Сопровождающий пакет с OpenSSL в Debian сообщил (https://lists.debian.org/debian-devel-announce/2017/08/msg00...) об отключении поддержки протоколов TLS 1.0 и 1.1 в Debian Unstable. В текущем виде из протоколов SSL/TLS оставлена только поддержка TLS 1.2. Разработчикам приложений и серверов в которых до сих пор не реализован TLS 1.2 рекомендуется позаботиться об обеспечении такой поддержки. По предварительной оценке около 90% северов уже поддерживают протокол TLS 1.2, который был добавлен (https://www.opennet.me/opennews/art.shtml?num=33372) в OpenSSL пять лет назад.
URL: https://lists.debian.org/debian-devel-announce/2017/08/msg00...
Новость: http://www.opennet.me/opennews/art.shtml?num=46982
Сейчас набегут специалисты из служб безопасности банков, подпольные диктаторы и сотрудники ФСБ и начнут кричать "Позор!".
Вот увидите:)
Ну, правильно, кому же еще возмущаться волюнтаризмом, как не им?
В моем доме - попрошу не выражаться!
В банках стабильность, RHEL 5 и DOS на продлёнке. А для безопасности есть всесильная служба безопасности!
И заметьте, ведь работает!
Исключительно благодаря титаническому труду службы ИТ безопасности и режиму "неуловимый джо"
Вот набежал Админ (типа я)
И кричу про волюнтаризм и про забадали.
Вы пробовали по админить железо более 3-х лет давности?
Попробуйте зайти на старый SAN свитч или HP iLO2, а потом говорите.
Они сначала придумали типа хороший, безопасный метод доступа в интернете и удобный. Потом всунули его во все сервисы для интранета (и я их полностью поддерживал и поддерживаю). А потом стали закручивать гайки дальше, но про интранет забыли. Что дать пользователю возможность самому решать, без пересборки всего и вся трудно?!
Забадало!
А сколько рёва было когда с мамок стали пропадать IDE контроллеры? Но ничего -- выжили. Хотя некоторые до сих пор бурчат. Так и ты скоро свой SUN свич отправишь на помойку. Чай старичок уже. Сколько лет-то САНа уже нет с нами? Лет 10 наверное.
Мальчик пойди в википедию и почитай, что такое SAN, это к SUN Microsistem не имеет никакого отношения.
Судя по всему, SAN и Sun для него -- одно и то же.P. S. У нас на конторе куча железа растыкано по датацентрам, которое управляется по SSL 2.0 и ни как иначе. Сначала железной рукой запихивали этот SSL в корпоративную среду, где он на фиг не сдался, а теперь из-за этого приходится держать отдельную виртуалку для управления этим железом, которое теперь просто недоступно с центральной консоли.
> Судя по всему, SAN и Sun для него -- одно и то
> же.
> P. S. У нас на конторе куча железа растыкано по датацентрам, которое
> управляется по SSL 2.0 и ни как иначе. Сначала железной рукой
> запихивали этот SSL в корпоративную среду, где он на фиг не
> сдался, а теперь из-за этого приходится держать отдельную виртуалку для управления
> этим железом, которое теперь просто недоступно с центральной консоли.Вот и я о том же. Только с моей точки зрения SSL имеет смысл и в корпоративной среде. Мало ли где стоит железка, мало ли как туда сеть идет. В конце концов у нас стоит IPS за которым смотрят безопасники, нафига мне надо, чтобы пароль они могли посмотреть.
> Только с моей точки зрения SSL имеет смысл и в корпоративной среде. Мало ли где стоит
> железка, мало ли как туда сеть идет.э, нет - если начинается "мало ли где", то вот тут как раз надо брать и убирать все в крипто-туннель - причем независимо от того, насколько новый-модный протокол использует сама железка - в ней завтра найдут такой же новый-модный heartbleed.
А вот пока оно в принципе остается внутри защищенного периметра и на подконтрольном железе - возможность включения даже не очень надежного шифрования полезна, поскольку защитит хотя бы от досужих глаз и шибко-умного студента, занявшегося на практике не тем, чем надо.
