Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 1649 сообщений
Cообщения с меткой

ibm - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

Ошибки и проблемы серверов большой тройки: часть третья. IBM

Четверг, 16 Июня 2016 г. 14:09 (ссылка)





Привет, Хабр! В прошлых статьях мы касались ошибок и проблем с серверами Dell и HP, и наш рассказ об ошибках refurbished-серверов был бы неполон без упоминания продукции третьего вендора «большой тройки» — IBM. Хотя эта славная корпорация уже отошла от производства серверов, её продукция ещё активно используется. Поэтому спешим поделиться с вами накопленным опытом «укрощения» серверов IBM. Это не исчерпывающий список проблем, но всё же он может оказаться кому-то полезен.



Оперативная память



Серверы IBM чувствительны по отношению к конфигурации модулей памяти. Зачастую после самостоятельного апгрейда — добавления памяти или её замены — сервер не загружается, либо видит меньше памяти, чем установлено на самом деле. К счастью, в подобных ситуациях не приходится долго гадать о причинах сбоя: на диагностической панели (если таковая имеется) загораются два индикатора Config и Memory.







Поэтому, прежде чем апгрейдить память обязательно изучите спецификацию, память какого типа и объёма поддерживается вашим сервером. Также большое значение имеет количество процессоров в сервере — от этого зависит порядок размещения модулей в слотах. Это тоже необходимо уточнить в спецификации.



Вообще, с памятью ровно такая же ситуация, как описано в статье про HP, например. Вкратце:




  • Соблюдайте канальность памяти.

  • Ставьте ECC REG 1(2)Rx4 память в двухпроцессорные системы и UDIMM — в однопроцессорные.

  • Ставьте одинаковый объём памяти на каждый процессор.







А что делать, если вы вставили память в соответствии с инструкциями, а сервер всё равно не работает и предательски горит индикатор Memory? В этом случае придётся проверять разные варианты:




  • Этот тип памяти не поддерживается сервером. Внимательно сверьтесь со спецификациями.

  • Память оказалась «битой». Замените линейку на точно такую же и проверьте, заведётся ли сервер.

  • Засорился пылью слот на материнской плате. Это довольно популярная причина, если сервер трудится уже несколько лет, а тем более если вы его не первый владелец. Продуйте слоты сжатым воздухом.

  • Загнутый контакт в сокете. Такое бывает очень редко, но всё же бывает: память отказывается работать из-за загнутого контакта в сокете процессора. Если предыдущие варианты не помогли найти причину сбоя, снимите процессор и внимательно осмотрите сокет. Если вы оказались в числе немногочисленных «счастливчиков», то можете попробовать осторожно выпрямить погнутый контакт, но это исключительно на ваш страх и риск.



Многие сисадмины сталкиваются с тем, что при проверке оперативной памяти с помощью MemTest86 получают сообщения об ошибках даже в заведомо рабочих модулях, либо на одних и тех же дорожках. Особенно часто это встречается у серверов поколения M4. Это вовсе не вина машин или памяти: по признанию разработчиков, сама MemTest86 просто не предназначена для проверки серверной памяти. Если же память начнёт сбоить, то сервер сообщит об этом через диагностическую панель. Проверять память на серверах IBM лучше стандартными средствами самодиагностики.



Накопители



Мы уже неоднократно упоминали о том, что совсем не обязательно устанавливать в серверах «родные» накопители. Ни IBM, ни другие вендоры их не производят, они лишь приобретают их у всем известных производителей, перепрошивают и клеят свои логотипы. Поэтому вы можете без труда сэкономить на апгрейде или восстановлении дисковых массивов, выбрав аналоги вместо «родных» накопителей. Двух-трёхкратная разница в цене это оправдывает, особенно если речь идёт о refurbished-серверах. В сети можно легко найти таблицы соответствия моделей, например:






















Модель IBM Оригинал
IBM 49Y2003 Seagate ST9600204SS
IBM 90Y8872 Seagate ST9600205SS
IBM 90Y8908 Seagate ST9600105SS
IBM 81Y9650 Seagate ST900MM0006


Тем не менее, ещё возможны ситуации несовместимости «неродных» накопителей с сервером. В этом случае сервер не грузится штатно, либо не видит накопитель. Обычно это решается с помощью установки свежей прошивки RAID-контроллера. К слову, рекомендуется обновить прошивку и бэкплейна/экспандера, в этом вам поможет приложение IBM Bootable Media Creator (BoMC).



При включении сервера и прохождении POST-проверки возможно появление ошибки:



A discovery error has occurred, please powercycle the system and all the enclosures attached to this system.



Это сигнализирует о проблеме с одним из накопителей. Вычислить его просто: индикаторы на его салазках постоянно мигают, даже когда все остальные носители прошли проверку и перестали мигать.



С дисковой подсистемой бывают и более экзотические проблемы. Например, при использовании RAID-1 в фирменном приложении MegaRAID Storage Manager могут появиться ошибки вида:



ID = 63

SEQUENCE NUMBER = 48442

TIME = 24-01-2016 17:03:59

LOCALIZED MESSAGE = Controller ID: 0 Consistency Check found inconsistent parity on VD strip: ( VD = 0, strip = 637679)



Чаще всего это говорит не об умирании диска, а об ошибке контроля чётности — несовпадении данных на основном и вторичном дисках. Возможные причины:




  • Нередко такие ошибки появляются сразу после конфигурирования нового массива или после замены одного из дисков.

  • Во время сеанса диагностики поверхности блинов происходит инициализация диска и выполнение операций ввода/вывода. На RAID-1 это может привести к временному несоответствию томов, которое автоматически исправляется при следующей проверке на соответствие. Такое возникает не при любом сеансе диагностики, а когда сходятся звёзды:


    • o Используется RAID-контроллер без кэширования, либо активирован режим Write Through.

    • o Нехватка оперативной памяти, при которой с диска осуществляется активная подкачка страниц.

    • o Просто очень интенсивное использование дисков.




Для решения этой проблемы рекомендуется снизить активность подкачки с диска: используйте RAID-контроллер с кэшированием и увеличьте объём оперативной памяти.



Обновление прошивок и ПО



Любопытная проблема может подстерегать при установке с нуля Windows 2012 или Windows 2012 R2 — свежеустановленная операционка не видит ни одного накопителя. Причём такое бывает не только с серверами IBM. Дело в том, что все накопители в сервере подключены через RAID, а упомянутые версии ОС не имеют вшитых драйверов для работы с RAID. И поэтому они их просто игнорируют. Как быть? Самый надёжный способ: использовать утилиту IBM ServerGuide. При установке ОС она принудительно подсовывает все необходимые драйвера для данной модели и версии операционной системы. Обратите внимание, что образ ОС должен устанавливаться с диска, а не с флэшки: ServerGuide не будет работать с образом на том же USB-носителе, с которого запущен сам.







