Pull to refresh
7
0
Равиль Аитов @rrrav

User

Send message
Присоединюсь к общим восторгам по поводу проделанной работы. Особенно радует перенос ядра на Cortex-M3, поскольку сейчас как раз осваиваю эту платформу. И в связи с этим небольшой вопрос — использовали ли вы при переносе кода ядра некоторые приятные особенности ядра Cortex, в частности bit banding для атомарных операций над битовыми полями (для тех же мьютексов, например), или атомарность реализована стандартной оберткой disable_interrupt();… enable_interrupt();?
Работа проделана титаническая, хотелось бы тоже что-то такое сделать у себя, но пугают несколько хакерские способы выправления бинарников.
Что-то конфиденциальное можно хранить в облаке в зашифрованном архиве. Но вот пару лет назад Яндекс-диск не позволил мне сохранить запароленный архив, а Google-drive — позволил…
Возможно просто сбой был у Яндекса, больше не проверял.
пардон, не подумал, что как раз последняя строчка и превращает политику ACCEPT в политику REJECT
А почему политика таблицы iptables INPUT ACCEPT?
Вроде не соответствует стандарту безопасности.
Ну и кстати, раз для INPUT политика по умолчанию ACCEPT, то из всех правил для таблицы INPUT можно было оставить только последнее:
-A INPUT -j REJECT --reject-with icmp-host-prohibited

— остальные все равно пройдут
Ну раз пошла такая пьянка, тогда можно на экран мобильника вывести просто QR-код и сунуть его в камеру
Да, shutdown работает и без cmd /c. Но многие команды без этого не работают. Нужно универсальное решение. Например, запустить командный файл, расположенный на сетевом ресурсе.
Да. Только надо иметь закрытый ключик. Это считается надежнее, чем аутентификация по паролю.
Конфиг стандартный, его генерит сама программа в момент установки. Поэтому придется оставить все пункты, а ненужное отключить явно.
Защита SSH немного нарушена, но атака подменой ключа в данном случае бессмысленна — атакующий не подключается к серверу, это сервер подключается к нему и выполняет на нем команду (может быть даже команду заливки другого образа).
Ну и почему так было сделано — на компах установлено несколько ОС, а загрузка выбирается по сети (PXE). Поэтому на одном IP может оказаться другой хост и в стандартном варианте SSH отвергнет соединение.
И вот еще один момент —
PowerShell 3.0 or higher is needed for most provided Ansible modules for Windows, and is also required to run the above setup script. Note that PowerShell 3.0 is only supported on Windows 7 SP1, Windows Server 2008 SP1, and later releases of Windows.

У нас еще есть часть компов на XP (как вариант сетевой загрузки). Пожалуй, в нашей реальности еще рано исключать XP из списков живущих.
Это уже интересно.
Жалко, правда, что не удастся авторизоваться через ssh public key — просто и надежно, а здесь — uses native PowerShell. Если все в одном домене/лесе, то нормально, а если есть Home Edition, то сложнее.
Ansible не дружит с Windows.
SaltStack, судя по отзывам, еще недостаточно стабилен.
У меня задача собственно была простая — все компьютеры в локалке (учебные классы), нужно иметь возможность их удаленно перезагрузить/выключить, запустить копирование данных с сервера, запустить установку обновлений.
Все это через freeSSHd получилось просто и стабильно.
Ну и кстати, управление успешно работает не только из Linux, но и из Windows (используя пакет Putty)
Кстати в тему совпадение — habrahabr.ru/post/259449 — MS собирается внедрить поддержку SSH в Windows.
Надо было, конечно, лет 20 назад это сделать.
Да, интересная вещь, этот WSMAN, спасибо за подсказку. Только когда я делал свою систему, он еще не был на слуху. Да и сам PowerShell тогда только появился
> большинство команд не нуждаются в консоли
немного не понял, но есть программы, который выводят в форточки, а есть — в консоль. В Винде первых больше. Ну и не нашел я этой фразы в тексте??
> Зачем везде вызовы cmd
так оказалось универсальнее. Практически всегда работает. Без этого — только отдельные команды. Умом винду не понять, аршином общим не измерить…
> Под каким пользователем windows работает ssh-сервис
SYSTEM
>Поздравляю, вы изобрели Ansible.
Нас уже 6 миллиардов (даже больше) — велосипедов, в пределе, можем изобрести где-то столько.
В конфиге описывается даже то, что не живет:
TelnetRun=0
— он не стартует (поскольку дыра)

-2 — версия протокола (оказалось существенно)
-q — без лишних предупреждений
-i <my_key_files_path>/id_dsa -ladmin — тут все понятно
-oStrictHostKeyChecking=no — иначе будет ждать подтверждения о принятии нового хоста
-oUserKnownHostsFile=/dev/null — если на том же IP адресе/имени оказался другой хост (редко, но случается), защита ssh отвергнет коннект. Здесь у нас всегда все хосты новые (каждый новый — плевок в пустоту). В купе с опцией -q лишних вопросов не будет.
Понимаю, что где-то нарушил секюрность, но несильно.

Information

Rating
3,865-th
Registered
Activity

Specialization

Backend Developer, System Software Engineer