Если у стейбл-коина было бы обеспечение исключительно в долларах и государственных облигациях, вы бы считали бы его надёжным? Полагаю да.
Это не совсем так. Взяли вы год назад 10 летних гособлигаций с доходностью в 1.5%. Сейчас их доходность около 4%, то есть купленная год назад облигация потеряла до 30% стоимости. И в моменте это дырища в балансе при самой консервативной стратегии
Нормальный продукт, поразительно нетребовательный к железу, отсутствие SAN мало напрягает. Есть несколько предложений.
Управление MTU на сетевых интерфейсах ВМ отсутствует. VXLan, IPsec - все откусывает байтики от стандартного 1500 байтного фрейма. Из-за нескольких байт пакет может быть фрагментирован многократно. Установление MTU через тот же cloud-init , было бы уместно.
Повторное использование уничтоженных ранее id машин - при использовании автоматики (тот же терраформ) нужно быть предельно осторожным, любые сбои или действия с ВМ через разные механизмы могут привести к тому, что терраформ примит за свою ВМ, к которой уже не имеет никакого отношения, что от терраформа не ожидаешь. Было бы полезно внести опциональную возможность для новых ВМ использовать id больше максимального, созданного на кластере, а не минимального свободного.
Терраформ в целом с Proxmox работает, но к пример не удалось импортировать в Terraform уже созданные ВМ. Терраформ не может удалить лишний сетефой Интерфейс.
А тут думать не надо, автор все продумал, наивно нам предлагает кивнуть.
Виновник — владелец, лучшие годы конторы позади. Персоналу стоит приготовится к эвакуации, шансы на появление нормального руководителя минимальны — владелец потерял нюх, а может и не имел, а контора продукт удачного стечения обстоятельств и встречи с правильными людьми.
Касаемо АвтоВАЗа — «о покойниках либо хорошее, либо ничего, кроме правды». Единственный выживший в 90-е производитель легковых автомобилей. Предприятия в Москве, Ижевске, Нижним Новгороде сложились как карточные домики — проклятое место. В 90-е обеспечивал 5% ВВП страны, содержал социалку 750-тысячного города(плюсом к выплате всех налогов), был прибыльным до смены руководства.
Ansible инструмент, который не сильно далеко отошел от MVP и у которого вместо CMDB текстовый файл, но в остальном ansible реально хорош. На «красноглазиков» можно было посмотреть даже на Cisco Connect, только попасть в аудиторию было нереально.
Bacula тяжеловата в освоении и все, что сложнее файла, приходитcя обслуживать скриптами, но со временем все уже кажется не таким страшным. Ну и в качестве примера, уверен, что на ansible можно написать плейбук: подключить репозиторий, установить bacula-fd (агент), определить файловые системы клиента для бекапирования из стандартных /,/var, /home, развернуть PKI для шифрования обмена и бекапов, испечь и закинуть сертификаты на клиента, определить наличие установленных пакетов БД и включить скрипты резервное копирование стандартных БД, сгенерировать конфигурацию клиента и клиентского описания на сервере бакула, открыть порт агента на фаерволе только для сервера, запустить или перезапустить все что надо, а потом в zabbix сказать, чтоб отслеживал наличие процесса агента бакула на клиенте. Неделю — две над таким попотеть придется, но потом одной строкой переменная для хоста backup_enable: true и слава на github.
Большая часть плейбука будет пониматься при минимальных знаниях. Это для представления возможностей ansible.
Вертолеты России связаны с ВПК и давно под санкциями, со всеми вытекающими последствиями. Расчет цены и превосходство DPM над Bacula уже вторично.
ТВ весьма сомнительный источник информации. Можно же легко найти финансовые результаты работы лет за двадцать. Ну и кроме того, АвтоВАЗ — не отечественный автопром (RIP), это Рено:
«АвтоВАЗ» сообщил, что предоставит компании Renault Finance (100%-ная «дочка» Renault) возобновляемый заем на сумму до 10 млрд руб. сроком до марта 2023 г. Договор заключен 15 августа. Условия и цели займа не раскрываются.
