IT в России и мире в реалиях мирового кризиса
1,292,127
7,816
|
Oleg K. ( Слушатель ) |
| 29 мар 2017 17:27:05 |
Про закладки в системах (с ветки БПМ и выборы в США)
новая дискуссия Дискуссия 1.306
Если в двух словах: своё мнение об информационной безопасности я начал изменять после статьи отсюда https://glav.su/foru…s/1089985/
(статья https://xakep.ru/2011/12/26/58104/ 2011 года, но я прочитал её сильно позже).
Дальше - больше. Куча уязвимостей и специально оставленных "слабых мест" во многих библиотеках, связанных с аутентификацией, генерацией ключей для шифрования, и многое другое. Какпоследняя капля вишенка на торте - Intel ME - https://habrahabr.ru…og/282546/ и https://habrahabr.ru…og/278549/. Краткое содержание статей и реальное положение дел: внутри почти всех процессоров intel (например, в ноутбуках, в серверах) есть отдельное ядро, которое имеет доступ ко всему оборудованию (и к сетевой карте - отдельные входы, не подконтрольные ни операционной системе, ни кому-либо другому) и при этом чем оно занимается - никто не знает точно. Сделано якобы для удобства администрирования - чтобы можно было подключиться удаленно к компьютеру по сети - даже если компьютер выключен (но воткнут в розетку) - и провести диагностику. Ну там: считать всё содержимое жесткого диска, содержимое оперативной памяти, посмотреть, на какие кнопки пользователь нажимает на клавиатуре... Если выкинуть прошивку для этого ядра (она грузится из флешпамяти с BIOSом) - ноутбук выключается через 30 минут после включения. Отключить нельзя, "выпилить" - тоже нельзя. Немного научились эту штуку обманывать, но не более.
Это из серьезных вещей. А из "несерьезных" - куча дыр безопасности в телефонах, WiFi роутерах, интернет-вещах и т.п. В общем, едиственный способ сохранить информацию в конфиденциальности - ручка, блокнот и сейф
Копию размещу в ветке IT в России и мире в реалиях мирового кризиса.
Давайте дискуссию (если будет) продолжать там.
(статья https://xakep.ru/2011/12/26/58104/ 2011 года, но я прочитал её сильно позже).
Дальше - больше. Куча уязвимостей и специально оставленных "слабых мест" во многих библиотеках, связанных с аутентификацией, генерацией ключей для шифрования, и многое другое. Как
Это из серьезных вещей. А из "несерьезных" - куча дыр безопасности в телефонах, WiFi роутерах, интернет-вещах и т.п. В общем, едиственный способ сохранить информацию в конфиденциальности - ручка, блокнот и сейф
Копию размещу в ветке IT в России и мире в реалиях мирового кризиса.
Давайте дискуссию (если будет) продолжать там.
ОТВЕТЫ (101)
|
Senya ( Слушатель ) |
| 29 мар 2017 19:10:54 |
Цитата: Oleg K. от 29.03.2017 17:27:05
Думаю надо всё-таки отделить мух от котлет. Любое оборудование, находящееся в стенд-бае и подключённое к сети, может быть включено сетевым пакетом (равно как сигналом от мыши и клавиатуры), эта настройка давным давно есть, ну и наверняка можно её и обойти. Для получения доступа к сетевым картам и жёстким дискам никаких секретных ядер интела нафиг не нужно, достаточно того, что есть. Но без полноценной подачи питания работать это не будет от слова совсем.
Про неотключаемый шпионский модуль, выключающий ноутбук через 30 минут - скорее всего узкие специалисты влезли в систему, которую не поняли, и что-то напортачили. Такое не только с пользователями, которые директорию Виндовс для экономии места удаляли в былые времена, происходило, и не раз.
А так 90% IT безопасности - административные мероприятия, скучные, но достаточно надёжные. С компом, отвязаным от инета, никто ничего не сделает (хотя где теперь такой найдёшь...
).
|
adolfus ( Слушатель ) |
| 30 мар 2017 00:52:33 |
Цитата: Oleg K. от 29.03.2017 17:27:05
Никто никого не заставляет использовать встроенную в чипсет сетевую карту. Купите себе отдельную, вставьте в свободный слот и работайте на здоровье.
Я Вам скажу, что мониторить железо на предмет закладок в разы, а то и на порядок дешевле, чем туда эти закладки запихивать. Даже, если для этого нужно послойно сошлифовывать кристалл и его травить. А уж что касается софта, то разобраться в коде ядра любой ОС гораздо проще, чем, например, в вопросах проектирования систем отопления. Всего то нужны мотивация, время и деньги. Если бы не мотивация, то и козу можно научить смотреть в код и не видеть фигу.
|
|
AndreyV1970 ( Слушатель ) |
| 04 апр 2017 00:13:28 |
Цитата: adolfus от 30.03.2017 00:52:33
Что дешевле спорить не берусь.
Только вот на один малосерийный "лётный" децимал, делаем десяток-другой штучных для тестирования разной весьма внушительной импортной комплектухи.
А они по сложности "летные" порой уделывают...
|
Andrew Carlssin ( Слушатель ) |
| 03 апр 2017 01:52:32 |
Сообщение удалено
Andrew Carlssin
12 май 2022 17:17:27
Andrew Carlssin
12 май 2022 17:17:27
Отредактировано: Andrew Carlssin - 12 май 2022 17:17:27
|
|
Oleg K. ( Слушатель ) |
| 03 апр 2017 12:03:34 |
Я про них не слышал. Судя по тому, что дает гугл - да, это "оно"
Что делать - везде сейчас полно backdoor-ов от производителей.
|
|
Andrew Carlssin ( Слушатель ) |
| 03 апр 2017 12:26:35 |
Сообщение удалено
Andrew Carlssin
12 май 2022 17:17:17
Andrew Carlssin
12 май 2022 17:17:17
Отредактировано: Andrew Carlssin - 12 май 2022 17:17:17
|
|
Oleg K. ( Слушатель ) |
| 03 апр 2017 12:35:12 |
Я знаю. И Intel ME - точно также. Система удаленного администрирования перестает быть backdoor-ом в тот момент, когда я могу её отключить (в биосе, аппаратно - джампером каким-нибудь или вроде того - всё равно как). И в целом мне общая цель такого рода систем ясна - это очень востребованно и удобно. Просто в некоторых случаях, такие штуки я захочу отключить, так как защита данных важнее экономии 3 часов рабочего времени сотрудника на дорогу в датацентр и обратно.
Например, никто же не жалуется на наличие портов USB в компьютере, хотя с их помощью можно загрузиться с флешки и получить полный доступ к жесткому диску - это не существенно в обычных ситуациях. Но в некоторых организациях такие порты заклеиваются (если их невозможно изъять), дабы в них ничего не засовывали, так как данные в системах очень важные и конфиденциальные. Intel ME, RAC и прочие "заклеить" не получается.
|
|
Andrew Carlssin ( Слушатель ) |
| 03 апр 2017 23:40:11 |
Сообщение удалено
Andrew Carlssin
12 май 2022 17:16:51
Andrew Carlssin
12 май 2022 17:16:51
Отредактировано: Andrew Carlssin - 12 май 2022 17:16:51
|
|
adolfus ( Слушатель ) |
| 04 апр 2017 00:53:00 |
Цитата: Oleg K. от 03.04.2017 12:35:12
Чтобы по USB можно было загрузиться, нужно специально в сетапе это разрешить. Не знаю никого, кто бы это делал даже на десктопах.
Насчет удаленного управления. Если нельзя решить проблему обычным образом (ssh), это значит кранты железу и выезжать придется независимо от того, есть там удаленная диагностика или нет. Допустим, эта ваша дигностика показала, что с железом все в порядке, но залогиниться на сервер невозможно. И что Вы будете с этим делать за 500 километров от сервера? А если она показала, что не в порядке? А кнопку на ящике и коза нажать сможет.
|
|
Andrew Carlssin ( Слушатель ) |
| 04 апр 2017 01:55:32 |
Сообщение удалено
Andrew Carlssin
12 май 2022 17:15:42
Andrew Carlssin
12 май 2022 17:15:42
Отредактировано: Andrew Carlssin - 12 май 2022 17:15:42
|
|
Podli ( Слушатель ) |
| 04 апр 2017 08:55:59 |
Добавлю немного.