То есть хотя бы не получится просто быстро подсмотреть пароль и убежать, получив на время банальный доступ к спан-порту - а целенаправленная атака займет время, давая возможность сработать системам безопасности (в том числе и просто человеческому фактору - "чем это ты, поганец, тут на рабочем месте занимаешься?")
возможность отключения, если что, тоже полезна - а то иногда вообще непонятно, что траблшутить, когда оно все внутри такого вот гнилого крипто, и непонятно, то ли это крипто сломалось, то ли рассыпалось что-то на том конце.
К сожалению, у корпоративных разработчиков в голове все те же тараканы, и возможность просто отпихнуть с дороги мешающийся ssl аж версии два, встречается все реже и реже.
Ну, виртуалка для администрироования - не факт, что неправильное решение.
> Ну, виртуалка для администрироования - не факт, что неправильное решение.угу, по одной на каждый администрируемый сервис - потому что у каждого свои проблемы с новыми-модными-безголовыми поделками.
И отдельная виртуалка для доступа к управлению виртуалками, а то ж, не ровен час, тоже окажется неновая-немодная.
А ведь Иоанна давно это предлагала!
Замуж ей надо :) А то так и будет ни за что нас *****
А, х.з. Я думал это опечатка.
>MicrosistemСразу видно знающего человека.
У меня на домашнем десктопе до сих пор DVD-писатель подключен к мамке по IDE-порту и кушать не просит. И я (о ужас!) даже им пользуюсь.
SAN свитч это про FibreChannel.
> Вы пробовали по админить железо более 3-х лет давности?Лично мне ничто не мешает накатить обновления и на железо гораздо большей давности. А если у тебя неподдерживаемая система — ССЗБ.
>> Вы пробовали по админить железо более 3-х лет давности?
> Лично мне ничто не мешает накатить обновления и на железо гораздо большей
> давности. А если у тебя неподдерживаемая система — ССЗБ.Назовите же тех чудных вендоров, обновления которых вы накатываете!
А то с ipmi/ilo постоянно проблемы.
> Админ
> Жалуется на потенциально опасные изменения в Debian UnstableАдмин, у тебя там что, прод на Unstable?
Он через полтора года станет карент-стабле. Админ пытается соломки подстелить, это фан, но заенадоело до коликофф. Ибо инноваторофф всё больше, а бюджет на апгрейд корового железа - всё меньше :(
Опять debian полез в криптографию.
> Опять debian полез в криптографию.Лучший комментарий 8)
Но вообще-то выкидывают уже из многих проектов.
> Но вообще-то выкидывают уже из многих проектов.Надеюсь, что не криптографию...
так ди6илизм и желание поулучшать - оно общезаразное, к сожалению.дать пользователю человеческую возможность выбирать, нужна ли ему такая секьюрить и до какой степени - это вот нет, это никак, синенькое и зелененькое в строке адреса (которой те, кто только и умеют синенькое отличить от зелененького, все равно пользоваться не умеют) - вот это по-нашему. А в остальных случаях выведем сообщение об ошибке вида "нишмагла" (зато в виде огромной страницы во весь экран, с нулем полезной информации на ней), так чтоб не только пользователь, а и грамотный админ потратил часик-другой на выяснение, чего же именно.
В криптографии не должно быть человеческого фактора. Совсем. Иначе это все х..ня.Никаких синеньких, зелененьких и красненьких. Никаких WEP, бородатых протоколов и т.д. потому что "у меня должен быть выбор".
P.S. Конечно всегда есть много путей решения задачи. Могли бы не отключать старые протоколы а просто деградировать их до plain/text ибо зачем грузить системы бесполезной работой? </sarcasm>
> В криптографии не должно быть человеческого фактора. Совсем. Иначе это все х..ня....уповаете на божественное вмешательство или палите-саммоните рептилоидов?
> системы бесполезной работой? </sarcasm>
</а, ну, разве что так>
> В криптографии не должно быть человеческого фактора. Совсем. Иначе это все х..ня.А вот решение о внедрении криптографии и условия внедрения - принимается человеком.
И да, вот тут-то вся х..ня и начинается.
>В криптографии не должно быть человеческого фактора. Совсем. Иначе это все х..ня.А таки - да, Капитан!
В программировании не должно быть человеческого фактора. Совсем. Иначе это все х..ня.
Вот идеал к которому надо стремиться :-)
Надо полагать, ALT в криптографию не лезет...Анекдот про неуловимого Джо напомнить?
О, старый знакомый Kurt Roeckx, то самый который вычищая warning-и компилятора посадил легендарную багу в OpenSSL, из-за которой стали генерироваться предсказуемые сертификаты (https://www.opennet.me/opennews/art.shtml?num=16523).Уже почти десять лет прошло и видимо опять руки зачесались "улучшить" OpenSSL. Будет весело, если отрубая TLS 1.0/1.1 по недосмотру отрубили какой-нибудь важный кусок. В прошлый раз он тоже отрубал лишнее и отрубил все источники энтропии для RNG :-)
Вас послушать, так все что начинается с Open* мэйнтейнят неадекваты.
Насчет open* не скажу, а вот в дебиане подход, когда пресловутая "дебианизация" ставится в абсолют вопреки здравому смыслу, не редок.
Кстати, это проблема примерно одного плана с тем, чем недовольны разработчики Grsecurity. Только у них код чистят при переносе в ядро Linux, попутно "исправляя" непонятные моменты и заменяя "велосипеды" как внешние вызовы из ядра, что приводит к проблемам с безопасностью, чем и недовольны в Grsecurity.
Не обфусцировать свой код и не писать велосипедов они, конечно же, не пробовали?
А где они будут харчеваться ?
> Насчет open* не скажу, а вот в дебиане подход, когда пресловутая "дебианизация"
> ставится в абсолют вопреки здравому смыслу, не редок.Самый фееричный пример на моей памяти - их местечковый костыль console-setup, который к стретче превратился в минное поле. И ради него они специально выпилили systemd-vconsole, который хоть и от поттера, но работал стабильно.
Это началось с 8 ветки. До этого такого не было ни разу, не надо.
Никогда такого не было! И вот опять .... (С) Народт :))))
> Kurt Roeckxсерьезно, он все еще мейнтейнит в дебиане? Не, ну есть вероятность, что он обучаемый персонаж.
> Уже почти десять лет прошло и видимо опять руки зачесались "улучшить" OpenSSL.
> Будет весело, если отрубая TLS 1.0/1.1 по недосмотру отрубили какой-нибудь
> важный кусок. В прошлый раз он тоже отрубал лишнее и отрубил
> все источники энтропии для RNG :-)Насколько я помню, он отрубил обращение к не инициализированной области памяти. Типа это был такой основной источник энтропии. Видимо, ребятам невдомек, что на некоторых системах (в зависимости от архитектуры, ядра и libc) он может быть стабильно заполнен нулями, и "дебианизация" произойдет автоматически.
>Видимо, ребятам невдомек, что на некоторых системах (в зависимости от архитектуры, ядра и libc) он может быть стабильно заполнен нулями,Ты в код смотрело?
А там ( сюрпириз! ) - 100% доказательство того, кто из вас - ты или разарабы опенсЫсысЭля - есть школота :-D
Тот, который десять с хвостиком сопровождает openssl в Debian.А теперь давай посмотрим что сделал ты за это время?
Недавно обнаружил, что оказывается миллиарды тонн проприетарных поделий вовсю хотят sslv2, и без него не работают, от ужоса пот прошиб.
Контракты с АНБ обязывают.
"Не нужно искать злой умысел там, где всё легко объясняется глупостью"
> "Не нужно искать злой умысел там, где всё легко объясняется глупостью"Вы ведь это написали без злого умысла, правда?
АНБ, конечно же, мне забашляло
Ты не распарсил суть коммента :)
Инфа - 100%?
Шифрование - не тот случай. "Ищи, кому выгодно".
> Шифрование - не тот случай. "Ищи, кому выгодно".Очевидно, пользователям этих поделок - можно не обновлять ПО, избежав сопутствующих затрат и (рисков) даунтайма.
> Шифрование - не тот случай. "Ищи, кому выгодно".Можно я не буду искать, а просто стану юзать то, что лучше защищено? Такой вид паранойи, без уклона в шизу, мне как-то более близок.
> глупостьюПроще - ленью.
У меня вон роутер 2013 года (где-то брал за $400) ничего не умеет больше, чем SMBv1 и аутентификации NTLMv1. Хотя в том же году он был объявлен, как окончательно не рекомендуемое устаревшее решение времен мамонтов.
Так всем плевать же.
> Контракты с АНБ обязывают.да-да, в моем UPS'е весом в полтонны, контакты, ага, с АНБ. Я, правда, продолжаю подозревать, что контакты там электрические, но вы можете бодро сунуть палец, проверить - "если все бумажки подписать грамотно, то у ментов и трудовой инспекции вопросов не остается".
И да, конечно же, я очень хочу его поапдейтить, аж спать не могу. А то ж злые хакеры того гляди хакнут.
> А то ж злые хакеры того гляди хакнут.Сольют информацию об уровне заряда батареи и выложат в открытый доступ. Если это произойдёт, то многомилионные убытки тебе гарантированы, так что ты там с обновлениями UPS-а не затягивай.
можешь посмеяться, но вот вариант: в нужный момент упсу зашлют команду вырубить внезапно питание и потереть перед этим все логи.
И, возможно, убить прошивку.
профит
Молодцы, давно пора.
В RDP используется TLS 1.0 и вроде не поменять.
> В RDP используется TLS 1.0 и вроде не поменять.rdp - это какая-то бяка от проклятой microsoft, фу таким быть - пользуйтесь нашим опенсосным vnc, там все нормально, и пароли заодно клиртекстом что в канале, что на хосте.
А в Wayland как быть?
> А в Wayland как быть?так vnc же может в wayland, ему все равно, битовую копию чего гонять.
форониксовая реализация вроде как даже заявлено что работает.
Придется заворачивать все рдп соединения в туннели
Теперь все соединения придется заворачивать в туннели.
Приятно видеть баттхёрт недоадминов устаревших и насквозь дырявых недороутеров.
> Приятно видеть баттхёрт недоадминов устаревших и насквозь дырявых недороутеров.Дурачок. Есть такие железки, которые стоят от нескольких сот тысяч до нескольких миллионов, и веб-интерфейс у которых - далеко не самая основная функция. Оптические переключатели или DWDM-оборудование, например. Вы серьёзно считаете, что надо покупать новое оборудование лишь потому, что демьян решил забанить SSLv2, а производитель больше не хочет выпускать обновления, потому что теперь выпускает новую модель того же самого, но с улучшенным дизайном со скруглёнными углами и в блестящем корпусе?
И чему там стоить миллионы, если поддержки никакой?
> И чему там стоить миллионы, если поддержки никакой?соберете wdm свитч на коленке?
> Вы серьёзно считаете, что надо покупать новое оборудование лишь потому, что демьян решил
> забанить SSLv2, а производитель больше не хочет выпускать обновления,почему же, выпускает - у меня вот выпустилось обновление, вместо ssl2 теперь сразу tls1.0 (который тоже решили забанить в новом модном дебиане).
ну, не то чтобы кто-то ждал чего другого, но, коли уж была такая же железка в лаборатории - мы поапгрейдились, похихикали, отписались вендору, сходили на соседний этаж, выдрали оба блока питания из розеток, воткнули обратно - оно, в принципе, завелось, и даже управляется теперь, но в Самару с аналогичной целью я, пожалуй, не поеду. Пусть себе дальше ssl2 будет. А то клиенты, воткнутые в эту штуку, боюсь не оценят, загружается оно очень небыстро. А совсем без управления как-то неаккуратненько получается...
> вместо ssl2 теперь сразу tls1.0 (который тоже решили забанить в новом модном дебиане).А ты на sid сидишь? До stable-то это раньше, чем через пару лет, не докатится. А если всплывут массовые проблемы типа твоих анальных болей, то гораздо дольше.
> А ты на sid сидишь? До stable-то это раньше, чем через паруэту штуку купили в 2014м. Я совсем не уверен, что наша контора проживет "пару лет", но железка, скорее всего, ее переживет.
Я-то сижу на винде, но там, ты будешь смеяться, ровно те же проблемы (пусть тамошние индусы и немного более консервативны, но, увы, мозгов у них нет точно так же, включая и режим "все что сделано в хромом, непременно надо тащить и к нам")
>> Приятно видеть баттхёрт недоадминов устаревших и насквозь дырявых недороутеров.
> Дурачок. Есть такие железки, которые стоят от нескольких сот тысяч до нескольких
> миллионов, и веб-интерфейс у которых - далеко не самая основная
> функция. Оптические переключатели или DWDM-оборудование, например. Вы серьёзно считаете,
> что надо покупать новое оборудование лишь потому, что демьян решил забанить
> SSLv2, а производитель больше не хочет выпускать обновления, потому что теперь
> выпускает новую модель того же самого, но с улучшенным дизайном со
> скруглёнными углами и в блестящем корпусе?А оборудование это вы на ебее покупали что ли? Нам почему-то Cisco и Juniper на заказ прошивки дотачивают, если надо.
Ваши аргументы - детский лепет. А что прикажете делать с промышленным оборудованием работающем в режиме 24/7 (например АСУТП, где аптайм может исчисляться десятилетиями)? Хотел бы я посмотреть на вас (а возможно и вашу семью включая родственников) после "обновления прошивки" >:|
Извиняюсь за ошибки: "яблочная поделка" - всё время норовит исправить правильный текст (особенно пунктуацию).
Промышленное оборудование без резервирования?
Ты хочешь сказать что если сейчас эта железяка сдохнет.
Мне п@#$%^да?
Вот теперь, мне действительно страшно.
1) резервирование не даёт 100% гарантии безопасности
2) все работы на оборудовании проводятся согласно РД (особенно касается "режимных" объектов и Ex-зон)
3) остановы и запуск в эксплуатацию на некотором оборудовании может составлять от нескольких часов, до нескольких месяцев (включая полную замену оборудования из-за остановки) - поэтому такое оборудование работает без останова (дешевле "крутить в холостую", чем его остановить)PS: видать, вы ни разу не имели дела с производством. Поверьте, IT и производство находятся в "разных весовых категориях", относительно рисков.
> Промышленное оборудование без резервирования?система управления питанием (крохотного) датацентра. например. Как резервировать будем? Три головы с мажоритарным управлением, на случай если одна сделается делегатом съезда крыш? Не слишком ли дорого получается? А если сразу две свихнутся?
> Ты хочешь сказать что если сейчас эта железяка сдохнет.
> Мне п@#$%^да?ну, необязательно... скорее всего отвалится управление, а электричество останется. (бывает и похлеще, маршрутизатор без управления - но с живой маршрутизацией. долбаная циска.)
> Вот теперь, мне действительно страшно.
ага. коллеги из инженерного подразделения вот сейчас вокруг такой ходят - доапгрейдились, ага. Там, в принципе, место безобидное, можно даже выключить надолго. Но если потом не включится (а что-то есть подозрения) - эта хрень демонтируется разборкой стены и подгонкой под нее подъемного крана.
Вот сам понимаешь, КТО будет лежать в фундаменте, если причиной апгрейда будет "что-то тут версия tls устаревшая".
>Вот сам понимаешь, КТО будет лежать в фундаменте, если причиной апгрейда будет "что-то тут версия tls устаревшая".Ага, уже есть прецедент - в аккурат 8 лет назад :(
Прикажу не ссать, так как эти системы не подключены к интернету и, следовательно, могут себе позволить остатьваться без некоторых апдейтов. Так же прикажу отстранить от дальнейшей турдовой деятельности того, кто спроектировал систему без резервирования и возможностей для остановки на капитальное обслуживание и апгрейд. Выполняйте.
