Интересно, а у кого-нибудь получилось строго с помощью какой-нибудь ИИшечки собрать аналогичную ИИшечку ?

Разумеется, ограничение на длину промпта и вывода не позволит сделать это за раз в любом случае, но ведь ИИ может разбить задачу на части, а потом реализовать их по частям же.

Второй сложный момент - ИИ нуждается в обучении, так что втупую 1-в-1 получить просто невозможно. Но тем не менее, грубо сравнить эффективность можно будет.

Некоторые несознательные граждане порой жалуются на то, что общение с техподдержкой облачной почты приносит им только боль и страдание, цитирую: "опустилась вконец и ничем кроме копипасты из мануала не отвечает".

Ну вот у меня есть свежий, с пылу, с жару, пример общения с поддержкой mail.ru, коим и хочу поделиться с общественностью.

Итак, есть костыль-автоматизация: скрипт по расписанию делает что-то важное и результат работы отправляет клиенту в личную почту (на mail.ru) через отдельно заведённый адрес в яндексе, и клиент сам осуществляет мониторинг. Ну, захотелось клиенту вот так.

И вот сегодня клиент жалуется, что ему привычных писем не пришло, и значит снова в поход уходит рота солдат грустный админ.

Очень быстро выяснилось, что скрипт по расписанию отработал штатно, отправил письма с ящика в яндексе куда следует, но mail.ru их не принял, сославшись на то, что это спам, и прислал по этому поводу вот такой отлуп:
[стрААААшные аглицкие буквоцифры в количествах !]

Недоставленное сообщение

mailer-daemon@yandex.ru
mailer-daemon@yandex.ru

**текст исходного письма**

Это письмо отправлено почтовым сервером mail.yandex.net.

К сожалению, мы вынуждены сообщить Вам о том, что Ваше письмо не может
быть отправлено одному или нескольким адресатам. Технические подробности можно найти ниже.

Возможные причины недоставки указаны по адресу:
https://yandex.ru/support/mail-new/wizard/zout_send/not-got-report-yes-other.html

Пожалуйста, не отвечайте на это сообщение.

**********

This is the mail system at host mail.yandex.net.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

You can find the the possible reasons of the undelivered message letter here:
https://yandex.com/support/mail-new/wizard/zout_send/not-got-report-yes-other.html

Please, do not reply to this message.


<получатель@mail.ru>: host mxs.mail.ru[94.100.180.31] said: 550 spam message
rejected. Please visit
https://help.mail.ru/notspam-support/id?c=E5Rc6z7MfwQ7Q2JCQNAKGYJiIpdcbu65Yy8QrxvhYwEMAAAAJ-MBAFr0gDg~
or report details to abuse@corp.mail.ru. Error code:
EB5C9413047FCC3E426243B19AD0409726282B9EE6E5CAF102F630163E11B. ID:
000000C0001327380F4A. (in reply to end of DATA command)

Reporting-MTA: dns; forward500d.mail.yandex.net
X-Yandex-Queue-ID: D8B4836E
X-Yandex-Sender: rfc822; отправитель@yandex.ru

Final-Recipient: rfc822; получатель@mail.ru
Original-Recipient: rfc822;получатель@mail.ru
Action: failed
Status: 5.0.0
Remote-MTA: dns; mxs.mail.ru
Diagnostic-Code: smtp; 550 spam message rejected. Please visit
https://help.mail.ru/notspam-support/id?c=E5Rc6z7MfQ7QJCQAKGJiIdcb65Y8QrvhYEMAAJ-MAFrgDg~
or report details to abuse@corp.mail.ru. Error code:
EB5C9413047FCC3E426243B19AD0409726282B9EE6E5CAF102F630163E11B. ID:
000000C0001327380F4A.

Help: Please visit https://yandex.ru/support/mail-new/wizard/zout_send/not-got-report-yes-other/message-rejected-under-suspicion-of-spam.html

Ну я согласен конечно, что тут много страшных букв на буржуинском, и можно даже поначалу испугаться. Вот скажите честно, неужели сложно догадаться, что надо попробовать пройти по предложенной ссылке ? А там, опа-опа-опа, оказывается форма отправки сообщения поддержке mail.ru по поводу этого безобразия. Вот админу это почему-то оказалось совсем не сложно, уж даже не знаю почему.

Написал он, значица, туда письмо, указал свой контактный email и пошёл другими делами заниматься. Общеизвестно жи, что техподдержка mail.ru на любой вопрос по неделе отвечает.

И вдруг буквально через полчаса в почте письмо:
[Разумеется, копипаста из мануала. Ведь всегда же так и никак иначе быть просто не может.]

Служба поддержки Mail
Re: [Ticket#18721S23600785946] Мои письма воспринимаются как спам

Здравствуйте.

Извините за неудобства. Проблема была на нашей стороне, сейчас она исправлена — проверьте, пожалуйста, доставляемость писем через 10 минут.

Отметим, что ранее заблокированные/попавшие в папку спам письма не могут изменить свой статус. При необходимости вы можете отправить их повторно.

Для обеспечения стабильной доставляемости писем мы рекомендуем придерживаться правил отправки писем на Mail:
https://help.mail.ru/developers/mailing_rules/

С уважением, Роберт Б.
Abuse Team Mail

Да как так-то ? Да что это вообще происходит ? Что, что админ сделал не так, а ? Почему ему ответили мгновенно и по существу, а ? Как теперь вообще жидь ?

Прекрасная история в ленте:

Неделю назад сына попытались развести какие-то мошенники. Позвонили, представились сотрудниками школы, в которой он учится, и прислали ссылку на фейковый сайт, имитирующий госуслуги. Благо, сын у меня опытный и проинструктированный, и на этом развод для него закончился.

Я подумал, что надо как-то сообщить об этом, и пошёл писать обращение в Роскомнадзор. Оказывается, что они, сука, вообще никак не занимаются интернет-мошенниками. Понятно, что искать их должна полиция, но я надеялся, что они хотя бы оперативно грохнут сайт. Так вот — нихрена, вчера пришёл ответ на обращение: «Благодарим Вас за активную гражданскую позицию, однако сообщаем, что указанный в Вашем обращении адрес ... не содержит информации, предусмотренной частью 5 статьи 15.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».»

То есть, там нет порнухи, азартных игр, продаж алкоголя, рассказов про самоубийства и т.д. А то, что какие-то хохлы пытались развести моего несовершеннолетнего сына на разговор с хохло-вербовщиком, который скорее всего попытался бы подбить его на поджигание какой-нибудь релейки на железной дороге — так это, с точки зрения РосКомНадзора богоугодное дело. Тем более, что на сайте про это прямо ничего не сказано, там было только сообщение, что «ваш пароль к ГосУслугам украден, для восстановления позвоните по вот этим мутным телефонам».

(c) https://vladimir-akinin.livejournal.com/66683.html

И тут надо вспомнить, что РКН изначально создавался под предлогом защиты детей в интернете. По СМИ расползались слезливые истории о том, как бедные нищасные дети страдают без защиты и потому всякое нехорошее надо запретить, и вот именно РКН и будет стоят на страже и запрещать всякое нехорошее.

И вот с момента создания прошло уже 17 лет, и вот он ребёнок, нуждающийся в защите в интернете и что делает РКН ? Правильно, отмазывается от выполнения своей прямой работы "у меня лапки, я не могу".

В этом нет ничего нового, разумеется, см. эпиграф. Но я каждый, каждый раз удивляюсь воплам сограждан на предмет "произошло что-то нехорошее - государство немедленно должно что-то-там запретить, чтобы нас защитить !". Каждый раз.

Ну вы оглянитесь вокруг, полюбуйтесь, как эффективно государство защищает вас своими многочисленными запретами, а ? Но нет, оглядываться они не желают, ВНПЭД.

Update Комментаторы поправляют:
"Само ведомство старое, оно со времён Горбачёва существует, когда и тырнетов-то не было ещё. Вышеуказанным законом на сие ведомство повесили новые обязанности по контролю за Тырнетом (типа, тырнет-ресурсы — тоже СМИ, и в этом есть логика), а также контролем за соблюдением законодательства о персональных данных, но с нуля не создавали. "

Три, три рабочих дня я ломал голову, почему рабочий скрипт перестал удалять старые бэкапы. Точнее, проблема возникла сильно раньше, но была несрочной, а тут вдруг припёрло. Не руками же удалять, в самом деле.

В ощщем, опуская очень долгий и очень нудный поиск по тырнету, сразу к найденному мной результату: если операция отбора папок или файлов используется в корне (корне диска или корне шары - это важно !), то вот так

Get-ChildItem 'c:\' -exclude '_*'

оно не работает, и вот так

Get-ChildItem '\\server\share$\' -exclude '_*'

оно тоже не работает. Ну то есть ошибки не выдаёт, но и ничего полезного тоже не выдаёт.

