Category: сисадминское

Дископад

Примерно в 2012-2013 году все начали переходить на твёрдотельные жёсткие диски. И всё поначалу было круто, и скорость работы, и отсутствие шума. Но вот 6 лет спустя этого массового перехода я стал замечать, что практически все твёрдотельные диски, которые я куда-то устанавливал, дохнут с характерным сроком наработки на отказ около 5 лет. И скажу я вам, что на старорежимных накопителях с магнитной технологией записи я такой ерунды не замечал. У меня есть диски заметно старше 5 лет, которые прекрасно работают до сих пор. А такого же возраста SSD-шников, всё ещё в рабочем состоянии — очень немного осталось. Причём, чисто личный опыт говорит, что от марки это практически не зависит. Больше всего я видел дохлых Гнусмасов, но это потому, что мы их больше всего и покупали. Но и Micron/Crucial тоже дохнут. Вот пока Intel и SanDisk’ов дохлых не видал, но думаю, это вопрос времени. Скорее всего, это ограничения самой технологии — на флеш память невозможно записать материал более определённого числа раз. Насколько понимаю, каждый цикл записи чуточку разрушает слой изолятора, который не даёт затвору МОП-транзистора разряжаться. Постепенно он теряет свои изоляционные свойства, заряд начинает стекать, и отличить 2 от 3 (если память у нас MLC/TLC) становится невозможно. SLC в этом отношении живёт заметно дольше, но попробуйте найти в 2018 году хоть один диск вменяемой ёмкости и не за конские деньги, сделанный по этой технологии.

Но вообще всё равно удивительно. Ведь чтобы убить диск размером 256 гигабайт, на него придётся записать 2.44 петабайта информации (256 гиг записать 10 000 раз). Чтобы это успеть сделать за 5 лет, на него надо писать 58 гигабайт в час или почти 17 мегабайт в секунду, безостановочно. Хм… Хотя… Особенно если учитывать то, что на самом деле чтобы записать данные на флеш, ячейку флеша надо предварительно очистить, т.е. мы записываем по-сути, дважды. На большинстве компьютеров очисткой более неиспользуемых ячеек флеш-памяти занимается технология TRIM, в фоновом режиме, иначе производительности кабздец, см. Write Amplification. В-общем, чорт его знает, может быть, вполне возможно.

Зоопарк Ведроидов — радость хакера

Собственно, о чём уже давно говорят большевики.

Обновления для ОС регулярно выпускают только четыре вендора — сам Гугл (ещё бы), Самсунг, Сони, и Вико (никогда о таком не слышал). Остальные, включая не только Сяоми и прочие Хуевеи, но также довольно известные марки типа Моторолы, Нокии, ЛыЖы — толком не занимаются безопасностью. Даже когда пользователь, который слышал о том, что ОС периодически надо обновлять, проверяет наличие апдейтов, производитель ему радостно врёт, “усё у порядке, шеф!”. А на деле в телефоне навалом дыр:

Статья

Цисководу на заметку

Настройка SSH аутентификации в коммутаторы и маршрутизаторы Cisco по RADIUS:

http://www.ipbalance.com/security/radius/1165-windows-server-2012-as-radius-for-cisco-router-a-switch.html

Чтобы не как при царе горохе, в разных устройствах — разное имя пользователя и пароль. Хотя, конечно, аутентификация по приватному ключу SSH сильно понижает остроту проблемы.

PS: Статья про IOS, конфигурация RADIUS на NX-OS в новых свитчах немного другая, см. соотв. документ:

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/6-x/security/configuration/guide/b_Cisco_Nexus_9000_Series_NX-OS_Security_Configuration_Guide.html

Айфон — друг сисадмина

Как известно, спамеры и прочие нехорошие граждане очень любят вставлять в почтовые сообщения изображения со своих серверов. Это даёт им возможность отслеживать получение сообщений, а также узнавать больше о своей жертве — где он/а живёт, каким компьютером пользуется, где работает.

Забарывается это очень просто — загрузку удалённых изображений надо обрубать нахер. В большинстве десктопных почтовых клиентов так по умолчанию. Но не на мобильных устройствах. На айфоне это делается очень просто — в Settings -> Mail ткнуть одну кнопочку. Я могу взять любой айфон — хоть четвёртый, хоть десятый, и вырубить эту опцию.

А на ведроиде, вестимо, зоопарк, кто в лес, кто по дрова. На некоторых эта опция есть, на некоторых нет. Поэтому описать в общем случае процедуру отключения загрузки удалённых изображений, конечно, можно: “суньте это устройство себе в дымоход и разбирайтесь сами”. Но пользователи, боюсь, не поймут.

Абсолютно то же самое было с шифрованием мобильных устройств. Из-за того, что заранее неизвестно, какого цвета моча ударила в голову конкретному разработчику ведроидного устройства, в общем случае процедура надёжного удаления данных с ведроида описывается фразой “размалывать в пыль с размером частицы не более 2.3mm”.

Поэтому в корпоративном мире я всегда буду против ведроида. Это не корпоративный телефон, его невозможно поддерживать. Единственный способ — стандартизировать вендора. Чтобы у всех были, например, гугельпихли. Но так как пользователи ведроидов являются “свободными личностями”, такой подход неизбежно встречает упорное сопротивление.

Сисадминские будни

Примерно 50% сисадминской работы составляет ожидание того, когда что-нибудь произойдёт — сервер, наконец, просрётся и загрузится, сервиспак закончит устанавливаться, бекап забекапится, и т.д.

Хорошо, когда есть тыщ на 80 разного оборудования, куда можно приткнуть сапоги на время ожидания!

PS: DELL R710, кстати, реально может просираться минут 10 пока начнёт загружаться ОС.

И снова пнём Андроид

С сисадминской точки зрения телефоны с Андроидом — ЗЛО.

Почему? Потому, что если на телефоне была секретная информация, то перед выдачей новому сотруднику этого телефона или при избавлении от устройства вообще, эту информацию нужно стирать по ГОСТу стандартам NIST.

И если мы начнём читать стандарт, то процедура надёжного удаления данных для телефоном типа iPhone проста — ресетишь и в ус не дуешь. Эппл описал стандарт того, как этот алгоритм работает, и он полностью удовлетворил NIST.

А для телефонов на ОС Андроид в документе целый параграф, суть которого сводится к следующему — конкретная имплементация алгоритмов стирания зависит от производителя телефона. Поэтому процедуры надёжного удаления данных с телефонов на ОС Андроид в общем виде не существует. Сказано, что надо звонить производителю и выяснять, поддерживается ли там eMMC Secure Erase, Secure Trim и прочие умные слова.

Поэтому в общем случае, если от телефона на ОС Андроид надо избавиться, и на нём хранились секретные данные, телефон необходимо СЖИГАТЬ (ну или размалывать в пыль с размером зерна не более 2.4mm, как описано в стандарте).

И, кстати, для телефонов на ОС Windows то же самое. Вот уж никогда не подумал бы, что Яббл ближе корпоративному миру, чем Микрософт.