В предыдущей статье я рассказал о том, как отследить состояние isc-dhcpd, теперь о практических методах применения данной схемы.

При работе в высоко нагруженных гостевых Wi-Fi сетях возникает проблема отслеживания и добавления клиентов, которые имеют расширенный доступ к внешним сервисам. Самый лучший вариант это контроль доступа по MAC адресам (занесение связки адресов в dhcpd.conf), но как показывает практика он достаточно неудобен, т.к. Вы реально не можете контролировать состояние уже занесенных в конфиг хостов и их работу.

В этой небольшой статье я расскажу как снять с себя головную боль по администрированию больших подсетей завязанных на раздачу интернета приходящим пользователям.
Основные инструменты:

• Голова
• Еще раз голова
• Руки
• FreeBSD
• PF
• isc-dhcpd
• memcached
• perl

Желающие узнать про всё написанное под кат, остальным хорошего просмотра остальных топиков.
Ссылка на вторую часть

Принесли мне тут на днях ноутбук.
Ребёнок сел на диван и поломал разъём питания на ноуте, в итоге разъём стал греться и оплавил корпус, потом из-за температуры оплавился сам разъём. Выглядело это после разбора ноута следующим образом.

Что было дальше под катом.

В предыдущей статье я описал основные проблемы подстерегающие администраторов в больших компаниях.

Сегодня я продолжу данную тему и опишу основные проблемы конфигураций в больших сетях и возможности их решения.

Может для кого-то и не секрет, но для меня было открытием, что в Exchange домене нельзя создать учётки с именами microsoft@domain, internal@domain и default@domain. Эти адреса зарезервированы системой под системные общие папки. Причём адреса эти реальные и существующие, но письмо на них отправить нельзя, приходит отлуп. Если кто не верит — проверьте. И не убеждайте меня, что это просто совпадение :)

Спустя полтора года разработки, группа разработчиков антиспам проекта SpamAssassin планирует зарелизить новую версию в январе 2010 года.
Изменений в новой версии достаточно много, но в основном они касаются расширенного набора правил, а также оптимизации кода проекта для более динамичного обновления правил.

Основные изменения:

— правила фильтрации исключены из базовой поставки. Все новые правила загружаются при помощи sa-update
— Убрано использование модулей MAIL::DomainKeys и MAIL::SPF::Query
— Модуль AWL теперь не загружается по умолчанию. Нужно дополнительно включать его в файле конфигурации.
— работа в Perl версий 5.6.* и ниже не поддерживается. Рекомендуемые версии 5.8.8, 5.8.9, 5.10.1
— DKIM plugin теперь умеет понимать и проверять цифровые подписи доменных ключей.
— добавлен таймаут на работу подключенных плагинов, по умолчанию составляет 300 секунд. Если плагин не отвечает, он аккуратно пристреливается и проверка продолжается в обычном режиме.
— Добавлена возможность исключать из отладочной информации ненужные разделы(включить сразу всё и потом исключить лишнее)
— Добавлена полноценная поддержка IPv6 для различных списков(AWL, trusted_networks и т.д.)
— Добавлена куча новых правил и проверок контента почтовых сообщений.

Начинать тестировать уже можно сейчас. Версия довольно стабильная и скорее всего больших изменений к релизу уже не будет.

Полный RELEASE Notes.

Некоторое время назад возникла задача построения достаточно вместительного массива для хранения оперативных инкрементальных бекапов. Причём тратить деньги особо не хотелось, а место было нужно. Решение было простым и достаточно удобным. Далее много текста.

Работая в компании с количеством сотрудников в несколько сотен человек, поневоле задумываешься о безопасности сети, данных и рабочих мест сотрудников.

Ниже я опишу несколько методов оптимизации работы, которые помогают решать часть проблем корпоративной безопасности при помощи прокси серверов.

В связи с тем, что множество пользователей раскусили преимущества «portable Tor Browser», для установки которого не нужны админские права, было решено задавить возможность использования Tor во всех возможных вариантах.
Сразу оговорюсь, что речь пойдёт о связке FreeBSD + pf.

Продолжаем тему серверов IBM.
Сегодня был вскрыт сервер IBM 306, который слишком медленно работал(надоело ждать пока очухается). Удивлению не было предела. Ниже модули памяти которые были из него вытащены.
Сервер заказывался в компании Метап года этак 3-4 назад.
Откуда внутри такой зоопарк никто сказать не смог.

Но точно известно, что в сервер не лазили и ничего не меняли всё это время. Так как выдрать его из стойки было довольно проблематично.
И что самое интересное оно еще как-то при этом работало.

Давным давно столкнулся с проблемой когда ни один из клиентов, типа Filezilla, Far FTP Plugin, Far Navigator и другие, не может отобразить содержимое каталогов при подключении к серверу.
FAR FTP Plugin ругается на что не может отпарсить вывод, Filezilla показывает файлы перемешивая дату и имя файла и не даёт двигаться по каталогам.

Если кто не понял, это процессоры снятые с сервера IBM 335 2003 года выпуска, который стал вылетать с ошибкой одного из процессоров. Как видно на фотках, с камней даже не сняли бумажки, просто залили пастой(и то криво) и накрыли радиаторами.

Вот так вот бывает.
PS: Картинки кликабельны.

Некоторое количество времени(года три) назад, в попытке найти способ экспорта Windows EventLog, была найдена возможность в удобном виде осуществлять аудит различных событий происходящих на сервере.

Предупреждение: Автор не несет никакой ответственности за проблемы которые могут возникнуть при использовании данного метода подключения баз.

Microsoft SQL SERVER по умолчанию не позволяет создавать SQL базы на сетевых ресурсах, но это вполне как оказалось можно обойти при помощи внутренних флагов MSSQL.

DBCC TraceOn(1807)
GO
CREATE DATABASE MYDB
ON
(NAME = MYDB,
FILENAME = '\\server\share\MYDB.mdf' )
GO
DBCC TraceOff(1807)


Неделю назад нарисовалась нетривиальная задача по определению возможностей использования шифрованных контейнеров или файловых систем на вынесенном untrusted хостинге.

Основные задачи:
— Возможность бекапирования данных в любом виде для аварийного восстановления.
— Исключение доступа к этим данным неавторизованных лиц.
— Невозможность доступа к файлам при аварийном выключении сервера и загрузке с внешнего носителя.
— Прозрачная работа пользователей с файлами и любым содержимым находящемся на сервере.
— OS FreeBSD 7.2 и максимальный простор для фантазии в выборе вариантов реализации.
После энного количества времени сложилась следующая тестовая конфигурация:
GELI — GEOM_ELI (встроенная во FreeBSD подсистема шифрования использующая crypto(9) framework(аппаратное и программное шифрование))
GBDE — GEOM_BDE [Geom Based Disk Encryption] (встроенная во FreeBSD подсистема шифрования)
TrueCrypt — Портированная версия TrueCrypt 6.1a (использует fuse)
cryptofs — cryptofs использующая fuse
encfs — encfs использующая fuse

UPD: Таблица сравнения скоростей чистой и шифрованной файловых систем.

Целью данного тестирования было оценить эффективность работы различных антиспам систем. Для тестирования были выбраны следующие продукты:
• Apache Spamassassin — SA(свободный)
• Yandex Spamooborona 2.3 — SO(коммерческий)
• Kaspersky Antispam 3.0 — KAS(коммерческий)
• FastBL 0.7.0 (свободный)
• dnsbl списки:
bl.spamcop.net
cbl.abuseat.org
dnsbl.sorbs.net
dul.nsbl.sorbs.net
dul.ru
sbl-xbl.spamhaus.org
zen.spamhaus.org

Занимаясь по совместительству со своей основной работой анализом вирусной активности, возникли определенные идеи по поводу того, что нас может ждать в ближайшем будущем в отношении ботнетов(спам, DoS и т.д.). Речь пойдёт о возможных методах управления ботнетами.

Вчера прилетела интересная ссылка на сервис фидошников из Ростова на Дону.
Тамошние сисопы вывесили Golded 1.5.1 Linux в паблик доступ в read-only режиме.

telnet bbs.rndfido.net

Сразу нахлынули воспоминания о поинтовках 2:5020/993 и 2:5020/1451, файлэхах, BBSках, ночных скитаниях в поиске чего-либо интересного.
Правда многие из тут присутствующих скорее всего не знают что такое Фидо, никогда не пользовались Golded, T-Mail, terminate, командами ATDP, ATDL и ATA. Но это уже другая история.

Сайт фидошников Ростова на Дону: rndfido.net

Зачастую возникает необходимость обеспечить доступом какой-то сегмент гостевой пользовательской сети ограниченный по времени.

Расскажу немного о задаче.
У нас есть wifi сеть или LAN в интернет кафе где нам необходимо обеспечивать повременной доступ к интернет. Желательно чтобы управление системой было — поставил и забыл, дать оператору генерилку паролей с принтером и вручить кассовый аппаратдля приёма денег.

Куды не плюнь, все пользуются какой-нить бухгалтерско складской программой, кто-то пишет под себя, кто-то пытается купить то, что другие написали под себя, кто-то пытается своровать то, что купили те у тех которые писали под себя.
В итоге получаем разброд и шатание.
Я не увидел ни одной программы, чтобы поставил и работай. Нужно обязательно что-то подкручивать, прикручивать, переписывать, обновлять, т.е. учайствовать в процессе.
То что продают просто невозможно использовать.

И получаем вот примерно такой, почти односторонний диалог продавца программы и автоматизаторов: