Konzistentnost serveru - jak zabezpecit?

Pavel Kankovsky peak na kerberos.troja.mff.cuni.cz
Sobota Prosinec 4 18:59:13 CET 1999 

Pozor! Nasledujici text je dlouhy a mnoho pripominek neni mysleno zcela
smrtelne vazne.


On Wed, 1 Dec 1999, Petr Snajdr wrote:

> Dobre, takze kde je hranice na ktere je treba zastavit a misto
> Linuxu pouzit neco jineho? Nebo lepe a jinak receno: kde vsude
> z tohoto pohledu je Linux jeste dobrym resenim?

Myslim, ze pojeti bezpecnosti a spolehlivosti realizovane v beznych
unixech (NT se nijak vyznamne nelisi) je snesitelne v prostredi, kde 1.
panuje obecne velka duvera ke vsem provozovanym programum, 2. uzivatele si
v principu nesnazi vzajemne ublizovat, 3. uzivatele jsou schopni nest
nezanedbatelny dil spoluzodpovednosti za provoz systemu, 4. system pro nas
(ani pro potencialni skodice zvenku i zevnitr) nema zas az tak velkou
hodnotu, aby byly opodstatneny extra naklady na neco jineho (napr. naklady
spojene s tim, ze budeme potrebovat nekoho, kdo to spravne nakonfiguruje).

> Ja myslim, ze ten prinos je zrejmy. Ale priznam se ze prestoze rikam
> zurnalovy system, myslim hromadu vlastnosti, ktere tyto systemy mivaji
> a jsou mozna o necem trochu jinem.

Aha. :)

> Takze jaky je prinos?
> Ja myslim, ze pomerne velky. Napr. mam server, ktery za pul
> hodiny navstivi docel dost lidi a jsem hodne nerad, kdyz pul hodiny
> nepobezi je  proto, ze si kontroluje disky...

A znate odpoved na otazku, kolikrat je -- ve srovnani s vyse uvedenym
-- server pul hodiny mimo provoz z jinych pricin?

> U 100 GB to 10 minut zdaleka nebude.

Strkat 100 GB disku do jednoho pocitace je jako ulozit si vsechny uspory
do jedne banky v Cechach. :)

> Dalsi veci, ktera se se obcas stane je poruseny souborovy
> system po padu pocitace (nebo vypadku proudu - nez
> nekdo zacne argumentovat UPS tak jsem jiz videl 2x
> padnout pocitac naslekem vypadku UPS). Nemuzu si
> pomoci, ale tohle jsou problemy  podobne tem
> co ma FATka.

Poruseni jsou fatalni (neopravitelne, aspon ne automaticky) a nefatalni
(ty, co lze bez velkeho rizika automaticky opravit). Fatalnich jsem na
ext2 zazil dost malo, ale asi je to tim, ze si moc za provozu nehraju
s tlacitkem reset <g>. Ta FATka neni dobry priklad, protoze "kanonicka
implementace" v MS-DOSu byla postavena tak, aby to mohlo kdykoli vytuhnout
a vysledek byl pokud mozno opravitelny (proto byla napr. FAT zdvojena).

BTW: Taky jsem zazil vypadek UPSky (a s tim spojeny vypadek napajeni
pochopitelne). Lituji, ze jsem u toho nebyl osobne, protoze to pry bylo
spojeno se zajimavymi zvukovymi a kourovymi efekty, protoze jedna
soucastka uvnitr doslova explodovala. Podobny osud zrejme potkal i jeden
server, kde sice u vlastniho vybuchu zadny svedek nebyl, ale na desce jsme
pak nasli zuhelnatelou soucastku, od ktere se na desce smerem vzhuru
tahnul ohon ze sazi. Myslim, ze to v obou pripadech byly kondenzatory (ze 
by elektrolyty?).

> Dalsi vec, ktera nema moc spolecneho s tim, ze system je zurnalovy, ale
> na na takovych FS to byva docela dobre vyresene je chovani
> OS v pripade, ze prohledava adresar a je tam na nej prilis mnoho souboru.

Reiserfs neni vubec zurnalovy (i kdyz ho nekde za zurnalovy oznacovali) a
vyreseno to ma velice dobre. I kdyz tady silne zalezi na tom, co znamena
"prohledavat adresar" (protoze se do toho motaji takove osklive pojmy
jako amortizovana slozitost).

> Nic jednoducheho neni napast ani jadro OS, ani poradny editor nebo
> kompilator. Otazkou je jak se k tomu postavit:
> 
> 1) proste to neresit temer vubec
> 2) alepon se o to pokusit
> 
> Nemohu si pomoci, ale prijde mi, ze Linux  resp. jeho distribuce jsou
> prozatim cestou 1).

Ja nerikam, ze se to nema resit, ale poukazuji na to, ze lze z reklamniho
letaku jen tezko usoudit, jestli se toho resitel zhostil opravdu
zodpovedne, zvlaste, kdyz se to da tezko bez detailni analyzy poznat i
z vlastniho vysledku.

> Mimchodem kdyz jsme u te bezpecnosti tak by byla uz jen ta integrace
> Kerberosu jako standardni soucasti distribuci docela krokem vred nebo
> ne?

Ovsem takhle je zase zaruceno, ze ho pouzivaji pouze ti, kteri jsou ho
schopni nainstalovat, takze je urcita zaruka, ze ho budou provozovat pouze
ti, kteri maji nejakou predstavu o tom, co to opravdu obnasi. :)


On 2 Dec 1999, Cejka Rudolf wrote:

> . Myslim, ze krome klasickych a zurnalovych filesystemu se objevila
> jeste treti cesta soft-updates. Nevyzaduji dlouhou dobu kontroly
> filesystemu (proti klasickym) a nemaji ani vysoke pametove naroky
> (proti zurnalovym).

Myslim si dobre, ze soft-updates je to, ze jadro setridi diskove operace
tak, aby zmeny kazdy provedeny zapis do metadat prevedl filesystem
z jednoho konzistentniho stavu (pricemz vyznam slova konzistentni je
dan definici filesystemu) do jineho?

> + Nastesti v Linuxu lze nevynucene kontroly odstranit.
> - Kdo na to ma pamatovat a vsude prekonfigurovavat.

Kdo na to ma pamatovat a vsude to mit nejak nastavene, rekl spravce a
vsude dal na roota prazdne heslo. :)

> - At si rika kdo chce co chce, tak soucasny Linux & ext2fs je i v tomto
>   smeru vitezem. V zadnem jinem systemu se tolik nebojim udelat hard-reset,
>   abych nahodou neprisel o nejake soubory nebo cely filesystem.

Ja nikdy nedelam hard-reset, dokud nemusim. A pak se neni ceho bat,
protoze uz je o vsem rozhodnuto, pouze jeste neznam vysledek (no dobre,
znam Schroedingerovu kocku, ale vychazim z hypotezy, ze v makrosvete se
kvantove jevy vyznamne neprojevuji). :)

>   Je to neco za neco: Velka rychlost za mensi spolehlivost. Kazdy necht
>   si vybere dle vlastniho uvazeni.

A potreb.

> . Ext2fs (Linux) je trosku jednodussi UFS/FFS. Nekdy se chova rychleji,
>   nekdy pomaleji. Ale moc se treba nevi, ze kdyz se na ext2fs zacnou hodne
>   divoce vytvaret a rusit soubory (treba newsovy server), tak fragmentace
>   muze dosahnout i treba 40 % (mam jen z doslechu)...

Newsy jsou jedna z veci, jejiz parametry smerem k filesystemu vyznamne
vybocuji z prumeru. V jistem smyslu je vlastne nasilna a neprirozena vec
na ne vubec klasicky souborovy system (alespon jako celek) pouzivat.

Samozrejme se na to muzeme divat i z druhe strany: totiz nakolik vykon
degeneruje, kdyz uz takovou blbost prece jen udelame. Tady ma Linux dost
rezervy, protoze co jsem zatim videl, vykon za "hranici vhodnosti" upadal
vesmes dost rapidne.

> - A dale krome stabilni rady 2.S a vyvojove rady 2.L chybi jeste
>   treti rada 2.X, ktera by byla vyberem tech nejlepsich jader z rady 2.S.

Kterou bychom cislovali zapornymi cislicemi :)

> > Zkusil jsem treba ve FreeBSD udelat cat /dev/zero>soubor.dat a zastavilo
> > se to na 7 GB a to jeste proto, ze mi doslo misto na disku.
> 
> . Cha cha. Tak to bylo hodne naivni ;-)

Co je naivniho na tom to v praxi vyzkouset? Rika se "duveruj, ale
proveruj" a fakt je, ze tato lidova moudrost stale plati.

>   a vidim nejaktualnejsi zdrojak ftp.c. A kdyz budu chtit, muzu videt
>   libovolnou starsi verzi nebo aktualni verzi nejakeho branche nebo
>   kompletni zmenovy sooubr ftp.c,v i s komentari...

Ja se spokojim s tim, kdyz v zakladnich systemovych programech nebudou
zadne chyby a tudiz nebude zadny duvod se o zadne starsi verze ani
provedene zmeny zajimat. :)

BTW: ftp je priklad docela zbytecneho programu. Neni vhodny ani
pro pouziti lidmi, ani pro pouziti jinymi programy.


On Thu, 2 Dec 1999, Petr Snajdr wrote:

> Jsem zvedav, zde nemam zkusenosti, ale vselijake pady, "ucpane porty",
> poskozene FS (idealne kdyz zmizi soubory z /etc/init.d) a podobnych
> zlovolnosti s Linuxem se mi zacina zajidat.

To je dost divne, kdyz pri havarii systemu (nebo to nebylo pri 
havarii?) zmizi soubory z adresare, ktery neni bezne cilem masovych
modifikaci.


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

Další informace o konferenci Linux