Как стать автором
Поиск
Написать публикацию
Обновить
37
Карма
0.4
Рейтинг
@navion

Пользователь

Отправить сообщение
Профиль Публикации 17Комментарии 7.8KЗакладки 2.1K

Продлеваем сертификаты vCenter правильно

Время на прочтение5 мин
Количество просмотров16K
Системное администрирование*Виртуализация*

TL;DR: Тут описано продление внутренних сертификатов VMware vCenter Server до 10 лет с корректными данными в CN, а также vcert, lsdoctor и vdt.

Наверное все администраторы VMware vSphere слышали про проблему с истечением двухлетнего сертификата STS, который используется для выпуска SAML-токенов и от него зависит взаимная аутентификация всех сервисов внутри vCenter Server.

Похоже разработчкики решили внедрить рекомендации CA/B Forum по сокращению сроков действия сертификатов, но слишком широко применили политику.

Пострадавшие запускали fixsts и certificate-manager из KB76719 для восстановления доступа к инфраструктуре и забывали об этом ещё на 2 года.

Но решение оказалось неполным и не совсем корректным:

Читать далее
Всего голосов 1: ↑1 и ↓0+1
Комментарии9

«Clock Signal Component Issue» или снова массовый брак в устройствах Cisco

Время на прочтение2 мин
Количество просмотров9.7K
Системное администрирование*Cisco*Сетевые технологии*
Несколько лет назад JDima писал про брак у одного из поставщиков памяти для сетевых устройств Cisco, приводивший к их ранней кончине.

Сейчас обнаружилась проблема с компонентом тактового генератора (Clock Signal Component), который может преждевременно выйти из строя после 18 месяцев эксплуатации и устройство перестанет загружаться.

Проблема затронула:


При наличии гарантии или контракта, действовавших на 16 ноября 2016 года, можно обратиться в TAC для проактивной замены устройства, приоритет будет отдаваться устройствам с большей наработкой. Подробное описание и FAQ: Clock Signal Component Issue
Читать дальше →
Всего голосов 12: ↑12 и ↓0+12
Комментарии16

Осторожно: HSTS

Время на прочтение3 мин
Количество просмотров91K
Системное администрирование*Сетевые технологии*
Про HSTS на Хабре уже писали, этот механизм включен в генераторе конфигов для веб-серверов от Mozilla. Написать этот пост я решил за один день столкнувшись с недоступность сразу двух крупных сайтов из-за HSTS.

TL;DR
Тщательно проверяйте работу сайта по TLS перед включением HSTS, особенно если это большой портал с кучей субдоменов и управляемый разными людьми.

Что такое HSTS?


HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками. Стандарт описан в RFC6797, а политики бывают двух видов:

Динамические


Политика применяется из HTTP-заголовка Strict-Transport-Security при первом заходе на сайт по HTTPS, в нём указан срок действия и применимость к субдоменам:

Strict-Transport-Security: max-age=15768000; includeSubDomains;

Статические


Статические политики захардкожены в браузер и для некоторых сайтов включает привязку к вышестоящему CA, выпустевшему сертификат (например: google.com, paypal.com или torproject.org). Причем она может действовать только когда сайт открыт через TLS, разрешая незащищённое соединение, но блокируя MitM с подменой сертификата.

Список из Chromium используют все популярные браузеры (Firefox, Safari и IE 11+Edge) и добавить в него сайт может любой желающий, если веб-сервер отдаёт заголовок Strict-Transport-Security со сроком действия от двух лет и ключевым словом preload в конце:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Читать дальше →
Всего голосов 30: ↑27 и ↓3+24
Комментарии16

Неожиданная особенность проверки сертификатов в Windows

Время на прочтение2 мин
Количество просмотров29K
Системное администрирование*
Немного затянул с публикацией, но лучше поздно чем никогда. В начале рабочей недели появились задержки при подключении по RDP ко всем компьютерам, оно подвисало на несколько секунд в стадии «Securing remote connection...», которая отвечает за установку шифрованного канала для безопасной передачи реквизитов.

TL;DR
При истечении срока действия CTL и недоступности ctldl.windowsupdate.com возможны задержки при установке SSL-соединений, старайтесь этого избегать.

Так как для RDS используются сертификаты от внутреннего CA и уже когда-то забыв обновить CRL корневого офлайнового CA решил проверить его здоровье в pkiview.msc.

Оснастка показала, что всё OK, но напротив обоих CA несколько секунд держался статус Verifying, что странно, так как все данные для проверки доступны внутри домена через LDAP и HTTP. Проверка через certutil -verify также подвисала на 10-15 секунд в стадии CERT_CHAIN_POLICY_BASE, причем с любыми сертификатами — не только от внутренних, но и от внешних CA (StartCom, Comodo и т.д.).
Читать дальше →
Всего голосов 26: ↑24 и ↓2+22
Комментарии12

KB3145126 для Windows Server 2008 R2 ломает DNS-сервер

Время на прочтение1 мин
Количество просмотров23K
Системное администрирование*
Никогда не было, и вот опять Microsoft выпустили непротестированное обновление с критическим багом.

