>Сообщите, очень интересно, что же будет. Если бы меня интересовали такие вопросы - я бы пошел на более тематические форумы с более адекватными специалистами. Так что в сад, увы :)
>Теперь выпишите Ваше убеждение сообщением выше по треду и сравните его с
>процитированным.
Что за бред? А, кажется я понимаю (telepathy mode active). Правильно ли я вас понял, уважаемый сэр, что вы считаете "как бы нормальным" когда нечто типа форка процесса и/или прочие сравнительно тяжелые действия (скажем, некислый юзеж криптографии) возникают в ответ на любой внешнее воздействие при том что эти воздействия заведомо идут из внешней среды в произвольных количествах? Полагаете что так писать демоны - это так и надо? Я так понимаю что фэйлы дизайна демона предлагается вытягивать сугубо администраторам на своем горбу, путем траходрома с фаерами и чем там еще, да? Это если уж называть вещи своими именами (напросились однако).
Хинт: рассказывать тестеру о качестве софта - неблагодарное занятие, тестер на то и тестер что найдет фэйл и обругает его. Какие убеждения у тестеров - сами знаете: лажа называется лажей и никак иначе. И если кто-то обладает проблемами - он обладает проблемами. И да, resource-intensive действия в ответ на любое внешнее воздействие потенциально валящееся в анлимном количестве - это проблема, да. А скиллы системного администрирования конкретных индивидуалов, их факин ЧСВ, возможности всяких там фаеров конкретных систем и прочая - вообше перпендикулярны к качеству реализации демона (как бы намек для тех кто в бронепоезде).
>Идите, почитайте Стивенса на предмет разницы между блокируемым и неблокируемым вводом-
>выводом.
Знаете, кто-то из великих ученых сказал: если вы не можете в двух словах рассказать даже кухарке чем вы занимаетесь - вы и сами не понимаете чем вы занимаетесь. А с вами говорит даже не кухарка а имеющий наглость считать себя системщиком субъект. Уж наверное подозреваюший чем отличаются эти виды I/O. Поэтому можно как бы и развить свою мыслю. А тупо сказать RTFM - удел ламерья да отморозков с ЧСВ до небес.
>А заодно посмотрите внимательнее на архитектуру Апача и сравните
>её с архитектурой sshd, прежде чем делать столь скоропалительные заявления.
У sshd и опача есть одно общее с точки зрения юзера свойство: ресурсы жрет как свинья помои под нагрузкой. Нет, я понимаю что у sshd есть одна весьма базовая проблемка: чтобы понять что за фрукт приконектился и не послать ли его - надо раскочегарить нехилую криптографию. Проблема только в том что это не тепличные условия а интернет, мля. Где вот распределенные ботнетики на много машин попадаются, например. И они хотят бесплатные шеллы, да. И как-то я не вижу удобного метода отстрела медленных брутфорсерных ботиков на фаере, при котором я бы сам при случае не сосанул бы. Единственное разумное решение которое я знаю - порткнок. Вот только знаете, sshd типа портабельный а порткнок в разных системах настраивается весьма по разному. Учтя нативное свойство демона жрать оптом ресурсы на приличную криптографию - ну наверное можно уже озаботиться прикрытием жопы демона его же собственными средствами, избавив админов от построения системы костылей и подпорок, а не спихивать проблемы демона на его юзеров. Вместо этого наворачивают какие-то свистелки в то время как столь базовая и анноящая проблема выполнения прямых обязанностей ака секурного шелла для ремотного управления - вот она. И, кстати, с большой пачкой костылей я как бы даже телнет могу поюзать, если что. Даже секурно.
>Затем, что это обращение более чем адекватно Вашему состоянию,
Ну, тогда я пожалуй даже порадуюсь тому что еще не стал старым пер^W бздуном и сохранил молодость духа. Это позитивно :-).
(цитата скипнута)
О, какой клевый оффтопик. Какое ЧСВ :). А потом бздуны еще и удивляются что их систему и их самих не любят. Да, показной "илитизм" - ничего хорошего. Хорошего специалиста видно по грамотному спичу, конкретным делам и прочая. А пальцы гнут только придурки. Скромнее надо быть (да, я знаю что мой совет следует применять и ко мне самому, если что).
>Молодой человек, ткните, пожалуйста пальцем, где написано, что в перечень задач SSH
>входит защита от DoS-атак?
А нет никаких специальных DoS атак. Кстати, если уж претендовать на гурость - это все-таки DDoS. Только вот это не есть какая-то специальная атака. Это совершенно крейсерский режим машины выставленный в интернет.