Думаете это на деньги налогоплательщиков? Предлагаю в другом месте поискать.
Что-то похожее из опыта:
1. На логсервере алиасом поднято несколько IP адресов, каждые адрес отвечает за сбор данных с разных направлений: сеть, сервера, телефония, безопасность, инженерные системы. Соответственно, файлы журналов размещаются в различных каталогах, в зависимости от направления.
2. Файлы журналов размещаются в подкаталогах с именами, включающих год и месяц. Жмутся по крону через месяц, удаляются обычно через год, пустые каталоги удаляются. Имя файла кроме hostname из обратного DNS резольвинга содержит и IP адрес источника лога.
3. Существует отдельный файл с копией журналов особо критичных устройств, критичных ошибок со всех устройств, авторизация админами с неадминских IP сетей. В начале рабочего дня и ближе к концу на 15 минут в файл пропускаются ошибки резервированных блоков питания, вентиляторов — иначе банально забьют логи сообщениями раз в 30секунд. Сам файл показывается по web через loganalyzer, который включен внешней страницей в слайдшоу zabbix. Все это на телевизоре в комнате админов.
Правда все на syslog-ng.
При входе на компьютер MS сохраняет хешик от пароля у себя, в дальнейшим этот же хешик пароля ( а не пароль !) может использоваться для авторизации на других компьютерах домена. Доступ к хешику могут получить только администраторы компьютера и не штатными средствами MS.
Я ссылку на pdf дал, в первой версии в начале описывается проблема.
Microsoft Malware Protection Center blog.
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
У ПозитиваТ в том же ключе: по распространению использует уязвимости WannaCry + вытаскивает учетные данные локальных и доменных пользователей и пытается двигаться по сети под официальными логинами админов, укладывая даже отпаченную Windows.
Если антивирус не сдержит, то предохраниться реально сложно.
https://www.microsoft.com/en-us/download/details.aspx?id=36036 читаем много букв в PDF.
От себя: разделите админов ПК, серверов, домена. Используйте FireWall для ограничений сетевых взаимодействий, я бы ограничил взаимодействие между клиентскими ПК, соответственно скомпрометированным админом ПК нельзя воспользоваться по назначению.
Банальный рецепт, сменить пароль админам ПК, никто не дает, но временно должно помочь.
Это же Рейтер для домохозяек, Вы то что умничать стали? Не Ваша аудитория, вот Вам карму и попортили. По ссылки сходите, от видеоряда с Путиным страшно за всю цивилизацию становится. Фотография здания Эшелона по тегом Open Source изрядно позабавила.
Из полезной информации: Symantec не будет передавать ВСЕ свои продукты на сертификация на отсутствие недекларированных возможностей, остальное журналистская слизь.
NGFW умеет много чего, но вот быстро и дешево не может. Именно простого пакетного фильтра достаточно для реализации правила: «сетевые взаимодействия между пользовательскими ПК запрещены, ибо все есть клиент-сервер» при $150 за порт и 40Gb/s матрицы коммутации на свитч с 50ю интерфейсами. Если есть возможность повесить фильтр не на вилан, а на порт — вот и изолированные сегменты в 1 ПК за счет типового для всей корпоративной сети небольшого пакетного фильтра. После реализации ПК не может заразить другой ПК, расслабляться не надо, но там фатального ничего (типа Wannacry) не произойдет, сконцентрируйте интеллект и деньги(NGFW) на периметре, DMZ и серверах.
Можно раскрыть тему «уязвимость ошибочной миграции машин»?
Чем меньше виланы сегментов пользовательских ПК, тем лучше, но растет сложность администрирования. Компромисс — вилан формируется на базе только одного свича.
Сервера размещаются в едином блоке IP адресов, ну или нескольких блоках.Никаких сервисов в пользовательских сегментах, печать через сервер.
Все корпоративные приложения имеют архитектуру клиент-сервер, исключения составляет VoIP RTP (udp/16k-32k или даже udp/1k-64k).
На выходе из пользовательского сегмента стоит фильтр: разрешить IP до серверов, ICMP, RTP, запретить IP на приватные адреса, разрешить все.
Портфолио данной методики начинается с Чернобыля (Virus.Win9x.CIH) 1999г, то был ад. С той поры больше слушаешь про приключения других.
Если к вашему проекту приставлен заинтересованный и толковый человек из крупной конторы, то можно даже не узнать про многие "ужасы". У этого человека не должна быть слишком высокая должность — может продавливать, но пахать на проект не будет. Если вас вывели сразу на группу по внедрению, уже пора начинать беспокоиться.
С самого начала намекайте, что успех проекта сильно зависит от руководителя проекта со стороны компании, вне зависимости от количества соучастников проекта. Вдруг повезет.
Официальные документы действительно нужны.
Собственно, документ — это нервный импульс, вынуждающий различные части сложного организма действовать. У импульса должен быть источник, обычно это конкретный человек, представляющий некую структуру. "Бюрократ" не хочет быть источником того, что не является его прямыми обязанностями (см п.1 еще раз), и он прав на 99%.
В большинстве случаев у документа должен быть исполнитель — тот кто доступен и может пояснить содержимое документа или уточнить какие-либо моменты. Часто исполнитель является автором документа, руководство просто его визирует.
Протокол удобная форма возбуждения импульса при ослабленной персональной мотивации "бюрократа". Некий коллективный разум, что-то решает, вес решению предает статус участников. Всегда пишите протоколы официальных встреч, чтобы осмыслить, чтобы люди не забывали и начинали действовать. На повторяющихся встречах ВСЕГДА озвучивайте предыдущий протокол, сделайте отчет сами и попытайтесь получить отчет по поручениям от других — у вас ведь все серьезно.
Почта и устные переговоры не транслируются на третьих лиц.
Это не говорит о том, что они вредны, просто круг воздействия ограничен кругом непосредственных участников. Для подключения больших ресурсов, потребуется усилия для трансляции из устной речи в "бюрократическую" — документ.
Пишите понятные документы.
Частенько документы приходят без контекста, будто все знают о трудностях вопрошающего. Хуже только бояться писать документы. Не забываем про исполнителя.
Попробуйте получить доступ к внутреннему электронному документообороту.
Я представляю все трудности, но бонусы! Так или иначе, в электронном документообороте прекрасно видно проблемы и работник компании вправе устанавливать горизонтальные связи для их решения (еще раз смотрим п.1)
Какие-то международные последствия этот бред вызвать не может. Озвучено для внутренних нужд да еще со заимствованием:
Цель – получение доступа к исходным кодам ПО атакованных компаний и к информации о китайских диссидентах.
Из фильма «Горячие головы»:
Наша цель разрушить ядерную установку на высотах, показанных здесь. Это ваша основная цель. Если вам не удастся нанести удар по главной цели, то наносите по второстепенным: одна из них фабрика по изготовлению аккордеонов, вторая — школа пантомимного искусства.
Специалист по безопасности работает с теоретическими рисками.
Сисадмин часто оказывается один на передовой, да еще в отсутствии полного понимания проблемы, работая на уровне ощущений или внутреннего голоса. Все это удовольствие при остром недостатке времени и большими реальными последствиями. Стресс жесточайший.
Другое дело, что удовлетворение от работы сисадмина получить проще, чем зудя всем про риски, длинные пароли, объясняя разницу между сертификатом и ЭЦП, пропагандирую идиотские процедуры, прося денег на никому непонятную хрень.
На второй день, ты уже устроился, но еще не купил кружку соответствующую статусу.
Открываешь в браузере проект, в первом же месте меняешь в запросе ?id=14, на ?id=TEST и вуаля — на экране появляется ошибка с текстом SQL запроса. Далее бежишь доказывать, что это не правильно, успешно, тебе обещают поправить.
Для более качественного анализа получаешь исходный код. Через 5 минут становиться понятным, что это систематическая ошибка.
Еще через полчаса понимаешь, что проверки в принципе никто не делает. Пишешь скриптик для анализа масштаба проблемы и тот находит 3000 мест, где осуществляется передача параметров запроса без проверок. Более того, однотипные модули были реализованы под copy-paste, что говорит о низкой культуре кода и тяжкой перспективе что-то объяснить.
