Bye-bye OpenVZ, hello KVM!

M-am hotarat sa renunt la VPS-ul de pe OpenVZ si sa trec la KVM. Pe OpenVZ aveam un Ubuntu 14.04, SO al carui suport se apropie de sfarsit in aprilie 2019. Singura modalitate de upgrade pe OpenVZ este sa refac masina, asa ca am hotarat sa cumpar alta, de data asta pe KVM, dar tot de la SSDNodes.

De pe data de 16 februarie 2016 cand am cautat oferte la un VPS si asta pana azi, au trecut 984 de zile sau 2 ani, 8 luni si 11 zile.
2 ani, 8 luni si 11 zile in care m-am jucat cu vechiul VPS-ul pe care statea blogul asta. VPS-ul pe care am avut de invatat lucruri pe care nu puteam sa le invat in productie cu servere live. (sau mai bine zis, nu mi-am permis)

Astazi a venit momentul in care Linux vps 2.6.32-042stab127.2 #1 SMP Thu Jan 4 16:41:44 MSK 2018 x86_64 x86_64 x86_64 GNU/Linux devine Linux vps-linux365-ro 4.15.0-38-generic #41-Ubuntu SMP Wed Oct 10 10:59:38 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux, momentul in care Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz devine Intel Xeon Processor (Skylake, IBRS) si 4GB RAM se transforma in 16GB RAM.

Migrarea datelor a durat cam 4 zile, dar asta in mare parte pentru ca nu am vrut sa migrez tot si am vrut sa fac unele modificari (ipsec vs. openvpn, redis in loc de memcache, mysql in loc de mariadb) ce au necesitat mai mult timp decat ma asteptam. (cel mai mult m-am luptat cu ipsec-ul).

 

Astea fiind spuse, goodbye old VPS, hello new VPS!

RouterOS vs. buffer overflow: who would win?

 

Pe scurt, mi-am schimbat routerul software (RouterOS x86) cu unul hardware (Mikrotik RB3011 RouterOS ARM) si am vrut sa ma joc cu OpenVAS. In timp ce am scanat toata reteaua, routerul s-a restartat de cateva ori. Am zis ca am setat o scanare prea intensa si ca a crapat din cauza asta (ceea ce ar fi destul de naspa), asa ca am ales o scanare mai simpluta doar pentru Mikrotik. Din pacate iar s-a restartat de cateva ori. Am asteptat sa se termine scanarea si sa primesc raportul. Se pare ca exista o vulnerabilitate si poti sa o explotezi foarte simplu. Vulnerabilitatea exista de ceva timp si a fost rezolvata din ce am cautat, dar aparent inca exista in RouterOS, sau mai bine zis in webserverul din RouterOS/Mikrotik.

Partea buna? Esti afectat daca ai UPnP activ, si problema devine reala doar daca cineva din interiorul retelei o exploateaza, deci temporary solution: disable UPnP, real men do Port Address Translation.
Pe unele soutere doar crapa serviciul de UPnP.  Pe al meu crapa tot routerul, dar daca am pornit /tool profile (sau daca sunt conectat prin SSH?) nu crapa decat atunci cand ies din SSH (si opresc /tool profile)

Anyway, mai multe detalii aici, plus bonus:

 

 

EDIT: In ziua in care am descoperit bug-ul am deschis tichet la Mikrotik. Dupa aproximativ 4 zile, problema a fost rezolvata de catre Mikrotik. In 3 saptamani a aparut un firmware nou cu bugfix-ul.