海外裝機記實

話說在這個不太國際化的小島上,小魯的許多朋友(有點 ptt 上身了)常會很羨慕魯蛇我常有海外出差的機會,他們常對出差有不切實際的幻想,以為出差多半是個爽差事,去上個幾天不太累的班,然後賺到幾天免錢的旅遊機會。

各位朋友啊,公司要派人出差就是要賺錢,出差就是趕快把事情做完,做得又快又好,還要加上客戶夠大方,帶你去逛個半天吃個飯就已經很了不起了,異國風情?就是在你搭車從機場到客戶駐地沿路的風景,當地美食?特色便當或印有不同外包裝的可樂,血拼敗家?上班時通常商場都沒開,下班時勉強可以逛一下還開著的便利商店…

以下就來分享某次出國比賽裝機的經驗,我都沒有在玩喔,大家也都很認真的、日以繼夜的把事情搞定,也多虧大家的幫忙,這真是一次難得的經驗。

這次的裝機地點在是我們的鄰居 – 菲律賓,機房聽說離市區不遠,但是由於市區天天塞車,早也塞晚也塞的關係,我們一直以為機房在偏遠的郊區…

如何?機房看起來白白淨淨的吧?其實當天我們在那邊看隔壁的 Facebook 是一整個機櫃(含設備)送進來,然後只來了兩個工程師,有義氣的我們當然是一次來八個。(小K的OS: 他們 FB 才來一櫃,你沒看到這兩排都是我們要裝的?)

01 02 03 04

現場看其實就知道誰有經驗誰沒經驗了,看,這些坐地板的就都是菜鳥,沒兩天就腰酸背痛的,懂得利用環境(機櫃隔板)或站或坐的,就是有經驗且續航力比較久的老鳥。

中場出去吃飯了,雖然我已經忘記去吃了什麼東西,其實也搞不清楚這商場叫什麼挖貴(啊就告訴是我們是去工作不是去玩的),小魯還是勉強擠出兩張照片和小小的心得給大家,菲律賓真的沒我以前想像中落後,商場很大很現代,型態比較美式一些,不像臺灣的百貨公司的櫃位很擁擠(日式?),另外就是人多的要命,而且都馬是當地人,聽說當地的貧富差距也頗大,菲律賓人口將近一億人吧,假設有 5% 有錢人的話,那不就是有 500 萬有錢人?想到這裡也就不難理解為什麼人這麼多了。(我照片裡照到的人很少,但實際上裡頭很多人的)

05 06

吃完飯又回到機房,巡一下

07 排插樣式老舊了一些,也沒有電流顯示,不過是三孔耶,和台灣一樣

08客戶自己找當地施工,其實這些patch cable算拉的有水準

09Patch pannel也弄得有模有樣,聽說都是有牌的大廠

10線打的也不錯

好了,優點看完了,接下來就是令人難以想像的缺點,知道這些缺點難道也有助於培養國際觀嗎?

首先是自動分離插座三連發,這些事前一天插上去的插頭,其實這些插頭是隨機器一起過去的,和我們台灣用的沒兩樣,想來是排差的問題(夾不緊?)。希望下個月客戶不要因為插頭掉下來跑來幹憔我們說連插頭都插不好。不過後來樂觀的想,也許他們早習以為常,搞不好還有個 SOP 是要每次巡機房時順便把插頭插好哩…

11 12 13

其實小魯以前自己是作夢也沒想到,自己有一天也有出國比賽的機會(是說服務輸出啦),以往待過的地方都是花大錢請國外的顧問、工程師來指導,沒想到這一次是從台灣輸出專業人力,雖然老實說,就我們自己看來,這不是什麼高度技術活的工作,但萬事都是比較級的,加上台灣這邊其實從搞 Infrastructure 到軟體開發是有一定的產業鍊了,或許東南亞市場是我們未來的一個機會也不一定。

註:印尼人口2.4億,菲律賓9800萬,越南8900萬,泰國6700萬,馬來西亞2900萬(奇怪比想像中少),每一個國家Internet都是快速發展中

BIND 自 9.11.0 才會開始支援 EDNS Client Subnet

對 BIND (或 DNS) 稍有管理經驗的人,應該都知道 ACL 這個功能,他可以讓我們針對不同的 Resolver IP 回應不同的答案 (IP Address),所以諸如公司內網來查詢回內網IP,外網回 Internet IP 的設定,或特定來源 IP 回應特定的 IP ,甚至於 9.10 才開始加入的 geoip 功能,都是很好的 ACL 應用。