При покупке серверов бывают ситуации, когда нужно сначала обновить все прошивки, а потом уже накатывать систему. Сделать это можно с помощью вышеупомянутой IBM Bootable Media Creator:




  1. Загрузитесь с загрузочной флешки или диска.

  2. Запустите BoMC от имени Администратора.

  3. Выберите, что вы хотите сделать: обновить и/или провести диагностику.

  4. Программа спросит, где ей взять драйверы: скачать самой или вытащить из указанного вами архива.

  5. Выберите носитель для записи загрузочного образа: флэшку или диск. Запись может идти несколько часов, не волнуйтесь, программа не зависла.

  6. По окончании записи загрузитесь с этого носителя, и далее по инструкции.



Эта процедура помогает и в ряде проблемных ситуаций. Например, если вы не дождались завершения обновления Integrated Management Module и нажали кнопку «отмена», то при следующих загрузках сервер может не суметь загрузить IMM и использует настройки по умолчанию. Можно сначала попытаться восстановить с помощью джампера “UEFI & IMM recovery jumper” на материнской плате, благодаря которому загружается прошитый образ IMM.







Но если не поможет, то воспользуйтесь процедурой обновления через BoMC.



Бывают и более неприятные ситуации, когда по закону подлости в ходе установки более свежей версии BIOS'а происходит сбой питания.







После этого сервер уже не может загрузить основную прошивку, и использует резервную. Если штатная процедура восстановления BIOS'а не помогает, то сделайте… даунгрейд: установите более старую прошивку, чем та, что была до сбоя питания. Обычно это помогает. После этого уже можно попытаться снова поставить свежую версию BIOS'а. Как говорится, шаг назад — два вперёд.



Другие проблемы



Иногда при попытке удалённого управления сервером возникает ошибка “Login failed with an access denied error.”, причём в любых браузерах. Если перезагрузка сервера и клиента не помогает, то рекомендуется сбросить IMM до заводских настроек.



В статье про ошибки серверов HP мы упоминали о проблемах с системой охлаждения: сразу после запуска сервера вентиляторы выходили на высокие обороты и уже не снижали их. Случается такой недуг и в серверах IBM. Сервер воет, как реактивный лайнер на взлёте. Нам не удалось выяснить причину таких сбоев, но посоветовать можно следующее:




  1. Проверьте плотность подключения разъёмов питания.

  2. Отключите все вентиляторы и снимите корзину.

  3. Проверьте каждый вентилятор на других серверах.

  4. Соберите корзину снова, поменяв вентиляторы местами. Либо совсем их замените.



Встречался в нашей практике и такой интересный сбой: при загрузке сервера штатно инициализируется IMM, затем начинается инициализация UEFI, и… всё. Дальше сервер не грузится без объяснения причин. Не помогали никакие манипуляции: отключение от сети, полное обесточивание, отключение разных компонентов. Загрузка бэкапа UEFI с помощью джампера на материнской плате тоже не помогла. Опытным путём выяснилось, что если подождать около 20 минут, то всё же можно дождаться загрузки сервера. Так он и работает с тех пор — каждый раз грузится по 20 минут. Выяснить причину сбоя не удалось.



Преимущества серверов IBM



Серверы IBM заслуженно пользуются большой популярностью:




  • Это простые и очень надёжные машины.

  • Отличная расширяемость даже на начальных моделях и богатый комплект поставки.

  • Серверы IBM обычно дешевле конкурентов и не уступают в производительности. Например, поколения M3 и M4 дешевле, чем аналоги у HP (Gen7 и Gen8) и Dell (11G и 12G).

  • Самые недорогие расходники. Легко найти в России.

  • Удобная диагностическая панель на многих моделях.



Главное, в чём серверы IBM уступают конкурентам — у них очень долгий «холодный» старт.
Original source: habrahabr.ru.

https://habrahabr.ru/post/303424/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

IBM запускает первые высокозащищенные облачные блокчейн-сервисы

Понедельник, 30 Мая 2016 г. 22:27 (ссылка)


Блокчейн-сервисы на базе IBM Cloud предназначены для финансовых учреждений, организаций государственного сектора и сферы здравоохранения







Как уже сообщалось, в январе этого года наша компания открыла blockchain-лабораторию. Проект стартовал при поддержке партнера — некоммерческой организации Innovate Finance. Цель проекта — изучение дополнительных возможностей технологии blockchain с использованием значительных вычислительных и аналитических мощностей компании.



Сейчас партнеры уже довольно далеко продвинулись в рамках проекта, поэтому было решено запустить первые сервисы на основе указанной технологии. Здесь стоит напомнить, что сети блокчейн основаны на концепции децентрализованного контроля, однако некоторые облачные среды сохраняют уязвимость, которая допускает взлом информационных систем и неавторизованный доступ. Команда IBM, состоящая из экспертов по информационной безопасности, криптографов, экспертов по аппаратному обеспечению и исследователей, создала принципиально новые облачные сервисы для устойчивых к взлому доверенных сетей на технологии блокчейна.

Читать дальше →

https://habrahabr.ru/post/302222/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

[Перевод] Проклятие культуры

Пятница, 27 Мая 2016 г. 16:42 (ссылка)


Слепота Microsoft. Предупреждающие знаки для Google и Apple



В одной из фундаментальных книг по этой теме «Организационная культура и лидерство» Эдгар Шейн пишет:



«Самый интригующий аспект культуры как концепции состоит, пожалуй, в том, что она указывает нам на явления, лежащие в глубине, мощные по своему воздействию, но невидимые и в значительной степени бессознательные. В этом смысле культура для группы — это то же самое, что личность или характер для человека. Мы можем наблюдать результирующее поведение, но часто не видим силы, вызывающие это поведение. Как наша личность и характер направляют и сдерживают наше поведение, так и культура направляет и сдерживает поведение членов группы, и осуществляется через коллективные нормы, присущие этой группе».


В терминологии Шейна вещи вроде столов для настольного тенниса и холодильников с пивом — это два (маленьких) примера артефактов – видимых качеств организации. Их легко заметить, но их значение обычно не поддаётся расшифровке и уникально для конкретной группы (другими словами, простое копирование фишек Google не работает).

