Набросил табличку, вдруг кто-нибудь некрофетишист и копается в комментариях к старым постам - если есть информация, которой можно эту табличку заполнить - маякните :D
В целом он звучит как руководитель, неспособный внятно сформировать процесс. Вместо того, чтобы решить проблему, зафиксировав правило в духе - "первая неделя окна слияния - приём реквестов, вторая неделя - их допиливание; не успел на первую неделю - ждёшь следующего окна", он переходит на эмоции и несёт чушь про неуважение.
Inb4: зависимости и приоритеты доработок, да и взятые по ним обязательства - тоже забота руководителя, а не исполнителя.
Вот мы и пришли к кибербюрократии - функция, которая должна обеспечивать гарантированную скорость для приложения, приводит к тому что эта скорость гарантировано не обеспечивается некоторое время. Иронично!
Чуваки, вы, конечно очень интересно спорите, но нифига не понятно. Бахните сравнительную табличку с диапазонами цен, сроками службы итд на компоненты ДВС и их альтернативы в электродвигателях, чтобы можно было CAPEX/OPEX сравнивать внятно :)
Вот это меня, кстати, как раз таки и беспокоит. Я бы согласился принять хоть самоподписной (хотя я уверен, у сбера явно есть какая-никакая инфраструктура с внутренним центром сертификации, которую могли бы довести до ума, да технически оно останется self-signed, но всё лучше чем просто на компе у Васи-мидла в СБ openssl пару раз запустить) wildcard сертификат, ограниченный доменами Сбера, а вот прям корневой добавлять ссыкотно. Осталось понять, почему я доверяю установленным у меня сейчас бандлам с корневыми сертификатами.
При динамической длине недатированных многострочных хвостов логов игры с угадыванием размера контекста и кусками ненужных контекстов довольно болезненными становятся.
Любопытная ситуация. Теоретически, через музыку происходит некоторый культурный обмен. С потерей легального способа слушать долю зарубежной музыки - что произойдёт дальше? Кто-то же должен занять освободившееся место в ушах меняющихся поколений. Допустим, часть тех, кто уже подсел на что-то, уйдут в пиратство, кто-то перейдёт на самиздат и другие лэйблы. Но появляются ведь и новые люди. Я подозреваю что суммарный объём культурного обмена среди молодого поколения за счёт этого сократится. У кого-то зарубежная музыка - стимул выучить иностранный язык. В итоге Россия чуть сильнее окуклится и небольшой рычаг влияния на мозги извне не потеряется, но укоротится. На мой взгляд - иметь такой рычажок выгоднее, чем не платить налоги с прибыли, заработанной в России, за счёт сведения этой прибыли в ноль.
Не пробовали с некоторыми часто парсимыми сайтами со своей стороны договариваться о предоставлении структурированных данных (условно - платное API, например)? Им нагрузка меньше, вам быстрее это всё получится обработать, может со своей стороны сэкономленное время как-то им компенсировать.
А в софте где пароли запрещены багов не бывает, SIEM с SSL-стеком ресурсы не едят, выполняются на бесплатных ядрах которые Иисус чудом превратил из Cortex A53 в Xeon'ы, как воду в вино?:)
По идее проблему IP спуфинга можно сгладить (не решить) несколькими очередями (отдельные ipset и правила -m set --match-set prev_queue -j SET --add-set next_queue) и отправлять в бан после 2-5 левых пакетов. При IP спуфинге, к слову, злоумышленник вряд ли получит ответ при сканировании. Но это отдельный вектор/цель атаки.
Увы, полно, недавно с этим сталкивался и это было больно. Расследовать, будучи представителем вендора, общающимся с админами провайдера, при том что бяку пропускает их вышестоящий было тяжело :)
Замени -j LOG на -j SET --add-set blacklist и можно выкинуть сислог из схемы. А синхронизацию сделать на выхлопе ipset save blacklist. Сходу подводный камень можешь обойти – жми aggregate'ом до подсетей и префиксов, но так потребуется логика периодической перезаливки. И выстави hash:net. По maxelem и hashsize субъективный совет – лучше 1:1, в край 1:4. Коллизии в 30 штук при равномерном распределении и полном заполнении дешевле памятью закидать чем cpu, но 1 млн. счётчиков – это полужопка. 100-300к префиксов приемлемо будет, особенно вместе с аггрегейтом.
Набросил табличку, вдруг кто-нибудь некрофетишист и копается в комментариях к старым постам - если есть информация, которой можно эту табличку заполнить - маякните :D
В целом он звучит как руководитель, неспособный внятно сформировать процесс.
Вместо того, чтобы решить проблему, зафиксировав правило в духе - "первая неделя окна слияния - приём реквестов, вторая неделя - их допиливание; не успел на первую неделю - ждёшь следующего окна", он переходит на эмоции и несёт чушь про неуважение.
Inb4: зависимости и приоритеты доработок, да и взятые по ним обязательства - тоже забота руководителя, а не исполнителя.
На северах можно обогреваться.
Вот мы и пришли к кибербюрократии - функция, которая должна обеспечивать гарантированную скорость для приложения, приводит к тому что эта скорость гарантировано не обеспечивается некоторое время. Иронично!
Чуваки, вы, конечно очень интересно спорите, но нифига не понятно.
Бахните сравнительную табличку с диапазонами цен, сроками службы итд на компоненты ДВС и их альтернативы в электродвигателях, чтобы можно было CAPEX/OPEX сравнивать внятно :)
Я недавно об этом рассуждал у себя в блоге:
https://strizhechenko.github.io/2022/03/29/consensus.html
Пришёл к тому же, к чему давно пришли все крупные компании с собраниями на 30+ солидных дядек.
Вот это меня, кстати, как раз таки и беспокоит. Я бы согласился принять хоть самоподписной (хотя я уверен, у сбера явно есть какая-никакая инфраструктура с внутренним центром сертификации, которую могли бы довести до ума, да технически оно останется self-signed, но всё лучше чем просто на компе у Васи-мидла в СБ openssl пару раз запустить) wildcard сертификат, ограниченный доменами Сбера, а вот прям корневой добавлять ссыкотно. Осталось понять, почему я доверяю установленным у меня сейчас бандлам с корневыми сертификатами.
При динамической длине недатированных многострочных хвостов логов игры с угадыванием размера контекста и кусками ненужных контекстов довольно болезненными становятся.
Там ещё и встроенный grep (
journalctl -S) есть, чтобы по пайпу зазря гигабайты логов не гонять.Когда их тысячи – эти 10мб лежат в слое базового образа N (число нод) раз.
Джейсоны в чистом баше парсить дело такое себе. Jq есть, да.
Любопытная ситуация. Теоретически, через музыку происходит некоторый культурный обмен. С потерей легального способа слушать долю зарубежной музыки - что произойдёт дальше? Кто-то же должен занять освободившееся место в ушах меняющихся поколений. Допустим, часть тех, кто уже подсел на что-то, уйдут в пиратство, кто-то перейдёт на самиздат и другие лэйблы. Но появляются ведь и новые люди. Я подозреваю что суммарный объём культурного обмена среди молодого поколения за счёт этого сократится. У кого-то зарубежная музыка - стимул выучить иностранный язык. В итоге Россия чуть сильнее окуклится и небольшой рычаг влияния на мозги извне не потеряется, но укоротится. На мой взгляд - иметь такой рычажок выгоднее, чем не платить налоги с прибыли, заработанной в России, за счёт сведения этой прибыли в ноль.
Ну, частная компания, делает что хочет :)
Не пробовали с некоторыми часто парсимыми сайтами со своей стороны договариваться о предоставлении структурированных данных (условно - платное API, например)? Им нагрузка меньше, вам быстрее это всё получится обработать, может со своей стороны сэкономленное время как-то им компенсировать.
А в софте где пароли запрещены багов не бывает, SIEM с SSL-стеком ресурсы не едят, выполняются на бесплатных ядрах которые Иисус чудом превратил из Cortex A53 в Xeon'ы, как воду в вино?:)
Тут ведь прикол ещё что 80/443/22 проверят скорее всего первыми.
По идее проблему IP спуфинга можно сгладить (не решить) несколькими очередями (отдельные ipset и правила -m set --match-set prev_queue -j SET --add-set next_queue) и отправлять в бан после 2-5 левых пакетов. При IP спуфинге, к слову, злоумышленник вряд ли получит ответ при сканировании. Но это отдельный вектор/цель атаки.
Увы, полно, недавно с этим сталкивался и это было больно. Расследовать, будучи представителем вендора, общающимся с админами провайдера, при том что бяку пропускает их вышестоящий было тяжело :)
Замени -j LOG на -j SET --add-set blacklist и можно выкинуть сислог из схемы. А синхронизацию сделать на выхлопе ipset save blacklist. Сходу подводный камень можешь обойти – жми aggregate'ом до подсетей и префиксов, но так потребуется логика периодической перезаливки. И выстави hash:net. По maxelem и hashsize субъективный совет – лучше 1:1, в край 1:4. Коллизии в 30 штук при равномерном распределении и полном заполнении дешевле памятью закидать чем cpu, но 1 млн. счётчиков – это полужопка. 100-300к префиксов приемлемо будет, особенно вместе с аггрегейтом.
Привет с лорша, кстати :)
Мне кажется всё намного проще: люди хотят через переменные окружения прокинуть массив в вызываемую программу.
В статье вроде говорилось что обязанности как раз исполняются (на уровне чтобы не уволили) :)