А вот так

Get-ChildItem '\\server\share$\folder\' -exclude '_*'

оно работать будет. Ну и без '-exclude' тоже работать будет, ага.

Почему ? Патамушто. Патамушто погромистов не порют на конюшнях по выходным, вот почему.
В документации, разумеется, это не описано от слова "совсем".

И потому при работе в корне (диска или шары) нужно использовать другой командлет, "Get-Item", вот так:

Get-Item 'c:\*' -exclude '_*'

или так:

Get-Item '\\server\share$\*' -exclude '_*'

Командлет сей появился только в PS 5, стоит иметь в виду.

Краткий итог по полученным ответам на задачу про место:
- среди вас есть те, кто умеет в обслуживание баз данных
- среди вас есть немножко тех, кто умеет в обслуживание инфраструктуры
- среди вас вовсе нет тех, кто плотно занимался обслуживанием баз 1с

Сама задача, при всей простоте, разумеется содержала немножечко подвохов с тройным дном, кудаж без них. Вот мы их сейчас и разберём подробно.

Подвох 1 - рост базы. Это увидели почти все, но далеко не все сумели достоверно оценить этот рост. Если за 2 года база выросла с нуля до 100 Гб, то это вовсе не значит, что она растёт со скоростью 50 Гб в год. Вовсе нет, база выросла не с нуля. Она выросла из предыдущих баз, в задаче было специально это оговорено. Так что реальный рост базы - 30-40 Гб в год.
И вовсе уж нелепым выглядит предположение про экспоненциальный рост - такого я не видел в 1с нигде и никогда.

Подвох 2 - бэкап. Про него говорили почти все, но... Но прочитайте ещё раз условие задачи - вопрос про объём диска на сервере СУБД. А бэкап вовсе даже не обязательно хранить на самом сервере СУБД, его можно хранить на соседнем сервере или хранилище или ещё где. Так что оговорить про него обязательно нужно - но вовсе не в сумме с остальным общим местом, а отдельно.
И да, бэкап весит совсем даже не как база. Он неплохо сжимается силами СУБД. Раз так в 8-10, плюс-минус. И тестовую базу, кстати, тоже нужно бэкапить. Ничего такого никто не сказал. Фу быть такими.

Подвох 3 - файловая система. Про это вспомнили некоторые, и даже почти правильные цифры говорили. 20% места должно быть свободно.

Подвох 4 - операционная система. Про это забыли все. Кое-то может сказать, что он включил в раздел "накладные расходы файловой системы", но меня не проведёшь я вас насквозь вижу (с). Забыли, как есть забыли. Стыд-позор, товарищи одмины. 60-70 Гб для современных систем вынь-да-положь, ага.

Подвох 5 - тестовые базы. Да, в условиях задачи она одна, но кто сказал, что именно так и останется на новом сервере ? Ох-хо-хо, да она одна была только потому, что сервер старый, медленный и места там нет (со старыми серверами всегда так). А на новом быстром - новые тестовые базы будут возникать по штуке в квартал, я гарантирую это. Так что в среднем надо исходить из 5 тестовых баз, и то, при ежеквартальном суровом аудите.

Итого.
60 Гб под систему
6 штук баз, каждая весит 190-220 Гб через 3 года / 250-300 Гб через 5 лет
+20% под файловую систему
+20% запаса; конкретная цифра - это вкусовщина и скорее всего будет разной в разных ситуациях.

Таким образом получаем 1700-1900 Гб через 3 года и 2100-2600 Гб через 5 лет.

Всем понравилось обсуждать чужие косяки, так что пора переходить на самообслуживание - обсудим ваши косяки :)

Судя по задаваемым вопросам и самоуверенным ответам, некоторая часть комментаторов очень далека от реалий работы в 1с и очень смутно себе представляет за потребное место для баз. Так что вот вам задачка, приближенная к реальности.

Итак, к вам пришли 1с-ники и зовут вас к своему клиенту. У клиента 2 года назад они начали внедрять новую единую базу (например, КА или ЕРП) взамен старых баз и постепенно клиент пришёл к тому, что ему нужен новый сервер под неё. Местные админы делами СУБД не занимаются и что там происходит - не знают. Сейчас прод-база занимает 100 Гб (+100 Гб тестовая копия прода, в которой ковыряются и что-то регулярно тестируют эти самые 1с-ники). Никакой больше информации нет, ответ нужно давать прямо сейчас.

Нужно оценить, сколько места потребуется под виртуальный сервер СУБД (исключим нюансы физики), так чтобы хватало
а) на 3 года вперёд
б) на 5 лет вперёд

Ответ подробно объяснить.

Свой ответ я дам в пятницу вечером.

Update А вот и ответы с подробным объяснением.

У нового клиента есть 1C-ERP, а в ей беда - база большая (сотни Гб) и при ежемесячных пересчётах своих унутренних отчётов постоянно норовит разрастись в полтора-два раза. Про лог файл и речи нет - пухнет, подлец, при каждом удобном случае.

Ну, с базой-то одмины поступили просто - создали задание "сжиматься раз в неделю" (угадайте с трёх раз, жаловались ли пользователи на тормоза ?), а вот лог-файл сиквельной базы просто так не поддавался (тому шо надо не базу сжимать, а файлы базы, но ктож про это знает...). Так что они повесили на него строгий ошейник - [вначале всё же попробуйте угадать сами]ограничили его размер роста в 6 ГБ, вот и вся недолга.



Так и живём.

Нынче в одном чате, посвящённом всяким базам данных, кипит-бурлит насущный вопрос, ловко наброшенный подкинутый одним гражданином:

Подскажите, а какими привилегиями облагают DBA в кластерах, которые у них в ведении?

Ну в смысле вот приходит человек на работу админить базу. Он не разработчик, код по большому счету не пишет, админит сервер, правильно я понимаю? Если следовать принципу наименьших привилегий, ему же не нужна роль superuser. А какие привилегии ему выдаются для работы?

Вот я и спрашиваю, хочу разобраться))

Ну как вот не порадоваться такому непосредственному милашке, а ?

Прекрасный пример типового абизянского подхода к работе принесла нынче лента:

Прекрасный VK-Cloud известил меня, наконец, что они никак не могут починить услугу S3, по которой у меня на сайте висят все картинки. Картинки сдохли, сайт стал текстовым, как на заре рунета. Крупнейший облачный провайдер страны, мегахолдинг, не может оказать мне оплаченную услугу. Никак. «Ну, нишмагла я, нишмагла…» Идите, говорит, и сами перепишите код сайта на новый endpoint, а у нас лапки.

(c) https://semiurg.livejournal.com/1688108.html

VK конечно, прекрасен - но речь сейчас не об нём. Речь об том, что столкнувшись с подобным, абизян ни капельки не думает, а немедленно начинает трясти.

Надо ли объяснять, что Человек Разумный задумается об использовании промежуточного имени в DNS ? Более того, вот совсем по-хорошему задуматься об этом Человек Разумный вообще-то должен был ещё до аварии и делать всё через промежуточное имя заранее. Но то Человек - а абизян будет трясти. Плакать и трясти, трясти и плакать.

Дисклеймер: в действительности всё было чуть-чуть не так, как на самом деле, но что было на самом деле - в паблик вот просто нельзя, никак нельзя.

Последние полгода я очень активно (местами не по своей воле) и глубоко погружён в вопрос защиты от шифрования данных, производимых разными нехорошими злоумышленниками. И таки вот что я могу вам сказать, дорогие мои.

Отчуждаемый бэкап - вот что вас спасёт. Выжгите эти слова в сердце своём, потому что больше вас ничто не спасёт.

Давеча вот одну широко известную в узких кругах российскую компанию таки ломанули, но она нынче, как Трамп после отстрела уха, храбро раскидывается лозунгами об том, что идти на поводу у киберпреступников нельзя и нужно сражаться. Проломили её - до самой задницы: зашифровали диски с виртуалками, подключаемые с внешнего хранилища к хостам виртализации. То есть - всё полностью, вообще ничего не осталось, даже чтобы пописать.

Вы уже хочите знать, что эту фирму спасло ? "Синие очки и тросточка" А то, что у неё был один маленький скучный человечек, который ходил и нудил, что "Бэкапов нет, вот представьте, что вот это зашифровали, что будет ? А теперь представь, что зашифровали вот то, что будет ?". Ответственный лица кряхтели, признавали, что будет полный северный лис и в том, и в другом, и третьем случае, но вылезать из зоны комфорта им очень не хотелось. Поэтому он снова ходил, и к тем, и к другим, и продолжал нудить. И вовсе даже не потому, что он такой дохрена такой умный, нет. Точнее, он, конечно, очень умный, но главное-то не в этом. Главное - он своими глазами видел, как это бывает в реальности.

