This could be due to CredSSP encryption oracle remediation

Дата: 16.05.2018Метки:

После недавнего обновления Windows 10 при подключении к VPS по RDP получил вот такую ошибку:

An authentication error has occurred.
The function requested is not supported
Remote computer:
This could be due to CredSSP encryption oracle remediation.

На русском языке это звучит следующим образом:

Подключение к удаленному рабочему столу Произошла ошибка при проверке подлинности.
Указанная функция не поддерживается
Удаленный компьютер: Причиной ошибки может быть исправление шифрования CredSSP.

Данная ошибка появилось после установки обновлений в начале мая. И она связана с желанием Microsoft принудительно заставить пользователей установить на клиентской или серверной стороне обновления устраняющие уязвимость CVE-2018-0886.

Следует отметить, что данная уязвимость достаточно серьезная. Используя ее злоумышленник может выполнить удалённый запуск произвольного кода на уязвимой системе, так как CredSSP (Credential Security Support Provider) допускал произвольные команды при попытках авторизации к удалённому рабочему столу.

Отключать уведомления различными способами я не рекомендую. Единственный правильный вариант решения проблемы — установить обновление CVE-2018-0886 на стороне сервера, ну или персонального компьютера к которому необходимо подключиться через RDP удаленный рабочий стол.

Майнинг эфира на NVIDIA 1080 и 1080 Ti

Дата: 16.05.2018

Друзья, произошло знаменательное событие в сфере майнинга на картах NVIDIA. Как известно, майнинг эфира был долгое время не рентабельным на топовых картах NVIDIA 1080 и 1080 Ti. Это связано с тем, что данные карты выдавали крайне низкий хешрейт по отношению к их цене.

На днях узнал о появлении в свободном доступе программы, которая на лету меняет тайминги памяти данных видеокарт. По информации из сети, после разгона удается выжать до 40 и 55 мегахеша на NVIDIA 1080 и 1080 Ti соответственно. На своих картах NVIDIA 1080 с даунвольтом и разгоном мне удалось выжать по 38 мегахеша со всех карт.

Теперь рассмотрим экономическую целесообразность майнинга эфира на видеокартах NVIDIA 1080 и 1080 Ti. Не буду ссылаться на калькуляторы, расскажу как есть со своего опыта. Раньше у меня работали данные карты в режиме автоматического переключения на алгоритмах Equihash, NeoScrypt, Skein. После перехода на майнинг эфира доход вырос на 15-25 процентов.

Данную программу или как ее еще называют «таблетку» можно скачать с github.com
Тема от разработчиков на форуме bitcointalk.org

Просто скачиваете и запускаете программу. Не важно запущена программа до или после майнера. Важно чтобы она все время была запущена, в противном случае после закрытия тайминги возвращаются на прежнее значение.

BlueStacks сервера

Кому необходим сервер для BlueStacks может сделать заказ через меня PowerVPS.ru, стоимость аренды сервера 35$. Регистрируетесь в биллинге и делаете заказ в меню Выделенные серверы. Конфигурация сервер Core i5-2300, 16 GB RAM, 2 TB HDD. Сервер идет с установленной системой Windows Server 2016.

Сначала я пытался запустить BlueStacks под VPS, но данная попытка была неудачной. Для запуска BlueStacks необходимо наличие в системе графического адаптера. В связи с чем, было принято решение рассмотреть возможность запуска BlueStacks на выделенном сервере.

Для начала я протестировал сервера под BlueStacks с видеокартой NVIDIA начального уровня. Естественно эмулятор успешно установился и заработал. Однако у данного варианта есть свои недостатки. Сервера с видеокартами эта специфическая ниша на рынке.

Тогда я стал эксперементировать с запуском BlueStacks на сервере с встроенным в процессор графическим чипом. Для начала взял процессор Core i7-4790K. Эмулятор успешно был установлен и работал в системе.

Но мне и этого оказалось мало. Хотелось подобрать такой сервер, который был бы доступен каждому. В качестве бюджетного варианта был выбран выделенный Core i5-2300, 16 GB RAM, 2 TB HDD. На данном сервер BlueStacks был успешно запущен и проверен в работе.

Настройка Letsencrypt на Debian 8

Дата: 30.04.2018Метки:

Недавно сломался заказанный мной на 3 года Rapid SSL. Как я понял, связано это с этой новостью: «Google объявил о том, что будет поэтапно блокировать SSL-сертификаты группы Symantec». Под удаление попадут сертификаты Symantec, GeoTrust, Thawte, RapidSSL. Ну вот, похоже, что эта учесть дошла и до моего блога.

Сертификат еще должен был работать 2 года, но я не стал расстраиваться и пользуясь случаем решил перейти на бесплатный Letsencrypt. Всегда хотел это сделать, но вот все не было повода отказаться от оплаченного ранее сертификата. Я буду описывать процесс для Debian 8. До сих пор для своего блога использую именно эту систему. Но думаю, что данная заметка будет актуальна и для Debian 9.

Для получения сертификата я буду использовать клиент certbot. Для начала необходимо добавить репозиторий в систему:

echo 'deb http://ftp.debian.org/debian jessie-backports main' | sudo tee /etc/apt/sources.list.d/backports.list
apt-get update

Устанавливаем клиент:

apt-get install certbot -t jessie-backports

После установки открываем конфигурационный файл nginx для сайта, которому необходимо сделать сертификат. В моем случае это:

nano /etc/nginx/conf.d/codebeer.ru.conf

Добавляем в секцию server:

location ^~ /.well-known/acme-challenge/ {
       allow all;
       default_type "text/plain";
}

Применяем настройки:

nginx -t
service nginx reload

Получаем сертификат.

certbot certonly -a webroot --webroot-path=/var/www/html -d codebeer.ru -d www.codebeer.ru

Указываем свой каталог размещения сайта и домен, для которого будет выпущен сертификат Letsencrypt. В процессе необходимо будет указать свой email. После завершения процесса, сертификаты будут сохранены в каталоге:

ssl_certificate /etc/letsencrypt/live/codebeer.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/codebeer.ru/privkey.pem;

Для автоматического продления сертификатов добавим в cron следующую команду:

30 2 * * * /usr/bin/certbot renew --noninteractive --renew-hook "/bin/systemctl reload nginx" >> /var/log/le-renew.log

Онлайн ping и traceroute

Иногда нужно проверить доступность сервера или проверить ping с других локаций в интернете. Хочу поделится двумя сервисами для онлайн ping и traceroute, которые особенно мне понравились.

Очень удобный сервис для ping и traceroute mebsd.com. Есть проверка IPv4 и IPv6, можно указать размер пакета и количество повторений.

Второй сервис ping.pe — ping одновременно с нескольких локация. После запуска сервис пингает указанный хост до тех пор, пока вы сами не закроете страницу.

Технические ключи для установки Windows

Дата: 30.04.2018Метки:

Технические ключи для различных редакций Windows. Необходимы для выбора редакции в процессе установки Windows. Активировать систему данными ключами не выйдет.

Windows Server 2008 Standard TM24T-X9RMF-VWXK6-X8JC9-BFGM2
Windows Server 2008 Enterprise YQGMW-MPWTJ-34KDK-48M3W-X4Q6V
Windows Server 2008 Datacenter 7M67G-PC374-GR742-YH8V4-TCBY3
Windows Server 2008 R2 Standard	YC6KT-GKW9T-YTKYR-T4X34-R7VHC
Windows Server 2008 R2 Enterprise 489J6-VHDMP-X63PK-3K798-CPX3Y
Windows Server 2008 R2 Datacenter 74YFP-3QFB3-KQT8W-PMXWJ-7M648
Windows Server 2012 Standard XC9B7-NBPP2-83J2H-RHMBY-92BT4
Windows Server 2012 Datacenter 48HP8-DN98B-MYWDG-T2DCC-8W83P
Windows Server 2012 R2 Standard	D2N9P-3P6X9-2R39C-7RTCD-MDVJX
Windows Server 2012 R2 Datacenter W3GGN-FT8W3-Y4M27-J84CP-Q3VJ9
Windows 8.1 Professional GCRJD-8NW9H-F2CDX-CCM8D-9D6T9
Windows Server 2016 Datacenter CB7KF-BWN84-R7R2Y-793K2-8XDDG
Windows Server 2016 Standard WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
Windows Server 2016 Essentials JCKRF-N37P4-C2D82-9YXRT-4M63B

