Pull to refresh
273
0
Георгий Шуклин @amarao

Забанен за упоминание войны. Больше не на хабре.

Send message

Китай организует Man-in-the-middle атаку против пользователей github

Reading time 2 min
Views 50K

Китай активно блокирует доступ к всяким страшным оппозиционным сайтам (Тянаньмей, 六四事件, 1989, баним Хабр в Китае). Для этого во всю используется DPI — глубокий анализ пакетов. Который позволяет не просто закрывать доступ к IP/доменному имени, а вырезать «лишнее», либо закрывать конкретные страницы. Если какой-то сайт (типа google) начинает использовать SSL, то SSL по этому направлению просто закрывают, оставляя пользователей с http-only.

Однако… Есть в мире сайты, которые Китай не рискует банить. Один из них — github. Если бан gmail или facebook оставит кого-то без любимой почты или возможности увидеть статусы друзей, то бан github'а оставит сотни и тысячи айтишных компаний без доступа к репозиториям open-source приложений и библиотек. А их на гитхабе уже over 5000000. Это означает простой в работе, или даже прекращение деятельности компании (мы-то знаем, что это не проблема, но китайцы свой файрвол воспринимают вполне серьёзно, и русский сценарий «мы всё запретим, а там дальше кому надо сам разберётся» не рассматривают).

При этом github использует SSL всегда. http доступа просто нет. Таким образом, прямой DPI не возможен, а некоторые товарищи, пронюхав про это, начали активно использовать github для обмена информацией о том, как обходить файрвол, адресами прокси-серверов и т.д.

Не желая мириться с подобным, Китай перенаправил трафик github на свои сервера. Разумеется, по HTTPS. И, разумеется, не имея сертификата гитхаба. Таким образом, пользователи китая начали получать предупреждения об ошибке сертификата, а китайская кровавая гэбня получила возможность читать и модифицировать чужие коммиты. Если, конечно, коммитящий или читающий, согласится с тем, что HTTPS с фальшивым сертификатом это нормально. Впрочем, вариантов (легальных) у него нет, т.к. другого варианта доступа к гитхабу не предусмотрено.

Это всё вместе называется man-in-the-middle. И это суровая китайская реальность.
Читать дальше →
Total votes 102: ↑97 and ↓5 +92
Comments 118

Возможности PCI-E SSD Intel 910

Reading time 5 min
Views 34K
Раньше у нас долгое время для кеширования random IO использовались intel 320 серии. Это было умеренно быстро, в принципе, позволяло сократить число шпинделей. При этом обеспечение высокой производительности на запись требовало, мягко говоря, неразумное количество SSD.

Наконец, в конце лета к нам приехал Intel 910. Сказать, что я глубоко впечатлён — не сказать ничего. Весь мой предыдущий скепсис относительно эффективности SSD на запись развеян.

Впрочем, обо всём по порядку.

Intel 910 — это карточка формата PCI-E, довольно солидных габаритов (под стать дискретным видеокартам). Впрочем, я не люблю unpack-посты, так что перейдём к самому главному — производительности.

Картинка для привлечения внимания



Цифры реальные, да, это сто тысяч IOPS'ов на произвольную запись. Подробности под катом.
Читать дальше →
Total votes 62: ↑57 and ↓5 +52
Comments 107

Взломы moin-moin

Reading time 1 min
Views 7.3K
Некоторое время назад по рассылкам безопасности прошла информация о потеницальной уязвимости в ПО для построения Вики-проектов moin-moin, которая позволяет получить локальные права пользователя, с которым это moin-moin запущен. Те, кто подобные рассылки читает, знает, что такие сообщения появляются (не в отношении персонально moin-moin, а «вообще») довольно часто и никакого особого интереса не вызывают. Нашли — поправили — обновили — забыли.

Однако, с этой уязвимостью moin-moin ситуация оказалась хуже.

В настоящий момент есть уже две крупные жертвы: вики Дебиана и вики Питона: (в настоящий момент переведена в оффлайн). Детали по степени проникновения для Питона пока не известны, а для дебиана опубликован отчёт: украли емейлы и солёные хеши паролей.

Кто ещё?


