manual.txt







Приветствую!




sittin' on yer cisco switch | floodin' yer packetz


Меня зовут Денис, и я системный инженер/администратор/DevOps.
Этот ЖЖ создан в качестве рабочего блокнота для (около)айтишных записей и обмена опытом с коллегами.
Во-первых, для противодействия собственному склерозу, а во-вторых, для приведения мыслей в порядок.

Чему здесь быть:
- рабочие заметки
- обмен опытом
- howto’шки
- хаки разной степени грязности
- костыли разной степени кривости
- вопросы к читателям
- ссылки
- живое общение
- профессиональный, малопонятный большинству юмор
- двухминутки ненависти
- книги

Твиттер имеется:
https://twitter.com/hvostat

Инстаграм наличествует:
http://instagram.com/hvostat

Основные теги:

Windows, Windows Server - Windows десктопный и серверный.

juniper, JunOS - всё про Juniper вообще и JunOS в частности.

linux, CentOS, Debian - красноглазое красноглазие, пингвины, бубны оптом.

утипусечка - железо. Я очень люблю работать с разными электронными штуковинами, и с удовольствием об этом напишу.

софт - всё, что не железо.

бНОПНЯ - вопрос к аудитории.

планета Черезжопия, это не надо - иллюстрация того, как делать не надо.

рекомендация - посоветую, какое железо или софт лучше использовать, исходя из собственного опыта.

юмор - чего-нибудь похихикать.

книги - микро/нанобзоры прочитанных книг.

жизненное - о реальной жизни.

hvostat.log - про вашего покорного слугу.

Правовая оговорка и письменный отказ от ответственности:
Все упоминаемые в Блоге торговые марки и товарные знаки принадлежат их владельцам.
Автор не несет ответственности и не предоставляет гарантий в связи с публикацией фактов, данных, результатов и другой информации в данном Блоге.
Все инструкции и/или гайдлайны, написанные в данном Блоге НЕ ЯВЛЯЮТСЯ руководством и/или рекомендацией к действию.
Автор не несет ответственности за возможное нанесение ущерба любого рода, прямого либо косвенного, которое произошло вследствие выполнения инструкций и/или гайдлайнов.
Все истории, места, события и герои вымышлены. Любые совпадения с реальными личностями и событиями случайны.


//Да, на фотографии - моя кошка. Зовут Жыслая. И на юзерпике - тоже она. Язычок - настоящий, гарнитуру - прифотошопил.
//Почему Хвостат Хвостатыч? Потому что в своё время я таки был хвостат.

__

"Stayin' alive!"


По коридору бежал Мюллер.
Штирлиц прижался к стене.
Мюллер, совершенно не обращая внимания на Штирлица, пробежал мимо.
- Пронесло! - подумал Штирлиц.
- Да чтоб тебя так пронесло! - подумал Мюллер.


Ну что, друзья и коллеги...
Схватил я эту вашу "девятнашку" чуть меньше месяца назад.

Началось всё с дикой усталости и слабости.
Вначале списал на погоду (смех в зале).
Через три дня - слёг. t=37
Еще через четыре дня температура повысилась до 38.5 и вечером меня стал колотить такой озноб, что я не мог говорить - стучали зубы.
И вот тут, друзья, стало реально СТРАШНО.
Потому что 19-й, он, сцуко, БЫСТРЫЙ!
Встречал несколько свидетельств того, как люди лежали в более-менее терпимом состоянии, с невысокой температурой, а через три(!) часа уезжали на ИВЛ.

Решил не проводить эксперименты на термостойкость и ужрал порцию парацетамола однократно. Отпустило.
За неделю температура плавно снизилась до 37. Полностью(!) пропало обоняние.
Усталость и разбитость была такими, что дойти до, пардон, сортира - это был, сцуко, подвиг.

Ну, можете поздравить - вроде "переварил".
Температуры нет с прошлой среды, вчера уже ни разу не кашлянул.
Запахи медленно–медленно возвращаются.

Минусы последствий — жутая "тупня".
Я реально после ковида "дурной" стал. Тяжело сложные вещи в голове удерживать...

