Рубрика «Серверное администрирование» - 162

в 5:33, , рубрики: Heartbleed, безопасность, информационная безопасность, Серверное администрирование, Сетевые технологии, уязвимости
Статус «Кровоточащего сердца»: обновление до «Разбитого»

Для сведения: Во многих упоминаниях данной статьи авторы ошибочно называют меня сотрудником Opera Software. На самом деле я ушёл из Opera больше года назад и сегодня работаю в новой компании — Vivaldi Technologies AS

Предыстория

Как я уже рассказывал в моей предыдущей статье, несколько недель назад в библиотеке OpenSSL была обнаружена уязвимость (CVE-2014-0160), получившая громкое название "Heartbleed". Данная уязвимость позволяла злоумышленникам добывать такую важную информацию, как, например, пользовательские пароли или закрытые ключи шифрования сайтов, проникая на уязвимые «защищённые» веб-серверы (поясняющий комикс).

В результате, все затронутые данной напастью веб-сайты должны были пропатчить свои серверы, а также выполнить другие действия, чтобы обезопасить своих пользователей. Стоит отметить, что уровень опасности значительно возрос после того, как информация об уязвимости разлетелась по сети (было зафиксировано несколько серьёзных происшествий и как минимум один человек, пытавшийся использовать Heartbleed в корыстных целях, оказался под арестом).
Читать полностью »

в 12:37, , рубрики: Серверная оптимизация, Серверное администрирование

Приветсвую тебя, дорогой читатель. В этой заметке я хочу поведать тебе, как можно элегантно чистить кэш Varnish. Данная статья описывает, как можно удалять страницы=объекты из кэша, используя их URL адреса.

Читать полностью »

в 6:17, , рубрики: EMC XtremIO, flash, Блог компании КРОК, Накопители, Серверное администрирование, СХД, тестирование

image
Вот так выглядела транспортная коробка, которая к нам приехала. Железка стоит по прайсу как 3-4 квартиры в Москве.

В начале марта мы проводили открытый тест-драйв новой flash СХД от EMC — EMC XtremIO. Система считается одной из самых быстрых в мире СХД. Особенность — inline-дедупликация на борту. Железо дорогое, но как сказал один из наших заказчиков: «Нифига себе, я только на лицензиях буду экономить 3 миллиона долларов в год». Потому что массив позволяет сократиться с 128 ядер до 64, а лицензии часто считаются именно по ядрам. И ещё, особенно интересна система будет тем, кто работает с виртуальными средами, кто ищет способ уменьшить время отклика СХД и у кого есть проблемы с производительностью.

В меню были включены следующие тесты: IOPS 100% read, random 4k; IOPS 50% read 50% write, random 4k; IOPS 100% write, random 4k. Проводились с помощью IOmeter. Еще пробовали систему в боевом режиме, смотрели ее реакцию на отказы компонентов (вытаскивали диск «на живую» под высокой нагрузкой, перезагружали контроллер, отключали питание по одному из вводов, выключали UPS) и пиковую нагрузку.
В общем, было на что посмотреть. Подробности ниже.Читать полностью »

в 13:49, , рубрики: Heartbleed, ilo, информационная безопасность, Серверное администрирование, системное администрирование

Heartbleed не страшен для iLO 2 с точки зрения проникновения в систему, однако, некоторые сканеры этой уязвимости (или попытка её эксплуатации) наглухо вырубают iLO 2 интерфейс у серверов Hewlett Packard.

В пятницу 11 апреля я таким образом потерял доступ к трем сотням серверов с iLO модулями 2-го поколения (iLO интерфейсы публично доступны, т.к. это хостинговые сервера).
Основная масса серверов — это блэйд-сервера, однако «под раздачу» попали и несколько DL серверов.

Ни iLO 3, ни SuperMicro IPMI, ни что-то еще на соседних IP адресах не пострадали.

Симптомы:
1) последняя версия iLO 2 v.2.23 уязвима;
2) пропадает даже PING до iLO 2;
3) корзина (Onboard Administrator) перестает видеть сервер, не знает его тип, не знает его текущее состояние, выделяет питания для него с запасом (внимание! этот момент может повлечь выключение ряда серверов, если включен Dynamic Power Capping);
4) как ни странно, iLO 2 на DL серверах продолжили отвечать на PING, однако это максимум чего от них можно было добиться;
5) перезагрузка сервера средствами OS не приведет его к загрузке, т.к. (видимо) он застревает на стартовой диагностике компонентов;
6) штатный shutdown не помогает — сервер конечно глушится, но iLO 2 не оживает;
7) изнутри работающего сервера (из OS) ни резетнуть, ни пообщаться (через hponcfg например) с модулем iLO 2 невозможно, модуль не отвечает;
8) лечится ситуация ТОЛЬКО полным отключением питания от серверов DL (через управляемые PDU или руками), или чуть более удобно (но фактически с тем же эффектом) для блэйд-серверов командой reset server XX через Onboard Administrator;
9) Cold Restart тоже не помогает.
Читать полностью »

в 12:07, , рубрики: Серверное администрирование

Предыстория

Существует красивое решение для создания надёжного недорогого кластера основанное на DRBD + Proxmox VE. Страница в Wiki проекта Proxmox появилась 11 сентября 2009-го года и создана она была CEO компании Martin-ом Maurer-ом.

