Блочное системное шифрование Windows Linux установленных систем. Двойная зашифрованная загрузка. Защита и атака на GRUB2

1 неделя 5 дней ago


Ковбойская стратегия:
[A] блочное системное шифрование Windows 7 установленной системы;
[B] блочное системное шифрование GNU/Linux (Debian) установленной системы (включая /boot);
[C] настройка GRUB2, защита загрузчика цифровой подписью, защита аутентификацией;
[D] зачистка — уничтожение нешифрованных данных;
[E] универсальное резервное копирование зашифрованных ОС;
[F] атака <на п.[C]> на загрузчик GRUB2;
[G] полезная документация.

Схема <BIOS/MBR/1HDD без lvm>:

* шифрование не скрытое;
* Windows 7 установленная — шифрование полное системное;
* GNU/Linux установленная (Debian и производные дистрибутивы) — шифрование полное системное (/, включая /boot; swap);
* независимые загрузчики: загрузчик VeraCrypt установлен в MBR, загрузчик GRUB2 установлен в расширенный раздел;
* установка/переустановка ОС не требуется;
* используемое криптографическое ПО: VeraCrypt, Cryptsetup, GnuPG, Seahorse, GRUB2 – свободное/бесплатное. Читать дальше →
ne555

Microsoft подтвердила наличие (массовой) проблемы с активацией Windows 10

1 неделя 5 дней ago
8 ноября 2018 года произошел централизованный сбой в системе активации ОС Windows 10.
Все началось с того, что относительно небольшое число пользователей стали сообщать о потере активации Windows 10, так как при загрузке ПК они получили уведомление об истекшем ключе и предложении активировать систему. В ряде случаев Windows 10 Pro превратилась в Windows 10 Домашняя.
Проверьте свои лицензии на всякий случай.


Читать дальше →
denis-19

Дорогие курсы: стоит ли оно того?

1 неделя 5 дней ago

В августе Southbridge провели интенсив по Кубернетес Слёрм-1.
В октябре мы его повторили (Слёрм-2) и добавили продвинутый курс (МегаСлёрм).


Удовольствие не из дешевых: Слёрм-2 стоил 35 000 ₽, МегаСлёрм — 75 000 ₽ (онлайн 15 и 35). Я общался с заказчиками, участниками и спикерами, проводил опросы и собирал статистику.


Вот мои наблюдения о том, кто что получил за свои деньги. Многие выводы можно экстраполировать на платные курсы в целом.



1. Слёрм помогает определиться по Кубернетес

Оказалось, понимание «нам подходит Кубернетес» ценнее, чем «мы можем в Кубернетес».


Руководители, отправляя своих инженеров (разработчиков, администраторов) на Слёрм, декларировали: «Пусть пощупает технологию и решит, подходит ли она для наших задач».


Участники Слёрма-1 рассказывали: «После интенсива мы внедрили Кубернетес, теперь я приехал на МегаСлёрм».


3 дня интенсива — в самый раз, чтобы увидеть технологию в полный рост, а не в режиме «Рабинович по мануалам установил». Тут даже вопросов нет, оно того стоит.

Читать дальше →
aSkobin

1C на Proxmox. Общие заметки

1 неделя 5 дней ago
Спустя несколько лет использования 1С в контейнерной виртуализации Proxmox, появилось достаточно набитых шишек, которые оформлю здесь в виде коротких общих заметок по этапам процесса внедрения.

Это не не руководство к действию и не мануал. Если какой-то из пунктов следует расписать более подробно — пожалуйста, не стесняйтесь в комментариях.
Читать дальше →
Louie

Нетипичная организация ВКС в крупной химической компании

1 неделя 5 дней ago


Довольно долго история с ВКС очень напоминала какие-то археологические процессы. Людям «с улицы» довольно тяжело объяснить хотя бы то, зачем нужно покупать сервера для видеоконференцсвязи и какие там сложности внутри организации. Вкратце:

  • Крупные компании любят общаться по видео, причём массово.
  • Они же не любят пускать трафик через любые нешифрованные каналы.
  • Лучше всего, если трафик идёт по своей физической корпоративной сети, не заглядывая в Интернет.
  • Все устройства обработки видеосигнала и его передачи должны быть локальными.
  • На один узел приходит обычно от 10 до 50 видеопотоков (по количеству участников конференции), поэтому нужны промежуточные сервера, которые будут склеивать из них один поток или микшировать как-то иначе.
  • Нужно поддерживать зоопарк устройств и вендоров плюс подключать людей с мобильных телефонов и планшетов.
  • У каждого вендора — свои стандарты, и не поддерживать друг друга — коммерческая позиция.

Сильно легче стало после виртуализации ВКС: в частности, появился Cisco Meeting Server, совместимый не только с Циской, но и со всем, что есть на рынке, кроме особо древних моделей.
Читать дальше →
EDmitriev

Ближайшее будущее NetApp

1 неделя 5 дней ago
Облака, облака и ещё раз облака. Движение в облака, будь то ваше частное облако у вас в ЦОД, приватное облако у провайдера или у публичных провайдеров таких как Amazon AWS, Microsoft Azure, IBM Cloud, Google Cloud, неумолимо. Особенно я это заметил, переехав в США. Здесь о них говорят все и всегда — воздух буквально пропитан этой темой. Производители как программного, так и аппаратного обеспечения прекрасно это поняли и не хотят упустить данное окно возможностей в этом изменяющемся мире.

Читать дальше →
KorP

Приручаем multicast

1 неделя 6 дней ago
Остановимся на анализе мультикаст-трафика через IGMP-протокол. Рассмотрим реализацию работы протокола IGMP, работы протокола PIM, отправки JOIN-запросов. После анализа проблемы была разработана оптимальная конфигурация сетевого оборудования, эффективная настройка QOS. Данная задача появилась после обнаружения проблемы в сети, такой как прерывание сигнала у клиентов, наличие фризов и прерывание звука.

IGMP — Internet Group Management Protocol — это сетевой протокол взаимодействия абонентов мультикаст-трафика и ближайшего к ним сетевого оборудования.

Читать дальше →
catersplay

Microsoft выпустила Linux-версию утилиты ProcDump

2 недели 1 день ago
ProcDump для Linux — реинкарнация классического инструмента ProcDump из комплекта технических средств и утилиты для управления, диагностики, устранения неполадок и мониторинга среды Microsoft Windows.


Читать дальше →
alizar

Для тех, кто выбирает межсетевой экран

2 недели 5 дней ago

Введение
Давным-давно прошли времена, когда единственным средством защиты периметра сети мог быть роутер из старого компьютера с какой-нибудь бесплатной UNIX-like операционной системой, например, FreeBSD и штатным файерволом.

Сегодня системным администраторам доступны как многочисленные специализированные дистрибутивы для установки на сервер, так и готовые программно-аппаратные комплексы.
Читать дальше →
Zyxel_Russia

Построение распределенной VPN сети на базе Check Point. Несколько типовых сценариев

2 недели 5 дней ago


В данной статье мы рассмотрим варианты построения распределенных сетей с помощью Check Point. Я постараюсь описать главные особенности Site-to-Site VPN от Check Point, рассмотрю несколько типовых сценариев, опишу плюсы и минусы каждого из них и попробую рассказать, как можно сэкономить при планировании распределенной VPN сети.

Check Point использует стандартный IPSec
Это первое, что нужно знать про Site-to-Site VPN от Check Point. И этот тезис отвечает на один из самых частый вопросов относительно Check Point VPN:

— Можно ли его “подружить” с другими устройствами?
— Да, можно!
Так называемый 3rd party VPN. Поскольку используется стандартный IPSec, то и VPN можно строить с любым устройством, которое поддерживает IPSec. Лично я пробовал строить VPN с Cisco ASA, Cisco Router, D-Link, Mikrotik, StoneGate. Все работает, хотя и есть некоторые особенности. Главное правильно задать все параметры для первой и второй фазы. Поддерживаемые параметры для IPSec соединения: Читать дальше →
cooper051

[Перевод] KubeDirector — простой способ запускать сложные stateful-приложения в Kubernetes

2 недели 5 дней ago
Прим. перев.: Оригинальная статья написана представителями компании BlueData, основанной выходцами из VMware. Она специализируется на том, чтобы сделать доступнее (проще, быстрее, дешевле) развёртывание решений для Big Data-аналитики и машинного обучения в различных окружениях. Этому призвана способствовать и недавняя инициатива компании под названием BlueK8s, в которой авторы хотят собрать плеяду Open Source-инструментов «для деплоя stateful-приложений и управления ими в Kubernetes». Статья посвящена первому из них — KubeDirector, что, согласно замыслу авторов, помогает энтузиасту в области Big Data, не имеющему специальной подготовки в Kubernetes, разворачивать в K8s приложения типа Spark, Cassandra или Hadoop. Краткая инструкция о том, как это сделать, и приведена в статье. Однако учтите, что у проекта ранний статус готовности — pre-alpha.



KubeDirector — Open Source-проект, созданный для упрощения запуска кластеров из сложных масштабируемых stateful-приложений в Kubernetes. KubeDirector реализован с помощью фреймворка Custom Resource Definition (CRD), использует родные возможности расширения Kubernetes API и опирается на их философию. Такой подход обеспечивает прозрачную интеграцию с управлением пользователей и ресурсов в Kubernetes, а также с существующими клиентами и утилитами. Читать дальше →
shurup

Процессы разработки глазами эксплуатации. Взгляд с другой стороны баррикад

2 недели 5 дней ago


Привет, Хабр! И снова на связи Алексей Приставко.

В отличие от моих прошлых статей, сегодня мы поговорим о людях. Герои дня — служба эксплуатации, чьи интересы я представляю, и служба разработки.

Слаженная работа этих служб — залог успешного запуска и ровного «полёта» создаваемого сервиса. Но, как показывает мой (и не только) опыт, практически ни один проект не обходится без конфликтов и разногласий, жертвой которых становится ни в чем не повинный сервис.

В этой статье я постараюсь ответить на следующие вопросы:

  • Как методы и процессы разработки отражаются на эксплуатации?
  • Что движет каждой стороной конфликта?
  • В чем первопричина разногласий?

Добро пожаловать под кат!
Читать дальше →
Logrann

Рекурсивная маршрутизация в MikroTik через шлюзы назначемые DHCP

3 недели ago
Наиболее часто задаваемый мне вопрос по использованию рекурсивной маршрутизации звучит так: «Что делать, если основной провайдер назначает нам ip-адрес через dhcp, при этом часто изменяется шлюз по-умолчанию?».

image Читать дальше →
nkusnetsov

Red Hat заменяет Docker на Podman

3 недели ago
Понятно, что в настоящий момент страсти вокруг Red Hat имеют совсем другой и весьма глобальный фокус, но мы всё же о своём — локальном и прикладном из мира контейнеров. С начала этого года в Red Hat активно трудятся над заменой для Docker под названием Podman (или libpod). Об этом проекте ещё почему-то не писали на хабре, а ведь сейчас весьма подходящее время для того, чтобы познакомиться с ним, узнать о его истоках и подумать о перспективах. Поехали!

Читать дальше →
shurup

[Перевод] Оптимизируем распределение нагрузки в инфраструктуре Veeam Backup & Replication

3 недели 1 день ago
Мои замечательные коллеги из отдела технической поддержки пишут не только вредные, но также и полезные советы и рекомендации по настройке Veeam Backup & Replication. С момента публикации статьи для начинающих пользователей ее автор, Евгений Иванов, продолжая трудиться вместе с румынской командой в Бухаресте, перешел с поста старшего инженера на должность тим-лида. Но технико-литературное поприще Евгений не оставил, за что ему большое спасибо!
Новая статья Жени содержит рекомендации для уже опытных специалистов по работе с Veeam Backup & Replication, перед которыми стоит задача наиболее эффективно использовать ресурсы инфраструктуры резервного копирования. Впрочем, статья будет полезна и тем, кто только планирует установку и настройку нашего продукта.


