Откуда такое недоверие к отечественным решениям и отечественной криптографии? Лучший стандарт отрасли - это вариации Диффи-Хелмана с вычислениями на эллиптических кривых. ГОСТ 34.10 - это, внезапно, стандарт алгоритма подписи на эллиптических кривых, т.е. буквально тоже самое.
В одной из следующих статей мы расскажем, что за зверь ГОСТ 34.10, чем он отличается от RSA и как с его помощью вырабатывать ключи для симметричного шифрования. Спойлер: "Неэкспортируемые" ключи на Рутокен ЭЦП действительно неэкспортируемые.
Запустить виртуальную машину в kvm или дать команду ядру на создание неймспейса - это и есть "высокоуровневое конфигурировпние".
Лопатить тысячи запросов в секунду с преобразованием их в запросы к бд и отдавать их за адекватное время - тут уже есть инструменты получше питона.
Одна сессия общения по ldap - это около 10 последовательных ldap-запрсов. И критически важно, выполняется один запрос за 10 мс или за 100. Потому, что в одном случае это 100 мс на ответ (считай мгновенно), а в другом 1 с (это уже ощутимые задержки).
Я не говорю уже про фоновые задания в БД. Обеспечение связности ldap-записей, например, по атрибуту member, здесь python прямо сильно хуже себя показывает по сравнению с плагинами непосредственно к БД.
Коллеги, всеми руками за ваше начинание и желаю вам только успехов. А теперь немного критики:
1) Можете спросить у коллег из Avanpost, они тоже начинали с бэкенда в виде postgres и перешли в итоге к специализированной БД. Postgres не подходит для задач ldap. Он не способен выполнять чтение и поиск данных с необходимой производительностью, сколько в него не влей ресурсов. Реляционные БД здесь не подходят.
2) Репликация и устойчивость к разделению - это главное требование к домену. Это не кластер. С точки зрения пользователя он не должен получить отказ в обслуживании, если интернет пропал. Поэтому БД должна быть под боком, в той же сети.
3) Python - это хорошо, когда это верхнеуровневое конфигурирование. Когда вы пытаетесь делать низкоуровневые операции на python - вы неизбежно наткнетесь на ограничения производительности. Одна и та же операция на go и на python отличается по времени на порядок.
Кстати, freeipa здесь хороший пример. Она тоже написана на python, но при этом низкоуровневые ldap-операции и работа с БД - это 389ds и c.
4) Структура данных, совместимая с MS AD - это главная ошибка тех, кто начинает писать свой каталог. Тут главный вопрос в том, а для чего вы пишите каталог?
Если для Linux, то почему берете структуру данных, не учитывающую posix и особенности Linux?
Если для Windows, то зачем вы ее пишите, если там есть MS AD?
Коллеги из Avanpost пошли тем же путем, а теперь у них всплывают последствия подобных решений. Например, их структура данных не учитывает модель доступа UGO (стандартную для posix). Все пользователи домена у них не имеют приватных групп, но имеют primary group (Domain Users) по аналогии с MS AD. Таким образом, после логина на рабочие станции все пользователи становятся членами одной приватный группы Domain Users и получают доступ ко всем конфиденциальным данным друг-друга
Правильно написали, географически распределенность и устойчивость к разделению. Условно, если у вас разоралась связь между филиалами, то контроллер в Новоосибе не сможет обслуживать пользователей, если его БД в Москве.
Да и гонять запросы между кд в Новосибе и бд в Москве через узкий канал между филиалами - такая себе идея, это очень большие потери пакетов = ошибки в бд и низкая производительность. Хотя у postgresql, в принципе, низкая производительность в задачах ldap (низкая частота записи, высокая чтения, и поиска)
Если вы про самовыпил salt-master, то нет, его нет и не будет. Схема со standalone миньонами показала себя во всех аспектах более надёжной и масштабируемой, поэтому останется она.
Если нужен функционал прямо связки мастер-миньон, то он вынесен в отдельный продукт "АСМ".
Это вы немного не понимаете ситуации. Да, серверов GGC стало меньше в РФ (примерно в 2 раза). Да, это вызывает некоторое замедление из-за более частых обращений к холодным серверам YouTube. Но это очень незначительное замедление. Но зато это значительный внешний трафик через западных магистралов, за что надо платить провайдерам денежку.
Поэтому да, любой обход DPI вернет практически всю старую скорость YouTube, но при этом сделает наших провайдеров чуточку беднее.
