lukasz.bromirski.net

aviate, navigate, communicate

wakacyjne czytanie

w tym roku całe moje letnie wakacje to tydzień nad morzem. przez ten tydzień udało mi się nadrobić zaległości paru ostatnich tygodni - książki odstawiane na bok i czekające cierpliwie w swojej kolejce. a zatem przejdźmy tym razem krócej, ale przez całą listę: Matthew Syed - Metoda czarnej skrzynki - świetna książka opisująca proces poprawiania błędów; zaczyna się od lotnictwa, które na przestrzeni ostatnich dziesięcioleci doprowadziło do dramatycznego wzrostu bezpieczeństwa lotów, a następnie przechodzimy do medycyny i innych sektorów. czytaj dalej →

freenas i lsi

moja stara biedna karta 9211-8i w serwerze na którym trzymam NAS cache jednak postanowiła odejść. wsadzona ‘na szybko’ karta 9261-8i nie chciała mi nawet FreeNASa zbootować… i nie mogłem dojść czemu. kręciłem się wokół problemów przy bootowaniu: fora pokazują abstrakcyjne rozwiązania (wyłącz kontroler Firewire, albo w ogóle kontroler ATA!)… ale to nie działało. flashowanie karty, upgrade’y, downgrade’y… nic. problem rozwiązało poczytanie dokumentacji :) w nowszych kontrolerach LSI w FreeBSD sterownikiem, który należy stosować jest mrsas a nie mfi. czytaj dalej →

proszę taktownie zegarować!

w ciągu ostatnich 30 lat prędkość pracy procesorów zwiększyła się z milionów cykli do miliardów - zwielokrotnionych przez wielordzeniowość i specjalne mechanizmy zwiększające efektywność pracy z “nudzącymi” się rdzeniami. procesor Pentium 66 z 1993 zawierał 3.2 miliona tranzystorów, co i tak jest wartością kosmiczną biorąc pod uwagę upakowanie ich w niewielkiej przestrzeni wielkości czterech kostek do gry - i zawierał jedną jednostkę główną. dostępny dzisiaj Xeon E5-2699v4 ma 22 rdzenie pracujące z nominalną częstotliwością zegara 2. czytaj dalej →

openssh i klucze - bezpieczne klucze

gdzieś w okolicach 2013 roku (a konkretnie, na ‘małego’ Mikołaja) do OpenSSH dodano obsługę nowego formatu przechowywania kluczy. jest to istotne o tyle, że nowy format pozwala zmienić używany do tej pory hash MD5 (baaaaaardzo szybko i efektywnie przeszukiwany przez dzisiejsze GPU) na inny. w tym konkretnym przypadku używamy modyfikacji algorytmu bcrypt, która w popularnym ‘łamaczu’ hashy hashcat zwalnia wielbiciela naszego hasła do klucza prywatnego z wydajności gigahashy na co najwyżej kilohashe. czytaj dalej →

FreeNAS i Samba - sprawa MacOS

FreeNAS to specjalna edycja mocno stuningowanego FreeBSD (niekoniecznie najnowszego), z dodatkowym interfejsem WWW do świadczenia usług typowych dla NAS. musiałem ostatnio w pośpiechu migrować swojego NASa Synology 1815+, który po prostu pewnego dnia powiedział ‘nie’. na nic zdały się resety, magiczne zabiegi oraz fora w internecie. ku mojemu zdziwieniu, na nic również zdał się kontakt z serwisem - ponieważ sprzęt został kupiony trzy lata temu, serwis w zasadzie wysłał mnie na drzewo. czytaj dalej →

OpenSSH 7

OpenSSH 7 przyniósł między innymi wycofanie dla wsparcia mechanizmu wymiany kluczy za pomocą grupy 1 Diffie-Hellmana diffie-hellman-group1-sha1 (można ją zaatakować za pomocą Logjam). Wszystko dobrze, do czasu próby dostania się potem do urządzeń, które domyślnie (lub w ogóle) obsługują tylko wymianę grupy 1. W drugim wypadku czeka nas uaktualnienie oprogramowania, w pierwszym - rekonfiguracja. Na urządzeniach Cisco ASA należy dopisać do konfiguracji: ssh key-exchange group dh-group14-sha1 Na urządzeniach z Cisco IOS należy ustawić minimalną długość kluczy - IOS domyślnie iteruje z listy dostępnych mechanizmów i pominie (jako serwer) te, które nie spełniają tego wymogu: czytaj dalej →

dlaczego jesteśmy tacy… pewni?

obserwując jak ludzie zachowują się coraz częściej w tzw. “poważnych sytuacjach” i w “poważnym towarzystwie”, zacząłem snuć różne teorie - nie uczonym będąc zbyt w psychologii. ale trafiłem na ten artykuł, a w szczególności upodobałem sobie ten cytat: For poor performers to recognize their ineptitude would require them to possess the very expertise they lack. tak to właśnie proszę Państwa wygląda. ale warto pamiętać też o tym, że: czytaj dalej →

agile…

…tak się buduje systemy informatyczne w 2015 roku. w szczególności podoba mi się ten cytat: And the new login system, which MPL launched in February 2015, is remarkable. It is faster and it is cheaper than the old one: The old system responded to requests somewhere between two and 10 long seconds; the new one takes 30 milliseconds, on average. The old login system cost $250 million to build and would have required another $70 million annually to stay online. czytaj dalej →

linie lotnicze…

…to oczywiście jedno z najgorszych siedlisk “zła” na tym świecie. traktowanie pasażerów jak bydła w trakcie całego procesu wejścia do i wyjścia z samolotu (nie pomijajmy radosnego etapu kupowania biletu, nie mówiąc o próbie jego późniejszej modyfikacji) stało się dzisiaj - generalnie - nową normą. miałem parę miesięcy temu okazję poleciec w Polsce tam i z powrotem w dwa różne dni - poniedziałek i środę. w poniedziałek ochrona i kontrola bezpieczeństwa nie radziła sobie rano z niczym, w związku z tym mój bagaż podręczny prześwietlono pobieżnie, popędzając mnie dodatkowo w przejściu żebym nie blokował przejścia. czytaj dalej →

why i don’t give a fuck

after stumbling upon Farnam Street blog, i found another one - that of Mark Manson. and i found it thanks to The Subtle Art of Not Giving a Fuck article. after reviewing this short list it came to me how many of those things i could give myself 7 years ago. it’s worth to read. and think. czytaj dalej →

kluczami, nie hasłami

temat stary jak świat, ale właśnie musiałem zrobić trochę porządków i trafiłem na problem z kluczami… 4096 bitowymi. bardziej dla własnej informacji, ale być może komuś to zebrane w jednym miejscu się przyda. klucze do Cisco IOS importuje się bez specjalnego problemu: dla Cisco ASA klucze powyżej 2048 bitów trzeba zaimportować używając formatu ‘pkf’ - ponieważ linia poleceń ma ograniczenie do 512 bajtów. żeby przygotować klucz publiczny w formacie używanym przez OpenSSH takim jak ten: czytaj dalej →

wdrażajcie SIDR

…bo google znowu padło przez błąd z akceptowaniem prefiksów. konfiguracja jest banalna - przykłady na cisco IOS-XE, IOS-XR, na Juniperze można znaleźć w pół sekundy. trzeba odwiedzić RIPE i wycertyfikować swoje zasoby, potem jest już z górki. każdy prefiks i system autonomiczny, który zacznie podejmować decyzje o routingu pomaga. każdy. czytaj dalej →

dlaczego nauka jest fantastyczna

…ano właśnie dlatego. w przeciwieństwie od wierzeń i przekonań, dogmatów które dopiero po ośmieszeniu odwołuje się robiąc dobrą minę do złej gry, tylko metoda naukowa - ciągła próba weryfikacji eksperymentów, praw i twierdzeń - pozwala realnie przewidywać zachowanie otaczającego nas wszechświata. polecam. czytaj dalej →

ietf i nowe pomysły

przeglądając notki z ostatniego spotkania IETF natrafiłem na ciekawy pomysł - możliwość podzielenia obszaru zerowego OSPF na obszary, bezprzerwowo, w ramach procesu migracji. ciekawa sprawa. z drugiej strony, tak jak spodziewałem się od samego początku, ktoś zaproponował właśnie rozszerzenie FlowSpec na IGP - w tym przypadku OSPF. brawo… z ciekawszych informacji, postępują prace nad próbą ustandaryzowania wirtualnych sieci nakładkowych - zarówno z punktu widzenia architektury jak i bezpieczeństwa. ciekawe, jak to długo jeszcze potrwa. czytaj dalej →

czy SDN oznacza koniec świata dla CCIE?

całkiem niedawno Piotr Jabłoński, jeden z najlepszych architektów i konsultantów w Cisco Systems poprowadził sesje na podobny temat w trakcie naszego polskiego klubu CCIE. zupełnie niezależnie, na Forum CCIE.pl temat wraca regularnie, a Mirek Burnejko poprosił o parę słów w kontekście whitebox networkingu. czy SDN oznacza konieć świata dla CCIE? i tak i nie. zdefiniujmy na poczet tej dyskusji co to w ogóle jest SDN, bo jak wiadomo, definicji jest dosyć dużo - nie jest to technicznie precyzyjny termin. czytaj dalej →