Общение на окологентушные темы - Вторник, 24 февраля 2015

Общение на окологентушные темы

gentoo@conference.gentoo.ru

Вторник, 24 февраля 2015< ^ >

winterheart установил(а) тему: Gentoo Linux || FAQ: http://www.gentoo.ru/faq || Вставки более 3 строк → app-text/wgetpaste || Логи: http://gentoo.ru/jabber/logs/ || Языками чешут в talks@conference.gentoo.ru || Фортунки http://fortunes.gentoo.ru || Gentoo.RU переехал целиком на Yandex || Gentoo Iron Penguin

Конфигурация комнаты

Участники комнаты

GMT+3
[00:09:04] slepnoga вышел(а) из комнаты
[00:30:53] evadim вышел(а) из комнаты
[00:32:58] evadim вошёл(а) в комнату
[00:45:50] edgbla вышел(а) из комнаты
[01:46:58] Civilian вышел(а) из комнаты
[01:48:18] Civilian вошёл(а) в комнату
[02:05:17] CarelessChaser вошёл(а) в комнату
[02:20:53] GoodWin вошёл(а) в комнату
[02:21:59] evadim вышел(а) из комнаты: Replaced by new connection
[02:22:09] evadim вошёл(а) в комнату
[03:24:27] Vurtatoo вошёл(а) в комнату
[03:39:44] Vurtatoo вышел(а) из комнаты
[04:00:06] olegon вышел(а) из комнаты
[04:27:03] fsteinel вышел(а) из комнаты: Disconnected: closed
[04:38:03] fsteinel вошёл(а) в комнату
[04:47:15] reonaydo вошёл(а) в комнату
[05:07:33] beelzebubbie вошёл(а) в комнату
[06:09:18] Magistr вошёл(а) в комнату
[06:44:36] Интеллект вошёл(а) в комнату
[06:45:06] eegorov вошёл(а) в комнату
[07:44:49] olegon вошёл(а) в комнату
[08:59:25] beelzebubbie вышел(а) из комнаты
[09:00:06] krigstask вышел(а) из комнаты
[09:21:15] conformist вышел(а) из комнаты
[09:22:24] Night Nord вошёл(а) в комнату
[09:24:11] slepnoga вошёл(а) в комнату
[09:37:53] conformist вошёл(а) в комнату
[09:41:21] conformist вышел(а) из комнаты
[09:42:15] slepnoga вышел(а) из комнаты: Replaced by new connection
[09:42:25] slepnoga вошёл(а) в комнату
[09:58:47] conformist вошёл(а) в комнату
[10:01:13] conformist вышел(а) из комнаты
[10:11:35] krigstask вошёл(а) в комнату
[10:15:43] conformist вошёл(а) в комнату
[10:15:48] conformist вышел(а) из комнаты
[10:17:22] Civilian вышел(а) из комнаты
[10:31:34] beelzebubbie вошёл(а) в комнату
[10:37:00] slepnoga вошёл(а) в комнату
[10:42:24] bober2000 вошёл(а) в комнату
[11:05:35] slepnoga вышел(а) из комнаты: Replaced by new connection
[11:05:45] slepnoga вошёл(а) в комнату
[11:09:27] Civilian вошёл(а) в комнату
[11:20:47] krigstask вышел(а) из комнаты: Datorn somnade
[11:31:57] conformist вошёл(а) в комнату
[11:41:30] evadim вошёл(а) в комнату
[11:51:52] bober2000 вошёл(а) в комнату
[11:55:27] WiseLord вышел(а) из комнаты
[11:55:32] krigstask вошёл(а) в комнату
[12:07:30] bober2000 вышел(а) из комнаты
[12:16:28] conformist вышел(а) из комнаты
[12:23:12] conformist вошёл(а) в комнату
[12:49:53] 0xd34df00d вышел(а) из комнаты: Disconnected: closed
[12:50:24] 0xd34df00d вошёл(а) в комнату
[12:53:39] hitecnologys вошёл(а) в комнату
[13:06:33] reonaydo вышел(а) из комнаты: Отключён
[13:16:59] 0xd34df00d вошёл(а) в комнату
[13:42:47] 0xd34df00d вышел(а) из комнаты: Disconnected: Replaced by new connection
[13:42:57] 0xd34df00d вошёл(а) в комнату
[13:54:52] conformist вошёл(а) в комнату
[13:55:59] conformist вышел(а) из комнаты: Вышел из Vacuum-IM
[13:56:43] CarelessChaser вышел(а) из комнаты
[14:02:10] conformist вышел(а) из комнаты
[14:02:20] conformist вошёл(а) в комнату
[14:04:41] conformist вышел(а) из комнаты
[14:07:28] conformist вошёл(а) в комнату
[14:09:00] mist вышел(а) из комнаты
[14:12:08] mist вошёл(а) в комнату
[14:14:31] conformist вышел(а) из комнаты
[14:20:14] conformist вошёл(а) в комнату
[14:23:22] conformist вышел(а) из комнаты
[14:23:32] conformist вошёл(а) в комнату
[14:31:55] conformist вышел(а) из комнаты
[14:32:06] conformist вошёл(а) в комнату
[14:32:40] conformist вышел(а) из комнаты
[14:33:50] conformist вошёл(а) в комнату
[14:35:02] Magistr вышел(а) из комнаты
[14:38:45] GoodWin вышел(а) из комнаты: Replaced by new connection
[14:38:57] GoodWin вошёл(а) в комнату
[14:39:07] GoodWin вышел(а) из комнаты: Replaced by new connection
[14:39:35] GoodWin вошёл(а) в комнату
[14:39:47] Perlovka вышел(а) из комнаты
[14:40:37] GoodWin вышел(а) из комнаты: Replaced by new connection
[14:40:47] GoodWin вошёл(а) в комнату
[14:42:11] GoodWin вышел(а) из комнаты: Replaced by new connection
[14:42:21] GoodWin вошёл(а) в комнату
[14:43:30] conformist вышел(а) из комнаты
[14:43:40] conformist вошёл(а) в комнату
[14:47:14] GoodWin вышел(а) из комнаты: Replaced by new connection
[14:47:24] GoodWin вошёл(а) в комнату
[15:21:59] nis вошёл(а) в комнату
[15:57:33] qnikst вышел(а) из комнаты: Replaced by new connection
[15:57:43] qnikst вошёл(а) в комнату