Используют moin-moin: Apache (в том числе для TomCat), Ubuntu, Mercurial, Baazar, CAcert.org, WireShark, Squid, CouchDB, SpamAssasin, Gnome Live, Wine, X.org, GRUB, CentOS, Arch, FreeBSD, OpenWRT, freedesktop.org, GCC, DropBox…

Сколько из них успело уже обновиться?
пара слов об уязвимости
Total votes 32: ↑29 and ↓3 +26
Comments 7

Добровольные лимиты для облачных серверов

Reading time 3 min
Views 8.2K
Новость одним абзацем: появилась возможность задать самому себе лимиты производительности. Лимитируется CPU, оперативная память и исходящий трафик.
Выглядит это так:
cap_forced

Не нравится быстро? Можно медленно!


Мы вынесли в панель управления возможность выставлять самому себе лимиты на потребление ресурсов. Эти настройки по-умолчанию у всех виртуальных машин выставлены в «не ограничивать», что не отличается от поведения ранее.
Читать дальше →
Total votes 29: ↑26 and ↓3 +23
Comments 71

Вышел Xen Cloud Platform 1.6

Reading time 1 min
Views 14K
Вышла долгожданная версия XCP 1.6

В этой версии:
  • live storage (VDI) migration
  • live pool migration
  • Гипервизор Xen 4
  • Open Vswitch 1.4, наконец-таки с поддержкой ipv6
  • Официальный антиспуфинг
  • Поддержка новых процессоров intel
  • Миграция виртуальных машины может осуществляться без гостевых утилит
  • Поддержка LACP
  • StorageLink для EMC
  • Поддержка GPU passthough (доступ к GPU для виртуальных машин)

Ссылка на новую версию: xen.org/download/xcp/index_1.6.0.html
Total votes 19: ↑17 and ↓2 +15
Comments 14

Как правильно мерять производительность диска

Reading time 14 min
Views 335K
abstract: разница между текущей производительностью и производительностью теоретической; latency и IOPS, понятие независимости дисковой нагрузки; подготовка тестирования; типовые параметры тестирования; практическое copypaste howto.

Предупреждение: много букв, долго читать.

Лирика



Очень частой проблемой, является попытка понять «насколько быстрый сервер?» Среди всех тестов наиболее жалко выглядят попытки оценить производительность дисковой подсистемы. Вот ужасы, которые я видел в своей жизни:
  • научная публикация, в которой скорость кластерной FS оценивали с помощью dd (и включенным файловым кешем, то есть без опции direct)
  • использование bonnie++
  • использование iozone
  • использование пачки cp с измерениема времени выполнения
  • использование iometer с dynamo на 64-битных системах


Это всё совершенно ошибочные методы. Дальше я разберу более тонкие ошибки измерения, но в отношении этих тестов могу сказать только одно — выкиньте и не используйте.

Как мерять правильно
Total votes 151: ↑145 and ↓6 +139
Comments 164

Функциональное программирование в шелле на примере xargs

Reading time 6 min
Views 24K
Abstract: рассказ о том, как быстро и красиво делать обработку списков в шелле, немного мануала по xargs и много воды про философию то ли программирования, то ли администрирования.

Немного SEO-оптимизации: карринг, лямбда-функция, композиция функций, map, фильтрация списка, работа с множествами в шелле.

Пример



Системные администраторы часто оказываются в ситуации, когда нужно взять вывод одной программы, и к каждому элементу вывода применить другую программу. Или даже не одну. В качестве забавного (и бесполезного) примера мы возьмём следующий: требуется посчитать суммарный размер всех исполняемых файлов, запущенных в настоящий момент в системе вместе со всеми динамическими библиотеками, которые они используют.

Это не реальная «задача», это учебный пример, решая который (в решении будет однострочник) я расскажу про очень необычный и мощный инструмент системного администрирования — линейное функциональное программирование. Линейное оно, потому что использование пайпа "|" это линейное программирование, а использование xargs позволяет превратить сложную программу с вложенными циклами в однострочник функционального вида. Целью статьи будет не показать «как найти размер библиотек» и не пересказать аргументы xargs, а объяснить дух решения, пояснить стоящую за ним философию.

Лирика


Существует несколько стилей программирования. Один из них выглядит так: для каждого элемента списка сделать цикл, в котором для каждого элемента списка, если он не является пустой строкой, взять имя файла, и если размер файла не равен нулю, то прибавить к счётчику. Ах, да, сначала счётчик надо сделать нулём.

Другой выглядит так:
Применить к списку функцию, которая применяется к каждому элементу списка, если этот элемент непустая строка и размер файла, с этим именем не нулевой, добавить к сумме.

Даже словами видно, что второй вариант короче.
Читать дальше →
Total votes 77: ↑73 and ↓4 +69
Comments 45

Атака патентных троллей на Github

Reading time 1 min
Views 29K
Точнее, на rackspace за то, что хостят гитхаб.

pdf'ка с заявлением в суд.

