Pull to refresh
37
0.5

Пользователь

Send message

Продлеваем сертификаты vCenter правильно

Reading time 5 min
Views 15K

TL;DR: Тут описано продление внутренних сертификатов VMware vCenter Server до 10 лет с корректными данными в CN, а также vcert, lsdoctor и vdt.

Наверное все администраторы VMware vSphere слышали про проблему с истечением двухлетнего сертификата STS, который используется для выпуска SAML-токенов и от него зависит взаимная аутентификация всех сервисов внутри vCenter Server.

Похоже разработчкики решили внедрить рекомендации CA/B Forum по сокращению сроков действия сертификатов, но слишком широко применили политику.

Пострадавшие запускали fixsts и certificate-manager из KB76719 для восстановления доступа к инфраструктуре и забывали об этом ещё на 2 года.

Но решение оказалось неполным и не совсем корректным:

Читать далее
Total votes 1: ↑1 and ↓0 +1
Comments 9

«Clock Signal Component Issue» или снова массовый брак в устройствах Cisco

Reading time 2 min
Views 9.7K
Несколько лет назад JDima писал про брак у одного из поставщиков памяти для сетевых устройств Cisco, приводивший к их ранней кончине.

Сейчас обнаружилась проблема с компонентом тактового генератора (Clock Signal Component), который может преждевременно выйти из строя после 18 месяцев эксплуатации и устройство перестанет загружаться.

Проблема затронула:


При наличии гарантии или контракта, действовавших на 16 ноября 2016 года, можно обратиться в TAC для проактивной замены устройства, приоритет будет отдаваться устройствам с большей наработкой. Подробное описание и FAQ: Clock Signal Component Issue
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Comments 16

Осторожно: HSTS

Reading time 3 min
Views 91K
Про HSTS на Хабре уже писали, этот механизм включен в генераторе конфигов для веб-серверов от Mozilla. Написать этот пост я решил за один день столкнувшись с недоступность сразу двух крупных сайтов из-за HSTS.

TL;DR
Тщательно проверяйте работу сайта по TLS перед включением HSTS, особенно если это большой портал с кучей субдоменов и управляемый разными людьми.

Что такое HSTS?


HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками. Стандарт описан в RFC6797, а политики бывают двух видов:

Динамические


Политика применяется из HTTP-заголовка Strict-Transport-Security при первом заходе на сайт по HTTPS, в нём указан срок действия и применимость к субдоменам:

Strict-Transport-Security: max-age=15768000; includeSubDomains;

Статические


Статические политики захардкожены в браузер и для некоторых сайтов включает привязку к вышестоящему CA, выпустевшему сертификат (например: google.com, paypal.com или torproject.org). Причем она может действовать только когда сайт открыт через TLS, разрешая незащищённое соединение, но блокируя MitM с подменой сертификата.

Список из Chromium используют все популярные браузеры (Firefox, Safari и IE 11+Edge) и добавить в него сайт может любой желающий, если веб-сервер отдаёт заголовок Strict-Transport-Security со сроком действия от двух лет и ключевым словом preload в конце:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Читать дальше →
Total votes 30: ↑27 and ↓3 +24
Comments 16

Неожиданная особенность проверки сертификатов в Windows

Reading time 2 min
Views 29K
Немного затянул с публикацией, но лучше поздно чем никогда. В начале рабочей недели появились задержки при подключении по RDP ко всем компьютерам, оно подвисало на несколько секунд в стадии «Securing remote connection...», которая отвечает за установку шифрованного канала для безопасной передачи реквизитов.

TL;DR
При истечении срока действия CTL и недоступности ctldl.windowsupdate.com возможны задержки при установке SSL-соединений, старайтесь этого избегать.

Так как для RDS используются сертификаты от внутреннего CA и уже когда-то забыв обновить CRL корневого офлайнового CA решил проверить его здоровье в pkiview.msc.

Оснастка показала, что всё OK, но напротив обоих CA несколько секунд держался статус Verifying, что странно, так как все данные для проверки доступны внутри домена через LDAP и HTTP. Проверка через certutil -verify также подвисала на 10-15 секунд в стадии CERT_CHAIN_POLICY_BASE, причем с любыми сертификатами — не только от внутренних, но и от внешних CA (StartCom, Comodo и т.д.).
Читать дальше →
Total votes 26: ↑24 and ↓2 +22
Comments 12

KB3145126 для Windows Server 2008 R2 ломает DNS-сервер

Reading time 1 min
Views 23K
Никогда не было, и вот опять Microsoft выпустили непротестированное обновление с критическим багом.

