IT в России и мире в реалиях мирового кризиса

Цитата: Andrew Carleet от 03.04.2017 12:26:35Это не back-door, это система удаленного администрирования. Не всегда есть возможность нажать кнопочку на сервере за 500 км от офиса. Она дает аппаратную диагностику, виртуальный доступ к кнопкам на сервере и доступ к консоли. Конечно, это отдельный чип со своей отдельной сетевой картой (может, кстати, использовать и штатную сетевую в режиме разделенного доступа).

Можно пояснить для несталкивавшихся - все эти радости жизни стоят на дорогостоящих и специфических (даже по памяти) серверных платах или их можно встретить на ширпотребных материнках?
Если на бытовых машинах этого нет (или встречается за отдельные большие деньги), то не проблема совсем.

Цитата: Senya от 03.04.2017 15:46:15Можно пояснить для несталкивавшихся - все эти радости жизни стоят на дорогостоящих и специфических (даже по памяти) серверных платах или их можно встретить на ширпотребных материнках?
Если на бытовых машинах этого нет (или встречается за отдельные большие деньги), то не проблема совсем.

Да, на недешёвых серверных платах.
Ещё бывают отдельные, выполненные в виде ISA/PCI/PCIE платы, которую можно вставить в любой компьютер, но у таких возможностей меньше, да и  в последние лет 15 такое вроде бы только у всяких недопроизводителей вроде супермикро бывает.
Не встречал ещё ни одной ширпотребной десктопной материнки с какой-либо разновидностью IPMI.

Цитата: Andrew Carleet от 03.04.2017 12:26:35Это не back-door, это система удаленного администрирования. Не всегда есть возможность нажать кнопочку на сервере за 500 км от офиса. Она дает аппаратную диагностику, виртуальный доступ к кнопкам на сервере и доступ к консоли. Конечно, это отдельный чип со своей отдельной сетевой картой (может, кстати, использовать и штатную сетевую в режиме разделенного доступа). Так что, это не имеет отношения к несанкционированному доступу. При том количестве серверов, что есть у нас в конторе, я бы из командировок не вылезал без этой штуки.

Вообще-то, я в backdoor от производителя железа не сильно верю. Даже если предположить его наличии в процессоре/сетевой карте, пусть он попробует уйти за пределы внутренней сети.

Если такие же backdoor стоят в роутерах и свитчах то извне можно добраться и до серверов просто пробивая все встреченные файерволы.
А если в серверах заложены программы "утечки" данных то они должны знать и как пройти через роутеры и файерволы по их бэкдорам.

Цитата: Andrew Carleet от 03.04.2017 23:46:49Я и круче сценарий "утечки данных" придумать могу, только зачем? Идите в Iron Mountain и читайте бэкап любой компании

Опять двадцать пять. Я же вас не агитирую за "шеф всё пропало". Давайте каждый сам для себя будет решать, что является угрозой безопасности данных, а что - нет.
Intel ME тоже вполне можно отключить - надо только перепрошить флешку на материнской плате: купить программатор, разобрать ноутбук и подключив программатор напрямую к карте памяти (не забудьте полностью обесточить ноутбук!), скачать с неё прошивку, забекапить, пропатчить и залить обратно на флешу. Итого, нужны прямые руки, доступ в интернет и 5 баксов.

Почему вы думаете, что все компании бекапятся в какой-то ирон мантан? Многие всё-таки полагаются на собственные силы и средства. Ещё не всех директоров поразил аутсорсинг мозга

Цитата: adolfus от 30.03.2017 00:52:33Я Вам скажу, что мониторить железо на предмет закладок в разы, а то и на порядок дешевле, чем туда эти закладки запихивать. Даже, если для этого нужно послойно сошлифовывать кристалл и его травить. А уж что касается софта, то разобраться в коде ядра любой ОС гораздо проще, чем, например, в вопросах проектирования систем отопления. Всего то нужны мотивация, время и деньги. Если бы не мотивация, то и козу можно научить смотреть в код и не видеть фигу.

