Gyógyul a blog. Remélhetőleg.

Aki esetleg elbátortalanodott a múltkori bejegyzésben emlegetett ‘vírusos a blog’ kitételen, immár megnyugodhat. Rákérdeztem, nem a blog lett vírusos, hanem a bloghoz tartozó postafiókba érkezett egy vírusos levél. Tekintve, hogy ezt a postafiókot életemben nem használtam, valójában a hozzátartozó emailcímet sem ismerem, így teljesen hidegen hagyott a dolog. Tőlem törölhetik az összes levelet is.

Ez a bizonyos 503-as hibaüzenet viszont keményebb dió. Elkezdtem nézegetni Cpanel-ből az erőforrások használatát. Rögtön láttam egy csomó 90% körüli memóriahasználatot. Hoppá, megvagy bestye! De aztán kiderült, hogy mégse. Ez ugyanis csak az azóta feltelepült Wordfence modul blogszkennelése. Márpedig a hiba már ezelőtt is megvolt, jócskán. (Ettől persze még beállítottam, hogy ne szkenneljen olyan vadul, ráérünk Dönci.) Ha viszont kiveszem a grafikonból ezeket a terheléseket, akkor a blog nagyon szerényen fogyaszt.
Akkor most mi van?
Megkérdeztem a szolgáltatót. Azt írták vissza, hogy ez a hibaüzenet azt jelenti, hogy feszegetem a számomra biztosított határokat. Na de… Cpanel, statisztikák. Eltekintve a háromnaponkénti blogszkenneléstől, a processzor pár százalék, a memória stabilan 20% alatt, az IOPS meg gyakorlatilag nem is mérhető.
Akkor most mi van?
A szolgáltató ajánlott még két tesztoldalt is. Mindkettő lehúzta a vérbe a blogot. Mondjuk, nem is csoda, eddig eszembe sem jutott tuningolni. Lehet, hogy kellene.
Tuningoltam.
Amivel nem tudtam mit kezdeni, az a GPSies beágyazott térképei, illetve a NextGen rutinjai. Pedig mindkettőre fújtak rendesen a tesztelő oldalak.
Ami viszont látható, az az, hogy a nyitólapon lecsökkentettem a bejegyzések számát ötre. (RSS-ben maradt 15.) Amekkorákat én írni szoktam, ez is elég. A többi már ilyen-olyan apró hekkelés. Képek letöltésének optimalizálása. Aztán minden tömörítve menjen le. (Dolgozzon a ti processzorotok.) Végül még a PHP-t is felnyomtam 7.3-ra. (Hogy én miket csinálok, pár éve még elképzelhetetlen lett volna.)

Most ennyi. Feljegyeztem, hogy hány 503-as hiba volt eddig. 5392. Aztán remélem, nem szaporodik.

Medve, lehúznál a halálistádról?

Mostanában van egy meglehetősen zavarbaejtő munkám. Igen, ez kicsit IT-s írás lesz, de igyekszem nem belemenni a mélységekbe. A történet groteszksége a lényeg.

Szóval adott egy meglehetősen nagyméretű, nemzetközi cég. Exchange területen vagyok érintett, L3 támogatást adok. Az üzemeltető személyzet szerteágazó, de szinte mindenki ki van szervezve valahová. A magyarországi AD/Exchange területen mi adjuk az L2-t is.

A cég megtette, illetve éppen megteszi az első tapogatozó lépéseket: Exchange2010, illetve Windows7/Outlook2010 állapotból szeretnének eljutni Exchange 2016/Windows10/Outlook2016 állapotba. A környezet eszméletlenül túlszabályozott, mint a nagy multiknál általában, ha leejted a ceruzádat, öt ember kell, hogy felvehesd a földről.