[15:58:44] Mellon вошёл(а) в комнату
[15:59:08] qnikst вышел(а) из комнаты: Replaced by new connection
[15:59:18] qnikst вошёл(а) в комнату
[15:59:54] conformist вышел(а) из комнаты
[15:59:55] krigstask вышел(а) из комнаты: Replaced by new connection
[16:00:05] krigstask вошёл(а) в комнату
[16:00:22] Mellon вышел(а) из комнаты
[16:00:23] conformist вошёл(а) в комнату
[16:00:45] Интеллект вышел(а) из комнаты
[16:01:23] Mellon вошёл(а) в комнату
[16:02:10] Mellon вышел(а) из комнаты
[16:02:48] Mellon вошёл(а) в комнату
[16:03:00] conformist вышел(а) из комнаты
[16:03:11] conformist вошёл(а) в комнату
[16:04:27] conformist вышел(а) из комнаты
[16:04:37] conformist вошёл(а) в комнату
[16:09:52] conformist вышел(а) из комнаты
[16:13:27] conformist вошёл(а) в комнату
[16:49:54] Night Nord вышел(а) из комнаты
[16:51:54] edgbla вошёл(а) в комнату
[16:51:57] Night Nord вошёл(а) в комнату
[17:10:50] <Civilian> https://www.debian.org/security/2015/dsa-3170
[17:10:52] <Civilian> slepnoga: ^
[17:21:04] <nis> Civilian: http://www.opennet.ru/opennews/art.shtml?num=41712 - может ему ещё что-нибудь проставить, чтобы после 4.1 сразу вышел 10)
[17:21:23] <Civilian> :)
[17:22:21] <nis> кстати в китае же 4 несчастливое число
[17:22:31] <nis> поэтому там останется 3.17
[17:22:32] <nis> ))
[17:25:26] medvedko вошёл(а) в комнату
[17:26:09] <nis> Civilian: Linux NT 4.0)))
[17:26:44] <Civilian> nis: 3.19 :)
[17:27:02] <nis> ну пусть даже 3.19
[17:31:02] <Civilian> nis: 4 кстати в японии несастливое
[17:31:48] <nis> ага
[17:31:58] <nis> т.к. там те же кандзи что и в китае
[17:34:04] <Civilian> ну да )
[17:41:14] hitecnologys вышел(а) из комнаты
[17:44:34] Perlovka вошёл(а) в комнату
[17:46:51] Night Nord вышел(а) из комнаты
[18:01:16] edgbla вышел(а) из комнаты
[18:14:16] <slepnoga> Civilian: уже не актуально :)
[18:14:52] <slepnoga> 2,95 в месяц за инстанс и забыли
[18:15:35] <Civilian> slepnoga: в смысле?
[18:20:33] <slepnoga> http://kernelcare.com/pricing/
[18:20:56] <Civilian> slepnoga: но не все апдейты )
[18:20:58] <Civilian> так то да
[18:21:37] <slepnoga> пока не видел незапатченного
[18:22:14] <slepnoga> погляди на хабре, там их главный  писал что и как патчат
[18:22:19] <slepnoga> это же русские
[18:23:48] <Civilian> slepnoga: нууу )
[18:23:52] hitecnologys вошёл(а) в комнату
[18:23:54] <Civilian> РХЕЛ-онли
[18:24:00] <slepnoga> нифига :)
[18:24:11] <Civilian> значит статья старая )
[18:24:21] hitecnologys вышел(а) из комнаты
[18:24:30] hitecnologys вошёл(а) в комнату
[18:24:35] <slepnoga> но да, конечно генты патчить никто не будет
[18:24:49] <slepnoga> собственно непонатно, что именно патчить
[18:24:57] <Civilian> ну генту и на серверах держать не нужно
[18:25:08] <Civilian> а десктоп я, так уж и быть, ребутну )
[18:25:31] <slepnoga> KernelCare supports CentOS and RHEL 5, 6 and 7, CloudLinux 5 and 6, OpenVZ, Virtuozzo, PCS and Debian 6 for x86_64 unmodified kernels. Debian 7, Ubuntu and other kernels will follow.
[18:25:48] edgbla вошёл(а) в комнату
[18:26:11] <slepnoga> <Civilian> ну генту и на серверах держать не нужно
[18:26:20] <slepnoga> ты эта, никому не говори про это
[18:26:25] <slepnoga> а то налетят
[18:26:26] <Civilian> почему? )
[18:26:33] <slepnoga> а мне модерировать
[18:26:39] <slepnoga> ;)
[18:29:10] <slepnoga> 2.6.32-531.29.2.lve1.3.11.1.el5h.x86_64+
[18:29:26] <Civilian> slepnoga: я пытаюсь понять как они работают )
[18:29:29] <slepnoga> http://dpaste.com/3TCZGQM
[18:29:46] <slepnoga> модулем
[18:29:58] <Civilian> модуль ядра, который патчит?
[18:30:01] <Civilian> ну логично, да
[18:30:12] <slepnoga> кспалайс, конешна
[18:30:32] <Civilian> slepnoga: в 4-ке должно быть натичное
[18:31:34] <slepnoga> нууу
[18:31:44] <slepnoga> патчи сам будешь делать ? :)
[18:32:37] <slepnoga> Civilian: http://dpaste.com/24YGR1A
[18:32:43] <slepnoga> вот так примерно
[18:33:06] <slepnoga> ls /dev/kcare
/dev/kcare
[18:33:42] <slepnoga> modinfo kcare
filename:       /lib/modules/2.6.32-531.29.2.lve1.3.11.1.el6.x86_64/extra/kcare.ko
version:        1.3
license:        GPL v2
srcversion:     FEA0252803EC0A3AC66D41D
depends:
vermagic:       2.6.32-531.29.2.lve1.3.11.1.el6.x86_64 SMP mod_unload modversions
parm:           kpatch_debug:Turn debug logs on/off. kpatch_debug=1 enables debug logs. (int)
[18:34:09] <Civilian> круто
[18:34:10] <nis> slepnoga: патчи накладывают вот так - dd if=/dev/zero of=/dev/bios
[18:34:11] <Civilian> быстро
[18:34:18] <slepnoga> можешь повтыкать в сорцы
[18:34:32] <slepnoga> nis: обтекай уже
[18:36:13] <slepnoga> Civilian: Q: Is KernelCare software released under open source?