Кэш на запись и DRBD: почему полезно знать подноготную

С тех самых пор это решение стало очень популярным, и никто не подозревал, что у этого решения есть скрытый подводный камень. В документации про это не пишут, а те, кто сталкивался с последствиями этой проблемы (например, зависание машины при онлайн миграции с одного хоста на другой), списывали всё на «случай». Кто-то грешил на железо, кто-то на Proxmox, а кто-то на драйверы внутри виртуальной машины. Конечно, хотелось бы, чтобы DRBD сам сообщал о своих проблемах, и, как-то подсознательно веришь в то, что он так и делает. Проверяешь /proc/drbd, видишь строку «cs:Connected ro:Primary/Primary ds:UpToDate/UpToDate» и продолжаешь верить что DRBD не причём.
Читать полностью »

в 22:08, , рубрики: monitoring, идиотизм, ит-инфраструктура, Серверное администрирование, Сетевые технологии, метки: ,

Если вам знакомо то чувство уверенности когда вы знаете что происходит, знаете что всё под контролем, то возможно вам знакомо и чувство когда оказывается что это далеко не так. В этом посте я расскажу о том как я на ровном месте сел в лужу, почему так вышло и какая работа над ошибками была проведена. Речь пойдёт о Quest Foglight и встроенном правиле проверки памяти.

Как можно долго заблуждаться думая что Foglight своевременно сообщит о проблеме с загрузкой памятиЧитать полностью »

в 19:35, , рубрики: Серверное администрирование

В статье с кучей копипасты рассматривается настройка сервера электронной почты, построенного на базе связки exim и dbmail с хранением данных в postgreSQL.
Читать полностью »

в 4:31, , рубрики: Серверное администрирование

Я решил сделать дисковый массив на платформе Intel Atom D410PT. Это материнская плата с пассивным охлаждением процессора, два слота памяти (максимум 4Gb), один слот PCI (который я использовал для контроллера SATA SiliconImage 3512 — 2x1.5Gb/s), 2 SATA (3.0Gb/s) разъема, LAN 100mb/s, и многочисленными USB 2.0 портами (в том числе и на самой материнской плате).
Сама плата поместилась легко в корпус NaviPower PIX-1001 230W. Полное описание моих действий с железом я разместил на своем сайте.

Соответственно, т.к. было решено использовать 4 диска для создания RAID5 массива, то логично вырисовалось решение вынести операционную систему на внешний USB носитель (в моем случае USB HDD Seagate Freeagent GoFlex). Так как установка и настройка системы «с нуля» является зачастую долгим и кропотливым занятием, то я решил что система будет лежать на внешнем диске в контейнере VHDX, а так как материнка поддерживает UEFI, то соответственно и загрузка должна идти используя UEFI. Основная проблема была в том, что в интернете нет понятной инструкции, как это сделать. Вся информация очень разрознена, и описываются только части решения этой задачи.

Читать полностью »

в 15:56, , рубрики: hp proliant, raid, ит-инфраструктура, Серверное администрирование, системное администрирование

image

Производить конвертацию мы будем на сервере HP Proliant DL160 G8 с обычным разбиением по разделам (не lvm). Т.е. диски sda1...sda8, каждый из которых примонтирован в определенный каталог. В случае с lvm процесс немного легче и удобнее. Статья должна подойти для любого hp-сервера, в котором используется официальная утилита hpacucli. В данном примере у нас CentOS 6.5, но подойдет любой Linux, поддерживаемый hpacucli.
Читать полностью »

в 3:40, , рубрики: best practices, антивирусы, информационная безопасность, сервера, Серверное администрирование, системное администрирование, метки: , ,

Недавно представители ИТ-индустрии озадачили меня, сказав следующее: на серверах не должно быть антивирусов, мы позволяем вам их туда ставить только потому что вы, безопасники, не обладаете нужной квалификацией для создания чистой экосистемы.

При этом оппоненту было разъяснено, что все только за:

  • оценку влияния антивируса на быстродействие и работоспособность критичных систем и разработку оптимальных схем защиты;
  • применение различных техник снижения рисков, так как антивирус не истина в последней инстанции;
  • полноценный и непредвзятый анализ ситуации;
  • проведение конструктивных диалогов с администраторами, выяснение потребностей и обозначение проблем.

Следует отметить, что речь идет о серверах с операционными системами от 2000 Server и выше.

Для лучшего понимания сути вопроса предлагаю небольшую картинку. Также предлагаю озвучить ваше мнение, отметившись в опросе, расположенном ниже.
Читать полностью »

1...1020...161162163...170180...183
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js