Берегите себя!

PS:
Прививаться планировал именно на той злополучной неделе.
"Привился", блин. Теперь у меня свои антитела. НАТУРАЛЬНЕ, МЖЪВЯЧНЕ!111
Не смешно.

PPS:
Год назад у меня с кем-то была дискуссия в ЖЖ, и даже создан опрос - были или есть ли у вас заболевшие 19-шкой.
И народ в комментариях недоумевал - где же эта эпидемия, о которой все говорят? Ведь ни у кого нет ни друзей, ни родственников, кто бы болел.
И вот я это вспомнил и мне стало мрачно - потому что ВСЕ мои друзья, родственники и коллеги - переболели на момент написания этой заметки или раньше.
ВСЕ ДО ЕДИНОГО, БЛИН!

__

"О войне"


Лучшая иллюстрация на тему войны и ветеранов.

Ветераном был мой дедушка.
Я его не застал, увы.

Из того, что передал мой отец - как и все фронтовики о войне он говорить ОЧЕНЬ не любил.
Что характерно.

Рассказал всего одну историю, как дед с сослуживцем возвращались откуда-то по лесу.
Надо было пересечь поляну.
Хотели дождаться пока стемнеет - но поторопились.
Когда перебегали через поляну - напарника застрелил снайпер.
Дед лежал до ночи, потом тихо уполз.

Что он в этот момент чувствовал и какую вину ощущал до конца жизни - ни дай Бог почувствовать никому.

Поэтому, всё-таки "день памяти и примирения" и "никогда снова".

Берегите себя.

__

"Цыска - альтруиска"

В эфире наша постоянная рубрика "ВПП" - ВладПоделилсяПрекрасным.

Далее цитирую с примечаниями:

Мы в офис провели нового провайдера. Прямая опта. 300 мбит.

Провайдер приволок свою циску 3650 в качестве маршрутизатора.
Уж не знаю зачем, но они на этом настояли.
(теперь я понимаю, зачем)

Я ессно не удержался, и слил с нее конфиг посмотреть-почитать.

Штош.
Там во-первых password 7 вместо secret 5. Теперь я знаю их enable пароль и учетку локального админа.
Но самая мякотка - они шейпят трафик прямо на ней же!
Далее, думаю, всё очевидно.

Я аккуратно отключил шейпер и у нас теперь гигабит за те же деньги!
Ну и логирование команд на tacacs сервер я тоже отключил. ( Извините.)

Сука. Это один из крупнейших провайдеров в стране.
Б - безопасность!

__

"Фильтруем маршруты весьма можжевельно"


- Что ещё может фильтровать роутер/аппаратный файрволл кроме пакетов?
- Маршруты!


Условия:
Есть Juniper SRX, внутри него "нарезаны" виртуальные роутеры VR1 и VR2.
К ним назначены интерфейсы GE1, GE3 и GE2, G4 соответственно.

Сети/адреса на интерфейсах следующие:
GE1 - 1.1.1.1/24
GE2 - 2.2.2.2/24
GE3 - 10.0.1.1/24
GE4 - 10.0.2.2/24

Задачи:
1. Объединить VR-ы в RIB-группы, чтобы траффик мог бегать из 10.0.1.0 в 10.0.2.0 и обратно.
2. Исключить маршруты 1.1.1.1 и 2.2.2.2 из противоположных VR-ов.

Решение:
Неверным решением "в лоб" будет прописать в VR-ах статический маршрут вида:
route 1.1.1.0/24 reject;

Это НЕ сработает, так как direct маршрут имеет в Juniper наивысший, 0-й приоритет (что логично).
"Самых умных" расстрою: повышение приоритета статического маршрута до с дефолтного 5-го до 0-го, аналогично, эффекта не даёт.

Решение верное:
1) "Собрать" VR-ы в rib-group-ы.

2) Добавить в policy-options policy-statement примерно следующее:


3) После этого данный policy-statement добавить в import-rib.

Особо отмечу, что policy-options - это ЧРЕЗВЫЧАЙНО гибкая штука, которая позволяет при должном опыте и фантазии вытворять крайне любопытные вещи, особенно при использовании динамической маршрутизации.

__

"Закат солнца вручную. Метод отечественный, программный."

Поступила задача - установить некую отечественную софтину.
По заявлению производителя - "СТАВИЦЦА АДНИМ КЛИКАМ!!!11"
(смех в зале)

Как говорил известный мотиватор и коуч А.Хулинам - "Ща всё будет!".

Качаю установщик.
Когда оно потребовало отключить UAC - насторожился.

ОК. Отключил. Ставлю - оно обваливается и не ставится.
В логах невразумительное - ошибка 100500 установки компонента NNN, ошибка 100501 установки компонента MMM.
Всё как мы любим!

Я пропущу бездарно просраные в танцах с бубном полдня и 10 звонков в евойный техпод с ожиданием на линии.

Итог:
- .NET 3.5 я включал "лапами"
- .NET 4.5 ENG я ставил "лапами"
- .NET 4.5 RUS я ставил "лапами"
- криптопровайдера я ставил "лапами"
- Штатный 2012 MS SQL Express мне в техподе сказали не использовать, а скачать и поставить MS SQL 2016 Express. Лапами, да.
- слава всем богам и демонам, саму сраную говнину программу оно таки соизволило установить само

* с характерным шипением приложил мокрую ветошь к горящей жопе*

__

"Door bolt"

Столкнулся недавно с неприятной ситуацией - меня пытались взломать.

В ответ на проблему возникла идея, которая совершенно не сложно реализуется.

Итак. Ширпотребный сервис в текущем виде аутентифицируется в виде:
Логин/е-мейл + пароль

Пароль восстанавливается через тот же е-мейл или телефонный номер.

Далее, если пользователь понимает, что его пытаются взломать: подобрать пароль или "восстановить забытый пароль",
то нажимает красную кнопку на сайте и/или приложении - "BOLT THE DOOR", что означает "закрыть дверь на засов".

При этом система/сервис на заранее указанный срок:
- проверяет возраст пароля (т.е. взломать, тут же сменить пароль и "закрыть дверь" не получится)
- сохраняет на устройстве / в браузере авторизационную куку
- перестаёт реагировать даже на правильно введенные логин + пароль
- отключает все механизмы восстановления пароля

Комментарии?
Замечания?
Предложения?

__

"Электронные письма и гарантии"

Пару дней назад поступила задача подфайнтюнить почтовый севервер заказчика.
С некоторым испугом осознал, что последний раз тюнил почтовик очень давно и подзабыл нюансы.

Итак, что надо проверить/настроить, чтобы адресат получил почту:

1) SPF.
Наличие SPF-записи в DNS. Внести туда IP-адрес(а), от которого отправляются письма.

2) PTR-запись.
Почтовик резолвит IP-адрес с которого пришло письмо в DNS-имя, потом это DNS-имя резолвит обратно в адрес. Результаты должны совпадать.
Пример. Письмо от info@hvostat.cat с айпишки 1.2.3.4 резолвится в с помощью PTR и получается mail.hvostat.cat.
Далее, резолвится A-запись от mail.hvostat.cat и получает 1.2.3.4.
1.2.3.4 = 1.2.3.4 => всё ОК

3) HELO / EHLO.
Опционально. AFAIK такого требования в RFC - нет.
В HELO / EHLO приветствии должен быть озвучен тот же самый хост, что и в PTR-ответе.

4) Опционально. DKIM.

Бонус:
Небольшой тюнинг, чтобы можно было понять, что есть какие-то проблемы: ящик "postmaster" должен быть вынесен вне правил антиспама.

__

"RSA - сломали?"

Тут Клаус Шнорр утверждает, что, очень грубо говоря, RSA - сломали.

"Fast Factoring Integers by SVP Algorithms"

Сложность - N~2^800 => 8.4·10^10

Cсылка на документ - вот:
https://eprint.iacr.org/eprint-bin/getfile.pl?entry=2021/232&version=20210303:182120&file=232.pdf

Есть серьезные математики?
Насколько все серьезно и плохо?

__