Piszki Lab

Analiza przypadku w języku przodków…

09.10.2013
by Piotr Pisz
0 comments

NAS w domu, suplement.

Kwestie bezpieczeństwa.

Mój Synology jest od dłuższego czasu wystawiony w strefie DMZ bezpośrednio do Internetu. Korzystam z praktycznie wszystkich elementów sieciowych jakie udostępnia DSM 4.3 i muszę przyznać, że poziom zabezpieczeń jest zadowalający. Z jednym wyjątkiem, ale o tym za chwilę. Czasy mamy takie, że Internet od dawna nie jest miłym i spokojnym jeziorkiem, to raczej czarny ocean z wielkimi falami przyboju. Wystawianie czegokolwiek na zewnątrz wiąże się ze sporym ryzykiem o ile nie posiadamy trochę doświadczenia, odpowiednich narzędzi, oraz sporej dawki szczęścia.

Gdy wystawiamy “pudełkowe” rozwiązanie, ryzyko jest jeszcze większe. Z jednej strony producent dba o bezpieczeństwo, z drugiej mamy tylko te narzędzia, które on nam daje. W przypadku DSM 4.3 mamy jedno całkiem fajne rozwiązanie i drugie, które jest mniej fajne. Pierwszym jest możliwość automatycznego blokowania hostów z których podejmowane są (nieudane) próby logowania do systemu (ataki na pocztę, ssh). Jest to troszkę uproszczone rozwiązanie rodem z DenyHost, działa bardzo prosto, dodaje hosty do pliku host.deny, w pełni konfigurowalne i zadziwiająco skuteczne.

blokowanie

Continue Reading →

10.09.2013
by Piotr Pisz
0 comments

SCEP w środowisku Horizon View

Zacznę od truizmu, uruchamianie środowiska VMware bez własnego Urzędu Certyfikacji, jest bez sensu. Samo podpisane certyfikaty to same problemy, w bardziej rozbudowanych konfiguracjach wręcz blokujące dalszą rozbudowę środowiska. Jeżeli w naszym środowisku opieramy się o domenę Active Directory Microsoftu, wtedy też najlepiej jest korzystać z CA dostarczanego z Windows Server (w naszym przypadku, 2008 R2).

Instalując i konfigurując środowisko View, prędzej czy później dojdziemy do momentu, od którego najlepiej by było, aby wszystkie sprzętowe terminale miały wystawiane własne certyfikaty. W tym wpisie podam sposób uruchomienia całości dla terminali z procesorem PCoIP firmy Teradici (w naszym przypadku HP t310). Zrobimy to za pomocą protokołu Simple Certificate Enrollment Protocol oraz dla ułatwienia, konsoli zarządzającej terminalami (Teradici PCoIP Management Console).

Implementacja protokołu SCEP według Microsoftu to Network Device Enrollment Service (NDES). Jest to rola Active Directory Certificate Service, zgodnie z dokumentacją, rola ta, powinna być instalowana na innym serwerze niż serwer główny CA (Enterprise). Najlepiej i najprościej jest doinstalować tę rolę do serwera DHCP obsługującego terminale. Instalacja NDES jest opisana tu i tu, i jak widać, jest bardzo prosta.

Continue Reading →

02.09.2013
by Piotr Pisz
0 comments

Bez paniki, czyli “contact EMC Support immediately”.

EMC Avamar to bardzo dobre, praktycznie bezobsługowe rozwiązanie do backupu. W naszym przypadku mamy wersję 6.1 Virtual Edition spiętą bezpośrednio z Data Domain 640. Przy takiej konfiguracji Avamar jedynie zajmuje się przechowywaniem informacji o kopiach, całą resztę (czyli przechowywanie danych) „zwala” na DD. Dzisiejszego ranka konsola Avamara przywitała nas następującym komunikatem:

avamar_error1

avamar_error2

Event Code: 22426 Category: SYSTEM Severity: SYSTEM_FATAL Summary: A data integrity has been detected (czyli nie za wesoło).

Problem jest na tyle poważny, że ten alert można wyłączyć jedynie za pomocą kodu podawanego telefonicznie przez support. Jest to o tyle irytujące, że praktycznie uniemożliwia korzystanie z konsoli (ale od czego mamy linię poleceń). Na szczęście w naszym przypadku na wewnętrznym dysku nie leży nic ważnego, dlatego można taki błąd “przepchnąć”, poprzez wykonanie kolejnych migawek (w tym przynajmniej jednej w pełni zweryfikowanej). Postępując zgodnie z dokumentacją, wykonujemy następujące polecenia:

delete_checkpoint

Problem znika (bez wzywania pomocy). I jak się okazało po fakcie, sprawcami błędu byli sieciowcy, ale szczegóły tarć między działowych to temat na innego bloga ;)

31.08.2013
by Piotr Pisz
4 komentarze

Serwer w domu, czyli czemu jednak NAS

Mam za sobą długą drogę testowania w domu różnych rozwiązań i koncepcji, budowania mniejszych i większych “laboratoriów”. W końcu z wielu względów mieszkaniowych, finansowych, ideologicznych i praktycznych wybrałem ostatecznie NAS, w tym wypadku jest to Synology DS 213j.

ds213j

I powiem szczerze jestem zachwycony, wcześniej przez prawie rok testowałem na małym komputerku z Pentium 4, 4GB ram i terabajtowym dyskiem różne rozwiązania. Od zwykłej dystrybucji Linuxa (nie będę ukrywał, pozostanę wierny Debianowi), po Microsoft Home Server 2011 (oraz Microsoft Server 2012 Essentials) oraz rozwiązania oparte na darmowych dystrybucjach typu NAS (FreeNAS i inne).

Continue Reading →