Среди истцов не только патентный тролль (некая Personalweb Technologies LLC), но ещё каким-то образом L3 communication (крупный ISP).

Цитата:

Rackspace has infringed and continues to infringe the ’791 patent by its manufacture, use, sale, importation, and/or offer for sale of the following products and services within the PersonalWeb Patent Field: Rackspace Cloud Servers and GitHub Code Hosting Service. Rackspace further contributes to and induces others to manufacture, use, sell, import, and/or offer for sale these infringing products and services. Rackspace is liable for its infringement of the ’791 patent pursuant to 35 U.S.C. § 271.


Список патентов:
Читать дальше →
Total votes 84: ↑71 and ↓13 +58
Comments 104

Википедия раздаёт старые сервера

Reading time 1 min
Views 44K
пересказ записи из технического блога wikimedia: blog.wikimedia.org/2012/09/18/server-decommissioning-donations-sept2012

Викимедиа (некоммерческая организация, управляющая сайтом wikipedia.org), та самая, которая жалостливыми глазами Джимбо собирает пожертвования раз в год, объявила о программе по раздаче старых серверов всем нуждающимся (некоммерческим организациям).

На эти сервера закончилась трёхлетняя гарантия и их было решено отдать тем, кому они будут нужнее (т.к. под потребности Википедии они уже не совсем подходят).

Сервера примерно такой конфигурации:

Брендовые конфиги от Dell и Sun:
* 2 Xeon'а 2.5ГГц
* От 2 до 8 Гб оперативной памяти
* Несколько жёстких дисков.

Заявки принимаются только от американских некоммерческих организаций сo схожими взглядами (в оригинале: like-minded).
Total votes 55: ↑49 and ↓6 +43
Comments 30

Начало агонии IPv4: last /8

Reading time 2 min
Views 72K
(и ещё немного желтизны: Ужасная смерть IPv4! Шок! Видео! Скрытая камера. Скачать без СМС)


Если же серьёзно, то, о чём так долго пугала общественность RIPE NCC (а общественность не воспринимала в серьёз), случилось.

Началась фаза «last /8». У RIPE NCC осталась последняя нераспределённая /8 сеть (16 миллионов адресов).

В чём состоит эта фаза? Каждому LIR (локальному регистратору) будет выдано по /22 (1024) адреса, даже если ему нужно больше.

И всё. Совсем всё. Подробнее тут: www.ripe.net/internet-coordination/ipv4-exhaustion. А PI-адреса (провайдеро-независимые) больше не выдаются. Уже сейчас.

Останутся только резервы самих LIR'ов (понятно, что последние месяцы все хомячили как не в себя, но надолго ли этого хватит?).

Это означает, что в ближайшее время новых IPv4 адресов не будет. Рой не сможет рости дальше. Старые адреса будут работать как работали, а вот новые…

Номер этой сети — 185.0.0.0/8. Так что если увидите IP'шник на 185 — знайте, это проедается последнее.

Читать дальше →
Total votes 125: ↑113 and ↓12 +101
Comments 348

Оборотная сторона бэкапа

Reading time 3 min
Views 4.7K
Стандартная поговорка на любые с данными: бэкап делать надо было. И как бы никто возразить не может.

Однако…

Когда мы говорим «бэкап делать надо» обычно мы говорим про бэкап тех данных, которые потеряны. Мол, потратил бы 2 минуты, не горевал бы сейчас о потерянном месяце работы.

Однако, в этой фразе есть лукавство. Если бы мы знали, что именно эти данные будут потеряны, то разумеется, мы бы сделали их резервную копию. Однако, предсказывать будущее не может даже SMART, куда уж простым смертным.

Так что фраза «бэкапы надо делать» касается всех ценных данных. Делай бэкап всего и тогда конкретная авария обернётся восстановлением бэкапа, а не сожалением о потерянных данных.

Но две ли это минуты?

Вместо рассуждений я попробую поиграть в математику.
Читать дальше →
Total votes 47: ↑14 and ↓33 -19
Comments 17

Кнопка для поворота экрана на X220 tablet

Reading time 2 min
Views 4.6K
Взамен убитого почти всусмерть X220i купил себе X220 tablet. Замечательная железка — ноутбук с вращающимся экраном, тачскрином и пером (которое понимает «силу нажатия»). Однако, увы, часть хардварных кнопок (в т.ч. на вращающемся экране) не работала.

Одна из них — кнопка поворота (на фотографии). Очень полезна для перевода ноутбука в «readmode» (c книжно-портретной ориентацией).



Что мы хотим?

  • По нажатию поворачивать картинку на 90°
  • По повторному нажатию возвращать обратно
  • Поворачивать восприятие всех тачскринов (обнаружилось в ходе отладки решения)
  • (upd) отключаем тачпад — он иногда срабатывает на перевёрнутую крышку


Под катом — вариант решения и ссылки на использованные материалы.

Читать дальше →
Total votes 26: ↑20 and ↓6 +14
Comments 25

Уязвимость «физического присутствия» в UEFI

Reading time 2 min
Views 8.3K

Новые стандарты UEFI предполагают, что физическое присутствие человека (оператора) позволит защититься от автоматизированных действий вредоносного ПО по модификации различного рода ключей (которыми проверяется валидность загружаемого ПО), заливки неправильных версий БИОСа и т.д.

Логика такая: разрешить эти действия (которые позволят загрузить что попало) только при физическом подтверждении с клавиатуры. Мол, ни один злобный вирус не сможет физически нажать кноку на клавиатуре для биоса.

Я сейчас даже не буду рассматривать вероятность взлома прошивок USB-устройств для отправки нужных комбинаций кнопок.

Я хочу поговорить о такой страшной вещи, как IPMI и iLO со встроенными KVM'ами. И о том, как легко обходится задача «физического присутствия» в современном серверном железе.
Читать дальше →
Total votes 50: ↑44 and ↓6 +38
Comments 52

Памятка пользователям ssh

Reading time 13 min
Views 1.5M
abstract: В статье описаны продвинутые функций OpenSSH, которые позволяют сильно упростить жизнь системным администраторам и программистам, которые не боятся шелла. В отличие от большинства руководств, которые кроме ключей и -L/D/R опций ничего не описывают, я попытался собрать все интересные фичи и удобства, которые с собой несёт ssh.

Предупреждение: пост очень объёмный, но для удобства использования я решил не резать его на части.

Оглавление:
  • управление ключами
  • копирование файлов через ssh
  • Проброс потоков ввода/вывода
  • Монтирование удалённой FS через ssh
  • Удалённое исполнение кода
  • Алиасы и опции для подключений в .ssh/config
  • Опции по-умолчанию
  • Проброс X-сервера
  • ssh в качестве socks-proxy
  • Проброс портов — прямой и обратный
  • Реверс-сокс-прокси
  • туннелирование L2/L3 трафика
  • Проброс агента авторизации
  • Туннелирование ssh через ssh сквозь недоверенный сервер (с большой вероятностью вы этого не знаете)
Читать дальше →
Total votes 360: ↑352 and ↓8 +344
Comments 148

Отключение ClickPad'а на X220; чуть-чуть детектива

Reading time 6 min
Views 2.8K
abstract:
  1. Как выключить правую кнопку на ClickPad'е
  2. Что такое сниппеты для X-сервера
  3. Немного лирики о том, как в линуксе ищут решения проблем.


Вступление


X-сервер в отношении железа у меня обычно вызывает неприязнь. Потому что с одной стороны это нечто жутко консьюмерское и покрытое бесконечными тонкостями поддержки элитных ноутбуков очередного мегазасранца (Linus Loves Nvidia), который и под винды нормальных дров не может сделать, а с другой стороны, это то, что хочется, чтобы работало гладенько и само собой, ибо чинить сломавшийся X-сервер неприятно, особенно, если это единственный рабочий компьютер под рукой.

Впрочем, от лирики к хардкору.

На x220 есть такая замечательная вещь:

Посреди клавиатуры фирменный IBM'овский клитор (трекпоинт), под клавиатурой (над точпадом) кнопки от трекпоинта. Сам точпад второго комплекта кнопок не имеет и является ClickPad'ом — под ним расположена одна кнопка, нажатие которой транслируется либо в левую, либо в правую кнопки в зависимости от того, где было зафиксировано нажатие. Обработка эта софтовая (в драйвере).

Давным давно (~2.6.30) в линуксе поддержку этой штуки сделали кривыми хаками, потом выкинули (~2.6.38). В результате многие ноутбуки (например, уродливый HP, который у меня на работе) остались вообще без правой кнопки мышки.

Недавно привалили апдейты, которые «включили» это. HP такой вещи, наверное, обрадуется, однако, на X220, где есть аппаратные кнопки клитора с правой (и средней) кнопками, меня на 100% устраивало, что кликпад работает только как левая кнопка.

