?

Log in

No account? Create an account
Хвостат Хвостатыч
13 January 2013 @ 11:28 pm






Приветствую!




sittin' on yer cisco switch | floodin' yer packetz


Меня зовут Денис, и я системный инженер администратор.
Этот ЖЖ создан в качестве рабочего блокнота для (около)айтишных записей и обмена опытом с коллегами.
Во-первых, для противодействия собственному склерозу, а во-вторых, для приведения мыслей в порядок.

Чему здесь быть:
- рабочие заметки
- обмен опытом
- howto’шки
- хаки и лайфхаки
- вопросы к читателям
- ссылки
- живое общение
- профессиональный юмор

Твиттер имеется:
https://twitter.com/hvostat

Инстаграм наличествует:
http://instagram.com/hvostat

Основные теги:

Windows, Windows Server - Windows десктопный и серверный.

juniper, JunOS - всё про Juniper вообще и JunOS в частности.

linux, CentOS, Debian - красноглазое красноглазие, пингвины, бубны оптом.

утипусечка - железо. Я очень люблю работать с разными электронными штуковинами, и с удовольствием об этом напишу.

софт - всё, что не железо.

бНОПНЯ - вопрос к аудитории.

планета Черезжопия, это не надо - иллюстрация того, как делать не надо.

рекомендация - посоветую, какое железо или софт лучше использовать, исходя из собственного опыта.

юмор - чего-нибудь похихикать.

жизненное - о реальной жизни.

hvostat.log - про вашего покорного слугу.

Правовая оговорка и письменный отказ от ответственности:
Все упоминаемые в Блоге торговые марки и товарные знаки принадлежат их владельцам.
Автор не несет ответственности и не предоставляет гарантий в связи с публикацией фактов, данных, результатов и другой информации в данном Блоге.
Все инструкции и/или гайдлайны, написанные в данном Блоге НЕ ЯВЛЯЮТСЯ руководством и/или рекомендацией к действию.
Автор не несет ответственности за возможное нанесение ущерба любого рода, прямого либо косвенного, которое произошло вследствие выполнения инструкций и/или гайдлайнов.
Все истории, места, события и герои вымышлены. Любые совпадения с реальными личностями и событиями случайны.


//Да, на фотографии - моя кошка. Зовут Жыслая. И на юзерпике - тоже она. Язычёк настоящий, гарнитуру прифотошопил.
//Хвостат Хвостатыч - потому что в своё время я таки был хвостат.

__
 
 
Хвостат Хвостатыч
25 September 2019 @ 11:30 pm
Начиная с прошлой недели на меня напал винтаж:
- во время разбора завалов попался компьютер форм-фактора BTX. БЭ-ТЭ-ИКС. Коллеги, блин, ЖИВОЙ BTX! В 2019 году!
- вчера вечером в кладовке у коллеги обнаружился раритет: СЕРВЕР фирмы Apple. ДА! Они действительно существовали.
- сейчас сижу тискаю FreeBSD 10.3. Это совершенно иррационально и невозможно объяснить логически, но вот именно FreeBSD люблю безумно.


__
 
 
 
Хвостат Хвостатыч
14 August 2019 @ 10:58 am
Коллеги, недоброе утро!

Тут в RDP очередная уязвимость образовалась:
CVE-2019-1182

Уязвимость ОЧЕНЬ серьезная - "Remote Code Execution"

Уязвимы ВСЕ "форточки" от Windows Server 2008 R2 до Windows Server 2019 и, само собой, их клиентские версии.

Срочно накатывайте августовский набор обновлений безопасности!

__
 
 
Хвостат Хвостатыч
На всякий случай обращу ваше внимание: ФСБ получила право на разделегирование доменов.

Слава Тюрингу, только в России. И только *.ru *.su и *.рф

Сухим юридическим языком это звучит так:
"Мера по разделегированию домена отличается от блокировки сайтов через судебное решение и Роскомнадзор и при этом
позволяет значительно быстрее ограничить доступ к ресурсу."

Что делать:
- создать четную запись у любого другого регистратора доменов в Европе/Америке и передать ваш домен туда.
- не использовать домены *.ru *.su и *.рф

ИМХО, сделать это нужно чем быстрее, тем лучше.

__
 
 
 
Хвостат Хвостатыч
Задача:
Пропускать только тех клиентов на веб-сервер/сервис, которые обладают соответствующими сертификатами.

Решение:
0) Генерируем клиентский сертификат на нашем СА и выдаём, например hvostat_client.pfx клиенту.
1) Записываем наш CA-сертификат на веб-сервер, например в /etc/pki/hvostat_ca.crt
2) В конфиге nginx, среди прочего добавляем примерно следующее:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/pki/example.com.crt;
ssl_certificate_key /etc/pki/example.com.key;
ssl_client_certificate /etc/pki/hvostat_ca.crt;
ssl_verify_client on;
}

__
 
 
 
Хвостат Хвостатыч
02 July 2019 @ 05:34 pm
Задача: по прошествии пяти лет продлить срок действия корневого сертификата Microsoft CA.
Нюанс: ключевую пару оставить прежней.

Решение:

1) Заходим на CA-сервер
2) Запускаем командную строку.
3) Вводим следующее:
certutil -renewCert ReuseKeys
4) Презапускаем CA.
5) ???
6) PROFIT!!!

__
 
 
 
Хвостат Хвостатыч
13 April 2019 @ 07:41 pm
Дебилы сракорукие:

"Компания Microsoft сообщила пользователем электронной почты Outlook.com о том, что хакеры получили доступ к «ограниченному» числу аккаунтов"

https://techcrunch.com/2019/04/13/microsoft-support-agent-email-hack/

__
 
 
Хвостат Хвостатыч
03 January 2019 @ 12:53 am
C наступившим, коллеги!

Вопрос к залу.
Как выглядит vSRX версии 12 для, например, VMware?
Правильно, это *.ova файл, который импортируется в гипервизор и запускается.
На самом виртуальном диске - только образ JunOS и больше ничего.

Второй вопрос к залу.
Как выглядит vSRX версии 15 для, например, Microsoft Hyper-V?
ДА, это - *.vhd файл.
Но дальше начинается самое интересное.

Что у него внутри?

Следите за движениями моих рук:
- Wind River Linux
- внутри него стартует KVM
- внутри KVM стартует Junos.

Еще раз подчеркну: вся эта ярмарка УЖЕ внутри Hyper-V.

"Скорость" работы этого Франкенштейна и оверхеды - можете себе представить.

Я сейчас, когда это изучил, выгляжу примерно вот так:


Традиционный вопрос: ИНТЕРЕСНО, А ЭТО ОНИ ЗАЧЕМ ТАК СДЕЛАЛИ?

__
 
 
 
Хвостат Хвостатыч
Очень просто.

1) Переводим VM-хост в "Maintenance mode"
2) Разрешаем SSH
3) Загружаем *.vib файл в /tmp
4) Вваливаемся в cli через SSH
5) Вводим следующее:
/bin/esxcli software vib install -v /tmp/scsi-super-mega-raid.x86_64.vib
6) Если система поперхнулась с отлупом: "'Could not find a trusted signer.'" - лечим тривиальным образом:
/bin/esxcli software vib install -v /tmp/scsi-super-mega-raid.x86_64.vib --no-sig-check
7) Перезагружаем сервер
8) Отключаем "Maintenance mode"
???
PROFIT!!

Как проверить:
Не отключать SSH и после перезагрузки ввести команду:
esxcli software vib list

__
Tags: , ,
 
 
Хвостат Хвостатыч
30 September 2015 @ 02:31 pm
Публикую по просьбам трудящихся. ;)

Задача: усилить безопасность, отказаться от аутентификации по паролю в пользу аутентификации по RSA-ключам.

