Pull to refresh

Action Request System: Знакомство

Programming *
Sandbox
Прошло довольно много времени с тех пор как я устроился на новую работу. С того момента, я, собственно и начал изучать эту новую для себя технологию. Предлагаю вам изучить ее вместе со мной, по мере написания/чтения новых записей по этой теме. Упоминаний в рунете о ней я нашел крайне мало, поэтому решил восполнить брешь. Итак, начнем.

Что это такое?


В принципе, этот параграф вы можете прочитать и в английской википедии (хотя материал все-таки и различается: тут более углублен, в вики же, более поверхностный. Зато больше охват) так что он к прочтению желателен. Для начала, расшифруем аббревиатуру: Action Request System. Правда адекватного предназначению системы перевода я дать так и не смог. Что ж, разберем функционал по косточкам и каждый сам для себя решит, как же правильно перевести это название системы действий по запросам. Создала ее американская компания BMC. Это приложение, имеющее клиент-серверную архитектуру. Окружение клиента можно разделить на два типа: для пользователей (непосредственно, среда, которая рисует все формочки, берет данные и так далее) и для разработчиков — IDE на платформе Eclipse, в которой и разрабатываются все пользовательские приложения.
Читать дальше →
Total votes 14: ↑10 and ↓4 +6
Views 6.8K
Comments 33

Уязвимость в BMC-контроллере Supermicro позволяет получить доступ к паролям управляющего интерфейса

Information Security *
image
В BMC (Baseboard Management Сontroller) чипе, используемом в материнских платах Supermicro, выявлена уязвимость, позволяющая злоумышленнику получить доступ к паролям входа в управляющий интерфейс. Проблема вызвана тем, что содержимое файла с паролями выводится среди бинарного блока данных, который можно получить без аутентификации через сетевой порт 49152. Техника эксплуатации очень проста, достаточно подключиться к порту 49152 и выполнить команду «GET /PSBlock». Пароли выдаются в открытом виде, без хэширования.

Выявившие уязвимость исследователи безопасности предупреждают, что им удалось обнаружить в сети 31964 серверов, подверженных данной проблеме, при этом на 3296 (10%) из этих систем применялись пароли, заданные по умолчанию. Предоставляемый BMC-контроллером IPMI-интерфейс предоставляет средства для мониторинга и управления оборудованием, в том числе позволяет отслеживать состояние датчиков, управлять питанием, прошивками и дисками, удалённо загрузить на сервере собственную ОС по сети, организовать работу консоли удалённого доступа для атаки на базовую ОС и изменения настроек BIOS.

Проверить свой сервер можно банально подключившись к уязвимому порту с помощью telnet:
telnet ip_ipmi 49152

далее
GET /PSBlock

если Вы в тексте ответа увидели свои пароли, то Вам стоит задуматься об обновлении прошивок.

Источник...

upd:
Скачать обновления прошивки, можно по ссылке.
Total votes 29: ↑29 and ↓0 +29
Views 29K
Comments 31

Обновление FRUSDR для оптимальной производительности сервера (платформа INTEL)

Server optimization *Server Administration *
Sandbox
В течении нескольких лет я администрирую пару серверов на платформе INTEL, на которых крутится ИИС, при их запуске и работе возникает такое ощущение, что где-то рядом готовится к взлёту небольшой самолёт. Как выяснилось, причина проста: неправильно сконфигурирован FRUSDR.

Для оптимальной производительности сервера необходимо обновить и заново сконфигурировать FRUSDR (Field Replaceable Unit/Sensor Data Record).

Поиск в сети инструкции по обновлению и настройки FRUSDR не дал должного результата, так что, изучив документацию от INTEL, решил свести всё в одну статью.

Итак, приступаем к обновлению BMC, BIOS, FRUSDR и ME

Читать дальше →
Total votes 10: ↑8 and ↓2 +6
Views 22K
Comments 5

Серверы IBM/Lenovo и сторожевой таймер: эпизод II

System administration *Server Administration *
Более чем полгода я потратил на совместное с аппаратной и программной технической поддержкой IBM расследование по поводу работы сторожевого таймера на серверах IBM/Lenovo в Linux. Начало этой детективной истории было описано в моей статье SLES 12, сторожевой таймер и серверы IBM/Lenovo. Сейчас, похоже, ситуация разъяснилась, и можно дать конструктивные рекомендации счастливым обладателям железа IBM/Lenovo xSeries.
Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Views 8.5K
Comments 6

Арсенал ленивого Джедая для удаленной реанимации

Сервер Молл corporate blog System administration *IT Infrastructure *Server Administration *Data recovery *


У каждого администратора однажды перестает отзываться некий сервер на другом конце города. В вечер пятницы приходится ехать по раскисшему весеннему городу, так как пациент недоступен через Интернет и вменяемого персонала рядом нет. Помню, как в один из таких случаев было обидно лицезреть "Press F1 to continue": вышел из строя ИБП и старенький ProLiant после перезагрузки считал, что «Power Supply Failed». Ну надо же было забыть отключить уведомление с ожиданием реакции в BIOS!