Читать дальше →

https://habrahabr.ru/post/302008/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры

Пятница, 13 Мая 2016 г. 18:51 (ссылка)

Начнем выпуск с еще одной производственной новости: компания IBM намерена использовать суперкомпьютер Watson для решения задач в области информационной безопасности (новость, официальный пресс-релиз). Напомню, Watson — это, как говорится в официальных документах, программно-аппаратный комплекс (кластер из 90 серверов), способный отвечать на вопросы на естественном языке, или некая реализация искусственного интеллекта. В 2011 году Watson одержал победу над жалкими людишками многократными победителями в игре Jeopardy (у нас это «Своя игра»).



В IBM хотят научить Watson обрабатывать большой поток связанной с ИБ информации, так, чтобы суперкомпьютер мог «отличать вирусы от троянов». Для этого IBM будет сотрудничать с рядом американских университетов, студенты которых будут соответствующим образом готовить информацию для дальнейшей обработки. Данных получится много, речь идет о миллиардах записей. Впрочем, пока рано говорить о том, что искуственный интеллект и человекоподобные роботы защитят нас от всех киберугроз. Конечные цели в анонсе даны очень широкими мазками: «автоматизировать нахождение взаимосвязей между данными [об инцидентах], потенциальными угрозами и стратегиями защиты».



С одной стороны, тема машинного обучения, искусственного интеллекта и поиска аномалий в огромном потоке данных (например, в сетевом трафике) весьма перспективна, да собственно уже сейчас такие алгоритмы широко применяются: начиная от детектирования новых угроз на основе информации о предыдущих инцидентах и до выявления сложных, таргетированных атак. С другой, почти все в индустрии согласны, что абсолютно все автоматизировать не получится, даже если оснастить парой Ватсонов каждое крупное предуприятие. Доля «ручного труда», а точнее необходимость в высококлассных экспертах для расследования угроз, остается весьма высокой. Большую роль в безопасности играет человеческий фактор, а это совсем уж плохо алгоритмизируемая задача. Впрочем, IBM формулирует задачу корректно: «дать новые возможности экспертам по безопасности». Не заменить их. В этом ключевое отличие данной инициативы от иных попыток порекламироваться на теме машин лернинга, обещая, что «компьютер все поймет», и сам научится детектировать любые атаки. Не научится. Почему — объясню под катом.



Предыдущие выпуски сериала — тут.



Из всех недавних успехов в области искусственного интеллекта на слуху больше всего победы машин над людьми к интеллектуальных играх. Deep Blue против Каспарова в шахматах, Watson в «Своей игре», и, совсем недавно, победа суперкомпьютера в го. В марте, когда я был на конференции RSA, победа в го упоминалась чуть ли не в каждом втором выступлении. Процитирую президента RSA Амита Йорана по данной теме: AI — это круто, но не надо ожидать каких-то прорывов в этом направлении применительно к IT безопасности, основываясь на сегодняшних успехах.







Одно дело — победить пусть даже и в сложной «человеческой» игре, другое — иметь возможность предсказывать и предотвращать кибератаки. В первом случае ведется игра по правилам. Во втором — никаких правил нет. ИИ в ИБ помогает только в решении отдельных задач, и чем больше будет таких «обучаемых» технологий, тем больше времени будет у эксперта, чтобы заниматься другими проблемами — оценивать риски, предсказывать векторы атаки и предотвращать самые сложные инциденты. Заменить человека полностью пока не получается и вряд ли получится.



Опасные уязвимости в Windows и Adobe Flash уже используются для атак на пользователей и розничные сети

Новость про Microsoft. Новость про Adobe.



Уязвимость в Windows патчилась два раза: частично дыра, позволяющая выполнять произвольный код с системными привелегиями была закрыта в одном из апрельских пакетов заплаток, а окончательно — в свежем обновлении, выпущенном в этот вторник. Уязвимость затрагивает все актуальные версии Windows, от 7 до 10, и обнаружена была, увы, в ходе анализа серии успешных атак. Причем, киберпреступники прицельно искали компании и устройства, используемые для обработки платежей с кредитных карт. Кампанию в марте обнаружила компания FireEye: первоначальное проникновение в сеть жертвы проводилось традиционно, с помощью «подготовленного» документа Word, рассылаемого по e-mail. В общем, упомянутый мной ранее сезон атак на американские розничные сети продолжается: киберпреступники стараются успеть до введения платежей EMV (с чипом и пинкодом, как во всех нормальных странах), с которыми перехват данных кредиток значительно усложняется.



Критическая уязвимость в Adobe Flash то ли используется, то ли нет: в Adobe утверждают, что не видели атак, независимые источники опровергают. Учитывая потенциальную опасность уязвимости (эксплуатация может вызвать сбой приложения и получение контроля над системой), Adobe заранее предупредила о ее обнаружении 10 мая, а 12-го — выпустила кумулятивный патч.



Криптолокеры: взгляд со стороны жертвы

Статья на Threatpost.



Самая популярная публикация на Threatpost на этой неделе новостью не является, но показывает под неожиданным углом проблему троянов-вымогателей. Взглядом на проблему со стороны жертвы поделился IT-специалист компании, управляющей онлайновым казино, попросивший перед публикацией не называть имен. В компании работают около тысячи сотрудников. Несмотря на то, что такой бизнес весьма уязвим перед кибератаками, как это часто бывает, IT-безопасность не является самым главным приоритетом — других проблем хватает.



В материале приводится пример реальной атаки криптолокера на инфраструктуру компании. Точкой входа оказывается внешний консультант — специалист, работающий удаленно на ноутбуке, предоставленном компанией. По какой-то причине лаптоп оказывается ничем не защищен, зато имеет подключение к корпоративным сетевым папкам, как утверждается, из-за неправильной конфигурации (файловые шары примонтированы в папку Public пользовательского раздела, не самый лучший вариант). После попытки открыть вложение в письме, похожем на привычный инвойс, начинается шифрование данных. И здесь хорошо заметно, как медленно реагирует на эту проблему и пользователь, и специалисты по IT, в то время как реагировать надо быстро.







