Re: OpenVZ на Debian Wheezy

[Артём Н.]

Блин, хотя ведь всякие in-memory СУБД, сквиды и прочие "процессы с состоянием".
Да, с миграцией не всё так просто...


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51cd73dd.6060...@yandex.ru

Re: OpenVZ на Debian Wheezy

[Артём Н.]

On 27.06.2013 13:07, Sciko Good wrote:
> А разве основная фишка LXC не то, что она не модифицирует ядро, а использует
> встроенный в ядро механизм cgroup, и поэтому не может быть включён в ядро по
> определению?
>  
Насколько я понимаю, LXC - это и есть cgroup с пользовательским окружением?
А насчёт cgroup, я не столь давно читал, что в ядро их продвинул Линус.

> Зато это гораздо более продвинутый патч.
Согласен.

>> А живая миграция в LXC, - это вопрос времени. 
> Зная механизм работы LXC выражаю смутные сомнения в этом.
>  
А что такого? Насколько я понимаю, каждому родительскому процессу присваивается
ID группы? И он становится PID 1 для потомков...
Что мешает запустить такие же группы на другой машине?
Естественно, если изменяемые данные будут на внешнем хранилище.

>> Кстати, причём тут AppArmor?
> 
> В LXC root имеет все права рута, в том числе писать в общие для всех /proc и
> /sys (а из-за особенностей LXC других /proc и /sys нет). Вот чтобы с этим и 
> ещё
> некоторыми неопрятными вещами бороться и задействуют AppArmor.
> 
Мда. Вот только толку от /proc, в котором всё закрыто?
Но насчёт "танцев" не соглашусь. Убунтоводы активно разрабатывают профили и уже
включают их в пакеты (уже много профилей есть). Да и в настройке и
профилировании AppArmor не столь сложен.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51cc7d64.7090...@yandex.ru

Re: OpenVZ на Debian Wheezy

[Sciko Good]

25 июня 2013 г., 21:04 пользователь "Артём Н."  написал:

> Предпочтительность объявлена тем, что LXC включен в ядро.
>

А разве основная фишка LXC не то, что она не модифицирует ядро, а
использует встроенный в ядро механизм cgroup, и поэтому не может быть
включён в ядро по определению?


> Поэтому, я написал не про своё отношение, а про факт: LXC продвигают,
> OpenVZ
> остаётся патчем с туманным будущим.
>

Зато это гораздо более продвинутый патч. Например, LXC в продакшене я бы не
рискнул использовать.


> А живая миграция в LXC, - это вопрос времени.
>

Зная механизм работы LXC выражаю смутные сомнения в этом.


> Кстати, причём тут AppArmor?
>

В LXC root имеет все права рута, в том числе писать в общие для всех /proc
и /sys (а из-за особенностей LXC других /proc и /sys нет). Вот чтобы с этим
и ещё некоторыми неопрятными вещами бороться и задействуют AppArmor.

Re: OpenVZ на Debian Wheezy

[Hleb Valoshka]

On 6/26/13, "Артём Н."  wrote:
>> Пользовался во времена lenny. Функций, скорее всего, поменьше чем у
>> openvz. Но поддержка "из коробки" тогда была отличной.
> Чего нужного не хватает, по сравнению с OpenVZ?

Сеть не виртуализированная, хотя это 50/50. Говорят, что счётчиков и
способов ограничения ресурсов разных поменьше. Особенно не скажу, т.к.
я использовал его продвинутый chroot для запуска програм "на
посмотреть".

>> Самая
>> интересная фишка -- hashify, позволяла серьёзно экономить память и
>> место на диске.
> Что за hashify?

http://linux-vserver.org/util-vserver:Vhashify

Re: OpenVZ на Debian Wheezy

[Артём Н.]

On 26.06.2013 11:55, Hleb Valoshka wrote:
> On 6/25/13, "Артём Н."  wrote:
>> Кстати, есть ещё вот такое:
>> http://www.linux-vserver.org/Welcome_to_Linux-VServer.org
>> Недавно увидел. Сам не пробовал, но любопытно, что скажет тот, кто
>> пользовался?
> 
> Пользовался во времена lenny. Функций, скорее всего, поменьше чем у
> openvz. Но поддержка "из коробки" тогда была отличной.
Чего нужного не хватает, по сравнению с OpenVZ?

> Самая
> интересная фишка -- hashify, позволяла серьёзно экономить память и
> место на диске.
> 
Что за hashify?


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51caf3b9.20...@yandex.ru

Re: OpenVZ на Debian Wheezy

[Hleb Valoshka]

On 6/25/13, "Артём Н."  wrote:
> Кстати, есть ещё вот такое:
> http://www.linux-vserver.org/Welcome_to_Linux-VServer.org
> Недавно увидел. Сам не пробовал, но любопытно, что скажет тот, кто
> пользовался?

Пользовался во времена lenny. Функций, скорее всего, поменьше чем у
openvz. Но поддержка "из коробки" тогда была отличной. Самая
интересная фишка -- hashify, позволяла серьёзно экономить память и
место на диске.

Re: OpenVZ на Debian Wheezy

[Артём Н.]

Кстати, есть ещё вот такое:
http://www.linux-vserver.org/Welcome_to_Linux-VServer.org

Недавно увидел. Сам не пробовал, но любопытно, что скажет тот, кто пользовался?


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c9cf8e.9010...@yandex.ru

Re: OpenVZ на Debian Wheezy

[Артём Н.]

On 25.06.2013 11:42, Sciko Good wrote:
> А чем LXC предпочтительнее OpenVZ? Танцы с apparmor, дисковой квотой и
> отсутствие живой миграции весьма не вдохновляют. Хотя, судя по сайту OpenVZ,
> разработчики последней тоже мигрируют на LXC. А я что-то не вижу смысла. Вот
> потому и спрашиваю.
Предпочтительность объявлена тем, что LXC включен в ядро.
И он есть в новых ядрах.
Конкретного же сравнения я не делал и с обеими технологиями знаком достаточно
поверхностно (особенно с LXC).
Поэтому, я написал не про своё отношение, а про факт: LXC продвигают, OpenVZ
остаётся патчем с туманным будущим.

А живая миграция в LXC, - это вопрос времени.
Кстати, причём тут AppArmor?


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c9cd8d.7030...@yandex.ru

Re: OpenVZ на Debian Wheezy

[Andrey Rahmatullin]

On Tue, Jun 25, 2013 at 11:42:25AM +0400, Sciko Good wrote:
> А чем LXC предпочтительнее OpenVZ? 
Он есть в мейнлайне.

-- 
WBR, wRAR


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20130625083224.ga31...@belkar.wrar.name

Re: OpenVZ на Debian Wheezy

[Alex Kuklin]

On 25.06.2013 10:42, Sciko Good wrote:




25 июня 2013 г., 8:35 пользователь "Артём Н." > написал:



OpenVZ постепенно заменяется на LXC, который
является предпочтительным.


А чем LXC предпочтительнее OpenVZ? Танцы с apparmor, дисковой квотой и 
отсутствие живой миграции весьма не вдохновляют. Хотя, судя по сайту 
OpenVZ, разработчики последней тоже мигрируют на LXC. А я что-то не 
вижу смысла. Вот потому и спрашиваю.

Разработчики OpenVZ не мигрируют на LXC.
Разработки OpenVZ лежат в основе LXC, и команда OpenVZ запихивает, по 
мере возможности, свои патчи в апстрим.


--
Alex

Re: OpenVZ на Debian Wheezy

[Max Kosmach]

25.06.2013 8:21, Petr Bondarenko пишет:
> Здравствуйте!
> 
> А подскажите, кто-нибудь из Вас уже устанавливал OpenVZ-ядра на Debian
> Wheezy?
> Вчера поглядел репозиторий OpenVZ так там какое-то невнятное ядро на
> базе 2.6.32 лежит,
> которое у меня почему-то еще и выдало конфликт при кстановке.
> 
> 
http://proxmox.org/proxmox-ve поддерживают (для себя) 2.6.32 с
актуальными патчами от openvz и rhel6.
Можно пока брать оттуда наверно.

PS. Cам пока не брал.



-- 
С уважением,
Космач Максим


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c94dd0.4090...@tcen.ru

Re: OpenVZ на Debian Wheezy

[Sciko Good]

25 июня 2013 г., 8:35 пользователь "Артём Н."  написал:

>
> OpenVZ постепенно заменяется на LXC, который
> является предпочтительным.
>

А чем LXC предпочтительнее OpenVZ? Танцы с apparmor, дисковой квотой и
отсутствие живой миграции весьма не вдохновляют. Хотя, судя по сайту
OpenVZ, разработчики последней тоже мигрируют на LXC. А я что-то не вижу
смысла. Вот потому и спрашиваю.

Re: OpenVZ на Debian Wheezy

[Alex Kuklin]

On 25.06.2013 07:21, Petr Bondarenko wrote:
А подскажите, кто-нибудь из Вас уже устанавливал OpenVZ-ядра на Debian 
Wheezy?
Вчера поглядел репозиторий OpenVZ так там какое-то невнятное ядро на 
базе 2.6.32 лежит,

которое у меня почему-то еще и выдало конфликт при кстановке.


если нужен openvz, то базовую систему надо ставить centos, увы.
у меня сервера на centos, а виртуалки - debian.

--
Alex



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c931ff.9070...@kuklin.ru

Re: OpenVZ на Debian Wheezy

[Andrey Rahmatullin]

On Tue, Jun 25, 2013 at 10:21:28AM +0600, Petr Bondarenko wrote:
> Вчера поглядел репозиторий OpenVZ так там какое-то невнятное ядро на
> базе 2.6.32 лежит,
А вам на чём надо?

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: OpenVZ на Debian Wheezy

[Артём Н.]

On 25.06.2013 08:21, Petr Bondarenko wrote:
> Здравствуйте!
> 
> А подскажите, кто-нибудь из Вас уже устанавливал OpenVZ-ядра на Debian Wheezy?
> Вчера поглядел репозиторий OpenVZ так там какое-то невнятное ядро на базе 
> 2.6.32
> лежит,
> которое у меня почему-то еще и выдало конфликт при кстановке.
> 
> 
Я хотел что-то сделать на основе OpenVZ. Не найдя в репозитории, посмотрел в
интернетах и, насколько я помню, OpenVZ постепенно заменяется на LXC, который
является предпочтительным.

А "невнятное ядро" 2.6.32 - это последнее, которое, на данный момент
поддерживается OpenVZ.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c91e10.5000...@yandex.ru

Re: openvz

[-=Devil_InSide=-]

,-[pavka, 26 September 2011 22:09]:

> Добрый день
> 
> Стоит testing, решил посмотреть openvz, а пакетов  linux-image-openvz
> нет, только утилиты для работы с openvz
> в oldsatable
> 
http://packages.debian.org/search?suite=lenny&arch=any&searchon=all&keywords=openvz
> и stable
> 
http://packages.debian.org/search?suite=squeeze&arch=any&searchon=all&keywords=openvz
> есть пакеты
> 
> Не подскажите по какой причине нет ядер openvz в testing ?
> 

опенвз еще патчей не придумало на более нежели чем 32е ядро.

