Pull to refresh
35
0

Системный администратор.

Send message

Как сделать безопасную загрузку с полностью зашифрованным диском на Linux без загрузчика на UEFI

Level of difficultyHard
Reading time14 min
Views13K

Наша новая статья — для довольно искушённых пользователей Linux. В ней DevOps-инженер Алексей Гаврилов разобрал, как установить Debian или аналогичный дистрибутив на полностью зашифрованный диск без загрузчика на UEFI с включённым Secure Boot. 

После завершения установки вы получите включённый Secure boot с использованием личных ключей для подписи EFI-файлов, подписанные ключом файл ядра и initramfs, а также зашифрованные разделы диска за вычетом EFI boot. Это позволит уменьшить возможность векторного взлома ноутбука и усложнит жизнь потенциальному взломщику, поскольку в его распоряжении будут только подписанные EFI-файлы.

Читать далее

Дилемма инженера: какой Wi-Fi выбрать для проекта сегодня?

Level of difficultyEasy
Reading time6 min
Views8.6K

Привет, Хабр! Сегодня мы хотим поговорить про Wi-Fi в том виде, в котором он есть на рынке. Учитывая, что количество проектов по построению беспроводных сетей не сокращается, а номенклатура доступных изделий сильно “похудела”, теперь приходится выбирать вендора для каждого конкретного случая. И раз уж нельзя взять и рекомендовать теперь всем вендора на букву Ц, мы провели сравнение доступных решений. Под катом — разбор типовых сценариев и анализ применимости вендоров для соответствующих проектов.

Читать далее

Подтверждение номеров телефона без SMS

Reading time2 min
Views29K
Сегодня компаниям все чаще нужно верифицировать клиента не только по email, но и по телефонному номеру. Проблем с подтверждением номера по смс две — это дорогой для компании и не всегда безопасный способ — клиенты часто используют временные виртуальные номера.

Предлагаем простой API метод для авторизации номеров телефонным звонком.


Читать дальше →

Устройство файла UEFI BIOS, часть вторая: UEFI Firmware Volume и его содержимое

Reading time9 min
Views75K
Позади уже полторы (первая, полуторная) части этой статьи, теперь наконец пришло время рассказать о структуре UEFI Firmware Volume и формате UEFI File System.
Читать вторую часть

Пишем DXE-драйвер для снятия скриншотов с BIOS Setup и других UEFI-приложений

Reading time18 min
Views35K
В прошлой статье про SecureBoot мне очень не хватало возможности сделать снимок экрана при настройке UEFI через BIOS Setup, но тогда выручило перенаправление текстовой консоли в последовательный порт. Это отличное решение, но доступно оно на немногих серверных материнских платах, и через него можно получить только псевдографику, а хотелось бы получить настоящую — она и выглядит приятнее, и вырезать ее каждый раз из окна терминала не надо.
Вот именно этим мы и займемся в этой статье, а заодно я расскажу, что такое DXE-драйвер и как написать, собрать и протестировать такой самостоятельно, как работают ввод с клавиатуры и вывод на экран в UEFI, как найти среди подключенных устройств хранения такое, на которое можно записывать файлы, как сохранить что-нибудь в файл из UEFI и как адаптировать какой-то внешний код на С для работы в составе прошивки.
Если вам все еще интересно — жду вас под катом.
Драйверов богу драйверов! Скриншотов к трону скриншотов!

Как запускается сервер: UEFI

Reading time9 min
Views30K

Ранее мы уже разбирали последовательность запуска сервера на примере устаревшего Legacy. Настало время познакомиться с UEFI поближе.

Первая версия того, что сейчас известно как Unified Extensive Firmware Interface (UEFI), разрабатывалась в 90-е годы прошлого тысячелетия специально под системы на Intel® Itanium® и называлась Intel Boot Initiative, а позже — EFI.

Желание «обновить» процесс загрузки было ожидаемо. PC-BIOS, именуемый ныне Legacy, предлагает работать в 16-битном real mode, адресует всего 1 МБ оперативной памяти, а загрузчик вместе с таблицей разделов должен размещаться в первых 512 байтах накопителя. Более того, PC-BIOS передает управление первому найденному загрузчику без возможности возврата назад. При этом обработку случаев с несколькими операционными системами возлагают на плечи загрузчика.
Читать дальше →

Настройка UEFI-загрузчика. Самое краткое руководство в мире

Reading time6 min
Views571K

Как устроена загрузка современных ОС? Как при установке системы настроить загрузку посредством UEFI, не утонув в руководствах и ничего не сломав?


Я обещал "самое краткое руководство". Вот оно:


  1. Создаём на диске таблицу разделов GPT
  2. Создаём FAT32-раздел на пару сотен мегабайт
  3. Скачиваем из интернета любой UEFI-загрузчик
    (нам нужен сам загрузчик, это один бинарный файл!)
  4. Переименовываем и кладем этот файл на созданный раздел по адресу /EFI/Boot/bootx64.efi
  5. Создаём текстовый конфиг, кладем его там, где загрузчик ожидает его увидеть
    (настройка и местоположение конфига зависят от конкретной реализации загрузчика, эта информация доступна в интернете)
  6. После перезагрузки видим меню загрузчика
    (Если на диске установлена Windows 8 или 10 — с большой вероятностью это руководство сокращается до пунктов 3 — 5.)

TL;DR не надо прописывать путь к загрузчику в новых загрузочных записях UEFI — надо файл загрузчика расположить по стандартному "пути по-умолчанию", где UEFI его найдет, и вместо загрузочного меню UEFI пользоваться меню загрузчика, которое гораздо проще и безопаснее настраивается

Читать дальше →

Рассказываем про государственные защищенные сервисы и сети

Reading time5 min
Views43K

Знаете ли вы, что многим компаниям для публикации банальных новостей на своём сайте надо подключаться к специальной защищённой сети, и только через неё постить котят в соцсетях размещать актуальную информацию. Это касается, в первую очередь, государственных организаций. В качестве примера приведём МЧС или администрацию любого города. Любая новость на их ресурсе публикуется через защищённые каналы связи. Точнее, должна публиковаться, поскольку ещё не все успели к ним подключиться. Выглядит это примерно так:

Читать далее

Packet Tracer. Лабораторная работа: Настройка плавающих статических маршрутов

Reading time3 min
Views31K

Топология сети



Задачи


  1. Создание основного статического маршрута по умолчанию
  2. Развертывание плавающего статического маршрута
  3. Проверка переключения на плавающий статический маршрут при отказе основного маршрута

Общие сведения


Итак, для начала пару слов о том, что же такое статический, да еще и плавающий маршрут. В отличие от динамической, статическая маршрутизация требует самостоятельного построения маршрута в конкретную сеть. Плавающий статический маршрут служит для предоставления резервного пути до сети назначения в случае сбоя основного маршрута.

На примере нашей сети «Пограничный маршрутизатор» пока имеет только напрямую подключенные маршруты к сетям ISP1, ISP2, LAN_1 и LAN_2.
Читать дальше →

Нетоксичное лицемерие

Reading time8 min
Views85K
Программистам сызмальства внушают важность технических навыков, забывая научить тактично общаться с окружающими. Наша конкурентная среда богата вызовами и достижениями. Это рождает комплексы равно как и высокомерие. Неудивительно, что в IT остро стоит проблема токсичности.

Я немного утомлен частотой ее появления в жизни. Трудно выразить мнение так, чтобы не вляпаться в очередную попытку выяснить, было ли грубым сказанное.
Читать дальше →

Монада «Reader» через async/await в C#

Reading time9 min
Views7K


В моей предыдущей статье я описал, как реализовать паттерн "Монада Maybe" с помощью операторов async / await. В этот раз я расскажу, как реализовать другой популярный шаблон проектирования "Монада Reader", используя те же приемы.


Этот шаблон позволяет неявно передать некий контекст в иерархию вызовов функции без использования параметров или полей классов, и его можно рассматривать как еще один способ реализации внедрения зависимости (Dependency Injection). Например:

Читать дальше →

Математическое расследование, как подделывали выборы губернатора в Приморье 16 сентября 2018 года

Reading time19 min
Views97K
Во втором туре выборов губернатора Приморского края 16 сентября 2018 года встречались действующий и.о. губернатора Андрей Тарасенко и занявший второе место в первом туре коммунист Андрей Ищенко. В ходе подсчета голосов на сайте ЦИК РФ отображалась информационная панель с растущим числом обработанных протоколов и голосов за кандидатов.

Публикация подробных данных по участкам на официальном сайте ЦИК www.izbirkom.ru замерла после ввода 1484 (95.74%) протоколов и не возобновлялась до самого конца. Поэтому когда в трансляции лидер голосования вдруг поменялся с Ищенко на Тарасенко, было неясно, как именно это могло произойти. В СМИ просто писали «после обработки 99,03% протоколов лидер сменился».

Однако, располагая промежуточными суммарными данными из информационной панели, с помощью простой математики и программирования можно подробно установить, что именно происходило с протоколами в ночь после выборов. Используем Python, Colab от Google и Z3 theorem prover от Microsoft Research. Ну и добьём всё обычной дедукцией.


И что же там можно расследовать?

