Category: it

manual.txt







Приветствую!




sittin' on yer cisco switch | floodin' yer packetz


Меня зовут Денис, и я системный инженер/администратор/DevOps.
Этот ЖЖ создан в качестве рабочего блокнота для (около)айтишных записей и обмена опытом с коллегами.
Во-первых, для противодействия собственному склерозу, а во-вторых, для приведения мыслей в порядок.

Чему здесь быть:
- рабочие заметки
- обмен опытом
- howto’шки
- хаки разной степени грязности
- костыли разной степени кривости
- вопросы к читателям
- ссылки
- живое общение
- профессиональный, малопонятный большинству юмор
- двухминутки ненависти
- книги

Твиттер имеется:
https://twitter.com/hvostat

Инстаграм наличествует:
http://instagram.com/hvostat

Основные теги:

Windows, Windows Server - Windows десктопный и серверный.

juniper, JunOS - всё про Juniper вообще и JunOS в частности.

linux, CentOS, Debian - красноглазое красноглазие, пингвины, бубны оптом.

утипусечка - железо. Я очень люблю работать с разными электронными штуковинами, и с удовольствием об этом напишу.

софт - всё, что не железо.

бНОПНЯ - вопрос к аудитории.

планета Черезжопия, это не надо - иллюстрация того, как делать не надо.

рекомендация - посоветую, какое железо или софт лучше использовать, исходя из собственного опыта.

юмор - чего-нибудь похихикать.

книги - микро/нанобзоры прочитанных книг.

жизненное - о реальной жизни.

hvostat.log - про вашего покорного слугу.

Правовая оговорка и письменный отказ от ответственности:
Все упоминаемые в Блоге торговые марки и товарные знаки принадлежат их владельцам.
Автор не несет ответственности и не предоставляет гарантий в связи с публикацией фактов, данных, результатов и другой информации в данном Блоге.
Все инструкции и/или гайдлайны, написанные в данном Блоге НЕ ЯВЛЯЮТСЯ руководством и/или рекомендацией к действию.
Автор не несет ответственности за возможное нанесение ущерба любого рода, прямого либо косвенного, которое произошло вследствие выполнения инструкций и/или гайдлайнов.
Все истории, места, события и герои вымышлены. Любые совпадения с реальными личностями и событиями случайны.


//Да, на фотографии - моя кошка. Зовут Жыслая. И на юзерпике - тоже она. Язычок - настоящий, гарнитуру - прифотошопил.
//Почему Хвостат Хвостатыч? Потому что в своё время я таки был хвостат.

__

* * *

Начиная с прошлой недели на меня напал винтаж:
- во время разбора завалов попался компьютер форм-фактора BTX. БЭ-ТЭ-ИКС. Коллеги, блин, ЖИВОЙ BTX! В 2019 году!
- вчера вечером в кладовке у коллеги обнаружился раритет: СЕРВЕР фирмы Apple. ДА! Они действительно существовали.
- сейчас сижу тискаю FreeBSD 10.3. Это совершенно иррационально и невозможно объяснить логически, но вот именно FreeBSD - люблю безумно.


__

"Ура, ура, в RDP дыра: BlueKeep-2"

Коллеги, недоброе утро!

Тут в RDP очередная уязвимость образовалась:
CVE-2019-1182

Уязвимость ОЧЕНЬ серьезная - "Remote Code Execution"

Уязвимы ВСЕ "форточки" от Windows Server 2008 R2 до Windows Server 2019 и, само собой, их клиентские версии.

Срочно накатывайте августовский набор обновлений безопасности!

__

"Большой Брат и ваши доменые имена"

На всякий случай обращу ваше внимание: ФСБ получила право на разделегирование доменов.

Слава Тюрингу, только в России. И только *.ru *.su и *.рф

Сухим юридическим языком это звучит так:
"Мера по разделегированию домена отличается от блокировки сайтов через судебное решение и Роскомнадзор и при этом
позволяет значительно быстрее ограничить доступ к ресурсу."

Что делать:
- создать четную запись у любого другого регистратора доменов в Европе/Америке и передать ваш домен туда.
- не использовать домены *.ru *.su и *.рф

ИМХО, сделать это нужно чем быстрее, тем лучше.

__

"Nginx: аутентификация клиентов с помощью SSL-сертифиткатов"

Задача:
Пропускать только тех клиентов на веб-сервер/сервис, которые обладают соответствующими сертификатами.

Решение:
0) Генерируем клиентский сертификат на нашем СА и выдаём, например hvostat_client.pfx клиенту.
1) Записываем наш CA-сертификат на веб-сервер, например в /etc/pki/hvostat_ca.crt
2) В конфиге nginx, среди прочего добавляем примерно следующее:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/pki/example.com.crt;
ssl_certificate_key /etc/pki/example.com.key;
ssl_client_certificate /etc/pki/hvostat_ca.crt;
ssl_verify_client on;
}

__

"Продлить CA сертификат"

Задача: по прошествии пяти лет продлить срок действия корневого сертификата Microsoft CA.
Нюанс: ключевую пару оставить прежней.

Решение:

1) Заходим на CA-сервер
2) Запускаем командную строку.
3) Вводим следующее:
certutil -renewCert ReuseKeys
4) Презапускаем CA.
5) ???
6) PROFIT!!!

__

"Juniper vSRX 15 в Hyper-V"

C наступившим, коллеги!

Вопрос к залу.
Как выглядит vSRX версии 12 для, например, VMware?
Правильно, это *.ova файл, который импортируется в гипервизор и запускается.
На самом виртуальном диске - только образ JunOS и больше ничего.

Второй вопрос к залу.
Как выглядит vSRX версии 15 для, например, Microsoft Hyper-V?
ДА, это - *.vhd файл.
Но дальше начинается самое интересное.

Что у него внутри?

Следите за движениями моих рук:
- Wind River Linux
- внутри него стартует KVM
- внутри KVM стартует Junos.

Еще раз подчеркну: вся эта ярмарка УЖЕ внутри Hyper-V.

"Скорость" работы этого Франкенштейна и оверхеды - можете себе представить.

Я сейчас, когда это изучил, выгляжу примерно вот так:


Традиционный вопрос: ИНТЕРЕСНО, А ЭТО ОНИ ЗАЧЕМ ТАК СДЕЛАЛИ?

__

"Бэкап и восстановление JunOS"

Рассмотрим операции создания резервной копии системной памяти и последующего ея восстановления для Juniper SRX.
Причем, делается это не просто, А ОЧЕНЬ ПРОСТО.

Бэкап:
1) Вставляем USB флешку в Juniper - "донора".
"Донор" должен быть включен и находится во "вменяемом" состоянии.
2) Логинимся любым удобным способом (SSH либо COM-порт).
3) вводим команду:
request system snapshot media usb partition
слово "partition" означает, что все данные на флешке будут удалены.
4) После этого ждём несколько минут пока JunOS отформатирует флешку и скопирует на неё всё содержимое системной памяти.

На этом процесс бэкапа завершен.

* * *

Восстановление:

Извлекаем флешку из "донора" и вставляем в "поциента".
"Поциент" должен быть ВЫКЛЮЧЕН из сети питания.

1) Вонзаемся в "поциента" через COM-порт.
2) Включаем "поциента" в розетку / нажимаем кнопку.
3) Дожидаемся загрузки ядра(!) и жмачим "пробел".
4) Вводим:
nextboot usb
5) После того как отработает "Setting next boot dev usb" вводим:
reboot
6) Ждём, пока "коробка" перезагрузится.

7) По готовности системы, логинимся любым удобным способом.
8) Вводим команду:
request system snapshot media internal partition
Системная память будет отформатирована, заново размечена и туда будут скопировано всё содержимое с флешки.
9) По завершению процесса извлекаем флешку.
10) И перезагружаем "коробку":
request system reboot
Да, мы это серьезно. Вводим:
yes

После перезагрузки очень рекомендуется выполнить две дополнительные операции:
1) резервное копирование системы
вводим:
request system snapshot slice alternate
2) создание аварийной конфигурации:
request system configuration rescue save

???
PROFIT!!!

_

"Тихая установка OpenVPN"

Задача:
Автоматизировать установку OpenVPN.

Решение:
Запускаем openvpn.exe с ключами:

/S - тихая установка
/D=path - путь, куда ставить

Далее, возможные опции.
Указаны значения по умолчанию:


__