И ведь успешно всего-лишь за несколько месяцев донудил - админы начали шевелиться и таки отчуждаемые бэкапы большей части всего были сделаны. За пару недель до взлома.

А у вас такого человечка нет, вашей фирме он, звиняйте за прямоту, не по карману. Так что никто кроме вас.

Но вообще, конечно, идти на поводу у гадов - действительно нельзя. Потому что тех, кто хоть один раз прогнулся и заплатил, - вписывают в реестр вселенских лохов и дружно наваливаются ломать с утроенной силой. Но чтобы таки был выбор: "идти или не идти", нужно чтобы отчуждаемый бэкап таки был.

Случилось тут у клиента беда - перестали работать SIP-телефоны в офисе. На складе работают, а в офисе нет. Пришлось заниматься диагностикой и общением с причастными за это безобразие службами поддержки.

звонок в поддержку Папайя-офис
Я: Почему-то не работают телефоны, вот название клиента.
ТП: Вначале перезагрузите роутер, а потом, если не поможет, пишите сюда


через 30 минут
Я - провайдеру
У вашего клиента почему-то не ходит пинг до вот сюда. А через других провайдеров ходит. Вот трейсруты в подтверждение


через 25 минут
Провайдер - мне
Блокировка происходит за пределами нашей сети. (Это видно по трассировке)
Сдали проблему вышестоящему оператору.
Прошу также вас обратиться к Папайя-офису с запросом не блокируют ли они трафик с ваших IP


через 40 минут
Провайдер - мне
Маршрут прохождения трафика к Папайя изменился.
Пожалуйста проверьте наблюдается ли проблема сейчас.


через 2 минуты
Я - провайдеру
Да, вижу что маршрут изменился, но пинга по прежнему нет.
Я - Папайя-офису
Не ходит пинг до вас, вот трейсрут
Провайдер поменял маршрут на другой AS, вот трейсрут, но проблема сохраняется


через 2 минуты
Папайя-офис - мне
По вашему вопросу было зарегистрировано новое обращение SR02887177
Ваше обращение SR02887177 взято в работу.


через 5 минут
Провайдер - мне
Похоже на блокировку конкретно вашего IP. Вот трассировка с «соседнего» с вами адреса - всё работает.
Если решение затянется, то в качестве радикальной меры можем предложить смену IP.
Или выделение дополнительного IP.


через 3,5 часа
Папайя-офис - мне
По данным проверки, ограничений на ip адреса с нашей стороны не наблюдается.


через 25 минут
Я - Папайя-офису
Подход «с нашей стороны пули вылетели» понятен и узнаваем.
Однако, если вдруг недостаточно отчётливо ощутимо – люди не могут работать.
Провайдер попробовал проверить доступ с соcедних ip – и там всё доступно, вот трейсрут.


через 30 минут
Провайдер - мне
Есть предположение что трафик Папайя проходит через сторонний сервис по защите от DDoS И блокировка происходит там


через 30 минут
Папайя-офис - мне
Спасибо за ожидание.
Ограничений на IP адреса такого-то с нашей стороны нет.
Это видно из скриншотов, которые Вы направляли ранее.


через 3 часа
Я - Папайя-офису
Железобетонный факт в том, что пинги до вашего хоста с этих ip почему-то не доходят.
Со всех других мест, включая соседние ip от провайдера доходят, а с этих нет.
Попробуйте во всех своих дальнейших ответах непременно учитывать этот железобетонный факт.
Наш провайдер подсказывает:
Есть предположение что трафик Папайя проходит через сторонний сервис по защите от DDoS
И блокировка происходит там


через 2,5 часа
Папайя-офис - мне
На приложенном скриншоте указал маршрутизацию, где не проходит трассировка. Данные IP, на которых закачивается трассировка, к Papaya Office не относятся.


через 2,5 часа
Я - Папайя-офису
Отсутствие ответа маршрутизатора в трэйсе не означает непрохождение пакета.
Пакеты отправленные с соседнего IP прекрасно доходят до адресата, даже сквозь не отвечающие маршрутизаторы.
Это скорее всего сети Qrator (через который вы подключены) и их фильтры заблокировавшие адрес офиса.
Передайте пожалуйста содержимое этой заявки ответственным за защиту от DDoS для проверки данного инцидента у них.


через 10 часов (на следующий день утром)
Папайя-офис - мне
Проверили запреты в системе Qrator, ограничение по вашим IP отсутствуют.

Сразу после этого последнего письма пинги пошли и всё заработало, как мило и как вовремя (с). Мудаки, как есть мудаки.

Поперву хочу подчеркнуть (в свете каментов из предыдущего поста), что претензий к абизянам с первой линии поддержки Папайя-офис, которые со мной общались, у меня никаких нет. Качество их работы вполне соответствует уровню первой линии.

Ну и конечно, я многое упростил. Например, не стал рассказывать абизянам про то, что у клиента 2 WAN и мы работу телефонии переключили на второго провайдера, пока всё не решится - для абизян всё это очень сложно, у них в инструкции жёстко прошито "потребовать перезагрузить роутер", а про 2 WAN ничего не написано. Ну и ещё ряд таких моментов.

Все претензии у меня к тем виртуально присутствующим в беседе мудакам, которые писали должностные инструкции для абизян с первой линии, а также разрабатывали и утверждали правила эскалации заявок с первой линии дальше. Потому что заявка почему-то дальше первой линии не ушла и всё это время, очевидно, со мной общались деревянные абизяны.
Хотя, по хорошему, уже слова "трейсрут" должно было хватить для того, чтобы заявка сразу без вариантов должна была убежать на вторую или даже третью линии. Но - не случилось, а причиной тому как раз мудаки из Папайя-офис, да случится с ним трёхнедельный неудержимый понос.

Как и в прошлый раз, мудаки почему-то недовольны тем, что с ними общаются как с мудаками. Что характерно - обсуждаемая компания нынче совсем другая, но мудаки очень похожие.

Как и в прошлый раз, Папайя-офис очень много сил и денег тратит на выяснение, что клиенты об ней думают, постоянно подсовывая опросы "порекомендуете ли вы нас своим друзьям ?". Проблема в том, что они совершенно не знают, что делать с правдой относительно настоящего мнения об них. Потому что выгнать своих мудаков - у них не хватит яиц.

Отдельно хочу обратить внимание на поведение Провайдера. Потому что он имел формальные основания занять ровно такую позицию, как и Папайя-Офис: "проблемы за пределами нашей сети, у нас всё в порядке, идите уже нафиг". Имел возможность - но не занял.

Не будьте такими, как Папайя-офис. Будьте такими как Провайдер.

Вновь и вновь я вынужден объяснять специалистам-профессионалам основы их основного рабочего инструмента.

В данном случае - перестало работать com-подключение к соседней базе 1c, в логе никаких подробностей окромя "Аварийное завершение", никто ничего не делал - всё как мы любим.

Начали, разумеется, с рестарта службы 1с, СУБД, отключения firewall, перезагрузки сервера - какой же погромист признает, что он сам и накосячил ? Естественно, ничего это не помогло. Пришлось, засучив рукава, по локти лезть в 1с-ный говнокод обработки.

И ведь я уже даже молчу, что в обработке каждый раз при нажатии кнопки "получить данные" создаётся новое com-подключение. Не говорю. Пусть: раз социальная революция - не нужно прорабатывать архитектуру глобальных переменных.

И немедленно случилось чудо ! Я на глазах погромиста поставил точку останова сразу после команды подключения к базе, прогнал выполнение - и выполнение послушно остановилось там, не выдав никакой ошибки. Дальше там был цикл по перебору чего-то (зиц-председатель одмин не обязан знать чего именно), и вот в самом цикле и возникла та самая ошибка, но к самому подключению-то это уже никакого отношения не имеет - пришлось объяснять мне погромисту.

Прогнав это три раза и убедившись, что чудо послушно повторяется и исчезать не собирается, погромист смущённо пробормотал "Понял, буду дальше смотреть, спасибо" и вопрос "перестало работать подключение" был аккуратно снят.

И вот так каждый раз, да. Я, последний раз видевший эту IDE 15 лет назад, объясняю, как с ней надо работать тому, кто с ней работает 15 лет...

Вновь и вновь я обречён объяснять "профессионалам с многолетним опытом" самые-самые основы тех инструментов, которыми они пользуются в своей работе.

Сегодня это был Demis.ru, которого попросили уменьшить для сайта частоту индексации яндексом, а они в ответ заверещали, цитирую:

"Такой функции нет в яндексе
Я не понимаю вообще о чём они"

Так и живём. Ссылку на документацию по яндекс.вёбмастер даю им я, а "профессионалы с многолетним опытом" - это они.

Зато вот любить нам мозги "ааааа, сертификат сайта скоро истечёт, надо срочно что-то делать !" за полтора месяца (!) до окончания срока истечения LetsEncrypt-сертификата (который, если кто не знает, выдаётся вообще-то на 3 месяца) - это они могут да. Несколько раз в год, да. Невзирая на мои многочисленные объяснение про LE-сертификаты и настроенные у хостера скрипт на автоматическое их обновление, ага.

И ведь demis.ru, объективно, - один из лидеров рынка.



Специально для "профессионалов с многолетним опытом":
Желаю в новом вам году
Гореть в аду, гореть в аду !

Нынче с обеда клиенты жалуются на то, что у кого-то WhatsApp перестал работать. Вот, пришлось разбираться и в итоге вышли на себя РКН.

Сделали они это случайно, специально, в рамках учений, по ошибке, зачем, чего хотят этим добиться, а может завтра обратно разбанят - это всё мне решительно неизвестно. Говорят, что прошлым кварталом его предупреждали о возможной блокировке. (Upd: умные люди подсказывают, что это просто WhatsApp сменил DNS на давно в РФ забаненные)

Мне известно, что у него есть 4 nameserver:

A.NS.WHATSAPP.NET [129.134.30.12]
B.NS.WHATSAPP.NET [129.134.31.12]
C.NS.WHATSAPP.NET [185.89.218.12]
D.NS.WHATSAPP.NET [185.89.219.12]

и они аккуратно по приказу РКН забанены в рунете, проверить эту блокировку можно тут или тут.

Ну а поскольку весь DNS во всём мире живёт на кешах, то и отвал произошёл не мгновенно - а сильно замедленно. Но если вдруг обратно решат включить - то включится, кстати, у всех разом.

Кое-где тут раздаются полные праведного возмущения вопли о том, что, дескать, чтобы заплатить налоги, надобно предварительно купить для этого КриптоПро, а она, оказывается, бесплатно работает недолго, а потом платная и стоит огромные неподъёмные 5 тыщ !

Собственно, самый смех тут в том, что произносит это ИТшник, для которого это всё ВНЕЗАПНО. Да, такие вот теперь у нас ойтишники, которые не способны прочитать прайс, в котором оный продукт стоит 2700 руб, а вовсе не 5 тыщ, да-с.

Но дело даже не в этом. Дело в том, что ужасно страшно дорогой КриптоПро можно вовсе даже не покупать. И совсем даже не потому, что искомое (ЕВПоЧЯ) валяется прямо на первой странице поиска по характерному запросу, нет. Дело в том, что есть бесплатный аналогичный продукт - VipNET CSP.

И достаточно всего-навсего перевыпустить сертификат под него (платно, разумеется), а потом вволю посексоваться с разными порталами в попытке настроить работу - и через каких-то 5-10 часов сразу очень хорошо понимаешь, за что КриптоПро просит свои жалкие копейки.

Таможня восстановила работу своей IT-инфраструктуры после хакерской атаки
Единая информационная система уже работает в большинстве регионов. Инспекторы ведут документацию в электронном виде, а на некоторых пунктах продолжают использовать бумажные носители.

Ранее мы писали, что из-за кибератаки ФТС перешла на оформление документов в бумажном виде.

Из-за сбоя транспортные средства логистических компаний не могли въехать в страну и выехать из нее.

(с) https://www.klerk.ru/buh/news/568680/

Несколько месяцев назад мне рассказали милую историю из жизни одной крупной телеком-компании. У них там незадолго до этого внедрили централизованный ИБ-мониторинг. Ну, формальность, конечно. Сверху потребовали, вот и сделали.

Ну как сделали ? Компания-то крупная, так что просто бумажкой-приказом не отделаешься, внедрять пришлось всерьёз, в том числе даже и круглосуточных дежурных, которые бы там наблюдали за логами о происходящем. Делать этим дежурным было по большей части нечего - ничего ж не происходит. Ну там-то обновиться по графику забыли, тут-то кто-то пароль забыл и десяток раз его пробовал подобрать, и так далее. Скукота. Но - раз велено, значит бдят.

И вдруг внезапно видят настойчивую активность одного из одминов на продуктивном сервере в одном из регионов нашей необъятной, причём на эту активность ругается антивирус. Доложились начальству - "что делать бум, инцидент ИБ регистрировать где следует ?"

Начальство назойливо отмахнулось "Ну позвоните там ему, выясните, чего он делает, да напомните, что таперича у нас мониторинг и таких глупостей впредь делать не следует". И то верно, ну кому охота себе статистику портить ?

Ну позвонили тому одмину с отеческим упрёком. А он чего-то засмущался весь, да такую пургу начал нести... Дескать, попался ему вирус, и он решил его поизучать (на продуктивном сервере под админской учёткой, ага-ага). И чем дальше говорит, тем больше смущается и более жуткую пургу несёт. В общем, дежурный послушал-послушал, да отнёс запись беседы начальству.

Начальство это всё послушало-послушало, ленивая расслабленность с евойной начальственной позы вмиг сбледнула, так что оно это всё, включая данные на того одмина, взяло, да и отнесло туда, куда следует относить информацию об ИБ инцидентах в КИИ. А дежурному велело сверлить дырочку под медаль.

А ведь ещё когда говорилось, что рядовому Итшику воровать - не впрок !

Итак, есть отдельный сервер 1с, куда обезьянам 1c-никам хода по RDP нет вообще, а по smb им выделена отдельная папка на отдельном диске. Как думаете, могут обезьяны 1с-ники насрать на системный диск сервера 1с ?

Правильно говорите: разумеется могут, это ж обезьяны 1с-ники. Следите за руками.

Они пишут в 1с-ной базе код "насрать на диск C:\", а потом отправляют выполняться этот свой код на сервер (видимо, полагая, что он выполнится на их компе, обезьяны 1с-ники ведь плохо разбираются в логике трёхзвенной архитектуры) ! Сервер выполняет этот код от имени своей учётки (другой у него и нет) и послушно гадит прямо в корень системного диска сервера 1С.

Шах и мат !
Кабы 1c позволяла писать SQL-запросы напрямую - они бы и в системный диск SQL-сервера гадили, уж не сумлевайтесь !

Впрочем, буду честным - это касается не только 1с-ников. Обычные погромисты тоже в совершенстве владеют подобным навыком. Вот давешняя переписка с одним погромистом (из совсем другой компании), который попросил этой весной сервер для своих рабочих надобностей. Сделал ему сервер с большим (на всякий случай) системным диском и рядом ещё диск для данных.

Погромист: пишут что не хватает места на стенде.

Я: [поглядев, что там происходит] что за папка init На диске C:\ ?

П: из неё разворачиваются виртуалки и софт в них устанавливается

Я: на диске C:\ ? Серьёзно ? В следующий раз спрашивать не буду, сразу в корзину полетит

П: с чего вдруг там что то вообще летает в корзину

Я: диск C:\ - системный. Срать на него категорически запрещено. Я отвечаю за работоспособность сервера.
А когда на диске C:\ место заканчивается - сервер падает и у вас возникают всякие претензии "а чиво ета он не работает ?"

П: скрипты разрабатывались без учета диска D: а дорабатывать их некогда

Update эталонный небомбит.

Несколько лет назад я недвусмысленно осознал, что при развёртывании любой системы нужно создавать новый документ "как развертывать систему NN" и скрупулёзно по порядку вписывать туда всё что делаю, причём с конкретными примерами настройки параметров и обильными комментариями что почему и зачем.

Так что к настоящему времени у меня скопилось уже некоторое количество таких документов, к которым я регулярно обращаюсь за помощью и которые постоянно пополняю нюансами по мере их накопления. Разумеется, в момент пополнения как раз происходит ожесточённая борьба между ленью и ленью, в которой побеждает лень: большей частью в этих документах уже таки стоят волшебные заклинания консольных / powershell команд (найти и/или составить которые обычно стоили мне по нескольку человекочасов), и лишь меньшая часть - текстовые описания того, что надо намышевозить.

... итак, мне нужно сделать новый сервер gitlab, у меня есть подробный документ полугодовой давности по его развёртыванию, казалось бы, что может пойти не так ? Но Linux не может упустить дать мне возможность обильного коитуса с ним, нет. Собственно, из подробной инструкции закопипастить команды несложно, но неожиданная проблема возникают лишь в конце - в интерфейсе отсутствует возможность логиниться с помощью LDAP-учёток.

Долгий, очень долгий процесс поиска причины вот этого всего в итоге результаты дал:

desseb 4 yr. ago
Lol, I just had and fixed this problem! One space before "main", two spaces indent for everything else (plus additional nested attributes) and finally EOS has no indent (note, none of these indentation values are cumulative).

Then gitlab-ctl reconfigure and the tab should now show up. (as long as the troubleshooting command works now).

Оказывается ! Оказывается. Оказывается, количество пробелов в текстовом конфиге - имеет значение ! Надо тщательно пробелы (в текстовом ! в текстовом, мать его, конфиге !) соблюдать, вот так.

В этот момент я осознал высокую мудрость американского общества, превращающая таких вот гиков (это про создателей gitlab написавших _такую_ процедуру чтения конфига) в инцелов и не дающая им размножаться. В этом определённо что-то есть.

Вся история государства Российского говорит о том, что только тогда, когда крепко получает по заднице.

Минцифры РФ подготовило перечень первоочередных мер для стабилизации и развития IT-отрасли в условиях санкций, об этом сообщил "РГ" источник на рынке. В пресс-службе Минцифры подтвердили "РГ" эту информацию. В рамках предложенных ведомством мер планируется:

- распространить действующие налоговые льготы также на IT-компании, получающие доходы от размещения рекламы или оказания допуслуг в своих приложениях и онлайн-сервисах, а также от реализации, установки, тестирования и сопровождения партнерских отечественных IT-продуктов;

- освободить на следующие 3 года всех сотрудников ИТ-компаний от уплаты НДФЛ, а сами компании от уплаты налога на прибыль, а также освободить эти компании от проверок;

- предоставить всем сотрудникам IT-компаний льготную ипотеку со ставкой 5% на время работы;

- предоставить отсрочку от призыва на военную службу для сотрудников IT-компаний на время их работы в этих компаниях;

- ввести процедуры упрощенного получения разрешения на работу и вида на жительство для иностранных граждан, привлекаемых для работы в российских компаниях;

- предоставить компаниям гранты на разработку и развитие IT-продуктов;

- обеспечить ускоренное импортозамещение ПО на объектах критической информационной инфраструктуры;

- также обеспечить целевое финансирование на создание в России "зеркала" репозитория открытого ПО "GitHub".

(c) https://rg.ru/2022/02/28/mincifry-podgotovilo-perechen-mer-po-stabilizacii-it-otrasli.html

Граждане поцреоты, как, вот как в такой ситуации желать РФ победы, а ? Ещё неделя живительных санкций - глядишь, не только об ойтишниках вспомнят, но и об остальных гражданах тоже.

PS. Объяснять, почему именно ойтишникам вдруг такое щастье - надо ? Кому надо вот, оказывается, давно объяснено: часть 1 часть 2

Волей небес один мой клиент не может купить себе Jira и вынужден искать аналоги. Наткнулись они на один продукт, как оказалось - импортозамещённый, и купили его. Ну а нам, значится, его надобно поставить. Ну чего, поставили, а потом стали смотреть на компоненты, из которых продукт состоит. По результатам осмотра я накатал авторам на прошлой неделе письмо:

В дистрибутиве стоит апач x32 версии 2.4.39 – выпущен в апреле 2019, 2.5 года назад. Актуальная сейчас - 2.4.50
Когда планируете обновлять ?
А использовать x64 ?

В дистрибутиве стоит Mysql версии 5.7.13 – выпущена в июне 2016, 5 лет назад. Актуальная сейчас – 8.0.26
Когда планируете обновлять ?

В дистрибуве стоит PHP x32 версии 7.4.6 – выпущена в мае 2020, больше года назад. Актуальная сейчас – 7.4.24
Когда планируете обновлять ?
А использовать x64 ?

Получил сегодня ответ:

Мы не рекомендуем использовать Windows для боевого использования ПО, были случаи (особенно при наличии виртуализации), когда производительность системы сильно деградировала, по сравнению с аналогичным железом под управлением Linux.

Ну то есть контора расписывается в том, что погромировать они не умеют, от современных концепций они отстают лет так на 12 (в 2009 они как раз и начали творить свою нетленку, судя по хвастовству на хабре) и их это совершенно не напрягает. Возможно, они хотели сказать своим письмом что-то иное, но сказали лишь вот это.

[разводя руками]
Так и живём.

29 марта, я
Не могу скачать установщик MS Office 2019 Std с сайта, Когда нажимаю на «Скачать», получаю ошибку 404 [скриншоты]

29 марта, Microsoft Premier Support <o365prmr@microsoft.com>
We have received your service request. We will assign a support representative to contact you

31 марта, я
What we are waiting for, Christmas ?

31 марта, Anna *** <anna.***@microsoft.com>
Получили сейчас кейс, однако наши инженеры исправили 404 ошибку в понедельник.

31 марта, я
И мужественно молчали об этом. Ма-лад-цы !
Предлагаю за их героические подвиги представить их к награде «Партизанская медаль им Боснюка 3 степени».

31 марта, Anna *** Anna.***@microsoft.com
Мне очень жаль, что по этому обращению Вы получили подтверждение только сейчас. К сожалению, кейс висел у команды Office два дня и попал к нам только сейчас.

Собственно, я крайне удивился, что такой пустяковый вопрос сходу улетел на Premier Support (и там его мгновенно сделали, этож премьер). Из этого можно сделать вывод, что вопросу постоянных лицензий по каналу CSP сейчас уделяется повышенное приоритетное внимание.
Так что сим можно пользоваться, кому актуально.

Это всё к вопросу про бестолковую поддержку MS, ага. Есть, есть там и толковая поддержка. Но - не только лишь всем. Капитализмус, ятить его...

cian тут рассказывает об новой разновидности жуликов:


То есть я, как ойтишнег, разумеется, прекрасно понимаю, что домен cian.secure-safe.ru не имеет никакого отношения к cian, "рыбка задом не плавает" (с).
Но как понятно объяснить это простым людям ? Я вот ума не приложу.

Update
Аналогичная история, там вообще втупую домен m-cdek.net

Поэтому основная проблема бэкапа — это базы MySQL. Размер баз у меня — несколько гигабайт, и каждый вечер их в бэкап перезаливать на удаленное облако глупо.

(c) Л. Каганов

Запоминаем: ежедневно бэкапить базу в несколько гигабайт - это сложно. Вы слышали - он сказал "несколько гигабайт".

Собственно, это всё, что нужно знать про красноглазые СУБД, но это нужно знать хорошо.

В одном широко известном в узких кругах техдирском чатике нынче бурлит обсуждение про воровство минут удалённым работником у работодателя. Поднял тему создатель чатика и в целом он заодно сформулировал важный тезис - немедленное, пусть и слабое наказание, действует куда лучше, чем сильное, но отложенное. То есть, в этом тезисе, конечно, нет ничего нового, А. Левитас об этом недавно писал: Но главное – столбы были идеальным способом обратной связи и идеальным способом наказания. А учитывая, что он описывал уже сложившуюся практику, поняли это уже сотни лет как. Но повторять всё одно полезно, пушо это не стало ещё общим местом.

Однако, основное там - про то, как важно тщательно контролировать удалённых сотрудников вот прям каждую минуту, а то не дай бог они не-работой займутся без бдительного пригляда от начальства. Это, конечно, смешно.

Смешно потому, что у любого работника есть намного более сильные способы просрать деньги своего работодателя, чем эта вот "работа налево в рабочее время". Для иллюстрации этого многократно обсуждавшегося тезиса у меня есть для вас очень вкусная и поучительная историю, случившаяся вот буквально в декабре 2019 года.

( только для тех, кто не боится разбить себе лицо множественным фейспалмомСвернуть )

Но зато у этой медиа-компании ихние девопсы минуты не воровали, ога-ога. Ведь именно это - самое важное.

Если вдруг у вас там домены - имейте ввиду, что эти пидорасы будут пытаться доить с вас деньги в стиле опсосов: "сам виноват, что вовремя не отписался от услуги, которую мы тебе без спроса подключили".

Совершенно случайно в обсуждении к предыдущей записи выяснилось возмутительное - оказывается некоторые люди истово веруют в бэкапы. Считаю своим долгом решительно сорвать покровы и нелицеприятно обнажить самые интимные подробности, дабы развеять все возможные заблуждения.

Даже тщательно скопировав все файлы из заведомо работоспособной системы, проверив их на этапе копирования и периодически проверяя чексуммы бэкапов в дальнейшем, ни один порядочный человек не может гарантировать, что при восстановлении системы не случится epic fail.

Потому что сбой может случиться на более верхнем логическом уровне. Поэтому проверять бэкапы надо на самом верхнем логическом уровне.

Давайте поясню на примере. Для начала на простом - у нас есть простая обычная файлопомойка. Что может быть проще ? Мы её забэкапили целиком. Проверять надо как ? А так:( Читать дальше...Свернуть )

А если этого не делать, то может получиться вот так, как в нижеописанной загадочной но поучительной истории, случившейся с нами прошлым месяцем.

( Читать дальше...Свернуть )

Как уже говорилось, запускать интеллектуальное большинство в SQL без строгого надзора нельзя - будет очень плохо.

Вот наглядный пример того, как работает 1С с СУБД:

IRZ
Одинэсники жалуются - какая-то там операция у них медленно отрабатывает. Смотрю на SQL - там пыхтит запрос, текст которого составляет 3.5 МЕГАБАЙТ, сотни тысяч условий в выражении, а план исполнения студия вообще показывать не осиливает. Нет, может у них так принято, но я что-то удивился.
UPD. Чисто ради интереса посмотрел - в этом запросе больше слов, чем в "Войне и Мире".

Px
Используйте ORM говорили они, запрос сам соптимизируется как надо, говорили они

IRZ
Там, кстати, еще один нюанс выяснился - запрос по сути представляет из себя SELECT TOP N, типа выбирает первые N записей и показывает пользователю. Потом пользователь прокручивает колесико мыши, желая увидеть, что дальше, иии.... ну вы поняли.

Update от 11 февраля 2019 Я тут копался из-за тормозов одной базы в этих запросах - и сам, лично видел 'SELECT TOP N' пачками.

Сегодня один клиент внезапно осознал, что его файлы вот прямо у него на глазах превращаются в тыкву - кто-то из сотрудников словил вирус шифровальщик и тот методично жуёт файлопомойку.

Конечно, виновника быстро нашли, отключили от сети и стерилизовали, а дальше наступило время вытаскивать зажёванное из бэкапа.

Как известно, самое лучшее средство для этого - архивы корректно работающего ShadowCopy на файлсервере. И он там, разумеется, был - что вирус ему сделает с клиентской машины.

Однако, меня смутило, что не было копий за сегодня. За вчера есть - в 14:30 и 21:30. И позавчера в это же время, и поза-позавчера и так далее. А за сегодня - нет. Меж тем, на часах уже почти 17:00, то есть одна копия должна была уже пройти. А её нет.

Но времени выяснять не было - вирус, к счастью, начал жевать весьма редкоизменяемые данные, так что можно хоть за вчера, хоть за прошлый месяц взять.

Но как закончил восстанавливать - стал разбираться, а чего же ShadowCopy-то не сделался. Попробовал вручную запустить - работает. Оп-па ! А почему время вручную сделанного снэпшота показывает такое странное ?

Так-так, а какой у нас часовой пояс на сервере стоит ? Тваюж мать, дефолтный "-8 Pacific". Ну то есть в переводе на наше время снэпшоты он делает в 1:30 ночи и 6:30 утра.

Наш косяк, однако. Хорошо ещё, что с него никто не пострадал.

Какой забавный вопрос, не правда ли ? Тем ценнее на него ответ убеждённого линуксоида mbr (выделение моё):

eddy_em Зачем сотруднику ноутбук с Windows ?

mbr А потому что. Меня нет в офисе постоянно, чтобы решить какой-нибудь мелкий вопрос. С виндой ей помогут, а вот с линуксом - врядли. Её простой - мои прямые убытки. Ничего личного, просто бизнес.

Подход не мальчика ИТшника но мужа бизнесмена.

Сорока на хвосте принесла окончание прекрасной и получительной летней истории.
С этим окончанием история становится ещё прекраснее и ещё поучительнее. Местами даже назидательной !

[скучные унылые подробности и навязшая в зубах мораль]
Итак, тот самый Главный Файервол Исполнители вовсе даже не отключали. Они его сконвертировали в новый формат виртуальной машины. И перед конвертацией предупредили Заказчика, что после этого слетят все ACL безопасности. Письменно предупредили - нашлось письмо.

А Заказчик письменно же ответил, что он понял, что без этих ACL будет доступно "всем всё", и потому уже даже эти самые ACL сохранил в отдельный файл, и когда Исполнитель закончит работу - то применит эти ACL на обновлённый Главный Файервол обратно.

И, разумеется, этого не сделал :). Отсюда всё и заверте...

После того, как все эти письма были предъявлены Исполнителем Заказчику, тот все обвинения с Исполнителя снял, и потому как, кого и каким образом наказали - мы уже не узнаем. Но, собственно, это и не важно, мы, чай, не бабки-сплетницы у подъезда на лавочке.

Важно другое. Вот, например, mike_lambert в очередной раз продемонстрировал непонимание сути ИБ:

В твоем кейсе нет "ИБ-проблемы". Есть только организационные, которые сложились в крупный факап.
1. База данных с чувствительными данными стояла в общем периметре с серверами приложений. А должна стоять в выделенной зоне, "самый внутренний круг".
2. Внутренние сервера стояли в одном периметре с внешними/клиентскими. А должны были стоять снаружи БД и изолированы от внешних.
3. У заказчика не было карты сети
4. У подрядчика не было регламента.
5. Вишенка на торте - у БД был уёб-интерфейс. Не надо так. Либо это БД и доступляемся по отдельным логинам и паролям штатными тулзами. Либо это все же сервер приложений, и опять же применяем к нему соответственные меры безопасности.

Почему так было? Не было назначено конкретных ответственных морд. Всем пофиг.

Отсутствие разделения контуров внешних и внутренних хостов - разумеется, это проблема. Но чья это проблема ? Программистов БД или фронтенда ? Нет. У них всё работает. Одминов ? Нет, у них всё работает. Это проблема ИБ. Именно ИБ должна была наложить вето на подобную архитектуру и заставить одминов и погромистов разработать и реализовать разные наборы хостов для виртуалок фронтенда, бэкенда и баз данных.
Это неудобно для погромистов и лишняя морока для одминов, поэтому они этого без внешнего принуждения ИБ никогда делать не будут.

"Вишенка на торте" - это вопрос регламентов. Регламенты делаются с непосредственным участием ИБ, потому что и погромистам и одминам главное - чтобы работало. Оно и работало, чегоуж тут. А вот следить, чтобы работало только так, как нужно, а как не нужно - чтобы не работало - это прямая обязанность ИБ. Ключевое слово тут "следить", между прочим.

Недостаточно просто один раз настроить - нужно ещё регулярно проверять, что оно действительно работает как надо и не работает как не надо. Это типовая ИБ-задача.

И попытки свалить всё на плохую организацию тут не прокатят. Потому что руководство в общем случае и не должно понимать нюансы ИБ. Для этого как раз есть ИБ-служба, которая указывает руководству, что и зачем нужно сделать. Конечно, можно предположить, что ИБ-служба всё знала и понимала, но руководство не воплощало её советы в жизнь... но в таком случае не было бы такой ВНЕЗАПНОЙ истерики, описанной в первой истории, метаний по разным причинам произошедшего и поисков виноватых. Всё было бы автоматически ясно из вороха служебок, регулярно подаваемых службой ИБ к руководству. Конечно, если ИБ-служба вообще не была создана, то тут прямая вина руководства, но в руководстве-то, как мы помним, мега-ИБ-погромист с 7летним стажем !

Разумеется, я тут подразумеваю условные роли "одмин" и "погромист". Реальные люди обычно всё-таки немножко понимают ИБ, хотя бы на бытовом уровне, и совсем откровенной херни творить не будут. Но когда требования ИБ противоречат (ну то есть практически всегда :)) требования к основным обязанностям одмина или погромиста, причём за обычные обязанности платят, а за ИБ - не платят, то результат немного предсказуем. И именно поэтому, чтобы каждый раз не решать этот этический конфликт, придумали стандарты и типовые HowTo. Которые являются более-менее приемлемым компромиссом между одним и другим.
И качество любого ИТшника во многом зависят именно от знания (и соблюдения !) этих самых стандартов.

И то, что ИБ-погромист с 7 годами опыта не понимает этих основ ИТ-отрасли - ...

Так что только в одном mike_lambert прав. В том, что "Всем пофиг". Но это как раз то, хе-хе, в чём я и обвиняю погромистов вообще и ИБ-погромистов в частности - им пофиг. На всё пофиг. Результаты такого отношения всплывают "грязевыми бомбами" с пугающей регулярность, но это никого не останавливает.

Нынче общественность вскрыла ИБ-обосратушки у Лаборатории Касперского:

Никогда не доверяйте @Kaspersky_ru. Это вот их официальная рекомендация как "специалистов по безопасности":
По умолчанию задача удалённой установки выполняется от имени службы Сервера администрирования. Если сервер установлен в домене, то при инсталляции имеется возможность выбрать учётную запись для запуска службы сервера. Обычно это учётная запись с права администратора домена, и в таком случе все задачи установки будут обладать требуемыми правами на компьютерах, входящих в домен

Почему это плохо и ай-ай-ай ? Да потому что:

... в таком случае все задачи установки представляют удобный вектор атак для компрометации компьютеров, входящих в домен.

и потому что

Любой человек, занимавшийся администрированием сетей Windows знает, что учётной записи с правами локального администратора более чем достаточно для любого прикладного ПО, в том числе, для антивируса. Права же учётной записи администратора домена вообще категорически нельзя давать никакому прикладному софту, это создаёт дополнительный вектор атаки для машин Windows, входящих в домен, что, в самом плохом сценарии, может привести к полной компрометации корпоративной сети предприятия.
...
Изначально теоретическая компрометация может прийти только со стороны вендора ОС, а так ещё и со стороны Лаборатории Касперского. Вариантов становится ровно в два раза больше. Как-то так.

Моё примечение:
На самом деле, ещё со стороны центров сертификации, чьи корневые сертификаты включены в поставку ОС. Но это уточнение на самом деле по сути ничего не меняет

Это, блин, база ! Это основы ИБ ! Это очевидно любому, кто хоть чуть-чуть начал заниматься ИБ. Но только не пограмистам главной ИБ-компании в России. Им же эксперт разрешил всем скопом ни черта не знать, вот они ни черта и не знают.

Единственное, что их как-то чуть-чуть оправдывает - они свой косяк поняли. А не начали, как некоторые, гордо в обосранных штанишках вышагивать, рассказывая, что во всём виноват MS, потому что он не закрыл такую манящую возможность выстрелить себе в ногу.

7 лет назад я написал:

"А потом они кричат - "майкрософт говно". Дорогие мои, да для вас достигнуть уровня MS - это несбыточная мечта. Вам до MS - как моське до слона."

Будучи суровым, но справедливым, не могу не заметить, что в среде красноглазых появился новый модный тренд, по которому MS хоть начал двигаться, но, тем не менее, отстаёт от передовой красноглазой реальности на многие годы.

Этот тренд - регулярные падение баз данных при минорных обновлениях OC.

Лично я в своей практике помню только один подобный случай в MS-инфрастуктуре. Я тогда по глупости запустил установку SP на Windows Server и SP на MS SQL Server одновременно. Получившийся в результате факап полагаю, между тем, одним из своих крупнейших факапов.

Но то MS и то я. Крупнейшие умы современности не видят в регулярных факапах ничего странного и необычного, полагая эти проблемы по крайней мере прогнозируемыми и явными.

Так что, как честный человек, вынужден констатировать, что уже есть направления, в которых отставание MS весьма значительно и не факт, что вообще когда-либо будет заметно ликвидировано.

Однако, в данном случае меня это отставание почему-то безудержно радует. А вас ?

На сей раз, для разнообразия, не об 1С. А об другом говноподелии говнопогромистов. Что не удивительно совсем - нашенских.

Разбираю базу (чуть больше 100 Гб весом), которую оные говнопогромисты поддерживают в рамках обслуживания своего программного продукта.

Смотрим в SQL Agent -> Monitor и вот что мы там видим.

Есть задание, выполняется 2 раза в неделю. Задание состоит из выполнения скрипта. Вот он:

use %db_name%
go

declare @size real
select @size =size*8/1048576 from sys.database_files where type=1
--print @size
if (@size>32) begin

ALTER DATABASE %db_name% SET RECOVERY SIMPLE
DBCC SHRINKFILE (%db_name%_Log, 200);
ALTER DATABASE %db_name% SET RECOVERY FULL

end

Угадайте, на что жалуется клиент ? Правильно, на ацккие тормоза базы, на что погромисты важно ему советуют взять новый сервер побыстрее, да памяти побольше. Сейчас, кстати, там 32 Гб памяти, а в SQL стоит лимит 24 Гб. Кроме этой базы сервер более не загружен ничем, сам продукт серверной части не имеет (двухзвенка).

Это сейчас было наглядное объяснение, почему погромистов, особенно гордящихся несоблюдением стандартов и правил, на пушечный выстрел нельзя подпускать ни к чему продуктивному.

Вот что ЭТИ пишут сами о себе:
Компания «%CompanyName%», созданная в 2005 году, объединила команду профессионалов, которая в 2006 году разработала первую версию продукта «%ProductName%» для автоматизации и оптимизации процессов %чего-то-там%
В настоящее время «%ProductName%» успешно конкурирует с западными аналогами по надежности и объему реализованной функциональности и имеет множество преимуществ, включая доступность, короткие сроки внедрения и надежность. Эти преимущества позволяют продукту быть лидером на Российском рынке, иметь успешные внедрения в странах СНГ и в странах Азии (Вьетнам, Филиппины, Индонезия, Малайзия, Китай).

Два с половиной года назад я патетически вопрошал о бедах, которые неминуемо несут красноглазые для простых пользователей.

Вот, оно и случилось:

Ubuntu 17.10 повреждает BIOS на некоторых ноутбуках Lenovo, Acer и Toshiba

Компания Canonical отозвала вышедший в октябре дистрибутив Ubuntu 17.10 и спрятала ссылку на сайте для скачиваний. Причиной стал критический баг с повреждением BIOS в некоторых моделях ноутбуков Lenovo и одной модели Acer. Полный список пострадавших моделей в данный момент уточняется и пополняется.

Повреждение BIOS проявляется в том, что новые настройки больше невозможно сохранить, а после перезагрузки ноутбук стартует со старыми настройками.

Что ещё хуже, ломается загрузка с USB-флешки, поскольку USB не распознаётся.

На многочисленных форумах пользователи жалуются на эту проблему, потому что у многих ноутбуков отсутствуют приводы CD-ROM — так что они не могут уже загрузиться с другого дистрибутива.

Особенно много жалоб на форумах Lenovo. Это особенно неприятно, потому что часто именно ноутбуки Lenovo ThinkPad часто рекомендуют для работы с Linux, а у компании Canonical на офсайте они включены в список официально поддерживаемого оборудования.

«Портится не БИОС» в прямом смысле — лочится на запись микросхема SPI Flash. По всей видимости, это происходит при посредстве вышеупомянутого модуля ядра, поскольку только он один и способен к таким действиям (для этого в т.ч. и был написан). Именно от того, что SPI Flash аппаратно залочен на запись, никакое средство отката к стандартным настройкам БИОСа не сработает, потому как настройки-то хранятся в SPI Flash. Программатор тоже не поможет. Поможет только физическая замена микросхемы…

(c) https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1734147

Даже комментировать эту ляпоту не хочется. Настолько всё прекрасно.

Будни Tor-оператора в России: часть 3
Краткое содержание предыдущих серий.
1. Китайцы пытаются подбирать пароли к SSH.
2. Китайцы пытаются спамить.
Вчера была третья. Альтернативно одаренный копроцефал постил свои высеры на forum.asterisk.ru
Можно было настроить подитику выхода чтобы не обслуживать российские IP, но это сигнал.
Я убрал tor с сервера.

Sapienti sat или надо разъяснять ?

КДПВ:

Регулярно слышу хвастливые рассказы о серверах, которые работают без перезагрузок несколько лет.
Регулярно слышу влажные мечты (чаще всего красноглазые, но, увы, далеко не всегда) о том, чтобы один раз настроить сервер, а потом годами к нему не прикасаться.

Ни разу не слышал, чтобы по факту таких вот регулярно (регулярно, КАРЛ !) появляющихся новостей, кто-то из этих людей признал свою неправоту в данном вопросе (и я уже не говорю о профнепригодности):

В ядре Linux исправлена уязвимость двухлетней давности

Проблема позволяет получить права суперпользователя на системе.

В ядре Linux устранена опасная уязвимость повышения привилегий, обнаруженная более двух лет назад. Проблема была обнаружена сотрудником Google Майклом Дэвидсоном (Michael Davidson) в апреле 2015 года и устранена в релизе ядра Linux 4.0. Разработчики Linux портировали патч на устаревшие ветки 3.x с выпуском ядра Linux 3.10.77, однако в связи с тем, что на то время уязвимость не рассматривалась как серьезная угроза безопасности, исправление не было перенесено в LTS (Long Term Support, поддержка в течение длительного периода)-ядра и пакеты с ядром некоторых дистрибутивов.

По словам экспертов Qualys Research Labs, уязвимость затрагивает все версии CentOS 7 до 1708, все версии Red Hat Enterprise Linux 7 до 7.4, и все версии CentOS 6 и Red Hat Enterprise Linux 6.

Уязвимость получила идентификатор CVE-2017-1000253 и оценена в 7,8 балла по шкале CVSSv3. Проблема содержится в реализации метода загрузки исполняемых файлов ELF и позволяет получить права суперпользователя на системе. Суть уязвимости: исполняемый файл приложения, скомпилированного в режиме PIE (Position Independent Executable), может быть загружен таким образом, что часть информации из сегмента данных отразится на области памяти, выделенной под стек, в результате вызвав повреждение памяти. Злоумышленник может проэксплуатировать данную проблему для повышения своих привилегий путем манипуляций с находящимися в системе исполняемыми файлами с флагом SUID, собранными в режиме PIE.

Эксперты Qualys представили PoC-эксплоит, работающий на CentOS-7 с версиями ядра 3.10.0-514.21.2.el7.x86_64 и 3.10.0-514.26.1.el7.x86_64.
Для дистрибутивов Red Hat , Debian и CentOS уже доступны обновления, устраняющие данную проблему в LTS-релизах с версиями ядра 3.х.

А потом они спрашивают, почему я так отношусь к красноглазым...

КДПВ:
( под катом, ибоСвернуть )

Пройти мимо старых грабель и не запрыгнуть на них с размаху РКН просто не могут. Теперь эти пикантеропы отличились тем, что не смогли под себя в нарушение собственного же закона даже мигалку сделать:

Да-да, Роскомнадзор рекомендует провайдерам нарушить законодательство РФ, что само по себе попахивает, но сама идея "белого списка" точно так же содержит уязвимости, о чем специалисты опять предупреждали. И вот, провайдерам разослали этот самый "белый список". Среди кучи всякого властного и государственного, типа доменов фсб, правительства и региональных властей, встречаются и вот такое, ясно показывающие клиническую картину этих управдомов, пытающихся рулить интернетом - на 544-м месте в рассылаемом списке располагается маска "*.tomsk.ru". На минуточку, домен tomsk.ru находится под управлением коммерческой компании, которая за 345 рублей предлагает поиметь доменное имя третьего уровня любому страждущему. Итак, сделаем немного рекламы томской компании "Дайджест ТВ" (превед, Ваня Пилевин!), уж простите за невольный каламбур - эта компания занимается именно рекламой:

Вы педофил, торговец наркотой, призываете к насильственному изменению конституционного строя в РФ или завлекаете в сети Игил (организация запрещена в РФ)? Разместите свой сайт на домене третьего уровня у tomsk.ru и его не смогут заблокировать в РФ! Поимей систему её же фаллоимитатором!

Еще вижу маску *.nnov.ru (№457 в списке), nnov.ru бесплатно третий уровень раздает под блоги. Наверняка в этом списке есть что-то еще подобное.

Будучи суровым, но справедливым, я не могу себе позволить относиться к 1Сникам слишком предвзято. И когда я рассказываю, что ничего они не понимают в базах данных, надо помнить, что это не имманентное их свойство, а просто в российском ИТ (про зарубежное достоверно не осведомлён, хотя отдельные случаи, конечно, доставляют) мало кто знает о базах данных хоть что-нибудь вменяемое.

Вот, сегодня подогнали мне свежую, с пылу с жару, историю, и я натурально сделался как младенец: катался по полу, пЫсался и громко орал.
Итак, картина маслом. Идёт собеседование в большую ИТшную контору, кандидат с заметным опытом работы претендует на работу с серверами и вот это всё.

(небольшое примечание)
Как общеизвестно, первыми вопросами у кандидатов спрашивают совсем лёгкие простые вещи, чтобы ответив на них, кандидат преисполнился хоть чуточку уверенности и перестал пытаться сливаться с обивкой офисного кресла. Ну там, "кто написал полонез Огинского ?", "сколько будет 13% от 100 тыс руб без калькулятора ?" и вот это всё.
(конец примечания)

Ну так и тут. Человек заявил, что знает за SQL-сервер и даже таки имел его обслуживать. Вот его и спросили:
- Растёт лог базы SQL, что делать ?

Вопрос - наилементарнейший: Яндекс даёт на него 70 млн (!) ссылок.
Это самая первая трудность, с которой встречаются абсолютно все, кто начинает администрировать SQL-сервер. Ну, кто документацию, конечно, заблаговременно не читал.

Ну и наш герой, преисполненный мужества и одухотворённости, решительно, не таясь, отвечает:
( ну, у кого самая раскрепощённая фантазия ?Свернуть )

Update

Это простейший элементарный вопрос. Сродни "стрелочка топлива показывает 0, машина не заводится, что делать ?".
А в ответ "снимаю ГБЦ, заливаю в цилиндры доверху бензин, на полкилометра хватает", ага.

То есть, причин, конечно, может быть и много разных. Но ты ж начни рассказывать, какие причины видишь, в каком порядке что будет смотреть проверять - оно сразу и станет понятно, чего ты умеешь и знаешь по теме. Потому и вопрос задачи - увидеть твой уровень. Это не экзамен, где надо знать наизусть правильный ответ.

(в продолжение давешней саги о программистах)

С любопытством наблюдаю за эволюцией говнотворчества говноруких говнопрограммистов из яндекса.
Когда-то давным-давно, на свой бюджетный смартфон QTEK S200 я поставил яндекс-карты. Грузилось оно мгновенно, работало тормознуто, но я списывал это на неторопливость самого аппарата. Открыть карту по нужному адресу можно было примерно так за минуту-полторы от запуска программы.

Время шло, смартфоны менялись в сторону увеличения производительности, сейчас у меня топовый аппарат двухлетней давности. Яндекс-карты на нём работают примерно так:
Запускаю программу, жду примерно минуту, программа запускается и тут же падает
Запускаю программу ещё раз, жду примерно минуту. Начинает прорисовываться карта.
Ничего нажать нельзя, передвинуть карту нельзя, приблизить-удалить нельзя. Жду примерно минуту.
Указываю (через поиск или ещё как) точку назначения, жду 20 секунд, подтверждаю, жду 20 секунд, подтверждаю, жду 20 секунд, подтверждаю.
Простраивается маршрут, одновременно переключаясь в режим 3D и верчение карты. В режиме 3D всё вообще работает раз в 10 медленней, а верчение карты лично меня раздражает, так что отключаю то и другое. Если повезёт, то на это трачу 10 секунд, если не повезёт - 20.
Дальше, обычно оценив маршрут целиком, надо перейти в его начало. На это уходит не менее 15 секунд.

Итого, на всё 3,5-4 минуты.

Мне вот интересно, команда разработчиков действительно искренне не понимает, что сократить это время минимум (минимум !) в 10 раз - несоизмеримо более важная задача, чем прикрутить 3D, или они ловко придуриваются ?

Можно было бы списать всё на то, что у меня глючный аппарат, да вот беда: встроенные в ОС карты работают нормально - быстро, без глюков, отзывчиво.
Так что всё вышеописанное - именно говнотворчество говноруких говнопрограммистов из яндекса.

kuigoroj регулярно жалуется на то, что MS в последнее время сильно говнокодят, и приводит в доказательство пример, связанный с сортировкой в ACL. Конечно же, отрицать его невозможно, действительно, косяк налицо.

Однако, я всегда утверждал, что сравнивать надо не со сферическими кодерами в вакууме, а с реальной действительностью, данной нам в ощущениях. Вот пример, как обращаются с сортировкой крупнейшие софтверные гиганты:

vinni
Веб-морда коммутатора HP 2530-48G Switch (J9775A), сортировка событий по дате. Первыми идут все Fri...., последними - Wed.... Покажите мне этого "гения"

Ing.Syst
У FC-коммутаторов Brocade то же самое. Повбывав бы.

Извините, но это пробой дна. На фоне этого сортировочный косяк MS все же имеет невинный вид детской игры в крысу (c) О. Бендер.

Отдельно обращаю внимание, что это не китайская подвальная контора Сунь-Хунь-Вчай, нет. Это крупнейшие ИТ-монстры современности.

Ну то есть за последние 6 лет ничего приниципиально не изменилось:
А потом они кричат - "майкрософт говно". Дорогие мои, да для вас достигнуть уровня MS - это несбыточная мечта. Вам до MS - как моське до слона.