Взаимодействие решений Cisco в ГосСОПКОЙ и ФинЦЕРТом

Reading time3 min
Views3.5K
Прошлая заметка про нашу платформу поиска угроз Cisco Threat Response привела к тому, что я получил несколько вопросов о том, как интегрировать CTR с государственными сервисами ГосСОПКА и ФинЦЕРТ? И поэтому я решил написал еще одну небольшую заметку и показать, как можно выжать максимум пользы из индикаторов компрометации, отправляемых вам ФСБ и ЦБ. На самом деле ничего сверхестественного и сложного в такой интеграции нет — наши регуляторы используют машинночитаемые и стандартизованные во всем мире форматы индикаторов компрометации (я боюсь представить, что будет, если хеши для вредоносных семплов будут рассылаться по стандарту ГОСТ Р 34.11-2012, а не MD5/SHA1/SHA256), но пока не предоставляют API для автоматизации работы с ними. В любом случае их не так сложно использовать в Cisco Threat Response. Чтобы не скриншотить эту процедуру, а показать ее в динамике, я записал небольшое видео, которое демонстрирует на реальном примере с атакой на уязвимый протокол RDP как просто организовать взаимодействие ГосСОПКА с решениями Cisco по безопасности.

Чего не ждать от 802.11ax?

Reading time4 min
Views40K
Еще не утвержденный 802.11ax («Следующее поколение Wi-Fi») уже достаточно популярен для того, чтобы плохой маркетинг начал туманить разум потенциальным клиентам. Спецификация планируется к утверждению только в Декабре 2018, но уже можно купить точки!

Самое время написать разоблачительный уточняющий пост. Пока я собирался с мыслями, другой авторитетный товарищ – Devin Akin (если вы занимаетесь профессионально WLAN – следите за ним обязательно) сделал это за меня, да так что мне осталось только пересказать его отличную статью и добавить пару комментариев. Учтите, это не перевод – а пересказ!
Читать дальше →

Про антенны для самых маленьких

Reading time10 min
Views80K
Попробуем разобраться, как работают антенны и почему электромагнитная энергия из комфортного проводника излучается в чужеродный диэлектрик, причем обойдемся без матана, что потребует, разумеется, очень серьезных упрощений и даже вульгаризации, но все же позволит получить начальное представление и, не исключаю, желание почитать материалы для более продвинутых.



Если вы радиоинженер, опытный радиолюбитель-связист или просто хорошо знаете физику, то вам нижеследующее читать строго не рекомендуется во избежание негативных последствий для вашего психического здоровья. Вас предупреждали.
Читать дальше →

Тренинг Cisco 200-125 CCNA v3.0. Сертифицированный сетевой специалист Cisco (ССNA). День 1. Основы сети

Reading time11 min
Views46K
Данный 46-дневный видеокурс актуализирован по состоянию на 2018 год и содержит 49 видеоуроков продолжительностью от 17 до 65 минут.



Добро пожаловать, я ваш преподаватель Имран Рафаи, сегодня мы начнём нашу серию лекций с темы «Основы сети». Этот видеокурс идеально подходит не только тем, кто собирается сдавать экзамены на сертифицированного сетевого специалиста Cisco, но и тем, кто интересуется сетями или хочет начать карьеру в области сетей. Сертификат CCNA очень ценная вещь, и я призываю всех, кто стремится к совершенству в этой области, получить этот сертификат, потому что он имеет большое значение для оценки вашего профессионализма. Прежде чем продолжить, я попрошу вас сосредоточиться на первых 3-х днях обучения, потому что в эти дни я буду освещать фундаментальные понятия, которые станут основой вашей сетевой карьеры и пригодятся вам, может быть, даже через 20 лет.

DIY автономный дрон с управлением через интернет. Часть 2 про ПО

Reading time10 min
Views48K
Это продолжение повествования об автономном дроне. В первой части говорилось про hardware, в этой речь пойдет про software. Для начала небольшой ликбез про взаимодействие оператора с коптером. Вот типичная схема у большинства самосборных дронов:

image

А вот схема у продвинутых дронов:

image

ФСИН против законов физики или пчелы против меда

Reading time5 min
Views31K
Федеральная служба исполнения наказаний (ФСИН) планирует внести в законодательство изменения, согласно которым на территории исправительных учреждений будет невозможно пользоваться мобильной связью, рассказал «Интерфаксу» заместитель директора ФСИН Валерий Бояринев.

image

Читать дальше →

GPS-файрвол для ЦОД — зачем он нужен и как работает

Reading time3 min
Views8.6K
Данные GPS нужны не только навигаторам для построения маршрутов, но и дата-центрам для синхронизации времени. Эту особенность используют хакеры, когда проводят атаки на ИТ-инфраструктуру. Объясним, в чем суть подобных атак и как от них защищает GPS-файрвол.

Читать дальше →
1

Information

Rating
Does not participate
Location
Россия
Registered
Activity