VMS a Linux (zaverecne shrnuti ?)

Martin Bily bily na cs.felk.cvut.cz
Pondělí Březen 30 09:11:50 CEST 1998 

Dobry den,

zhruba po tydnu jsem se probral hromadou prispevku v cz.comp.linux, 
jejichz cast jsem sam vyprovokoval zminkou o VMS. Zkusim se k tomu
jeste vratit:

>	Myslim, ze VMS mela sveho casu v nejake konfiguraci B2.
>
> -Yenya

Ano, to stale ma. Jmenuje se Security Enhanced VMS (SEVMS).
Blize viz http://www.openvms.digital.com/openvms/products/sevms


> From: petrsi na jcu.cz (Petr Simek)
> Vsechno je prima , ale nepostradate symlinky ? Oproti jinym OS
> mi prave moznost symlinku pripada na UN*Xu velice vyhodna .

Ani moc nechybeji, na to mame logicka jmena. Jejich prostrednictvim
se muzeme odkazovat na konkretni disky, adresare ci soubory.
Po prestehovani nejake rozsahlejsi aplikace do jineho adresare
staci zmenit logicke jmeno ukazujici na tento adresar. Takze
to vlastne takovym symbolickym linkem take je. Navic muzeme
udelat treba tohle:
  define skupina dka0:[prvni], dka200:[adr.druhy], dka0:[treti]

Logicke jmeno skupina ukazuje na uvedene tri adresare, pri dir, open
a libovolnych dalsich operacich se berou v uvahu vsechny tri v dotycnem
poradi. Mimo jine to usnadnuje administraci pocitacu spojenych 
do VMS clusteru.

> From: benkovsk na pha.pvt.cz (Jaroslav Benkovsky)
> A taky neexistence rour mezi programy a nemoznost spustit vlastni
> program s parametrem bez zarazeni do nejakych systemovych tabulek, 
> pokud si dobre vzpominam. Nicmene nepochybuji,

To byvalo. 
Pokud mel C-ckovsky program umet cist parametry z prikazove radky 
beznym C-ckovym zpusobem, musel byt spousten jako tzv. cizi program 
prostrednictvim definice nejakeho symbolu na urovni prikazoveho jazyka. 
Od verze systemu 6.2 je mozno definovat logicke jmeno DCL$PATH 
odkazujici na nejakou mnozinu adresaru, podobne jako PATH v Unixu. 
Jsou-li ve VMS programy spousteny prostrednictvim DCL$PATH,
pak citovana nevyhoda prestava existovat. 
Roury byly zavedeny ve verzi 7.0. Oproti Unixu je to pravda trochu 
kostrbatejsi, ale pro prevod tvrde unixovych programu ci skriptu snad 
postacujici. Pri bezne praci ale roury ani nevyuzivam.

K debate o rootu jako vsemocnem bohovi:

Ve VMS lze libovolny ucet chranit dvema hesly a predpoklada se 
to opravdu jako s temi klici od trezoru - u terminalu se museji 
sejit dva lide, kteri znaji po jednom z tech dvou hesel.

Osoba s potrebnymi privilegii ma samozrejme moznost zmenit heslo 
komukoliv ci se pomoci nejake obdoby su na nekoho jineho "prepnout". 
To vse ale nezavisly auditor muze sledovat:
  - accounting - jmena spoustenych programu, cas od do, pocet provedenych
    i/o operaci, spotreba virtualni pameti, casu procesoru apod.
  - audit spolu s ACL - zaznam uspesnych i neuspesnych pokusu o pristup
    k vybranym souborum ci jinym objektum OS.

Hezky je funkce nezavisleho auditora vyresena i v NetWare 4.x.

> From: bravenec na optimit.cz
> ..proste se musi databaze docasne uzavrit. Hmmm. Bez urazky, nejste
> Ja nemuzu
> zastavit databazi, na ktere jsou prave tento moment rozpracovane
> milionove obchody. To bych si mohl hledat jinou praci. 