Владелец ноутбука полчаса дозванивается до поддержки, ему все еще кажется, что произошла какая-то техническая неисправность. Пока он объясняет, что происходит, шифрование данных продолжается, наконец он получает правильный совет: отключить ноутбук от сети, прямо сейчас. Тем временем успевают зашифроваться файлы на сервере и некоторых других компьютерах сотрудников, также криво подключенными к сетевым папкам. В общем, история типичная: атака через самое уязвимое звено, которым обычно оказывается подрядчик или фрилансер, шифрование данных на компьютере и на сетевых папках, быстрое распространение проблемы по сети. К счастью, в данном случае, важные данные не были потеряны и работа компании не была нарушена. Наконец, интересное частное наблюдение: если полгода назад админы компании фиксировали одну попытку атаки криптолокером в день, то теперь блокируют минимум три. Компания была атакована троянцем TeslaCrypt, о котором мы подробно писали в прошлом году.



Что еще произошло:

Еще одна уязвимость в системном ПО на ноутбуках Lenovo.



Интересный лонгрид о сложных взаимоотношениях американского ФБР и восточноевропейского киберкриминала в журнале Wired.



Криптолокер пытался атаковать американский конгресс.



Создателя анонимной платежной системы LibertyReserve посадили на 20 лет.



Древности:

«Something-658»



Резидентный очень опасный вирус, записывается в начало запускаемых COM-файлов. 11 числа ежемесячно стирает файл C:/AUTOEXEC.BAT, записывает в него команды DEL *.COM, DEL *.EXE, а затем создает файл SOME нулевой длины. Перехватывает int 21h. Содержит тексты: «Something v1.1», «some c:\autoexec.bat del *.com del *.exe».



Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 83.



Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.



Original source: habrahabr.ru.

https://habrahabr.ru/post/283536/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры

Пятница, 13 Мая 2016 г. 18:51 (ссылка)

Начнем выпуск с еще одной производственной новости: компания IBM намерена использовать суперкомпьютер Watson для решения задач в области информационной безопасности (новость, официальный пресс-релиз). Напомню, Watson — это, как говорится в официальных документах, программно-аппаратный комплекс (кластер из 90 серверов), способный отвечать на вопросы на естественном языке, или некая реализация искусственного интеллекта. В 2011 году Watson одержал победу над жалкими людишками многократными победителями в игре Jeopardy (у нас это «Своя игра»).



В IBM хотят научить Watson обрабатывать большой поток связанной с ИБ информации, так, чтобы суперкомпьютер мог «отличать вирусы от троянов». Для этого IBM будет сотрудничать с рядом американских университетов, студенты которых будут соответствующим образом готовить информацию для дальнейшей обработки. Данных получится много, речь идет о миллиардах записей. Впрочем, пока рано говорить о том, что искуственный интеллект и человекоподобные роботы защитят нас от всех киберугроз. Конечные цели в анонсе даны очень широкими мазками: «автоматизировать нахождение взаимосвязей между данными [об инцидентах], потенциальными угрозами и стратегиями защиты».



С одной стороны, тема машинного обучения, искусственного интеллекта и поиска аномалий в огромном потоке данных (например, в сетевом трафике) весьма перспективна, да собственно уже сейчас такие алгоритмы широко применяются: начиная от детектирования новых угроз на основе информации о предыдущих инцидентах и до выявления сложных, таргетированных атак. С другой, почти все в индустрии согласны, что абсолютно все автоматизировать не получится, даже если оснастить парой Ватсонов каждое крупное предуприятие. Доля «ручного труда», а точнее необходимость в высококлассных экспертах для расследования угроз, остается весьма высокой. Большую роль в безопасности играет человеческий фактор, а это совсем уж плохо алгоритмизируемая задача. Впрочем, IBM формулирует задачу корректно: «дать новые возможности экспертам по безопасности». Не заменить их. В этом ключевое отличие данной инициативы от иных попыток порекламироваться на теме машин лернинга, обещая, что «компьютер все поймет», и сам научится детектировать любые атаки. Не научится. Почему — объясню под катом.



Предыдущие выпуски сериала — тут.



Из всех недавних успехов в области искусственного интеллекта на слуху больше всего победы машин над людьми к интеллектуальных играх. Deep Blue против Каспарова в шахматах, Watson в «Своей игре», и, совсем недавно, победа суперкомпьютера в го. В марте, когда я был на конференции RSA, победа в го упоминалась чуть ли не в каждом втором выступлении. Процитирую президента RSA Амита Йорана по данной теме: AI — это круто, но не надо ожидать каких-то прорывов в этом направлении применительно к IT безопасности, основываясь на сегодняшних успехах.







Одно дело — победить пусть даже и в сложной «человеческой» игре, другое — иметь возможность предсказывать и предотвращать кибератаки. В первом случае ведется игра по правилам. Во втором — никаких правил нет. ИИ в ИБ помогает только в решении отдельных задач, и чем больше будет таких «обучаемых» технологий, тем больше времени будет у эксперта, чтобы заниматься другими проблемами — оценивать риски, предсказывать векторы атаки и предотвращать самые сложные инциденты. Заменить человека полностью пока не получается и вряд ли получится.



Опасные уязвимости в Windows и Adobe Flash уже используются для атак на пользователей и розничные сети

Новость про Microsoft. Новость про Adobe.



Уязвимость в Windows патчилась два раза: частично дыра, позволяющая выполнять произвольный код с системными привелегиями была закрыта в одном из апрельских пакетов заплаток, а окончательно — в свежем обновлении, выпущенном в этот вторник. Уязвимость затрагивает все актуальные версии Windows, от 7 до 10, и обнаружена была, увы, в ходе анализа серии успешных атак. Причем, киберпреступники прицельно искали компании и устройства, используемые для обработки платежей с кредитных карт. Кампанию в марте обнаружила компания FireEye: первоначальное проникновение в сеть жертвы проводилось традиционно, с помощью «подготовленного» документа Word, рассылаемого по e-mail. В общем, упомянутый мной ранее сезон атак на американские розничные сети продолжается: киберпреступники стараются успеть до введения платежей EMV (с чипом и пинкодом, как во всех нормальных странах), с которыми перехват данных кредиток значительно усложняется.



Критическая уязвимость в Adobe Flash то ли используется, то ли нет: в Adobe утверждают, что не видели атак, независимые источники опровергают. Учитывая потенциальную опасность уязвимости (эксплуатация может вызвать сбой приложения и получение контроля над системой), Adobe заранее предупредила о ее обнаружении 10 мая, а 12-го — выпустила кумулятивный патч.



Криптолокеры: взгляд со стороны жертвы

Статья на Threatpost.



Самая популярная публикация на Threatpost на этой неделе новостью не является, но показывает под неожиданным углом проблему троянов-вымогателей. Взглядом на проблему со стороны жертвы поделился IT-специалист компании, управляющей онлайновым казино, попросивший перед публикацией не называть имен. В компании работают около тысячи сотрудников. Несмотря на то, что такой бизнес весьма уязвим перед кибератаками, как это часто бывает, IT-безопасность не является самым главным приоритетом — других проблем хватает.