Еще можно использовать данные ключи для смены редакции:

Dism /online /Set-Edition:ServerStandard /AcceptEula /ProductKey:WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY

Идентификация QIWI

Дата: 30.04.2018Метки:

Месяц назад возникла необходимость увеличить лимиты на QIWI кошельке. К сожалению, у данного сервиса крайне ограниченные варианты по идентификации. Ехать в Россию совсем не вариант. Пришлось искать другие пути, да не правильные, но другого варианта не было.

На помощь пришел вот этот сервис paspar.net. В данный момент они уже удалили информацию о предоставлении своих услуг. Но возможно, в будущем мне понадобится снова эта услуга по идентификации, может договорюсь. Идентификация производится на чужие паспортные данные. Естественно, что при таком варианте хранить деньги на кошелке нельзя. Нет никакой гарантии, что кошелек в любой момент не заблокируют.

Реальный ip при двойном проксировании Nginx

Дата: 30.04.2018Метки:

Недавние блокировки от РКН заставили извратится. Там где раньше работало проксирование Nginx, мне пришлось дополнительно настроить дополнительное двойное проксирование. При это важно было передавать правильный ip адрес посетителя.

Конфигурация первого Nginx в цепочке:

location / {
     proxy_pass http://IP:80; #IP-адрес:порт где стоит второй nginx
     proxy_set_header Host $http_host;
     proxy_set_header X-Real-IP $remote_addr;
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
     proxy_set_header realip $remote_addr;
}

Конфигурация второго Nginx в цепочке:

location / {
     proxy_pass http://127.0.0.1:81; #IP-адрес:порт с apache
     proxy_set_header Host $http_host;
     proxy_set_header X-Real-IP $http_realip;
     proxy_set_header X-Forwarded-For $http_realip;
     proxy_set_header realip '';
}

Linux disk write timeout

Дата: 30.04.2018Метки:

При интенсивных операциях записи в Debian 9 поймал disk write timeout. К сожалению, точное содержание ошибки не записал, но в общем суть понятна. Система выдавала таймаут при записи на диск. Сначала пытался увеличить следующее значение:

echo 180 > /sys/block/sda/device/timeout

Но конкретно данная манипуляция не дала никакого результата. В итоге удалось решить проблему указав значения параметров кэширования в Linux dirty_background_ratio и dirty_ratio:

echo 5 > /proc/sys/vm/dirty_background_ratio
echo 10 > /proc/sys/vm/dirty_ratio

dirty_background_ratio — основной инструмент настройки, обычно уменьшают этот параметр. Если ваша цель снизить количество данных, хранимое в кэше, так что данные будут писаться на диск постепенно, а не все сразу, то уменьшение этого параметра наиболее эффективный путь. Более приемлемо значение по умолчанию для систем имеющих много оперативной памяти и медленные диски.

dirty_ratio — второй по значимости параметр для настройки. При значительном снижении этого параметра приложения, которые должны писать на диск, будут блокироваться все вместе.

Проверить ip в списке РКН

Дата: 30.04.2018Метки:

После недавней попытки блокировки Telegram, целые подсети и миллионы адресов улетели в бан РКН. Дошло до того, что сервис созданный РКН для проверки наличия адреса в базе ничего не отображает.

Благо хорошие люди помогли и создали сервис на основе неофициальной выгрузки РКН. В данный момент для проверки наличия ip-адреса в списке РКН я использую сервис zapret.info