На этот раз пострадал DNS-сервер из состава Windows Server 2008 R2, который падает и больше не поднимается после установки KB3145126 из майского Patch Tuesday, а в журнале событий появляются сообщений вида:
Faulting application name: dns.exe, version: 6.1.7601.23375, time stamp: 0x56e06454
Faulting module name: dns.exe, version: 6.1.7601.23375, time stamp: 0x56e06454
Exception code: 0xc0000005

Лечится удалением этого патча командой wusa.exe /uninstall /kb:3145126 с последующей перегрузкой.

Update: Проблема оказалась в использовании CNAME для корневых записей "@" в конфигурации DNS-зон. Определить такие настройки поможет скрипт из KB2647170, который надо запускать при работающей службе DNS Server. Некорректные записи можно исправить в оснастке dnsmgmt.msc или удалить командой «DNSCMD /recorddelete DNS <имя зоны> @ cname» перед установкой KB3145126.
Читать дальше →
Всего голосов 12: ↑12 и ↓0+12
Комментарии19

Критическая уязвимость в Cisco ASA

Время на прочтение2 мин
Количество просмотров30K
Информационная безопасность*
В операционной системе Cisco ASA обнаружена критическая узявимость CVE-2016-1287 в реализации протокола Internet Key Exchange (IKE) версии 1 и 2, позволяющая выполнять произвольный код или удалённо перезагрузить устройство специально сформированным UDP-пакетом. Ей присвоен наивысший уровень опасности.

Технический обзор и примеры эксплуатации:
blog.exodusintel.com/2016/02/10/firewall-hacking
Читать дальше →
Всего голосов 17: ↑17 и ↓0+17
Комментарии10

Интерактивная карта внедрения IPv6

Время на прочтение1 мин
Количество просмотров13K
Cisco*Сетевые технологии*IPv6*
Компания Cisco запустила интерактивную карту, показывающую процент внедрения IPv6 в различных странах:


Читать дальше →
Всего голосов 14: ↑11 и ↓3+8
Комментарии29

Windows 8 RTM выйдет в первую неделю августа!

Время на прочтение1 мин
Количество просмотров3.9K
Софт
На международной конференции для партнёров было объявлено, что финальная (RTM) версия Windows 8 станет доступна в первую неделю августа. Доступ к ней получат партнёры, клиенты с действующим контрактом Software Assurance, а также разработчики и специалисты с подписками MSDN/TechNet.
Вместе с выходом RTM, у разработчиков появится возможность размещать платные приложения в Windows Store.

Для конечных пользователей операционная система будет доступна с октября. Владельцы предыдущих версий Windows смогут обновиться за $40, а купившие Windows 7 после второго июня 2012 всего за $15.
Всего голосов 48: ↑42 и ↓6+36
Комментарии89

Windows 8 Release Preview в первую неделю июня

Время на прочтение1 мин
Количество просмотров1.4K
Софт
В рамках конференции Windows Developer Days в Японии корпорация Microsoft официально анонсировала выход Windows 8 Release Preview в первой неделе июня.
В привычной классификации Release Preview является релиз кандидатом, который включит весь функционал финальной версии, а также исправления, внесённые с момента выхода Consumer Preview в марте.
Читать дальше →
Всего голосов 103: ↑78 и ↓25+53
Комментарии17

Дистрибутивы, обновления и errata для Oracle Linux теперь доступны бесплатно

Время на прочтение1 мин
Количество просмотров4.8K
Настройка Linux*Системное администрирование*
Вместе с заявлением о сертификации некоторых своих приложений на платформе RHEL 6 и Oracle Linux 6, корпорация Oracle объявила об о том, что с текущего момента дистрибутивы, обновления и errata для Oracle Linux доступны бесплатно, в том числе для использования в производственной среде.

Oracle Linux собирается из исходных кодов RHEL и полностью с ним совместим, важными преимуществами перед CentOS и Scientific Linux является поддержка со стороны производителей железа и сроки выхода обновлений, которые выпускают практически одновременно с Red Hat.
Раньше для оперативного получения обновлений, вы должны были иметь действующий контракт на поддержку, стоивший $119 в год у Oracle либо от $349 в год у Red Hat (2 сокета, с ограничением на 1 гостевую систему).