Ano, na servery kategorie 24x365 potrebuji specielni aplikacni sw,
v pripade databazi tu archivaci umi treba Oracle. Take ho tu mam, ale
jen pro vyuku, takze archivace databaze mne prilis netrapi. Pokud jde
o obycejne soubory, tak ve VMS existuje i tzv. RMS journaling. To spolu 
s volume shadowingem v ramci VMS clusteru miri k provozovani VMS jako 
serveru 24x365. To je prave domena VMS, nejake povidani na tohle tema 
je na http://www.openvms.digital.com/openvms/brochures/, doporucuji
http://www.openvms.digital.com/openvms/brochures/24x365
                                    (Provoz 24x365)
http://www.openvms.digital.com/openvms/brochures/brs
                                    (Bussiness Recovery Server)
dale pak take VMS clustery nebo Reliable Transaction Router.


> From: pavel na elf.ucw.cz (Pavel Machek)
> Aha. A kdo je spravcem toho HARDWARU? NT-cka vam nepomuzou. Kdyz se
> osoba zodpovedna za chod _pocitace_ rozhodne zjistit data z databaze,
> nikdo ji nezastavi. Vezme sroubovak, vynda disk... Nebo vezme disketu,
> nahodi linux, nebo natahne upravenou versi NT-cek... 

Tam, kde jde o vetsi penize, tak je server ve strezenem salu, 
televizni kamery, na sale nesmi byt nikdo sam. Pokud je mi 
znamo, takovahle pracoviste existuji i u nas.

> From: pavel na elf.ucw.cz (Pavel Machek)
>> Par prikladu obecne:
>>      - jak udelat, aby k souboru meli pristup jen uzivatele
>>         pepa, honza, jan, petr, pavel, roman kteri jsou
>>         ve skupine s 10 dalsimi lidmi a clovek, ktery nastavuje
>>         tyto prava neni administrator nebo naopak neni s nimi ani
>> 	ve skupine?
>
> Napis suid program (suid na tebe) ktery tem 10-ti lidem dovoli
> manipulovat s tim souborem. Neudelej v nem diru. :-)

A to je moc komplikovane. Co kdyz s temi soubory potrebuji
pracovat jako s kterymkoliv jinym souborem. Cist, editovat, ...
Na to prave je ACL. Pokud se ACL vztahuje na cely adresar, tak mohu 
i rikat, jaka bude ci nebude pristupny nove vytvoreny soubor
ci podadresar.

From: pavel na elf.ucw.cz (Pavel Machek)
> 	Me tady beha na 21064 (alpha). Jinak behala take na VAXech.

Pamatuji VMS na SM 52/12 (kopie VAX), stacilo 2 (nebo 4 ?) MB.
Alfa procesor a dnesni verze VMS jsou trochu narocnejsi, 64 MB
je v podstate minimum. Problem je, ze VMs nejede tak uplne na kazdem
pocitaci s alfa procesorem. Nevyhody VMS jako tezce komercniho systemu 
si necham na konec.

>> 	Dost si veris... I kdyz, co minis tim "pracovat"?
>
> Abych mohl normalne kompilovat, editovat (emacs), brouzdat siti
> (netscape :-), cist si postu. No trik bude ze pro praci je potreba
> ~30-50 procesu, a kazdy proces potrebuje ~10mega (netscape :-). No a
> kdyz se pokusim pouzit _oba_ limity, vyjde neco kolem 300mega, coz se
> bezne rovna upecene masine. Pokud to umi limit na celkovou velikost,
> tak se urcite najde neco jineho. Moje aktualni napady jsou paralelne
> tolik find / kolik to jde (-> uvareny diskovy subsystem), spousta
> sitovych spojeni (kvuli zrani kernelove ramky)...

Kazdy slusny program ve VMS je od "prirody" sdilitelny, lze jej tak 
nainstalovat. Stejne tak knihovny. Pocet procesu uzivatele lze limitovat, 
velikost cerpane virtualni i fyzicke pameti ma zase sve limity, pro 
kazdeho uzivatele zvlast, find / se ve VMS pise dir [...] a je to vcelku 
bezna operace. Pamet jadra je rozdelena na tzv strankovany a nestrankovany 
pool, jejich velikosti jsou konfigurovatelne, stejne tak se celkem 
jednoduse nastavuje pocet otevrenych soketu v ramci celeho systemu, 
pripadne souboru otevrenych jednim uzivatelem. Scheduler dynamicky 
menici priority procesu je take pekne propracovany :-)

> From: snajdr na pvt.net
> V denim rytmu vselijaka zarizeni vygeneruji vic jak
> 600 MB, ktereje treba dopravit do nejakeho centra - na ten
> Linux. Tyto data jsou vysoce kriticky dulezita. Jejich
> poskozeni nebo zniceni se rovna male Hirosime. Proste
> neprichazi v uvahu.
> 	   Jde o to jak tyto data nejlepe uchovavat,
> za pouziti jakych technologii a jak je pripadne nejlepe
> zalohovat. Pokud mozno vse automaticky. Jak se co nejlepe
> branit stavu, ze proste odejde disk atd. Me osobne to staci
> na teto urovni,ale muzeme jit dal.
>    Predstavnme si, ze chceme mit nejakou aplikaci a chceme ji
> zabezpecit proti maximu veci. Treba proti povodni, ale
> treba i proti padu atomove bomby. Zni to smesne, ale
> to lze zajistit celkem "jednoduse" za predpokladu, ze
> atomove bomby nebudou padat na celem povrchu zeme ( na
> mesic ten pocitac nebo jeden z tech, ktere ho budou zalohovat
>proste nedostaneme).

To je uloha primo sita na miru VMS clusteru a pripadne Bussiness
Recovery Serveru.

-------------------------------------------------------------
Abych jen nepredvadel, jak je VMS vyborny system, tak ted neco
z druhe strany. VMS neni zdarma, naopak je to dost drahy
system. Zdejsi cs.felk.cvut.cz se nam kdysi podarilo koupit 
za prijatelnou cenu v dobe nastupu alfa procesoru diky 
tehdejsimu dobremu zazemi ze systemu VMS provozovaneho 
na clusteru SM 52/12 a VAXu 11/785 a diky nasemu tehdejsimu 
zapojeni do Alpha Innovation Programu. Az tenhle pocitac doslouzi, 
zrejme tak skonci VMS v ceskem skolstvi. Ostatne procesor 150 MHZ 
je uz dnes vyslouzilcem.
Pocet modelu s alfa procesorem a supportem pro VMS je znatelne mensi,
nez na kolika lze provozovat jine OS.
Firma Digital/Compaq prilis nepodporuje male desktopove stroje, 
orientuje se predevsim na svet velkych serveru. Z tohoto duvodu cela 
rada aplikaci beznych na Linuxu pro VMS vubec neexistuje nebo je o mnoho
verzi pozadu.
Pomaly vyvoj je i v IP komunikacich a jejich bezpecnosti. Zde je zase
typicka orientace na velke systemy drzici se komunikace po firemnim
DECNETu. V oblasti IP sice uz bylo take odvedeno dost prace, v nove 
verzi systemu by mel byt Kerberos, ale S/key nebo ssh Digital stale 
nechava chladnym. 

Navrhuji debatu Linux kontra VMS zde ukoncit a v pripade vaseho
zajmu presunout do konference vms na cs.felk.cvut.cz zrcadlene
ve skupine cz.comp.vms. V posledni dobe je zde mrtvo, tak by treba
mohla zase trochu ozit. Posilam tam i tento prispevek.

S pozdravem,
      Martin Bily

Martin Bily, Dept. of Comp.Sci.         e-mail: bily na fel.cvut.cz
Czech Technical University              phone: +420-2-2435 7323
Karlovo nam. 13                         fax:   +420-2-298095
Praha 2, Czech Republic

Další informace o konferenci Linux