Обновить
4
Александр Бороухин@aborouhin

Пользователь

18
Подписчики
Отправить сообщение

Закатываете глаза (а также загибаете пальцы и изображаете из себя обиженку) здесь только Вы :) Когда к безмерно раздутому ЧСВ добавляется ещё и базарное хамство, это, конечно, комбо.

А точно сто́ит ещё и Докер тащить туда, где и так RAM в обрез? ;)

Ситуации, конечно, разные бывают, но обычно несколько гигабайт на диске не так критичны, да и в большинстве устройств диск, слава Богу, можно легко поменять / поставить второй, в отличие от оперативки, практика впаивания которой, к сожалению, гораздо более распространена :( Ну и в целом, тут я с Клодом согласен. Это разные проблемы и решаются разными средствами, иногда в ущерб друг другу. Тот самый кафтан, угу.

У меня в мастерской стоит древний ноут (Сонька Z13, ~2010 год, по-моему, для своего времени был топ за нереальный ценник) с 6G оперативки и 256 G на диске, zram взял на заметку для него, swapspace точно не надо. Так вот, возвращаясь к критике исходной статьи, из неё, к сожалению, это было совершенно неочевидно. Связка двух очень разных инструментов продавалась как универсальное магическое решение.

Тем более, что давно есть Double Commander, который реализует 90% фич TC кроссплатформенно. Вот уж на что я фанат ТС многие годы (года с 1998 использую, лицензию купил в 2008 году, ключик на CD-диске из Швейцарии почтой прислали), но и то переполз на DC.


Клод порекомендовал zram в первом же ответе по однострочному промпту:

"zram — the single biggest win Configure compressed RAM swap. It effectively gives you ~3-4 GB usable memory by compressing cold pages instead of writing them to disk. Install zram-generator (Fedora/Debian/Arch) or zram-tools (Ubuntu/Debian) and set zram size to ~50-100% of RAM with zstd compression. This alone transforms the experience on low-RAM systems and is much faster than disk swap. Keep a small disk swap file too (1-2 GB) as a fallback for true memory pressure."

А в чем преимущество swapspace перед обычным свопом - я и из исходной статьи не понял, так как там были одни пустые словословия в адрес этой магической технологии. А тот же самый Клод, будучи прямо спрошенным про swapspace, его как раз не рекомендует, - и его аргументы выглядят весьма убедительно:

"Honest assessment: I wouldn't recommend it for your use case, and there's a notable detail — even swapspace's own documentation states it "is probably not a good choice for systems that need to remain responsive at all times", because creating a large new swapfile can take as long as half a minute and occupy quite a lot of the system's attention. That's precisely the situation you'll face on a 2GB laptop — the moment swap pressure spikes is the worst possible moment to also have a daemon allocating new files on disk.
It solves a different problem than you have. Swapspace was designed for the "I don't want to commit disk space to a swap partition I might never need" scenario — it dynamically grows and shrinks swap file allocation on disk. It does not make swap faster or memory pressure less painful. On a low-RAM machine, your bottleneck is memory pressure, not disk-space efficiency. "

Проблема ведь не в том, что текст был написан нейросетью (хотя пафосный стиль откровенно раздражал). В конце концов, не всех Господь одарил талантами в эпистолярной сфере, и прекрасно, что нейросети помогают выровнять возможности.

Проблема в том, что этот текст не давал ровным счётом ничего сверх того, что могла бы порекомендовать в этой ситуации та же самая нейросеть. Никаких набитых собственным опытом шишек, практических лайфхаков, сравнения альтернативных решений в реальных условиях и так далее. А коли так - в чём резон тратить время на прочтение многословного нейрослопа? С нейросетью я и сам пообщаюсь, причём применительно к моей конкретной ситуации.

У Вас либо очень специфическая сфера деятельности (оборонка? другие стратегические отрасли?), либо очень своеобразное представление об окружающей действительности.

Если бы все товарищи майоры во всех странах занимались исключительно выполнением своих прямых обязанностей - большинству законопослушных граждан не приходилось бы ни о чём беспокоиться. Увы, в реальном мире Ваш оппонент / конкурент / прочий недоброжелатель пойдёт с щедрым подношением именно к товарищу майору (или к посреднику, имеющему связи с оным). В лайтовом варианте - чтобы получить о Вас информацию (ведь товарищ майор нашей безопасности ради оснащён СОРМом и широкими полномочиями в рамках ОРД), в тяжёлом - чтобы посадить Вас за решётку и забрать / похоронить Ваш бизнес. И пойдёт он именно к своему родному местному, а не к китайскому или американскому.

Странно, за хранение ваших данных в США и контракты с Министерством войны вы почему-то переживаете, в за хранение ваших данных в Китае и мудрое, но негласное руководство со стороны Компартии оного - нет :) Хотя, если уж эти вопросы для вас настолько чувствительны, - то шансы, что наш отечественный товарищ майор договорится со своим китайским коллегой, в текущих политических реалиях гораздо выше, чем то, что он чего-то добьётся от заокеанских служб.

Как-то странно сравнивать цену за API с ценой подписки, которая при активном использовании оказывается на порядок дешевле. Альтернативные предложения по подпискам тоже есть, и не только Codex, но и Z.ai, например - их бы и сравнивать.

Ну по поводу блокировок присоединюсь к высказанному выше мнению, что имеет смысл платить собственной физически существующей картой, а не через посредников. Что-то мне подсказывает, что Anthropic гораздо больше переживает из-за использования дешевых подписок вместо дорогого API (на чем они реально теряют деньги), чем за соответствие санкционному режиму (где достаточно соблюсти формальности).

Потому что про существование WinGet знает полтора гика, а Microsoft Store в любой свержеустановленной винде закреплен на видном месте на панели задач. Ну и ссылочку на приложение в нем можно разместить, после прохода по которой пользователю остается только кликнуть "установить". Я-то лично использую WinGet, но если распространять свой софт на более или менее широкую аудиторию, то безусловно есть смысл запихнуть его в Store. Тем более что установка старым добрым методом "скачал дистрибутив и запустил" всё чаще приводит к пугающим юзера предупреждениям безопасности "правда ли вы хотите запустить эту недоверенную программу?"

Новый инструмент ориентирован прежде всего на разработчиков и опытных пользователей

Так это не про сам Store, а про CLI к нему...

Тогда уж snmpgo - куда более правильная.

Но 132 звезды и, главное, последний коммит 9 лет назад :( Обычно выбираешь что-то хотя бы относительно популярное и точно активно поддерживаемое. А тут явно заброшенный проект, разве что форкнуть и поддерживать дальше самому - но тогда уж и правда проще своё с нуля, понимаю.

Есть gosnmp, и на других площадках (раз, два), но почему-то не тут, автор даже подробно описал отличия своей библиотеки от gosnmp. Не проще ли было сделать PR в gosnmp для решения этих нюансов - другой вопрос...

Ещё одна мысль возникла - это же дело надо как-то мониторить (и просто статистики ради, и чтобы отлавливать аномальные всплески). Для fail2ban есть экспортер, а тут что-то сходу ничего готового из коробки не нашёл. Хотя написать тривиально, если формат лога стабильный. Можно даже не полноценный экспортер, а скриптик, который пишет файл для textfile collector node-exporter'а.

У меня есть физические (собственно, только на них SSH наружу и торчит), но я не настолько заинтересовался вопросом, чтобы так заморочиться :)

аутентификация только по ключу, то всё это не актуально?

Так мы ж защищаемся не от того, что кто-то реально подберёт пароль (у тех, кто дошёл до настройки подобных механизмов, в любом случае или только по ключу, или пароль, который подбирать вечность), а от того, чтобы долбящиеся в надежде подобрать пароль боты нам сервер не нагружали. А они всё равно долбятся и пытаются авторизоваться по паролю, даже если сервер принимает только ключи.

Вот интересно, учитывает ли Хром тип соединения metered/unmetered при такой загрузке? Если не учитывает - свинство, если учитывает - пользователь ССЗБ (хотя, положа руку на сердце, многие ли из нас вручную настраивают как metered Wi-Fi соединение, раздаваемое телефоном?..)

P.S. Гугл говорит, что на Маках такого разделения сетевых соединений вообще нет... странно, на Windows есть, на Linux c NetworkManager есть.

Вообще бы с этим вопросом разобраться, если уж использовать PerSourcePenalty. Сейчас перечитал man sshd_config и, скорее всего, да, я изначально понял этот механизм неправильно.

Режим overflow включается, если количество IP (а не подключений!) превышает max-sources4 / max-sources6, которые каждый по дефолту 65536. Что-то у меня подозрения, что при атаке с такого количества адресов средний сервер действительно умрёт куда раньше, чем до этого overflow, какой бы режим ни был выбран, вообще дойдёт дело. Да и вообще, для нас простых людей гораздо реалистичнее сценарий, когда несколько сошедших с ума ботов долбятся с одних и тех же IP каждые N миллисекунд, чем когда идёт DDoS с тысяч IP, да ещё и именно на SSH. Первое у себя видел, от второго Бог пока миловал :)

А вот есть ли механизм защиты от перегрузки процесса при большом количестве одновременных соединений (а не IP)? Я такого не нашёл. Получается, что если sshd-session захлебнётся, мы теряем пациента. А захлебнётся он, IMHO, всё-таки быстрее, чем nftables, работающий в kernel space. Так что ещё один плюсик в карму fail2ban (помимо того, что он нам, конечно, и для других jail'ов всё равно нужен)

Есть (overflow:permissive)

Скорее уж overflow:deny-all плюс фиксированный IP для аварийного доступа в PerSourcePenaltyExemptList

А permissive, если я правильно понял, при достаточно мощной атаке как раз позволит пробить PerSourcePenalty и загрузить уже основной процесс sshd, так что и администратор не пробьётся.

Не, он даже пособником не пойдёт, если не доказать, что умысел Васяна ему был известен заранее. Но может свою отдельную статью за халатность получить.

Впрочем, кого бы это когда останавливало... думать все обычно начинают только когда за ними приходят.

Круто! А есть в этой нише что-нибудь опенсорсное для малого бизнеса? У которого не завод размером с город, а так по мелочи - тут ВРУ, тут распределительный щит, тут котельная для склада, тут вода разведена со всякими фильтрами и насосами... Ничего сверхсложного, но было бы удобно, чтобы любого приходящего мастера можно было ткнуть носом в планшет, где по каждой железке написано, для чего она, с чем соединена и приложена инструкция, - а не торчать весь день вместе с ним, поскольку то тут, то там нужны пояснения. Но бюджет на такие излишества, как обычно у малого бизнеса, нулевой :(

1
23 ...

Информация

В рейтинге
Не участвует
Дата рождения
Зарегистрирован
Активность