Читать дальше →
Всего голосов 9: ↑6 и ↓3+3
Комментарии11

Официально представлены процессоры Xeon E5 и серверы на них от крупнейших производителей

Время на прочтение2 мин
Количество просмотров8K
Серверное администрирование*
6 марта 2012 года корпорация Intel официально представила процессоры Xeon E5-2600 и E5-1600, заменяющие Xeon 5600. В новых моделях увеличено количество ядер до 8 и объем поддерживаемой оперативной памяти составляет 384 ГБ на процессор при использовании модулей LRDIMM. Главное отличие E5-1600 от E5-2600 заключается в отсутствии поддержки многопроцессорных конфигураций у младшей серии.

В новую линейку на архитектуре Sandy Bridge-EP вошли 29 моделей от 2 до 8 ядер, частотой от 1.8 до 3.6 ГГц и TDP от 60 до 150 Вт:
Читать дальше →
Всего голосов 25: ↑24 и ↓1+23
Комментарии22

Пополнение в линейке ASA

Время на прочтение1 мин
Количество просмотров6.7K
Cisco*Сетевые технологии*
27 февраля 2012 на конференции RSA Conference, Cisco Systems анонсировала обновление линейки межсетевых экранов Cisco ASA, её дополнят 5 новых моделей: 5512-X, 5515-X, 5525-X, 5545-X и 5555-X.

В качестве основных нововведений, заявляется:
  • Четырёхкратный рост производительности, пропускная способность МСЭ составляет 1 — 4 Гбит/с, 250 Мбит/с — 1,3 Гбит/с для IPS и 200 — 700 Мбит/с для VPN
  • Монолитное шасси, включающее модули ускорения и расширения — дополнительные функции активируются программным ключем
  • Переход на 64-разрядную архитектуру с оптимизацией под многоядерные процессоры и возможностью запуска дополнительных сервисов в будущем с помощью обновления ПО

Дата прекращения поддержи текущих моделей (ASA 5505, 5510, 5520, 5540 и 5550) не сообщается.
Читать дальше →
Всего голосов 8: ↑6 и ↓2+4
Комментарии3

Открыт предзаказ на µTorrent Plus

Время на прочтение1 мин
Количество просмотров2.5K
Децентрализованные сети*
Несколько часов назад пришло письмо, сообщающее об открытии предзаказа на µTorrent Plus, из основных отличий от бесплатной версии, заявлено следующее:

1) Встроенный антивирус
2) Медиаплеер
3) Конвертер для Android, Apple, PS3 и прочих устройств
4) Удалённое управление клиентом

Цена составляет $24.95 в год, для предзаказчиков предлагается скидка в $5. Немного удивила премодерация заказов — после заполнения формы, выдаётся номер заказа с пометкой о том, что он будет проверен в течении 24 часов.
Всего голосов 14: ↑10 и ↓4+6
Комментарии32

Почтовые ящики для стандартных сервисов, ролей и функций

Время на прочтение2 мин
Количество просмотров11K
Системное администрирование*
Недавно столкнулся с неприятной ситуацией — почтовый сервер попал в спам-листы. Дыру быстро нашли и залатали, но компания Oracle уже занесла наш сервер в свой черный список, причем блокировали нас ещё на стадии соединения.
Возник вопрос — куда писать? На сайте была только форма для клиентов, support@oracle.com предназначался для них же.
После недолгих раздумий, появилась мысль — а нет ли стандарта, определяющего почтовые адреса по которым надо писать в таком случае? Оказалось, что есть и описан он в RFC 2142.

Самое интересное содержится в таблицах, которые приведены ниже.
Читать дальше →
Всего голосов 65: ↑56 и ↓9+47
Комментарии34

Особенности использования клавиатуры Apple под Windows

Время на прочтение2 мин
Количество просмотров93K
IT-компании
Клавиатура от Apple была приобретена для использования с хакинтошем, но с OS X в тот момент не срослось и основной системой для меня осталась Windows. Но не все так просто, как оказалось, работа под Windows собпряжена с несколькими проблемами:
1) Для вызова клавиш F2-F12, требется зажатие модификатора (Fn).
2) Раскладка на клавиатуре не совпадает с системной (коды клавиш используются стандартные).
3) Некоторые клавиши в принципе не работали (например, PrintScreen).

Установка Boot Camp решала первую проблему и даже клавиша выброса диска заработала, но появились неприятные фризы при старте системы и проблему раскладки она не решала. После недолгих копаний, был найден ключ реестра, отвечающий за работу функциональных клавиш и программа, позволяющая редактировать раскладки.
Результатом этого стал данный установщик, в котором содержится:
  • Драйвер от Apple из дистрибутива Mac OS X Leopard 10.5.4
  • Файл реестра, изменяющий параметр, ответсвенный за клавиши F2-F12
  • Установщики раскладок клавиатуры (для русского и английского языков)

Продолжение под катом
Всего голосов 42: ↑36 и ↓6+30
Комментарии67

Информация

В рейтинге
1 660-й
Откуда
Москва, Москва и Московская обл., Россия
Зарегистрирован
Активность

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr