Category: it

Category was added automatically. Read all entries about "it".

manual.txt







Приветствую!




sittin' on yer cisco switch | floodin' yer packetz


Меня зовут Денис, и я системный инженер/администратор/DevOps.
Этот ЖЖ создан в качестве рабочего блокнота для (около)айтишных записей и обмена опытом с коллегами.
Во-первых, для противодействия собственному склерозу, а во-вторых, для приведения мыслей в порядок.

Чему здесь быть:
- рабочие заметки
- обмен опытом
- howto’шки
- хаки разной степени грязности
- костыли разной степени кривости
- вопросы к читателям
- ссылки
- живое общение
- профессиональный, малопонятный большинству юмор
- двухминутки ненависти
- книги

Твиттер имеется:
https://twitter.com/hvostat

Инстаграм наличествует:
http://instagram.com/hvostat

Основные теги:

Windows, Windows Server - Windows десктопный и серверный.

juniper, JunOS - всё про Juniper вообще и JunOS в частности.

linux, CentOS, Debian - красноглазое красноглазие, пингвины, бубны оптом.

утипусечка - железо. Я очень люблю работать с разными электронными штуковинами, и с удовольствием об этом напишу.

софт - всё, что не железо.

бНОПНЯ - вопрос к аудитории.

планета Черезжопия, это не надо - иллюстрация того, как делать не надо.

рекомендация - посоветую, какое железо или софт лучше использовать, исходя из собственного опыта.

юмор - чего-нибудь похихикать.

книги - микро/нанобзоры прочитанных книг.

жизненное - о реальной жизни.

hvostat.log - про вашего покорного слугу.

Правовая оговорка и письменный отказ от ответственности:
Все упоминаемые в Блоге торговые марки и товарные знаки принадлежат их владельцам.
Автор не несет ответственности и не предоставляет гарантий в связи с публикацией фактов, данных, результатов и другой информации в данном Блоге.
Все инструкции и/или гайдлайны, написанные в данном Блоге НЕ ЯВЛЯЮТСЯ руководством и/или рекомендацией к действию.
Автор не несет ответственности за возможное нанесение ущерба любого рода, прямого либо косвенного, которое произошло вследствие выполнения инструкций и/или гайдлайнов.
Все истории, места, события и герои вымышлены. Любые совпадения с реальными личностями и событиями случайны.


//Да, на фотографии - моя кошка. Зовут Жыслая. И на юзерпике - тоже она. Язычок - настоящий, гарнитуру - прифотошопил.
//Почему Хвостат Хвостатыч? Потому что в своё время я таки был хвостат.

__

"Экспорт-импорт закрытых ключей КриптоПро из реестра"

Преамбула:
Три слогана, которые отлично опишут нюансы отечественной криптографии:
"Ебались мы - ебитесь вы!"
"Через жопу, но с душой!"
"Кривое, косое, зато не пиндосское!"

Задача:
1) Экспортировать сертификат и закрытый ключ с одной Windows-машины
2) Импортировать сертификат и закрытый ключ на другую Windows-машину

Решение:
На машине-доноре:
1) Штатными средствами (через certmgr.msc) экспортируем нужный сертификат в .pfx не забывая установить галочку "да, экспортировать закрытый ключ".
2) Делаем экспорт куста реестра закрытого ключа:
KEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\[USER_SID]\Keys

На машине-реципиенте:
3) Копируем .reg-файл с донора
4) Опционально. Правим его. Задача - заменить SID юзера в .reg-файле на SID юзера на машине-реципиенте.
5) Импортируем .reg - файл.
6) Копируем .pfx-файл с донора
7) Импортируем .pfx. На вопрос КриптоПро "Где закрытый ключ?" - указать, само собой, что "в реестре".

PS:
Капитан Очевидность просил передать, что КриптоПро должен быть установлен на машине-реципиенте до начала мероприятий.

PPS:
Крипто Про - это еще отличный криптопровайдер! Я бы даже сказал, лучший.

__

"Как восстановить VMFS Datastore после перенастройки RAID?"