На этот раз пострадал DNS-сервер из состава Windows Server 2008 R2, который падает и больше не поднимается после установки KB3145126 из майского Patch Tuesday, а в журнале событий появляются сообщений вида:
Faulting application name: dns.exe, version: 6.1.7601.23375, time stamp: 0x56e06454
Faulting module name: dns.exe, version: 6.1.7601.23375, time stamp: 0x56e06454
Exception code: 0xc0000005

Лечится удалением этого патча командой wusa.exe /uninstall /kb:3145126 с последующей перегрузкой.

Update: Проблема оказалась в использовании CNAME для корневых записей "@" в конфигурации DNS-зон. Определить такие настройки поможет скрипт из KB2647170, который надо запускать при работающей службе DNS Server. Некорректные записи можно исправить в оснастке dnsmgmt.msc или удалить командой «DNSCMD /recorddelete DNS <имя зоны> @ cname» перед установкой KB3145126.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Comments 19

Критическая уязвимость в Cisco ASA

Reading time 2 min
Views 30K
В операционной системе Cisco ASA обнаружена критическая узявимость CVE-2016-1287 в реализации протокола Internet Key Exchange (IKE) версии 1 и 2, позволяющая выполнять произвольный код или удалённо перезагрузить устройство специально сформированным UDP-пакетом. Ей присвоен наивысший уровень опасности.

Технический обзор и примеры эксплуатации:
blog.exodusintel.com/2016/02/10/firewall-hacking
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Comments 10

Windows 8 RTM выйдет в первую неделю августа!

Reading time 1 min
Views 3.9K
На международной конференции для партнёров было объявлено, что финальная (RTM) версия Windows 8 станет доступна в первую неделю августа. Доступ к ней получат партнёры, клиенты с действующим контрактом Software Assurance, а также разработчики и специалисты с подписками MSDN/TechNet.
Вместе с выходом RTM, у разработчиков появится возможность размещать платные приложения в Windows Store.

Для конечных пользователей операционная система будет доступна с октября. Владельцы предыдущих версий Windows смогут обновиться за $40, а купившие Windows 7 после второго июня 2012 всего за $15.
Total votes 48: ↑42 and ↓6 +36
Comments 89

Windows 8 Release Preview в первую неделю июня

Reading time 1 min
Views 1.4K
В рамках конференции Windows Developer Days в Японии корпорация Microsoft официально анонсировала выход Windows 8 Release Preview в первой неделе июня.
В привычной классификации Release Preview является релиз кандидатом, который включит весь функционал финальной версии, а также исправления, внесённые с момента выхода Consumer Preview в марте.
Читать дальше →
Total votes 103: ↑78 and ↓25 +53
Comments 17

Дистрибутивы, обновления и errata для Oracle Linux теперь доступны бесплатно

Reading time 1 min
Views 4.8K
Вместе с заявлением о сертификации некоторых своих приложений на платформе RHEL 6 и Oracle Linux 6, корпорация Oracle объявила об о том, что с текущего момента дистрибутивы, обновления и errata для Oracle Linux доступны бесплатно, в том числе для использования в производственной среде.

Oracle Linux собирается из исходных кодов RHEL и полностью с ним совместим, важными преимуществами перед CentOS и Scientific Linux является поддержка со стороны производителей железа и сроки выхода обновлений, которые выпускают практически одновременно с Red Hat.
Раньше для оперативного получения обновлений, вы должны были иметь действующий контракт на поддержку, стоивший $119 в год у Oracle либо от $349 в год у Red Hat (2 сокета, с ограничением на 1 гостевую систему).

Читать дальше →
Total votes 9: ↑6 and ↓3 +3
Comments 11

Официально представлены процессоры Xeon E5 и серверы на них от крупнейших производителей

Reading time 2 min
Views 8K
6 марта 2012 года корпорация Intel официально представила процессоры Xeon E5-2600 и E5-1600, заменяющие Xeon 5600. В новых моделях увеличено количество ядер до 8 и объем поддерживаемой оперативной памяти составляет 384 ГБ на процессор при использовании модулей LRDIMM. Главное отличие E5-1600 от E5-2600 заключается в отсутствии поддержки многопроцессорных конфигураций у младшей серии.

