В этой небольшой статье я расскажу как снять с себя головную боль по администрированию больших подсетей завязанных на раздачу интернета приходящим пользователям.
Основные инструменты:

• Голова
• Еще раз голова
• Руки
• FreeBSD
• PF
• isc-dhcpd
• memcached
• perl

Желающие узнать про всё написанное под кат, остальным хорошего просмотра остальных топиков.
Ссылка на вторую часть

В предыдущей статье я рассказал о том, как отследить состояние isc-dhcpd, теперь о практических методах применения данной схемы.

При работе в высоко нагруженных гостевых Wi-Fi сетях возникает проблема отслеживания и добавления клиентов, которые имеют расширенный доступ к внешним сервисам. Самый лучший вариант это контроль доступа по MAC адресам (занесение связки адресов в dhcpd.conf), но как показывает практика он достаточно неудобен, т.к. Вы реально не можете контролировать состояние уже занесенных в конфиг хостов и их работу.

Ни для кого не секрет, что технология RemoteApp внедрённая в Windows 2008 это ответ Microsoft технологиям доступа к приложениям компании Citrix. Всё бы ничего, но для использования данной технологии в повседневной жизни, без наличия RD Gateway, нужен открытый наружу RDP Port tcp/3389. Наблюдая за своими терминальными серверами, я обнаружил что сервера постоянно подвергаются brute-force атакам подбора паролей различных пользователей.
Дабы не испытывать судьбу я немного модифицировал схему доступа к RDP.

Продолжаем публикацию полезных статей о непростых вещах.
Сегодня речь пойдёт о публикации различных сервисов через несколько провайдеров связи одновременно.

В связи с тем, что с течением времени почти во всех организациях появляются дополнительные каналы связи для резервирования или других нужд, возникает вопрос: «А можно ли использовать эти каналы связи для одновременной публикации корпоративных сервисов ?»
Некоторое время назад данный вопрос возник и у нас в компании, поэтому было решено перестроить внешний периметр.
В нашем случае было 4 провайдера и следующий список сервисов:

• HTTP сервисы(около 60 сайтов)
• XMPP сервис
• HTTPS Сервер корпоративной почты(Exchange)
• VPN сервис
• SSH
• IMAP, IMAPS, POP, POP3S, SMTP, SMTPS
• OwnCloud

Решил я тут намедни поискать своих бизнес-партнёров на LinkedIn и обнаружил небольшую дырку в предоставлении информации. Схема работает для небольших, либо связанных компаний. Так сказать локальный Privilege Escalation внутри LinkedIn.
Заранее прошу прощения у своих коллег из компании NETCUBE за использование их профилей в посте.
Итак.

Некоторое время назад возникла задача построения достаточно вместительного массива для хранения оперативных инкрементальных бекапов. Причём тратить деньги особо не хотелось, а место было нужно. Решение было простым и достаточно удобным. Далее много текста.

Однажды возникла необходимость в подчинённом, в рамках имеющейся инфраструктуры центре сертификации для 'выездного' использования — создания временных технологических сертификатов во время различных разъездов. Необходимо было сделать его мобильным и разумно, для данных целей, защищённым. Приемлемым был признан вариант с загрузочной флешкой с каким-нибудь *nix + openssl и типовым сценарием использования — имеющийся под рукой компьютер перезагружаем, вставляем флешку, загружаемся с неё, работаем, вытаскиваем флешку, перезагружаем компьютер. Секретные ключи данного ЦС, его файлы конфигурации, ключевые файлы для двухфакторной аутентификации могут быть вынесены на отдельные носители.

Начался выбора дистрибутива *nix. Требования были следующие:

• дистрибутив должен быть поддерживаемым в актуальном состоянии, в том числе и OpenSSL
• наличие i386 версии. Гигабайты памяти нам не понадобятся, а вот возможность запуска на нетбуке с x86 Intel Atom будет полезна
• запуск системы из оперативной памяти, либо корректный запуск и работа с r/o разделов. В идеале, корректная работа с флешки при включенной защите от записи (при использовании Qumo серии Yin & Yan)
• возможность компактной инсталляции
• желателен достаточно большой срок поддержки релиза

В результате в финал вышли два дистрибутива — Alpine Linux и OpenBSD. Всё бы хорошо, и не было бы смысла писать эту статью, как ВНЕЗАПНО уточнились требования к операционной системе — потребовалась полная поддержка русского текста в Unicode в системной консоли. На ввод и на вывод.

Ну всё, приплыли. Оба финалиста выбыли из соревнования. Alpine Linux в силу используемой в нём компактной библиотеки C, а OpenBSD… ну, у неё другие сильные стороны. Однако это требование позволило иначе взглянуть на доступные дистрибутивы, и в фаворитах неожиданно оказалась FreeBSD. Консольный драйвер vt (ранее известный как newcons) поддерживает Unicode «из коробки», русские шрифты идут в комплекте, вышеописанные критерии в сумме исполняются достаточно полно. Бонусом можно реализовать возможность оффлайнового бинарного обновления системы на флешке.

Началось изучение возможности компактной инсталляции стандартными способами. Готовые наборы — tinybsd, nanobsd, picobsd произвели впечатление «старый, древний, ещё древнее». Одни только расчёты секторов, головок, цилиндров для разных типов флешек в picobsd… Прям времена MFM, RLL, ST-506…

Творения отдельных энтузиастов, различные miniBSD, easyBSD, mfsBSD выглядели поинтереснее, но в итоге всё равно было решено поиграть в доброго доктора Франкенштейна.

В данном примере мы сделаем загрузочную флешку с:

• компактной инсталляцией FreeBSD 10.1
• русифицированной системной консолью в Unicode
• корневым разделом, монтирующимся в памяти
• разделом для скриптов и файлов конфигурации нашего ЦС
• шифрованным разделом для секретных ключей ЦС
• FAT разделом для обмена с внешними системами запросами на сертификат и подписанными сертификатами
• возможностью оффлайнового обновления системы
• возможностью выбора ядра при загрузке (минимальное + GENERIC)
• возможностью выбора образа системы при загрузке (эталонный + обновлённый до последней версии FreeBSD)

Сфера разработки программного обеспечения является одной из тех областей человеческой деятельности, где термин «исторические причины» используется наиболее часто. Оно и понятно — многие «долгоиграющие» проекты наподобие ядер различных операционных систем, браузеров и прочего обросли за время своего существования нехилым арсеналом вещей, менять поведение которых станет далеко не каждый, даже если перфекционист внутри разработчика говорит обратное. Вероятнее всего, большая часть кода была написана программистами, которые уже давно не работают в компании, а даже те, кто ещё связывают свои жизни с данной корпорацией, сомневаются, что остальные компоненты программного комплекса нормально отрерагируют на те или иные изменения. «Нет уж, лучше оставлю, как оно есть».

В качестве примера одной из таких вещей можно назвать cmd.exe. Да-да, это тот самый интерпретатор командной строки, входящий в поставку всех современных (и не очень) операционных систем семейства Windows. Исторических причин у него накопилось изрядное количество — достаточно вспомнить хотя бы то, как необходимо производить вставку и копирование в данный интерпретатор (ради справедливости стоит сказать, что в Windows 10 эту ситуацию наконец исправили, да и приложения наподобие ConEmu здорово в этом помогают). Но речь сегодня пойдёт о другом поведении, которое заствляет задуматься впервые столкнувшегося с cmd.exe человека, казалось бы, там, где этого совсем не требуется.

Как вы знаете, одной из команд, которые воспринимает cmd.exe, является «CD». Официальный хелп по этой команде сообщает следующее:

C:\Users\Nikita.Trophimov>CD /?
Displays the name of or changes the current directory.
[...]

Казалось бы, всё просто. Вызываешь CD без аргумента — в stdout выводится путь до текущей директории, передаёшь другую директорию в качестве аргумента — он сменяет текущую директорию на указанную. Подводные камни тут начинаются в том случае, если пользователь решил сменить директорию одновременно вместе с диском. Например, если вы находитесь в директории «C:\Windows\system32», то команда «CD D:\books» не сделает ровным счётом ничего. На мой взгляд, очевидного для новых пользователей в этом совершенно ничего нет, так что их спасает гугл или официальная документация, которая, кстати, сообщает:

Use the /D switch to change current drive in addition to changing current
directory for a drive.

Разумеется, этот вопрос, равно как и причины возникновения подобного поведения, уже не раз обсуждался в интернете (например, тут), так что останавливаться на подобных вещах мы не будем. Вместо этого мы попробуем отладить cmd.exe, чтобы убрать необходимость явного указания ключа "/D".

Как протекал процесс, и что из этого вышло, читайте под катом.

Анонсируя внесение «Хабрахабра» в реестр распространителей информации, мы дали понять, что планируем перенести часть контента на новый проект. Решение о вынесении непрофильных хабов в другое, изолированное от «Хабрахабра» место, давно зрело внутри компании. Но для принятия решения начать действовать чего-то не хватало. Внесение «Хабра» в реестр распространителей информации послужило толчком для начала решительных действий.

Как вы знаете, недавно Хабр был внесён в реестр Роскомнадзора. В комментариях к публикации один из администраторов Хабра (@deniskin) упомянул, что у них проходит некий хакатон по решению этой ситуации, мол часть информации будет вынесена на новый проект.



Мне стало интересно и я решил поиграть в Шерлока Холмса.

Несколько дней назад в СМИ сообщалось, что свободному проекту OpenBSD катастрофически не хватает средств на существование. Дошло даже до того, что нет денег на оплату электричества. Всё железо, на котором собирается и тестируется операционная система OpenBSD, установлено в доме ведущего программиста Тео де Раадта и его невозможно перевезти в другое место. В Канаде электричество стоит как в Москве: приходится платить почти $2000 в месяц. Есть и другие статьи расходов, при этом OpenBSD существует исключительно за счёт частных пожертвований.

Ссылку на новость о нехватке средств OpenBSD кто-то опубликовал в IRC-канале #bitcoin-assets — и уже через несколько часов проект OpenBSD нашёл спонсора.

OpenBSD — вторая по популярности BSD-система. Она поддерживает 20 архитектур железа, включая такую экзотику, как VAX или Motorola 68000. OpenBSD широко используется в сетевом оборудовании, а дочерние проекты, такие как Packet Filter и OpenSSH, широко используются во многих других *nix-совместимых ОС.

Создатель и главный разработчик системы Тео де Раадт строго придерживается принципов радикальной открытости — все части системы имеют свободные лицензии, в ней вообще не используются фрагменты закрытого проприетарного кода даже в драйверах. Код системы доступен под максимально либеральной лицензией ISC. В отличие от копилефтных лицензий, подобных GPL, она не накладывает вообще никаких ограничений на использование кода, в том числе и в закрытых коммерческих системах.