-- 
__
mpd status: [playing]
Guns_N'_Roses - You_Could_Be_Mine
**
*  jabber:  devil_ins...@jabber.ru   *
*   Registered linux user #450844*
**



-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/j5qju3$i7i$1...@dough.gmane.org

Re: openvz venet и ipv6

[Denis Feklushkin]

On Sun, 25 Apr 2010 18:45:36 +0400
Mikhail A Antonov  wrote:

> Denis Feklushkin пишет:
> > У кого нибудь работает? Из коробки?
> > 
> Да. Мелкие допиливания напильником.
> 

товарищи, прошу протестировать маленький патчик к скрипту поднимания ипшников 
дебианоконтейнеров опенвз /etc/vz/dists/scripts/debian-add_ip.sh
он делает нормальной работу IPv и чуть более правильной IPv4

Нужно навалиться и проверить, особенно на старых дебианоконтейнерах, и заодно 
можно на убунтах

бага тут: http://bugzilla.openvz.org/show_bug.cgi?id=1499#c12
патчик: http://1499.bugzilla.openvz.org/attachment.cgi?id=1193

если всё ок то патч быстро решительно добавят в дебиан и может даже настанет 
полный IPv4капец


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100429021102.4ec9d...@db.h-g.com

Re: openvz venet и ipv6

[Denis Feklushkin]

On Sun, 25 Apr 2010 20:46:26 +0400
Mikhail A Antonov  wrote:

> Denis Feklushkin пишет:
> > On Sun, 25 Apr 2010 18:45:36 +0400
> > Mikhail A Antonov  wrote:
> > 
> >> Denis Feklushkin пишет:
> >>> У кого нибудь работает? Из коробки?
> >>>
> >> Да. Мелкие допиливания напильником.
> >>
> > 
> > у меня в контейнерах (debian, suse, centos) сами не поднимаются маршруты, 
> > приходится рукой их дёргать - это нормально?
> > 
> Да. Это та ситуация для "допиливания".
> 

Кроме дебиана ни один дистрибутив не заработал! пробовал suse, arch, ubuntu, 
fedora, centos, altlinux

ггг)


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100427063006.44811...@db.h-g.com

Re: OpenVZ: настройки памяти на боевом сер вере

[Artem Chuprina]

Denis Feklushkin -> debian-russian@lists.debian.org  @ Fri, 23 Apr 2010 
23:35:48 +0800:

 DF> Кто-нибудь может поделиться?

 DF> Точнее даже не самими настройками а соображениями касательно их
 DF> изменения в случае если пользователь просит увеличить объём памяти.
 DF> Скажем, 256Мб у него отображается (дефолтное значение в openvz
 DF> дебиана), а он захотел 512.  Кажется не вполне разумным просто
 DF> увеличить в 2 раза все относящиеся к настройкам памяти значения :)

 DF> Расскажите рецепт!

Не все, естественно.  privvmpages в норме.  А вообще -
http://wiki.openvz.org/UBC до просветления.

-- 
Пользователь юникса перестаёт быть пользователем юникса если после его
пользования пользованный юникс перестаёт быть юниксом. (с)


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50504...@tigger.lan.cryptocom.ru

Re: openvz venet и ipv6

[Mikhail A Antonov]

Denis Feklushkin пишет:
> On Sun, 25 Apr 2010 18:45:36 +0400
> Mikhail A Antonov  wrote:
> 
>> Denis Feklushkin пишет:
>>> У кого нибудь работает? Из коробки?
>>>
>> Да. Мелкие допиливания напильником.
>>
> 
> у меня в контейнерах (debian, suse, centos) сами не поднимаются маршруты, 
> приходится рукой их дёргать - это нормально?
> 
Да. Это та ситуация для "допиливания".

-- 
Best regards,
 Mikhail.
xmpp: ant...@stopicq.ru




signature.asc
Description: OpenPGP digital signature

Re: openvz venet и ipv6

[Denis Feklushkin]

On Sun, 25 Apr 2010 18:45:36 +0400
Mikhail A Antonov  wrote:

> Denis Feklushkin пишет:
> > У кого нибудь работает? Из коробки?
> > 
> Да. Мелкие допиливания напильником.
> 

у меня в контейнерах (debian, suse, centos) сами не поднимаются маршруты, 
приходится рукой их дёргать - это нормально?


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100425230935.40721...@db.h-g.com

Re: openvz venet и ipv6

[Mikhail A Antonov]

Denis Feklushkin пишет:
> У кого нибудь работает? Из коробки?
> 
Да. Мелкие допиливания напильником.

-- 
Best regards,
 Mikhail.
xmpp: ant...@stopicq.ru




signature.asc
Description: OpenPGP digital signature

Re: OpenVZ: Как узнать значе ние cpuunits?

[Denis Feklushkin]

On Fri, 23 Apr 2010 10:02:17 +0600
Sergey Korobitsin  wrote:

> Denis Feklushkin ☫ → To debian-russian@lists.debian.org @ Fri, Apr 23, 2010 
> 03:52 +0800
> 
> > Не заглядывая в конфиги (нужно для скрипта)
> 
> А в чём проблема скриптом заглянуть в файл? :-)
> 
> А вообще,
> 
>  vzlist -o cpuunits $VEID
> 
> ну и 
> 
>  man vzlist
> 

Ага, я прсото логику устройства команд openvz не понял.
Почему дискоквоты есть отдельной командой и есть в виде опции vzctl?
vzlist я считал командой вывода списка контейнеров

хех, спасибо, обе проблемы сейчас решу, думаю


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100423190250.0a388...@db.h-g.com

Re: OpenVZ: Как узна ть значение cpuunits?

[Sergey Korobitsin]

Denis Feklushkin ☫ → To debian-russian@lists.debian.org @ Fri, Apr 23, 2010 
03:52 +0800

> Не заглядывая в конфиги (нужно для скрипта)

А в чём проблема скриптом заглянуть в файл? :-)

А вообще,

 vzlist -o cpuunits $VEID

ну и 

 man vzlist

-- 
Bright regards, Sergey Korobitsin | http://the-brights.net/ --
  Arta Software, http://arta.kz/  | illuminating and elevating
  xmpp:underta...@jabber.arta.kz  | the naturalistic worldview

--
Re: Откуда/от кого вы узнали об этой игре?
Я случайно узнал, на работе услышал.
-- mirat @ http://www.astanaracer.kz/node/117#comment-911


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100423040217.gb14...@undertaker.arta.local

Re: OpenVZ

[Andrey Melnikoff]

Степан Голосунов  wrote:
> Andrey Melnikoff  writes:
> > PS: А что у нас с (ftp-master|incoming).debian.org - третий день лежат.

> Какой третий? Уже неделю лежит.
> http://lists.debian.org/debian-devel-announce/2010/03/msg00010.html
Ясно. Обождем (C).


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/stbc87-64m@kenga.kmv.ru

Re: OpenVZ

[Степан Голосунов]

Andrey Melnikoff  writes:
> PS: А что у нас с (ftp-master|incoming).debian.org - третий день лежат.

Какой третий? Уже неделю лежит.
http://lists.debian.org/debian-devel-announce/2010/03/msg00010.html


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/87y6h8seou@sghpc.golosunov.pp.ru

Re: OpenVZ

[Serge Petruchok]

On Wednesday 31 March 2010 17:44:43 Andrey Melnikoff wrote:

[...]

> PS: А что у нас с (ftp-master|incoming).debian.org - третий день лежат.


 ries.debian.org, the host behind ftp-master.debian.org, has hardware
 trouble, a failed memory module keeps resetting the machine at random
 intervals.

 Will send a notice when service is back to normal.


http://lists.debian.org/debian-devel/2010/03/msg00960.html 
http://lists.debian.org/debian-devel/2010/03/msg00912.html


-- 
With best regards,
Serge


signature.asc
Description: This is a digitally signed message part.

Re: OpenVZ

[Andrey Melnikoff]

un...@debian.org wrote:
> [-- text/plain, encoding quoted-printable, charset: utf-8, 37 lines --]

> >> [-- text/plain, encoding quoted-printable, charset: utf-8, 15 lines --]

> >> загрузили сегодня сабжевое ядро 2.6.32, оно пока в NEW, если кому
> >> интересно.

> >> http://ftp-master.debian.org/new/linux-2.6_2.6.32-10.html
> AM> Собрал, поставил - вроде работает. Из-за .32 ядра машина стала работать
> AM> повеселее.

> его уже заапрувили, так что можно даже не собирать, а просто ставить
> из репозитария :)
Ага. с багом. Трапается переодически (то, которое 2.6.32-10 оно-же
linux-image-2.6.32-4-openvz-686).

PS: А что у нас с (ftp-master|incoming).debian.org - третий день лежат.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/rn3c87-6u@kenga.kmv.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Thursday 18 March 2010 05:00:52 Andrey Lyubimets wrote:
> Не прошло и недели :-(
> 
> http://ifolder.ru/
> 
> "Сервис iFolder приостановлен следователями 3-й ЧС ГСУ при ГУВД Москвы.

Водителей мусоровозов и вовсе на месте расстреливают. Так что лучше уж 
ИТ-бизнес.

P.S. Впрочем, если у кого есть опыт создания фирм на территории других 
государств, 
поделитесь, может пригодиться.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[unera]

>> [-- text/plain, encoding quoted-printable, charset: utf-8, 15 lines --]

>> загрузили сегодня сабжевое ядро 2.6.32, оно пока в NEW, если кому
>> интересно.

>> http://ftp-master.debian.org/new/linux-2.6_2.6.32-10.html
AM> Собрал, поставил - вроде работает. Из-за .32 ядра машина стала работать
AM> повеселее.

его уже заапрувили, так что можно даже не собирать, а просто ставить
из репозитария :)

теперь из OpenVZ-ноды можно до провайдера "дозваниваться" по pppoe/ppp
:)
-- 
... mpd is off

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: OpenVZ

[Andrey Melnikoff]

Dmitry E. Oboukhov  wrote:
> [-- text/plain, encoding quoted-printable, charset: utf-8, 15 lines --]

> загрузили сегодня сабжевое ядро 2.6.32, оно пока в NEW, если кому
> интересно.

> http://ftp-master.debian.org/new/linux-2.6_2.6.32-10.html
Собрал, поставил - вроде работает. Из-за .32 ядра машина стала работать
повеселее.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5uia77-201@kenga.kmv.ru

Re: OpenVZ

[Vladislav Naumov]

2010/3/12 Alexey Pechnikov :
> Hello!
>
> On Friday 12 March 2010 16:33:32 Victor Wagner wrote:
>> On 2010.03.12 at 12:40:25 +0300, Alexey Pechnikov wrote:
>>
>> > Если сервер стоит _не у вас в офисе_, чем ему страшна проверка офиса?
>> > А в москве такого беспредела сейчас не видно, чтобы у провайдеров с
>> > хостинговых площадок сервера выносили.
>>
>> Было несколько случаев недавно. У Ринета в частности. И еще у кого-то из
>> достаточно крупных хостеров.
>
> Для России полтора года назад - очень давно. Это что касается Ринета, про
> другие случаи я не в курсе.

http://webplanet.ru/news/law/2010/03/17/mentagava.html

Сегодня вечером на одной из площадок московского хостинг-провайдера
"Агава" прошел милицейский рейд, в результате которого были отключены
все сервера "Агавы" на данной площадке (дата-центр "Голден Телекома"
на ул. 2-й Энтузиастов, известный как "Компрессор"). Всего отключено
около 100 серверов.

Re: OpenVZ

[Andrey Lyubimets]

Alexey Pechnikov пишет:

Hello!

On Friday 12 March 2010 16:33:32 Victor Wagner wrote:

On 2010.03.12 at 12:40:25 +0300, Alexey Pechnikov wrote:


Если сервер стоит _не у вас в офисе_, чем ему страшна проверка офиса?
А в москве такого беспредела сейчас не видно, чтобы у провайдеров с
хостинговых площадок сервера выносили.

Было несколько случаев недавно. У Ринета в частности. И еще у кого-то из
достаточно крупных хостеров.


Для России полтора года назад - очень давно. Это что касается Ринета, про 
другие случаи я не в курсе. История пренеприятная, о чем говорить, но

по сравнению с "живым щитом", недавно использованным гайцами на МКАД,
не стоит паники.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/


Не прошло и недели :-(

http://ifolder.ru/

"Сервис iFolder приостановлен следователями 3-й ЧС ГСУ при ГУВД Москвы.