Решение (для Windows):
1) Загружаем PuttyGen
2) Выбираем параметры:
Type of key: "SSH-2 RSA"
Number of bits: "2048"
3) Жмачим кнопку "Generate"
4) Шевелим мышою для генерирования случайных чисел
5) Пишем коммент "JunOS Key"
6) НЕ задаём пароль
7) Копируем открытый ключ из окна выше:
"ssh-rsa AAAAB3Nz [ ... ] Zow== JunOS Key"
8) Сохраняем файл в надёжное хранилище.

Вваливаемся в роутер:
1) Переходим в режим редактирования конфигурации:
edit
2) Редактируем настройки доступа:
edit system login
3) Добавляем пользователя:
set user Stepan class super-user full-name "Stepan G. Tabooretkin" uid 2003 authentication ssh-rsa "ssh-rsa AAAAB3Nz [ ... ] Zow== JunOS Key"
4) Да, мы всё это серьезно:
commit

Вход в систему:
Запускаем PAgent и "натравливаем" его на наш файл с ЗАКРЫТЫМ ключом, который создавали в шаге 1.

Запускаем Putty:
1) В профиле подключения указываем Connections=> Data => Login details => Auto-login username "Stepan" и сохраняем настройки
2) Нажимаем "Open"
3) ???
4) PROFIT!!!

_
 
 
 
Хвостат Хвостатыч
Причина в моем случае - слишком много generalize со сбросом oobe, а строго говоря можно только 3 раза. И когда эти три раза использованы - возникает ошибка, вынесенная в тему.

Решение: создаем reg-файл со следующим содержимым:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\SysprepStatus]
"GeneralizationState"=dword:00000007
"CleanupState"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform]
"SkipRearm"=dword:00000001

Первые два ключа отвечают за приведение sysprep в нужное настроение.
Второй ключ разрешает сбросить активацию даже если счетчик активаций равен нулю.

Сей грязный хак нащупал мой коллега rustedowl, за что ему огромное спасибо.

__
 
 
 
Хвостат Хвостатыч
Оригинал взят у shmel_reality в Проблема Установки Framework 3.5. Ошибка 0x800F081F
Да, тема не новая, есть на сайте Microsoft уже ответ на эту ошибку, но если альтернативный путь указан Вами верно, то эта ошибка на самом деле о другом.

А о другом Я Вам поведаю. На днях ставил Framework 3.5 на Windows Server 2012 Std, но вылезала ошибка 0x800F081F. Ранее проблем (в начале 2014 года) не было. Чешу голову, ищу решение на просторах сети. Без результатно. Дальше включаю уже свою голову и начинаем анализировать проблему. Много чего было опробовано, но решение было следующим:

"Майкрософт выпустило обновление KB2966827, которое ставиться само, даже, в отсутствии самоего Фреймворка. Действие простое - сносим это обновление через Control Panel и перезапускаем из Server Manager установку. Установка проходит успешно".

Делов на 5 минут, но "секс" продолжался 4 часа.

 
 
 
Хвостат Хвостатыч
25 July 2014 @ 02:37 pm
Проблема: после установки Windows Server 2012r2 и/или установки апдейтов в Task Manager видно ".net runtime optimization service", который значительно использует ресурсы процессора.

Решение:
1) Запускаем PowerShell
2) Заходим в папку, где установлен .net:
C:\WINDOWS\Microsoft.NET\Framework\v4.0.NNNNN)
3) Выполняем команду:
ngen.exe executequeueditems
!!! ВНИМАНИЕ !!!
Команда ОЧЕНЬ "жручая", т.е. выполнять её имеет смысл тогда, когда сервер не загружен либо еще не запущен в продакшн.
4) Ждём некоторое время, пока закончится компиляция.
5) Заходим в папку, где установлен .net64:
C:\WINDOWS\Microsoft.NET\Framework64\v4.0.NNNNN)
6) Выполняем команду:
ngen.exe executequeueditems
7) Ждём некоторое время, пока закончится компиляция.
8) Проверяем, выполняем команду еще раз:
ngen.exe executequeueditems
9) В случае, если всё выполнено правильно, получаем ответ:
All compilation targets are up to date.
10) ???
11) PROFIT!!!