В новую линейку на архитектуре Sandy Bridge-EP вошли 29 моделей от 2 до 8 ядер, частотой от 1.8 до 3.6 ГГц и TDP от 60 до 150 Вт:
Читать дальше →
Total votes 25: ↑24 and ↓1 +23
Comments 22

Пополнение в линейке ASA

Reading time 1 min
Views 6.7K
27 февраля 2012 на конференции RSA Conference, Cisco Systems анонсировала обновление линейки межсетевых экранов Cisco ASA, её дополнят 5 новых моделей: 5512-X, 5515-X, 5525-X, 5545-X и 5555-X.

В качестве основных нововведений, заявляется:
  • Четырёхкратный рост производительности, пропускная способность МСЭ составляет 1 — 4 Гбит/с, 250 Мбит/с — 1,3 Гбит/с для IPS и 200 — 700 Мбит/с для VPN
  • Монолитное шасси, включающее модули ускорения и расширения — дополнительные функции активируются программным ключем
  • Переход на 64-разрядную архитектуру с оптимизацией под многоядерные процессоры и возможностью запуска дополнительных сервисов в будущем с помощью обновления ПО

Дата прекращения поддержи текущих моделей (ASA 5505, 5510, 5520, 5540 и 5550) не сообщается.
Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Comments 3

Открыт предзаказ на µTorrent Plus

Reading time 1 min
Views 2.5K
Несколько часов назад пришло письмо, сообщающее об открытии предзаказа на µTorrent Plus, из основных отличий от бесплатной версии, заявлено следующее:

1) Встроенный антивирус
2) Медиаплеер
3) Конвертер для Android, Apple, PS3 и прочих устройств
4) Удалённое управление клиентом

Цена составляет $24.95 в год, для предзаказчиков предлагается скидка в $5. Немного удивила премодерация заказов — после заполнения формы, выдаётся номер заказа с пометкой о том, что он будет проверен в течении 24 часов.
Total votes 14: ↑10 and ↓4 +6
Comments 32

Почтовые ящики для стандартных сервисов, ролей и функций

Reading time 2 min
Views 11K
Недавно столкнулся с неприятной ситуацией — почтовый сервер попал в спам-листы. Дыру быстро нашли и залатали, но компания Oracle уже занесла наш сервер в свой черный список, причем блокировали нас ещё на стадии соединения.
Возник вопрос — куда писать? На сайте была только форма для клиентов, support@oracle.com предназначался для них же.
После недолгих раздумий, появилась мысль — а нет ли стандарта, определяющего почтовые адреса по которым надо писать в таком случае? Оказалось, что есть и описан он в RFC 2142.

Самое интересное содержится в таблицах, которые приведены ниже.
Читать дальше →
Total votes 65: ↑56 and ↓9 +47
Comments 34

Особенности использования клавиатуры Apple под Windows

Reading time 2 min
Views 93K
Клавиатура от Apple была приобретена для использования с хакинтошем, но с OS X в тот момент не срослось и основной системой для меня осталась Windows. Но не все так просто, как оказалось, работа под Windows собпряжена с несколькими проблемами:
1) Для вызова клавиш F2-F12, требется зажатие модификатора (Fn).
2) Раскладка на клавиатуре не совпадает с системной (коды клавиш используются стандартные).
3) Некоторые клавиши в принципе не работали (например, PrintScreen).

Установка Boot Camp решала первую проблему и даже клавиша выброса диска заработала, но появились неприятные фризы при старте системы и проблему раскладки она не решала. После недолгих копаний, был найден ключ реестра, отвечающий за работу функциональных клавиш и программа, позволяющая редактировать раскладки.
Результатом этого стал данный установщик, в котором содержится:
  • Драйвер от Apple из дистрибутива Mac OS X Leopard 10.5.4
  • Файл реестра, изменяющий параметр, ответсвенный за клавиши F2-F12
  • Установщики раскладок клавиатуры (для русского и английского языков)

Продолжение под катом
Total votes 42: ↑36 and ↓6 +30
Comments 67

Information

Rating
1,538-th
Location
Москва, Москва и Московская обл., Россия
Registered
Activity