Вы сейчас путаете 2 механизма. HBAC относится к sssd и pam-стеку и определяет, может ли тот или иной пользователь выполнить логин на тот или иной клиент домена (т.е. хост, вход на который обслуживает sssd). RBAC определяет тоже самое, только через механизм ролей. RBAC - это надстройка над HBAC. Это не подмена понятий, а реализация одной и той же задачи разными подходами. В курсе говорится именно о классическом HBAC
Есть гораздо более простой путь. Например, водородные топливные ячейки. Технология, разработанная ещё для Апполонов в рамках лунного проекта. Для их производства нужна только вода и дешёвая энергия. Сейчас добычу водорода планируют на базе АЭС, но вполне можно использовать и такой тип генерации энергии, если он хотя-бы вполовину так хорош, как описано в статье. Зачем в транспорте что-то сжигать, вроде углеводородов или спирта? Есть вполне современные способы приведения чего-то в движение и без процесса горения.
Можно, просто для ненулевой классификационной метки действуют ограничения, в частности, на fuse. Подключать шары может только администратор, например, через /etc/fstub, pam_mount или autofs. Понятно, что писать на виндовые шары будет нельзя, у них всегда нулевая классификационная метка.
Вот только не надо тут. Союзы 2024 года совершенно не тоже самое, что Союзы 70-х. Это одноразовый корабль. С каждой новой итерацией его модернизируют, ставят актуальную начинку и электронику. Наглядный пример - Союз МС-20 долетает до МКС за пару часов, когда тому же Дракону нужно 2 суток. По факту , Союз - это КК под формфактор ракетоносителя Союз. Пока мы используем РН Союзы, нет никакого смысла менять КК. А Союз сам по себе очень удачный РН среднего класса, давно отработанный, надёжный как швейцарские часы, а потому очень дешёвый. Себестоимость запуска 60 млн. $, что даже Илону Маску с его возвращаемыми ступенями и не снилось.
Что касается Орла, это КК под формфактор Ангары 5. Это сверхтяжелый РН и под другие задачи. Орел, вообще, проектировался под полет на Луну.
Короче, начало использования Ангары и Орла не отменяет Союзы, их ниша ещё долго будет востребована.
Это не так. pdp-init-fs отрабатывает достаточно быстро.
Что касается бэкапирования, то ничего не затирается, метки не хранятся в parsecfs. Тут важно помнить о том, что метки безопасности файлов хранятся в расширенных атрибутах. Что-бы сохранить метки в бэкапе вы должны просто выполнять копирование с поддержкой расширенных атрибутов на файловые системы с поддержкой расширенных атрибутов. Или архивировать в форматы с поддержкой расширенных атрибутов (например, tar). Я не знаю, как у вас организовано бэкапирование. Для восстановления данных с метками нужно включить режим unsafe_xattr.
Короче, нормально с этим всем можно работать, и, в данном случае, нытье о том, какой отечественный линукс хреновый, только говорит о ваших кривых руках
Минимум 3 созвона в день. Каждый день дейли минимум на час (по 1 на отдел, к которому имею отношение). Сделал что-то прикольное, решил сложную задачу? Будь добр, продемонстрируй и доложись (в формате созвона), напиши статью и доку. Потратил 3 месяца на исследование технологии? Следующие 3 месяца ты будешь читать лекции аналитикам, архитектором и кодерам (В формате созвона). Собственно, а работать когда? Сложно работать, когда 4-6 часов в день - это созвоны (и это даже не у менеджера)
А какое отношение это поделие Oracle имеет к KVM? VirtualBox не использует kvm и qemu, а использует собственные проприетарные модули ядра, что, и это абсолютно логично, работает медленнее и с большим количеством багов.
Другой вопрос, что наличие kvm не позволит вам эмулировать на arm x86 архитектуру, это задача эмулятора, т.е. qemu. А, в общем, никаких проблем с запуском виртуальных машин с arm архитектурой на arm нет.
Очень хорошо описано в readme в репозитории bol-van/zapret на github. О том, что такое dpi, на чем основаны методы обмана, какие есть стратегии и прочее.
Откуда такое недоверие к отечественным решениям и отечественной криптографии? Лучший стандарт отрасли - это вариации Диффи-Хелмана с вычислениями на эллиптических кривых. ГОСТ 34.10 - это, внезапно, стандарт алгоритма подписи на эллиптических кривых, т.е. буквально тоже самое.
В одной из следующих статей мы расскажем, что за зверь ГОСТ 34.10, чем он отличается от RSA и как с его помощью вырабатывать ключи для симметричного шифрования.
Спойлер: "Неэкспортируемые" ключи на Рутокен ЭЦП действительно неэкспортируемые.
.lan зарезервирован для локальных сетей. Его точно нельзя зарегистрировать, это нарушает правила и соглашения.
Аналогично, нельзя зарегистрировать .local, он зарезервирован под протокол mDNS
Забыли упомянуть, что это про часы от Huawei. Причем, про очень ограниченную линейку. Например, мои GT 2 не подходят, хоть и имеют nfc на борту.
Подгонка результата под ответ вышла на новый уровень?)
А если без шуток, поздравляю.
Запустить виртуальную машину в kvm или дать команду ядру на создание неймспейса - это и есть "высокоуровневое конфигурировпние".
Лопатить тысячи запросов в секунду с преобразованием их в запросы к бд и отдавать их за адекватное время - тут уже есть инструменты получше питона.
Одна сессия общения по ldap - это около 10 последовательных ldap-запрсов. И критически важно, выполняется один запрос за 10 мс или за 100. Потому, что в одном случае это 100 мс на ответ (считай мгновенно), а в другом 1 с (это уже ощутимые задержки).
Я не говорю уже про фоновые задания в БД. Обеспечение связности ldap-записей, например, по атрибуту member, здесь python прямо сильно хуже себя показывает по сравнению с плагинами непосредственно к БД.
Коллеги, всеми руками за ваше начинание и желаю вам только успехов. А теперь немного критики:
1) Можете спросить у коллег из Avanpost, они тоже начинали с бэкенда в виде postgres и перешли в итоге к специализированной БД. Postgres не подходит для задач ldap. Он не способен выполнять чтение и поиск данных с необходимой производительностью, сколько в него не влей ресурсов. Реляционные БД здесь не подходят.
2) Репликация и устойчивость к разделению - это главное требование к домену. Это не кластер. С точки зрения пользователя он не должен получить отказ в обслуживании, если интернет пропал. Поэтому БД должна быть под боком, в той же сети.
3) Python - это хорошо, когда это верхнеуровневое конфигурирование. Когда вы пытаетесь делать низкоуровневые операции на python - вы неизбежно наткнетесь на ограничения производительности. Одна и та же операция на go и на python отличается по времени на порядок.
Кстати, freeipa здесь хороший пример. Она тоже написана на python, но при этом низкоуровневые ldap-операции и работа с БД - это 389ds и c.
4) Структура данных, совместимая с MS AD - это главная ошибка тех, кто начинает писать свой каталог. Тут главный вопрос в том, а для чего вы пишите каталог?
Если для Linux, то почему берете структуру данных, не учитывающую posix и особенности Linux?
Если для Windows, то зачем вы ее пишите, если там есть MS AD?
Коллеги из Avanpost пошли тем же путем, а теперь у них всплывают последствия подобных решений. Например, их структура данных не учитывает модель доступа UGO (стандартную для posix). Все пользователи домена у них не имеют приватных групп, но имеют primary group (Domain Users) по аналогии с MS AD. Таким образом, после логина на рабочие станции все пользователи становятся членами одной приватный группы Domain Users и получают доступ ко всем конфиденциальным данным друг-друга
Правильно написали, географически распределенность и устойчивость к разделению. Условно, если у вас разоралась связь между филиалами, то контроллер в Новоосибе не сможет обслуживать пользователей, если его БД в Москве.
Да и гонять запросы между кд в Новосибе и бд в Москве через узкий канал между филиалами - такая себе идея, это очень большие потери пакетов = ошибки в бд и низкая производительность. Хотя у postgresql, в принципе, низкая производительность в задачах ldap (низкая частота записи, высокая чтения, и поиска)
Он никуда и не уходил.
Если вы про самовыпил salt-master, то нет, его нет и не будет. Схема со standalone миньонами показала себя во всех аспектах более надёжной и масштабируемой, поэтому останется она.
Если нужен функционал прямо связки мастер-миньон, то он вынесен в отдельный продукт "АСМ".
А в чем "некорректность" работы Kerberos?
Это вы немного не понимаете ситуации. Да, серверов GGC стало меньше в РФ (примерно в 2 раза). Да, это вызывает некоторое замедление из-за более частых обращений к холодным серверам YouTube. Но это очень незначительное замедление. Но зато это значительный внешний трафик через западных магистралов, за что надо платить провайдерам денежку.