Где это написано? А нигде. Для лично меня - есть один забавный критерий "идеальной" программы: если программа взаимодействует с внешним миром, никакие воздействия из оного по штатным каналам не должны вызывать ощутимых проблем у качественно задизайненой, реализованной и протестированной программы. Если я вижу проблемы - значит есть какой-то flaw. Интернет - это мир. И никто и никогда не обещает что поступающие оттуда данные - удобные. Они какие угодно. Я могу взять и прислать мег рандома на произвольный порт, например. Знаете сколько нового можно узнать проделав такие фокусы? Это если что fuzzy testing называется. И надо сказать что заметная часть программ безжалостно сливает оный :).А могу и 100500 коннекций открыть. Поскольку протокол и программа позволяют - это не является какой-то недопустимой операцией. Хорошо написанная программа - выкрутится. Плохо написанная - обосрется и забрызгает все вокруг. Конечно, идеал недостжим, но стремиться то наверное надо? Особенно там где вопросы касаются секурити. Да, атака на ресурсы - это тоже атака.
>Кстати, почему Вы не дали конкретные названия типов атак? Вы не владеете терминологией?
Не, безусловно, можно буквоедствовать, а можно по сути. Если первое - в /dev/null, ибо это скучно. Если второе - камон, можете поругаться наздоровье. Только конструктвно и по делу. Троллоты тут и без вас хватает.
>Молодой человек, пойдите же и ознакомьтесь с архитектурой Апача, наконец! Зачем Вы
Я собссно знаком с основными моделями серверных процессов, правда, буду честен: читал маны весьма давно и если где-то в силу склероза нагнал - лучше поправьте а не растопыривайте пальцы. Какашками покидаться и какойнить изен сможет. А вот по делу сказать - всякая мелкая троллота от бсдей обычно ничего не осиливает. Кто в силу незнания, кто в силу деревянности. Хотите выглядеть как эти унылые тролли? Продолжайте в том же духе, у вас неплохо получается. Только чур потом не удивляться в духе "откуда у вас столько ненависти к *bsd*".
>несете такую чушь о pre-forked модели?
Да вроде если и прогнал то не сильно. Общий смысл этой модели я понимаю и мне он эффективным не кажется. Дурная модель. Хотя вы правы в том что мне надо бы освежить склероз и перечитать кой-какие маны заново (помню что основные модели серверов рассмотрены на паге с проблемой C10K).
>Молодой человек, Вы в курсе, на _что_, собственно уходят эти самые ресурсы?
Хотя и не проводил детального анализа (пусть авторы и проводят, они это лучше сделают), но если пальцем в небо - думаю что в основном на криптографию. Которая достаточно увесиста и гоняется на каждый пшик. И чтобы просто послать олуха - надо крипторграфию раскочегарить. На это наверное и жрется.
>Распишите. А заодно ознакомьтес с предметом поближе и узнайте, что sshd
>по мере сил их усложняет. Насколько это в его силах.
Знаете, лично я бы предпочел чтобы авторы не городили всякие недовпны и прочая (коих и без них есть) а сделали бы нормально выполнение прямых обязанностей. А то когда "секурный" демон жрет больше ресурсов чем все остальное вместе взятое просто потому что его секурную задницу видете ли выставили в интернет - это как-то странно и не очень хорошо дружит со здравым смыслом. Какая ж это секурность если атаки на ресурсы возможны? В автоматическом режиме, блин! Ну, видимо у авторов этой штуки другие goals-ы.
>Вывесите. Динамику на главной по SSL. А потом создайте нагрузку ботнетом. Результат
>сообщите.
Динамику почти всегда можно закешить до статики (хотя-бы на секунды, чего вполне хватит - перегенерять пагу раз в 5 секунд явно лучше чем 5000 раз в секунду, совсем разные ресурсы нужны а результат практически такой же). А SSL конечно проц нагрузит, но, знаете, HTTPS сервер ставится для массового обслуживания юзеров и выполняет свои прямые обязанности. И это тот случай когда он может с чистой совестью жрать отведенные для этого ресурсы. А вот sshd не ставится для массового обслуживания юзеров и ботов, прикинте?! И вообще используется раз в сто лет. Поэтому пожирн оным 30% проца - unrequested и unwanted activity.
>Вы вообще пробовали подумать на тему, для каких условий выбирается та или
>иная архитектура, дабы проводить адекватное сравнение?
См.выше. В глубине души я считаю что то что вывешивается в интернет не имеет права допускать что в сети активность будет "удобная" и не злонамеренная. Игнорировать проблемные сценарии - раздолбайство. И если "секурный" протокол и его демон сам нуждается в защите его жопы от хакеров и ботов - это, строго говоря, ЛОЛ. Интересные понятия о секурити у бздунов. Знаете, мне нахрен не впились бумажки на которых написано. Мне всего-то хочется безгеморной работы серверов.
>Молодой человек, идите прочитайте man setuid.
Это как-то поможет снизить нагрузку на CPU от левых ботов? Интересно, каким хреном? oO Не догоняю как suid связан с сильной нагрузкой на проц.
>Если бы Вы имели реальный опыт эксплуатации, Вы бы знали, что случаев
>"поставил и забыл" - на практике мало.
Может быть, я просто нагеморроился поначалу и будучи ленивым бастардом сделал все чтобы иметь минимум геморроя? Я был в этом не прав? А то черт возьми - да, как правило все просто работает. Что собссно кажется мнем большим плюсом *никсообразных систем. Как минимум некоторых :)
>И nginx тоже бывает необходимо настраивать (или ядро тюнить),
Обычно это единоразовая возня. А потом - просто работает. Да и строго говоря - чтобы настолько пришлось заморочиться - надо попасть под какую-то очень нетривиальную атаку или загреметь на слэшдот.
>не говоря уже о том, что здесь - совсем другой сервис, а интеллектуальную
>работу софт за админа не сделает.
Прикрытие задниц демонов от их косяков дизайна, не предусматривающих работу в реальном недружественном интернете а не идеальном добром мире - это не интеллектуальная работа всего лишь а разгребание граблей от одних людей другими людьми. Да, приходится и это делать: жизнь прижмет, еще и не так раскорячишься. Вот только подверженность граблям демонов не красит...
>Идите еще раз подумайте над тем, от каких атак защищает SSH.
Если кто-то берется чего-то защищать - пусть для начала себя защищать осиливает, чтоли. А то когда ПОБОЧНЫЙ демон не предназначенный для массового обслуживания вдруг начинает с помпой обслуживать брутерский ботнет хавая треть ресурсов машины на какой-то левак так что его самого в пору защищать - это очень интересное такое видение секурити. Так и запишем: бсдшникам похрен на атаки на нагрузку. Интересный подход, ага.
>>Слово производительность применительно к демону ремотного управления звучит как-то
>>похабно. Ну не имеет права такой демон жрать кучу ресурсов. По определению просто.
>Определение в студию.
Легко. Сервер ставится для обслуживания клиентов. Поэтому жрать ресурсы на оном в заметном количество имеют право только те кто для этого необходим. Sshd - побочная служебная сущность, а раз так - не имеет оно права жрать ресурсы оптом и баста. Особенно из-за просто факта вывешивания в интернет.
>А заодно вычислительные потребности криптографических алгоритмов с открытым ключом.
Ну так если тяжелые операции вызываются ремотно - значит надо предусматривать средства для кардинального усложнения масштабных автоматических дерганий таких операций.
>Вам недостаточно будет одного лишь VPN, а потребуются еще средства передачи самих файлов.
>Приведите сравнительный анализ Вашего решения (кстати, где оно? Вы не озвучили
>полный комплект) и scp/sftp.
Да хоть тот же wget+http демоны (если надо секурити то можно по секурному впн, хоть это и изврат уже слегка). Благо http и wget как правило один фиг есть. Тем более что на больших скоростях шифрование может прилично пригрузить проц или даже посадить скорость, а шифровать какойнить общедоступный файл - нафиг не надо, строго говоря. Хотя именно sftp все-таки временами бывает полезен. Но только временами и местами.
>зато разражаетесь многословными тирадами по поводу двух слов обращения к Вам.
Ну вы тоже не паинька. Поругаться горазды, при том не только по делу, к сожалению. Я совсем не против если мне вправят мозг на технических моментах. Но для обсуждения персон оппонентов в развернутом виде по-моему, этот форум не подходит.
>Лично я использую 3proxy только на одной машине, а scp/sftp -
>на семи десятках.
Поздравляю. И что это доказывает? Что файлтрансферы нужны чаще чем портфорварды и впны? И если файлтрансферы в демоне секурного шелла я еще как-то могу понять то остальная масса свистелок - перебор, имхо. Иначе так можно и браузер по ровно той же логике запихать в этого демона. Так, чтоб под рукой был.
>Именно что молоток - для гвоздей. Под каждую задачу свой инструмент.
И как в эту логику вписывается пхание в демон для секурного ШЕЛЛА стопицот прочих сущностей? Молоток получается с открывашкой, перочинным ножиком, отверткой, ножницами и прочей хренью. Которая не так уж и нужна в молотке, строго говоря.
>как именно Вы настраиваете 3proxy, чем он удобнее ssh -L/-R/-D.
Тем что умеет ACLы, шейпинг траффа, лимит траффа и еще 100500 фич, полезных в именно таком виде демонов, например. Типа редиректа из одной своей части в другую, фэйковый ресольв днс и прочая. А потому можно скажем частично пропускать через свою машину некий трафф для "не совсем доверяемых" юзерей (вплоть до условно-публичного сервиса), заранее оговорив ToS (например, убив порт 25, или оставив только HTTP, etc). При нужде это сделать еще и секурно - ну, впн-линк это не шелл доступ, его давать не так ссыкотно. Один из используемых вариантов - "секурный прокси": впн-линк где ремотный конец наглухо удавлен фаером кроме доступа на один айпи и порт - к проксе, которая выступает "гейтвеем". Тоже вид динамической конективити запрашиваемой юзером (вплоть до слушания портов через сокс5), только относительно контролируемый и вроде как более-менее безопасный (в том плане что я не вижу очевидных методов обхода этой штуки размышляя как недружественный пользователь).