Оптимизация распределения нагрузки в теплые ламповые времена

За полезными советами добро пожаловать под кат.
Читать дальше →
polarowl

Интеграция 3CX с 1С: Управление торговлей — метод объединения конфигураций

3 недели 2 дня ago
В прошлой статье мы рассмотрели интеграцию 3CX v15.5 с типовой конфигурацией 1С Управление торговлей, редакция 11 (11.4.3.167) для России. Однако некоторые специалисты в комментариях выразили опасение, что отключение режима совместимости платформы 1С с текущей версией конфигурации Управление торговлей может вызвать различные проблемы у пользователей. Хотя мы не получили информации о каких-либо неполадках, мы подготовили вторую инструкцию, описывающую объединение конфигураций.

Итак, в данный момент мы предлагаем два способа интеграции 3CX c конфигурацией УТ: используя разработанное нами расширение или путем объединения с нашим файлом конфигурации 1С, содержащим необходимые объекты.

Использовать расширение вы можете только, если ваша конфигурация работает в режиме совместимости с платформой 8.3.11 или выше. А вариант объединения конфигураций подойдет для конфигурации любой версии, но сам процесс требует определенных навыков обслуживания 1С: Предприятие. С другой стороны, объединение конфигураций позволяет безопасно подключить интеграцию 3CX с 1C прямо сейчас, не дожидаясь выпуска протестированной версии новой конфигурации от 1С (работающей в режиме совместимости 8.3.11 или выше). Читать дальше →
snezhko

DNS over TLS — Шифруем наши DNS запросы с помощью Stunnel и Lua

3 недели 3 дня ago


источник изображения


DNS (англ. Domain Name System — система доменных имён) — компьютерная распределённая система для получения информации о доменах.

TLS (англ. transport layer security — Протокол защиты транспортного уровня) — обеспечивает защищённую передачу данных между Интернет узлами.

После новости "Google Public DNS тихо включили поддержку DNS over TLS" я решил попробовать его. У меня есть Stunnel который создаст шифрованный TCP туннель. Но программы обычно общаются с DNS по UDP протоколу. Поэтому нам нужен прокси который будет пересылать UDP пакеты в TCP поток и обратно. Мы напишем его на Lua.


Вся разница между TCP и UDP DNS пакетами:


4.2.2. TCP usage
Messages sent over TCP connections use server port 53 (decimal). The message is prefixed with a two byte length field which gives the message length, excluding the two byte length field. This length field allows the low-level processing to assemble a complete message before beginning to parse it.

RFC1035: DOMAIN NAMES — IMPLEMENTATION AND SPECIFICATION


То есть делаем туда:


  1. берём пакет из UDP
  2. добавляем к нему в начале пару байт в которых указан размер этого пакета
  3. отправляем в TCP канал

И в обратную сторону:


  1. читаем из TCP пару байт тем самым получаем размер пакета
  2. читаем пакет из TCP
  3. отправляем его получателю по UDP
Читать дальше →
ivan386

[Перевод] Разворачиваем Kubernetes HA-кластер на Baremetal с помощью Kubeadm и Keepalived (простое руководство)

3 недели 3 дня ago

Эта статья является свободной интерпретацей официального руководства Creating Highly Available Clusters with kubeadm для Stacked control plane nodes. Мне не нравятся сложный язык и примеры использованные в нем, поэтому я написал свое руководство.


Если у вас появятся какие-либо вопросы или вам будет что-то неясно, обратитесь к официальной документации или спросите Google. Все этапы описаны здесь в максимально простой и сдержанной форме.

Читать дальше →
kvaps

Kubernetes tips & tricks: доступ к dev-площадкам

3 недели 4 дня ago
Мы продолжаем серию статей с практическими инструкциями о том, как облегчить жизнь эксплуатации и разработчикам в повседневной работе с Kubernetes. Все они собраны из нашего опыта решения задач от клиентов и со временем улучшались, но по-прежнему не претендуют на идеал — рассматривайте их скорее как идеи и заготовки, предлагайте свои решения и улучшения в комментариях.


На этот раз будут рассмотрены две темы, условно связанные одной темой: доступом пользователей к dev-окружению. Читать дальше →
Wimbo
Выбранный
7 часов 5 минут ago
habrahabr.ru/hub/sys_admin/
Подписаться на лента habrahabr.ru/hub/sys_admin/