Возвращаешься к разработчикам, тебя сходу уверяют, что над твоим первым пришествием они долго думали и поправят ошибку, как только освободится ответственный за тот код программист, где-то через неделю. Умножаешь неделю на 3000, пытаешься представить сколько это. Запутавшись в вычислениях приобретаешь спокойствие — с этим надо как-то жить дальше. Вываливаешь разработчикам свои 3000 засеченных косячка, отмечаешь copy-paste, тщательно подбирая цензурные выражения. Оказываются, что разработчики слышали про атаки на WEB, но все как-то времени нет это все систематизировать, описать, донести и внедрить. Иными словами это твоя работа! Тут же узнаешь, что проект старый, сложный, писанный кому не лень было. Действующая команда вынуждена продолжать традиции, да еще постоянная нехватка сил на необходимое развитие.
Возвращение на рабочее место и поиск ответа на «Что делать ?». mod_security одним махом прикроет множество проблем! Находишь тестовый сервер, просишь развернуть проект, поднимаешь mod_security. Тестируешь сайт. Он работает лишь частично. mod_security тебе рассказывает, что в запросах обнаруживается нечто, сильно похожее на SQL: «select id,username .....». Изучаешь код страницы и обнаруживаешь симпатичный самописный фреймворк, которой на javascript генерит SQL запросы на основании действия пользователя.
В отсутствии аналогов DARPA, создание еще одного высокотехнологичного рынка в РФ, даже если не под самым прозрачным предлогом, я приветствую. Государство создало предпосылки для конкурентной высокотехнологичной гонки, которую оплатят… простые автомобилисты. Без сомнения, вогнанные в разделительную полосу сваи спасут жизни.
Интеллектуальная накачки автомобильной отрасли мне видется куда интересней, пусть на несколько дальней перспективе.
Это не совсем так. Взяли вы год назад 10 летних гособлигаций с доходностью в 1.5%. Сейчас их доходность около 4%, то есть купленная год назад облигация потеряла до 30% стоимости. И в моменте это дырища в балансе при самой консервативной стратегии
Нормальный продукт, поразительно нетребовательный к железу, отсутствие SAN мало напрягает. Есть несколько предложений.
Управление MTU на сетевых интерфейсах ВМ отсутствует. VXLan, IPsec - все откусывает байтики от стандартного 1500 байтного фрейма. Из-за нескольких байт пакет может быть фрагментирован многократно. Установление MTU через тот же cloud-init , было бы уместно.
Повторное использование уничтоженных ранее id машин - при использовании автоматики (тот же терраформ) нужно быть предельно осторожным, любые сбои или действия с ВМ через разные механизмы могут привести к тому, что терраформ примит за свою ВМ, к которой уже не имеет никакого отношения, что от терраформа не ожидаешь. Было бы полезно внести опциональную возможность для новых ВМ использовать id больше максимального, созданного на кластере, а не минимального свободного.
Терраформ в целом с Proxmox работает, но к пример не удалось импортировать в Terraform уже созданные ВМ. Терраформ не может удалить лишний сетефой Интерфейс.
А тут думать не надо, автор все продумал, наивно нам предлагает кивнуть.
Виновник — владелец, лучшие годы конторы позади. Персоналу стоит приготовится к эвакуации, шансы на появление нормального руководителя минимальны — владелец потерял нюх, а может и не имел, а контора продукт удачного стечения обстоятельств и встречи с правильными людьми.
Касаемо АвтоВАЗа — «о покойниках либо хорошее, либо ничего, кроме правды». Единственный выживший в 90-е производитель легковых автомобилей. Предприятия в Москве, Ижевске, Нижним Новгороде сложились как карточные домики — проклятое место. В 90-е обеспечивал 5% ВВП страны, содержал социалку 750-тысячного города(плюсом к выплате всех налогов), был прибыльным до смены руководства.
