Когда, в своё время, мы начали работать с системой регистрации телефонных переговоров "Незабудка-II" и с регистраторами речевой информации "Smart Logger BOX" (далее SLBox) от компании "ЦРТ", то одним из первых логичных вопросов был вопрос мониторинга работоспособности этих самых регистраторов. Предложенная производителем на тот момент времени, так называемая, программа мониторинга "Status Monitor" (STC-S449) после развёртывания и изучения функционала показала себя, как не выдерживающее никакой критики программное решение, которое, по моим личным ощущениям, за миску супа писал какой-то голодный студент, прикованный наручниками к батарее. То, зачем это было реализовано именно в таком виде, для меня так и осталось непостижимым.
-
Исследование возможностей мониторинга регистраторов речевой информации STC Smart Logger BOX и плагин check_snmp_stc_slbox для базового мониторинга в Icinga
-
Сканирование сети на предмет выявления модулей управления ИБП APC уязвимых к Ripple20
В прошлом году компанией JSOF была публично раскрыта информация о целом наборе уязвимостей, корни которых уходят в древнюю библиотеку компании Treck, реализующую функции стека протоколов TCP/IP. Эту библиотеку на протяжении многих лет использовали разные производители аппаратного обеспечения для обеспечения работы TCP/IP во встроенном микрокоде firmware на множестве разных типов устройств. Данный пакет уязвимостей получил общее название Ripple20.Уязвимости, входящие в состав Ripple20, имеют разные уровни критичности и среди них есть некоторые опасные уязвимости, позволяющие удалённо вызвать отказ в обслуживании или даже получать полный доступ над устройством со всеми вытекающими последствиями.
Данная проблема была освещена на множестве интернет-ресурсов, связанных с темой информационной безопасности. Вот некоторые из них:
- Блог Касперского - Ripple20: 19 уязвимостей в библиотеке TCP/IP
- SecurityLab - Уязвимости Ripple20 затрагивают миллиарды устройств по всему миру
- "Хакер" - Сотни миллионов IoT-устройств в опасности из-за уязвимостей Ripple20
Часть вендоров на протяжении нескольких месяцев после огласки Ripple20 выпустили обновления микрокода для своих продуктов, в которых закрываются данные уязвимости. Однако некоторые производители намеренно отказались от обновления микрокода некоторых своих продуктов, снятых с текущей поддержки. Таким образом, все уязвимые устройства, не имеющие обновления, но по прежнему эксплуатируемые в рамках локальных/глобальных сетей, вошли в группу повышенных рисков нарушения режима ИБ.
Проблема с уязвимостями Ripple20 заключается в том, что работа по снижению рисков в рамках больших корпоративных сетей с множеством устройств разных производителей и моделей, требует комплексного подхода с применением разных методик защиты, таких как обновление микрокода, ужесточение правил меж-узлового взаимодействия на уровне сети, использование систем обнаружения сетевых аномалий и т.д.
Применительно к вопросу обновления микрокода на эксплуатируемых сетевых устройствах, требуется отдельное планирование и немалый объём работы по устройствам каждого отдельно взятого производителя и модели. В данной заметке мы рассмотрим вариант сбора информации относительно модулей управления источников бесперебойного питания (ИБП) марки APC ("APC by Schneider Electric"), которые широко используются для защиты электропитания серверного и сетевого оборудования.
-
Важное обновление микрокода накопителей HPE SAS SSD
В конце Ноября и начале Декабря компания Hewlett Packard Enterprise опубликовала пару сервисных бюллетеней, описывающих критическую проблему с некоторыми моделями накопителей SSD, произведённых в Samsung и поставляемых в рамках комплектации серверных платформ и СХД от HPE.В накопителях HPE SAS SSD с версией микрокода ниже, чем HPD8, проявляется ошибка, приводящая к выходу из строя накопителя с потерей всех данных после работы накопителя в течении 32768 часов (3 года, 270 дней и 8 часов). Усугубить проблему может ситуация, в которой из однотипных дисков, подверженных описанной проблеме, построен RAID массив и одновременный выход из строя сразу нескольких таких дисков может привести к потере данных всего RAID массива. Читать далее...
