По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Сегодня мы расскажем про то, как обновить IOS на устройствах Cisco. Новые версии IOS выходят постоянно и в них добавляют новый функционал, исправляют уязвимости и баги, поэтому важно иметь обновленное устройство.
Обновление
Начнем с того, что посмотрим, какая версия IOS установлена на данный момент, используя команду show version
Router#show version
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 06:21 by pt_rel_team
ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
Из вывода этой команды мы видим, что текущая версия прошивки – 12.4.(15)T1. Подробнее о версиях IOS можно прочесть в этой статье.
Далее найдем новую версию прошивки для нашего маршрутизатора на сайте cisco.com и скачаем её.
Затем посмотрим доступный объем flash памяти, где находится текущий файл IOS, при помощи команды show flash.
Router#show flash
System flash directory:
File Length Name/status
3 50938004 c2800nm-advipservicesk9-mz.124-15.T1.bin
2 28282 sigdef-category.xml
1 227537 sigdef-default.xml
[51193823 bytes used, 12822561 available, 64016384 total]
63488K bytes of processor board System flash (Read/Write)
Тут мы видим, что текущий файл IOS - c2800nm-advipservicesk9-mz.124-15.T1.bin занимает 50 мегабайт из доступных 64, и у нас остается свободно 12 мегабайт flash памяти. Чтобы загрузить новую версию прошивки нам не хватает места, поэтому нужно удалить старую. Используем команду delete /force /recursive flash:имя_файла.
Router# delete /force /recursive flash:c2800nm-advipservicesk9-mz.124-15.T1.bin
Теперь поместим скачанную версию IOS на TFTP или FTP сервере и с него скачаем себе на роутер. Для этого сначала используем команду copy [откуда] [куда] . Потом указываем IP адрес нашего TFTP сервера, имя файла и какое он будет иметь название после копирования.
Router#copy tftp: flash:
>Address or name of remote host []? 192.168.1.2
>Source filename []? c2800nm-advipservicesk9-mz.151-4.m12a.bin
>Destination filename [c2800nm-advipservicesk9-mz.151-4.m12a.bin]?
Accessing tftp://192.168.1.2/ c2800nm-advipservicesk9-mz.151-4.m12a.bin…
Loading c2800nm-advipservicesk9-mz.151-4.m12a.bin from 192.168.1.2 (via FastEthernet0/0):
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Проверить содержимое памяти можно используя команду dir flash
Router#dir flash
Directory of flash:/
3 -rw- 50938004 c2800nm-advipservicesk9-mz.151-4.m12a.bin
2 -rw- 28282 sigdef-category.xml
1 -rw- 227537 sigdef-default.xml
64016384 bytes total (58188981 bytes free)
Также можно проверить все ли в порядке с самим файлом, сравнив его MD5 сумму, с той, которая указана у этого файла на сайте Cisco.
Router#verify /md5 flash:c2800nm-adventerprisek9-mz.151-4.M12a.bin
.................Done!
verify /md5 (flash:c2800nm-adventerprisek9-mz.151-4.M12a.bin) = fcdaeb55b292534e97ecc29a394d35aa
Если на нашей flash памяти хранится больше одного образа IOS, то нужно вручную при помощи команды boot system указать какой будет загружаться.
Router(config)#boot system flash:c2800nm-adventerprisek9-mz.151-4.M12a.bin
Затем отправляем наше устройство в ребут командой reload, и при включении загрузится новая версия. Проверить это можно снова выполнив команду show version и найдя строчку System image file is.
System image file is "flash:c2800nm-adventerprisek9-mz.151-4.M12a.bin"
Если мы тут видим название файла образа новой IOS, то значит, что мы успешно обновились.
Kubernetes стал незаменимым инструментом для оркестровки, масштабирования, автоматического развертывания и управления контейнеризованными приложениями.
А если проще, Kubernetes – это система, которая обеспечивает совместную работу различных приложений на разных компьютерах.