После апдейта я недельку помучился, но так и не привык. Как же этот багфикс выключить нафиг и вернуть на место баг? Я всё время кликал справа, ожидая, что это будет левый клик (потому что палец справа и ещё его шевелить куда-то не хочется).

Поиск


(вместо унылого howto я лучше покажу процесс поиска варианта решения, который не только решил проблему, но вкачал мне несколько малых уровней в linux).
Читать дальше →
Total votes 70: ↑55 and ↓15 +40
Comments 38

rescue initrd в облаке Selectel

Reading time 2 min
Views 7.9K
Новость одной строкой: в списке доступных внешних ядер при загрузке виртуальной машины добавился rescue initrd, который содержит инструментарий для восстановления работы виртуальной машины.

На случай ошибок в конфигурации (не то ядро, удалённый partition table, странные манипуляции с файловыми системами, забытый пароль, ошибки в конфигурации загрузочных скриптов и т.д.) мы добавили initrd с более-менее полноценным шеллом (полный комплект busybox), плюс набор утилит для восстановления/исправления работы машины.

Rescue initrd доступен в списке внешних ядер для загрузки

Система восстановления виртуальных машин в облаке Селектел
Читать дальше →
Total votes 47: ↑40 and ↓7 +33
Comments 53

Популярность дистрибутивов Linux

Reading time 2 min
Views 40K
Сначала новость: Ubuntu 12.04 доступна в качестве шаблона для установки в облаке Селектел. Ubuntu 12.04 является новой LTS (то есть версией с расширенным сроком поддержки — 5 лет в отношении серверной версии).


Вместо того, чтобы разводить из этой фразы пресс-релиз, я лучше покажу вам статистику популярности разных дистрибутивов.

Я знаю, что в отсутствие arch, gentoo и slackware, данные не совсем репрезентативны, так что можете считать это данными о популярности дистрибутивов, поддерживающих автоматическую установку.

Дистрибутивы


Итак, сначала данные о текущей популярности ОС:
Популярность дистрибутивов Линукса в облаке Селектел
Читать дальше →
Total votes 56: ↑48 and ↓8 +40
Comments 109

Управление загрузкой виртуальных машин

Reading time 2 min
Views 9K
Одна из идей, в рамках которой развивается облако Селектел, является максимальная свобода администратора при работе с облачной машиной. Различия с реальным сервером должны быть минимальны, а все новые функции не должны нарушать ощущения «настоящей» машины.

Сейчас мы сделали очень крупный шаг для реализации этого — реализовали интерфейс управления загрузкой. До этого момента эксперименты с загрузкой (разные версии ядер, опции загрузки и т.д.) могли привести к нерабочей машине, и исправление этой проблемы было проблемным (отключать диск, подключать его обратно и т.д.).

Теперь эта проблема решена. Я думаю, эти два скриншота объяснят возможности системы больше, чем тестовое описание:
опции загрузки вируальной машины в облаке Селектел
Читать дальше →
Total votes 34: ↑29 and ↓5 +24
Comments 31

Эпик фейл с рассылками у VMWare

Reading time 2 min
Views 1.8K
VMWare всегда несколько свободно обращалась с полученными от партнёров email-адресами. В смысле, «налево» они не уходили, но обнаружить себя подписанным на yet another рассылку про Новый и Очень Перспективный Продукт — запросто.

То же касается и всякого рода мероприятий.

Практика не очень похвальная, но всё же терпимая. Так было до определённого момента, пока VMWare не добавила эти адреса в очередной список рассылки: russia-cis-partners at lists.vmware.com.

Сделано это было с помощью mailman, причём сам mailman не в курсе, что такая рассылка на его сервере есть: lists.vmware.com/mailman/listinfo/russia-cis-partners

Пришло сообщение о подписке. Ещё не было самой рассылки, как…

… как выяснилось, что в эту рассылку могут писать все. И понеслось. Я помню, была подобная история несколько лет назад, когда через рассылку прошло несколько десятков тысяч негодующих писем с просьбой отписать (и каждое такое письмо приходило обратно всем остальным негодующим, вызывая появление новых негодующих), кажется, это было в какой-то муниципальной рассылке, если кто помнит, ткните.

Так вот, ровно та же ситуация.



В настоящий момент в этом «дискуссионном списке» уже более 500 писем.
Читать дальше →
Total votes 78: ↑65 and ↓13 +52
Comments 40

Information

Rating
Does not participate
Registered
Activity