В случае проблем с железом iLO тоже сильно выручает. Через консоль видно, что конкретно умерло (если совсем умерло, бывают хитрые исключения к сожалению) и чаще всего нет необходимости даже отправлять кого-то в коммандировку за пол мира. Видим умершую планку памяти - собираем диагностическую информацию и отправляем производителю сервера (если сервер на гарантии еще). Дальше либо специалист производителя сам приходит и меняет необходимое железо (это в случае крупных датацентров, о времени ремонта естественно договариваются), либо он почтой высылает в датацентр нужное железо, после чего заказывается SmartHands в датацентре. SmartHands - это услуга спеца самого датацентра, используется для выподнения простых операций типа "взять такую-то железяку там-то, открыть такой-то сервак, поменять то-то, старую железяку положить туда-то или отправить почтой тому-то". Получается на порядок быстрее и дешевле, чем отправлять недешевого спеца в какую-нить жопу мира типа США для замены севшей батарейки в RAID контроллере.
|
|
pkdr ( Слушатель ) |
| 04 апр 2017 11:56:00 |
Цитата: Podli от 04.04.2017 08:55:59
Только вы ошиблись в названии, SmartHands - маркетинговое название. Реальное название этой услуги StupidMonkeyHands.
|
|
Andrew Carlssin ( Слушатель ) |
| 04 апр 2017 12:30:36 |
Сообщение удалено
Andrew Carlssin
12 май 2022 17:15:07
Andrew Carlssin
12 май 2022 17:15:07
Отредактировано: Andrew Carlssin - 12 май 2022 17:15:07
|
|
Podli ( Слушатель ) |
| 04 апр 2017 15:09:31 |
Цитата: pkdr от 04.04.2017 11:56:00
Ну, это с какой стороны посмотреть... Нужно все же учитывать, что инженер датацентра не имеет никакого понятия о том, как у вас устроено всё. Поэтому и возможны только простые операции. А чтобы не было косяков - нужно инженеру выдавать четкие инструкции. Не "второй слева HDD" а "HDD с серийным номером таким-то" и т.д. В таком случае риск ошибок не более оного при отправке своего спеца в коммандировку.
|
|
pkdr ( Слушатель ) |
| 04 апр 2017 15:14:25 |
Цитата: Podli от 04.04.2017 15:09:31
Ага, выдаёшь ему чёткие инструкции, с номером стойки, юнитом сервера, номером диска, даже подсвечиваешь диск светодиодом, а оно такое, раз... и выдрало диск из соседней стойки.
|
|
adolfus ( Слушатель ) |
| 04 апр 2017 18:23:39 |
ОС сдохла на живом железе... Да Вы откуда и где? Высосано из пальца. Если ssh/rsh/telnet не работает, значит однозначно кранты железу.
Потому что нет в природе таких осей, которые на нормальном железе не могут запустить файловую систему и сеть. Если железо в порядке, то всегда ось загрузится и всегда Вы зайдете по ssh. Чем Вы там пользуетесь, что на здоровом железе не работает? Уж не хьюлит-паккард говноцентр?
|
|
pkdr ( Слушатель ) |
| 04 апр 2017 19:39:09 |
Цитата: adolfus от 04.04.2017 18:23:39
Если наблюдаются перечисленные проблемы, это ещё ничего не значит, это значит только то, что надо выяснять причину.
Цитата: adolfus от 04.04.2017 18:23:39
Может быть повреждена сама ось, могут потеряться настройки сети, может новое ядро просто несовместимо с железом, может надо сменить прошивку в оборудовании, может быть ещё 100500 причин по которым ОС не может загрузиться на вполне исправном железе.
Вот тут как раз и поможет доступ к сериал-консоли ОС.
Цитата: adolfus от 04.04.2017 18:23:39
Что плохого в HP? Один из двух оставшихся производителей бывшей "большой четвёрки" серверостроителей. Пока ещё не скатились как бывший Sun, и не скатываются как бывший IBM.
|
|
Valery ( Слушатель ) |
| 05 апр 2017 00:15:39 |
Цитата: ps_ от 04.04.2017 22:02:53
Ну, к четвертому я бы отнес ныне покойную Digital Equipment Corporaion. Была куплена Compaq и далее "комплект" ушел под HP.
Кстати, почти все, что HP делает в области enterprise серверов и систем хранения данных, было изобретено еще DEC. В том числе и катастрофоустойчивые кластеры и СХД. Кстати, при грамотном построении дата-центров и сейчас бэкапы хранить у левых контор не нужно. Пользователи отказа одного из них даже не заметят.