Что дешевле спорить не берусь.
Только вот на один малосерийный "лётный" децимал, делаем десяток-другой штучных для тестирования разной весьма внушительной импортной комплектухи.
А они по сложности "летные" порой уделывают...

Цитата: Oleg K. от 03.04.2017 12:35:12Например, никто же не жалуется на наличие портов USB в компьютере, хотя с их помощью можно загрузиться с флешки и получить полный доступ к жесткому диску

Чтобы по USB можно было загрузиться, нужно специально в сетапе это разрешить. Не знаю никого, кто бы это делал даже на десктопах.
Насчет удаленного управления. Если нельзя решить проблему обычным образом (ssh), это значит кранты железу и выезжать придется независимо от того, есть там удаленная диагностика или нет. Допустим, эта ваша дигностика показала, что с железом все в порядке, но залогиниться на сервер невозможно. И что Вы будете с этим делать за 500 километров от сервера? А если она показала, что не в порядке? А кнопку на ящике и коза нажать сможет.

Цитата: Andrew Carleet от 04.04.2017 01:55:32Если ssh не работает, я соединюсь через ILOM и увижу консоль. Настоящую, как будто я стою перед сервером. И если сервер глухо висит, я нажму кнопку Power через ILOM. А если ОС (не железо!) сдохла совсем, то подмонтирую к консоли ISO и переустановлю систему. Вот для чего нужно удаленное управление.
У меня есть офис в 500 км от меня. Дорога - 5 часов туда, 5 обратно. Хотя бы час работы. Итого - 11 часов. Значит, буду брать гостиницу. Конторе дешевле, а мне проще иметь ILOM на всех серверах.
Даже в родном датацентре - у меня SLA на восстановление сервиса - 1 час в любое время суток, а ехать до работы - тоже час.

Добавлю немного.
В случае проблем с железом iLO тоже сильно выручает. Через консоль видно, что конкретно умерло (если совсем умерло, бывают хитрые исключения к сожалению) и чаще всего нет необходимости даже отправлять кого-то в коммандировку за пол мира. Видим умершую планку памяти - собираем диагностическую информацию и отправляем производителю сервера (если сервер на гарантии еще). Дальше либо специалист производителя сам приходит и меняет необходимое железо (это в случае крупных датацентров, о времени ремонта естественно договариваются), либо он почтой высылает в датацентр нужное железо, после чего заказывается SmartHands в датацентре. SmartHands - это услуга спеца самого датацентра, используется для выподнения простых операций типа "взять такую-то железяку там-то, открыть такой-то сервак, поменять то-то, старую железяку положить туда-то или отправить почтой тому-то". Получается на порядок быстрее и дешевле, чем отправлять недешевого спеца в какую-нить жопу мира типа США для замены севшей батарейки в RAID контроллере.

Цитата: Podli от 04.04.2017 08:55:59почтой высылает в датацентр нужное железо, после чего заказывается SmartHands в датацентре. SmartHands - это услуга спеца самого датацентра, используется для выподнения простых операций типа "взять такую-то железяку там-то, открыть такой-то сервак, поменять то-то, старую железяку положить туда-то или отправить почтой тому-то".

Только вы ошиблись в названии, SmartHands - маркетинговое название. Реальное название этой услуги StupidMonkeyHands.

Цитата: pkdr от 04.04.2017 11:56:00Только вы ошиблись в названии, SmartHands - маркетинговое название. Реальное название этой услуги StupidMonkeyHands.

Ну, это с какой стороны посмотреть... Нужно все же учитывать, что инженер датацентра не имеет никакого понятия о том, как у вас устроено всё. Поэтому и возможны только простые операции. А чтобы не было косяков - нужно инженеру выдавать четкие инструкции. Не "второй слева HDD" а "HDD с серийным номером таким-то" и т.д. В таком случае риск ошибок не более оного при отправке  своего спеца в коммандировку.

Цитата: Andrew Carleet от 04.04.2017 01:48:08Iron Mountain - это хранилище бэкапов. Все крупные компании отсылают свои ленточки в хранилище. Вот сгорит здание датацентра, вместе со всеми дисками и лентами - где брать данные для восстановления? Оборудование купить можно, а данные - нет. Поэтому у всех есть запасное хранилище бэкапов далеко от основного здания. Вот там и можно читать все что надо. Не только лишь все могут это делать (с), так это другой вопрос

Никто пока это делать не умеет. Вернее, возможно, умеет, но не делает.
Элементарный пример –  системы контроля версии ПО. Типа, git или svn. Казалось бы, но нет. Есть такое понятие – инвариантность исходных кодов. Это когда результат даже не компиляции, а результат связывания один и тот же. Нет ни одной системы. которая может распознать изменения в исходных текстах, которые не затрагивают результата компиляции и связывания. Соответсвенно, она их отметиит для коммита, смысла в котором нет никакого.
Отдельный вопрос с комментариями – если с изменениями исходных текстов, в принципе, справиться несложно (я знаю как), то с комментариями полная огурцов.
Следующий уровень – документы. Те самые, которые производят ворд-и табличные процессоры. Просто откройте документ и, ничего в нем не меняя, принудительно сохраните. Потом сделайте дифф. Да хоть xmldiff или "ваш вордпроцессор формат"-дифф. Ага... Вот вроде ничего не менялось, а в результате ничего не понятно, почему дифф гавкает. В результате вместо того, чтобы сохранить в репозитории децел команд вордпроцессору (пять нажатей на кнопки клавиатуры), будет сохранено децел килобайт говноиксэмэля, а то и вообще говноблоба.
Следующий, более высокий уровень – pdf. Переносимый формат документа. Спрашивается, какое отношение имеет время генерации этого самого документа к этому самому документу? Неужели смысл документа может зависеть от времени его создания? Какой смысл несет эта информация? А никакого. Она присутствует исключительно для того, чтобы усложнить и затруднить обмен документами "в формате pdf". Почему так? Ведь эта информация уже присутствует в файловой систме и нет никакого смысла еее дублировать в файле.
В результате перманентно сохраняется информация с беспрецендентной степенью избыточности. Но ен это хреново, а хреново то, что невозможно узнать, что поменялось. Контент или формат? Значимо изменение формата (в смысле седьмого госта) или это просто бзик долбодятла.

Цитата: Andrew Carleet от 04.04.2017 01:55:32Если ssh не работает, я соединюсь через ILOM и увижу консоль. Настоящую, как будто я стою перед сервером. И если сервер глухо висит, я нажму кнопку Power через ILOM. А если ОС (не железо!) сдохла совсем, то подмонтирую к консоли ISO и переустановлю систему. Вот для чего нужно удаленное управление.
У меня есть офис в 500 км от меня. Дорога - 5 часов туда, 5 обратно. Хотя бы час работы. Итого - 11 часов. Значит, буду брать гостиницу. Конторе дешевле, а мне проще иметь ILOM на всех серверах.
Даже в родном датацентре - у меня SLA на восстановление сервиса - 1 час в любое время суток, а ехать до работы - тоже час.

ОС сдохла на живом железе... Да Вы откуда и где? Высосано из пальца. Если ssh/rsh/telnet не работает, значит однозначно кранты железу.
Потому что нет в природе таких осей, которые на нормальном железе не могут запустить файловую систему и сеть. Если железо в порядке, то всегда ось загрузится и всегда Вы зайдете по ssh. Чем Вы там пользуетесь, что на здоровом железе не работает? Уж не хьюлит-паккард говноцентр?

Цитата: adolfus от 04.04.2017 18:23:39ОС сдохла на живом железе... Да Вы откуда и где? Высосано из пальца. Если ssh/rsh/telnet не работает, значит однозначно кранты железу.

Если наблюдаются перечисленные проблемы, это ещё ничего не значит, это значит только то, что надо выяснять причину.

Цитата: adolfus от 04.04.2017 18:23:39Потому что нет в природе таких осей, которые на нормальном железе не могут запустить файловую систему и сеть. Если железо в порядке, то всегда ось загрузится и всегда Вы зайдете по ssh.

Может быть повреждена сама ось, могут потеряться настройки сети, может новое ядро просто несовместимо с железом, может надо сменить прошивку в оборудовании, может быть ещё 100500 причин по которым ОС не может загрузиться на вполне исправном железе.
Вот тут как раз и поможет доступ к сериал-консоли ОС.

Цитата: adolfus от 04.04.2017 18:23:39Чем Вы там пользуетесь, что на здоровом железе не работает? Уж не хьюлит-паккард говноцентр?

Что плохого в HP? Один из двух оставшихся производителей бывшей "большой четвёрки" серверостроителей. Пока ещё не скатились как бывший Sun, и не скатываются как бывший IBM.

Цитата: ps_ от 04.04.2017 22:02:53Dell наверное

Ну, к четвертому я бы отнес ныне покойную Digital Equipment Corporaion. Была куплена Compaq и далее "комплект" ушел под HP.
Кстати, почти все, что HP делает в области enterprise серверов и систем хранения данных, было изобретено еще DEC. В том числе и катастрофоустойчивые кластеры и СХД. Кстати, при грамотном построении дата-центров и сейчас бэкапы хранить у левых контор не нужно. Пользователи отказа одного из них даже не заметят.
Dell дальше писюков так и не продвинулся. Разе что EMC прикупил.

Цитата: ps_ от 05.04.2017 17:18:54DEC же делал VAX-ы, а это из серии ну если не mainframe то наверное miniframe.
К серверам, в СОВРЕМЕННОМ, смысле этого слова не совсем относящиеся.

Ну, MicroVAX 3100, да и AlphaServer DS10 (стоит у меня меня дома) по размерам как обычный десктоп.

Цитата: adolfus от 04.04.2017 18:23:39ОС сдохла на живом железе... Да Вы откуда и где? Высосано из пальца. Если ssh/rsh/telnet не работает, значит однозначно кранты железу.
Потому что нет в природе таких осей, которые на нормальном железе не могут запустить файловую систему и сеть. Если железо в порядке, то всегда ось загрузится и всегда Вы зайдете по ssh. Чем Вы там пользуетесь, что на здоровом железе не работает? Уж не хьюлит-паккард говноцентр?

CentOS, тобишь RHEL, штатное обновление через yum и усё, система разорвана на куски. С виду всё хорошо, но на деле оказывается что всплыл долгоиграющий баг, и система осталась без загрузчика и модулей ядра. Ну а в консоли всё красиво. И это только один из тысяч вариантов.

Цитата: rinth от 07.04.2017 12:52:31CentOS, тобишь RHEL, штатное обновление через yum и усё, система разорвана на куски. С виду всё хорошо, но на деле оказывается что всплыл долгоиграющий баг, и система осталась без загрузчика и модулей ядра. Ну а в консоли всё красиво. И это только один из тысяч вариантов.

И что это был за баг такой? Да еще и на RHEL. Даже на федоре такого отродясь не было, чтобы загрузчик не работал. За всю историю RH было всего два загрузчика лило и груб и ни с одним из них никаких проблем никогда не было. В лаборатории сервер и на нем FC c 11 версии вплоть до нынешней апгрейдится поверх предыдущей через ssh. У компа ни монитора, ни клавиатуры нет. Выходит, например, версия 25, делаю апгрейд с 23-й на 24-ю. Разумеется, все руками – это и есть штатный режим. Сначала ядро и shutdown. Максимум через 30 минут (сторожевой таймер запускает комп, если тот выключен) комп начинает отвечать на пинг и что-то я не помню, чтобы хоть раз не смог на него зайти. Потом пути к новым репозиториям прописываю и вперед dnf upgrade все остальное. И так каждые полгода.

Цитата: adolfus от 08.04.2017 23:32:18И что это был за баг такой? Да еще и на RHEL. Даже на федоре такого отродясь не было, чтобы загрузчик не работал. За всю историю RH было всего два загрузчика лило и груб и ни с одним из них никаких проблем никогда не было. В лаборатории сервер и на нем FC c 11 версии вплоть до нынешней апгрейдится поверх предыдущей через ssh. У компа ни монитора, ни клавиатуры нет. Выходит, например, версия 25, делаю апгрейд с 23-й на 24-ю. Разумеется, все руками – это и есть штатный режим. Сначала ядро и shutdown. Максимум через 30 минут (сторожевой таймер запускает комп, если тот выключен) комп начинает отвечать на пинг и что-то я не помню, чтобы хоть раз не смог на него зайти. Потом пути к новым репозиториям прописываю и вперед dnf upgrade все остальное. И так каждые полгода.

Обычный такой enterprise-bug: grubby не мог отработать ситуацию, когда в системе более 3-х версий ядра, сносил конфигурацию grub-а и блокировал установку модулей ядра. Вместо адекватной информации об ошибке в консоли только одна не блещущая конкретикой строчка. Вообще, за 15 лет работы с Linux меньше всего приходилось разгребать глюки, баги, костыли и подпорки когда я использовал xBSD или Solaris.

Цитата: DarkRaider от 15.04.2017 00:33:40Вопрос:  почему же, Вы, с темы "промышленных закладок" так быстро спустились к "штатным" средствам удаленного управления, работа которых, вроде бы, всем хорошо известна? Ведь речь как раз о ситуации, когда заинтересованная сторона получает некий доступ к управлению или данным, в ОБХОД штатных механизмов и без Вашего на то ведома.

Бонусный вопрос: Причём тут доступ в операционную систему(горячо обсуждался по ssh), как средство аварийного удалённого управления?

1) Всё обсудили - договорились, что параноики (ваш покорный слуга) будет стараться отключить и каждый раз про них вспоминать, профессиональные админы (мои оппоненты) - будут использовать, т.к. много серверов и без этих инструментов не обойтись. Каждый выбирает линию поведения для себя.
2) Ни при чем. Это разные средства. За операционной системой контроля вроде как больше только (хотя бы исходники доступны в случае *nix, bsd). Просто некоторые думают, что удаленки ssh достаточно. И иногда этого достаточно И вроде бы в качестве аварийной удаленки её таки не рассматривали...Чё там админить, если диск посыпался

Цитата: Trifon от 17.04.2017 08:38:07полная переработка программ и в первую очередь уже адаптированных с наработанными базами данных и библиотеками
конструкторских программ,полная переработка или создание систем безопасности и пр.

От полной переработки всё равно никуда не деться, ни сегодня, так завтра, ни с этой осью, так с другой какой новой.  Это процесс. В его природе невозможны остановки. Старые языки забываются, им на смену приходят новые, хотя, конечно, переход от старого к новому обязательно базируется на наработках предыдущих вариантов.  Прыжков через ступеньки как-то не наблюдается, но само движение вперёд  неостановимо.  И это хорошо. Стольким людям будет чем заняться

Цитата: Trifon от 17.04.2017 10:10:35Да дело даже не в ОС или сопутствующих ей программах.Или в той же ЕГАИЗ или Платоне и пр.
Дело в практике внедрения всего этого богатства-быстренько слепили не довели до кондиционного состояния и 
давай внедрять выламывая руки всем сопротивляющимся. А потом -ой обоср опростоволосилися и давай бабло вбухивать доводя до удобоваримого результата не смотря на затраты и потери.
Я за двумя руками в случае внедрения отработанной ОС с закрытым кодом и отлаженными приложениями с своими методами шифровки данных.А если в систему будет внедрена постоянно обновляющая программа безопасности по типу Касперского,при чем созданная именно под данную ОС- да я первый буду кричать ура подбрасывая чепчик в воздух.
Тут ведь по ОПК,в отличии от компьютерной возни районных или областных властей,скорее опасающихся утечки в прессу 
данных раздражающих общественность, вопрос о возможной утечке данных касающихся национальной безопасности
и потери технических данных по новым разработкам вооружения.
Ведь отдельную оптическую сеть строить не собираются.

Как раз не факт, например есть такие сообщения: https://www.vedomost…gosorganov
С другой стороны, главная проблема внедрения собственного ПО это слом об колено привычек рядовых работников и мелких руководителей. Именно поэтому тут не принципиально начинать с полностью готовой версии ПО или с "сырых" вариантов.