以往的使用者大多是會把 DNS Server 指到所屬的 ISP 提供的 DNS Server (大多數是不明不白的就用了 ISP 的 DNS Server),但是隨著越來越多的使用者用了 8.8.8.8 這個 Google DNS 當作第一選擇之後,之前我們使用 BIND + geoip 來做分流機制就不見得那麼準確了,加上 Google 又跑了 BGP,所以通常透過 Google DNS 來 query 的 IP 查出來都是屬於 – Mountain View, California, United States, North America,而非這些 IP 實際或相近的地理位置,導致於這個機制的運作效率越來越不好。

所幸 EDNS Client Subnet (ECS) 這個機制將要再 BIND 9.11.0 被支援了,雖然具體發佈的時間還不清楚,但至少讓人看到這問題被解決的曙光。有趣的是,從對岸網友那看來的消息是,這個 patch 早在 2014 年 8 月就已經 submit 進去了,所以有興趣玩的人也應該早就自己 patch 上去了。不過沒那個時間或自己沒能力 patch 的人還是等官方發佈比較妥當,免得到時候遇到非得更新不可的安全性問題時,還要自己生出 patch。

從 2014 年看到的 commit 說明裡,可以知道這個 ECS 支援會同時在 geoip 裡生效,也就是當你要使用 geoip 時,遇到有 ECS 的查詢時就會優先拿 ECS 來判斷而非來查詢的 DNS Server IP。所以,讓我們期待 9.11.0 的正式發佈吧。

  • 2016/06/27 更新,前幾天上去看,發現 BIND 的 9.11.0 已經出了 alpha 3 了,下載之後自己編譯了一下,看起來也可以正常的支援 EDNS + GeoIP,改天再來找個對外的 DNS 給弄上去,因為據說 Google 的 public DNS 早已經支援 EDNS 了,屆時 GeoDNS 的運作有效性相信又可以再回來了

HDD, SSD & RAMSAN

首先先來談談 RAMSAN 這個歷史產物好了。這間客戶應該是在多年前(七年以前)開始使用 RAMSAN 這個產品,遙想一下當年的歷史背景,HDD 不夠快,SSD 不成熟又貴 (可靠度應該不怎麼樣),所以就引進了 RAMSAN 這樣子的產品。真要認真分類的話,RAMSAN 應該算是 SSD 的一種,只是 SSD 是以 Flash memory 作為儲存空間,而 RAMSAN 則是以 RAM 作為儲存空間 (不過近年來他也有 SSD 的產品線,所以 RAMSAN 是專指 RAM 或 Flash 的 SSD Storage 要深究也沒什麼特別意義了,不過本文中提到的 RAMSAN 就專指這類用 RAM 堆起來的 SAN)。

一台典型的 RAMSAN 長得像這個樣子:

1

也許你有看到前面有四個硬碟插槽,不過那只是備份用的。一台 RAMSAN 的主要元件有:記憶體、電池 (鉛酸電池)、主機板、Power Supply 和 Fiber channel card。看到電池兩個字,大家可能就想到了,這個 RAMSAN 是要靠電池來維持安全的,身為一台昂貴且號稱是企業級應用的硬體,一旦斷電時,RAMSAN 就可以靠電池供電來把記憶體內的資料儲存當前面板的四台硬碟中,想當然爾,RAMSAN 開機時就會把這硬碟裡的資料寫回到記憶體裡頭。所以儘管是正常的開機關機,RAMSAN 所耗費的時間也要比一般的伺服器要來得長很多。

由於出品 RAMSAN 的這間 Texas Memory Systems 公司已於 2012 年被 IBM 併購,對 RAMSAN 這產品有進一步興趣的 (至少人家還有繼續在出 SSD 的機種),可以自己去 Google 看看。

稍微有點 IT 背景的人應該都知道,RAM 再怎麼慢還是比 Flash 快上一大截,那為何又說 RAMSAN 是個歷史的產物呢?讓我們先看一份資料:

Type HDD Mix HDD & SSD SAS SSD RAMSAN Flash SSD RAMSAN RAM SSD
Config 14 HDDsRAID 10 14 RAID 101 SAS SSD CacheCade 4 SLC SSDRAID 10 RamSan-720SLC RamSan 440DDR2
IOPS 5.5K IOPS 20.45K IOPS 76.27K IOPS 500K R/W IOPS 600K R/W IOPS
Capacity ~ ~ ~ 6-12TB 512GB (maximum)

猛一看,哇,RAMSAN 的 RAM 機種真是強大啊,IOPS 可以到 600K (600,000),用 4 個 SLC SSD 做 RAID 10 也才只能到 76.27K IOPS,用 14 顆硬碟去做 RAID 10 才只有 5.5K,真的是 xx 比雞腿,但仔細看一下他的容量,啥,最大只能到 512GB,有沒有搞錯?現在我連隨身硬碟也就已經是 1TB 起跳的年代了,512GB 是要拿來裝什麼。

沒錯,這就是他的致命傷了,你也不要小看他只有 512GB 的容量,他的身價可能要超過他的 SSD 同門小弟 – RAMSAN 720。這麼貴,容量又小,那唯一可以看的就是速度了吧?對,沒錯,就是速度上快了一截,但… 各位有幹過 DBA 的去 monitor 一下貴公司資料庫硬碟的  IOPS 看看好了,誰需要這麼快的速度?就連我們自己去監控客戶線上 RAMSAN 的速度,也離極限有很大的距離。

在當年那個 SSD 又貴又沒有可靠度的環境下,當 HDD 的速度跟不上的時候,用 RAMSAN 大概是個明智的抉擇,不過隨著 SSD 的不斷進步,價格不斷的下降,RAMSAN 這個原本就存活於利基市場的產品的市場就越來越小了。君不見連他自己現在都不產 RAM 做的 RAMSAN 了,就可以知道目前的的市場需求有多小了。

除了市場需求面太小之外,現在也跑出很多類似功能的的解決方案出來,例如 SQL Server 2014 的 In-Memory OLTP,或是 SAP HANA,更別說是現在的 Non-relational database 這種根本不同型態的資料庫應用,雖然都或少或多的需要針對應用系統進行修改,但從價格/效益比來看,只能說 RAMSAN 真是時代的眼淚了(至少 2015 年的現在看起來是這樣子)。

幾個淘寶的戰利品

說都是淘寶的戰利品嘛,也不能說都是自己從淘寶買來的,接下來讓我說分明

第一,一氧化碳偵測器,原本家裡有個一氧化碳偵測器,美國大廠 Kidde,有點忘記是和誰買的,一千台票左右吧,可能用了十年有了,電池+插座式,當時還覺得這真是個優良的設計,停電時就吃電池,減少風險,只是那個電池不知道為什麼總是會吃電,既使我一直插在插座上,半年左右還是會逼逼叫叫我換電池,有時還是半夜逼逼叫嚇我一大跳。前一陣子它的作動登突然不亮了,把問題餵狗之後發現這種偵測器是有壽命的,這表示這台機器已經鞠躬盡瘁了。

有了過去十年的良好經驗,這次我自己也想找個 Kidde 來用,雖然網路上大家都說美國當地買這東西很便宜,但基於小弟的美國朋友不多,有也不算太熟或太久沒聯絡了,想說反正十年才買一次,給拍賣上的人賺賺,方便就好,所以我買了這個。不上拍賣就算了,上了之後,發現竟然有個對岸來的才不到兩百塊,功能還一模一樣,儘管我也有淘寶帳號,淘寶也便宜了一倍吧,同樣基於方便原則,就順手在拍賣上「淘了」一個回來

一氧化碳偵測器

現在這東西連 Kidde 都沒有看到有電池+插座式了,顯然是那種舊款太擾人清夢? 抑或是新的技術比較省電?  現在我們家兩間有睡人的臥房是各放一個了,一個是 Kidde 放比較靠熱水器的那間房間,一個是這個放在離熱水器較遠的房間,不過你問我哪個比較好的話,我想我沒辦法回答你,基本上兩台的濃度顯示永遠是 0,當然我也不希望日後有機會回答你。

第二,Windows 8 平版電腦,去年淘寶光棍節特價時買的,一台人民幣 599,也就是台幣 3000 左右,加上運費和刷卡的手續費大概再加上 2~3 百台幣吧。你就有一台 2G RAM, 32G MMC HDD 加上正版 Windows 8 的八吋平版電腦

Voyo pad A1 mini

配件就這些,充電器,有點特規的 USB 充電線(據說這是其中的一種版本),不用 Micro USB 充電是為了另外附上的 USB OTG 線可以插在唯一的 Micro USB 孔來外接隨身碟或鍵盤滑鼠用,這樣子才能一邊充電一邊用隨身碟或外接鍵鼠。

配件

內建貼好的保護貼?!雖然品質不太好,一下子就有刮痕,但是保護貼苦手應該會很高興。

保護貼

背面的樣子,還可以,據說這是按照 Intel 的公板做出來的,其實這台機器算蠻輕薄的,又是標準的 Windows 8,偶而出門緊急時拿來連公司一下處理事情,也才花你三千多塊,拿來上網又不會有相容性問題,管你愛用 Chrome, Firefox 還是 IE,iPad 和 Android 看不到 flash 做的網頁? 公家單位的網站還有那種只相容 IE 的? 在這台機器上都不是問題,因為他就是台 Windows,而且基本上不多開 Chrome 分頁的話,還真是順到不行,據說現在還可以刷雙作業系統進去 (Windows + Android),這台機器的 CPU 效能可是可以打死一堆所謂的 Android 電視盒的。

公板

看到沒? 放大招了,正版的 Office 365 一年份啦~~~  不過這在去年可能是大招啦,前幾天微軟說了 10.1 吋以下的裝置可以免費使用 Office

Office 365

第三,Intel Dual port 1GB 小電腦,台票 5000 多一些,內含 Intel 1037U CPU,24GB SSD, 2G RAM, 無線網卡

1037U

會買這台也是 M01 看多的關係,前一陣子內有辦公室 Wifi 不穩定,外有台中辦公室及辦公室外 IDC 機房要設立,看到網路上那麼多神人把 Intel CPU 形容成外星科技,心裡也覺得那些 Cisco, Juniper 的是在憑什麼賣那麼貴,所以就弄了一台來試試看了。

這台機器先後被我們裝了BrazilFW 和 pfSense (當然還裝過 XenServer, Windows 什麼挖貴的),對 Wifi 的結論是… 我們的瓶頸不是在 Wifi AP 的 CPU 不夠強,後來弄了幾台 5Ghz 的便宜 Wifi AP 似乎就解決問題了,當然也歸功於公司每三年就把大家的 NB 換新了,所以每個人的 NB 都支援 5Ghz 了,集合式辦公室左右上下似乎都沒有人用 5Hz 的 Wifi AP,所以也沒啥干擾存在

至於台中辦公室或 IDC 呢? 原本先試了台 RouterBoard 951ui-2hnd,沒想到這台 CPU 上了IPSec VPN 之後太不給力了,CPU 很容易滿載,大概 10Mbps 左右,多連線時就會有問題,當然這也許也和我們上了一些 firewall rule 有關,所以後來 I大 就對我的RouterOS 這個鬼點子沒信心了,原本我打算去買個 license 弄上去的說,不過公司一向有句:自己的大便自己擦 這句格言,既然我不負責管,就也不強迫人用我的點子了。

好吧,實情也是,網路上二手的 SSG-140 一台也才一萬出頭,這台雖然才一半價格,但穩不穩還不知道,台灣這邊要買 RouterBoard CRS 以上的機種也是要萬元起跳(可能還不只),所以就接受了這台台灣最熱門,據說使用率最高的 SSG-140 了,而且每個點放個兩台還能做備援,二手貨的信心度不足問題也就少了,加上不管是 Cisco 或 Juniper 在台灣的「生態系統」都挺好的,日後人員更替時也不怕找不到人會這東西,網路上也是一堆參考文章了

最後,這三樣淘寶戰利品我只留下了第一樣,其它兩樣都拍掉了,第二件平版雖然不錯用,但對岸的便宜電子產品,我的心得是都不太穩定,玩玩是可以,但想要做正事時,有時候就是會一睡不起要重開機,耗電也快,所以最後就清掉了。

值得一提的是,我記得當初買那兩個一氧化碳偵測器的時候,Kidde 對淘寶貨應該是 1450 vs 190 才對,沒想到今天一看已經有 1100 vs 280 的這種價格了,不負責猜測這個淘寶貨應該是被人證實有效了,所以才會一個降價,另一個就自己起價了。

