Pull to refresh
162
0
Vadim Rybalko @Pas

Sysadmin

Send message

Сказ о том, как случайно не сделать роутер Cisco публичным DNS и NTP сервером

Level of difficulty Easy
Reading time 6 min
Views 12K

Операционная система IOS/IOS-XE роутеров Cisco — источник вдохновения для большого числа других производителей. В Сети навалом инструкций, как сконфигурировать типовой роутер Cisco для сценариев SOHO. Однако, в отличие от «бытовых» роутеров, с настройкой такого конструктора, как Cisco IOS, придётся действовать аккуратно. Если не напрягать голову, то роутер начнёт жить своей жизнью и станет, к примеру, DDoS-амплификатором.

Давайте разбираться
Total votes 23: ↑23 and ↓0 +23
Comments 26

Краткое руководство как готовить SNMPv3

Reading time 7 min
Views 9.6K

Настройка v3-пользователя на агенте сервера для штатного линуксового snmpd (пакет net-snmp). Out of scope: snmp traps и пользователи с правом запиcи (rw).

Третья версия протокола позволяет передавать пакеты в зашифрованном виде, что даёт возможность безопасно передавать телеметрию через публичные сети без риска раскрытия как аутентификационной информации (аналог community), так и шифруя сам поток данных симметричным алгоритмом с общим ключём.

Пожалуй, я хочу разобраться →
Total votes 28: ↑28 and ↓0 +28
Comments 0

Проблема с сертификатами Sectigo после 30 мая 2020 года и метод решения

Reading time 23 min
Views 48K

В субботу 30 мая 2020 года возникла не сразу понятная проблема с популярными SSL/TLS сертификатами от вендора Sectigo (бывший Comodo). Сами сертификаты продолжали оставаться в полном порядке, однако "протух" один из промежуточных CA-сертификатов в цепочках, с которыми поставлялись данные сертификаты. Ситуация не сказать, чтобы фатальная, но неприятная: актуальные версии браузеров ничего не заметили, однако большая часть автоматизаций и старых браузеров/ОС оказались не готовыми к такому повороту.

Хабр не стал исключением, поэтому и написан этот ликбез / postmortem.

Читать дальше →
Total votes 57: ↑55 and ↓2 +53
Comments 45

Похождения электронной подписи в России

Reading time 16 min
Views 59K
Государства вмешиваются в некогда гиковскую информационную область всё больше и устанавливают там правила. Один из институтов государственного регулирования в информационном пространстве — механизм «квалифицированной электронной подписи», условно неподделываемого доверенного идентификатора субъекта, которым он может заверять различного рода сделки в электронном виде от своего имени в инфопространстве. На самом деле, идея ЭП не нова и развивается давно, но в России в какой-то момент что-то пошло немного не так. Эта статья — субъективное пространное рассуждение на тему института электронной подписи в России без излишнего погружения в технологическую матчасть. Ну и немного хейта, как же без этого.


CC-BY-SA, Vadim Rybalko
Читать дальше →
Total votes 150: ↑145 and ↓5 +140
Comments 340

Habr postmortem report: на газетку упало

Reading time 3 min
Views 19K
Конец первого и начало второго месяца лета 2019 года выдались непростыми и ознаменовались несколькими крупными падениями мировых IT-сервисов. Из заметных: два серьёзных инцидента в инфраструктуре CloudFlare (первый — с кривыми руками и халатным отношением к BGP со стороны некоторых ISP из США; второй — с кривым деплоем уже самих CF, повлияло на всех, пользующихся CF, а это многие заметные сервисы) и нестабильная работа инфраструктуры Facebook CDN (повлияло на все продукты FB, включая Instagram и WhatsApp). Под раздачу пришлось попасть и нам, хотя наш outage был куда менее заметен на мировом фоне. Кто-то стал уже приплетать чёрные вертолёты и «суверенные» заговоры, посему выпускаем публичный post mortem нашего инцидента.


Читать дальше →
Total votes 102: ↑99 and ↓3 +96
Comments 30

How Protonmail is getting censored by FSB in Russia

Reading time 10 min
Views 8.4K

A completely routine tech support ticket has uncovered unexpected bans of IP addresses of Protonmail — a very useful service for people valuing their Internet freedoms — in several regions of Russia. I seriously didn’t want to sensationalize the headline, but the story is so strange and inexplicable I couldn’t resist.


TL;DR


Disclaimer: the situation is still developing. There might not be anything malicious, but most likely there is. I will update the post once new information comes through.


MTS and Rostelecom — two of the biggest Russian ISPs — started to block traffic to SMTP servers of the encrypted email service Protonmail according to an FSB request, with no regard for the official government registry of restricted websites. It seems like it’s been happening for a while, but no one paid special attention to it. Until now.


All involved parties have received relevant requests for information which they’re obligated to reply.


UPD: MTS has provided a scan of the FSB letter, which is the basis for restricting the access. Justification: the ongoing Universiade in Krasnoyarsk and “phone terrorism”. It’s supposed to prevent ProtonMail emails from going to emergency addresses of security services and schools.


UPD: Protonmail was surprised by “these strange Russians” and their methods for battling fraud abuse, as well as suggested a more effective way to do it — via abuse mailbox.


UPD: FSB’s justification doesn’t appear to be true: the bans broke ProtonMail’s incoming mail, rather than outgoing.


UPD: Protonmail shrugged and changed the IP addresses of their MXs taking them out of the blocking after that particular FSB letter. What will happen next is open ended question.


UPD: Apparently, such letter was not the only one and there is still a set of IP addresses of VOIP-services which are blocked without appropriate records in the official registry of restricted websites.

Total votes 66: ↑64 and ↓2 +62
Comments 4

Как Protonmail блокируется в России

Reading time 11 min
Views 132K

English version of the post


Совершенно рутинный трабл-тикет в нашу техподдержку вскрыл очередную странную блокировку довольно значимого для уважающего свои интернет-свободы сообщества сервиса Protonmail в некоторых сетях России. Не хотелось бы эксплуатировать «жёлтый заголовок», но история странная и несколько возмутительная.


TL;DR


Важное замечание: разбор продолжается и пока всё в процессе. Может «мальчика и нет», но скорее всего есть. Будет дополняться по мере появления новой информации.


Крупнейшие российские операторы связи МТС и Ростелеком внереестрово блокируют трафик на SMTP-сервера сервиса защищённой электронной почты Protonmail по письму из ФСБ. Судя по всему, уже достаточно долго, но никто особого внимания пока не обращал. А мы вот обратили.


WTF и пригорание продолжается, все участники получили соответствующие запросы и должны предоставить мотивированные ответы.


UPD: МТС предоставили скан письма ФСБ, по которому производится блокировка. Мотивировка: Универсиада и «телефонный терроризм». Чтобы письма с ProtonMail не попадали на тревожные адреса спацслужб и школ.


UPD: Protonmail удивились методам борьбы с фродом у «этих странных русских» и посоветовали более эффективный вид борьбы через abuse mailbox.


UPD: Бравая концепция борьбы ФСБ с ложными обращениями не выдержала критики: письмом поломали входящую почту на ProtonMail, а не исходящую.


UPD: Protonmail пожали плечами и сменили IP-адреса своих MX, таким образом уведя их из под блокировки по этому конкретному письму. Вопрос, что будет дальше открыт.


UPD: Судя по всему, такое письмо не одно и есть ещё набор IP-адресов VOIP-сервисов, которые внереестрово блокируются.


UPD: Так как история стала распространяться за пределы Рунета, подготовили перевод на английский язык, ссылка вверху.

Total votes 425: ↑418 and ↓7 +411
Comments 397

DDoS в обход Куратора: простые действия для спокойной жизни

Reading time 8 min
Views 19K

Недавно в Москве прошла вторая конференция по эксплуатации и администрированию информационных систем Uptime.commuinty, на которой мы тоже поделились своим опытом. У нас, как обычно, о наболевшем — про DDoS.



DDoS-атаки на Хабр начались лет десять назад и до сих пор представляют для нас неприятную проблему. Сначала были робкие попытки чуть-чуть подзалить, а сейчас для нас обычный DDoS — это порядка 30 Гбит/с. Это и не удивительно, потому что сейчас у каждой бабушки в Москве есть 50Мб. Всё по классике: одна старушка — 50, 10 старушек — 500…

Читать дальше →
Total votes 61: ↑56 and ↓5 +51
Comments 18

Так ли страшен чёрт или как мы внедряли онлайн-кассу

Reading time 10 min
Views 68K

Данная статья была написана в виде поста для Хабра в большей части из-за того, что вокруг вопроса онлайн-касс для интернет-сайтов возник настоящий информационный вакуум. С одной стороны, в сети полно статей на тему онлайн-касс, с другой — информации непосредственно о решениях для веб-сайтов не очень много, особенно технической. Только слова, что «надо срочно» и «будут штрафовать». Нам этот квест показался достаточно интересным и запутанным, если кому поможет — будем рады.


Онлайн-касса


Что такое онлайн-касса, как она взаимодействует с налоговыми органами и общее описание технологии можно почитать на профильных сайтах. Здесь же приведена вся техническая информация по продуктам, которую удалось найти, по сути это переработка нашей внутренней статьи Вики на эту тему.

Читать дальше →
Total votes 70: ↑70 and ↓0 +70
Comments 182

Технические работы

Reading time 1 min
Views 1.2K
С четверга на пятницу Хабр переехал на новую структуру frontend-backend (что является одним из этапов апгрейда всего и вся), вроде полёт нормальный. Всё происходило примерно так:


Но всё же, если вы заметили чего-нибудь необычное: всякие обрывы страниц, 50х, просто пустые страницы и т.д. — пишите в этот пост. Особенно это касается тех, у кого плохое соединение с интернетами (GPRS и иже с ними, просто ужасный провайдер или dial-up, если кто помнит, что это такое). Если не сложно, не поленитесь взять в руки свой мобильник или смартфон и пролистать несколько страничек сайта на предмет аномалий (может мы очень затянули гайки с тайм-аутами). Статистика всякая нужна.
Читать дальше →
Total votes 114: ↑99 and ↓15 +84
Comments 131

Открыт прием заявок на конференцию FOSS во Львове (февраль 2011 года)

Reading time 1 min
Views 547
1 — 4 февраля 2011 года во Львовском национальном университете имени Ивана Франко состоится Международная научно-практическая конференция
«FOSS Lviv-2011»
image

Направления работы конференции:
  • Свободное программное обеспечение в образовании;
  • Свободное программное обеспечение в науке;
  • Свободное программное обеспечение в бизнесе;
  • Свободное программное обеспечение дома.

Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Comments 0

Технические работы

Reading time 1 min
Views 954
В ночь с 8-го по 9-е декабря 2010 года на сайте будут проводиться технические работы.



Будет проводиться замена фронт-энда, поэтому временами может возникать белый экран или Чип и Дэйл. Так как будет вводиться новая система кэширования, возможны баги. Если вы столкнётесь с чем-нибудь необычным, пожалуйста, дайте знать в этом топике. Спасибо!
Total votes 60: ↑56 and ↓4 +52
Comments 75

Тест-драйв социальной карты учащегося (студента) Москвы

Reading time 8 min
Views 132K
С недавнего времени мне удалось заполучить статус учащегося, и я не преминул воспользоваться благами, которыми этот статус наделяет. Одно из таковых — льготный проезд на общественном транспорте города Москвы (а местами и не только). Реализация осуществляется посредством специального кусочка пластика — Социальной Карты Учащегося (или Студента, в зависимости от ситуации):



У продукта есть несколько вполне официальных сайтов, причем местами информация немного разнится. Чтобы понять весь спектр предоставляемых по карте льгот пришлось достаточно сильно погуглить. Собственно, пытаясь всю информацию собрать воедино, я написал этот пост-шпаргалку.
Читать дальше →
Total votes 72: ↑53 and ↓19 +34
Comments 86

Технические работы

Reading time 1 min
Views 964
В ночь с 8-го по 9-е октября 2010 года на сайте будут проводиться технические работы.



В это время могут прилетать Чип и Дейл: это нормально. Гаечки, к сожалению, с ними не будет ;)
Total votes 103: ↑82 and ↓21 +61
Comments 68

Achtung: DDoS

Reading time 1 min
Views 2K
Сегодня вечером на Хабр началась DDos-атака. Так что сайт время от времени может «уходить в себя». Посмотрим, как проживем ночь, если завтра будет продолжаться — будем подключать тяжёлую артиллерию. DDoS'ят ботнетом с разных адресов, от Китая до Мексики тупым UDP-флудом, который временами забивает канал целиком (а в проводе пока всего 100 мегабит). Мы, конечно, догадываемся, кто заказчик атаки, но пока об этой информации распространяться не будем. Можно только выразить сожаление, что некоторые не совсем адекватные личности только так, исподтишка могут решать споры.
Читать дальше →
Total votes 252: ↑236 and ↓16 +220
Comments 351

Технические работы на серверах

Reading time 1 min
Views 654
Сегодня в ночь с первого на второе сентября сервера Хабрахабра немного проапдейтятся, в связи с чем сайт временами может быть недоступен. Вообще, все должно произойти «на лету», но если вдруг выскочит пустая страница или что-то страшное — не пугайтесь, это совсем-совсем временно. Апдейт носит исключительно «системный» характер, обновляется софт, а не движок, так что к новым «фичам» отношения не имеет, про них здесь можно даже и не спрашивать.

В общем, мы предупредили… :)

UPD. Вроде минорный апгрейд завершен успешно, без особых эксцессов. Всем доброго утра и хорошего дня.
Total votes 72: ↑60 and ↓12 +48
Comments 21
1

Information

Rating
Does not participate
Location
Таллин, Эстония, Эстония
Works in
Date of birth
Registered
Activity