В материале приводится пример реальной атаки криптолокера на инфраструктуру компании. Точкой входа оказывается внешний консультант — специалист, работающий удаленно на ноутбуке, предоставленном компанией. По какой-то причине лаптоп оказывается ничем не защищен, зато имеет подключение к корпоративным сетевым папкам, как утверждается, из-за неправильной конфигурации (файловые шары примонтированы в папку Public пользовательского раздела, не самый лучший вариант). После попытки открыть вложение в письме, похожем на привычный инвойс, начинается шифрование данных. И здесь хорошо заметно, как медленно реагирует на эту проблему и пользователь, и специалисты по IT, в то время как реагировать надо быстро.







Владелец ноутбука полчаса дозванивается до поддержки, ему все еще кажется, что произошла какая-то техническая неисправность. Пока он объясняет, что происходит, шифрование данных продолжается, наконец он получает правильный совет: отключить ноутбук от сети, прямо сейчас. Тем временем успевают зашифроваться файлы на сервере и некоторых других компьютерах сотрудников, также криво подключенными к сетевым папкам. В общем, история типичная: атака через самое уязвимое звено, которым обычно оказывается подрядчик или фрилансер, шифрование данных на компьютере и на сетевых папках, быстрое распространение проблемы по сети. К счастью, в данном случае, важные данные не были потеряны и работа компании не была нарушена. Наконец, интересное частное наблюдение: если полгода назад админы компании фиксировали одну попытку атаки криптолокером в день, то теперь блокируют минимум три. Компания была атакована троянцем TeslaCrypt, о котором мы подробно писали в прошлом году.



Что еще произошло:

Еще одна уязвимость в системном ПО на ноутбуках Lenovo.



Интересный лонгрид о сложных взаимоотношениях американского ФБР и восточноевропейского киберкриминала в журнале Wired.



Криптолокер пытался атаковать американский конгресс.



Создателя анонимной платежной системы LibertyReserve посадили на 20 лет.



Древности:

«Something-658»



Резидентный очень опасный вирус, записывается в начало запускаемых COM-файлов. 11 числа ежемесячно стирает файл C:/AUTOEXEC.BAT, записывает в него команды DEL *.COM, DEL *.EXE, а затем создает файл SOME нулевой длины. Перехватывает int 21h. Содержит тексты: «Something v1.1», «some c:\autoexec.bat del *.com del *.exe».



Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 83.



Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.



Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/283536/

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Компьютерный чип на основе IBM TrueNorth поможет предсказывать наступление припадка у эпилептиков

Понедельник, 09 Мая 2016 г. 10:42 (ссылка)





Как уже сообщалось в нашем блоге, Ливерморская национальная лаборатория (LLNL) создала суперкомпьютер на базе чипа TrueNorth. Принцип работы этой системы похож на принцип работы мозга человека (в той мере, в какой ученые понимают основы функционирования этого органа). В данном случае речь идет об имитации сети из 16 миллионов нейронов с 4 млрд синапсов. Этот компьютер является одним из наиболее мощных среди всех прочих «мозгоподобных» ПК, созданных человеком. Разработчики компьютера надеются, что через некоторое время такие системы смогут выполнять чрезвычайно сложные вычисления с огромной скоростью, потребляя минимум энергии.



Но сам чип TrueNorth может использоваться не только для создания производительных ПК. Он может работать и на благо медицины. Так, команда исследователей из Мельбурнского университета объединила усилия с корпорацией IBM для создания специфической системы «нейросеть + чип», предсказывающей наступление эпилептического припадка. Такой чип, по задумке авторов, осуществляет перманентный мониторинг деятельности мозга человека (идет отслеживание электрических сигналов). Собранную информацию имплантат пересылает по беспроводной связи на специализированное устройство с архитектурой нейронной сети.



В рамках этого проекта нейронную сеть «обучают» идентифицировать определенные электрические паттерны, возникающие в самом начале эпилептического припадка.



«Мы стараемся вычленить необходимую для наших целей информацию, отделив ее от фонового шума. Таким образом, мы хотим добиться возможности идентифицировать конкретный тип припадка у определенного человека», — сообщил глава команды исследователей Стивен Харрер.



По словам ученого, они используют тот же принцип обучения нейронных сетей, что и компания Facebook или Google. Социальная сеть, например, поставила нейронную сеть себе на службу — система идентифицирует фотографии различных пользователей и предлагает тегировать или найти похожие. В ОС Android схожий принцип используется для распознавания голосовых команд пользователя. И сейчас Харрер «скармливает» информацию о работе мозга человека создаваемой системе.







Цель проекта — создание беспроводного носимого устройства, который вместе с мозговым имплантатом будет вести мониторинг электрической активности мозга человека, предсказывая наступление припадка.



Это звучит как фантастика, но ученые работают с реальным проектом. Используя более простой имплантат, они три года собирали энцефалограммы эпилептиков. И сейчас на основе этой информации и производится обучение нейронной сети. По мнению многих экспертов, знакомых с проектом, предсказание наступления припадка задача сложная, но решаемая.



В случае припадка даже секунды играют важную роль. Пациенты смогут подготовиться к припадку (отойти в безопасное место, обратиться к врачу и т.п. — смотря, сколько времени у них будет), и это значительно снизит угрозу жизни и здоровью эпилептика. Например, человек сможет быстро уйти с трассы, включив аварийный режим, или же отойти от края обрыва, находясь на прогулке.



До создания такой системы, по словам автора проекта, еще далеко. Но уже сейчас понятно, что все это вполне достижимая реальность.



Original source: habrahabr.ru.

https://habrahabr.ru/post/283150/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Двухголовый монстр в мире вирусов: GozNym

Пятница, 30 Апреля 2016 г. 01:45 (ссылка)





Сотрудники IBM X-Force Research обнаружили новый троян, который является гибридом довольно известных зловредов Nymaim и Gozi ISFB. Оказалось, что разработчики Nymaim совместили исходный код этого вируса с частью кода Gozi ISFB. Получился гибрид, который активно использовался при атаках на сети 24 банков США и Канады. При помощи этого malware удалось украсть миллионы долларов. Гибридный вирусный продукт получил название GozNym.



По словам специалистов по информационной безопасности, этот гибрид взял лучшее от двух упомянутых выше вирусов: от Nyamaim зловред наследовал умение скрывать свое присутствие от антивирусов, от Gozi — возможность проникать на ПК пользователей. GozNym неофициально назвали «двухголовым монстром».