-
Icinga плагин check_snmp_value_from_range для отслеживания вхождения значения в допустимый диапазон значений, извлекаемых по протоколу SNMP (на примере мониторинга входного напряжения ИБП)
Продолжая тему мониторинга сетевых устройств по протоколу SNMP в Icinga на примере модулей управления источников бесперебойного питания (ИБП), можно в очередной раз отметить тот факт, что рассмотренная ранее схема с использованием плагина check_snmp дает нам лишь базовые возможности обработки получаемых по SNMP данных. Когда описанным базовым методом мы начали мониторить входное напряжение ИБП разных производителей и разных моделей, со временем пришли к выводу, что использование статически заданных границ (верхней и нижней) для входного напряжения – не очень приемлемый вариант. Проблема заключалась в том, что даже в рамках одной марки ИБП в нашем окружении присутствует множество разных моделей, каждая из которых имеет свои допустимые рабочие диапазоны входного напряжения. При этом на некоторых моделях ИБП эти диапазоны могут регулироваться администратором, как в сторону сужения, так и в сторону расширения. -
Icinga плагин check_snmp_apc_ups_state для расширенного отслеживания аварийных состояний ИБП APC по данным, полученным по протоколу SNMP из параметра upsBasicStateOutputState
Ранее мы рассматривали пример настройки мониторинга контроллеров управления источников бесперебойного питания (ИБП) марки APC в Icinga с использованием протокола SNMP. При этом мы использовали плагин check_snmp, который использовался для создания каждой отдельной службы Icinga, использующей простую логику сравнения полученного по SNMP показателя с неким допустимым значением. Однако такой подход позволяет отслеживать не все состояния ИБП, которые можно отнести к нештатным и требующим внимания администратора. -
Перенос ОС Windows Server 2012 R2 с массива RAID-1 SAS HDD на массив RAID-1 SATA SSD на RAID-контроллере HPE Smart Array P440ar сервера HPE ProLiant Gen9 (без переустановки ОС)
При создании RAID-массивов на контроллерах HPE Smart Array не допускается комбинированное использование дисков с разными интерфейсами (SAS и SATA) в рамках одного массива. Поэтому, в случае, если ранее операционная система сервера была установлена на RAID-массив, состоящий из дисков одного типа (например SAS HDD), то в случае необходимости переноса ОС на диски другого типа (например SATA SSD), нам потребуется создать отдельный RAID-массив из дисков такого типа. Здесь мы рассмотрим пример подобного переноса ОС Windows Server 2012 R2, развёрнутой на сервере HPE ProLiant Gen9, без необходимости переустановки ОС, то есть с минимальным временем простоя сервера. -
Конвертируем NAS-сервер HP ProLiant DL320s G1 в дисковый массив DAS
Практическая работа с серверами HP ProLiant DL320s G1 Storage Server (AG651A) каждый раз приводит меня к мысли в том, что одним из наиболее проблемных узлов этой модели является RAID-контроллер. При этом стоит отметить тот факт, что сам по себе RAID-контроллер этой модели, то есть HP Smart Array P400, никаких особых нареканий не вызывает при работе на других серверных платформах, например на HP ProLiant DL380 G5. Однако на серверах DL320s с этим контроллером не редко возникают какие-то странные проблемы. Бывало такое, что на контроллере отказывает модуль кеш-памяти. Меняем модуль и контроллер возобновляет свою штатную работу. Снятый и, якобы неисправный, модуль для проверки ставим на другой аналогичный контроллер в другом сервере, и этот модуль … работает. Иногда установка заведомо рабочего модуля не даёт желаемого результата и приходится менять сам RAID-контроллер. В некоторых случаях бывает даже так, что установка заведомо рабочего контроллера с новым модулем памяти не решает проблемы. На одном из таких "мутных" серверов в попытке выявить и ликвидировать причину возникновения подобных "глюков" в своё время даже поочерёдно менялись платы дисковой корзины Backplane Board, но это тоже не дало вменяемого результата. На фоне такого безрадостного опыта мне в руки снова попался очередной аналогичный сервер DL320s с отваливающимся кеш-модулем на RAID-контроллере и мне подумалось, что нужно попробовать найти какой-то кардинальный способ решения этой проблемы. -
Про “Российские” аккумуляторы ВОСТОК
Планируя замену аккумуляторных батарей (АКБ) на ИБП, решил немного прошуршать по интернет-сайтам в поисках предлагаемых коммерсантами альтернативных решений. Обнаружил неизвестную мне доселе марку аккумуляторов “ВОСТОК”. Сайты, предлагающие АКБ, презентуют нам этот бренд, как “Российскую марку аккумуляторов, спроектированную для промышленных ИБП и систем автономной энергетики как доступный аналог дорогих западных брендов….”. И цена таких аккумуляторов, по сравнению с другими брендами, действительно более умеренная. В общем решили мы из любопытства взять пару аккумуляторов модели ВОСТОК СК-1212 (12В 12Ач). -
Исправляем проблему малого времени работы от батарей после смены аккумуляторов и калибровки на ИБП APC Smart-UPS 5000 (SU5000RMI5U)
Многим администраторам, обслуживающим серверную инфраструктуру так или иначе приходилось сталкиваться в своей работе с широко распространённой линейкой источников бесперебойного питания (ИБП) Smart-UPS торговой марки APC by Schneider Electric. Многие из тех, кому самостоятельно приходилось заниматься заменой батарейных картриджей и/или (о боже!) заменой аккумуляторных батарей в батарейных картриджах в этих ИБП, хорошо знают о том, что после замены батарей нужно проводить калибровку ИБП (Runtime Calibration) для того, чтобы ИБП скорректировал расчётное время работы от батарей. Однако далеко не все знают о том, что после смены батарей на некоторых моделях "умных" ИБП APC требуются дополнительные манипуляции по сбросу внутренних регистров блока управления ИБП для того, чтобы время работы от батарей рассчитывалось действительно корректно. В этой заметке мы рассмотрим пример того, как отсутствие необходимых действий может привести к некорректной работе ИБП и то, как это можно исправить. -
Серверы HPE ProLiant DL380 G9 и режим охлаждения в конфигурации по умолчанию
Настраивая контроллеры iLO4 на партии серверов HPE ProLiant DL380 G9 обратил внимание на пару моментов, касающихся режима охлаждения. Серверы поколения G9 обладают широким набором температурных сенсоров и позволяют в реальном режиме времени наглядно получать картину распределения нагрева в разных зонах серверной платформы. В моём случае все серверы установлены в одном серверном помещении (в разных шкафах) и имеют на входе (в районе лицевой панели) примерно одинаковую температуру в пределах 16-17С. Однако посмотрев на 3D-модель температурного графика я заметил, что ситуация выглядит так, как будто вентиляторы не справляются со своей работой и в некоторых зонах сервера нагрев достигает 68-70С.
Онлайн-курсы Евгения Лейтана
Внедрение Microsoft System Center Operations (SCOM) 2016/201913 уроков (6 часов видео), лабораторные работы и вручение именного сертификата.
Промокод "IT-KB_60" со скидкой 60%!