台中辦公室施工兩三事

這半年來事情太多了,公事忙,家裡事情也忙,看到了 Dropbox 裡去年在台中辦公室施工時的幾張照片,留言做個記錄好了

從裝修中的台中辦公室看出來,景觀很棒,據說是台中市數一數二貴的地段,但是和台北市地段普通的辦公室比起來,還是便宜了些,哈哈

台中辦公室景觀

因為有其它會議的關係,我不是第一天就來這邊,這天早上到現場時 I大 和 R哥 正坐在工地裡"施工",這間其實是台中辦公室的會議室,旁邊那些一箱一箱的東西就是我們的傢斯,裡面有網購訂來的手推車、工具箱,燦坤買的 Sony 電視用來做視訊會議用的,事先請托運弄下去的 SSG-140 和 server (記得是舊的 2950),Wifi AP… 由於台中辦公室還沒有同仁上班,大門在白天施工期間也沒門禁,師傅在忙大概也不太方便幫我們看東西,所以這些東西都得要協調好在 I大, R哥 下去的第一天就到齊,然後兩位自然是早早來,晚晚走,走時順便鎖門了。我還記得 I大 很不放心那台 Polycom 500 用托運的下去,畢竟小小一台要價二十幾萬呀,所以他自己抱著坐高鐵下去。

IR 連線

這天先到的中華電信 “使用說明" ,話說台灣辦公室可以申請這種有固定 IP 的光世代真是省錢啊,一個月不用兩張小朋友就有 60M/20M 加上 6 個固定 IP,在新加坡的辦公室就不能申請這類他們所謂「家用型」的費率,這種價錢如果拿去 IDC 租國內頻寬的話,連 2Mbps/月 都租不到哩。當然這類的光世代因為有集縮比,所以拿來架站是不實際的,但是放辦公室給同事上上網查資料,收個信或開個視訊會議,完全是綽綽有餘的。況且我們對辦公室的慣例是一次申請兩間固網的線路來做備援,算是相對省錢又安心的作法。

光世代

中間發生了一件小插曲,這間辦公室的大樓提供了很多地插給我們用,我個人還蠻喜歡地插這種設計的,只是… 這個地插好像和我之前用過的不一樣說,帶來的延長線頭插不進去,真尷尬,後來還特別交代台中要買延長線時要特別小心。

地插

Server room 留的空間有點小,計畫中這裡是暫時不放 MIS 人員的,以後就算有也是負責維護辦公室 PC/NB 這類設備,所有的主要伺服器還是放台北,所以原本的 19″ 標準機櫃改成了開放式機櫃,水電師傅原本還不太懂什麼叫開放式機櫃,照我們台北的圖上面插滿線他好像也看不太出來,後來去拍賣上找了張示意圖給他,最後就弄來了這座。這種開放式機櫃自然是指能上 Switch, Router 這類的 1U 輕設備,也當成是集中式線槽面板用,伺服器顯然是上不去的,那… 剛剛地上還說有台 2950 ?  最後就是放地上了,倒是我們的工頭很貼心的在這裡專門留了個冷氣孔,所以這間是很冷的,雖然我記得當初是請他不用留冷氣孔的,原本我們也只打算放 PC 當 server 用,既然有冷氣了就把淘汰下來的 2950 搬一台來用了。

開放式機櫃

這張被我手指檔到了,給大家看一下地上那堆從辦公室各處網路接孔收攏來的 Cat5e 最後都要打在這個開放式機櫃上。

打上 Pannel 前的線路

認真的師傅最帥氣,要刷這種 Idea Paint 似乎要多道工序,跑了 Scrum,上了看板之後,現在公司的同仁都還蠻喜歡畫白板了,老闆就多弄幾處 Idea Paint 讓大家畫個爽

油漆師傅

半成品的走道,地上又看到一堆網路線,等等它們可是都要收到地板下的,過兩天地毯也是會再蓋上去。其實這已經是完工前的三四天吧,大概就叫做術業有專攻吧,我也沒想到現在看似亂糟糟的工地過幾天後就變得漂漂亮亮的了。

半成品走道

台中辦公室有間頗有設計感的會議室,想來設計師應該是想把它做成立體玻璃櫥窗的感覺,但是放這轉角處害我轉彎小小的撞倒了,辦公室啟用後這裡就放了座明顯的盆栽,也算是在設計與實用間做了取捨。

玻璃櫥窗

讓你的 SSL 更安全 – 移除弱 SSL 加密方式 (Cipher)

SSL安全性如何強化,含括了當前流行的各種伺服器的設定方式,包括IIS, Apache, F5 Load balancer, A10 等

SSL 通訊協定下,一開始 Client 與 Server 進行 Handshake 時,彼此會「溝通」有哪些加密方式是彼此都支援的,然後約定好稍後傳輸資料的加密方式。會使用哪一種加密方式和我們買的 SSL 憑證的價格並沒有絕對直接的關係,既使你買的是一年價值 TWD 35,000 的 VeriSign Secure Site with EV,也可能因為設定的緣故而導致於只用到 40 bits 的加密方式。

由於硬體的處理能力逐年的提升,舊加密方式的安全性會相對的變得容易破解,所以新的及更高規格的加密方式就不斷的被開發出來。但是一來是因為新的加密方式推出之後不一定所有的廠商都支援,另外有些舊規格的硬體也許無法負擔較高規格加密方式的運算需求,既使是沒有以上兩種限制,但光從實務面上,我們也很難要求世界上所有 Client 與 Server 都可以隨時更新到最新的版本。所以一般來說,就只會建議禁用那些特別弱或已經證實可被破解的加密方式。而一個好的系統管理員,或有在重視網站安全性的公司,就會定期去檢驗所管理網站上的弱安全性加密方式是否已經被禁用了,畢竟一旦當客戶上了我們的網站,若因為 SSL 加密方式太弱而讓客戶的機密資訊外洩,損失的也是我們自己。不過很可惜的是,台灣有許多的網站並不太注重這件事情,我不太清楚原因為何?不過老實說,就算是我們用了這些所謂的弱 SSL 加密方式,想要側錄並進行破解還是得有一定的配合條件,一般的駭客或木馬想來應該寧願把功夫先花在那些未加密的連線或是 Key strokes 的側錄,而非花功夫去破解這些已經加密過後的東西。

只是身為一個知名網站的管理者,為了避免駭客針對性的攻擊,我們還是得用 100 分的標準來看待這件事情,以台灣的網站來看,我們利用 Qualys Labs 所提供的免費檢測工具,檢查了幾個國內的知名網站:

知名遊戲網站 1:
01

知名遊戲網站 2:
02

知名電信公司 1:
03

知名電信公司 2:
04

知名網購:
05

若以該網站的統計數據來看,拿到 B 的網站是最大宗的,第二名反倒是拿到 F 的網站,由於這是個英文網站,測試的標的應該來自於全世界各地,可見得就算是把這個標準放在全世界來看,拿到 A 級分的網站比例也是不高的。 (2016/11/28 更新,截至目前為止,拿到 A 的比例已經是最高的了,SSL Labs 測試的樣本中,有 48.3% 的網站都可以拿到 A 以上)

06

其實拿到 B 也不表示這個網站不夠安全,讓我們來看看這個分數的組成定義,首先是 Certificate ,從以上的例子來看,這個項目的分數大家都是拿 100,表示大家的 SSL 憑證都沒有過期,而且是和網址相符的,也沒有 Chain certificate 的問題。表示上述每一個網站的 SSL 憑證都有被正常的申請及安裝。

第二個項目是 Protocol Support ,由該網站的定義中可以發現,他是用 SSL 2.0, 3.0 和 TLS 1.0, 1.1, 1.2 的支援程度來做加權平均的,而且自 2014 年 1 月起,不支援 TLS 1.2 的就會被打到 B 去,可見得這個網站也是越來越嚴格。我看很多台灣人還是在使用 Windows XP ,這些人既使安裝了 XP 能支援到的 IE8,其 TLS 也只支援到 TLS 1.0 的版本,連 TLS 1.1 都不支援,更遑論 TLS 1.2 了。而 Windows 7 上的 IE 則是需要到 IE 11 才支援 TLS 1.2,若你的 Windows 7 上安裝的是 IE 10 ,那也只支援到 TLS 1.1。那表示既使是伺服器已經可以支援到 TLS 1.2 ,瀏覽器沒有支援到位的話,他們之間還是會以較低的加密方式來處理 SSL。所以你說可不可以從伺服器端把 TLS 1.0 禁用?那表示你不打算讓 Windows XP 的 IE 使用者連上來了。

第三和第四個項目是 Key Exchange 與 Cipher Strength 這一點,基本上這個網站會告訴你,哪些 Cipher Suites 是安全的,哪些是安全性較弱,而哪些是完全不安全的,以下圖來看,那些有用到 MD5 作為演算法的加密方法都被標示為 INSECURE,由於 MD5 在 2009 年已經被證實在一般的電腦上只要花數秒的時間即可破解,所以無論是多少長度的金鑰也是無濟於事。另外那些短於 1024 bits 長度金鑰則會被歸類為 WEAK,因為長度過短,所以相對來說容易被破解,最好也是禁用掉。

07

其實不管是 Web server (IIS 或 Apache),能作為 SSL Proxy 的設備或服務 (如 Load Balancer, CDN),當推出新版本時,都會適當的在預設值中就禁用一些不安全的憑證,但是身為系統管理員,就會知道有時候因為升級版本需要新的授權預算,有時候是因為應用程式和新版本不相容等等的原因,我們並沒有辦法每一次都跟著廠商一起升級,所以瞭解你所管理的系統該怎麼禁用不安全的加密方式就顯得非常重要了。

要檢查你的網站目前支援了哪些加密方式除了可以用上述的網站之外,如果你不太希望「公開」地留下查詢的資料,或是希望在還沒有正式上線前進行檢查,也可以利用 OpenSSLSSLScan (Windows 版),來查詢或驗證。我自己是用後者,因為操作起來方便又簡單,執行出來的結果就如下圖所示,其中 Accepted 的 Cipher 已經很少了
(* 2015/07/27 更改 SSLScan 連結,原版本已經久未更新,我另外在 Github 上找了另外一個版本,用法相同,但顯示方式不同)

08

如何禁用?在 Windows 上的 IIS 會挺麻煩,根據這篇文章所示,你必須手動去更改 Registry,而且改完之後必須要重開機,由於每個加密方式在 Registry 的命名方式不太一樣,所以需要時要去找出來,或參考這篇。感覺上有點麻煩嗎?那請服用網友推薦的這個小工具,直接用選的,而且還內附 Qualys SSL Labs 的捷徑。

09

至於 Apache ,基本上就是在設定檔中把想要禁用的 Cipher string 給加入就可以了,一般我們會不太希望把所有設定都搞在 httpd.conf 中,所以大家一般都是把這樣子的禁用字串寫到 /etc/httpd/conf.d/ssl.conf 裡。語法請參考這裡。另外這裡有提供簡單的說明網頁

由於 F5 也是和 Apache 一樣使用 OpenSSL 來提供 SSL 功能,所以在 Local Traffic -> Profiles -> SSL -> Client 選單中,選擇你要修改的 clientssl profile,然後選 Advanced,就可以在 Ciphers 欄位中填入欲禁用的字串

10

如同之前有提到的,F5 每個版本都會禁用掉一些不安全的加密方式,這裡是 10.x 以前版本的啟用清單,而這裡放的就是 11.x 的啟用清單。

A10 的 SSL Cipher 支援則是比較特別一點,它是可以用「選」的,

11

Windows 2008/2012 支援的加密方式如此頁面所示,OpenSSL 則在該頁面中有列出不再支援的加密方式 (Deprecated SSL v2.0 cipher suites)。但很顯然的,Windows 或 OpenSSL 預設禁用的加密方式就不會太多,所以自己提高警覺,根據你的需要去設定要支援的加密方式,才是最佳的安全之道。

  • 至於其他 Web server ,我猜只要是使用 OpenSSL 套件的,應該可以在某個設定檔/設定畫面中找到放禁用字串的地方
  • 補充:文中所提到的 Qualys Labs 的工具網站也增加了最近熱門的 HeartBleed 偵測 (2014/04/22)
  • Qualys Labs 的工具網站也增加了最近熱門的 POODLE (SSLv3 漏洞) 偵測 (2014/10/21)

* 2014/10/21 更新: 10/14 時有個 SSLv3 的漏洞被發佈 CVE-2014-3566 ,由於預設採用 SSLv3 的瀏覽器很少(幾乎沒有),且多半還可以走 TLS ,所以 Linode 就建議把 SSLv3 給關掉,Linode 網站 上提有供各種 Open source web server 的 SSLv3 關閉方法,請自行參閱。F5 也提供了對應措施,有趣的是,F5 早在 2014/03/03 發表的 11.5.0 版本時就把 SSLv3 給關掉了

把 Exchange 上的全域通訊錄同步到手機上

公司自從去年把郵件伺服器換成了 Exchange 2013 之後,不時的就有人在問是不是可以把公司的全域通訊錄同步到手機上來,由於公司向來有把每個人的手機號碼記錄到 AD 上的習慣,二來公司的人數沒有很多(所以全部同步下來也不會太誇張),加上公司同仁常常出國出差,一般也不會很浪費的都在國外買全程的 3G 上網,所以把通訊錄同步到手機上,臨時有急事時不管在國內國外找起來都比較方便。

我們一開始開放大家用手機收信之後(不是用 POP3), 就發現每次要搜尋公司通訊錄時,在我的 New HTC One 上面就非得要按一下「搜尋公司通訊錄中的聯絡人」選項之後,它才會透過網路去 Exchange 上搜尋(而且小於 4 個字元還不讓你搜尋),原先一直以為這是 Android 4.3 的 bug,後來我的 New HTC One 升級到 4.4 之後也是無濟於事,加上同事的 iPhone 也是一樣的狀況,所以我們便開始研究這中間發生了什麼事

經過幾次錯誤的嘗試之後,發現原來不管是 Android 或 iPhone,在設定了 Exchange 帳號連線之後,都是可以同步聯絡人下來的,只是這個「聯絡人」,指的是個人在 Exchange 上的「通訊錄」,而非「全域通訊錄」。好吧,知道弄錯了之後,我就可以手動的把全域通訊錄中我想同步到手機上的名單一個一個捉進我的個人「通訊錄」了

1

2

然後在 Outlook 中我就可以看到這筆名單出現在我的個人通訊錄中,然後我的手機裡頭過幾分鐘之後也就出現了這筆資料,嗯,看來問題解決了?!

3

啥?!老闆問說,那萬一全域通訊錄有更新時要怎麼辦?我們多了幾位員工或是有人改了電話?我想一位稍有智慧的 MIS 是不會這麼回答老闆的:老闆,就請你自己每天或要出差前記得把全域通訊錄全選起來,然後一次加到你的個人通訊錄中。

所以找來 Google 大神來神一下,發現有這篇文章:Importing Global Address List entries into a user’s Contacts folder

趕緊把裡頭的 script 下載下來拿去 Exchange server 上執行,嗯,步驟有點囉唆,紀錄一下免得自己以後忘記:

首先先找到 Exchange 的 Management Power Shell ,我自己是對 2012 這個如同 Windows 8 的 Metro GUI 是很不習慣的,找個功能還要用搜尋的才找得到…

4

接著執行下面這個指令,新增一個 MailArchivaImpersonation 的角色,使其擁有 Impersonation 的權限,並賦予你現在用來管理 Exchange 的這個使用者擁有這個角色的權限

[PS] C:\>New-ManagementRoleAssignment -Name:MailArchivaImpersonation -Role:ApplicationImpersonation -User:[your account]

5

然後執行剛剛下載下來的 script ,這樣子就可以把全域通訊錄複製到該帳號的個人通訊錄中

[PS] C:\>.\Copy-OrgContactsToUserMailboxContacts.ps1 -Mailbox [account you want to sync GAL] -FolderName Contacts

6

執行完畢之後,我是會把這個權限移除掉,因為感覺上有點危險

[PS] C:\>Remove-ManagementRoleAssignment MailArchivaImpersonation

然後該帳號的 Outlook 個人通訊錄、手機就都會有這些名單了

7

8

由於這個 script 的動作是 複製+覆蓋,所以只要把它設定到 Windows 的工作排程中每天執行,就可以每天 “同步" 全域通訊錄下去了

要讓 Windows 定期執行 Exchange 2013 的 Power Shell command 還有點小學問,不是執行執行那個 *.ps1 檔案就好了,請參考這裡吧:
http://www.msexchange.org/kbase/ExchangeServerTips/ExchangeServer2013/Powershell/scheduling-exchange-powershell-task.html

* 原本該 script 作者只會把全域通訊錄中 1) 有 E-Mail 地址  2) 有手機或公司電話 的資料複製下去,不過由於我們公司對於離職員工的帳號會先 disable 保存一段時間,所以我改了該 script 的 76 行,把被 disabled 的帳號也過濾掉了,改過之後的 script 放在下面,因為 WordPress 似乎不給放 *.ps1 檔案,所以我先壓縮過後改附檔名為 *.doc,有需要的人請自行下載後去掉 *.doc 然後解壓縮就可以得到該 script 了

Copy-OrgContactsToUserMailboxContacts.zip