UPD: То же самое справедливо и для Windows7 и Windows8.
 
 
Хвостат Хвостатыч
1) Ставим 2012 с графической оболочкой
2) Инсталлируем фичу: SNMP Service
3) Скачиваем SPP с сайта HP:
HP_Service_Pack_for_Proliant_2013.02.0-0_725490-001_spp_2013.02.0-SPP2013020B.2013_0628.2.iso
4) Качаем Microsoft Windows Server 2012 Supplement for HP Service Pack for ProLiant:
MSsupplement2012.exe
5) Распаковываем MSsupplement2012.exe в папку C:\Win2012\ (например).
6) Качаем HP ProLiant Integrated Lights-Out Management Interface Driver for Windows Server 2003/2008 x64 Editions:
cp016017.exe
7) Качаем HP ProLiant Smart Array SAS/SATA Controller Driver for Windows Server 2012:
cp018436.exe
8) Инсталлируем драйвера из п.п. 6 и 7. Если система дала отлуп "hardware not found" или "OS version not supported" - распаковываем архивы и ставим драйвера вручную через devmgmt.msc. Перезагружаем сервер, если необходимо.
9) Монтируем образ SPP (из п.3)
10) Запускаем \hp\swpackages\hpsum.exe
11) Кроме дефолтного репозитория добавляем FTP* и папку с содержимым из MSsupplement2012.exe. Жмачим next.
12) Localhost добавляется автоматически. Добавляем другие хосты, если необходимо. Жмачим next. Смотрим, как проходит self discovery.
13) Проверяем, нет ли failed dependencies:
14.1) Если есть - проверяем, какие устройства остались из драйверов и ставим их как в п.8.
14.2) Если всё в порядке жмачим next.
15) Проверяем, всё ли ок.
16) Перезагружаем сервер.
17) PROFIT!!!

UPD:
* - уже давно не актуально. Адрес FTP изменился или FTP-сервер отключен насовсем.

Также, подчеркну следующее: в силу неизвестных причин (подозреваю встроенные драйвера RAID-контроллера), система устанавливается ОЧЕНЬ долго (порядка 3-х часов).
Однако, если создать виртуальную машину в hyper-v и развернуть 2012R2 в ней, то там она ставится, как положено - за 3-5 минут.

__
 
 
 
Хвостат Хвостатыч
При установке Win7 с usb-flash-drive на совершенно чистый раздел диска получаем отлуп:
"Программе установки не удалось создать новый или найти существующий системный раздел"

Решение:
1) Заходим в BIOS
2) Заходим в раздел выбора порядка загрузочных устройств
3) Исправляем первый пункт в списке с нашего usb-flash-drive на системный жесткий диск.
4) Перезагружаемся
5) Принудительно выбираем (через F12, например) usb-flash-drive для загрузки установщика.
5) Profit!!!
Tags: , ,
 
 
Хвостат Хвостатыч
15 August 2013 @ 07:02 pm
Проблема: при попытке запустить оснастку "Computer management" и управлять удаленным сервером из панели "Server Manager", в частности запустить оснастку "Disk Management" получаем отлуп: "RPC Server is Unavailable".
Соответствующие службы запущены, "remote management" разрешен.

Решение:
1) Проверяем/устанавливаем правило для файрволла на "сервере-клиенте":
netsh advfirewall firewall set rule group="Remote Volume Management" new enable=yes
Важный момент: то же самое необходимо повторить на сервере, с помощью которого мы пытаемся управлять удаленным сервером.
2) Проверяем/запускаем службу vds (virtual disk service).
3) PROFIT.