервер заказчика.
С некоторым испугом осознал, что последний раз тюнил почтовик очень давно и подзабыл нюансы.

Итак, что надо проверить/настроить, чтобы адресат получил почту:

1) SPF.
Наличие SPF-записи в DNS. Внести туда IP-адрес(а), от которого отправляются письма.

2) PTR-запись.
Почтовик резолвит IP-адрес с которого пришло письмо в DNS-имя, потом это DNS-имя резолвит обратно в адрес. Результаты должны совпадать.
Пример. Письмо от info@hvostat.cat с айпишки 1.2.3.4 резолвится в с помощью PTR и получается mail.hvostat.cat.
Далее, резолвится A-запись от mail.hvostat.cat и получает 1.2.3.4.
1.2.3.4 = 1.2.3.4 => всё ОК

3) HELO / EHLO.
Опционально. AFAIK такого требования в RFC - нет.
В HELO / EHLO приветствии должен быть озвучен тот же самый хост, что и в PTR-ответе.

4) Опционально. DKIM.

Бонус:
Небольшой тюнинг, чтобы можно было понять, что есть какие-то проблемы: ящик "postmaster" должен быть вынесен вне правил антиспама.

__

"RSA - сломали?"

Тут Клаус Шнорр утверждает, что, очень грубо говоря, RSA - сломали.

"Fast Factoring Integers by SVP Algorithms"

Сложность - N~2^800 => 8.4·10^10

Cсылка на документ - вот:
https://eprint.iacr.org/eprint-bin/getfile.pl?entry=2021/232&version=20210303:182120&file=232.pdf

Есть серьезные математики?
Насколько все серьезно и плохо?

__

"Дыра в почтовичках"

Уважаемые коллеги, алярма!

У кого работают:

Exchange Server 2010
Exchange Server 2013
Exchange Server 2016
Exchange Server 2019

?

Срочно, прям безотлагательно патчить kb5000978!

https://msrc.microsoft.com/update-guide/vulnerability

UPD:
Уже на хабре написали:
https://habr.com/ru/company/solarsecurity/news/t/545162/

__

"Пригодится!"

Друзья и коллеги, не могу держать в себе такой сюр!

Теория вероятности, среди прочего, гласит, что при бесконечно большой выборке, возможно событие с бесконечно малой вероятностью.

Я собирал усы - вибриссы, которые Артик ронял.
Не могу объяснить зачем. Просто так. Прикольно. Ну а чо? Кошачьи усы.

Складывал их в шкатулочку.
За эти три года их там скопилось некоторое количество.

Совершенно внезапно, мне написала одна девчуля с некоторого закрытого форума.

"Мне неожиданно стали нужны усы кота. Их, как оказалось, используют в белковой кристаллографии. "

А мой хороший знакомый, как оказалось, на днях летит именно в Новосиб, где она и работает.

Короч, это дикий, просто нереальный сюр - но ОН ПОВЕЗЕТ УСЫ КОТА!
Усы кота Артика, повезут в Новосиб, там в каком-то институте их будут использовать!

Я уже упаковал их в пакетик и подписал.
До сих пор не могу в это поверить!

__