Z pamiętnika inżyniera Data Center – „Od uprzejmości do młotka”

Autor:SoftFlow

Epizod 12

Każdy inżynier Data Center wie, że są dwa sposoby rozwiązywania problemów. Pierwszy to sposób elegancki, zgodny z dokumentacją i pełen profesjonalizmu, wiadomo, że stosowany najczęściej. Drugi… cóż, to sposób zdecydowanie skuteczny, ale często też ostateczny, zwłaszcza dla sprzętu.

Tak będzie w tej historii zaczynającej się od zgłoszenia: „Problem z modułem SSL w Cisco 6500. Klucze kryptograficzne nie do usunięcia. Moduł nie nadaje się do ponownego użycia.” 

No i wszystko jasne przecież. Standardowa procedura mówi jasno: klucze trzeba usunąć, bo bezpieczeństwo, bo compliance, bo tak trzeba. Ale jest mały problem – ten sprzęt przewiduje opcję „delete” pod warunkiem, że nie jest uszkodzony.  W tym przypadku… sprzęt był uszkodzony, dokumentacja nie przewidywała żadnych serwisowych komend, a klucze zapisane są w sprzętowym układzie szyfrującym NVRAM. 

Pierwsza myśl? Dokumentacja i oficjalne procedury, w które nurkuję, skrolując, szeleszcząc kartkami i wlepiając wzrok w monitor. Całe mnóstwo skomplikowanych metod w odpowiedzi, ale koniec końców – klucze zostają i co najwyżej pojawia się komunikat o błędzie. No to może reset fabryczny by pomógł? Zrobiłem, poczekałem i… dupa, bo sprzęt uparcie przechowuje klucze w NVRAM-ie. Myślicie teraz pewnie, że przecież klucze trzeba jakoś nadpisać! No tak, tylko jak nadpisać, skoro konsola modułu jest głucha na wpisywane jakiekolwiek komendy. 

Ostateczna myśl? Hammer Time.

Zgodnie z niepisanym prawem serwerowni – jeśli coś nie działa, ale wystarczająco mocno w to uderzysz, to albo zacznie działać, albo przestanie raz na dobre. I tego właśnie potrzebowałem. Po szybkim uzyskaniu zgody na „destrukcyjne wycofanie sprzętu z eksploatacji” udałem się na poszukiwanie jakiegoś młotka, bo przecież normalnie przy sobie nie noszę. Pewnie myślicie, że zwariowałem? Otóż nie, tak brzmiała „nieoficjalna” procedura otrzymana od producenta, aby klucze zostały we „właściwym miejscu”. 

No dobra, młot znalazł się w biurze ochrony, choć jakoś dziwnie na mnie patrzyli. Ja z kolei czułem jakby podniecenie, że koniec końców rozwalę to… no! Pierwszy cios – metalowa obudowa nawet nie drgnęła (czas wrócić na siłownię), drugi – jest! Wgniecenie, trzeci – no pękło. Jak tak dalej pójdzie, to zamiast Hammer Time będzie break time do jutra. Ostatecznie płytka PCB została przełamana a chip zabezpieczający klucze został fizycznie zniszczony. W efekcie – klucze? Nie do odzyskania. Problem rozwiązałem.

Nie było to może eleganckie rozwiązanie sprawy, choć zgodne z zaleceniami producenta… Jest tak, że jeśli masz do czynienia z czymś niemożliwym, co zdecydowanie ma w głębokim poważaniu siłę twoich argumentów, to trzeba wyjść poza schemat i zwyczajnie użyć młotka.

Morał z tego? Zawsze miejcie pod ręką jakiś młotek: im większy tym lepszy…