>резервирование и возможностей для остановки на капитальное обслуживаниеВы в глаза, хотя бы раз, например, турбину или домну... видели? А как они обслуживаются знаете?
Думаю, что вы и ваши родственники (близкие и дальние), собственными руками и в кратчайшие сроки построите новую домну вместо старой по причине незапланированной остановки в следствии "обновления прошивки"... как-то так.
Так, что ваш пустой трёп не засчитан.PS: к интернету нет, а вот некоторые "умники" "зацепили" за вражий GPS (не было в то время ещё ГЛОНАС, млин, кто их только принимал, хотя в 90-е ещё и не то творилось)
Поверьте, это настолько сложные системы (да, там везде многоканальное дублирование, но полностью защититься "от дурака" невозможно), что иной раз сам не знаешь, что будет если "тут надо всего-то поправить чуть-чуть".
> А оборудование это вы на ебее покупали что ли?
> Нам почему-то Cisco и Juniper на заказ прошивки дотачивают, если надо.вот вам, товарищи, типичный образчик так называемого вранья. (а скорее всего мнение младшего падавана, который что-то краем уха в курилке от старших товарищей услышал, а самая большая циска, которую ему доверили - офисный роутер)
Чтобы циска вообще согласилась с тобой иметь дело, мало купить "не на ебее" (купленное где-то не там, например, просто б/у оборудование, вообще легализовать практически невозможно), надо еще и заплатить процентов так 20 (бывает и больше, причем чем дороже и сложнее коробка, тем хуже) от и так космической цены оборудования - в год. Часто еще и за каждую плату отдельно. Причем в любой момент тебе может приехать "письмо счастья", что именно твою коробку/модуль циска что-то разлюбила, и ей объявлен EOL - заменять ее на оборудование из списка поддерживаемого ты будешь за свой счет. (а иногда в этом списке просто прочерк)
И даже когда ты и жопу показал, и унитаз предъявил - "если надо" - это если оно надо циске (ну или если на самом деле проблема решается дежурным индусом за пару минут). А если оно циске не надо - твой интегратор от нее получает "а откройте-ка нам не обычный support, а business-case, а мы подумаем" (то есть напишите нам, в деталях, как данная проблема влияет на _продажи_. Ах, они у вас уже купили? Ну и молодцы, чего ж теперь исправлять-то)
Ну и отдельно расскажите, какая версия ssl у вас сейчас в морде ucs5100, и хотите ли, кстати, вы ее попытаться поапгрейдить, даже если вы заплатили те полтора ляма, которых стоит в год обслуживание такой стойки (а куда вы денетесь, запчасти-то на ебее не продаются). Про софт, без которого в общем-то бессмысленно его покупать, я уж молчу (там и древний-предревний ssl, и flash, без которого никуда, и еще и жаба поверх флэша, чтоб совсем скучно не было). И нет, на такой софт никакие халявные апгрейды в рамках сервис-контракта не идут, плати по новой полную стоимость.
Внутре, кстати, линукс, чтоб ему пусто было.
О чём всё это? Считаешь Циску жлобами - сделай своё такое же.Они в бизнесе уже давно, контролируют стабильно 50-60% своего рынка, и умирать пока не собираются. Значит, они всё делают правильно.
> О чём всё это?3.59 - на ебее, мля, ага, щас.
> Значит, они всё делают правильно.
они-то может все делают и неправильно (а то мало было банкротств не сильно меньших их по размеру, тоже "делавших все правильно"), но об этом пусть переживают их акционеры, речь-то о другом - о странных людях, живущих в мире прекрасных фантазий, что если заплатить циске или еще кому побольше (желательно дядиных денег), то у них везде будет самый распоследний tls протокол, непременно совместимый с бредовыми идеями в голове дебиановских горе-девелоперов.
Мир несовершенен. Он всегда таким был. Чего истерить?
Да просто всё! Если бы дали сроку 10 лет - никто бы и не пикнул. А 2 года до капца, когда у тебя оборудования на лямы ... и оно куплено в 2014-м - свежак ...
Короче - не будет демьяна даже там где сейчас есть. А красношапка - будет. Вот увидите. ТЧК.
> Да просто всё! Если бы дали сроку 10 лет - никто бы
> и не пикнул. А 2 года до капца, когда у тебя
> оборудования на лямы ... и оно куплено в 2014-м - свежак
> ...
> Короче - не будет демьяна даже там где сейчас есть. А красношапка
> - будет. Вот увидите. ТЧК.У вас может и не будет. А мы с Debian никуда спрыгивать не планируем. Всё как работало, так и будет дальше работать.
Меня это тоже, иногда, бесит. Компания FTDI не так давно сломала совместимость со своими старыми чипами. Теперь приходится работать с их оборудованием, которое прослужит ещё лет 10, через старый комп с Windows 95.Но такова жизнь. Скорость изменений в ИТ измеряется годами, а не десятилетиями. Недоволен - меняй профессию. На железной дороге, говорят, до сих применяют стандарты, принятые в 19-ом веке.
>> А оборудование это вы на ебее покупали что ли?
>> Нам почему-то Cisco и Juniper на заказ прошивки дотачивают, если надо.
> вот вам, товарищи, типичный образчик так называемого вранья. (а скорее всего мнение
> младшего падавана, который что-то краем уха в курилке от старших товарищей
> услышал, а самая большая циска, которую ему доверили - офисный роутер)Работаю в Tier 1, название компании прямо в версии прошивки написано на всех роутерах. Услугами интеграторов не пользуемся, с Циско и Джунипером работаем напрямую (партнёрские соглашения, вот это всё). Мордами тоже не пользуемся – либо руками в консоли печатает человек, либо автоматика вливает готовые конфиги.
Но тебе, конечно, не завидую. Такая-то боль в заду от того, что кто-то прогибает под себя вендора.
> Но тебе, конечно, не завидую.а зря.
"tier1" вручную в консоли - вот тут действительно не позавидуешь. Если "окошком ошибся", у вас там хотя бы уволят, или просто замуровывают живьем под фальшполами?а "партнерские соглашения" никому еще не помогали - кроме, повторяю, ерунды, которую во-первых, циске в принципе несложно исправить, во-вторых, один хрен в следующем апдейте будет. Таких ерундовых исправлений у нас есть - хотя и без "названия компании в прошивке", мы этим не понтуемся (и вообще-то оно, обычно, патч, а не целиком прошивка).
А вот tls1.3 в вебморде цискосервера - поди добейся. Потом расскажешь, куда тебя послали с твоим партнерским соглашением и жалобами что "в моем debian не открывается".
> Работаю в Tier 1, название компании прямо в версии прошивки написано наах, да, для работничков tier1компаний, которым за командной строкой роутера не видно уже ничего кроме (да и поиском, видимо, пользоваться некогда) - ucs5100 это такая цискина корзинка, с пачкой blade серверов внутри. К конфигам и твоей командной строке его морда никакого отношения не имеет, а вот пользоваться ей иногда все же приходится.
а почему до сих пор приходиться полагаться на софт производителя? Думаю у ребят, что это юзают, хватит денег нанять по разрабу, несколько таких фирм - и вот уже готова команда, делающая свободные решения.
> а почему до сих пор приходиться полагаться на софт производителя?потому что ни dwdm-свитча, ни системы управления питанием на пол-гигаватта, ни системы управления оборудованием датацентра ты дома на коленке не сделаешь. А пустить тебя ковыряться в чужом оборудовании за милиарды нефти (которое при этом теряет гарантию, а чему сгорать "в плановом режиме" там есть) на предмет "щас я быстренько расхакаю и напишу крутейший опенсорсе софт" дурачков нет.
> об отключении поддержки протоколов TLS 1.0 и 1.1 в Debian Unstable.
> В текущем виде из протоколов SSL/TLS оставлена только поддержка TLS 1.2."" (Debian buster/sid users: please change “https” to “http” there, the site is only available with TLSv1.0 as it doesn’t require bank-level security.) ""
--https://www.mirbsd.org/permalinks/wlog-10_e20170810-tg.htmДебиан-юмор для тех, кто в курсе, по случаю.