Проблема: После изменения настроек RAID-адаптера, VMWare ESXi 6.7 "потеряла" datastore.

Решение тривиальное:
1) Включаем SSH
2) Вваливаемся в VM-хост
3) Набираем следующее:
esxcfg-volume -l
4) Получаем список датасторов примерно в следующем виде:
VMFS UUID/label: 01234567-01234567-abcd-0123456789ab/datastore1
Can mount: Yes
Can resignature: Yes
Extent name: naa.600508b1001c0adbdef12340dfa62aa2:3 range: 0 - 946175 (MB)
5) Подключаем датастор:
esxcfg-volume -M 01234567-01234567-abcd-0123456789ab
6) Об успехе система нам сообщит:
Persistently mounting volume 01234567-01234567-abcd-0123456789ab
7) По завершению мероприятий, конечно же, отключаем SSH.
8) Изменения применятся мгновенно, VM-хост перезагружать не нужно.

__

"Ненависти firewalld псто"

Поступила задача: раздеплоить мелкое веб-приложение на CentOS.

Ради Бога:
git pull
Правка YAML-я (кстати, пусть тот, кто придумал этот формат - медленно сгорит в аду)
docker-compose build
docker-compose up -d

Всё ок, вольюмы, ага, старт, хелсчеки, всё по фен-шую.

Публикую совершенно стандартно через nginx.
Эээть!
... и нифига. Доступа нет.

Окей, проверка правил firewalld. Всё, конечно же, по фен-шую.
Но не работает.
Окей, танцы с бубном и шаманство с iptables.
Не работает!
Принос унитаза.
Показ жопы.
И всё равно не работает!111 ЪУЪ СЪУКА

Ок. Перерыв. Чашка мятного чая с имбирным печеньем.

Снос к чертям собачим firewalld, внос правил в iptables вручную.
Перезапуск контейнеров.

Пыщь. Работает!

Комбинировать docker с firewalld - хреново. По возможности, старайтесь избегать этого.

__

"Вакансия: системный инженер/администратор Windows Sever / Exchange."

Знакомый ищет себе подчиненного.
Системный инженер/администратор Windows Sever / Exchange.
БЕЗ САППОРТА (саппорт есть - это отдельная служба)

Обязательно:
Знания и опыт работы с Windows 2008R2 - Windows 2016
Знания и опыт работы с AD, DNS, DHCP, CA, WSUS + прочие службы
Знания и опыт работы с RDS (просто RDS, без VDI).
Знания и опыт работы с SCCM
Знания и опыт c файловым сервером / DFS.
Знания и опыт в Exchange 2016
Ясное дело - Powershell

Базовые знания MS SQL - НЕ DBA. Развернуть, сделать резервную копию, прописать права, итд.
Базовые знания сетей - само собой разумеется.

Строго граждане РФ/РБ.

Будет плюсом:
Знание и опыт работы с VMWare 6.0 и выше
Знание и опыт работы с Veeam Backup & Replication
Знание и опыт в Zabbix
Знание и опыт в PRTG

Профильная сертификация Microsoft - также будет плюсом.



Масштабы:
Работа на группу компаний.
Больше 50 "железных" серверов.
Суммарно порядка ~4000 юзверей.
Географически распределенная инфраструктура в РФ.

Условия:
Собеседует лично будущий тимлид.
100% белая ЗП
Разговор начинается ОТ(!) 110 тыр. "грязными" на испытательном сроке 3 месяца.
Далее - по результатам работы на ИС.

Москва. БЦ "Верейская плаза". (м. Славянский Бульвар / м.Кунцевская)
Командировки: крайне маловероятны.
Офис, график 0900-1800 (сдвиг +/- час по договорённости), 5/2.
Программа ДМС (после прохождения ИС).
Минусы:
- не кормят и даже кофе не дают.
- процесс согласования кандидатуры не быстрый: ОТ месяца (в текущих реалиях может быть увеличен, сами понимаете)



Комменты скринятся, пишите, я предам ответственному лицу.

UDP:
Всем спасибо, инженер найден.

__

"IPsec для любознательных, ч.2 ответы на вопросы"

Ровно неделю назад написал вот этот псто.

Большое спасибо всем за ответы! Много очень толковых мыслей. Я прям очень-очень рад, что читатели такие умнички!
Отдельное огромное спасибо уважаемым klink0v и vovin.

Так вот, по завершению дебага, выяснилось, что ларчик открывался крайне хитрожопо и весьма неожиданно.

Collapse )

__

"Отважные девопсы"

Уважаемый mindfactor поделился прекрасным.
Цитирую:

«А что если мы их научим, а они уйдут?»
Это неправильный вопрос. Правильный вопрос:
«А что если мы их не научим, а они останутся?»
© Брайан Трейси "Мотивация"


В одном широко известном в узких кругах техдирском чатике нынче бурлит обсуждение про воровство минут удалённым работником у работодателя.
Поднял тему создатель чатика и в целом он заодно сформулировал важный тезис - немедленное, пусть и слабое наказание, действует куда лучше, чем сильное, но отложенное. То есть, в этом тезисе, конечно, нет ничего нового, А. Левитас об этом недавно писал: Но главное – столбы были идеальным способом обратной связи и идеальным способом наказания. А учитывая, что он описывал уже сложившуюся практику, поняли это уже сотни лет как. Но повторять всё одно полезно, пушо это не стало ещё общим местом.

Однако, основное там - про то, как важно тщательно контролировать удалённых сотрудников вот прям каждую минуту, а то не дай бог они не-работой займутся без бдительного пригляда от начальства. Это, конечно, смешно.

Смешно потому, что у любого работника есть намного более сильные способы просрать деньги своего работодателя, чем эта вот "работа налево в рабочее время".
Для иллюстрации этого многократно обсуждавшегося тезиса у меня есть для вас очень вкусная и поучительная историю, случившаяся вот буквально в декабре 2019 года.

Collapse )

"Неверный пароль при импорте *.pfx"

Проблема:
При попытке импортировать свежеэкспортированный файл сертификата PFX, получаем отлуп "неверный пароль".

При этом имеется уверенность, что:
- пароль 100% верен
- унитаз приносил
- жопу показывал
- имеется справка от психиатра

Причина:
На целевой машине нет требуемых модулей шифрования/хэширования (чаще всего это AES256-SHA256).
Проблеме больше двух лет

Решение:
1) Установить обновления безопасности, которые добавят необходимые модули.
2) (Мой случай) Установить отечественный криптопровайдер, с помошью которого и был сгенерирован тот сертификат, который и требуется импортировать.


PS: Все заценили информативность сообщения об ошибке?

__

"Трансплантация пингвинов"

Коллеги, у меня возник любопытный вопрос.

При моей нелюбви к "форточкам", у них есть шикарная встроенная тулза под названием "windows server backup", которая позволяет в три клика сделать копию системы и далее, также в три клика, эту копию развернуть.

Копия, что особо приятно, делается ИЗНУТРИ системы по технологии Shadow Copy. Т.е. не нужно останавливать систему, грузится с флешки/CD, а можно прям "на лету" создать бэкап.

Причем копию уровня "bare metal recovery", т.е. грузимся с установочного диска, подтягиваем файл резервной копии, ждём N минут, перезагружаемся - и вуаля, у нас - готовая к работе система.

Так вот.
А есть ли подобная программа для linux?

Почему интересуюсь?
Мне вчера поставили эту задачу (скопировать один сервер под управлением debian на другой), я решил её, но максимально топорно: стопнул все сервисы на "доноре", потом тупо TAR-нул "/", скопировал архив, на целевой системе этот архив развернул, после чего скопировал файлы и папки.
Однако, в процессе от души походил по граблям и постоянно задавал себе вопрос "а не делаю ли я херню?".

Уверен, что эта задача - нифига не новшество и проверенные рабочие способы уже давно существуют.

За помощь и консультации - огромнейшее спасибо и уважаемому klink0v.

__