Сегодня, 17.03.2010 в помещении дата-центра, находящегося по адресу 2-ая ул. 
Энтузиастов д. 5, появились следователи из 3-й ЧС ГСУ при ГУВД Москвы. Они 
предъявили протокол о необходимости проведения оперативно-розыскных 
мероприятий с целью поиска улик, размещенных на сайте iFolder.ru


Администрация сервиса предложила сотрудникам оказать максимальное содействие 
в поиске и получении нужной информации, а также в установлении личности 
пользователя, который ее разместил. Однако сотрудники милиции отказались от 
любой помощи и попытались вывезти ВСЕ оборудование Агавы, размещенное в этом 
дата-центре, для проведения собственной экспертизы. В результате переговоров 
вывоз оборудования удалось предотвратить, но, к сожалению, в качестве 
«альтернативы» сотрудники МВД выключили и опечатали все сервера проекта 
iFolder, а также и другие сервера компании, не имеющие никакого отношения к 
проекту.


Компания Агава считает произошедшее беспрецедентным событием, которое ставит 
под угрозу и сомнение факт существования и развития любого бизнеса в Рунете. 
Мы намерены бороться и отстаивать интересы сервиса и его клиентов, а также 
заранее благодарим клиентов за информационную или любую другую помощь в этом 
деле."


--
С уважением, Любимец Андрей Алексеевич


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4ba18954.9070...@nskes.ru

Re: OpenVZ

[Sergey Korobitsin]

Konstantin Pavlov -> debian-russian@lists.debian.org @ Wed, Mar 17, 2010 10:29 
+0300

> On Wed, Mar 17, 2010 at 10:22:37AM +0300, Dmitry E. Oboukhov wrote:
> > загрузили сегодня сабжевое ядро 2.6.32, оно пока в NEW, если кому
> > интересно.
> > 
> > http://ftp-master.debian.org/new/linux-2.6_2.6.32-10.html
> 
> И оно, судя по постам Кира в ЖЖ, пока еще очень experimental ;-)

Ну, подумаешь, убежал /dev/null, с кем не бывает.

:-)

-- 
Bright regards, Sergey Korobitsin | http://the-brights.net/ --
  Arta Software, http://arta.kz/  | illuminating and elevating
  xmpp:underta...@jabber.arta.kz  | the naturalistic worldview

--
Современные условия бытия оставляют человека один на один с бесконечным 
монологом 
масс-медиа и культуры; монологом масс-медиа и культуры о самих себе. Хуже того, 
реальность, с которой имеет дело субъект культуры - продукт этого самого 
монолога. 
Человек остается безвольным и безвластным червяком в колоссальной кафкианской 
машине 
само-воспроизводящейся культуры. Культуры, язык которой защищен копирайтом - 
чтобы произнести в этом смысловом поле нечто осмысленное, вообще что-то 
произнести, 
требуется добыть разрешение владельца копирайта. Копирайт обозначает тиранию 
гораздо более жестокую и окончательную, чем все прежде известные формы тирании 
- 
прежде никому не приходило в голову кодифицировать все формы экспрессии 
и требовать получения отдельного разрешения на каждую. 
  -- Миша Вербицкий, "Антикопирайт"


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100317082743.gg4...@arta.kz

Re: OpenVZ

[Dmitry E. Oboukhov]

>> загрузили сегодня сабжевое ядро 2.6.32, оно пока в NEW, если кому
>> интересно.
>> 
>> http://ftp-master.debian.org/new/linux-2.6_2.6.32-10.html

KP> И оно, судя по постам Кира в ЖЖ, пока еще очень experimental ;-)

там несколько очень вкусных вещей. например ppp для контейнера :)

а вообще аплоадят в unstable, поживем увидим
-- 
... mpd playing: Manowar - 05 Defender

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: OpenVZ

[Konstantin Pavlov]

On Wed, Mar 17, 2010 at 10:22:37AM +0300, Dmitry E. Oboukhov wrote:
> загрузили сегодня сабжевое ядро 2.6.32, оно пока в NEW, если кому
> интересно.
> 
> http://ftp-master.debian.org/new/linux-2.6_2.6.32-10.html

И оно, судя по постам Кира в ЖЖ, пока еще очень experimental ;-)

-- 
Невеста запатентовала предложение жениха


signature.asc
Description: Digital signature

Re: OpenVZ

[Dmitry E. Oboukhov]

загрузили сегодня сабжевое ядро 2.6.32, оно пока в NEW, если кому
интересно.

http://ftp-master.debian.org/new/linux-2.6_2.6.32-10.html
-- 
... mpd playing: Manowar - 03 The Demon's Whip

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: OpenVZ

[Dmitry E. Oboukhov]

DS> Vladislav Naumov пишет:
>> linux-image-2.6-openvz-686, вестимо.

DS> Хм. Сейчас проверил -- а для testing и sid openvz-сборки нету?
DS> Его там и не будет или время ещё не пришло?

в рассылке обсуждают вариант чтобы успеть 2.6.32-openvz пакет собрать
до заморозки. но успеют или нет - хез.

а так 2.6.26 вполне себе неплохо работает, баги в нем фиксят.
-- 
... mpd playing: WASP - Hold On To My Heart

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: OpenVZ

[Dmitri Samsonov]

Vladislav Naumov пишет:
> linux-image-2.6-openvz-686, вестимо.

  Хм. Сейчас проверил -- а для testing и sid openvz-сборки нету?
  Его там и не будет или время ещё не пришло?

--
Dmitri Samsonov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4b9e44bc.1000...@gmail.com

Re: OpenVZ

[Vladislav Naumov]

2010/3/13 Dmitri Samsonov :
> Vladislav Naumov пишет:
>> Иметь под рукой одновременно oldstable, stable и testing - очень удобно.
>
>  А какое при таком раскладе ядро используется в хосте, кстати?

linux-image-2.6-openvz-686, вестимо.

Re: OpenVZ

[Dmitri Samsonov]

Vladislav Naumov пишет:
> Иметь под рукой одновременно oldstable, stable и testing - очень удобно.

  А какое при таком раскладе ядро используется в хосте, кстати?

--
Dmitri Samsonov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4b9bb3ab.7090...@gmail.com

Re: OpenVZ

[Dmitri Samsonov]

Sergey Korobitsin пишет:
> Sat, Feb 13, 2010 at 13:40 +0300 Artem Chuprina воздействовал на энтропию:
> 
>> архитектуры i386 отсутствуют собранные openvz-ядра в вариантах bigmem и
>> amd64."
> 
> bigmem в openvz-ядре для i386 включен, кстати.

  Ага. Сейчас посмотрел diff config-2.6.26-2-686-bigmem
config-2.6.26-2-openvz-686 -- разница там небольшая, касается почти
только OpenVZ.

CONFIG_HIGHMEM64G=y и там и сям.

  А если сравнить с  diff config-2.6.26-2-686 config-2.6.26-2-686-bigmem
то скорее получится, что "для архитектуры i386 отсутствуют собранные
openvz-ядра в вариантах не-bigmem".

--
Dmitri Samsonov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4b9a7590.8030...@gmail.com

Re: OpenVZ

[Andrey Melnikoff]

Vladislav Naumov  wrote:
> 2010/3/11 Alexey Pechnikov :
[]
> А пока - дай бог здоровья разработчикам и майнтейнерам openvz.
Молитесь громче - они таки начали переползать на 2.6.32 ядро.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4p6q67-8lc@kenga.kmv.ru

Re: OpenVZ

[Vladislav Naumov]

2010/3/12 Alexey Pechnikov :

>> > А в москве такого беспредела сейчас не видно, чтобы у провайдеров с
>> > хостинговых площадок сервера выносили.
>>
>> Было несколько случаев недавно. У Ринета в частности. И еще у кого-то из
>> достаточно крупных хостеров.
>
> Для России полтора года назад - очень давно.

А "изъятие" некоторого домена в зоне ru было недавно.
Надо будет - и серверы изымут, какой разговор.

Re: OpenVZ

[Иван Лох]

On Fri, Mar 12, 2010 at 05:48:53PM +0300, Alexey Pechnikov wrote:
> > А Вы наивны. Очень. Выбирая между гипотетическими претензиями клиента и
> > любым телефонным звонком сверху -- наши хостеры всегда выбирают телефон.
> 
> На вас конкуренты никогда самых невероятных "телег" в ФСБ и прочие органы не 
> катали?.. Например, что сэмплы спутниковых снимков Австралии на вашем сайте 
> являются российской гостайной, а вы, вероятно, как минимум иностранный 
> резидент. Не вижу ничего нового в области хостинга - все как везде. 
> Необходимо,

Везде по-разному. Я не хочу вдаваться в детали, но бюрократическая процедура
везде разная.

> понятно, что и как делать. А если вы лично не можете спать из-за того, что 
> такое
> _может_ случиться, что вам мешает переехать, к примеру, в Израиль и там 
> дружно бояться уже террористов.

Все террористы получают зарплату в спецслужбах. Так уж у них принято.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100312152457.gb10...@nano.ioffe.rssi.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Friday 12 March 2010 16:33:32 Victor Wagner wrote:
> On 2010.03.12 at 12:40:25 +0300, Alexey Pechnikov wrote:
> 
> > Если сервер стоит _не у вас в офисе_, чем ему страшна проверка офиса?
> > А в москве такого беспредела сейчас не видно, чтобы у провайдеров с
> > хостинговых площадок сервера выносили.
> 
> Было несколько случаев недавно. У Ринета в частности. И еще у кого-то из
> достаточно крупных хостеров.

Для России полтора года назад - очень давно. Это что касается Ринета, про 
другие случаи я не в курсе. История пренеприятная, о чем говорить, но
по сравнению с "живым щитом", недавно использованным гайцами на МКАД,
не стоит паники.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Friday 12 March 2010 14:20:51 Иван Лох wrote:
> On Fri, Mar 12, 2010 at 02:06:35PM +0300, Alexey Pechnikov wrote:
> > > Ну, проверять могут и хостера. И его аплинка/аплинков.
> > > Вот не занесут кому-нибудь денег, и тут же выяснится что датацентр
> > [skipped]
> > 
> > Джеймс Браун так заразен?
> 
> А Вы наивны. Очень. Выбирая между гипотетическими претензиями клиента и
> любым телефонным звонком сверху -- наши хостеры всегда выбирают телефон.

На вас конкуренты никогда самых невероятных "телег" в ФСБ и прочие органы не 
катали?.. Например, что сэмплы спутниковых снимков Австралии на вашем сайте 
являются российской гостайной, а вы, вероятно, как минимум иностранный 
резидент. Не вижу ничего нового в области хостинга - все как везде. Необходимо,
чтобы о происходящем вас оповестили незамедлительно, а дальше вполне 
понятно, что и как делать. А если вы лично не можете спать из-за того, что такое
_может_ случиться, что вам мешает переехать, к примеру, в Израиль и там 
дружно бояться уже террористов.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Victor Wagner]

On 2010.03.12 at 14:20:51 +0300, Иван Лох wrote:

> On Fri, Mar 12, 2010 at 02:06:35PM +0300, Alexey Pechnikov wrote:
> > > Ну, проверять могут и хостера. И его аплинка/аплинков.
> > > Вот не занесут кому-нибудь денег, и тут же выяснится что датацентр
> > [skipped]
> > 
> > Джеймс Браун так заразен?
> 
> А Вы наивны. Очень. Выбирая между гипотетическими претензиями клиента и
> любым телефонным звонком сверху -- наши хостеры всегда выбирают телефон.

Американские - тоже. Только у них верх другой.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100312133506.gb28...@wagner.pp.ru

Re: OpenVZ

[Victor Wagner]

On 2010.03.12 at 12:40:25 +0300, Alexey Pechnikov wrote:

> Если сервер стоит _не у вас в офисе_, чем ему страшна проверка офиса?
> А в москве такого беспредела сейчас не видно, чтобы у провайдеров с
> хостинговых площадок сервера выносили.

Было несколько случаев недавно. У Ринета в частности. И еще у кого-то из
достаточно крупных хостеров.



-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/2010031212.ga28...@wagner.pp.ru

Re: OpenVZ

[Vladislav Naumov]

2010/3/12 Alexey Pechnikov :
>> Ну, проверять могут и хостера. И его аплинка/аплинков.
>> Вот не занесут кому-нибудь денег, и тут же выяснится что датацентр
> [skipped]
> Джеймс Браун так заразен?

Его паранойя, возможно, не вполне рациональна. Но и не вполне безосновательна.
Или вы полагаете что бизнес хостеров внесён в список "не кошмарить"?

>> За четыре года ничего не сломалось.
> Значит, нагрузка небольшая, т.к. диски в режиме работы с высокой нагрузкой 
> столько не
> живут.

А вот диски как раз один раз за это время менялись. Кажется, вместе с SAN-ом.
Рассылали предупреждения про это. Но обошлось всё гладко, без
даунтайма и потерь.

>> Сервер работает, счета к оплате приходят.
>> Может быть это и есть "хороший сервис"?
>
> Если у вас колокейшен, то за оборудованием следите вы сами, а не хостер.

Упаси господи.
У меня и так хватает оборудования для "следить", не хватало мне в
Калифорнию мотаться сервера причёсывать... Уж лучше хостер пусть
следит. У него отлично получается.

Re: OpenVZ

[Иван Лох]

On Fri, Mar 12, 2010 at 02:06:35PM +0300, Alexey Pechnikov wrote:
> > Ну, проверять могут и хостера. И его аплинка/аплинков.
> > Вот не занесут кому-нибудь денег, и тут же выяснится что датацентр
> [skipped]
> 
> Джеймс Браун так заразен?

А Вы наивны. Очень. Выбирая между гипотетическими претензиями клиента и
любым телефонным звонком сверху -- наши хостеры всегда выбирают телефон.

> > "Я вам не скажу за всю Одессу", но из нашего конкретного региона
> > (Омск) от всех провайдеров, где я тестировал, самое быстрое зеркало
> > debian - не в Москве и не в Новосибирске, в почему-то в Финляндии.
> 
> "За Одессу" я тоже не скажу, у меня пользователи из 26-ти регионов и 
> оптимально сервера 
> держать в Москве. Вероятно, для Сибири это не так и лучше размещаться в 
> Новосибирске,
> но сам не проверял (пока).

Так проверьте. "О сколько нам открытий чудных..."


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100312112051.ga10...@nano.ioffe.rssi.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Friday 12 March 2010 13:48:55 Vladislav Naumov wrote:
> 2010/3/12 Alexey Pechnikov :
> > Если сервер стоит _не у вас в офисе_, чем ему страшна проверка офиса?
> 
> Ну, проверять могут и хостера. И его аплинка/аплинков.
> Вот не занесут кому-нибудь денег, и тут же выяснится что датацентр
[skipped]

Джеймс Браун так заразен?

> Собственно, я не в курсе про сервис.
> За четыре года ничего не сломалось.
> Вообще ни разу.

Значит, нагрузка небольшая, т.к. диски в режиме работы с высокой нагрузкой 
столько не 
живут.

> Сервер работает, счета к оплате приходят.
> Может быть это и есть "хороший сервис"?

Если у вас колокейшен, то за оборудованием следите вы сами, а не хостер.

> > Доступ из регионов наиболее шустрый именно в Москву, т.к.
> > каналы всех или почти всех провайдеров именно там сходятся.
> 
> "Я вам не скажу за всю Одессу", но из нашего конкретного региона
> (Омск) от всех провайдеров, где я тестировал, самое быстрое зеркало
> debian - не в Москве и не в Новосибирске, в почему-то в Финляндии.

"За Одессу" я тоже не скажу, у меня пользователи из 26-ти регионов и оптимально 
сервера 
держать в Москве. Вероятно, для Сибири это не так и лучше размещаться в 
Новосибирске,
но сам не проверял (пока).

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Vladislav Naumov]

2010/3/12 Alexey Pechnikov :
> Если сервер стоит _не у вас в офисе_, чем ему страшна проверка офиса?

Ну, проверять могут и хостера. И его аплинка/аплинков.
Вот не занесут кому-нибудь денег, и тут же выяснится что датацентр
СИЛЬНО ПОЖАРООПАСЕН.
Или заражён АДСКИМ ГРИБОМ. Или у хостера вскроются ФИНАНСОВЫЕ
МАХИНАЦИИ и УХОД ОТ НАЛОГОВ.

> А в москве такого
> беспредела сейчас не видно, чтобы у провайдеров с хостинговых площадок 
> сервера выносили.

Зато видно, например, такого беспредела: у людей тихо-мирно безо
всякого суда и следствия отбирают домен. До выяснения обстоятельств.
Вот захотела прокуратура выяснить обстоятельства - и остановила нафиг
контору. Кто застрахован от такого? Только сайт kremlin.ru, пожалуй.

>> Не говоря уже про цены, нормальный сервис и прочее - которые в среднем
>> тоже за бугром лучше.
>
> А что сервис? У нормальных хостеров телефоны поддержки отвечают, сотрудники в 
> аське и
> джаббере присутствуют, так что проблем с коммуникацией не наблюдается. Это 
> если
> средние по размеру конторы рассматривать, а крупные фирмы имхо все 
> неадекватны, в том
> числе и за рубежом.

Собственно, я не в курсе про сервис.
За четыре года ничего не сломалось.
Вообще ни разу.
Сервер работает, счета к оплате приходят.
Может быть это и есть "хороший сервис"?

> Доступ из регионов наиболее шустрый именно в Москву, т.к.
> каналы всех или почти всех провайдеров именно там сходятся.

"Я вам не скажу за всю Одессу", но из нашего конкретного региона
(Омск) от всех провайдеров, где я тестировал, самое быстрое зеркало
debian - не в Москве и не в Новосибирске, в почему-то в Финляндии.

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Friday 12 March 2010 12:53:19 Artem Chuprina wrote:
>  >> "Ты пальцем покажи".  Вот у тебя есть уязвимость, позволяющая выполнить
>  >> на сервере шелловскую команду.  Любую.  Но - stdin/stdout у нее в
>  >> /dev/null (у PHP может быть хуже, да, а в случае с уязвимостью в модуле
>  >> у апача или у твоего любимого AOL, скорее всего, будет именно так, если
>  >> ошибка не в mod_cgi).  Вопрос.  Какую команду ты будешь выполнять?
>  >> 
>  >> 
>  AP> Нечто, что принимает на stdin залитый через веб-интерфейс файл
> 
> /dev/null у нее stdin.

sh /tmp/webserver_uploaded_file

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Artem Chuprina]

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Fri, 12 Mar 2010 
12:22:18 +0300:

 >>  AP> Пока что я не вижу, что вы добились, закрывая порт 80. Если кого-то
 >>  AP> сломают через php, то через него же и зальют любые нужные файлы, то
 >>  AP> же самое с апачем.
 >> 
 >> "Ты пальцем покажи".  Вот у тебя есть уязвимость, позволяющая выполнить
 >> на сервере шелловскую команду.  Любую.  Но - stdin/stdout у нее в
 >> /dev/null (у PHP может быть хуже, да, а в случае с уязвимостью в модуле
 >> у апача или у твоего любимого AOL, скорее всего, будет именно так, если
 >> ошибка не в mod_cgi).  Вопрос.  Какую команду ты будешь выполнять?
 >> 
 >> 
 AP> Нечто, что принимает на stdin залитый через веб-интерфейс файл

/dev/null у нее stdin.

-- 
Кто первый встал, того и грабли
Д. Белявский


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/85018...@wizzle.ran.pp.ru

Re: OpenVZ

[Artem Chuprina]

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Fri, 12 Mar 2010 
12:40:25 +0300:

 AP> Если сервер стоит _не у вас в офисе_, чем ему страшна проверка
 AP> офиса? А в москве такого беспредела сейчас не видно, чтобы у
 AP> провайдеров с хостинговых площадок сервера выносили.

Если ты чего-то не видишь, это не значит, что его нет.  Внимательнее
надо быть.

-- 
Секретный ключ, известный более чем одной персоне, называется публичным.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51098...@wizzle.ran.pp.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Friday 12 March 2010 07:27:53 Vladislav Naumov wrote:
> > Эдак все клиенты разбегутся, если вы их
> > заставите в забугорье лезть, как из-за возрастающих задержек, так и по 
> > соображениям
> > безопасности.
> 
> В ЭТОЙ СТРАНЕ зачастую в забугорье имеет смысл обслуживаться именно по
> соображениям безопасности.
> То есть главная угроза серверу - не иностранная разведка, а родная
> прокуратура/ФСБ/милиция/налоговая/СЭС/пожарники. Даже если контора не
> делает ничего противозакоонного.

Если сервер стоит _не у вас в офисе_, чем ему страшна проверка офиса? А в 
москве такого 
беспредела сейчас не видно, чтобы у провайдеров с хостинговых площадок сервера 
выносили.

> Не говоря уже про цены, нормальный сервис и прочее - которые в среднем
> тоже за бугром лучше.

А что сервис? У нормальных хостеров телефоны поддержки отвечают, сотрудники в 
аське и 
джаббере присутствуют, так что проблем с коммуникацией не наблюдается. Это если 
средние по размеру конторы рассматривать, а крупные фирмы имхо все неадекватны, 
в том 
числе и за рубежом. Единственная серьезная проблема, с которой за последние 
годы 
сталкивался,  - ночной суппорт не мог поднять "упавший" софтрэйд с lvm, 
пришлось всю ночь
по телефону и через джаббер разбираться, восстанавливая эдак удаленно через 
посредника.
Вот и вспомнилось мне, что гугл не использует ни рэйд, ни lvm, и стало очень 
понятно, почему.

> Понятное дело, у кого гостайна - тем выбора нету.
> Впрочем, там и вообще о публичных хостингах разговора не идёт, если
> правильно понимаю.

Зачем сразу "гостайна". Доступ из регионов наиболее шустрый именно в Москву, 
т.к. 
каналы всех или почти всех провайдеров именно там сходятся. Часть трафика 
маршрутизируется все равно через забугорье, но лишь часть ("стрим" вот начал 
одно
время из НН в Москву через заднее место ходить, в итоге пинг вчетверо возрос и 
вообще
все паршивенько стало, потом опомнились и снова настроили маршруты, правда, 
связь
паршивая по-прежнему, но маршрут нормальный).

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Friday 12 March 2010 10:11:22 Artem Chuprina wrote:
> Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 11 Mar 2010 
> 19:39:36 +0300:
> 
>  >> На втором месте, скорее всего, какой-нибудь из левых модулей к апачу
>  >> (сам-то он с трудом ломается, а вот третьесторонние модули у него бывают
>  >> ужасны) или к тому подобной фигне.  
> 
>  AP> Раз речь о безопасности зашла, то уже почти наверняка апач не держим.
> 
> Отнюдь.  На остальное смотрел.  Либо еще хуже, либо функциональности
> недостаточно, а чаще - и то, и другое.

У апача _без модулей_ функциональности немного. А модули - они разные, и кривые
и совсем безобразные...

>  >> Дальше - bind.  
> 
>  AP> Не буду вспоминать про djbdns, просто поинтересуюсь - а что bind?
>  AP> Смотрим версию в ленни со всеми секьюрити апдейтами, как
>  AP> предлагаете его ломать?..
> 
> Ломают его периодически...

Вспоминая разговор про qmail, популярное решение _должно быть_ самым лучшим, 
по вашему мнению (в том числе и php, надо полагать), тогда с такой позиции 
идеал 
это exim,php,bind, а не qmail,tcl,djbdns (к примеру). Как говорится, за что 
боролись.

>  >> А через ssh - это
>  >> сложно...  Ну, разве что у тебя разрешен парольный вход и пароли легко
>  >> подбираемые.
> 
>  AP> Не слишком давно было дело с уязвимостью в сертификатах.
> 
> У ssh нет сертификатов.  Как класса.  То есть с чем и где было дело, я
> как раз помню.  Я не помню, чтобы кого-то успели через это сломать.

Пожалуй, это можно скорее казусом назвать, нежели эксплуатированной 
уязвимостью, слишком все привыкли к ssh, чтобы каждый день перепроверять.

>  AP> Пока что я не вижу, что вы добились, закрывая порт 80. Если кого-то
>  AP> сломают через php, то через него же и зальют любые нужные файлы, то
>  AP> же самое с апачем.
> 
> "Ты пальцем покажи".  Вот у тебя есть уязвимость, позволяющая выполнить
> на сервере шелловскую команду.  Любую.  Но - stdin/stdout у нее в
> /dev/null (у PHP может быть хуже, да, а в случае с уязвимостью в модуле
> у апача или у твоего любимого AOL, скорее всего, будет именно так, если
> ошибка не в mod_cgi).  Вопрос.  Какую команду ты будешь выполнять?
> 
> 
Нечто, что принимает на stdin залитый через веб-интерфейс файл и создает
новые файлы, которые потом можно скачать через тот же веб-интерфейс.
Лезть в сеть напрямую надобности не вижу.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Victor Wagner]

On 2010.03.12 at 10:11:22 +0300, Artem Chuprina wrote:

>  AP> Не слишком давно было дело с уязвимостью в сертификатах.
> 
> У ssh нет сертификатов.  Как класса.  То есть с чем и где было дело, я
> как раз помню.  Я не помню, чтобы кого-то успели через это сломать.

Уже есть. Начиная с вышедшего на днях openssh 5.4. Только за новизной и
ограниченной применимостью этой фичи через них еще не ломали.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100312081458.ga9...@wagner.pp.ru

Re: OpenVZ

[Artem Chuprina]

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 11 Mar 2010 
19:39:36 +0300:

 >> На втором месте, скорее всего, какой-нибудь из левых модулей к апачу
 >> (сам-то он с трудом ломается, а вот третьесторонние модули у него бывают
 >> ужасны) или к тому подобной фигне.  

 AP> Раз речь о безопасности зашла, то уже почти наверняка апач не держим.

Отнюдь.  На остальное смотрел.  Либо еще хуже, либо функциональности
недостаточно, а чаще - и то, и другое.

 >> Дальше - bind.  

 AP> Не буду вспоминать про djbdns, просто поинтересуюсь - а что bind?
 AP> Смотрим версию в ленни со всеми секьюрити апдейтами, как
 AP> предлагаете его ломать?..

Ломают его периодически...

 >> А через ssh - это
 >> сложно...  Ну, разве что у тебя разрешен парольный вход и пароли легко
 >> подбираемые.

 AP> Не слишком давно было дело с уязвимостью в сертификатах.

У ssh нет сертификатов.  Как класса.  То есть с чем и где было дело, я
как раз помню.  Я не помню, чтобы кого-то успели через это сломать.

 AP> Пока что я не вижу, что вы добились, закрывая порт 80. Если кого-то
 AP> сломают через php, то через него же и зальют любые нужные файлы, то
 AP> же самое с апачем.

"Ты пальцем покажи".  Вот у тебя есть уязвимость, позволяющая выполнить
на сервере шелловскую команду.  Любую.  Но - stdin/stdout у нее в
/dev/null (у PHP может быть хуже, да, а в случае с уязвимостью в модуле
у апача или у твоего любимого AOL, скорее всего, будет именно так, если
ошибка не в mod_cgi).  Вопрос.  Какую команду ты будешь выполнять?

-- 
Тормоз - тоже механизм, только медленный совсем.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/88548...@wizzle.ran.pp.ru

Re: OpenVZ

[Vladislav Naumov]

2010/3/11 Alexey Pechnikov :
> Пока что я не вижу, что вы добились, закрывая порт 80.

Он, собственно, не "закрывает".
Он "держит закрытым".
Понадобится - откроет, насколько оно будет соразмерно задаче.

То есть общая идея не "закрывать что не надо" (этот список огромен и
постоянно пополняется), а "открывать то что надо" (этот список состоит
изобозримого количества позиций и меняется редко).

Если доступ наружу нужен на пять минут в месяц (скачать обновления и
отвалиться) - я просто запускаю на гейтвее  на те самые пять минут
прокси-сервер и останавливаю потом. Руками. Потому что соразмерно
задаче.

Re: OpenVZ

[Vladislav Naumov]

2010/3/11 Alexey Pechnikov :
> Hello!
>
> On Thursday 11 March 2010 18:31:16 Vladislav Naumov wrote:
>> 2010/3/11 Alexey Pechnikov :
>> > Хм. Наименования хостеров, предоставляющих в своих датацентрах миррор 
>> > дебиана,
>> > назовите.
>>
>> vpsvillage.com
>
> Подразумевались все же российские хостинги.

В вопросе не было.

> Эдак все клиенты разбегутся, если вы их
> заставите в забугорье лезть, как из-за возрастающих задержек, так и по 
> соображениям
> безопасности.

В ЭТОЙ СТРАНЕ зачастую в забугорье имеет смысл обслуживаться именно по
соображениям безопасности.
То есть главная угроза серверу - не иностранная разведка, а родная
прокуратура/ФСБ/милиция/налоговая/СЭС/пожарники. Даже если контора не
делает ничего противозакоонного.
Не говоря уже про цены, нормальный сервис и прочее - которые в среднем
тоже за бугром лучше.

Понятное дело, у кого гостайна - тем выбора нету.
Впрочем, там и вообще о публичных хостингах разговора не идёт, если
правильно понимаю.

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Thursday 11 March 2010 18:29:57 Artem Chuprina wrote:
>  AP> Прочитать было занимательно, не скрою. А вот что это у нас за
>  AP> червяки такие _под дебиан_? Думается мне, что вы опять пытаетесь
>  AP> защищаться от _виндовых_ проблем. Если дебиан ломают, так через
>  AP> ssh.
> 
> Ну, твой, может, настолько дыряв, что и через ssh ломается, а типичный -
> через phpbb или аналогичную хрень.  Неважно, известную или самописную.
> Важно, ловится она на что-нибудь стандартное, или нет.

Вот ведь знаю, что не используете вы php. Но до кучи вспомнили и про него.

> На втором месте, скорее всего, какой-нибудь из левых модулей к апачу
> (сам-то он с трудом ломается, а вот третьесторонние модули у него бывают
> ужасны) или к тому подобной фигне.  

Раз речь о безопасности зашла, то уже почти наверняка апач не держим.

> Дальше - bind.  

Не буду вспоминать про djbdns, просто поинтересуюсь - а что bind? Смотрим
версию в ленни со всеми секьюрити апдейтами, как предлагаете его ломать?..

> А через ssh - это
> сложно...  Ну, разве что у тебя разрешен парольный вход и пароли легко
> подбираемые.

Не слишком давно было дело с уязвимостью в сертификатах.

Пока что я не вижу, что вы добились, закрывая порт 80. Если кого-то сломают 
через php, то через него же и зальют любые нужные файлы, то же самое с 
апачем. А на нормальной системе без вышеназванных упырей чего бояться?

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Thursday 11 March 2010 18:31:16 Vladislav Naumov wrote:
> 2010/3/11 Alexey Pechnikov :
> > Хм. Наименования хостеров, предоставляющих в своих датацентрах миррор 
> > дебиана,
> > назовите.
> 
> vpsvillage.com

Подразумевались все же российские хостинги. Эдак все клиенты разбегутся, если 
вы их 
заставите в забугорье лезть, как из-за возрастающих задержек, так и по 
соображениям
безопасности.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Vladislav Naumov]

2010/3/11 Alexey Pechnikov :
> Можно и штаны через голову надевать :-) Ставить openvz, чтобы был повод
> установить app-proxy?

Не надо выворачивать.
openvz - для решения каких-то своих задач (которые openvz удобно решаются).
прокси - для того чтобы в этом openvz удобно пользоваться
репозитариями и прочими благами цивилизации.
Это надо не всем vz-шкам, и не всегда.
На моей домашней машине они ходят через обычный squid (который и так
стоит с целью кэширования).

> А если использовать обычный чрут, то в него можно просто
> замонтировать сами знаете какую директорию с пакетами.

В vz-шный "чрут" тоже можно. По крайней мере, я не знаю ничего что бы помешало.

Re: OpenVZ

[Vladislav Naumov]

2010/3/11 Alexey Pechnikov :
> Хм. Наименования хостеров, предоставляющих в своих датацентрах миррор дебиана,
> назовите.

vpsvillage.com

Re: OpenVZ

[Artem Chuprina]

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 11 Mar 2010 
18:17:27 +0300:

 AP> Прочитать было занимательно, не скрою. А вот что это у нас за
 AP> червяки такие _под дебиан_? Думается мне, что вы опять пытаетесь
 AP> защищаться от _виндовых_ проблем. Если дебиан ломают, так через
 AP> ssh.

Ну, твой, может, настолько дыряв, что и через ssh ломается, а типичный -
через phpbb или аналогичную хрень.  Неважно, известную или самописную.
Важно, ловится она на что-нибудь стандартное, или нет.

На втором месте, скорее всего, какой-нибудь из левых модулей к апачу
(сам-то он с трудом ломается, а вот третьесторонние модули у него бывают
ужасны) или к тому подобной фигне.  Дальше - bind.  А через ssh - это
сложно...  Ну, разве что у тебя разрешен парольный вход и пароли легко
подбираемые.

-- 
Пифагоровы штаны Лобачевскому смешны
 -- 


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/29661...@tigger.lan.cryptocom.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Thursday 11 March 2010 17:48:03 Artem Chuprina wrote:
> Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 11 Mar 2010 
> 17:17:38 +0300:
> 
>  >> Не все держат по одному серверу у сотни хостеров.  Некоторые - по
>  >> десятку у одного.  И кстати, поинтересуйся у своего хостера, нету ли у
>  >> него часом оного миррора.  Если у него это на сайте не написано, это еще
>  >> не значит, что нет.
> 
>  AP> Там виндоус и фря, так что им без надобности.
> 
> Ты точно спросил, или это так, эротические фантазии?

Не только спросил, но уже и ответ выше написал :-)

> Типичный ботнет - это отношение "многие ко многим".  Поэтому на
> отправляющем конце машина, участвующая в ботнете, как раз нормально
> ловится.

Типичный ботнет - он на винде, а не на дебиане. Так что у нас ситуация другая.

>  >> Ну, явно четыре.  А на сервер взломщика за payload'ом его червяка-то
>  >> зачем ходить?
> 
>  AP> Взломщик - это лицо, имеющее шелл-доступ?
> 
> Еще не имеющее.  Находящееся в процессе получения.  Автоматическим
> червяком.  Он влезть-то влез, а чтобы пользу из этого извлечь, ему надо
> втащить собственно то, что будет работать (оно и будет в данном случае
> payload), запустить его, и его еще должны выпустить, чтобы он эту работу
> сделал.
> 
> Если нихрена не блокировать, то он все это успешно проделает.  А если
> блокировать - то очень как повезет.
> 
> Всунуть же payload прямо в момент взлома часто от "тяжело" до
> "невозможно", и так в норме не делают.  Всовывают код, который все
> остальное может вытянуть из сети.  Если она открыта.  А если нет - не
> беда, найдем другого, у которого все открыто, "потому что много другой
> функциональности".  Вон, у Печникова в соседней стойке сервер...
> 
> Через него, правда, уже кто-то спам релеит через механизм отлупов от
> мейлер-демона, ибо там qmail, который сперва принимает, а потом думает,
> ну да не беда, уживемся...
> 
> Да, защиту обычно пробивают в самом узком месте.  Но если в самом узком
> месте три заслона один за другим - пробить придется все три.  Это
> сложнее, чем один.  Может не получиться.

Прочитать было занимательно, не скрою. А вот что это у нас за червяки такие
_под дебиан_? Думается мне, что вы опять пытаетесь защищаться от 
_виндовых_ проблем. Если дебиан ломают, так через ssh. Потенциально можно
создать деб-пакет с вирусом и заставить админа его установить, но зачем
тогда еще куда-то лезть и что-то скачивать, когда можно ключик нападающего
в доверенные добавить и обеспечить ему тот же ssh?


Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Artem Chuprina]

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 11 Mar 2010 
17:17:38 +0300:

 >> Не все держат по одному серверу у сотни хостеров.  Некоторые - по
 >> десятку у одного.  И кстати, поинтересуйся у своего хостера, нету ли у
 >> него часом оного миррора.  Если у него это на сайте не написано, это еще
 >> не значит, что нет.

 AP> Там виндоус и фря, так что им без надобности.

Ты точно спросил, или это так, эротические фантазии?

 AP> Отклонюсь от темы: можно ли "криво" поставить дебиан? Обратитесь в
 AP> агаву, узнаете :-)

Спасибо, мы и так в курсе.  И про агаву тоже.

 >>  >> Причем с шансами раздаваемый по NFS (r/o, естественно), чтобы кэшей не
 >>  >> плодить.
 >> 
 >>  AP> С локалками не работаю, посему позвольте не разделять горячую
 >>  AP> любовь к NFS.
 >> 
 >> Ты, опять же, не поверишь, оно не только по локалке умеет.  Оно
 >> вообще-то по IP работает...

 AP> То есть открыть доступ на удаленный порт 80 несекьюрно, а светить
 AP> голым, простите, NFS в инет - нормально?

r/o-то?  Абсолютно.  Впрочем, опять же, торчать им для _всех_ никто не
заставляет.  Файрволу нонеча не только порт, но и адрес можно рассказать.

 >> Ну да.  Через smarthost.  Который таки да, занимается ровно пересылкой
 >> почты и на котором приняты некоторые меры по блокировке потоков с
 >> затрояненных машин.
 >> 
 >> Или тут тебе уже UNIX way не нужен?

 AP> А если немного посчитать? К примеру, типичный ботнет это порядка 10
 AP> - 100 тысяч машин. Ежели они одновременно отправят по письму одному
 AP> и тому же получателю, последний загнется. А отправка одного письма
 AP> явно не может автоматически блокироваться как рассылка спама. И где
 AP> профит?

Типичный ботнет - это отношение "многие ко многим".  Поэтому на
отправляющем конце машина, участвующая в ботнете, как раз нормально
ловится.

 >> Именно.  А равно и многое не нужно.  Тоже в зависимости от задачи.  И
 >> вот то и другое и подкреплено файрволом для пущей безопасности.
 >> 
 >>  >> Ему вполне достаточно HTTP на 1
 >>  >> (один) адрес.
 >> 
 >>  AP> У меня только своих репозиториев 2 используется - публичный и
 >>  AP> приватный. Плюс где как - где бэкпорты нужны, где debian-multimedia
 >>  AP> и проч. Явно один адрес вопроса не решает.
 >> 
 >> Ну, явно четыре.  А на сервер взломщика за payload'ом его червяка-то
 >> зачем ходить?

 AP> Взломщик - это лицо, имеющее шелл-доступ?

Еще не имеющее.  Находящееся в процессе получения.  Автоматическим
червяком.  Он влезть-то влез, а чтобы пользу из этого извлечь, ему надо
втащить собственно то, что будет работать (оно и будет в данном случае
payload), запустить его, и его еще должны выпустить, чтобы он эту работу
сделал.

Если нихрена не блокировать, то он все это успешно проделает.  А если
блокировать - то очень как повезет.

Всунуть же payload прямо в момент взлома часто от "тяжело" до
"невозможно", и так в норме не делают.  Всовывают код, который все
остальное может вытянуть из сети.  Если она открыта.  А если нет - не
беда, найдем другого, у которого все открыто, "потому что много другой
функциональности".  Вон, у Печникова в соседней стойке сервер...

Через него, правда, уже кто-то спам релеит через механизм отлупов от
мейлер-демона, ибо там qmail, который сперва принимает, а потом думает,
ну да не беда, уживемся...

Да, защиту обычно пробивают в самом узком месте.  Но если в самом узком
месте три заслона один за другим - пробить придется все три.  Это
сложнее, чем один.  Может не получиться.

-- 
Пришел в гости математик, почитать новую рукопись. Вычитал из нее трех
героев напрочь, и ушел.
Gimli on #arda


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/77829...@tigger.lan.cryptocom.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Thursday 11 March 2010 16:22:21 San_Sanych wrote:
> > Хм. Наименования хостеров, предоставляющих в своих датацентрах миррор 
> > дебиана,
> > назовите. Или предлагаете ставить у каждого хостера, где стоит наш 
> > один-единственный
> > сервер еще дополнительный сервер в качестве миррора дебиана? Гениально, 
> > блин.
> >
> >
> можно поставить approx в один из контейнеров и ходить на него :) не 
> думаю что на каком-либо сервере может понадобиться все зеркало
> к тому-же оно умеет на несколько разных репозитариев ходить и структуру 
> репозитария сохраняет

Можно и штаны через голову надевать :-) Ставить openvz, чтобы был повод
установить app-proxy? А если использовать обычный чрут, то в него можно просто 
замонтировать сами знаете какую директорию с пакетами. А, тогда ведь у нас не 
будет повода поставить даже NFS, скучно станет :-)

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Thursday 11 March 2010 16:13:06 Artem Chuprina wrote:
> Не все держат по одному серверу у сотни хостеров.  Некоторые - по
> десятку у одного.  И кстати, поинтересуйся у своего хостера, нету ли у
> него часом оного миррора.  Если у него это на сайте не написано, это еще
> не значит, что нет.

Там виндоус и фря, так что им без надобности. Зато могут на колок поставить
дебиан, в отличие от многих других. Но дело не в этом, а в том, что за МКАдом 
жизнь все-таки есть. А вот хороших интернет-каналов - не наблюдается, плюс
провайдеры требуют погигабайтную плату за трафик, да еще какую. Посему 
держать сервера в офисе невозможно и нужно размещать их на удаленных 
хостингах. И это накладывает свою специфику. У нас ведь не рассылка
debian-russian-moscow?

Отклонюсь от темы: можно ли "криво" поставить дебиан? Обратитесь в агаву,
узнаете :-) Для начала вам запросто еще и не тот дистриб поставят, скажем,
красную шапку, а в ответ на претензии флегматично скажут, что это, мол,
тоже линукс ;-)

>  >> Причем с шансами раздаваемый по NFS (r/o, естественно), чтобы кэшей не
>  >> плодить.
> 
>  AP> С локалками не работаю, посему позвольте не разделять горячую
>  AP> любовь к NFS.
> 
> Ты, опять же, не поверишь, оно не только по локалке умеет.  Оно
> вообще-то по IP работает...

То есть открыть доступ на удаленный порт 80 несекьюрно, а светить голым, 
простите, NFS в инет - нормально? Наверняка сами-то только в локалке доступ
делаете, а вот рекомендуете нечто иное...

> Ну да.  Через smarthost.  Который таки да, занимается ровно пересылкой
> почты и на котором приняты некоторые меры по блокировке потоков с
> затрояненных машин.
> 
> Или тут тебе уже UNIX way не нужен?

А если немного посчитать? К примеру, типичный ботнет это порядка 10 - 100
тысяч машин. Ежели они одновременно отправят по письму одному и тому же 
получателю, последний загнется. А отправка одного письма явно не может 
автоматически блокироваться как рассылка спама. И где профит?

> Именно.  А равно и многое не нужно.  Тоже в зависимости от задачи.  И
> вот то и другое и подкреплено файрволом для пущей безопасности.
> 
>  >> Ему вполне достаточно HTTP на 1
>  >> (один) адрес.
> 
>  AP> У меня только своих репозиториев 2 используется - публичный и
>  AP> приватный. Плюс где как - где бэкпорты нужны, где debian-multimedia
>  AP> и проч. Явно один адрес вопроса не решает.
> 
> Ну, явно четыре.  А на сервер взломщика за payload'ом его червяка-то
> зачем ходить?

Взломщик - это лицо, имеющее шелл-доступ? Тогда чем спасет блокирование 
любых других портов? Имеющий шелл может любой порт пробросить. Имхо
вы предлагаете запирать конюшню, когда коня увели.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[San_Sanych]

11.03.2010 15:30, Alexey Pechnikov пишет:


Хм. Наименования хостеров, предоставляющих в своих датацентрах миррор дебиана,
назовите. Или предлагаете ставить у каждого хостера, где стоит наш 
один-единственный
сервер еще дополнительный сервер в качестве миррора дебиана? Гениально, блин.

   
можно поставить approx в один из контейнеров и ходить на него :) не 
думаю что на каком-либо сервере может понадобиться все зеркало
к тому-же оно умеет на несколько разных репозитариев ходить и структуру 
репозитария сохраняет


--
Александр Вайтехович
www: http://sanych.nnov.ru
jabber: sanych{a}sanych.nnov.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4b98ee8d.8090...@gmail.com

Re: OpenVZ

[Artem Chuprina]

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 11 Mar 2010 
15:30:19 +0300:

 >>  >>  AP> И что, даже aptitude update не работает? Сомнительное достижение.
 >>  >> 
 >>  >> Работает.  С локального миррора.
 >> 
 >>  AP> Предлагается на каждом сервере локальный миррор держать?
 >> 
 >> Ты правда тормоз или прикидываешься?  Один на серверную, разумеется.

 AP> Хм. Наименования хостеров, предоставляющих в своих датацентрах
 AP> миррор дебиана, назовите. Или предлагаете ставить у каждого
 AP> хостера, где стоит наш один-единственный сервер еще дополнительный
 AP> сервер в качестве миррора дебиана? Гениально, блин.

Не все держат по одному серверу у сотни хостеров.  Некоторые - по
десятку у одного.  И кстати, поинтересуйся у своего хостера, нету ли у
него часом оного миррора.  Если у него это на сайте не написано, это еще
не значит, что нет.

 >> Причем с шансами раздаваемый по NFS (r/o, естественно), чтобы кэшей не
 >> плодить.

 AP> С локалками не работаю, посему позвольте не разделять горячую
 AP> любовь к NFS.

Ты, опять же, не поверишь, оно не только по локалке умеет.  Оно
вообще-то по IP работает...

 >>  AP> В том смысле слова сервер, который подразумевает удаленную машину,
 >>  AP> стоящую за тридевять земель.
 >> 
 >> И даже в этом случае ему совершенно не надо шляться по HTTP, FTP и SMTP
 >> по всему интернету без ограничений.  

 AP> Даже если говорить об администрировании системы, как минимум,
 AP> сервер должен уметь отсылать оповещения по email, причем на два
 AP> адреса или более.

Ну да.  Через smarthost.  Который таки да, занимается ровно пересылкой
почты и на котором приняты некоторые меры по блокировке потоков с
затрояненных машин.

Или тут тебе уже UNIX way не нужен?

 AP> А если вспомнить, что сервера обычно ставят для того, чтобы они
 AP> полезную работу выполняли, а не ради удовольствия их
 AP> администрировать, то еще много чего бывает нужно, в зависимости от
 AP> задачи.

Именно.  А равно и многое не нужно.  Тоже в зависимости от задачи.  И
вот то и другое и подкреплено файрволом для пущей безопасности.

 >> Ему вполне достаточно HTTP на 1
 >> (один) адрес.

 AP> У меня только своих репозиториев 2 используется - публичный и
 AP> приватный. Плюс где как - где бэкпорты нужны, где debian-multimedia
 AP> и проч. Явно один адрес вопроса не решает.

Ну, явно четыре.  А на сервер взломщика за payload'ом его червяка-то
зачем ходить?

-- 
Феаноринги думают руками, арфинги - сердцем, а нолфинги - головой. (С)энта


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/31439...@tigger.lan.cryptocom.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Thursday 11 March 2010 13:30:55 Artem Chuprina wrote:
> Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 11 Mar 2010 
> 12:38:04 +0300:
> 
>  >>  AP> И что, даже aptitude update не работает? Сомнительное достижение.
>  >> 
>  >> Работает.  С локального миррора.
> 
>  AP> Предлагается на каждом сервере локальный миррор держать?
> 
> Ты правда тормоз или прикидываешься?  Один на серверную, разумеется.

Хм. Наименования хостеров, предоставляющих в своих датацентрах миррор дебиана, 
назовите. Или предлагаете ставить у каждого хостера, где стоит наш 
один-единственный 
сервер еще дополнительный сервер в качестве миррора дебиана? Гениально, блин.

> Причем с шансами раздаваемый по NFS (r/o, естественно), чтобы кэшей не
> плодить.

С локалками не работаю, посему позвольте не разделять горячую любовь к NFS.

>  AP> В том смысле слова сервер, который подразумевает удаленную машину,
>  AP> стоящую за тридевять земель.
> 
> И даже в этом случае ему совершенно не надо шляться по HTTP, FTP и SMTP
> по всему интернету без ограничений.  

Даже если говорить об администрировании системы, как минимум, сервер должен 
уметь 
отсылать оповещения по email, причем на два адреса или более. А если вспомнить, 
что
сервера обычно ставят для того, чтобы они полезную работу выполняли, а не ради 
удовольствия их администрировать, то еще много чего бывает нужно, в зависимости 
от 
задачи.

> Ему вполне достаточно HTTP на 1
> (один) адрес.

У меня только своих репозиториев 2 используется - публичный и приватный. Плюс 
где как - 
где бэкпорты нужны, где debian-multimedia и проч. Явно один адрес вопроса не 
решает.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Artem Chuprina]

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 11 Mar 2010 
12:38:04 +0300:

 >>  AP> И что, даже aptitude update не работает? Сомнительное достижение.
 >> 
 >> Работает.  С локального миррора.

 AP> Предлагается на каждом сервере локальный миррор держать?

Ты правда тормоз или прикидываешься?  Один на серверную, разумеется.
Причем с шансами раздаваемый по NFS (r/o, естественно), чтобы кэшей не
плодить.

 AP> В том смысле слова сервер, который подразумевает удаленную машину,
 AP> стоящую за тридевять земель.

И даже в этом случае ему совершенно не надо шляться по HTTP, FTP и SMTP
по всему интернету без ограничений.  Ему вполне достаточно HTTP на 1
(один) адрес.

-- 
Win-юзеры - это типа Win-модемов и Win-принтеров: такие же юзеры, но попроще,
без мозгов и памяти на борту.
http://www.livejournal.com/~dottedmag/158509.html


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/88555...@tigger.lan.cryptocom.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Thursday 11 March 2010 01:15:24 Artem Chuprina wrote:
>  AP> И что, даже aptitude update не работает? Сомнительное достижение.
> 
> Работает.  С локального миррора.

Предлагается на каждом сервере локальный миррор держать? В том смысле слова 
сервер, который подразумевает удаленную машину, стоящую за тридевять земель.
А не офисный комп с поднятым апачем в корпоративной сетке с dmz.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Vladislav Naumov]

2010/3/11 Alexey Pechnikov :
>> > Само использование openvz уже подразумевает,
>> > что это сервер и его основная задача - взаимодействие с интернет-сервисами
>> Не подразумевает.
>> У меня, например, OpenVZ стоит на домашней машине - для разработки и
>> экспериментов.
>> Иметь под рукой одновременно oldstable, stable и testing - очень удобно.
>
> Мне для этого чрута хватает. Это если надо не шашечки, а ехать.

Тебе повезло - мало надо для счастья.
Нет, если СИЛЬНО постараться, то и я могу залезть в чруты.
Подниму кучу интерфейсов, развешаю на них разное, поменяю порты и пр.
Но, спрашивается, зачем мне вся эта физкультура если в дистрибутиве
имеется OpenVZ, где это всё уже есть и работает легко и просто?

И да, я понимаю что OpenVZ не панацея и для каких-то вещей понадобятся
эмуляторы потяжелее.
Когда мне понадобятся разные ядра или windows - возьму VirtualBox или qemu.
А пока - дай бог здоровья разработчикам и майнтейнерам openvz.

Re: OpenVZ

[Artem Chuprina]

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 11 Mar 2010 
00:25:07 +0300:

 >>  AP> что при отсутствии интернет-доступа нереализуемо.
 >> 
 >> Ты не поверишь, но веб-серверу умение самостоятельно ходить куда попало
 >> наружу практически не нужно.  За редкими исключениями в виде иногда DNS
 >> и изредка SMTP.  

 AP> Последнего спамерам как раз достаточно. Равно как для
 AP> распределенной атаки на DNS достаточно разрешенного доступа к DNS.

Я сказал "изредка".

 >> Его задача - отвечать на запросы.  И обрезать ему
 >> доступ соответственно его задачам - вполне осмысленное действие.  Лишнее
 >> препятствие на пути взломщика - особенно автоматического.
 >> 
 >> У меня на роутерах так и физические сервера ограничиваются.

 AP> И что, даже aptitude update не работает? Сомнительное достижение.

Работает.  С локального миррора.

 AP> Как показывает практика, сервисы становятся все более
 AP> распределенными и требуют взаимодействия с удаленными системами. А
 AP> это SMTP/HTTP/HTTPS.  Не зря появляются всякие "облачные"
 AP> инфраструктуры - во многом излишние сегодня, но все к тому
 AP> идет. Так что блокировать на серваке исходящие запросы на порты 25,
 AP> 80, 443 - не есть допустимо.

То, что ты сам не понимаешь, это фиг с тобой.  Хуже, что тебе новички
поверить могут...

-- 
Тормоз - тоже механизм, только медленный совсем.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/43910...@wizzle.ran.pp.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Wednesday 10 March 2010 11:49:18 Artem Chuprina wrote:
>  AP> что при отсутствии интернет-доступа нереализуемо.
> 
> Ты не поверишь, но веб-серверу умение самостоятельно ходить куда попало
> наружу практически не нужно.  За редкими исключениями в виде иногда DNS
> и изредка SMTP.  

Последнего спамерам как раз достаточно. Равно как для распределенной атаки 
на DNS достаточно разрешенного доступа к DNS.

> Его задача - отвечать на запросы.  И обрезать ему
> доступ соответственно его задачам - вполне осмысленное действие.  Лишнее
> препятствие на пути взломщика - особенно автоматического.
> 
> У меня на роутерах так и физические сервера ограничиваются.

И что, даже aptitude update не работает? Сомнительное достижение.

Как показывает практика, сервисы становятся все более распределенными и 
требуют взаимодействия с удаленными системами. А это SMTP/HTTP/HTTPS.
Не зря появляются всякие "облачные" инфраструктуры - во многом излишние
сегодня, но все к тому идет. Так что блокировать на серваке исходящие 
запросы на порты 25, 80, 443 - не есть допустимо.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Wednesday 10 March 2010 12:11:26 Vladislav Naumov wrote:
> 2010/3/9 Alexey Pechnikov :
> > Само использование openvz уже подразумевает,
> > что это сервер и его основная задача - взаимодействие с интернет-сервисами
> > и предоставление оных, что при отсутствии интернет-доступа нереализуемо.
> 
> Не подразумевает.
> У меня, например, OpenVZ стоит на домашней машине - для разработки и
> экспериментов.
> Иметь под рукой одновременно oldstable, stable и testing - очень удобно.

Мне для этого чрута хватает. Это если надо не шашечки, а ехать.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Vladislav Naumov]

2010/3/9 Alexey Pechnikov :
> Само использование openvz уже подразумевает,
> что это сервер и его основная задача - взаимодействие с интернет-сервисами
> и предоставление оных, что при отсутствии интернет-доступа нереализуемо.

Не подразумевает.
У меня, например, OpenVZ стоит на домашней машине - для разработки и
экспериментов.
Иметь под рукой одновременно oldstable, stable и testing - очень удобно.

Re: OpenVZ

[Artem Chuprina]

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Tue, 9 Mar 2010 18:08:36 
+0300:

 >> Доступ в интернет - он разный бывает.  Для машины, у которой
 >> собственного процессора-то нет, не то что монитора, он нужен совершенно
 >> не такой, как для машины, у которой есть монитор и в него пялится юзер.

 AP> Что-то я плохо представляю себе, зачем удаленному серверу монитор и
 AP> кто в него может пялиться.

С чего ты взял, что всякая машина - непременно удаленный сервер?

 AP> Само использование openvz уже подразумевает, что это сервер и его
 AP> основная задача - взаимодействие с интернет-сервисами и
 AP> предоставление оных,

Именно.

 AP> что при отсутствии интернет-доступа нереализуемо.

Ты не поверишь, но веб-серверу умение самостоятельно ходить куда попало
наружу практически не нужно.  За редкими исключениями в виде иногда DNS
и изредка SMTP.  Его задача - отвечать на запросы.  И обрезать ему
доступ соответственно его задачам - вполне осмысленное действие.  Лишнее
препятствие на пути взломщика - особенно автоматического.

У меня на роутерах так и физические сервера ограничиваются.

-- 
Нужны две программы - одна с интерфейсом, а другая чтобы работу делала.
Victor Wagner в 


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/99288...@tigger.lan.cryptocom.ru

Re: OpenVZ

[Artem Chuprina]

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Tue, 9 Mar 2010 15:16:16 
+0300:

 >> > Ну и что, если рута нет? Вот трафик прокачать залитым бинарем можно, 
 >> > спам разослать, с этими проблемами бороться сложнее, но они и 
 >> > виртуалками не решаются.
 >> Решаются. Ты на каждую виртуалку можешь разные правила iptables
 >> прописать. с этой я в инет пускаю, с этой - нет.

 AP> Имхо это лечение простуды отсечением головы. За исключением
 AP> некоторых интранет-порталов система без доступа в интернет -
 AP> бесполезна, равно как безопасность выключенного и запертого в сейф
 AP> сервера есть предмет, не представляющий практического интереса.

Доступ в интернет - он разный бывает.  Для машины, у которой
собственного процессора-то нет, не то что монитора, он нужен совершенно
не такой, как для машины, у которой есть монитор и в него пялится юзер.

-- 
- А почему перед всеми командами надо сначала писать man?
- Чтобы показать компу, кто тут мужик.
 -- http://bash.org.ru/quote/403510


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/77853...@tigger.lan.cryptocom.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Tuesday 09 March 2010 14:27:21 Alexander GQ Gerasiov wrote:
> > Ну и что, если рута нет? Вот трафик прокачать залитым бинарем можно, 
> > спам разослать, с этими проблемами бороться сложнее, но они и 
> > виртуалками не решаются.
> Решаются. Ты на каждую виртуалку можешь разные правила iptables
> прописать. с этой я в инет пускаю, с этой - нет.

Имхо это лечение простуды отсечением головы. За исключением некоторых
интранет-порталов система без доступа в интернет - бесполезна, равно как
безопасность выключенного и запертого в сейф сервера есть предмет, не 
представляющий практического интереса.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Alexander GQ Gerasiov]

Hello, Alexey.

On Fri, 5 Mar 2010 17:08:41 +0300
Alexey Pechnikov  wrote:

> Hello!
> 
> On Friday 05 March 2010 16:39:57 Alexander Danilov wrote:
> > Недостаточно, можно придумать как этот /bin/kill туда снова залить.
> 
> Ну и что, если рута нет? Вот трафик прокачать залитым бинарем можно, 
> спам разослать, с этими проблемами бороться сложнее, но они и 
> виртуалками не решаются.
Решаются. Ты на каждую виртуалку можешь разные правила iptables
прописать. с этой я в инет пускаю, с этой - нет.

-- 
Best regards,
 Alexander GQ Gerasiov

 Contacts:
 e-mail:g...@cs.msu.su Jabber:  g...@jabber.ru
 Homepage:  http://gq.net.ru ICQ: 7272757
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100309142721.69358...@cs.msu.su

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Tuesday 09 March 2010 15:42:59 Artem Chuprina wrote:
> Доступ в интернет - он разный бывает.  Для машины, у которой
> собственного процессора-то нет, не то что монитора, он нужен совершенно
> не такой, как для машины, у которой есть монитор и в него пялится юзер.

Что-то я плохо представляю себе, зачем удаленному серверу монитор и кто в
него может пялиться. Или в рамках борьбы с кризисом теперь в датацентрах
устраивают игровые клубы? :-) Само использование openvz уже подразумевает,
что это сервер и его основная задача - взаимодействие с интернет-сервисами
и предоставление оных, что при отсутствии интернет-доступа нереализуемо.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Степан Голосунов]

Alexander Danilov  writes:
> Степан Голосунов пишет:
>> Alexander Danilov  writes:
>>> Степан Голосунов пишет:
 А что-то мешает руту подмонтировать, к примеру, tmpfs и сделать в ней
 все необходимые устройства? 
>>> Это если есть возможность монтировать.
>>
>> А куда она у рута денется?
>
> Я в этой вертке приводил результаты моих экспериментов, мне не удалось 
> примонтировать как надо,
> подскажите правильный вариант

mount -t tmpfs tmpfs /

После чего всякие mknod ../sda3 b 8 3 вполне работают.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/87eijyk7w9@sghpc.golosunov.pp.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Friday 05 March 2010 16:39:57 Alexander Danilov wrote:
> Недостаточно, можно придумать как этот /bin/kill туда снова залить.

Ну и что, если рута нет? Вот трафик прокачать залитым бинарем можно, 
спам разослать, с этими проблемами бороться сложнее, но они и 
виртуалками не решаются.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Alexander Danilov]

Степан Голосунов пишет:

Alexander Danilov  writes:

Степан Голосунов пишет:

Alexander Danilov  writes:

Dmitry E. Oboukhov пишет:

А если смонтировать рут с nodev?

То очень многие программы удивятся отсутсвию /dev/null, /dev/zero,
/dev/tty etc. До степени, несовместимой с жизнью.

AP> Неправда. Удивятся, да еще до степени, несовместимой с жизнью, -
AP> не многие.
openssh-server без /dev/null не работает. проверь


Ну я уже вроде бы выяснил, что можно примонтировать /dev/ отдельно только с 
нужными устройствами,
пока ещё никто не доказал, что я неправ.

А что-то мешает руту подмонтировать, к примеру, tmpfs и сделать в ней
все необходимые устройства? 

Это если есть возможность монтировать.


А куда она у рута денется?


Я в этой вертке приводил результаты моих экспериментов, мне не удалось 
примонтировать как надо,
подскажите правильный вариант




И совсем непонятно, как chroot мог бы

защитить от мелких пакостей вида kill -9 1.

Речь шла о выходе из chroot, а не о причинении пакостей, но я полагаю, что и 
эту проблему можно решить.


При помощи тех средств, которыми это можно решить, можно запретить
руту лезть куда не надо и без chroot...


Ну и стандартный способ выхода из чрута описан в man 2 chroot.

А если сделать cd в тот каталог, в котором поток будет корень файловой
системы, что этот способ сработает?


Так /usr/sbin/chroot этот cd всегда делает. Что никак не мешает выходу
из чрута при помощи

mkdir ("x", 0777);
chroot ("x");
chroot ("../../../../../../../../../../../../../../../..");
execl ("/bin/sh", "/bin/sh", (char *) NULL);




проверю


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4b910a2b.4050...@gmail.com

Re: OpenVZ

[Alexander Danilov]

Alexey Pechnikov пишет:

Hello!

On Thursday 04 March 2010 17:50:28 Alexander Danilov wrote:

И совсем непонятно, как chroot мог бы

защитить от мелких пакостей вида kill -9 1.

Речь шла о выходе из chroot, а не о причинении пакостей, но я полагаю, что и 
эту проблему можно решить.


Конечно, можно, - достаточно удалить /bin/kill в чруте.



Недостаточно, можно придумать как этот /bin/kill туда снова залить.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4b9109ad.7090...@gmail.com

Re: OpenVZ

[Степан Голосунов]

Alexander Danilov  writes:
> Степан Голосунов пишет:
>> Alexander Danilov  writes:
>>> Dmitry E. Oboukhov пишет:
>>> А если смонтировать рут с nodev?
>> То очень многие программы удивятся отсутсвию /dev/null, /dev/zero,
>> /dev/tty etc. До степени, несовместимой с жизнью.
 AP> Неправда. Удивятся, да еще до степени, несовместимой с жизнью, -
 AP> не многие.
 openssh-server без /dev/null не работает. проверь

>>> Ну я уже вроде бы выяснил, что можно примонтировать /dev/ отдельно только с 
>>> нужными устройствами,
>>> пока ещё никто не доказал, что я неправ.
>>
>> А что-то мешает руту подмонтировать, к примеру, tmpfs и сделать в ней
>> все необходимые устройства? 
>
> Это если есть возможность монтировать.

А куда она у рута денется?

> И совсем непонятно, как chroot мог бы
>> защитить от мелких пакостей вида kill -9 1.
>
> Речь шла о выходе из chroot, а не о причинении пакостей, но я полагаю, что и 
> эту проблему можно решить.

При помощи тех средств, которыми это можно решить, можно запретить
руту лезть куда не надо и без chroot...

>> Ну и стандартный способ выхода из чрута описан в man 2 chroot.
>
> А если сделать cd в тот каталог, в котором поток будет корень файловой
> системы, что этот способ сработает?

Так /usr/sbin/chroot этот cd всегда делает. Что никак не мешает выходу
из чрута при помощи

mkdir ("x", 0777);
chroot ("x");
chroot ("../../../../../../../../../../../../../../../..");
execl ("/bin/sh", "/bin/sh", (char *) NULL);


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/87lje7jtsq@sghpc.golosunov.pp.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Thursday 04 March 2010 20:34:02 Dmitry E. Oboukhov wrote:
> AP>> Конечно, можно, - достаточно удалить /bin/kill в чруте.
> 
> AC> А заодно /bin/sh (покажи мне нынче sh, у которого kill - не builtin).
> 
> а заодно и системные вызовы kill и exec

Это без рута-то? Ну-ну. Файл /bin/kill не нужен, потому его логично 
удалить, вдруг какая убунта его суидным делает.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Dmitry E. Oboukhov]

>>> И совсем непонятно, как chroot мог бы
 защитить от мелких пакостей вида kill -9 1.
>>> 
>>> Речь шла о выходе из chroot, а не о причинении пакостей, но я
>>> полагаю, что и эту проблему можно решить.

AP>> Конечно, можно, - достаточно удалить /bin/kill в чруте.

AC> А заодно /bin/sh (покажи мне нынче sh, у которого kill - не builtin).

а заодно и системные вызовы kill и exec
-- 
... mpd is off

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: OpenVZ

[Artem Chuprina]

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 4 Mar 2010 19:28:41 
+0300:

 >> И совсем непонятно, как chroot мог бы
 >> > защитить от мелких пакостей вида kill -9 1.
 >> 
 >> Речь шла о выходе из chroot, а не о причинении пакостей, но я
 >> полагаю, что и эту проблему можно решить.

 AP> Конечно, можно, - достаточно удалить /bin/kill в чруте.

А заодно /bin/sh (покажи мне нынче sh, у которого kill - не builtin).

-- 
Современной называется технология, которую пытаются совать во все дырки
независимо от того, заточена она под них или нет.
Д. Белявский


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52964...@tigger.lan.cryptocom.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Thursday 04 March 2010 17:50:28 Alexander Danilov wrote:
> И совсем непонятно, как chroot мог бы
> > защитить от мелких пакостей вида kill -9 1.
> 
> Речь шла о выходе из chroot, а не о причинении пакостей, но я полагаю, что и 
> эту проблему можно решить.

Конечно, можно, - достаточно удалить /bin/kill в чруте.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Alexander Danilov]

Степан Голосунов пишет:

Alexander Danilov  writes:


Dmitry E. Oboukhov пишет:

А если смонтировать рут с nodev?

То очень многие программы удивятся отсутсвию /dev/null, /dev/zero,
/dev/tty etc. До степени, несовместимой с жизнью.

AP> Неправда. Удивятся, да еще до степени, несовместимой с жизнью, -
AP> не многие.
openssh-server без /dev/null не работает. проверь


Ну я уже вроде бы выяснил, что можно примонтировать /dev/ отдельно только с 
нужными устройствами,
пока ещё никто не доказал, что я неправ.


А что-то мешает руту подмонтировать, к примеру, tmpfs и сделать в ней
все необходимые устройства? 


Это если есть возможность монтировать.

И совсем непонятно, как chroot мог бы

защитить от мелких пакостей вида kill -9 1.


Речь шла о выходе из chroot, а не о причинении пакостей, но я полагаю, что и 
эту проблему можно решить.



Ну и стандартный способ выхода из чрута описан в man 2 chroot.




А если сделать cd в тот каталог, в котором поток будет корень файловой системы, что этот способ 
сработает?



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4b8fc8b4.6030...@gmail.com

Re: OpenVZ

[Степан Голосунов]

Alexander Danilov  writes:

> Dmitry E. Oboukhov пишет:
> А если смонтировать рут с nodev?
 То очень многие программы удивятся отсутсвию /dev/null, /dev/zero,
 /dev/tty etc. До степени, несовместимой с жизнью.
>>
>> AP> Неправда. Удивятся, да еще до степени, несовместимой с жизнью, -
>> AP> не многие.
>> openssh-server без /dev/null не работает. проверь
>>
>
> Ну я уже вроде бы выяснил, что можно примонтировать /dev/ отдельно только с 
> нужными устройствами,
> пока ещё никто не доказал, что я неправ.

А что-то мешает руту подмонтировать, к примеру, tmpfs и сделать в ней
все необходимые устройства? И совсем непонятно, как chroot мог бы
защитить от мелких пакостей вида kill -9 1.

Ну и стандартный способ выхода из чрута описан в man 2 chroot.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/87tysxjlzc@sghpc.golosunov.pp.ru

Re: OpenVZ

[Alexey Pechnikov]

Hello!

On Wednesday 03 March 2010 17:23:52 Dmitry E. Oboukhov wrote:
> рут сможет перемонтировать этот /dev так как ему [по]нравится

Чем-то напоминает задачку вида "а если бог всемогущ, может ли он 
создать такой камень, который не сможет поднять?". Схоластика это
все, т.к. чрут вовсе не решение проблемы, когда вы раздали _всем 
пользователям_ рутовые права. Давайте рассматривать реальную
ситуацию - есть пользователь в чруте, рутовых прав у него нет,
софта в чруте, запущенного с рутовыми правами тоже нет. 
Покажите, в чем, по вашему мнению, чрут несекьюрен.

P.S. Судя по недавнему сообщению в блоге Витуса, openvz также 
отнюдь не панацея против бесчинств рута в контейнере.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Re: OpenVZ

[Dmitry E. Oboukhov]

> А если смонтировать рут с nodev?
 То очень многие программы удивятся отсутсвию /dev/null, /dev/zero,
 /dev/tty etc. До степени, несовместимой с жизнью.
>> 
AP>>> Неправда. Удивятся, да еще до степени, несовместимой с жизнью, -
AP>>> не многие.
>> openssh-server без /dev/null не работает. проверь
>> 

AD> Ну я уже вроде бы выяснил, что можно примонтировать /dev/ отдельно только с 
нужными устройствами,
AD> пока ещё никто не доказал, что я неправ.

рут сможет перемонтировать этот /dev так как ему [по]нравится
-- 
... mpd playing: Manowar - 03 The Gods Made Heavy Metal

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: OpenVZ

[Alexander Danilov]

Dmitry E. Oboukhov пишет:

А если смонтировать рут с nodev?

То очень многие программы удивятся отсутсвию /dev/null, /dev/zero,
/dev/tty etc. До степени, несовместимой с жизнью.


AP> Неправда. Удивятся, да еще до степени, несовместимой с жизнью, -
AP> не многие.
openssh-server без /dev/null не работает. проверь



Ну я уже вроде бы выяснил, что можно примонтировать /dev/ отдельно только с 
нужными устройствами,
пока ещё никто не доказал, что я неправ.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4b8e6fff.5090...@gmail.com