Bacula тяжеловата в освоении и все, что сложнее файла, приходитcя обслуживать скриптами, но со временем все уже кажется не таким страшным. Ну и в качестве примера, уверен, что на ansible можно написать плейбук: подключить репозиторий, установить bacula-fd (агент), определить файловые системы клиента для бекапирования из стандартных /,/var, /home, развернуть PKI для шифрования обмена и бекапов, испечь и закинуть сертификаты на клиента, определить наличие установленных пакетов БД и включить скрипты резервное копирование стандартных БД, сгенерировать конфигурацию клиента и клиентского описания на сервере бакула, открыть порт агента на фаерволе только для сервера, запустить или перезапустить все что надо, а потом в zabbix сказать, чтоб отслеживал наличие процесса агента бакула на клиенте. Неделю — две над таким попотеть придется, но потом одной строкой переменная для хоста backup_enable: true и слава на github.
Большая часть плейбука будет пониматься при минимальных знаниях. Это для представления возможностей ansible.
Вертолеты России связаны с ВПК и давно под санкциями, со всеми вытекающими последствиями. Расчет цены и превосходство DPM над Bacula уже вторично.
Думаете это на деньги налогоплательщиков? Предлагаю в другом месте поискать.
1. На логсервере алиасом поднято несколько IP адресов, каждые адрес отвечает за сбор данных с разных направлений: сеть, сервера, телефония, безопасность, инженерные системы. Соответственно, файлы журналов размещаются в различных каталогах, в зависимости от направления.
2. Файлы журналов размещаются в подкаталогах с именами, включающих год и месяц. Жмутся по крону через месяц, удаляются обычно через год, пустые каталоги удаляются. Имя файла кроме hostname из обратного DNS резольвинга содержит и IP адрес источника лога.
3. Существует отдельный файл с копией журналов особо критичных устройств, критичных ошибок со всех устройств, авторизация админами с неадминских IP сетей. В начале рабочего дня и ближе к концу на 15 минут в файл пропускаются ошибки резервированных блоков питания, вентиляторов — иначе банально забьют логи сообщениями раз в 30секунд. Сам файл показывается по web через loganalyzer, который включен внешней страницей в слайдшоу zabbix. Все это на телевизоре в комнате админов.
Правда все на syslog-ng.
Я ссылку на pdf дал, в первой версии в начале описывается проблема.
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
У ПозитиваТ в том же ключе: по распространению использует уязвимости WannaCry + вытаскивает учетные данные локальных и доменных пользователей и пытается двигаться по сети под официальными логинами админов, укладывая даже отпаченную Windows.
Если антивирус не сдержит, то предохраниться реально сложно.
https://www.microsoft.com/en-us/download/details.aspx?id=36036 читаем много букв в PDF.
От себя: разделите админов ПК, серверов, домена. Используйте FireWall для ограничений сетевых взаимодействий, я бы ограничил взаимодействие между клиентскими ПК, соответственно скомпрометированным админом ПК нельзя воспользоваться по назначению.
Банальный рецепт, сменить пароль админам ПК, никто не дает, но временно должно помочь.
Из полезной информации: Symantec не будет передавать ВСЕ свои продукты на сертификация на отсутствие недекларированных возможностей, остальное журналистская слизь.
Можно раскрыть тему «уязвимость ошибочной миграции машин»?
Сервера размещаются в едином блоке IP адресов, ну или нескольких блоках.Никаких сервисов в пользовательских сегментах, печать через сервер.
Все корпоративные приложения имеют архитектуру клиент-сервер, исключения составляет VoIP RTP (udp/16k-32k или даже udp/1k-64k).
На выходе из пользовательского сегмента стоит фильтр: разрешить IP до серверов, ICMP, RTP, запретить IP на приватные адреса, разрешить все.
Портфолио данной методики начинается с Чернобыля (Virus.Win9x.CIH) 1999г, то был ад. С той поры больше слушаешь про приключения других.
С самого начала намекайте, что успех проекта сильно зависит от руководителя проекта со стороны компании, вне зависимости от количества соучастников проекта. Вдруг повезет.