Но здесь будет не ода IPMI, а немного личных граблей и хитростей удаленного восстановления сетевого и серверного железа.

Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 23K
Comments 14

IPMI ― обзор технологии

Selectel corporate blog Server Administration *

Чтобы удаленно управлять состоянием серверной платформы, системные администраторы и инженеры пользуются технологией IPMI, которая значительно упрощает им жизнь. Теперь не надо каждый раз бежать к серверу, чтобы нажать на кнопку перезагрузки ― своевременно реагировать на критические неполадки можно сидя дома в уютном кресле. В этой статье рассмотрим основные компоненты IPMI и детали работы технологии.
Читать дальше →
Total votes 20: ↑19 and ↓1 +18
Views 98K
Comments 20

Почему открытые прошивки важны для безопасности

Information Security *Open source *Development for Linux *Computer hardware
Translation
Недавно на GoTo Chicago я читала лекцию на эту тему и подумала, что будет неплохо написать статью с выводами. Этот пост посвящён тому, почему прошивки с открытым исходным кодом важны для безопасности.

Уровни привилегий


В типичном стеке у вас различные уровни привилегий.

  • Кольцо 3. Приложения: минимальные привилегии, за исключением песочницы в пользовательском пространстве, которая ещё больше ограничена.
  • Кольцо 0. Ядро: ядро операционной системы, в случае ОС с открытым исходным кодом вы видите его код.
  • Кольцо −1. Гипервизор: мониторинг виртуальных машин (VMM), создаёт и запускает виртуальные машины. В гипервизорах с открытым исходным кодом, таких как Xen, KVM, bhyve и другие, вы видите код.
  • Кольцо −2. Режим управления системой (SMM), ядро UEFI: проприетарный код, подробнее об этом ниже.
  • Кольцо −3. Движок управления: проприетарный код, подробнее об этом ниже.

Отрицательные кольца указывают на уровни с привилегиями больше, чем у нулевого.
Total votes 30: ↑29 and ↓1 +28
Views 7.2K
Comments 10

Про безопасные noVNC-консоли, автоскейлинг в Kubernetes, Haproxy в «Островке» и работу админов с программистами

Selectel corporate blog System administration *Project management *Conferences Kubernetes *


Выкладываем видеозаписи докладов с Selectel MeetUp: системное администрирование.

Небольшая предыстория


Selectel MeetUp ― это встречи с короткими докладами и живым общением. Идея мероприятия проста: послушать классных спикеров, пообщаться с коллегами, обменяться опытом, рассказать про свои проблемы и услышать, как их решали другие. В целом, все то, что называют нетворкингом в IT-сообществе.

Мы разогревались на небольших митапах про DevOps и высокую доступность в информационных системах. На последнем спикеры были только из Selectel, но по опыту DevOps мы поняли, что нужно приглашать интересных ребят из других компаний. И названия сделать понятнее, чем просто порядковый номер митапа. Так, в этом году мы перезапустили мероприятие.

12 сентября прошла первая встреча в новом формате. Вместе со спикерами из «ВКонтакте», UseDesk, Studyworld обсудили состояние и перспективы клиентского сервиса в русском IT. На этом решили не останавливаться.

3 октября в Selectel прошел митап для системных администраторов. В этот раз пригласили спикеров из компаний Cogia.de, «Островок» и Digital Vision Labs. Говорили про Kubernetes, legacy code в современных системах и работе администраторов с другими отделами. Представьте ― Питер, вечер, дождь, а у нас полный конференц-зал сисадминов. Ну как здесь не воодушевиться? Вадим Исаканов на свое выступление вообще из Челябинска приехал.

Пока мы думаем над темой следующего митапа, под катом публикуем записи докладов.
Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 3.7K
Comments 0

Security Week 42: аппаратные бэкдоры, уязвимость в Intel NUC

«Лаборатория Касперского» corporate blog Information Security *
Уязвимости в ПО низкого уровня, которое запускается до загрузки операционной системы, бывают не только в «айфонах». На прошлой неделе были закрыты уязвимости в прошивках двух популярных устройств — в игровой и медиаприставке Nvidia Shield TV и в компьютерах семейства Intel NUC. Две уязвимости в Intel NUC (рейтинг CVSS 7.5, подробнее на сайте вендора) обеспечивают повышение привилегий. Обе проблемы — локальные, то есть для их эксплуатации требуется физический доступ к устройству (и права пользователя в системе). Они затрагивают компьютеры Intel восьмого поколения.


В Nvidia Shield две проблемы были обнаружены в загрузчике (бюллетень производителя). В одном случае возможна эксплуатация с выполнением произвольного кода. Вторая уязвимость позволяет подменить загрузочный образ, получив таким образом полный контроль над устройством. Обе уязвимости закрыты в прошивке для Shield версии 8.0.1.
Total votes 23: ↑20 and ↓3 +17
Views 6K
Comments 3