Kliens subnet, ahol a magyar részleghez tartozó kliensgépek találhatók, két országban is van. Legyen az egyik ország A, a másik B. Az A országban lévő gépekhez teljeskörű hozzáférésünk van, saját AD-ban vannak. A B országban lévő gépek másik erdőben vannak, semmi jogosultságunk sincs, még lokál admin sem. A B országban kaptunk Windows10/Outlook2016 image-ből felhúzott gépeket. Mi renitensek vagyunk, nem a központi levelezőrendszert használjuk, hanem a sajátunkat. Az első feladat az volt, hogy innen, ebből a környezetből próbáljuk meg elérni a saját Exchange 2010 szervereinket. Abszolút nem sikerült. Az autodiscover szolgáltatás IP címét még megtalálta az Outlook2016, de magát a szolgáltatást már nem érte el. Az ilyesminek rengeteg oka lehet, módszeresen végigmentünk mindenen, semmi nem segített. Aztán tesztelés közben jött egy csúnya incidens az A subnetben, hagytunk mindent a fenébe. (Ennek később lesz jelentősége.)

Utána, mármint az incidens elhárítása után, javasoltam, hogy egyelőre hanyagoljuk a B hálózatot, ott úgy sincs semmihez jogosultságunk. Hozzunk létre az A hálózatban hasonló körülményeket és teszteljünk ott. Itt ugyanis megvan az atyauristens jogosultságunk. Ezzel kapcsolatban kértem a saját user szintű felhasználómnak postafiókot, mert azzal terveztem tesztelni. (Igen, nem lehet akármilyen felhasználóval akárhová belépni.) Megkaptam mindent. Oké, csináljunk a tesztgépen Outlook profilt. Autodiscover megtalálása oké, de rögtön nevet, jelszót kért. Jó, direkt nincs a gép tartományban, megadtam. Erre kérte újból, majd makacsul újra, meg újra. Kipróbáltam mindenféle formában, semmi. Autoconfig teszt, nos, már az autodiscoveren elhasalt. Ez annyiból vicces, hogy itt nem szabadna neki. Majd akkor, ha csatlakozni akar a postafiókhoz. De az autodiscover az ingyenes, azt mindenki elérheti. Aztán legfeljebb hibát ad vissza, ha nem találja a felhasználót, de itt még idáig sem jutottunk el.

Jó, egyszerűsítsük le a helyzetet. Hiszen egy csomó minden lehet a jelenség mögött. Próbáljuk ki az OWÁ-t. Az olyan, mint a Trabant: mindenhol elmegy, még ott is, ahol a többi autó elakad.

Építkezéskor teszteltük. Az Eger közeli mezőn 300 ember egyszerre kezdett el építkezni, tavasszal. Ennek az lett a vége, hogy az első tíz még ki tudta vinni teherautóval az építőanyagot, viszont ezek olyan dagonyát csináltak a felázott talajon, hogy az építkezési terület megközelíthetetlen lett. Egyedül a szomszéd Postás Gyuszi járkált ki vidáman. Trabanttal.

Az OWA bejelentkező ablak szépen fel is jött, usernév, jelszó… nincs ilyen. Vagy user, vagy jelszó. Megint kipróbáltam mindenféle formátumot, semmi. Hmm.
Nem részletezem, két teljes napot görcsöltem vele, a végén már habzó szájjal. Az Exchange-ben full-admin voltam, az AD-ben csak view-only, de elméletileg ennyi is elég volt. Áttúrtam minden beállítást. Minden logot. Kipróbáltam az elérést névvel (ez ugye loadbalanceren megy keresztül), IP címmel, bentről, kintről, Windows laptopról, Android mobiltelcsiről, szóval minden módon. Semmi. Ráadásul eleinte szólni sem mertem. Minden helpdesk-es vigyorog magában, amikor valaki bejelenti, hogy nem tud belépni, a rendszer nem fogadja el a jelszavát. Az ilyesmi ugyanis 99%-ban user error. Elfelejtett jelszó, bekapcsolva maradt capslock, előrehajolva billentyűzetet lenyomó női mellek (nemröhög, valós eset), egy csomó ilyesmi. Én meg itt L3-as szakértőként jövök egy ilyen pimfli problémával. Inkább görcsöltem. Mondjuk olyan sokat nem, két napot tudtam rászánni a történetre… csak hát ez alatt a két nap alatt meg akartam oldani a hozzáférést, aztán ehelyett még a tesztet sem tudtam elkezdeni. A PM meg már a légiósbetegség jeleit kezdte mutatni, legalábbis folyamatosan csesztetett státuszért. Hülye helyzet volt. Végül szóltam a helyi L2 főnöknek, hogy izé. Kipróbálta. Nála működött. Fogalma sincs, nálam miért nem megy.

Passz.

Aztán egyszer be kellett mennem. (A PM szervezett egy megbeszélést, mert mindenkit le akart cseszni, azt meg jobb személyesen.) Gondoltam, kihasználom az alkalmat, megnézem, hogy a helyiek hogyan lépnek be az OWÁ-ba. Lehet, hogy van belépés közben egy titkos mozdulat.
Odaültem az L2 főnök mellé. Belépett. Kilépett. Jöttem én. Megadtam az adatokat, közölte, hogy ilyen user nincs. Nagy fejvakarások. Group Policy? Arra nem láttam rá. Csoporttagság? Állítsunk be mindent úgy, mint nálad. Nem lehet. Rendszeres audit van, buknánk. Akkor mi legyen?
Ekkor jött be kávészünetről az egyik domain admin.

– Te Béla, kell valami speciális beállítás az OWÁ-hoz?
– Igen egy csoporttagság. Betegyelek?
– Jézus. Ez nem jár alapból?
– De jár. Csak a userlétrehozó szkript nem mindig állítja be.
– Fasza.

Beállítottuk. Leteszteltem. Működött.
Lekerültem a halállistáról.

A hírnek mindenki örült. Eltűnt a legnagyobb akadály a valódi tesztelés elől.

Akit kicsit jobban érdekelnek a szakmai mélységek. Nem, a korlátozást nem Exchange oldalon oldották meg. Ahonnan logikus lenne. Akkor megtaláltam volna. Semmilyen OWA házirend nem létezett a rendszerben, OWA segmentation sem volt. Valahogy GPO/registry szinten turkálhattak bele.

Na mindegy, teszteljünk. Szóltam, hogy én majd otthon, ott jobban ki van építve a környezetem, mint a laptopon.
Mire hazaértem, jöttek az ujjongó levelek, hogy a B hálózatból is remekül megy az Outlook2016.
Ami valahol jó hír, de könyörgöm, WTF? Attól, hogy az A hálózatban a szerencsétlen userem megkapta az OWA jogosultságot, hogyan javulhatott meg a B hálózatban más felhasználók hozzáférése?

És akkor beszéljünk egy kicsit a korábban félbehagyott incidensről.

Az történt, hogy amikor kitört a balhé, amikor elkezdtek égni a telefonvonalak, éppen bent voltam. Az Outlook2010-ben nem működik a megbeszélés-szervező varázsló. Bólintottam. Ha a free/busy nem működik, akkor nem fog az Out-of-Office sem, sőt az offline címlista letöltése sem. Kipróbálták. Nem működtek. Érdekes módon nem örültek annak, hogy milyen ügyesen megjósoltam.
Aztán hamarosan az én mosolyom is lehervadt. Ugyanis voltak gépek, amelyekről működött minden. A B hálózatból például gond nélkül. Az A hálózatról meg valamelyikről igen, valamelyikről nem. Ez meg mi a fene lehet? Mint írtam, bonyolult, agyonszabályozott a rendszer, proxykkal, reverse proxykkal, loadbalancerekkel, web application tűzfalakkal. Elméletileg bármi lehet, de mi az, hogy egyik gépről megy, a másikról meg nem? Csont ugyanolyan beállításokkal?
A hálózatot nem mi üzemeltetjük, az egy másik céghez van kiszervezve. Megkerestük őket. Lepattintottak. A hálózat tökéletesen működik. Nem hagytuk magunkat. Kértünk egy konzultációt. Megint elhajtottak. Hogy nincs miről beszélnünk. Hogy minden úgy van beállítva, ahogy mi kértük. De könyörgöm, ki tudja, hogy mit kértünk? Ezen meglepődtek. Nincs dokumentációnk? Nincs. És aki kérte, az már valószínűleg nem is él. Cöcö. Fejcsóválás. Ejnye. Továbbra sem hagytuk magunkat. Kérünk egy óra konzultációt. Le szeretnénk ülni valakivel a hálózati eszközök konzolja elé és közösen átnézni a beállításokat. Azt nem lehet. Oké. Akkor adjatok dokumentációt. Hát, izé… az nincs. Ejnye.
Végül csak megkaptuk az egy óránkat. Csak hogy értsd: egy automatikus site resilience szintű Exchange rendszerről van szó, a telephelyek különböző országokban, a loadbalancerek pedig értelemszerűen _szerves_ részét képezik az Exchange rendszernek. És többszintes hiererchiában van belőlük vagy 20 virtuális példány, néhány fizikai eszközön. Ha én, mint Exchange üzemeltető nem ismerem ezeket, akkor vakon vezetem az autót egy kivilágítatlan alagútban. És nem ismerte senki közülünk.
A konzultációra egy rendes srác jött el, egy korábbi cégben kollégák is voltunk, részletesen végigmutogatott minden beállítást, elmagyarázta mind a nagy képet, azaz a struktúrát, mind a beállítások értelmét. Én is láttam már loadbalancert, bőszen jegyzeteltem. Találtunk is néhány hibás beállítást, aki a health check metódusokat beállította, nem sok Exchange szerverrel találkozhatott.
Aztán az egyik példányon be volt kapcsolva az a bizonyos Web Application Firewall, azaz WAF. Belenéztünk. Egy értelmezhetetlen kifejezés volt benne, fogalmam sincs, milyen nyelven. Annyi látszott, hogy a szabály feltétel része valahogy a forrás IP címeket vizsgálja. A hálózatos srác is csodálkozott. Erről nem tud semmit. Szerencsére a komment mezőben benne volt a regisztráció száma, visszakerestük, kiderült ki kérte, az egyik helyi ember ki is rohant és behívta az illetőt. Nos, a történet röviden az, hogy a szekuritis srác be akart állítani az OWA forgalomra egy BOF elleni védelmet. Arról szólt a szabály.
Csak hát, az egész vérzett. Egy csomó sebből.
– Az illető azt hitte, hogy csak az OWA forgalmat vizsgálja. Nem tudta, hogy az Exchange-nek emellett van még egy csomó egyéb webes szolgáltatása is. Melyeket értelemszerűen ugyanazon a gépnéven érünk el, azaz ugyanazon a loadbalancer példányon keresztül.
– Nem tudta, hogy a kliens gépekről nem csak a böngésző szeretné ezeket a szolgáltatásokat elérni, hanem az Outlook is.
– Az Outlook egy kicsit máshogy próbálta elérni a szervert. Nem lehet tudni, hogy a szabály vizsgált-e valamit, például a user-agent értékét. (Az illető a szabályt egy másik országbéli kollégától vette át.) Mint ahogy azt sem lehet kizárni, hogy az Outlook 2010/Exchange 2010 kommunikációban a Microsoft némileg lazábban kezelte az RFC-t. Mindenesetre az biztos, hogy a szabály az Outlook https kommunikációját blokkolta, a böngészőét engedte. Ez volt az egyik rejtély magyarázata.
– A srác úgy gondolta, hogy első lépésben tesztel. Azaz nem a teljes forgalomra teszi rá a filtert, hanem csak egy részére. Ezért rakta bele a feltételbe azt, hogy csak azokat kapja el a szűrő, akiknek az IP címe 2-re, 5-re vagy 7-re végződik. Ez a magyarázata a másik rejtélynek. Ezért volt az, hogy két tökugyanolyan konfigon miért működött az elérés az egyik gépről, és miért nem a másikról.
– Aztán teljesen természetesnek vették, hogy erről az Exchange üzemeltetőit nem kell tájékoztatniuk. Hiszen azok neandervölgyiek, nem értenek sem az IT biztonsághoz, sem a hálózathoz.
– De, mint ahogy látszott is, még házon belül sem volt minden rendben, hiszen még a hálózatos kolléga is meglepődött a szabály láttán.
– Aztán ott van ugye az első reakciójuk: náluk minden rendben, csak az lett beállítva, amit mi kértünk. Aha.
– És azt most hagyjuk, hogy a szekuritis srác első reakciója nem az volt, hogy bocs fiúk, ezt elbasztam, hanem az, hogy mekkora hulladék alkalmazás már ez az Outlook, meg hogy a Microsoft a hülye zárt kódjával és az RFC-k leszarásával.
– Azt pedig csak félve említem meg, hogy egy ekkora, komplikált cégnél beleturkálni a rendszerbe, mindenféle change management nélkül… hajmeresztő.

Kicsit hosszú kitérő volt.

Nos, összeállt a kép? Amikor a B hálózatból teszteltük a hozzáférésünket, akkor pont be volt kapcsolva ez a WAF szabály. És kinyírta az Outlook kapcsolódási próbálkozásait. A szekuritis pacák pár nappal ezelőtt módosította a szabályt, azóta viszont nem teszteltünk. Mert én az OWA belépésem miatt szívtam. És amikor nekem sikerült a belépésem, a többiek úgy gondolták, hogy tesznek egy új kísérletet. Mely szintén sikerült, mert addigra át lett írva a WAF filter.

Nos, ennyi.

Most jön a moralizálós rész. A legtöbb infrás informatikus, különösen a fiatalok, azt képzelik, hogy ez milyen csodálatos szakma. Komplex rendszereket lehet építeni, minden ezerrel fejlődik, egyre jobb lesz, ugyan folyamatosan tanulnunk kell, de milyen csodálatos már az, amikor egy elképesztően bonyolult rendszert sikerül összeraknunk tesztkörnyezetben. Mekkora jók vagyunk már.

Pedig nem. A szakma nem erről szól. Sokkal földszagúbb. Sokkal gürizősebb. A valóság ugyanis mocskos. Kimész az iparba és gányolások, átkötések, improvizációk mindenhol, dokumentáció gyakorlatilag sehol, az ember, aki valamikor beállított valamit, mára már elérhetetlen, felszívódott, vagy ha nem, akkor utálja a régi cégét és kínzással sem adna ki semmilyen információt. Te pedig küzdesz, mint malac a jégen.
Aztán amikor elkezd lobogni az őrület tüze a szemedben, egyszer csak megszólal melletted valaki, hogy ja, ahhoz benne kellene lenned egy csoportban.

Jajnemár

Mindenkinek jól esik az elismerés, ez tény, de kedves emberek, ez valahol már túlzás. Ilyen környezetben látni a nevemet… egy kicsit erős.
Mindenesetre lementettem a képet és elraktam. Mutogatni az unokáknak.

PS.
Viszont csak szólok, hogy tessék már elfelejteni a MEK-et. Némileg kőkorszakiak a fiúk. Először írtak, hogy kitehetik-e? Persze. Terjedjen, olvassák. Aztán jöttek a könyvekhez a visszajelzések, én pedig javítgattam. A saját gépemen. Hol csak nyelvtanilag, hol érdemi mondanivalóban is. (Nem vagyok rá büszke, de egy komplett fejezetet újra kellett írnom, annyi hiba volt benne.) Az újabb példányokat elküldtem a Microsoftnak, rendszeresen a blogra is kiraktam. A MEK-nek is írtam, hogy legyenek kedvesek, cseréljék ki a könyveket, mert vannak javított verziók. Nem cserélték ki. Nem is válaszoltak. Ez egy ilyen egyirányú utca.
Azaz akinek szüksége van az aktuális verzióra, az jöjjön ide a blogra, kattintson rá a meglepő nevű “Letölthető könyvek” linkre ott a bal felső sarokban, aztán viheti mind a három TCP/IP könyvet.
Is.

Szpemlistára tettem a Grand Canyont

Sajnálom, de azért mert egyszer megszálltunk ott, nem vagyok kíváncsi az összes rendezvényre, meg az összes kedvezményes akcióra.

Valamikor azt hittem, hogy ezek a dolgok szépen beálltak, de úgy tűnik, borul az egyensúly. Ha bármit is vásárolok és megkérdezik, kérek-e hírlevelet, vagy bármi ilyen marhaságot, egyből jelzem, hogy nem. Mondhatni külön látásom alakult ki erre a kérdésre, egyből észreveszem, akárhová is teszik.
Ehhez képest mostanában sorra jönnek a szpemek a vásárlásaim után. Nem kérdeznek semmit, csak küldik. Én meg nem győzöm nyomkodni a ‘report spam’ gombot. Függetlenül attól, hogy mennyire nagy név ment le éppen kutyába.

Facebook

Tényleg nem értem. De sejtem, hogyan működik.

Ha ma, Magyarországon, Orbán Viktor bemegy egy lakásba és odaszarik az ebédlőasztalra, akkor három reakció várható:

  • – Óh! Itt volt Orbán Viktor! Keretezzük be!
  • – Hát mégis, hogy képzeli ezt? (Aztán kitakarít.)
  • – Aztabüdösrohadékbugrisparasztkurvaanyjátennekamocsadéknak! (Aztán legyint.) Végülis, Orbán Viktor. Neki ezt is szabad. És nem is olyan büdös.

Nagyjából ugyanezt érzem a Facebook-kal kapcsolatban is. Olvasd el ezt a cikket.
Elolvastad? Érted? Ez valami akkora blamázs az IT világában, hogy mára már lángban kellene állnia az összes Facebook irodának.
Először is, a szolgáltató még csak nem is ismerheti a jelszavadat. Amikor megadod, akkor rögtön egy visszafordíthatatlan algoritmust kellene ráeresztenie és csak ennek eredményét, az ún hash-t lenne szabad letárolnia. (Ennél bonyolultabb a dolog, ne menjünk most bele.) Azt mondod, utópia? Nagyjából 2000 óta a legmezeibb Windows hálózat is így működik. Én, mint Atyauristens jogú rendszergazda, sem vagyok képes kiolvasni bárkinek is a jelszavát. Módosítani? Azt tudom. (Bár annak meg nyoma lesz.) De kiolvasni nem.

És ezek a gazemberek, nemhogy illetéktelenül lenyúlták a jelszavakat, de utána egy pimfli titkosítatlan .txt fájlban tárolták is a belső hálózaton. Ahol – ha jól értelmeztem – boldog-boldogtalan hozzáfért.

Ez a szakmámban valami olyasmi felfoghatalanul elképesztő hiba, hogy – ha csak nem beszpídezett majmok rakták össze az informatikát – akkor ilyet se véletlenül, se felelőtlenül nem lehet elkövetni. Ilyet csak szándékosan lehet összerakni. Azaz ha valaki azt mondja neked, hogy a Facebook maga a sátán, akkor nem az a helyes reakció, hogy hülyének nézed az illetőt, hanem az, hogy Öreg, ne sértegesd a sátánt, ehhez képest ő csak egy amatőr kezdő.

Aztán mégis. Emberek millió tapadnak rá. Mert ez a Facebook. És nekik ezt is szabad.