Собственно, документ — это нервный импульс, вынуждающий различные части сложного организма действовать. У импульса должен быть источник, обычно это конкретный человек, представляющий некую структуру. "Бюрократ" не хочет быть источником того, что не является его прямыми обязанностями (см п.1 еще раз), и он прав на 99%.
В большинстве случаев у документа должен быть исполнитель — тот кто доступен и может пояснить содержимое документа или уточнить какие-либо моменты. Часто исполнитель является автором документа, руководство просто его визирует.
Протокол удобная форма возбуждения импульса при ослабленной персональной мотивации "бюрократа". Некий коллективный разум, что-то решает, вес решению предает статус участников. Всегда пишите протоколы официальных встреч, чтобы осмыслить, чтобы люди не забывали и начинали действовать. На повторяющихся встречах ВСЕГДА озвучивайте предыдущий протокол, сделайте отчет сами и попытайтесь получить отчет по поручениям от других — у вас ведь все серьезно.
Это не говорит о том, что они вредны, просто круг воздействия ограничен кругом непосредственных участников. Для подключения больших ресурсов, потребуется усилия для трансляции из устной речи в "бюрократическую" — документ.
Частенько документы приходят без контекста, будто все знают о трудностях вопрошающего. Хуже только бояться писать документы. Не забываем про исполнителя.
Я представляю все трудности, но бонусы! Так или иначе, в электронном документообороте прекрасно видно проблемы и работник компании вправе устанавливать горизонтальные связи для их решения (еще раз смотрим п.1)
Сисадмин часто оказывается один на передовой, да еще в отсутствии полного понимания проблемы, работая на уровне ощущений или внутреннего голоса. Все это удовольствие при остром недостатке времени и большими реальными последствиями. Стресс жесточайший.
Другое дело, что удовлетворение от работы сисадмина получить проще, чем зудя всем про риски, длинные пароли, объясняя разницу между сертификатом и ЭЦП, пропагандирую идиотские процедуры, прося денег на никому непонятную хрень.
Открываешь в браузере проект, в первом же месте меняешь в запросе ?id=14, на ?id=TEST и вуаля — на экране появляется ошибка с текстом SQL запроса. Далее бежишь доказывать, что это не правильно, успешно, тебе обещают поправить.
Для более качественного анализа получаешь исходный код. Через 5 минут становиться понятным, что это систематическая ошибка.
Еще через полчаса понимаешь, что проверки в принципе никто не делает. Пишешь скриптик для анализа масштаба проблемы и тот находит 3000 мест, где осуществляется передача параметров запроса без проверок. Более того, однотипные модули были реализованы под copy-paste, что говорит о низкой культуре кода и тяжкой перспективе что-то объяснить.
Возвращаешься к разработчикам, тебя сходу уверяют, что над твоим первым пришествием они долго думали и поправят ошибку, как только освободится ответственный за тот код программист, где-то через неделю. Умножаешь неделю на 3000, пытаешься представить сколько это. Запутавшись в вычислениях приобретаешь спокойствие — с этим надо как-то жить дальше. Вываливаешь разработчикам свои 3000 засеченных косячка, отмечаешь copy-paste, тщательно подбирая цензурные выражения. Оказываются, что разработчики слышали про атаки на WEB, но все как-то времени нет это все систематизировать, описать, донести и внедрить. Иными словами это твоя работа! Тут же узнаешь, что проект старый, сложный, писанный кому не лень было. Действующая команда вынуждена продолжать традиции, да еще постоянная нехватка сил на необходимое развитие.
Возвращение на рабочее место и поиск ответа на «Что делать ?». mod_security одним махом прикроет множество проблем! Находишь тестовый сервер, просишь развернуть проект, поднимаешь mod_security. Тестируешь сайт. Он работает лишь частично. mod_security тебе рассказывает, что в запросах обнаруживается нечто, сильно похожее на SQL: «select id,username .....». Изучаешь код страницы и обнаруживаешь симпатичный самописный фреймворк, которой на javascript генерит SQL запросы на основании действия пользователя.
Идешь покупать кружку.
Интеллектуальная накачки автомобильной отрасли мне видется куда интересней, пусть на несколько дальней перспективе.