Dell дальше писюков так и не продвинулся. Разе что EMC прикупил.
|
ps_ ( Слушатель ) |
| 05 апр 2017 17:18:54 |
Цитата: Valery от 05.04.2017 00:15:39
DEC же делал VAX-ы, а это из серии ну если не mainframe то наверное miniframe.
К серверам, в СОВРЕМЕННОМ, смысле этого слова не совсем относящиеся.
|
|
Valery ( Слушатель ) |
| 05 апр 2017 17:51:59 |
Цитата: ps_ от 05.04.2017 17:18:54
Ну, MicroVAX 3100, да и AlphaServer DS10 (стоит у меня меня дома) по размерам как обычный десктоп.
|
|
Oleg K. ( Слушатель ) |
| 04 апр 2017 22:15:18 |
Цитата: adolfus от 04.04.2017 18:23:39
Ну справедливости ради наиболее просто "потерять" сервер во время изменения настроек сети или фаервола. Поэтому либо "sleep 300 && reboot" в соседней консоли, пока настраиваешь, либо - удаленная админка (какого-нибудь типа).
|
|
Podli ( Слушатель ) |
| 05 апр 2017 16:09:22 |
Цитата: adolfus от 04.04.2017 18:23:39
Посмотрите пару месяцев на парк из нескольких тысяч серверов, на которых работают сотни различных проектов, которые в свою очередь регулярно обновляются и дописываются... В такой среде даже самые маловероятные события происходят на регулярной основе и удивления не вызывают. Ну а недоступность сервера по софтварным причинам возникает регулярно. ФС работает, ось работает, вот только LA 300 и оно тормозит так, что ssh работающим назвать можно только теоретически.
|
|
rinth ( Слушатель ) |
| 07 апр 2017 12:52:31 |
Цитата: adolfus от 04.04.2017 18:23:39
CentOS, тобишь RHEL, штатное обновление через yum и усё, система разорвана на куски. С виду всё хорошо, но на деле оказывается что всплыл долгоиграющий баг, и система осталась без загрузчика и модулей ядра. Ну а в консоли всё красиво. И это только один из тысяч вариантов.
|
|
adolfus ( Слушатель ) |
| 08 апр 2017 23:32:18 |
Цитата: rinth от 07.04.2017 12:52:31
И что это был за баг такой? Да еще и на RHEL. Даже на федоре такого отродясь не было, чтобы загрузчик не работал. За всю историю RH было всего два загрузчика лило и груб и ни с одним из них никаких проблем никогда не было. В лаборатории сервер и на нем FC c 11 версии вплоть до нынешней апгрейдится поверх предыдущей через ssh. У компа ни монитора, ни клавиатуры нет. Выходит, например, версия 25, делаю апгрейд с 23-й на 24-ю. Разумеется, все руками – это и есть штатный режим. Сначала ядро и shutdown. Максимум через 30 минут (сторожевой таймер запускает комп, если тот выключен) комп начинает отвечать на пинг и что-то я не помню, чтобы хоть раз не смог на него зайти. Потом пути к новым репозиториям прописываю и вперед dnf upgrade все остальное. И так каждые полгода.
|
|
rinth ( Слушатель ) |
| 09 апр 2017 11:26:27 |
Цитата: adolfus от 08.04.2017 23:32:18
Обычный такой enterprise-bug: grubby не мог отработать ситуацию, когда в системе более 3-х версий ядра, сносил конфигурацию grub-а и блокировал установку модулей ядра. Вместо адекватной информации об ошибке в консоли только одна не блещущая конкретикой строчка. Вообще, за 15 лет работы с Linux меньше всего приходилось разгребать глюки, баги, костыли и подпорки когда я использовал xBSD или Solaris.
|
Поверонов ( Слушатель ) |
| 10 май 2017 07:57:10 |
Важная информация о защищенности встроенной программы Intel Manageability
реакция на Wikileaks из CIA
ЦитатаОбновление. Сведения о том, как использовать эту уязвимость, теперь становятся общедоступными. Важно как можно скорее принять меры для обеспечения безопасности уязвимых систем. См. Наше руководство по смягчению или подробности обслуживания клиентов ниже.
1 мая корпорация Intel опубликовала рекомендации по безопасности, касающиеся уязвимости прошивки в некоторых системах, использующих технологию Intel® Active Management Technology (AMT), технологию Intel® Standard Manageability (ISM) или технологию Intel® Small Business (SBT). Уязвимость может позволить сетевому злоумышленнику удаленно получить доступ к бизнес-ПК или устройствам, использующим эти технологии.
реакция на Wikileaks из CIA
|
|
Senya ( Слушатель ) |
| 10 май 2017 10:02:46 |
Цитата: Поверонов от 10.05.2017 07:57:10
В кучу ко всему.
Указ Президента Российской Федерации от 09.05.2017 № 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы"
http://publication.p…1705100002
http://publication.p…2?type=pdf
|
|
DarkRaider ( Слушатель ) |
| 17 май 2017 19:52:08 |
Цитата: pkdr от 17.05.2017 14:35:14
Конечно не знаю, а даже если и знаю, ничем это не докажу, поэтому пользуюсь вики.
Читаем вики
cgroups (англ. control group) — механизм ядра Linux, который ограничивает и изолирует вычислительные ресурсы (процессорные, сетевые, ресурсы памяти, ресурсы ввода-вывода) для групп процессов. Механизм позволяет образовывать иерархические группы процессов с заданными ресурсными свойствами и обеспечивает программное управление ими.
Разработка была начата инженерами Google Полом Менэджем (Paul Menage) и Рохитом Сетом (Rohit Seth) в 2006 году и первоначально называлась «контейнеры процессов» (англ. process containers)[1]. В 2007 году проект был переименован в сgroups (от англ. control groups) по причине неоднозначности значения термина «контейнер» в ядре Linux.
...
Одна из целей механизма cgroups — предоставить единый программный интерфейс к целому спектру средств управления процессами, начиная с контроля единичного процесса (таких как, например, утилита nice) вплоть до полной виртуализации на уровне системы (как у OpenVZ, Linux-VServer[en], LXC). Механизм предоставляет следующие возможности:
ограничение ресурсов (англ. resource limiting):
использование памяти, в том числе виртуальной[3];
приоритизацию: разным группам можно выделить разное количество процессорного ресурса[4] и пропускной способности подсистемы ввода-вывода[5];
учёт: подсчёт затрат тех либо иных ресурсов группой[6];
изоляцию: разделение пространств имён для групп таким образом, что одной группе недоступны процессы, сетевые соединения и файлы другой[2];
управление: приостановку (freezing) групп, создание контрольных точек (checkpointing) и их перезагрузку[6].
Таки оно конечно "совсем не то", но подобный же список который можно озаглавить фразами "управление аппаратными ресурсами" и "управление вычислительными процессами", реализуется начиная с Microsoft Virtual Server, и полностью появляется в виде Hyper-V в виде "роли" (это по вашему контейнеры), либо гипервизора первого уровня (это который отдельностоящий) в Win server 2008. К слову этот список справедлив не только для виртуализируемых процессов, но и для "обычных" он, вполне таки успешно, реализуется начиная с NT4
ЦитатаGPO - обеспечивает контроль доступа на основе ролей, selinux - мандатный контроль доступа. Опять вы не поняли, что писали.
вики
Мандатная модель управления доступом, помимо дискреционной и ролевой, является основой реализации разграничительной политики доступа к ресурсам при защите информации ограниченного доступа. При этом данная модель доступа практически не используется «в чистом виде», обычно на практике она дополняется элементами других моделей доступа.
...
Самое важное достоинство заключается в том, что пользователь не может полностью управлять доступом к ресурсам, которые он создаёт.
До тех пор, пока мы не углубимся в дебри ФСТЭК и защиты гостайны - основная используемая модель безопасности - монопениссуальна, особенно учитывая то, что при должной настройке прав домена и gpo и появлении в виндах UAC - можно добиться аналогичного эффекта для 90% общих случаев использования в жизни.
ЦитатаВообще-то там намного больше возможностей, в том числе и в плане "закрыть", сказать, что брандмауэр винды его аналог - это как сказать, что MS Paint аналог GIMP.
И тем не менее, это так. Вы либо встретите динозавра на набережной, либо нет. Возможно, Вы опять же не в курсе, но у виндового фаервола есть ещё и дополнительные настройки ётуб. Если Вы, потрудитесь осознать, что модель взаимодействия тут отличается от никсовой, то поймёте, что совершенно всё равно, как создать правило "разрешить" или "запретить" для конкретного приложения, протокола или пользователя - главное чтобы это правило работало. Работает оно исправно и в никсах и в виндах, при этом внутренняя реализация - нас в общем то не волнует.
Ещё хорошо бы осознать, что в никсах тем же iptables можно прописать и NAT и PAT, а в виндах - это 2 разных службы, одна занимается ровно своим предназначением - контролирует коммуникации данного хоста, а NAT и дальнейшим заведует другая служба, имеющая свои настройки.
ЦитатаПрогуглил что это, это отдельное приложение, аналог rabbitmq, опять же совсем не то, что dbus
А стоило бы загуглить вот сюда
Unlike MS-DOS-based applications, Windows-based applications are event-driven. They do not make explicit function calls (such as C run-time library calls) to obtain input. Instead, they wait for the system to pass input to them.
The system passes all input for an application to the various windows in the application. Each window has a function, called a window procedure, that the system calls whenever it has input for the window. The window procedure processes the input and returns control to the system. For more information about window procedures, see Window Procedures ...
Ну либо написать в жизни хотя бы одну, пусть студенческую, программу для win32api
ЦитатаАга именно поэтому лично я встречал hyper-v только один раз в жизни, у конторы из упоротых виндузятников. Все остальные почему-то пользуются другими системами виртуализации, потому что у любой большой конторы, даже если она завязана на винду, найдутся никсовые сервисы.
И да, то, что hyper-v в принципе не умеет эмулировать SMP систему говорит исключительно о том, что его разработчики так и не смогли в нормальную виртуализацию. Все остальные гипервизоры это прекрасно умеют.
Наверное именно потому, что Вы не встречали, такая немаленькая контора как, например, Сбербанк со своим online сидит на некошерном и неугодном ASP.NET
Впрочем, я не собираюсь с Вами спорить, Вы всё равно опустите меня до своего уровня и попытаетесь задавить опытом, поэтому предложу идти бодаться в целевое место, на хабру. Статья довольно свежая, если прочтёте - возможно узнаете что то новое для себя.
ЦитатаВообще-то возникает, ntfs очень древняя, поэтому она работает намного медленнее.
А нельзя ли чем то подтвердить утверждение о том, что ext4 на никсах работает гораздо быстрее ntfs на виндах?
ЦитатаВы опять путаете протокол доступа к шаре и полноценную распределённую кластерную ФС.
А можно поподробнее, чем же "протокол доступа к шаре" отличается от "полноценной кластерной ФС" с точки зрения кластера? Впрочем, я догадываюсь что услышу... "потому что это протокол доступа к древней ntfs, работающей медленно!"
ЦитатаБлаго винде это не нужно, так как она не умеет ни в грид, ни в перформанс кластеры, а для того что хоть криво, но умеет, кластерная ФС не нужна.
Всегда полагал, чтобы что-то подобное утверждать - нужно досконально знать вопрос, о котором говоришь, но, как показывает практика, достаточно просто погромче сказать "НЕ УМЕЕТ!" и этого достаточно. США сейчас себя так же ведут.... "виноваты русские и не _бёт"!
ЦитатаАу, 90-е годы закончились 17 лет назад. С тех пор мир изменился, у линукса уже практически нет проблем с драйверами, наоборот, сейчас установка винды означает долгий геморрой с драйверами. А апологеты виндузятничества продолжают бездумно приводить этот протухший аргумент второе десятилетие.
Вы, очевидно, давно не ставили виндов, либо вынуждены были заниматься шаманством установки старых виндов на новый ноут, где "проблемы с драйверами" - это часть политики компаний (и это явление безусловно ПЛОХО). Могу смело заверить, что если мы говорим о desktop - я не далее чем месяц назад, получил секс с установкой никсов, в роли рабочей станции, на совершенно банальном офисном ПК на базе матери под amdfm2 со встроенной ATI. Неее..... нету никаких проблем.....
ЦитатаВот как раз наоборот, когда ты эникей в конторе с парой серверов и сотней десктопов, тебе кажется что винды везде. Когда выходишь на энтерпрайз уровень всё становится не так однозначно. А когда начинаешь заниматься чем-то серьёзным, типа хайлоада, когда у тебя тысячи серверов, то наблюдаешь строго обратную картину.
Действительно. Полнейший зоопарк наблюдаю, с разбросом, от апача с пыхой и мускулом, до оракла, виндов и MS SQL
ЦитатаОсобенно касается чего-то нового. Вообще не помню за последние лет 10 случаев, когда какая-то серверная технология не от MS была бы завязана на M$, строго наоборот, всё заточено под линукс.
MONO например. Попытка реализации .NET и смежнх технологий. Пока не очень удачная. В пром эксплуатации её нет.
ЦитатаНу да в таких случаях у ms exchange уже никто не выиграет, так как он помрёт намного раньше.
Никуда он не помирает, по бумагам на 18 серверов хостяших весь кластер с почтовыми серверами в данный момент, наилучшее предложение составило 28 никсовых серверов с зоопарком, разной степени, при гарантиях сохранения текущей доступности и функционала (и то не полностью).
ЦитатаГосударство скажет переходить - никуда не денутся. И то что сейчас там эмулируют не значит, что так будет всегда.
Государство сказало, его послали в задницу - так появился Эльбрус (одна из причин).
ЦитатаХотя бы один пример такого сервера.
Хьюлет DL какой то, не помню точно, давно было. С привязкой bios к штатному рейд-контроллеру compaq. Штатный сгорел (порты), в биосе жёсткая привязка загрузки основного загрузочного сектора только с этого рейда. Соседний Adaptec 5805 (на котором рейд с данными) - видит, грузить с него не хочет принципиально. Было много целебрального секса. На Fujitsu многие никсы встают очень некошерно, их попадалось не так много - не вёл записей по моделям.
ЦитатаКак бедолаги искали драйвер, как возились с рейдом и особо помню, что у них возникла проблема с тем, что там диск в 146ГБ был меньше, чем ОЗУ в 256ГБ.
О_О за 20 лет работы впервые слышу, чтобы при установке виндов была какая то зависимость размера харда от оперативки. Может вспомните подробности? Я бы записал в копилку.
ЦитатаЯ даже знаю место, где это было написано "get the facts". Это любимая забава M$ брать цену какого-нибудь сурового линуксового энтерпрайза и сравнивать его с домашней редакцией продукта M$.
Это было в файлике, пришедшем из департамента, когда нас спросили, не можем ли мы, что либо предложить на эту тему.
Майкрософт там ничего не писал, так как это документ департамента и там были отражены реальные цифры за которое это было куплено (уже куплено) и эксплуатировалось последний год. Так же были предложения 3х импортзамещающих компаний, включающие требования по мощностям, стоимость внедрения и эксплуатации. Из них условно "рабочим" было признано только одно. Стоимость внедрения составляла больше 70% стоимости лицензий винды, стоимость эксплуатации превосходила текущую цифру на 19 лямов рублей в год.
Цитата: Искандер от 17.05.2017 19:18:14
А вот это - действительно неустранимый недостаток. Ну и говна они прилично наделали начиная с 2003х. Фигня в том, что быстро, в некоторых областях, не переключишься никак.
К слову, по этому параметру никсы настолько быстро и уверенно нагоняют винды, что диву даюсь.
|
|
Podli ( Слушатель ) |
| 12 апр 2017 14:05:05 |
Цитата: adolfus от 08.04.2017 23:32:18
А у меня порядка 5 000 серверов, разбросанных по всему миру... Берем вероятность встретить недоступность сервера через ssh по софтварным причинам в "раз в 20 лет". Тогда я при таком парке машин буду сие наблюдать 5000/20=250 раз в году или почти каждый день... На практике - оно конечно пореже случается, но каждый месяц пару-тройку раз в консольку лазить приходится из за софтварных причин
|
|
Andrew Carlssin ( Слушатель ) |
| 07 апр 2017 21:47:03 |
Сообщение удалено
Andrew Carlssin
12 май 2022 17:14:50
Andrew Carlssin
12 май 2022 17:14:50
Отредактировано: Andrew Carlssin - 12 май 2022 17:14:50
|
|
Senya ( Слушатель ) |
| 03 апр 2017 15:46:15 |
Можно пояснить для несталкивавшихся - все эти радости жизни стоят на дорогостоящих и специфических (даже по памяти) серверных платах или их можно встретить на ширпотребных материнках?
Если на бытовых машинах этого нет (или встречается за отдельные большие деньги), то не проблема совсем.
|
|
pkdr ( Слушатель ) |
| 03 апр 2017 17:47:03 |
Цитата: Senya от 03.04.2017 15:46:15
Да, на недешёвых серверных платах.
Ещё бывают отдельные, выполненные в виде ISA/PCI/PCIE платы, которую можно вставить в любой компьютер, но у таких возможностей меньше, да и в последние лет 15 такое вроде бы только у всяких недопроизводителей вроде супермикро бывает.
Не встречал ещё ни одной ширпотребной десктопной материнки с какой-либо разновидностью IPMI.
|
|
Andrew Carlssin ( Слушатель ) |
| 03 апр 2017 23:44:40 |
Сообщение удалено
Andrew Carlssin
12 май 2022 17:16:30
Andrew Carlssin
12 май 2022 17:16:30
Отредактировано: Andrew Carlssin - 12 май 2022 17:16:30
|
|
Поверонов ( Слушатель ) |
| 03 апр 2017 21:49:57 |
Если такие же backdoor стоят в роутерах и свитчах то извне можно добраться и до серверов просто пробивая все встреченные файерволы.
А если в серверах заложены программы "утечки" данных то они должны знать и как пройти через роутеры и файерволы по их бэкдорам.
|
|
Andrew Carlssin ( Слушатель ) |
| 03 апр 2017 23:46:49 |
Сообщение удалено
Andrew Carlssin
12 май 2022 17:16:10
Andrew Carlssin
12 май 2022 17:16:10
Отредактировано: Andrew Carlssin - 12 май 2022 17:16:10
|
|
Oleg K. ( Слушатель ) |
| 04 апр 2017 00:09:17 |
Опять двадцать пять. Я же вас не агитирую за "шеф всё пропало". Давайте каждый сам для себя будет решать, что является угрозой безопасности данных, а что - нет.
Intel ME тоже вполне можно отключить - надо только перепрошить флешку на материнской плате: купить программатор, разобрать ноутбук и подключив программатор напрямую к карте памяти (не забудьте полностью обесточить ноутбук!), скачать с неё прошивку, забекапить, пропатчить и залить обратно на флешу. Итого, нужны прямые руки, доступ в интернет и 5 баксов.
Почему вы думаете, что все компании бекапятся в какой-то ирон мантан? Многие всё-таки полагаются на собственные силы и средства. Ещё не всех директоров поразил аутсорсинг мозга
|
|
Andrew Carlssin ( Слушатель ) |
| 04 апр 2017 01:48:08 |
Сообщение удалено
Andrew Carlssin
12 май 2022 17:16:01
Andrew Carlssin
12 май 2022 17:16:01
Отредактировано: Andrew Carlssin - 12 май 2022 17:16:01
|
|
adolfus ( Слушатель ) |
| 04 апр 2017 18:03:54 |
Никто пока это делать не умеет. Вернее, возможно, умеет, но не делает.
Элементарный пример – системы контроля версии ПО. Типа, git или svn. Казалось бы, но нет. Есть такое понятие – инвариантность исходных кодов. Это когда результат даже не компиляции, а результат связывания один и тот же. Нет ни одной системы. которая может распознать изменения в исходных текстах, которые не затрагивают результата компиляции и связывания. Соответсвенно, она их отметиит для коммита, смысла в котором нет никакого.
Отдельный вопрос с комментариями – если с изменениями исходных текстов, в принципе, справиться несложно (я знаю как), то с комментариями полная огурцов.
Следующий уровень – документы. Те самые, которые производят ворд-и табличные процессоры. Просто откройте документ и, ничего в нем не меняя, принудительно сохраните. Потом сделайте дифф. Да хоть xmldiff или "ваш вордпроцессор формат"-дифф. Ага... Вот вроде ничего не менялось, а в результате ничего не понятно, почему дифф гавкает. В результате вместо того, чтобы сохранить в репозитории децел команд вордпроцессору (пять нажатей на кнопки клавиатуры), будет сохранено децел килобайт говноиксэмэля, а то и вообще говноблоба.
Следующий, более высокий уровень – pdf. Переносимый формат документа. Спрашивается, какое отношение имеет время генерации этого самого документа к этому самому документу? Неужели смысл документа может зависеть от времени его создания? Какой смысл несет эта информация? А никакого. Она присутствует исключительно для того, чтобы усложнить и затруднить обмен документами "в формате pdf". Почему так? Ведь эта информация уже присутствует в файловой систме и нет никакого смысла еее дублировать в файле.
В результате перманентно сохраняется информация с беспрецендентной степенью избыточности. Но ен это хреново, а хреново то, что невозможно узнать, что поменялось. Контент или формат? Значимо изменение формата (в смысле седьмого госта) или это просто бзик долбодятла.