Да не говорите, вообще кошмар. Безумные люди, ничего не боятся. Я даже процитирую кусочек статьи: "Internet ждет новая волна эксплоитов и вирусов, использующих ранее неизвестные уязвимости в коде новейших версий" (Linux).
Специально решил посмотреть, как оно организовано в OpenWRT. Тут ничего не сказано, копируется или нет. Ядро — да, копируется, а про ФС ничего не сказано. Тут есть примеры устройств, у некоторых объем флеша равен объему ОЗУ. Я очень сомневаюсь, что в них копируется rootfs в память.
А вот что говорит мой роутер
[ 0.605896] 5 tp-link partitions found on MTD device spi0.0
[ 0.611597] Creating 5 MTD partitions on "spi0.0":
[ 0.616463] 0x000000000000-0x000000020000 : "u-boot"
[ 0.622909] 0x000000020000-0x000000152dc0 : "kernel"
[ 0.629481] 0x000000152dc0-0x0000007f0000 : "rootfs"
[ 0.636128] mtd: device 2 (rootfs) set to be root filesystem
Последняя строка намекает, что раздел rootfs монтируется напрямую как корень.
… но не смотря на все эти страхи и ужасы, в конкретных кейсах можно было получить профит если начать городить свой велосипед…
Мне кажется, на такие велосипеды уйдет столько времени, сил и денег, что в итоге будет дешевле сделать RAID из SSD-шек.
А вы пробовали PCI-E SSD? Или вам нужно ещё быстрее?
Не проблема. Во всяких embedded-устройствах типа роутеров используется память, где за износом следит сама ФС. Интерфейс подключения — SPI или что-то своё.
Только объемы там скромные, да и скорости небольшие.
Отвечу как человек, который занимается "крутыми" вещами.
Во-первых, те проекты, которые сейчас на слуху — это лишь вершина айсберга. Что-то взлетает, что-то нет. Тратишь кучу времени и не знаешь, куда всё это приведет. Даже если взлетит — весь код выбросят, а итоговым продуктом будет заниматься другая команда.
Документации — почти ноль, многое приходится изобретать самому. Нельзя просто взять и начать кодить, постоянно нужно принимать решения (а решение может вообще не существовать). Повезло, если есть человек, который уже хоть немного копался в теме.
Скепсис со стороны окружающих. Постоянные рассказы о том, что мы тут делом занимаемся, продакшн пилим, а вы дурью маетесь. Даже если человек сам занимается экспериментальными проектами.
Конечно, не везде так. Но гнаться за этой "крутизной" я бы точно не стал.
А какие тут могут быть варианты? NFS не прижился в гетерогенных сетях. FTP… ну, будет работать, но от него все постепенно отказываются, даже в локальных сетях. Остается SMB. При этом вторая/третья версия до сих пор не поддерживается многими серверами. Даже в самой статье написано, что осталось куча машин, на которых работает Samba какой-нибудь древней версии типа 3.5. Получается, что SMBv1 — стандарт де-факто, если речь идет о корпоративных сетях. А HP/Xerox просто взяли и реализовали самый популярный протокол.
Да и зачем вообще отказываться от SMBv1? Вторая и третья версия — в основном про фичи и производительность, а чтобы просто положить скан в папочку хватит и первой. Если что, описанная в статье уязвимость касается Samba, а не конкретной версии протокола.
Это не флешка буферизует, а ОС. Настройте систему, и будет вам синхронная запись. Не гарантирую, что задержка снизится до нуля, но точно заметно уменьшится.
Никто не мешает поставить tune2fs и другие утилиты в отдельную директорию. Тогда система продолжит использовать версию из репозитория, но при этом можно будет экспериментировать с последними фичами ФС.
По поводу помойки — да, в идеале все пакеты должны быть из репозитория, но жизнь диктует свои правила. Стандартный репозиторий хорош только для самых типовых задач, как только в требования попадает что-то хоть немного необычное — на сервере сразу появляется директория с самосбором. Те, кто поаккуратнее, собирают в пакеты, остальные просто делают набор директорий для каждой утилиты/библиотеки и кидают симлинки, если это нужно. Это то, что лично я видел в продакшене. Особенно это актуально для RHEL/SLES. Погуглите, убедитесь сами — большинство инструкций для этих дистрибутивов предлагают самому собирать нужные утилиты. К счастью, с появлением Docker стало немного попроще, но, сами понимаете, e2fsprogs в нем не запустишь.
> В 2014 году было обнаружено целых две критических уязвимости в самой популярной, на тот момент, библиотеке SSL. Кто-то даже попытался перейти по этому поводу на другую популярную альтернативу — TLS, которая оказалась даже ещё хуже
OpenSSL (если включать сюда его форки) и сейчас является самой популярной библиотекой TLS/SSL.
А по поводу TLS вообще не понял вашей мысли. В 2014-ом все уже давно использовали TLS 1.0, кто и куда хотел перейти? По поводу того, что TLS оказался хуже — не знаю, почему вы так решили, SSL 3.0 был ещё более дырявым. Подобные ошибки в тексте сильно портят впечатление от статьи.
Вот честно, статей по поводу TLS сейчас вагон и маленькая тележка, начиная от теоретического ликбеза и заканчивая конкретными инструкциями. Для кого писалась конкретно эта статья?
Когда-то интересовался этим вопросом, тоже хотел организовать сеть для игр.
Вопрос сложный. Давайте по пунктам.
1) Организовать броадкаст-домен не так уж и просто. Скорее всего придется ставить L2TP-туннель поверх IPsec-а. Это несложно, материала по этой теме полно, но лично я этой темой не интересовался. Ещё есть некий плагин, но его я тоже не пробовал.
2) По поводу неограниченного количества клиентов — вообще не проблема. Никто не мешает всем пользователям иметь один и тот же логин/сертификат. Unix-пользователи тут вообще не при чем, у strongswan по умолчанию своя база пользователей. Но если очень хочется, есть плагин для PAM-аутентификации.
3) По поводу сертификата есть две новости, хорошая и плохая. Хорошая — для создания сертификата вполне подойдет сервис Let's Encrypt, сертификаты у него вполне валидные и не требуют ручного импорта в систему. Плохая — Windows почему-то не доверяет им (конкретно IPsec, браузеры отлично работают). Может быть я где-то накосячил, но практика дала такие результаты. С другой стороны, в Win10 импорт сертификатов — секундное действие. Ещё есть штука под названием PSK-аутентификация, которой сертификаты вообще не нужны, но Windows-клиенты не позволяют её настроить из GUI.
Итого. Для игр я бы организовал VPN на основе OpenVPN (в L2-режиме) или PPTP, а для своих нужд — IPsec в соответствие со статьей. Если у вас есть какие-то другие идеи — пишите, мне тоже интересно :)
Да, всё так и есть. Если быть чуточку точнее, режим IDE эти «штучки» просто не позволяет использовать, а AHCI наоборот, раскрывает. Как в программах — есть устаревший ограниченный API, с которым нужно поддерживать совместимость, и более полный современный интерфейс, хотя в обоих случаях по сути выполняется один и тот же код.
А тесты на картинке просто неправильно сделаны. Если бы взяли тесты на IOPS-ы, сразу бы стало видно, кто есть кто. У меня есть диски, которые подключены по USB 2.0, и там тоже не поддерживается очередь команд. Стоит хотя бы к двум файлам одновременно обратиться, и начинаются дикие тормоза :(
Никто не будет просто так переходить на другой чипсет. Нужно целиком переделывать прошивку, менять цепочки снабжения. Слишком дорого, проще подождать лета.
Samsung всегда делал две версии Galaxy: со Snapdragon для Америки и Китая и с Exynos для остальных стран. Это связано в первую очередь со стандартами связи. Ясное дело, что сайты и их анонсы в основном ориентируются на американский вариант.
Да не говорите, вообще кошмар. Безумные люди, ничего не боятся. Я даже процитирую кусочек статьи: "Internet ждет новая волна эксплоитов и вирусов, использующих ранее неизвестные уязвимости в коде новейших версий" (Linux).
Есть же ещё домены третьего, четвертого уровня.
Конечно. Практически во всех антивирусах время от времени находят уязвимости. С учётом того, что антивирусы работают на достаточно низком уровне, уязвимости там серьезные.
У Гугла есть даже специальная команда по поиску подобных дыр. Вот список для Касперского: https://bugs.chromium.org/p/project-zero/issues/list?can=1&q=Kaspersky
А вот нашумевшая статья об уязвимостях в антивирусе Symantec: https://googleprojectzero.blogspot.ru/2016/06/how-to-compromise-enterprise-endpoint.html?m=1
Тут ничего не сказано, копируется или нет. Ядро — да, копируется, а про ФС ничего не сказано.
Тут есть примеры устройств, у некоторых объем флеша равен объему ОЗУ. Я очень сомневаюсь, что в них копируется rootfs в память.
[ 0.605896] 5 tp-link partitions found on MTD device spi0.0
[ 0.611597] Creating 5 MTD partitions on "spi0.0":
[ 0.616463] 0x000000000000-0x000000020000 : "u-boot"
[ 0.622909] 0x000000020000-0x000000152dc0 : "kernel"
[ 0.629481] 0x000000152dc0-0x0000007f0000 : "rootfs"
[ 0.636128] mtd: device 2 (rootfs) set to be root filesystem
Последняя строка намекает, что раздел rootfs монтируется напрямую как корень.
Мне кажется, на такие велосипеды уйдет столько времени, сил и денег, что в итоге будет дешевле сделать RAID из SSD-шек.
А вы пробовали PCI-E SSD? Или вам нужно ещё быстрее?
Не проблема. Во всяких embedded-устройствах типа роутеров используется память, где за износом следит сама ФС. Интерфейс подключения — SPI или что-то своё.
Только объемы там скромные, да и скорости небольшие.
Отвечу как человек, который занимается "крутыми" вещами.
Во-первых, те проекты, которые сейчас на слуху — это лишь вершина айсберга. Что-то взлетает, что-то нет. Тратишь кучу времени и не знаешь, куда всё это приведет. Даже если взлетит — весь код выбросят, а итоговым продуктом будет заниматься другая команда.
Документации — почти ноль, многое приходится изобретать самому. Нельзя просто взять и начать кодить, постоянно нужно принимать решения (а решение может вообще не существовать). Повезло, если есть человек, который уже хоть немного копался в теме.
Скепсис со стороны окружающих. Постоянные рассказы о том, что мы тут делом занимаемся, продакшн пилим, а вы дурью маетесь. Даже если человек сам занимается экспериментальными проектами.
Конечно, не везде так. Но гнаться за этой "крутизной" я бы точно не стал.
Да и зачем вообще отказываться от SMBv1? Вторая и третья версия — в основном про фичи и производительность, а чтобы просто положить скан в папочку хватит и первой. Если что, описанная в статье уязвимость касается Samba, а не конкретной версии протокола.
Это не флешка буферизует, а ОС. Настройте систему, и будет вам синхронная запись. Не гарантирую, что задержка снизится до нуля, но точно заметно уменьшится.
Никто не мешает поставить tune2fs и другие утилиты в отдельную директорию. Тогда система продолжит использовать версию из репозитория, но при этом можно будет экспериментировать с последними фичами ФС.
По поводу помойки — да, в идеале все пакеты должны быть из репозитория, но жизнь диктует свои правила. Стандартный репозиторий хорош только для самых типовых задач, как только в требования попадает что-то хоть немного необычное — на сервере сразу появляется директория с самосбором. Те, кто поаккуратнее, собирают в пакеты, остальные просто делают набор директорий для каждой утилиты/библиотеки и кидают симлинки, если это нужно. Это то, что лично я видел в продакшене. Особенно это актуально для RHEL/SLES. Погуглите, убедитесь сами — большинство инструкций для этих дистрибутивов предлагают самому собирать нужные утилиты. К счастью, с появлением Docker стало немного попроще, но, сами понимаете, e2fsprogs в нем не запустишь.
OpenSSL (если включать сюда его форки) и сейчас является самой популярной библиотекой TLS/SSL.
А по поводу TLS вообще не понял вашей мысли. В 2014-ом все уже давно использовали TLS 1.0, кто и куда хотел перейти? По поводу того, что TLS оказался хуже — не знаю, почему вы так решили, SSL 3.0 был ещё более дырявым. Подобные ошибки в тексте сильно портят впечатление от статьи.
Вот честно, статей по поводу TLS сейчас вагон и маленькая тележка, начиная от теоретического ликбеза и заканчивая конкретными инструкциями. Для кого писалась конкретно эта статья?
Когда-то натыкался на вашу статью, она ещё актуальна?
Вопрос сложный. Давайте по пунктам.
1) Организовать броадкаст-домен не так уж и просто. Скорее всего придется ставить L2TP-туннель поверх IPsec-а. Это несложно, материала по этой теме полно, но лично я этой темой не интересовался. Ещё есть некий плагин, но его я тоже не пробовал.
2) По поводу неограниченного количества клиентов — вообще не проблема. Никто не мешает всем пользователям иметь один и тот же логин/сертификат. Unix-пользователи тут вообще не при чем, у strongswan по умолчанию своя база пользователей. Но если очень хочется, есть плагин для PAM-аутентификации.
3) По поводу сертификата есть две новости, хорошая и плохая. Хорошая — для создания сертификата вполне подойдет сервис Let's Encrypt, сертификаты у него вполне валидные и не требуют ручного импорта в систему. Плохая — Windows почему-то не доверяет им (конкретно IPsec, браузеры отлично работают). Может быть я где-то накосячил, но практика дала такие результаты. С другой стороны, в Win10 импорт сертификатов — секундное действие. Ещё есть штука под названием PSK-аутентификация, которой сертификаты вообще не нужны, но Windows-клиенты не позволяют её настроить из GUI.
Итого. Для игр я бы организовал VPN на основе OpenVPN (в L2-режиме) или PPTP, а для своих нужд — IPsec в соответствие со статьей. Если у вас есть какие-то другие идеи — пишите, мне тоже интересно :)
Извиняюсь, если отстал от современных веяний в вебе, но разве не для этого придумали прогрессивный JPEG?
А тесты на картинке просто неправильно сделаны. Если бы взяли тесты на IOPS-ы, сразу бы стало видно, кто есть кто. У меня есть диски, которые подключены по USB 2.0, и там тоже не поддерживается очередь команд. Стоит хотя бы к двум файлам одновременно обратиться, и начинаются дикие тормоза :(
Хорошая статья на эту тему: http://www.stefankrause.net/wp/?p=14
Одна опция запуска — и Java начинает спокойно отдавать память системе.
Вот и выросло поколение...