Следует отметить, что эта система, как правило, работает именно с контейнеризованными приложениями, такими как образы Docker. Строго говоря, это тип виртуализации, при котором приложения запускаются в изолированных пользовательских пространствах, которые называются
контейнерами
.
Проблемы безопасности контейнеров
То, как приложение будет работать и взаимодействовать с другими приложениями и внешним миром, определяет пользователь. А все, что предполагает вмешательство человека, подвержено появлению дефектов и ошибок.
Серьезность ошибки напрямую зависит от навыка человека, который управляет контейнерами. Иногда даже самая несерьезная ошибка может сломать всю систему. Один из самых ярких примеров – уязвимость в Java под названием Log4j, которая совсем недавно привела к серьезному сбою по всей сети Интернет.
Как правило, программное обеспечение/приложение не защищено от злоумышленников на 100%, это просто невозможно. Но нельзя ошибочно полагать, что наличие утечек и уязвимостей – это нормально, и надеяться на то, что их никто не обнаружит.
Искать уязвимости безопасности и дефекты нужно всегда. Кроме того, по мере возможности их необходимо устранять.
Дефекты могут сделать кластер или контейнер уязвимыми, а это, в свою очередь, может позволить неавторизованным лицам воспользоваться ими в своих целях. А учитывая тот факт, что популярность Kubernetes только растет, нам необходимо более серьезно подумать о том, как оценить его действенность и решить проблемы безопасности конвейеров.
Дабы вы смогли лучше организовать защиту ваших конфигураций и программ Kubernetes, давайте рассмотрим несколько распространенных уязвимостей, а также изучим рекомендации по обеспечению безопасности Kubernetes.
Необходимость выбора конфигурации
Если вы только начали знакомиться с Kubernetes, но при этом пытаетесь развернуть проект самостоятельно, вам может быть сложно разобраться в правилах конфигурации безопасности. Это происходит потому, что Kubernetes в таких случаях, к сожалению, не предоставляет правил конфигурации по умолчанию, которых было бы достаточно для обеспечения безопасности.
Несмотря на то, что конфигурация безопасности не так важна на начальных этапах, позже, когда вы перейдете к более поздним этапам развертывания в производственной среде, она станет критичной.
Аналогичная проблема существует и с тем, как взаимодействуют друг с другом модули. Эти права на «общение» определяются сетевыми политиками, но по умолчанию такие политики не имеют отношения к модулям. И снова, это, то, что вам придется настроить самостоятельно.
Для решения этой проблемы есть простой обходной путь – обеспечить ролевое управление доступом (RBAC - Role-Based Access Control) для того, чтобы понимать, кто имеет доступ к API и какие права доступа у них есть.
Для того, чтобы повысить безопасность по части считывания объектов и уровня привилегий, вы можете воспользоваться такими атрибутами, как
allowPrivilegeEscalation
и
readOnly
.
Следующая политика демонстрирует, какие уровни полномочий есть у пользователя «bob»:
{
"apiVersion": "abac.authorization.kubernetes.io/v1beta1",
"kind": "Policy",
"spec": {
"user": "bob",
"namespace": "projectCaribou",
"resource": "pods",
"readonly": true
}
}
В данном случае пользователь «bob» может только считывать объекты из пространства имен «projectCaribou».
Если бы запрос имел тип «write» или «update», то действие было бы отклонено.
Вредоносный код в образах Docker
Так как Kubernetes зачастую работает с контейнеризованными приложениями, как правило, с образами Docker, чаще всего злоумышленники проникают в кластер или узел, получая доступ из этого самого контейнеризованного приложения.
Конечно, существует большое количество решений для предотвращения различных типов атак, но для того, чтобы предотвратить DoS-атаки, вы всегда можете просто ограничить использования ресурсов памяти.
Это можно сделать, настроив Ingress-контроллер. Этот контроллер будет ограничивать количество запросов за определенный период времени, например, он поставить ограничение на 10 запросов в секунду или 1000 запросов в минуту.
Реализовать такой подход можно, ограничив количество запросов на IP-адрес клиента или ограничив запросы на уровне узла службы.
Или же вы можете определить список для контроля доступа, чтобы запросы могли отправлять только определённые выбранные вами IP-адреса. В таком случае вы гарантируете, что никакой трафик анонимных запросов не перегрузит сервер, а также, что сервер будет обрабатывать трафик/запросы только из надежных источников.
Кроме того, вы можете сканировать приложения перед тем, как его развертывать. Это также является отличной практикой для обнаружения и немедленного устранения вредоносного кода.
Кластер безопасен, а передача данных – нет
В большинстве случаев приоритет отдается именно безопасности кластера, так как именно он управляет приложениями. Но есть одна вещь, о которой многие забывают – по умолчанию нет никаких мер безопасности и шифрования передачи данных.
Это довольно распространенная проблема, и, если вы будете ее игнорировать, то злоумышленники смогут получить несанкционированный доступ к вашей системе. Это значит, что обеспечивать взаимодействие служб в кластере должен протокол TLS (протокол защиты транспортного уровня).
Сетевые технологии развиваются, и это привело к появлению таких продуктов, как LinkerD, которые могут поддерживать протокол TLS по умолчанию. Кроме того, они предоставляют дополнительную телеметрическую информацию о взаимодействии служб.
Аналогичный принцип применяется и к «etcd», где хранится состояние кластера. Если вы оставите эту базу данных незащищенной, то она может стать привлекательной целью для злоумышленников, так как в случае удачной атаки злоумышленник сможет захватить весь кластер. Даже если у них будет доступ только для чтения, они смогут злоупотребить им, чтобы повысить свои привилегии.
Контроль времени выполнения
Даже если вы успешно справитесь с уязвимостями, связанными с политикой и конфигурацией, на вашем пути могут появится дополнительные препятствия во время выполнения. Один из примеров уязвимости, связанной с безопасностью во время выполнения, является взломанный контейнер, в котором запускаются различные вредоносные процессы.
Конечно, майнинг криптовалют стал довольно популярной целью для злоумышленников, которые пытаются вмешаться в настройки контейнера, но они могут выполнять и другие вредоносные действия, например, они могут сканировать сетевые порты для того, чтобы получить доступ к нужным ресурсам из скомпрометированного контейнера.
Для того, чтобы справиться с проблемами, возникающими во время выполнения, вы можете постоянно отслеживать активность выполнения критических с точки зрения безопасности контейнеров, например, активность процессов и передачу данных по сети.
Кроме того, настоятельно рекомендуется учитывать информацию о времени сборки и развертывания для того, чтобы вы могли сравнить наблюдаемую и ожидаемую активность во время выполнения. Таким образом, обнаружить любое нестандартное поведение будет намного проще.
Несоответствие стандартам
Соблюдать стандарты безопасности, нормативные требования и нормы, а также внутренние правила организации в облачных системах может быть не так просто.
Самая распространенная причина несоблюдения требований – игнорирование аспекта безопасности в процессе внедрения контейнера.
Лучший способ устранить такие уязвимости – принять все необходимые меры безопасности еще на ранних этапах жизненного цикла контейнера. Также неплохой практикой для сокращения накладных расходов считается автоматизация всех необходимых проверок (насколько это возможно).
Заключение
Безопасность – важный компонент контейнерных технологий, и это то, что обязательно нужно учитывать и внедрять при работе с Kubernetes.
Все-таки ваша конечная цель должна заключаться в том, чтобы помешать злоумышленникам получить доступ к вашим системам. А если им все-таки удастся это сделать, инфраструктура должна быть настолько хорошей, чтобы обнаружить аномальную активность и предотвратить ее распространение.
Как говорит Рори МакКьюн – главный эксперт по безопасности в NCC Group:
«Kubernetes – сложная система, и при ее настройке очень легко допустить ошибку».
Уязвимости контейнеров и Kubernetes в целом могут привести к серьезным негативным последствиям, если, конечно, вы не исправите их вовремя.
Кто не слышал о двух волшебных символах – «одинэс»? Это огромный мир различных решений для предприятия, и мы решили строго и лаконично рассказать про установку 1С Предприятие 8.3. Для того чтобы начать использовать программный продукт 1С 8.3, обязательно необходимо правильно установить соответствующую программу на компьютер, проведя после этого корректную настройку в соответствии со всеми правилами и указаниями производителя. Условно этот процесс специалисты делят на несколько этапов, каждый из которых требует ответственного и подхода к его выполнению.
Установка программы и первоначальное ее заполнение
В первую очередь, необходимо осуществить установку программы 1С 8.3. Этот процесс можно осуществлять непосредственно в файловом режиме.
Как только он будет закончен, следует выполнить такие действия, как:
выбор способа настройки (по сети или же в режиме одного пользователя);
ожидание автоматической технической адаптации будущей базы данных;
установка системы защиты программы и соответствующих ключей к ней.
После выполнения перечисленных действий можно переходить к следующему этапу работы.
Заполнение классификаторов
Все необходимые для работы программы данные пользователь должен занести в соответствующие строки. Это касается такой информации, как:
перечень организаций;
курсы валют;
общероссийские классификаторы.
После занесения всех данных производится автоматическая загрузка информации с соответствующих серверов. Как только этот процесс произойдет, пользователь должен заполнить учетную политику организации.
Адаптация программы к проведению учета
В целом ряде случае типовое решение программы 1С 8.3 не удовлетворяет пользователей. Это может быть связанно с тем, что стандартные настройки продукта не подходят компании в связи со спецификой ее работы. Именно поэтому, независимо от того, какая конфигурация программы была установлена, обязательно ее необходимо соответствующим образом адаптировать под потребности организации.
На данном этапе настройки пользователь должен улучшить стандартный функционал продукта. Для этого нужно разработать все необходимые отчеты и обработки. В конце следует осуществить интеграцию и обменных данных между различными базами.
Обучение пользователей
Для того чтобы программой 1С в дальнейшем можно было корректно пользоваться, обязательно необходимо проконсультировать и обучить всех пользователей, которым в будущем необходимо будет выполнять свои обязанности, используя данный продукт.
Даже самая корректная настройка программы не может обеспечить отсутствие возникновения ошибок. Именно поэтому пользователи должны понимать, каким образом работает продукт и как можно исправлять те или иные проблемы, возникающие с ним. Как один из вариантов – используйте короткие видеоролики с описанием принципов работы и какими-то нюансами – в случае чего, это также будет максимально облегчать обучение новых пользователей программы.
Перенос остатков и справочников в новую программу
Если количество данных, которые нужно переносить, не очень большое, этот процесс можно осуществить в ручном режиме. Это можно сделать во вкладке «Загрузка остатков» или «Загрузка справочника номенклатура».
В большинстве же случаев количество данных, которые следует перенести, очень значительное. Именно поэтому в таких ситуациях нужно воспользоваться автоматически. Этот процесс можно выполнить, как из аналогичных программ, так и с некоторых других продуктов (SAP, Axapta, Парус и Галактика).
Установка и настройка прав пользователей
Следующим этапов нужно добавить в программу всех пользователей и настроить их права. Контролировать этот процесс должен руководитель проекта, так как именно ему нужно решать, какой доступ к информации должен быть у тех или иных сотрудников организации.
Ввод в эксплуатацию
В конце для настройки программы 1С 8.3 обязательно необходимо исправить все неточности. В некоторых случаях на этом этапе выявляются проблемы в обучении пользователей. Их необходимо устранить для того чтобы процесс использования продукта был максимально полезным.
Ввод в эксплуатацию программы может занять около полугода. Именно в этот период можно выявить неточности работы, неправильные настройки или необходимость доработки системы.