Таргетинг: финансовые организации Северной Америки



Разработчики нового вируса направили его на организации Северной Америки – в США и Канаду. В настоящее время известно о 22 пострадавших от вируса банках, кредитных организациях и популярных e-commerce платформах. Также в списке две финансовые компании из Канады.







Исходный код — откуда он?



Как был создан гибрид? Выше уже говорилось о том, что этот вирус состоит из частей двух других зловредов. Исходный код первого, Gozi ISFB, неоднократно выкладывался в Сеть. Впервые это случилось в 2010 году. Второй раз — в 2015 году, когда в Интернет были выложены исходники модифицированной версии этого ПО.



Что касается Nymaim, то единственным возможным источником исходного кода являются его разработчики. Вероятнее всего, именно команда Nymaim взяла часть кода Gozi ISFB, совместила со своим продуктом, получив «Франкенштейна в мире вирусов».



От Nymaim к GozNym



Nymaim действует в два этапа. Изначально этот зловред проникает на компьютеры, используя наборы эксплоитов, и после попадания на ПК выполняет второй этап — запуск двух исполняемых файлов, которые завершают заражение машины жертвы.



Исходный вирус, Nymaim, использует шифрование, anti-VM, антидебаггинг и обфускацию последовательности выполнения программного кода, т.е. запутывание потока управления. До настоящего момента этот вирус использовался в основном в качестве дроппера. Дропперы (англ. Dropper) — семейство вредоносных программ (как правило, это троянская программа), предназначенных для несанкционированной и скрытой от пользователя установки на компьютер жертвы других вредоносных программ, содержащихся в самом теле дроппера или загружаемых по сети. Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и т. д.) загружает из сети и сохраняет на диске жертвы файлы с их последующим выполнением.



Nymaim, насколько известно, создан командой разработчиков, которые управляют этим зловредом уже несколько лет. На данный момент следы присутствия дроппера обнаружены на ПК пользователей Европы, Северной Америки, Южной Америки.



Конечно, далеко не все операции злоумышленников, выполняемые с использованием Nymaim, задокументированы. Тем не менее, есть данные о 2,5 миллионах заражений с использованием Blackhole Exploit Kit (BHEK) только в конце 2013 года.







Исследователи из IBM отмечают, что Nymaim начал использовать модуль Gozi ISFB, DLL, ответственную за веб-инъекции, с 2015 года. Финальная же версия гибрида, которая является полноценной интеграцией двух зловредов, была обнаружена только в апреле 2016 года. В своей гибридной инкарнации Nymaim исполняется в первую очередь, а затем идет уже запуск исполняемого модуля Gozi ISFB.



Немного технической информации



Прежде чем слиться в единое целое, зловред Nymaim использовал DLL Gozi ISFB для внедрения в браузер жертвы и для проведения веб-инъекций. Размер DLL составлял около 150 КБ и представлял собой валидный Portable Executable (PE) файл.

Новые версии Nymaim стали использовать не DLL, а сам код Gozi ISFB. Вместо 150 КБ файла, Nymaim теперь выполняет инъекцию 40 КБ буфера в браузер. Этот буфер обладает всеми признаками Gozi ISFB. Но есть и отличия: сейчас это уже не валидный РЕ файл, его структура иная и представляет собой шелл-код. Здесь используется Import Address Table (IAT) и нет РЕ-заголовков.





Старая версия Nymaim, где используется Gozi ISFB DLL





Новый буфер и новая функция гибрида jmp_nymaim_code (ниже)







Эта часть кода выполняется всегда, когда Gozi ISFB требуется Nymaim для проведения операции. В данном случае функция подготавливает требуемые параметры, тип операции, размер выделяемой памяти и т.п. для Nymaim. Затем Nymaim вступает в работу и возвращает результат для Gozi ISFB.



MD5 хэш в этом случае — 2A9093307E667CDB71884ECC1B480245.



Как защититься?



Сделать это не так и просто. Описанный выше зловред является уникальным и может создать большие проблемы как частному лицу, так и всей компании. Для того, чтобы избежать такого развития событий, стоит следовать обычным правилам работы с информацией в организациях.



Правда, это далеко не всегда помогает, в особенности, если в компании много сотрудников, работающих с компьютерной техникой с выходом в Сеть.



В этом случае рекомендуем также использовать наши инструменты защиты: IBM Security Trusteer Pinpoint Malware Detection и IBM Security Trusteer Rapport. Указанные сервисы обеспечивают своевременное обнаружение зараженных устройств в сети, уничтожение malware, если система уже заражена, плюс предотвращают процесс, используя различные методы защиты.



Original source: habrahabr.ru.

https://habrahabr.ru/post/282794/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Двухголовый монстр в мире вирусов: GozNym

Пятница, 30 Апреля 2016 г. 01:45 (ссылка)





Сотрудники IBM X-Force Research обнаружили новый троян, который является гибридом довольно известных зловредов Nymaim и Gozi ISFB. Оказалось, что разработчики Nymaim совместили исходный код этого вируса с частью кода Gozi ISFB. Получился гибрид, который активно использовался при атаках на сети 24 банков США и Канады. При помощи этого malware удалось украсть миллионы долларов. Гибридный вирусный продукт получил название GozNym.



По словам специалистов по информационной безопасности, этот гибрид взял лучшее от двух упомянутых выше вирусов: от Nyamaim зловред наследовал умение скрывать свое присутствие от антивирусов, от Gozi — возможность проникать на ПК пользователей. GozNym неофициально назвали «двухголовым монстром».



Таргетинг: финансовые организации Северной Америки



Разработчики нового вируса направили его на организации Северной Америки – в США и Канаду. В настоящее время известно о 22 пострадавших от вируса банках, кредитных организациях и популярных e-commerce платформах. Также в списке две финансовые компании из Канады.







Исходный код — откуда он?



Как был создан гибрид? Выше уже говорилось о том, что этот вирус состоит из частей двух других зловредов. Исходный код первого, Gozi ISFB, неоднократно выкладывался в Сеть. Впервые это случилось в 2010 году. Второй раз — в 2015 году, когда в Интернет были выложены исходники модифицированной версии этого ПО.



Что касается Nymaim, то единственным возможным источником исходного кода являются его разработчики. Вероятнее всего, именно команда Nymaim взяла часть кода Gozi ISFB, совместила со своим продуктом, получив «Франкенштейна в мире вирусов».



От Nymaim к GozNym



Nymaim действует в два этапа. Изначально этот зловред проникает на компьютеры, используя наборы эксплоитов, и после попадания на ПК выполняет второй этап — запуск двух исполняемых файлов, которые завершают заражение машины жертвы.



Исходный вирус, Nymaim, использует шифрование, anti-VM, антидебаггинг и обфускацию последовательности выполнения программного кода, т.е. запутывание потока управления. До настоящего момента этот вирус использовался в основном в качестве дроппера. Дропперы (англ. Dropper) — семейство вредоносных программ (как правило, это троянская программа), предназначенных для несанкционированной и скрытой от пользователя установки на компьютер жертвы других вредоносных программ, содержащихся в самом теле дроппера или загружаемых по сети. Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и т. д.) загружает из сети и сохраняет на диске жертвы файлы с их последующим выполнением.



Nymaim, насколько известно, создан командой разработчиков, которые управляют этим зловредом уже несколько лет. На данный момент следы присутствия дроппера обнаружены на ПК пользователей Европы, Северной Америки, Южной Америки.



Конечно, далеко не все операции злоумышленников, выполняемые с использованием Nymaim, задокументированы. Тем не менее, есть данные о 2,5 миллионах заражений с использованием Blackhole Exploit Kit (BHEK) только в конце 2013 года.







Исследователи из IBM отмечают, что Nymaim начал использовать модуль Gozi ISFB, DLL, ответственную за веб-инъекции, с 2015 года. Финальная же версия гибрида, которая является полноценной интеграцией двух зловредов, была обнаружена только в апреле 2016 года. В своей гибридной инкарнации Nymaim исполняется в первую очередь, а затем идет уже запуск исполняемого модуля Gozi ISFB.



Немного технической информации



Прежде чем слиться в единое целое, зловред Nymaim использовал DLL Gozi ISFB для внедрения в браузер жертвы и для проведения веб-инъекций. Размер DLL составлял около 150 КБ и представлял собой валидный Portable Executable (PE) файл.

Новые версии Nymaim стали использовать не DLL, а сам код Gozi ISFB. Вместо 150 КБ файла, Nymaim теперь выполняет инъекцию 40 КБ буфера в браузер. Этот буфер обладает всеми признаками Gozi ISFB. Но есть и отличия: сейчас это уже не валидный РЕ файл, его структура иная и представляет собой шелл-код. Здесь используется Import Address Table (IAT) и нет РЕ-заголовков.





Старая версия Nymaim, где используется Gozi ISFB DLL





Новый буфер и новая функция гибрида jmp_nymaim_code (ниже)







Эта часть кода выполняется всегда, когда Gozi ISFB требуется Nymaim для проведения операции. В данном случае функция подготавливает требуемые параметры, тип операции, размер выделяемой памяти и т.п. для Nymaim. Затем Nymaim вступает в работу и возвращает результат для Gozi ISFB.



MD5 хэш в этом случае — 2A9093307E667CDB71884ECC1B480245.



Как защититься?



Сделать это не так и просто. Описанный выше зловред является уникальным и может создать большие проблемы как частному лицу, так и всей компании. Для того, чтобы избежать такого развития событий, стоит следовать обычным правилам работы с информацией в организациях.



Правда, это далеко не всегда помогает, в особенности, если в компании много сотрудников, работающих с компьютерной техникой с выходом в Сеть.



В этом случае рекомендуем также использовать наши инструменты защиты: IBM Security Trusteer Pinpoint Malware Detection и IBM Security Trusteer Rapport. Указанные сервисы обеспечивают своевременное обнаружение зараженных устройств в сети, уничтожение malware, если система уже заражена, плюс предотвращают процесс, используя различные методы защиты.



Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/282794/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Серверы IBM/Lenovo и сторожевой таймер: эпизод II

Среда, 13 Апреля 2016 г. 23:18 (ссылка)

Более чем полгода я потратил на совместное с аппаратной и программной технической поддержкой IBM расследование по поводу работы сторожевого таймера на серверах IBM/Lenovo в Linux. Начало этой детективной истории было описано в моей статье SLES 12, сторожевой таймер и серверы IBM/Lenovo. Сейчас, похоже, ситуация разъяснилась, и можно дать конструктивные рекомендации счастливым обладателям железа IBM/Lenovo xSeries.



Итак, вначале повторяем краткий ликбез из предыдущей статьи. В составе серверных и промышленных платформ имеется специальная схема – сторожевой таймер. Будучи активированным, он начинает отсчитывать заданное время (например, одну минуту). Если за это время к нему повторно не обратиться, то в конце интервала будет выполнена аппаратная перазагрузка. Если обратиться, то интервал начинает отсчитываться заново. Это нужно для того, чтобы автоматически восстановить работоспособность компьютера в случае зависания операционной системы или предоставляющего какой-то важный сервис программного обеспечения. Такое решение в обязательном порядке применяется в кластерах высокой готовности (HA) и других применениях, требующих постоянной готовности системы. Для компьютеров с архитектурой Intel используется несколько аппаратных интерфейсов сторожевого таймера, в зависимости от производителя системы, из них наиболее распространённым является Intel TCO (iTCO). В Linux драйверы сторожевого таймера реализованы как модули ядра, которые предоставляют программный интерфейс к нему в виде устройства /dev/watchdog.



На этом описание широко известных вещей закончено, дальнейшие факты мало отражены в интернете и не очень хорошо известны даже технической поддержке фирм-производителей оборудования и программного обеспечения.



Повсеместно принято считать, что в оборудовании с чипсетами Intel, в том числе и в Intel-серверах IBM, которые теперь выпускаются фирмой Lenovo, за интерфейс к сторожевому таймеру отвечает аппаратный уровень Intel TCO и поддерживающий его модуль ядра Linux iTCO_wdt. Тут следует отметить, что, при внимательном рассмотрении, архитектура Intel TCO сама по себе оказывается имеющей довольно существенный недостаток, а именно, получается, что процессор контролирует сам себя. Хотя теоретически ничто не должно помешать программе, работающей в режиме SMM, всегда выполнять свою работу, но ведь теоретически и операционная система не должна виснуть, не так ли? Поэтому наличие единой аппаратной точки уязвимости для процессора как исполнителя программ и для его же собственного сторожевого таймера выглядит не очень хорошо, если вы собираетесь строить систему с повышенной надёжностью.



Впрочем, я, вероятно, никогда бы не стал вдаваться в эти подробности и даже о них не узнал бы, если бы не то обстоятельство, что драйвер iTCO_wdt оказался совершенно неработоспособен на IBMовских серверах под SLES 12: драйвер загружается в память, но устройство /dev/watchdog не создаётся, а в системном журнале остаётся маленькое неприметное сообщение: “iTCO_wdt: unable to reset NO_REBOOT flag, device

disabled by hardware/BIOS”.



Поначалу я думал, что это регресс в SLES 12 по сравнению со SLES 11, так как в SLES 11 устройство /dev/watchdog было. Однако, благодаря взаимодействию с IBM и SUSE, выяснилось, что всё гораздо хуже. Оказывается, в SLES 11, в отличие от SLES 12, запись в каталоге /dev/watchdog создаёт само ядро при загрузке, а драйвер сторожевого таймера просто цепляется к этой записи. Поэтому в SLES 11 сторожевой таймер iTCO точно так же неработоспособен, как и в SLES 12, но заметить это гораздо сложнее, так как его неработоспособность маскируется наличием нефункционального /dev/watchdog.



Думаю, излишне добавлять, что никакие манипуляции с настройками BIOS, IMM, AMM и прочими замечательными приблудами, которых в xSeries имеется изобилие, никакого влияния на работоспособность Intel TCO не оказывают.



К счастью, после более чем полугода активной работы с технической поддержкой IBM по аппаратному и программному обеспечению, IBMерам удалось обнаружить один древний манускрипт, датированный 2008 годом. Оказывается, у фирмы Intel есть и другая архитектура для работы со сторожевым таймером – IPMI watchdog, которая поддерживается на платформе xSeries.



Суть IPMI (Intelligent Platform Management Interface) совершенно другая, чем у iTCO. В соответствии с архитектурой IPMI, где-то на материнской плате имеется специальный контроллер – по сути, отдельный компьютер – с собственным процессором, программным обеспечением, сетевым интерфейсом и прочими прибамбасами, предназначенный для отслеживания параметров работы основного компьютерного оборудования и имеющий возможность реагировать на их изменение заданным образом. В терминологии описания интерфейса IPMI, этот контроллер называется BMC (Baseboard Management Controller) или просто MC. В терминологии IBM/Lenovo, реализующее его функции устройство называется IMM (Integrated Management Module) или IMM2. BMC может делать много разных вещей, которые описаны в упомянутом манускрипте, но для нас сейчас существенно, что одной из его функций является сторожевой таймер. Понятно, что сторожевой таймер IPMI – это честное, отдельное от процессора Intel устройство, которое, в общем случае, работает независимо, пока не вышла из строя материнская плата в целом.



Приятным сюрпризом является то, что поддержка IPMI интегрирована в современные дистрибутивы Linux. Сама эта поддержка состоит из нескольких компонентов, из которых нас будут интересовать три.



Во-первых, это сервис ipmi.service, предоставляющий возможность коммуникации программ с BMC. В SLES 12 этот сервис устанавливается и стартует автоматически. Это можно проверить так:



systemctl status ipmi



и, при, необходимости, далее, как обычно:



systemctl start ipmi

systemctl enable ipmi



Во-вторых, это собственно драйвер сторожевого таймера IPMI, который так и называется: ipmi_watchdog. Он устанавливается автоматически, но автоматически не стартует (видимо, считается, что администратор должен быть уверен в настройках оборудования, прежде чем разрешать его аппаратную перезагрузку по таймауту). Загрузить этот драйвер вручную можно командой:



modprobe ipmi_watchdog



Включить его автоматическую загрузку при старте системы можно, создав в каталоге /etc/modules-load.d файл ipmi_watchdog.conf, состоящий из одной строчки:



ipmi_watchdog



В-третьих, это утилита ipmitool, которая устанавливается автоматически и позволяет выполнять различные команды BMC, в том числе, например, проверять статус сторожевого таймера:



ipmitool mc watchdog get



Если у вас в системе имеется BMC, в ответе на указанную команду вы получите что-нибудь вроде:



Watchdog Timer Use: SMS/OS (0x04)

Watchdog Timer Is: Stopped

Watchdog Timer Actions: No action (0x00)

Pre-timeout interval: 0 seconds

Timer Expiration Flags: 0x00

Initial Countdown: 300 sec

Present Countdown: 300 sec



Если у вас запускается, например, кластер высокой доступности, то он сам сконфигурирует правильные параметры работы сторожевого таймера (например, у меня в системе это период 5 секунд и акция Hard reset).



К сожалению, даже правильно установленные служба ipmi и драйвер ipmi_watchdog и наличие файла /dev/watchdog ещё не гарантируют, что всё работает, как надо. В чём же дело? Оказывается, что некоторые версии SLES 12 имеют отвратительную привычку по собственной инициативе загружать драйвер softdog, пытающийся эмулировать работу сторожевого таймера программным путём (занятие абсолютно бессмысленное и вредоносное). А так как при этом softdog загружается до ipmi_watchdog, то последний, не имея возможность создать уже созданный файл /dev/watchdog, по традиции скромно пробурчав что-то в недра системного журнала. Поэтому наша последняя задача – поискать собаку, дав команду



lsmod | grep dog



и проанализировав её результат. Если мы видим там ipmi_watchdog и не видим softdog, то, скорее всего, всё у нас работает правильно. Если там есть softdog – то его надо как-то изжить из системы, что в некоторых версиях SLES 12 может оказаться не вполне тривиальным делом.



Предполагаю, что работоспособность сторожевого таймера IPMI на оборудовании IBM/Lenovo может быть связана со значением параметра OSWatchdog, устанавливаемого в модуле IMM при помощи веб-интерфейса или утилиты asu. Этот параметр может принимать значение некоторого количества минут или быть выключенным. У меня он включён в 2.5 минуты (минимальное значение), на интервал сторожевого таймера, программируемый в BMC, это не влияет.



Итак, резюме. Корректным способом использования сторожевого таймера на платформе IBM/Lenovo могут показаться softdog, Intel TCO или IPMI, но, в действительности, работоспособным является только IPMI. Драйвер сторожевого таймера IPMI устанавливается в SLES автоматически, но требует ручного прописывания загрузки. Драйвер softdog устанавливается автоматически и иногда требует ручного запрещения загрузки. Драйвер Intel TCO устанавливается и загружается автоматически, но абсолютно ни на что не влияет, так как полностью неработоспособен на этой платформе.



Надеюсь, что эта статья поможет кому-нибудь чуть больше разобраться в непростом деле организации систем высокой доступности под Linux.



Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/281565/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<ibm - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda