Подробный рассказ о том, как я свой дом и сад сделал умными. С фото, техническими деталями, стоимостями и выводами на будущее.
Василий @fuzzi
Пользователь
Атаки на домен
19 мин
При проведении тестирований на проникновение мы довольно часто выявляем ошибки в конфигурации домена. Хотя многим это не кажется критичным, в реальности же такие неточности могут стать причиной компрометации всего домена.
К примеру, по итогам пентеста в одной компании мы пришли к выводу, что все доступные машины в домене были не ниже Windows10/Windows Server2016, и на них стояли все самые свежие патчи. Сеть регулярно сканировалась, машины хардились. Все пользователи сидели через токены и не знали свои «20-символьные пароли». Вроде все хорошо, но протокол IPv6 не был отключен. Схема захвата домена выглядела так:
mitm6 -> ntlmrelay -> атака через делегирование -> получен хеш пароля локального администратора -> получен хеш пароля администратора домена.
К сожалению, такие популярные сертификации, как OSCP, GPEN или CEH, не учат проведению тестирования на проникновение Active Directory.
В этой статье мы рассмотрим несколько видов атак на Active Directory, которые мы проводили в рамках пентестов, а также используемые инструменты. Это ни в коем случае нельзя считать полным пособием по всем видам атак и инструментам, их действительно очень много, и это тяжело уместить в рамках одной статьи.
Итак, для демонстрации используем ноутбук на Kali Linux 2019 и поднятые на нем виртуальные хосты на VMware. Представим, что главная цель пентеста — получить права администратора домена, а в качестве вводных данных у нас есть доступ в корпоративную сеть компании по ethernet. Чтобы начать тестировать домен, нам понадобится учетная запись.
Автоматика для дома своими руками
8 мин
Моя статья будет полезна тем, кто только задумывается над подобного рода системой, поможет определиться делать ли самому и ориентирована в основном на энтузиастов-колхозников. Изначально пишу “автоматика” а не умный дом, потому что на данном этапе умных функций в моей системе управления нет, сейчас стояла задача в сборе данных и управлении устройствами. Всё должно измениться в будущем, когда появятся алгоритмы, которые и сделают дом умным. С моей точки зрения, если вы можете включать свет со смартфона, то это не делает ваш дом умным. Умным он становится когда у вас написаны сценарии, которые помогают вам, облегчают контроль за домом и делают рутинные вещи незаметными для вас. Например, включить свет на крыльце, когда уровень освещённости ниже какого-либо порога, и выключить в два ночи, не включать полив если сегодня обещают осадки с вероятностью больше 60 процентов, если появилось движение в комнате то включить подсветку лестницы и т.д. И только в этом случае он становится “умным”.
Кое-что об inode
5 мин
Периодически, с целью переезда в ЦРС собеседуюсь в разных крупных компаниях, в основном Питера и Москвы на должность DevOps. Обратил внимание, что во многих компаниях (во многих хороших компаниях, например в яндексе) задают два сходных вопроса:
Как часто бывает, я был уверен, что эту тему знаю хорошо, но как только начал объяснять — обозначились провалы в знаниях. Чтобы систематизировать свои знания, заполнить пробелы и больше не позориться, пишу эту статью, может еще кому пригодится.
Начну «снизу», т.е. с жесткого диска (флешки, SSD и прочие современные штуки отбросим, для примера рассмотрим любой 20 или 80 гиговый старый диск, т.к. там размер блока 512 байт).
Жесткий диск не умеет адресовать свое пространство побайтно, условно оно разбито на блоки. Нумерация блоков начинается с 0. (называется это LBA, подробности тут: ru.wikipedia.org/wiki/LBA)
- что такое inode;
- по каким причинам можно получить ошибку записи на диск (или например: почему может закончиться место на диске, суть одна).
Как часто бывает, я был уверен, что эту тему знаю хорошо, но как только начал объяснять — обозначились провалы в знаниях. Чтобы систематизировать свои знания, заполнить пробелы и больше не позориться, пишу эту статью, может еще кому пригодится.
Начну «снизу», т.е. с жесткого диска (флешки, SSD и прочие современные штуки отбросим, для примера рассмотрим любой 20 или 80 гиговый старый диск, т.к. там размер блока 512 байт).
Жесткий диск не умеет адресовать свое пространство побайтно, условно оно разбито на блоки. Нумерация блоков начинается с 0. (называется это LBA, подробности тут: ru.wikipedia.org/wiki/LBA)
Сократить бэкапы на 99.5% с hashget
8 мин
hashget — это бесплатный, оперсорсный дедупликатор — похожая на архиватор утилита, которая позволяет значительно сократить размер бэкапов, а также организовать схемы инкрементального и дифференциального бэкапа и не только.
Это обзорная статья для описания возможностей. Само использование hashget (довольно простое) описано в README проекта и wiki-документации.
Сравнение
По закону жанра, начну сразу с интриги — сравнения результатов:
| Data sample | unpacked size | .tar.gz | hashget .tar.gz |
|---|---|---|---|
| Wordpress-5.1.1 | 43 Mb | 11 Mb ( 26% ) | 155 Kb ( 0.3% ) |
| Linux kernel 5.0.4 | 934 Mb | 161 Mb ( 20% ) | 4.7 Mb ( 0.5% ) |
| Debian 9 (LAMP) LXC VM | 724 Mb | 165 Mb ( 23% ) | 4.1 Mb ( 0.5% ) |
Предыстория, каким должен быть идеальный и эффективный бэкап
Каждый раз, когда я делал бэкап свежесозданной виртуалки, мне не давало покоя чувство, что я что-то делаю не так. Почему у меня получается увесистый бэкап от системы, где моего бесценного нетленного творчества — однострочный index.html с текстом "Hello world"?
Выбор моноколеса для поездок на работу
6 мин
Автор рисунка — Дед62@electrotransport.ru
Прошла весна, настало лето, –
Так не пора ли сделать это?
Или еще не пора? А если пора, то какое выбрать моноколесо для поездок на работу?
Обзор рынка моноколес 2019
8 мин
На большей части России еще лежит снег, но уже пора задуматься о том, как проводить лето. И сложно представить что-то более приятное, чем парить над тротуаром, усилием мысли перемещаясь, куда хочется. Конечно, не совсем «парить» и не совсем «усилием мысли», но ощущения от езды на моноколесе максимально близки именно к такой картине. А несколько недель, пока снег будет таять, можно потратить на выбор модели, которая порадует вас больше всего.
Фото Московского электроклуба, источник
Фото Московского электроклуба, источник
Debian + Postfix + Dovecot + Multidomain + SSL + IPv6 + OpenVPN + Multi-interfaces + SpamAssassin-learn + Bind
28 мин
Данная статья о том как настроить современный почтовый сервер.
Postfix + Dovecot. SPF + DKIM + rDNS. С IPv6.
С шифрованием TLS. С поддержкой нескольких доменов — часть с настоящим SSL сертификатом.
С антиспам-защитой и высоким антиспам-рейтингом у других почтовых серверов.
С поддержкой нескольких физических интерфейсов.
С OpenVPN, подключение к которому через IPv4, и которое даёт IPv6.
Если вы не хотите изучать эти все технологии, но хотите настроить такой сервер — тогда эта статья для вас.
В статье отсутствуют попытки пояснить каждую деталь. Пояснение идёт к тому, что настроено не стандартно или важно с точки зрения потребителя.
Postfix + Dovecot. SPF + DKIM + rDNS. С IPv6.
С шифрованием TLS. С поддержкой нескольких доменов — часть с настоящим SSL сертификатом.
С антиспам-защитой и высоким антиспам-рейтингом у других почтовых серверов.
С поддержкой нескольких физических интерфейсов.
С OpenVPN, подключение к которому через IPv4, и которое даёт IPv6.
Если вы не хотите изучать эти все технологии, но хотите настроить такой сервер — тогда эта статья для вас.
В статье отсутствуют попытки пояснить каждую деталь. Пояснение идёт к тому, что настроено не стандартно или важно с точки зрения потребителя.
Ловушка (тарпит) для входящих SSH-соединений
4 мин
Не секрет, что интернет — очень враждебная среда. Как только вы поднимаете сервер, он мгновенно подвергается массированным атакам и множественным сканированиям. На примере ханипота от безопасников можно оценить масштаб этого мусорного трафика. Фактически, на среднем сервере 99% трафика может быть вредоносным.
Tarpit — это порт-ловушка, который используется для замедления входящих соединений. Если сторонняя система подключается к этому порту, то быстро закрыть соединение не получится. Ей придётся тратить свои системные ресурсы и ждать, пока соединение не прервётся по таймауту, или вручную разрывать его.
Чаще всего тарпиты применяют для защиты. Технику впервые разработали для защиты от компьютерных червей. А сейчас её можно использовать, чтобы испортить жизнь спамерам и исследователям, которые занимаются широким сканированием всех IP-адресов подряд (примеры на Хабре: Австрия, Украина).
Tarpit — это порт-ловушка, который используется для замедления входящих соединений. Если сторонняя система подключается к этому порту, то быстро закрыть соединение не получится. Ей придётся тратить свои системные ресурсы и ждать, пока соединение не прервётся по таймауту, или вручную разрывать его.
Чаще всего тарпиты применяют для защиты. Технику впервые разработали для защиты от компьютерных червей. А сейчас её можно использовать, чтобы испортить жизнь спамерам и исследователям, которые занимаются широким сканированием всех IP-адресов подряд (примеры на Хабре: Австрия, Украина).
OpenVPN, о котором вы так мало знали
16 мин
Туториал
OpenVPN, как много в этом слове. Мультиплатформенный, гибко настраиваемый, бесплатный VPN сервер с открытым исходным кодом, являющийся фактически стандартом "defacto" для организации доступа к внутренним корпоративным сетям. Большинство администраторов используют его с настройками по умолчанию или с типовыми конфигурациями широко описанными в разных HOW-TO. Но так ли прост OpenVPN, как он кажется на первый взгляд? В данной статье мы рассмотрим скрытые от глаз внутренние механизмы OpenVPN, которые кардинально меняют представление о его возможностях.
Решение Veeam для бэкапа и восстановления виртуальных машин на платформе Nutanix AHV. Часть 1
7 мин
Туториал
Если кто-то еще не слышал, то сообщаем: в уходящем году компания Veeam Software реализовала поддержку резервного копирования и восстановления виртуальных машин на платформе Nutanix Acropolis Hypervisor (AHV). Для этого был разработан специальный компонент инфраструктуры Veeam Backup – вспомогательный прокси-сервер (proxy appliance), который получил красивое имя собственное Veeam Availability for Nutanix AHV.
Он представляет собой виртуальный модуль, позволяющий бэкапить и восстанавливать ВМ на кластерах Nutanix AHV, задействуя возможности Veeam Backup & Replication. Решение функционирует на уровне гипервизора: без внедрения агентов в гостевую ОС создает бэкап ВМ на уровне образа, по состоянию на текущий момент времени (включая ОС, данные приложений и пр.) и сохраняет в репозиторий Veeam.
Из этих бэкапов затем можно восстанавливаться по любому сценарию: восстанавливать всю ВМ целиком либо отдельные диски, файлы, объекты приложений. Поддерживается и восстановление в облако Microsoft Azure, и экспорт дисков, и мгновенное восстановление в ВМ на платформе Hyper-V.
Всех заинтересовавшихся прошу под кат.
Он представляет собой виртуальный модуль, позволяющий бэкапить и восстанавливать ВМ на кластерах Nutanix AHV, задействуя возможности Veeam Backup & Replication. Решение функционирует на уровне гипервизора: без внедрения агентов в гостевую ОС создает бэкап ВМ на уровне образа, по состоянию на текущий момент времени (включая ОС, данные приложений и пр.) и сохраняет в репозиторий Veeam.
Из этих бэкапов затем можно восстанавливаться по любому сценарию: восстанавливать всю ВМ целиком либо отдельные диски, файлы, объекты приложений. Поддерживается и восстановление в облако Microsoft Azure, и экспорт дисков, и мгновенное восстановление в ВМ на платформе Hyper-V.
Всех заинтересовавшихся прошу под кат.
Создание домашнего медиацентра. Пролог
4 мин
Пролог
Всё имеет своё начало. Вот и эта история началась с желания иметь свой медиацентр. Внимательно присмотревшись к предложениям продавцов, я понял, что серийные модели не удовлетворяют мои потребности. А аппетит у меня здоровый… Сразу приведу перечень моих пожеланий:
- Всё должно быть выполнено единой конструкцией открытого (программно-аппаратного) типа. Т.е. я должен иметь возможность вносить самостоятельные изменения.
- Аппарат должен уметь работать индивидуально и в составе комплекса с другим оборудованием.
- Раз в комплексе, значит иметь широкие сетевые возможности, в том числе с возможностью трансляции интерфейсов.
- Иметь диагональ экрана 19-24 дюйма.
- Для хранения информации должен быть оборудован жёстким диском, с возможностью подключения внешнего накопителя.
- Возможность отключения любой подсистемы с кнопочной панели или пульта ДУ.
- Не помешает система резервного электропитания.
- Работа в качестве монитора к персональному компьютеру.
Пришло время чесать репу… Окинул взглядом в интернете самодельные конструкции… И они, в плане внутренней организации, мне понравились. По образованию я инженер-системотехник (конструктор вычислительной техники) да и опыт практической работы 25 лет, руки растут правильно, наличие инструмента и самое главное желание, дают уверенность в успешной реализации проекта.
У меня есть матрицы 15-19 дюймов от мониторов и ноутбуков, но нет корпуса. А городить на подносе (не в обиду автору, мне его проект и подход к работе понравились) я не захотел. Не фэншуй. Поэтому приступил к поиску достойного донора. И он был найден — не подающий признаков жизни моноблок Sony VAIO VGC-LN1MR. К сожалению, он ко мне приехал в полуразобранном состоянии. Поэтому приведу фотографию внешнего вида, взятую в интернете, для понимания с чем мы имеем дело. Обещаю – дальше все фотографии и чертежи будут мои.
Вот так он выглядит.
Сказать можно только одно – дизайн на высоте.
Иди-ка ты на !@# со своей «токсичностью»
5 мин
IT — не детский садик. Это место для взрослых, руководствующихся логикой и здравым смыслом. Их не надо опекать, не надо следить за словами, не надо переживать, что у них сформируются комплексы. Если человек некомпетентен, надо дать ему об этом явно понять, а не беречь его нежные чувства в ущерб всем остальным.
Так какого же чёрта моё прекрасное IT превращается в детский сад «Весёлый Програм-Мишка»?
Так какого же чёрта моё прекрасное IT превращается в детский сад «Весёлый Програм-Мишка»?
Настолько ли стар твой Windows?
3 мин
Как показывает бурное обсуждение последних статей на Хабре, посвященных Windows системам, большое количество продвинутых и не очень пользователей отдает свое предпочтение «устаревшей» Windows 7 и не торопится переходить на Windows 10. Причины бывают очень разные — от недовольства политикой конфиденциальности и большим объемом телеметрии до банальной привычки и нежелания идти на поводу у маркетологов Microsoft.
В данной статье я хочу рассмотреть случай, когда Windows 7, да и более ранние версии, требуются разработчику для качественного решения своих рабочих обязанностей. Не секрет, что в корпоративном секторе доля Windows 7 все еще очень велика, а так как компания Microsoft продлила ее расширенную поддержку до 2023 года, в ближайшее время вряд ли что-то кардинально изменится. И это не говоря о том, что встречаются и совсем древние системы с Server 2003 и 2008, на которых работает какое-то старое, но крайне нужное ПО, портировать которое никто не берется исходя из принципа «работает – не трогай». Однако, обновить Вашу «устаревшую» операционную систему можно гораздо быстрее и проще, чем кажется.
В данной статье я хочу рассмотреть случай, когда Windows 7, да и более ранние версии, требуются разработчику для качественного решения своих рабочих обязанностей. Не секрет, что в корпоративном секторе доля Windows 7 все еще очень велика, а так как компания Microsoft продлила ее расширенную поддержку до 2023 года, в ближайшее время вряд ли что-то кардинально изменится. И это не говоря о том, что встречаются и совсем древние системы с Server 2003 и 2008, на которых работает какое-то старое, но крайне нужное ПО, портировать которое никто не берется исходя из принципа «работает – не трогай». Однако, обновить Вашу «устаревшую» операционную систему можно гораздо быстрее и проще, чем кажется.
SamsPcbGuide: Релиз первой версии книги
5 мин
Свершилось! Путь был длинным и, возможно, это только начало пути. Статей давно не было, в том числе и в «Компонентах и технологиях», потому что занимался подготовкой полноценной книги. Пересматривал, перепроверял, шлифовал материал и иллюстрации до мелочей, пока не убеждался в их (субъективном) совершенстве. Итак, представляю всем поклонникам жанра «Практические рекомендации по проектированию печатных плат» (электронная версия книги здесь).
1C на Proxmox. Общие заметки
3 мин
Спустя несколько лет использования 1С в контейнерной виртуализации Proxmox, появилось достаточно набитых шишек, которые оформлю здесь в виде коротких общих заметок по этапам процесса внедрения.
Это не не руководство к действию и не мануал. Если какой-то из пунктов следует расписать более подробно — пожалуйста, не стесняйтесь в комментариях.
Это не не руководство к действию и не мануал. Если какой-то из пунктов следует расписать более подробно — пожалуйста, не стесняйтесь в комментариях.
Зацените: сделал стол
6 мин
TL;DR В статье описывается мой опыт постройки стола c нуля из фанеры. От проектирования до сборки.
Я очень долго страдал от плохих столов. Все они неудобные, плохого качества, маленькие и, самое главное, ШАТКИЕ. Более-менее приличные столы стоили тысячи долларов. В итоге я решил изготовить стол самостоятельно.
Основные требования к столу:
- Устойчивость! Предметы на столе не должны трястись, если резко положить руки на стол или оттолкнуться от него. Мой стол весит ~120кг. С его края можно делать сальтухи, при этом на другом конце паять SMD компоненты.
- Ширина и глубина столешницы. Столы шириной 60 см — это унижение. Мне нужно иметь запас по глубине, чтобы можно было отодвинуть ноутбук вперед, и при этом получить достаточное рабочее пространство.
- Вместительность. Мне нужны полки, чтобы разместить там оборудование: паяльники, лабораторный блок питания, осциллограф, аудио усилитель и т.д. При этом полки должны быть так же устойчивы, как и стол.
- Цена. Я не готов выложить за стол несколько тысяч долларов. Мой стол обошелся в ~$300 с учётом покупки всего инструмента для сборки и покраски.
Солнечный хет-трик. В Украине есть три села Добровляны. И во всех трёх есть мощные солнечные электростанции
2 мин
Перевод
В Украине есть три села, которые имеют одинаковое название — Добровляны, но наиболее интересно то, что в каждом из этих трёх сёл есть или находится в процессе реализации мощная солнечная электростанция. elektrovesti.net рассказывают про интересный географический казус в сфере возобновляемой энергетики Украины.
Корпоративная шизофрения
13 мин
— Последний вопрос нашей повестки. – зашуршала бумажками Светлана Владимировна. – Оценка удовлетворенности персонала. Татьяна, вам слово.
— Добрый день, коллеги. – поднялась со стула молодая, симпатичная девушка, новый HR-директор. – Как вы знаете, мы провели оценку удовлетворенности персонала, и результаты, к сожалению, неутешительные.
Татьяна выдержала театральную паузу, оглядывая всех присутствующих менеджеров – и топ, и не топ.
— Удовлетворенность стала ниже, по сравнению с прошлым годом. – видя, что реакции нет, сконфуженно продолжила Татьяна. – С этим нужно что-то делать. Я подготовила несколько предложений. Светлана Владимировна, можно озвучить?
— Начинается… — раздался тихий шепот с дальнего конца стола.
— Что, простите? – подняла бровь директор. – Я что, с разнорабочими разговариваю? Или с руководителями, которые радеют за благо предприятия? Марина, это вы сейчас сказали?
— Нет, не я. – возмутилась Марина, директор по качеству. – Вон, умник наш. Господин ИТ-директор. Сергей, отвлекись от телефона, что ты там все время делаешь?
— Добрый день, коллеги. – поднялась со стула молодая, симпатичная девушка, новый HR-директор. – Как вы знаете, мы провели оценку удовлетворенности персонала, и результаты, к сожалению, неутешительные.
Татьяна выдержала театральную паузу, оглядывая всех присутствующих менеджеров – и топ, и не топ.
— Удовлетворенность стала ниже, по сравнению с прошлым годом. – видя, что реакции нет, сконфуженно продолжила Татьяна. – С этим нужно что-то делать. Я подготовила несколько предложений. Светлана Владимировна, можно озвучить?
— Начинается… — раздался тихий шепот с дальнего конца стола.
— Что, простите? – подняла бровь директор. – Я что, с разнорабочими разговариваю? Или с руководителями, которые радеют за благо предприятия? Марина, это вы сейчас сказали?
— Нет, не я. – возмутилась Марина, директор по качеству. – Вон, умник наш. Господин ИТ-директор. Сергей, отвлекись от телефона, что ты там все время делаешь?
Настройка squid или как не купить платное решение
20 мин
Всем привет!
Часто в организациях используем разного рода прокси, прокси как составляющая программного шлюза или самостоятельный классический вариант squid + анализатор логов и т.п.
Мы пытались внедрить решение от Ideco и ИКС, в итоге остановились на squid. Под катом история пути и техническая информация по настройке старого доброго кальмара.