Поэтому да, любой обход DPI вернет практически всю старую скорость YouTube, но при этом сделает наших провайдеров чуточку беднее.
Вы сейчас путаете 2 механизма. HBAC относится к sssd и pam-стеку и определяет, может ли тот или иной пользователь выполнить логин на тот или иной клиент домена (т.е. хост, вход на который обслуживает sssd). RBAC определяет тоже самое, только через механизм ролей. RBAC - это надстройка над HBAC. Это не подмена понятий, а реализация одной и той же задачи разными подходами. В курсе говорится именно о классическом HBAC
Есть гораздо более простой путь. Например, водородные топливные ячейки. Технология, разработанная ещё для Апполонов в рамках лунного проекта. Для их производства нужна только вода и дешёвая энергия. Сейчас добычу водорода планируют на базе АЭС, но вполне можно использовать и такой тип генерации энергии, если он хотя-бы вполовину так хорош, как описано в статье. Зачем в транспорте что-то сжигать, вроде углеводородов или спирта? Есть вполне современные способы приведения чего-то в движение и без процесса горения.
А 15 лет назад, после списания последнего шаттла у них не было ни одного КК. Очень относительная характеристика.
Можно, просто для ненулевой классификационной метки действуют ограничения, в частности, на fuse. Подключать шары может только администратор, например, через /etc/fstub, pam_mount или autofs. Понятно, что писать на виндовые шары будет нельзя, у них всегда нулевая классификационная метка.
Вот только не надо тут. Союзы 2024 года совершенно не тоже самое, что Союзы 70-х. Это одноразовый корабль. С каждой новой итерацией его модернизируют, ставят актуальную начинку и электронику. Наглядный пример - Союз МС-20 долетает до МКС за пару часов, когда тому же Дракону нужно 2 суток. По факту , Союз - это КК под формфактор ракетоносителя Союз. Пока мы используем РН Союзы, нет никакого смысла менять КК. А Союз сам по себе очень удачный РН среднего класса, давно отработанный, надёжный как швейцарские часы, а потому очень дешёвый. Себестоимость запуска 60 млн. $, что даже Илону Маску с его возвращаемыми ступенями и не снилось.
Что касается Орла, это КК под формфактор Ангары 5. Это сверхтяжелый РН и под другие задачи. Орел, вообще, проектировался под полет на Луну.
Короче, начало использования Ангары и Орла не отменяет Союзы, их ниша ещё долго будет востребована.
Это не так. pdp-init-fs отрабатывает достаточно быстро.
Что касается бэкапирования, то ничего не затирается, метки не хранятся в parsecfs. Тут важно помнить о том, что метки безопасности файлов хранятся в расширенных атрибутах. Что-бы сохранить метки в бэкапе вы должны просто выполнять копирование с поддержкой расширенных атрибутов на файловые системы с поддержкой расширенных атрибутов. Или архивировать в форматы с поддержкой расширенных атрибутов (например, tar). Я не знаю, как у вас организовано бэкапирование. Для восстановления данных с метками нужно включить режим unsafe_xattr.
Короче, нормально с этим всем можно работать, и, в данном случае, нытье о том, какой отечественный линукс хреновый, только говорит о ваших кривых руках
Минимум 3 созвона в день. Каждый день дейли минимум на час (по 1 на отдел, к которому имею отношение). Сделал что-то прикольное, решил сложную задачу? Будь добр, продемонстрируй и доложись (в формате созвона), напиши статью и доку. Потратил 3 месяца на исследование технологии? Следующие 3 месяца ты будешь читать лекции аналитикам, архитектором и кодерам (В формате созвона). Собственно, а работать когда? Сложно работать, когда 4-6 часов в день - это созвоны (и это даже не у менеджера)
А какое отношение это поделие Oracle имеет к KVM? VirtualBox не использует kvm и qemu, а использует собственные проприетарные модули ядра, что, и это абсолютно логично, работает медленнее и с большим количеством багов.
Другой вопрос, что наличие kvm не позволит вам эмулировать на arm x86 архитектуру, это задача эмулятора, т.е. qemu. А, в общем, никаких проблем с запуском виртуальных машин с arm архитектурой на arm нет.
Очень хорошо описано в readme в репозитории bol-van/zapret на github. О том, что такое dpi, на чем основаны методы обмана, какие есть стратегии и прочее.