Konzistentnost serveru - jak zabezpecit?
Pavel Kankovsky
peak na kerberos.troja.mff.cuni.cz
Sobota Prosinec 4 18:59:13 CET 1999
Pozor! Nasledujici text je dlouhy a mnoho pripominek neni mysleno zcela
smrtelne vazne.
On Wed, 1 Dec 1999, Petr Snajdr wrote:
> Dobre, takze kde je hranice na ktere je treba zastavit a misto
> Linuxu pouzit neco jineho? Nebo lepe a jinak receno: kde vsude
> z tohoto pohledu je Linux jeste dobrym resenim?
Myslim, ze pojeti bezpecnosti a spolehlivosti realizovane v beznych
unixech (NT se nijak vyznamne nelisi) je snesitelne v prostredi, kde 1.
panuje obecne velka duvera ke vsem provozovanym programum, 2. uzivatele si
v principu nesnazi vzajemne ublizovat, 3. uzivatele jsou schopni nest
nezanedbatelny dil spoluzodpovednosti za provoz systemu, 4. system pro nas
(ani pro potencialni skodice zvenku i zevnitr) nema zas az tak velkou
hodnotu, aby byly opodstatneny extra naklady na neco jineho (napr. naklady
spojene s tim, ze budeme potrebovat nekoho, kdo to spravne nakonfiguruje).
> Ja myslim, ze ten prinos je zrejmy. Ale priznam se ze prestoze rikam
> zurnalovy system, myslim hromadu vlastnosti, ktere tyto systemy mivaji
> a jsou mozna o necem trochu jinem.
Aha. :)
> Takze jaky je prinos?
> Ja myslim, ze pomerne velky. Napr. mam server, ktery za pul
> hodiny navstivi docel dost lidi a jsem hodne nerad, kdyz pul hodiny
> nepobezi je proto, ze si kontroluje disky...
A znate odpoved na otazku, kolikrat je -- ve srovnani s vyse uvedenym
-- server pul hodiny mimo provoz z jinych pricin?
> U 100 GB to 10 minut zdaleka nebude.
Strkat 100 GB disku do jednoho pocitace je jako ulozit si vsechny uspory
do jedne banky v Cechach. :)
> Dalsi veci, ktera se se obcas stane je poruseny souborovy
> system po padu pocitace (nebo vypadku proudu - nez
> nekdo zacne argumentovat UPS tak jsem jiz videl 2x
> padnout pocitac naslekem vypadku UPS). Nemuzu si
> pomoci, ale tohle jsou problemy podobne tem
> co ma FATka.
Poruseni jsou fatalni (neopravitelne, aspon ne automaticky) a nefatalni
(ty, co lze bez velkeho rizika automaticky opravit). Fatalnich jsem na
ext2 zazil dost malo, ale asi je to tim, ze si moc za provozu nehraju
s tlacitkem reset <g>. Ta FATka neni dobry priklad, protoze "kanonicka
implementace" v MS-DOSu byla postavena tak, aby to mohlo kdykoli vytuhnout
a vysledek byl pokud mozno opravitelny (proto byla napr. FAT zdvojena).
BTW: Taky jsem zazil vypadek UPSky (a s tim spojeny vypadek napajeni
pochopitelne). Lituji, ze jsem u toho nebyl osobne, protoze to pry bylo
spojeno se zajimavymi zvukovymi a kourovymi efekty, protoze jedna
soucastka uvnitr doslova explodovala. Podobny osud zrejme potkal i jeden
server, kde sice u vlastniho vybuchu zadny svedek nebyl, ale na desce jsme
pak nasli zuhelnatelou soucastku, od ktere se na desce smerem vzhuru
tahnul ohon ze sazi. Myslim, ze to v obou pripadech byly kondenzatory (ze
by elektrolyty?).
> Dalsi vec, ktera nema moc spolecneho s tim, ze system je zurnalovy, ale
> na na takovych FS to byva docela dobre vyresene je chovani
> OS v pripade, ze prohledava adresar a je tam na nej prilis mnoho souboru.
Reiserfs neni vubec zurnalovy (i kdyz ho nekde za zurnalovy oznacovali) a
vyreseno to ma velice dobre. I kdyz tady silne zalezi na tom, co znamena
"prohledavat adresar" (protoze se do toho motaji takove osklive pojmy
jako amortizovana slozitost).
> Nic jednoducheho neni napast ani jadro OS, ani poradny editor nebo
> kompilator. Otazkou je jak se k tomu postavit:
>
> 1) proste to neresit temer vubec
> 2) alepon se o to pokusit
>
> Nemohu si pomoci, ale prijde mi, ze Linux resp. jeho distribuce jsou
> prozatim cestou 1).
Ja nerikam, ze se to nema resit, ale poukazuji na to, ze lze z reklamniho
letaku jen tezko usoudit, jestli se toho resitel zhostil opravdu
zodpovedne, zvlaste, kdyz se to da tezko bez detailni analyzy poznat i
z vlastniho vysledku.
> Mimchodem kdyz jsme u te bezpecnosti tak by byla uz jen ta integrace
> Kerberosu jako standardni soucasti distribuci docela krokem vred nebo
> ne?
Ovsem takhle je zase zaruceno, ze ho pouzivaji pouze ti, kteri jsou ho
schopni nainstalovat, takze je urcita zaruka, ze ho budou provozovat pouze
ti, kteri maji nejakou predstavu o tom, co to opravdu obnasi. :)
On 2 Dec 1999, Cejka Rudolf wrote:
> . Myslim, ze krome klasickych a zurnalovych filesystemu se objevila
> jeste treti cesta soft-updates. Nevyzaduji dlouhou dobu kontroly
> filesystemu (proti klasickym) a nemaji ani vysoke pametove naroky
> (proti zurnalovym).
Myslim si dobre, ze soft-updates je to, ze jadro setridi diskove operace
tak, aby zmeny kazdy provedeny zapis do metadat prevedl filesystem
z jednoho konzistentniho stavu (pricemz vyznam slova konzistentni je
dan definici filesystemu) do jineho?
> + Nastesti v Linuxu lze nevynucene kontroly odstranit.
> - Kdo na to ma pamatovat a vsude prekonfigurovavat.
Kdo na to ma pamatovat a vsude to mit nejak nastavene, rekl spravce a
vsude dal na roota prazdne heslo. :)
> - At si rika kdo chce co chce, tak soucasny Linux & ext2fs je i v tomto
> smeru vitezem. V zadnem jinem systemu se tolik nebojim udelat hard-reset,
> abych nahodou neprisel o nejake soubory nebo cely filesystem.
Ja nikdy nedelam hard-reset, dokud nemusim. A pak se neni ceho bat,
protoze uz je o vsem rozhodnuto, pouze jeste neznam vysledek (no dobre,
znam Schroedingerovu kocku, ale vychazim z hypotezy, ze v makrosvete se
kvantove jevy vyznamne neprojevuji). :)
> Je to neco za neco: Velka rychlost za mensi spolehlivost. Kazdy necht
> si vybere dle vlastniho uvazeni.
A potreb.
> . Ext2fs (Linux) je trosku jednodussi UFS/FFS. Nekdy se chova rychleji,
> nekdy pomaleji. Ale moc se treba nevi, ze kdyz se na ext2fs zacnou hodne
> divoce vytvaret a rusit soubory (treba newsovy server), tak fragmentace
> muze dosahnout i treba 40 % (mam jen z doslechu)...
Newsy jsou jedna z veci, jejiz parametry smerem k filesystemu vyznamne
vybocuji z prumeru. V jistem smyslu je vlastne nasilna a neprirozena vec
na ne vubec klasicky souborovy system (alespon jako celek) pouzivat.
Samozrejme se na to muzeme divat i z druhe strany: totiz nakolik vykon
degeneruje, kdyz uz takovou blbost prece jen udelame. Tady ma Linux dost
rezervy, protoze co jsem zatim videl, vykon za "hranici vhodnosti" upadal
vesmes dost rapidne.
> - A dale krome stabilni rady 2.S a vyvojove rady 2.L chybi jeste
> treti rada 2.X, ktera by byla vyberem tech nejlepsich jader z rady 2.S.
Kterou bychom cislovali zapornymi cislicemi :)
> > Zkusil jsem treba ve FreeBSD udelat cat /dev/zero>soubor.dat a zastavilo
> > se to na 7 GB a to jeste proto, ze mi doslo misto na disku.
>
> . Cha cha. Tak to bylo hodne naivni ;-)
Co je naivniho na tom to v praxi vyzkouset? Rika se "duveruj, ale
proveruj" a fakt je, ze tato lidova moudrost stale plati.
> a vidim nejaktualnejsi zdrojak ftp.c. A kdyz budu chtit, muzu videt
> libovolnou starsi verzi nebo aktualni verzi nejakeho branche nebo
> kompletni zmenovy sooubr ftp.c,v i s komentari...
Ja se spokojim s tim, kdyz v zakladnich systemovych programech nebudou
zadne chyby a tudiz nebude zadny duvod se o zadne starsi verze ani
provedene zmeny zajimat. :)
BTW: ftp je priklad docela zbytecneho programu. Neni vhodny ani
pro pouziti lidmi, ani pro pouziti jinymi programy.
On Thu, 2 Dec 1999, Petr Snajdr wrote:
> Jsem zvedav, zde nemam zkusenosti, ale vselijake pady, "ucpane porty",
> poskozene FS (idealne kdyz zmizi soubory z /etc/init.d) a podobnych
> zlovolnosti s Linuxem se mi zacina zajidat.
To je dost divne, kdyz pri havarii systemu (nebo to nebylo pri
havarii?) zmizi soubory z adresare, ktery neni bezne cilem masovych
modifikaci.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux