ОколоITшный дыбр #55

klink0v — 17.03.2024

... На работе наконец-то уволили одного из мудаков из проекта "с мудаками". Куроводство умудрилось терпеть его аж целых четыре года. Это к вопросу о мудаках, освещенному в одном из предыдущих постов.

После этого мудака мне "в наследство" достался крайне криво сконфигурированный Juniper SRX-345. Тот чудик вообще не понимал что творит, а поэтому тупо настроил по принципу чёрных списков ("разрешено всё что не запрещено"), для вида добавив глобальное правило с именем "Deny-all", внутри которого находится директива "permit any". Шутку понял, смешно. Ещё там прописана тонна каких-то IDP-политик, которые на самом деле не работают (и никогда не работали), потому что сам демон idp выключен ещё со времён царя Гороха. Да даже если и включить, то лицензию на него продлить всё равно уже нереально.

То есть по факту там файрволл был настроен по принципу "заходи кто хочешь, бери что хочешь", но зато явно запрещены всякие пинги-ssh из отдельных подсетей для создания видимости (и чтоб все остальные сотрудники за***лись). Самое грустное то, что по-хорошему это всё мне теперь придется капитально переделывать, но перейти от чёрных списков к белым не так-то просто. Ибо забудешь где-нибудь явно разрешить какой-нибудь сервис, и усё, вот тебе downtime. При том, что нормально настроенного мониторинга той площадки тоже нет, ровно по тем же причинам.

Хвалёный подход к безопасности имени "4-eyes principle" тоже не сработал. Много раз говорил куроводству, то тот мудак творит полную х***ню, но всем было похрен. Потому что другого "бизапасника" нет. Это как в ЖКХ: уволишь этого бухого сантехника, ставить хомуты на трубы будет совсем некому. А так, проект как-то работает, деньги приносит, больше особо ничего никого и не интересует. И это при формальных очень жёстких требованиях к безопасности: тонны макулатуры с описаниями всего и вся, ежегодным аудитом, рЫгламентами, процедурами, огромным талмудом всевозможных требований к построению решения и всё вот это.

Мораль? Тремя абзацами ниже.

... Когда разворачиваю решение на "чужих" площадках, заказчики бывают двух основных типов. Первые (встречаются редко): вот тебе гипервизор, вот тебе пул ресурсов, нарезай как хочешь, делай что хочешь. Лапочки. В таком случае я всё делаю быстро и в лучшем виде.

Второй (таковых большинство): доступ к гипервизору не дадим, виртуалки тебе инсталлируем сами, да ещё и всё анально огородим по самые помидоры. То нельзя, сё нельзя, вот тут всякие auditd, selinux и прочие splunk-и, которые будут везде ср*ть, но отключать их не моги. Чтобы войти в контур, поставь какой-нибудь checkpoint vpn, получи SMSку через третьи руки, потом еще какой-нибудь PAM-сервер черзе одно место. В таком случае я насчёт безопасности вообще не думаю: уложиться бы в поставленные сроки с этой дурацкой поклейкой обоев через замочную скважину, и всем своим коллегам тупо даю root-а от машин заказчика. Иначе точно не успеем.

... Теперь мораль. В ряде случаев попытка усилить безопасность приводит ровно к обратному эффекту. Только мало кто об этом задумывается. Поэтому и ломают регулярно всякие там крупные и окологосударственные конторы. Не потому что там мало внимания уделяют безопасности. А потому что в конечном итоге всё зависит не от текстов рЫгламентов, а от радиуса кривизны и степени замотивированности тех ручек, которые всё это будут инсталлировать и настраивать.

... Какое-то странное субъективное ощущение. У меня создалась иллюзия, что смартфон с симкой красного оператора при прочих равных живёт на одном заряде аккумулятора намного дольше, чем если в него же вставить симку чёрного оператора. Если ваши ощущения совпадают с моими, то это крайне интересно.

... Ещё заметил, что при активации VoWiFi у зелёного многошумного оператора сотовая радиочасть смартфона переходит в режим 3G (UMTS). Но зачем, Холмс? Казалось бы, какая разница, если всё равно payload бегает через WiFi ? А в случае возможного handover-а переключаться придется всё равно на LTE, а не в UMTS. Где логика? Мне покамест в голову приходит только одно объяснение: этот оператор не умеет SMSки через IMS или NAS передавать. Но это всего лишь предположение.

... Долго думал какой бы взять SMS-шлюз для трансфера СМСок с поддержкой 4G чтобы хватило "на подольше". Но внезапно осознал, что в нём нет особого смысла. Вот почему. Голос и SMSки в 4G — это VoLTE. Который не работает без подключенной к контракту услуги "мобильный интернет". Которая у меня на таких вот "банковских" SIMках отключена, чтобы смартфоны случайно не выжрали бы дорогущий интернет-трафик из сети оператора.

То есть получается, что нужно либо покупать пакет мобильного интернета, либо мириться с тем, что оператор спишет с лицевого счёта ощутимую сумму когда смартфон по каким-то своим делам решит скачать несколько килобайт через сотовую сеть. Либо отключить мобильный интернет как услугу, но тогда не будет VoLTE, так что возможность работать через 4G-сети становится как бы и не нужна.

Так что нехай один трёхбуквенный оператор сам присылает SMSки в телегу, 50 рублей в месяц можно ему за это и отбашлять.

... Даже не думал, что тупо постричься может стать такой проблемой. Обошел несколько парикмахерских на районе, все обслуживают только по предварительной записи. А я не могу предварительно записываться, потому что заранее не знаю когда меня сдёрнут или не сдёрнут с работы. Есть ещё всякие барбершопы, но там ценник на стрижку какой-то негуманный. Да и не нужны мне все эти понты. Блин, хоть бери машинку и сам себя перед зеркалом корнай.

Всем работающих мобильников и красивых причёсок.

Оставить комментарий

Популярные посты:

cardemua

Шрифты для видео в социальных сетях: как выбрать лучший для Instagram и TikTok

magman67

Камбоджа

myworld

Уличная цветочная лавка

nikolamsu

Ради мира на земле

obezzyann

Мы одних электронов. Фраза 5

orientalist_v

"Повторно вернуться в родные края - 2"

nefer

Три советские модели, которых пригласили сниматься в кино

hippy_end

Вот и сугубо материальная ответка РФ на конфискацию Европой виртуальных

• Архив