The kernel module is released under GPL2, and you can download it here: http://patches.kernelcare.com/kmod_kcare.tar.gz
Other components are distributed in binary only format under KernelCare License
[18:36:38] <nis> монолитные патчи - ужос
[18:37:16] <slepnoga> Civilian: весь список патчей - http://patches.kernelcare.com
[18:38:05] <slepnoga> nis: когда у тя будет хотя бы 500 железяк с 24/7 - тогда приходи, я с удовольтвем послушаю твои советы
[18:38:20] <slepnoga> и наверно сделаю 3 раза кю
[18:38:49] <nis> я бы сказал как этот аргумент называется
[18:39:31] <slepnoga> он называется спердобейся
[18:39:51] <slepnoga> и именно поэтому в вузе не преподают школьники и студенты
[18:40:21] <slepnoga> а конторами IT не руководят красноглазики
[18:41:11] <slepnoga> аргумент спердобейся  в отрицателном качестве придумали те, кто как раз таки должен был бы спердобится
[18:41:33] <Civilian> nis: иногда правда ребутнуть машину это огромный гиморой
[18:41:40] <Civilian> nis: потому что на ней живет 20 клиентов
[18:41:42] <Civilian> или 50 клиентов
[18:41:53] <Civilian> и сумарно час простоя компании обойдется в твою зарплату
[18:41:58] <Civilian> или десять твоих зарплат
[18:42:07] <Civilian> а иногда десять твоих годовых зарплат )
[18:42:17] <Civilian> если очень не повезет - пожизненных зарплат )
[18:42:29] <nis> Civilian: когда такое происходит, то это повод задуматься над архитектурой
[18:42:52] <Civilian> nis: ага, тока потом объясни руководству, если это какой-нибудь газпром или страховая
[18:42:58] <Civilian> почему их система должна постоять часок
[18:43:11] <Civilian> или почему работающую отлично (деньги приносит же) систему надо переделать
[18:43:32] <nis> Civilian: кто-то уже подобное говорил и с другой стороны
[18:43:41] <Civilian> nis: ну и как бы классическая задача на собеседования в любую крупную IT компанию - обнови ядро на 10000 серверах
[18:43:43] <nis> и точто это был ты
[18:43:49] <Civilian> с минимальным даунтаймом за минимальное время
[18:43:53] <nis> про руководство и старое ПО
[18:43:55] <Civilian> have fun на решение
[18:43:57] <mva> [21:15:46] <Civilian> ну генту и на серверах держать не нужно
[18:43:59] <mva> чойта
[18:44:04] <Civilian> mva: тойта
[18:44:32] <Civilian> nis: смотри шире - компании разные. В IT компании обновить ядро тебя заставят, даже если ты не хочешь
[18:44:43] <Civilian> но см выше вопрос про "обнови ядро на 10000 серверах за минимальное время"
[18:44:49] <Civilian> учитывая что ребут сервера это 3-4 минуты
[18:45:04] <Civilian> и на этих 10к железках продолжают крутиться сервисы
[18:45:16] <Civilian> и есть конечно избыточность, но как бы нельзя взять и ребутнуть 5000
[18:45:41] <mva> kexec отменили?
[18:45:50] <Civilian> mva: софт поднять еще надо
[18:45:51] <mva> // и поконкретнее про генту на серверах
[18:45:55] <Civilian> mva: кэши прогреть
[18:45:58] <Civilian> и п.р
[18:46:10] <Civilian> mva: нет нормальных бинарных пакетов :P
[18:46:14] <nis> Civilian: я понимаю что условия задачи изначально неправильные
[18:46:24] <Civilian> nis: почему? это типичная задача
[18:46:27] <Civilian> вышла CVE
[18:46:30] <Civilian> у тебя 10к серверов
[18:46:32] <Civilian> нужно обновить ядро
[18:46:35] <Civilian> вперед )
[18:46:40] <mva> Civilian: 1) есть, 2) безопасность и бинарные пакеты = антонимы
[18:46:57] <Civilian> mva: и всякие папеты-шефы-ансиблы и прочие солты с гентой похуже работают
[18:47:41] <mva> а теперь вспомним про то, что как минимум два из них хардепендед от руби 1.9
[18:47:52] <Civilian> mva: ну это тоже проблема, да
[18:47:54] <mva> у которого есть незакрытые security issues и он вообще EOL
[18:48:19] <mva> и это проблемы не генты
[18:48:20] <mva> :)
[18:48:20] <Civilian> mva: тока вот управлять железом как-то надо
[18:48:31] <Nikoli> новая драма намечается https://bugs.gentoo.org/show_bug.cgi?id=535782
[18:48:37] <Civilian> mva: это проблемы админа, что нет средств управления конфигурациями лучше чем /etc в git :)
[18:48:45] <mva> ну, обычно у того, у кого есть деньги на 10к серверов есть деньги и настроить управление
[18:48:55] <0xd34df00d> Азаза.
[18:48:57] <0xd34df00d> Азазпзпззпщп.
[18:49:22] <Civilian> mva: да даже 100 серверов в одном проекте уже будут проблемой
[18:49:29] <nis> Civilian: потому, что мы изначально выбрали лисапед, а теперь покажите как вы на ходу будете менять колёса
[18:49:43] <Civilian> nis: ну как бы CVE есть? есть
[18:49:46] <Civilian> ядро есть? есть
[18:49:52] <Civilian> обновлять надо? надо
[18:49:57] <Civilian> куча железа есть? есть
[18:50:01] <Civilian> отсюда и задача
[18:50:04] <Civilian> очень даже real world
[18:50:26] <Civilian> nis: и тебе от такой задачи никуда не уйти, когда ты админишь большой парк железа
[18:50:42] <mva> Civilian: ну эт
[18:50:42] <Civilian> не важно какая ОС - периодически нужно выкатить жирное обновление какогон-ибудь базового компонента
[18:51:00] <mva> я бы никогда блоб не стал ставить на сервера, где идёт речь о безопасности
[18:51:19] <mva> (это я про юзерспейс часть kcare)
[18:52:49] <Civilian> mva: блобов в этом мире куча по любому
[18:52:52] <Civilian> вопрос в доверии
[18:53:01] <mva> как будто мне есть дело до мира
[18:53:11] <Civilian> mva: у тебя на серверах тоже
[18:53:12] <mva> // и я не доверяю всяким рашкостартапам :)
[18:53:34] <Civilian> mva: BIOS/UEFI, Microcode в CPU, BIOS в HDD/SSD
[18:53:39] <Civilian> на вскидку
[18:53:53] <mva> > *ставить*
[18:53:54] <Civilian> фирмваря сетевушки
[18:54:09] <Civilian> mva: ну ты их и так "ставишь" ) физически )
[18:54:22] <mva> ну...
[18:54:30] <mva> учитывая, что я арендую сервера - нет
[18:54:31] <mva> :)
[18:54:44] <Civilian> nis: ты подумай над архитектурой решения, которое на такое способно )
[18:54:56] <Civilian> nis: исходя из того что ребут железки занимает условно 10 минут
[18:55:05] <Civilian> с учетом прогрева кэша, старта всякой фигни и пр.
[18:55:39] <Civilian> nis: можешь начать ваще с полного нуля - т.е. у тебя есть 10к серверов тебе нужно спланировать правильную схему.
[18:55:49] <Civilian> т.е. включая то, что будет обновления отдавать
[18:56:14] <Civilian> и бюджет в разумных пределах (т.е. не бесконечность денег, но на десяток серверов хватит)
[18:56:32] <Civilian> и понимание что время ограниченно )
[18:58:41] <mva> если есть деньги на десяток кило серверов, то ещё на один для отдачи обновлений всяко найдутся
[18:58:53] <mva> решений для управления и мониторинга - миллионы
[18:58:56] <Civilian> mva: десяток кило серверов этот один уложат
[18:58:56] <mva> в т.ч. открытых
[18:59:02] <Civilian> просто влет
[18:59:04] <Civilian> по каналу
[18:59:17] <mva> Civilian: ну, именно ОТДАВАТЬ он не обязан один, ок
[18:59:27] <mva> но билдить и тестировать - справится
[18:59:33] <Civilian> mva: я поэтому и сказал что 10-ок можно воткнуть, чтобы можно было разгуляться
[18:59:42] <Civilian> mva: ну и не всегда в деньгах дело
[18:59:53] <Civilian> например может быть что в ДЦ место кончилось, а новая очередь еще строится
[19:00:04] <mva> решаемый вопрос
[19:00:04] <Civilian> и доступное место отдается только под super-critical вещи
[19:00:14] <mva> и всё равно все доводы против генты - косвенные
[19:00:20] <Civilian> mva: управлять сложно
[19:00:21] <mva> и подразумевающие ленивость
[19:00:28] <Civilian> mva: под генту надо свою систему пилить, а это время
[19:00:37] <Civilian> или мирится с дедовскими способами
[19:00:48] <Civilian> плюс непредсказуемость релизных циклов
[19:01:14] <Civilian> а знаичт нужно иметь хотя бы одного человека со скилами уровня генту-дева, а лучше двух для отказоустойчивости )
[19:01:43] <Civilian> mva: на уровне "у нас тут колхоз из 5 железок" не важно какая ОС
[19:02:00] <Civilian> можно и for i in {01..05}; do ssh host${i}; done делать
[19:02:17] <Civilian> проблемы начнутся где-то от 50 железок и дальше
[19:02:26] <Civilian> на 300+ уже станут острыми
[19:02:48] <Civilian> на генте раньше прийдется делать билд-ферму, которая апдейты будет собирать
[19:02:58] <Civilian> т.к. на 10 серверах в продакшене конпелять глибц - это изврат
[19:03:36] <Civilian> время с момента публикации CVE до реального фикса больше, потому что публиация обычно идет когда мажорные дистры уже выкатили или выкатывают апдейты
[19:03:40] <Civilian> а в генте его еще собирать прийдется
[19:05:00] <nis> Civilian: selvi lestra
[19:05:02] <mva> Civilian: а ты про Hardened слышал?
[19:05:10] <nis> в чистом виде
[19:05:19] <mva> про PaX, там, Hardened GCC, канарейки вот это всё
[19:05:30] <nis> т.е. если сервак скончается по железу то вы потереятет 100500 клиентов
[19:05:45] <nis> если следовать вашей логике
[19:07:23] <nis> Civilian: ты конечно извини, но даже у нас за такой бардак дают лю
[19:07:25] <nis> лей
[19:07:32] <nis> и по собственному
[19:08:32] <0xd34df00d> А у нас.
[19:08:33] <0xd34df00d> А у нас.
[19:09:44] <0xd34df00d> А у нас час назад обсуждалось, что мы не сможем выкатывать обновления на один датасет ежедневно, потому что процесс раскидывания обновлений по 14 (прописью: четырнадцати) машинам ручной и затруднен кучей всякого кала.
[19:10:01] <0xd34df00d> Поэтому сошлись на еженедельных обновлениях.
[19:10:59] <Magistr> 0xd34df00d: издательства издательства никогда не меняються
[19:11:15] <Magistr> 0xd34df00d: у вас и сайты поди на яве ?
[19:13:59] <0xd34df00d> Хз.
[19:14:24] <0xd34df00d> Слишком далеко от меня.
[19:15:37] <nis> Civilian: и да по которое я пилю допускает падение железа, включая того на котором оно вертится
[19:19:40] <nis> и если нужно резервирование включая горячее об этом думают ещё тогда, когда есть только эскизы
[19:26:42] conformist вышел(а) из комнаты
[19:29:03] <Civilian> nis: ну в случаи "обновить 10к серверов" - имеется в виду с учетом резерва, который в лучшем случаи 50%
[19:29:09] Mellon вышел(а) из комнаты
[19:29:10] <Civilian> а на практике скорее всего 20-25%
[19:29:12] <Civilian> а то и 10%
[19:29:19] Mellon вошёл(а) в комнату
[19:29:24] <Civilian> ибо офигенно дорого
[19:29:28] <nis> Civilian: никто не обновляет на "горячую", т.к. это ещё больший риск
[19:29:38] <Civilian> nis: сложный вопрос
[19:29:38] <nis> если данные не синхронизированны
[19:29:55] <Civilian> nis: обновление на горячую сократило бы время апдейта
[19:30:15] <nis> само понятие апдейт это не правильно
[19:30:22] <nis> правильней апгрейд
[19:30:22] <Civilian> nis: а как? )
[19:30:26] <Civilian> nis: не суть
[19:30:28] <nis> суть
[19:30:34] <Civilian> nis: тебе нужно поменять ядро
[19:30:37] <Civilian> не важно как это назвать
[19:30:43] <nis> мне не нужно менять ядро
[19:30:47] <Civilian> nis: почему?
[19:30:52] <nis> потому что не нужно
[19:30:53] <Civilian> у тебя дыра в безопасности
[19:31:01] <Civilian> и злобные хакиры поломают твои железки
[19:31:10] <nis> даже если она есть в ядре меня это не волнует
[19:31:15] <0xd34df00d> Железка не нужна.
[19:31:22] <0xd34df00d> Вот и безопасность не нужна.
[19:31:23] <nis> т.к. злобные хакиры до железа не доходят
[19:31:25] <Civilian> nis: почему?
[19:31:29] <nis> вообще никак
[19:31:36] <nis> даже если сильно постараются
[19:31:37] <Civilian> nis: железо обрабатывает запросы
[19:31:48] <nis> они даже не догадываются о его наличие
[19:31:54] <nis> даже я об этом не знаю
[19:31:54] <Civilian> о да
[19:32:07] <Civilian> про крупные компании они знают что там есть железо
[19:32:11] <Civilian> не знают какое, да
[19:32:19] <Civilian> и найдя дыру в софте могут получить nobody
[19:32:30] conformist вошёл(а) в комнату
[19:32:30] <Civilian> получив nobody могут через crypto api загрузить вредоносный код
[19:32:32] <Civilian> и получить рута
[19:32:38] <Civilian> а дальше уже резвиться внутри сети
[19:32:40] <nis> а нефиг в паблик таращить то что может быть по определению сломано
[19:32:46] <Civilian> иногда в 3, 4, 5, 6 шагов
[19:32:54] <Civilian> nis: все может быть сломано
[19:32:59] qnikst вышел(а) из комнаты: Replaced by new connection
[19:33:00] <nis> далеко не всё
[19:33:06] <Civilian> nis: а что не может?
[19:33:09] qnikst вошёл(а) в комнату
[19:33:16] <Civilian> nis: любой код сложнее hello world может быть с багами
[19:33:17] <nis> то чья логика не предусматривает других действий
[19:33:22] <nis> раз
[19:33:30] <Civilian> nis: все равно можно найти ошибку в обработке запроса
[19:33:33] <Civilian> или что-нибудь еще такое
[19:33:44] <nis> то что строится с учётом неренабельности тех или иных угроз
[19:34:04] <nis> т.е. максимальной эффективности на типичные ошибки
[19:34:17] <Civilian> nis: и есть вероятность что там есть нетипичная
[19:34:22] <Civilian> которую найдут внешние люди
[19:34:29] <nis> также ПО которое делает свой взлом несущественным
[19:34:43] <Civilian> nis: можно проэксплуатировать несколько багов
[19:34:53] <nis> т.е. даже рутание тачки не даёт тебе ровно никакик приимуществ
[19:35:11] <Magistr> опять флейм о сферическом софте в вакууме
[19:35:12] <Civilian> nis: было буквально полгода назад, история о том как человек получил рут права на хромобуке проэксплуатировав аккуратно почти десяток уязвимостей
[19:35:22] <Civilian> все они были несущественными по отдельности
[19:35:27] <Civilian> но сумарно позволили получить рута
[19:35:29] jam666 вошёл(а) в комнату
[19:35:42] <Civilian> nis: получив рута можно начать рассылать с нее спам
[19:35:44] <Civilian> как минимум
[19:35:47] <nis> Civilian: имея в руках физически железку ты можешь её взломать
[19:35:54] <Civilian> nis: удаленно )
[19:36:01] <nis> а послав спам ты получишь бан
[19:36:08] <Civilian> nis: ну и получишь денюжку
[19:36:10] <nis> и сеть тебя дальше игнорирует
[19:36:19] <nis> а точнее изолирует
[19:36:21] <Civilian> nis: или поучавствовать в ботнете
[19:36:29] <nis> при первой активности с твоей стороны
[19:36:48] <Civilian> nis: тока если у тебя 10к однотипных железок (например веб-сервера обслуживающие жирный сайт с жирными кэшами) то зная как получить рута на одном ты получишь на всех 10к
[19:36:49] <Civilian> а это уже много
[19:37:09] <nis> после первого рута обычно ты уже залогирован
[19:37:33] <nis> что не делает тебе никаки преимуществ
[19:37:37] <Civilian> nis: чтобы кто-то узнал об этом нужно вести себя подозрительно, да и даже так у тебя будет время какое-то в системе
[19:37:50] <nis> это если руками следят
[19:37:51] <Civilian> nis: напримео можно быстро поюзать 10к серверов и общий канал актакованного на ддос
[19:37:53] <nis> а если система
[19:37:57] <nis> то это видно сразу
[19:37:58] <Civilian> nis: систему пишут руками
[19:38:08] <nis> да
[19:38:14] <nis> но тестирует она сама себя
[19:38:25] <Civilian> nis: чтобы поймать нарушителя нужно знать вредоносный трафик
[19:38:38] <nis> что не разрешено == запрещено
[19:38:43] <Civilian> nis: плюс если у тебя сервис с 10к серверами, то у тебя столько ВСЯКОГО трафика каждый день
[19:38:56] <Civilian> nis: ну вот веб-серверу надо отвечать
[19:39:04] <Civilian> если у тебя 10к серверов то минимум наружу 10гбит будет
[19:39:06] <Civilian> а то и больше
[19:39:19] <Civilian> ты сам представь себе сколько стоит поставить DPI на исходящий трафик?
[19:39:25] <nis> а зачем
[19:39:28] <Civilian> на 10гбит. А если это 100?
[19:39:34] <Civilian> nis: анализировать активность
[19:39:35] <nis> Civilian: ты мыслишь как-то плоско
[19:39:45] conformist вышел(а) из комнаты
[19:39:48] <Civilian> nis: как объясняешь, так и мыслю )
[19:40:00] <nis> исходя что машины тебе кто-то поставил и на них чужое по
[19:40:06] <nis> это раз
[19:40:17] <nis> во вторых слишком много противоречий
[19:40:17] conformist вошёл(а) в комнату
[19:40:23] <Civilian> nis: каких?
[19:40:36] <nis> например те что если уязвимость есть то тебя поимели
[19:40:46] <nis> и пофигу что ты узнал
[19:40:53] <Civilian> nis: если ты крупная компания, то это так и будет
[19:41:04] <nis> ты понёс убытки
[19:41:05] conformist вышел(а) из комнаты
[19:41:10] <nis> и всё
[19:41:14] <nis> fail
[19:41:15] <Civilian> даже незначительная уязвимость имеет шансы быть проэксплуатированной
[19:41:28] <nis> а ты не можешь заранее знать все уязвимости
[19:41:45] conformist вошёл(а) в комнату
[19:41:57] conformist вышел(а) из комнаты
[19:42:00] <nis> т.е. получается что компания балансирует на грани между жизнью и смертью
[19:42:12] <Civilian> nis: если уязвимость в паблике, она автоматом более критична и должна быть исправлена при первой возможности
[19:42:38] <Magistr> програмисты и продакт невсовместимы :)
[19:42:59] conformist вошёл(а) в комнату
[19:43:07] <nis> нашли уязвимость очень серъзного уровня - сломали твои сервера и всё
[19:43:09] <Civilian> Magistr: грустно то, что такие и пишут продакт )
[19:43:25] <Civilian> nis: так надо относится к таким вещам
[19:43:33] <nis> а ты даже не может этому противостоять
[19:43:41] krigstask вышел(а) из комнаты
[19:43:46] <nis> а всё потому, что ты не предусмотрел ровно ничего
[19:43:51] krigstask вошёл(а) в комнату
[19:44:33] <Civilian> nis: м? что не предусмотрел?
[19:44:38] <nis> ничего
[19:44:55] <Civilian> nis: что бы ты ни предусмотрел, уязвимость должна быть закрыта. Т.к. всегда возможно, что есть пусть её проэксплуатировать
[19:45:26] <nis> Civilian: вот тебе сделали dd if=/dev/urandom of=/dev/физические тома
[19:45:45] <nis> твои действия дальше
[19:45:50] <Civilian> nis: восстанавливать )
[19:46:11] <nis> а уже поздно
[19:46:44] <nis> а произошло это из-за того что ты недавно заливал секур патч, который оказался сплоитом
[19:47:00] <nis> но ты этого пока не знаешь
[19:47:04] <nis> твои действия
[19:47:05] <Civilian> nis: вопрос доверия патчам - это уже другая проблема
[19:47:59] <Civilian> nis: патчам от дистрибутива я скорее доверяю, чем нет. Патчам тем что нога показал - ну спорный вопрос на самом деле.
[19:48:30] <Magistr> ну дать безопасникам поизмываться, им же принимать решение пущать непущать
[19:48:56] <Civilian> это да )
[19:49:16] <Civilian> и потом сказать что безопасники одобрили, ответственность на них )
[19:49:18] <nis> Civilian: хакер сломал дистрибутив (умудрился сформировать распределённый сплоит)
[19:49:22] <Magistr> формально можно проверить что их бинарный патч на ядро, и твое ядро собранное с нормальным патчем совпадают по сегменту кода
[19:49:48] <Civilian> и раскатывать с тестинга, конечно же
[19:49:54] <Civilian> чтобы было на чем валидацию проводить
[19:50:36] <nis> Civilian: а если поведение сплоита подобно триггеру, т.е. на тестовом железе оно не проявит
[19:51:04] <Civilian> nis: выше магистр сказал, что ты можешь сверить код ядра с патчем и код ядра на версию выше, где патч уже есть
[19:51:04] <nis> а когда окажется на продакшене и "поймёт" что это продакшн то тут же активизируется?
[19:51:25] <nis> Civilian: я привёл пример где уязвимость есть в дистре
[19:51:36] <nis> т.е. в выше лежащем ядре она тоже есть
[19:51:51] <Magistr> ну и да адекватная модель угроз строиться, и по ней строиться защита, а не от всего что в голову нису взбрело
[19:52:10] <nis> Magistr: в том то и дело что это irl ситуация
[19:52:52] qnikst вышел(а) из комнаты: Replaced by new connection
[19:53:02] qnikst вошёл(а) в комнату
[19:53:30] <Magistr> как ты отличишь тестовый сервак от продакшена ?
[19:54:12] <nis> Magistr: по трафику и сетевому окружению
[19:54:13] <nis> раз
[19:54:30] <nis> можно расставить маркеры что будет на определённые запросы реагировать
[19:54:46] <Magistr> чем отличаеться трафик и сетевое окружение ?
[19:54:47] qnikst вышел(а) из комнаты: Replaced by new connection
[19:54:56] conformist вышел(а) из комнаты
[19:54:57] qnikst вошёл(а) в комнату
[19:55:04] <Magistr> какие запросы ? ты на тест можешь зеркалить трафик прода
[19:55:25] <nis> в трафике можно делать обмен
[19:55:31] conformist вошёл(а) в комнату
[19:55:35] <nis> в этом случае зеркало сразу будет обнаружен
[19:56:14] <Magistr> а кто сказал что тест будет обратно данные засылать ? а если и будет то тут и малварь и залдетектят
[19:56:50] <nis> можно так посылку оформить что ты не увидишь её на фоне трафика
[19:57:00] <nis> т.к. послылкой может быть что угодно
[19:57:11] <nis> включая частота отсылки пакетов
[19:57:15] <Civilian> nis: ну правильная выкладка ваще выглядит как дев-среда где ваще что угодно творится
[19:57:28] <Civilian> потом тестинг, на которой идет слепок трафика
[19:57:45] <Civilian> затем пре-стейбл, на который в идеале идет 1% людей реальных
[19:57:49] <Civilian> и потом стейбл
[19:57:55] <nis> Civilian: у дев среды нету подключения к реальным данным
[19:58:05] <nis> на этом можно и определить что происходит
[19:58:06] <Civilian> nis: или слепки делаемые скриптами-вручную
[19:58:19] <Civilian> nis: ага, но апдейты идут через тестинг, на который трафик зеркалируется
[19:58:22] <Civilian> реальный
[19:58:29] <nis> Civilian: можно сформировать трафик так что по нему можно будет понять время слепка
[19:58:36] <nis> и задержки
[19:58:47] <Civilian> nis: хз, у нас просто на ТС шел реальный трафик
[19:58:51] <nis> т.е. детект корзины вполне возможен
[19:58:56] <Civilian> 1/10 часть от production'а
[19:59:00] <Civilian> с теми же задержками
[19:59:10] <Civilian> люди морду не видели - да
[19:59:20] <Civilian> но только и всего
[19:59:53] <nis> Civilian: вот товарищ посмотрел что его боты активны и ждёт
[20:00:01] <nis> т.е. среда себя ничем не выдаёт
[20:00:07] <nis> месяц, другой
[20:00:16] <Civilian> nis: ну в тестинге софт может быть до полугода )
[20:00:20] jam666 вышел(а) из комнаты: Disconnected: closed
[20:00:20] <Civilian> зависит от того что за софт
[20:00:27] <nis> у тебя патч
[20:00:28] <nis> ядра
[20:00:32] <nis> который надо применять
[20:00:36] <nis> сейчас
[20:00:42] <Civilian> nis: а ты говорил что IRL - это какой патч такой был?
[20:00:49] <nis> да
[20:00:55] <Civilian> nis: ну покажи коммит
[20:01:47] <Civilian> nis: веселье в том, что этот патч в конкретно моем случаи - opensource и ядро opensource и запакуют его умные люди из дистрибутива, которые проведут проверки. Да и закоммитят умные люди из кернел девов
[20:01:56] <Civilian> ну и я прочитаю, как увижу описание CVE
[20:02:07] <Civilian> да и СБ компании тоже
[20:02:54] <nis> Civilian: ну да надежда на умных девов
[20:03:12] <Civilian> nis: надежда на то что из 10 пар глаз, просматривающих патч кто-нибудь да найдет в нем закладку
[20:03:17] <nis> ага
[20:03:23] <nis> если они весь код могут смотреть
[20:03:28] <nis> всего ядра пингвина
[20:03:32] <nis> http://labs.bromium.com/2015/02/02/exploiting-badiret-vulnerability-cve-2014-9322-linux-kernel-privilege-escalation/
[20:04:07] <nis> Civilian: помню один товарищь попорил что за 200 коммитов закодит незаметно от сообщества послание при загрузке пингвина
[20:06:24] <Civilian> nis: ну так нашли цве - значит надо исправлять
[20:06:58] <nis> нашли но опять же это локальный баг
[20:07:09] <nis> а не уязвимость SE
[20:07:42] <Civilian> nis: локальные баги можно проэксплуатировать получим пользовательские права
[20:07:44] qnikst вышел(а) из комнаты: Replaced by new connection
[20:07:52] <Civilian> а получить пользовательские права можно из-за других багов в другом софте
[20:07:54] qnikst вошёл(а) в комнату
[20:08:19] <Civilian> и твоя задача как админа - максимально усложить жизнь тому, кто получил у тебя пользователя
[20:08:33] <Civilian> (в идеале и усложнить получение пользователя, но это не совсем админская задача уже)
[20:10:07] <nis> ты для начала должен определить что это нелегальный пользователь
[20:10:19] <Civilian> nis: это не важно
[20:10:49] <Civilian> nis: твоя задача усложнить жизнь любому кто имеет доступ к системе и хочет сделать что-то нехорошее
[20:10:58] <Civilian> если у тебя ядро - дыряво как швейцарский сыр - нууу
[20:11:31] <Civilian> nis: это может быть какой-нибудь обиженный сотрудник с пользовательским доступом, а может быть и хакер получивший права www-data из-за бага в веб-сервере
[20:11:33] <Civilian> не важно
[20:11:48] <nis> т.е. легальный пользователь может получить фейл
[20:12:03] <Civilian> nis: если он захочет проэксплуатировать CVE - да
[20:12:07] <Civilian> должен получить фейл
[20:12:11] <Civilian> не важно, легальный или нет
[20:12:19] <Civilian> если у тебя должен быть рут - у тебя будет судо
[20:12:26] <nis> а если это хак в разработке базового софта
[20:12:26] <Civilian> если не должен быть - то нефиг пытаться его получить )
[20:12:42] <Civilian> nis: то это не мои проблемы
[20:12:47] <nis> как бывало часто с одним известным сервисом
[20:12:51] <Civilian> nis: проще базовый софт от рута запустить
[20:12:55] <Civilian> если ему рут нужен
[20:12:59] conformist вышел(а) из комнаты
[20:13:04] <Civilian> или навалять капабилити нужных
[20:13:09] <Civilian> или судо на конкретное действие дать
[20:13:11] <Civilian> или еще что
[20:13:33] <Civilian> или битой навалять разработчикам
[20:13:52] <Civilian> впрочем если это в софте, то идешь к безопасникам
[20:13:57] <Civilian> они в биту вобьют гвоздик
[20:14:00] <Civilian> и вторую возьмут
[20:14:07] <Civilian> и вместе идете к разработчикам, устраивать бойню
[20:14:12] conformist вошёл(а) в комнату
[20:14:50] <nis> Civilian: а разрабы то не в курсе что вебсервер кривой, т.к. это не их задача
[20:15:28] <Civilian> nis: я не знаю таких веб-серверов
[20:15:44] <nis> Civilian: да ну
[20:15:46] <nis> не верю
[20:15:46] <Civilian> а если разработчики настояли что им нужна конкретна эта фича конкретно этого веб-сервера, то см. выше про бойню
[20:15:57] <Civilian> nis: ну а какой веб-сервер эксплуатирует CVE ядра в своей работе?
[20:16:28] <nis> у апчи были такие баги
[20:17:07] <Civilian> nis: я апач лет 7 не видел уже
[20:17:19] <Civilian> поэтому за его багами не слежу
[20:17:29] <nis> и ломали ядра опен-вз через него
[20:17:37] conformist вышел(а) из комнаты
[20:17:43] CarelessChaser вошёл(а) в комнату
[20:17:50] <nis> а потом с помощью сплоита локального рута повышали до корневого
[20:17:59] <nis> реальный случай
[20:18:08] <nis> реальной конторы
[20:18:12] <Civilian> nis: я апач лет 7 не видел вживую
[20:18:17] <nis> ну вот
[20:19:04] <Civilian> nis: что вот? Я поэтому даже не в курсе о таких проблемах в нем
[20:21:11] <nis> это был частный пример
[20:21:33] <nis> что можно соорудить на базе того ПО что используется в любой другой конторе это факт
[20:21:56] <Civilian> nis: ну в общем ты только подтверждаешь что надо дыры закрывать
[20:22:15] <nis> закрывать да
[20:22:27] <nis> но не затыкать
[20:22:34] <Civilian> nis: ну как раз ставить обновление или лайвпатчить
[20:22:39] <nis> просто вопрос в том что тебе нужно обновление
[20:22:45] <nis> а не лайвпатч
[20:22:50] <Civilian> nis: why?
[20:23:03] <Civilian> nis: лайвпатчинг позволяет поправить мелкие вещи без ребута
[20:23:03] <nis> а если дыра имеет стабильный ап
[20:23:13] <Civilian> nis: ну тогда не патчить, ага
[20:23:16] <nis> и распостраняется вверх а не вниз
[20:23:27] <Civilian> nis: но большинство дыр это таки опечатки, ошибки и некорректные проверки
[20:23:29] <Civilian> а такое патчится
[20:24:08] <Civilian> сам вспомни сколько у ядра было дыр, затрагивающих API
[20:25:02] <nis> достаточно
[20:25:11] <Civilian> в колличестве
[20:25:14] <Civilian> или в процентах лучше
[20:25:31] <Civilian> я за последние 3 года помню ровно одну
[20:25:35] <nis> порядка 25 - 40% от общих ошибок
[20:25:40] <Civilian> и то в итоге патчинг не затрагивал API
[20:25:50] <Civilian> нашли способ как закрыть не меняя API
[20:26:25] <nis> примерно 10 % это ошибки второго рода - т.е. то что нельзя проверить тестами
[20:26:43] <nis> 1% это уязвимости уровня нарушений привелегий
[20:26:54] <nis> 35 отказ в обслуживании
[20:27:30] <Civilian> nis: я честно за 3 последних года помню только одно обсуждение вида "а давайте чтобы закрыть дыру поменяем API"
[20:27:43] <Civilian> в остальных случаях API не менялось
[20:27:48] <nis> Civilian: апи это не только интерфейс
[20:27:51] <nis> но и механизм
[20:28:04] <Civilian> nis: соглашение о вызове, а для патчинга тебе больше и не надо
[20:28:26] <nis> но зачастую проблема именно в том что механизм не валидирует вызов
[20:28:38] <Civilian> nis: если все остальные функции могут по-прежнему обращаться и получить нормальные ответы то дальше не важно что ты поменял
[20:28:41] <Civilian> ты это поменять можешь
[20:28:41] <nis> достаточно вспомнить глупый баг у винды с оконнной системой
[20:31:00] <nis> у пингвина тоже были глупые ошибки их 30% на всю систему
[20:31:26] krigstask вышел(а) из комнаты
[20:31:34] <Civilian> бОльшая часть таких багов патчится на лету
[20:32:01] krigstask вошёл(а) в комнату
[20:32:44] CarelessChaser вышел(а) из комнаты
[20:32:49] <Civilian> nis: и ты так и не ответил про то, как обновить ядро на 10к серверах
[20:32:53] <Civilian> задача вполне реальная
[20:33:05] <Civilian> nis: ты пока подумай, я приду - почитаю что ты написал )
[20:33:11] <Civilian> можешь ответ на почту отправлять
[20:33:42] <Civilian> nis: у лайв-патчей проблема с доверием к патчам
[20:33:45] <nis> Civilian: я же тебе ещё в начале сказал что нету такой необходимости в тех системах которые я разрабатываю
[20:33:48] <Civilian> это я не спорю
[20:34:01] <Civilian> nis: ну ты утверждаешь что лайв-патчи не нужны, нужно обновлять и ребутать
[20:34:11] <nis> да
[20:34:17] <Civilian> а я тебе реальный пример привожу - обнови ядро на 10к систем без даунтайма
[20:34:44] <Civilian> исходя из того что не более 5% одновременно можно вывести из-под нагрузки, время ребута - 10 минут
[20:34:46] CarelessChaser вошёл(а) в комнату
[20:34:54] <Civilian> размер ядра, модулей и фирмварей условно 100мбайт
[20:35:01] <nis> Civilian: постепенная миграция для 10к возможно и на ребут модели
[20:35:01] <Civilian> вроде столько в убунте той же пакеты весят
[20:35:09] <Civilian> nis: ну у тебя CVE in the wild
[20:35:19] <Civilian> вышла бюлютень что нашли страшную CVE
[20:35:25] <Civilian> допустим remote exploit
[20:35:34] <Civilian> поэтому тебе надо обновиться быстро
[20:36:05] <Civilian> 5% за раз, 10 минут на ребут, не учитывая время раскладки 100МБ пакетов
[20:36:11] <nis> Civilian: у меня обычно cert ядро и если такое событие стало известно то оно обычно вызовет больше подозрений
[20:36:16] <Civilian> плюс потенциально что-то может пойти не так и во время ребута БП сдохнет например
[20:36:30] krigstask вышел(а) из комнаты: Datorn somnade
[20:36:31] <Civilian> nis: это у тебя, а тут обычный линукс
[20:36:38] <Civilian> конечно remote exploit - редкость
[20:36:40] <nis> БП сдохнуть может в любом случае
[20:36:49] <Civilian> nis: я просто тебе говорю о проблемах
[20:36:51] <Civilian> потенциальных
[20:36:58] <nis> и если ты от этого не застрахован то это уже твои проблемы
[20:36:59] <Civilian> nis: что ребутнуть 10к железяк это дофига времени
[20:37:10] <Civilian> во время ребута у тебя часть может не вернуться
[20:37:12] <nis> а никто их не будет ребутать все сразу
[20:37:31] <nis> т.е. ты создаёшь сразу искуственные ограничения
[20:37:42] <nis> ок
[20:37:43] <Civilian> nis: почему искуственные?
[20:37:55] <nis> потому что получается что админ текущий дурак
[20:37:57] <Civilian> nis: и это тоже проблема, потому что если ты ребутаешь по 5% железок разом, у тебя 20 подходов
[20:38:03] <Civilian> по 10 минут каждый
[20:38:04] <nis> раз довёл систему до такого состояния
[20:38:04] <Civilian> 4 часа
[20:38:39] <nis> не 4
[20:38:43] <Civilian> nis: а иначе никак - люди заметят. Или ты выключишь ДЦ и ребутнешь разом 10к железок, а потом прийдут ноки и настучат тебе по бошке за то что сетевое оборудование от такого чуть с ума не сошло
[20:38:49] <Civilian> nis: 3.5 ладно, не суть
[20:38:55] <nis> и даже не 3.5
[20:39:02] <Civilian> nis: 20*10 = 200
[20:39:03] <Civilian> 200 минут
[20:39:05] <nis> можно ребут сделать по полуделению
[20:39:06] <Civilian> минимум
[20:39:25] <Civilian> nis: а еще время раскладки, установки
[20:39:28] <nis> тогда ты можешь ребутать только то железо которое у тебя не активно
[20:39:53] <nis> с резервированием в 20% по пику на это уйдёт пол-часа - час максимум
[20:40:01] <Civilian> nis: проблема еще в том, что там не только твое железо. Если ты в ДЦ ребутнешь разом 10к серверов, то сетке будет не очень здорово когда эта вся фигня поднимется обратно
[20:40:18] <nis> а я и не ребутаю всё сразу
[20:40:38] <Civilian> nis: ты учти что резерв 20% по пику значит что ты больше 10% ребутнуть не можешь разом
[20:40:41] <nis> я только passive использую
[20:41:11] <nis> + т.к. патч общий то скорее всего ставиться полуавтоматом на системы
[20:41:22] <nis> т.е. время на установку мы опускаем
[20:41:24] <Civilian> nis: ну установить не такая проблема (проблема скачать)
[20:41:30] <Civilian> вот ребут реально может быть долгим
[20:41:38] <nis> т.к оно фоном идёт равно как и ребут
[20:41:55] <nis> итого в течении 2 - 3 часов мы имеем пропатченную сеть
[20:42:06] conformist вошёл(а) в комнату
[20:42:34] <Civilian> nis: а потом задачу можно усложнить, сказав что у тебя 6 датацентров по 10к серверов в каждом
[20:42:42] <Civilian> и уже будет 18 часов на ребут всего этого зоопарка
[20:42:48] <nis> тоже время
[20:42:48] <Civilian> :)
[20:42:53] <nis> не более
[20:43:08] <Civilian> nis: не совсем, потому что тебе параллельно в нескольких ДЦ не всегда это можно делать
[20:43:21] <nis> т.к. это процесс распределяем то можно это делать абсолютно независимо
[20:43:26] <Civilian> nis: например у тебя в процессе ребута перекопали кабель в одном из ДЦ
[20:43:38] <Civilian> минус 1 ДЦ, +1/5 нагрузки на всех
[20:43:42] <Civilian> резерв был 20%
[20:43:47] <Civilian> но ты 10% вывел
[20:43:53] <Civilian> итого тебе не хватит мощности из обслужить
[20:44:11] <nis> Civilian: есть очень хороший пример как патчи на горячую сломали одну компанию которая этим так гордилась
[20:44:20] evadim вышел(а) из комнаты
[20:45:46] <Civilian> nis: ну я честно говоря уже домой пойду )
[20:46:36] conformist вышел(а) из комнаты
[20:46:46] conformist вошёл(а) в комнату
[20:46:56] <Civilian> nis: все надо делать аккуратно, но любой механизм нужен
[20:47:10] <Civilian> с livepatch'ами проблема в механизме патчинга и доверии к патчам
[20:47:26] <Civilian> но если простые CVEшки оно позволит фиксить без ребута - это будет здорово
[20:47:55] <nis> у меня немного другая политика
[20:48:08] <nis> но к сожалению текущее ядро этого не поддерживает
[20:48:19] Civilian вышел(а) из комнаты
[21:03:21] qnikst вышел(а) из комнаты
[21:03:31] qnikst вошёл(а) в комнату
[21:04:45] krigstask вошёл(а) в комнату
[21:06:41] conformist вышел(а) из комнаты
[21:17:37] bober2000 вышел(а) из комнаты
[21:17:53] bober2000 вошёл(а) в комнату
[21:27:14] conformist вошёл(а) в комнату
[21:31:03] CarelessChaser вышел(а) из комнаты
[21:49:23] 0xd34df00d вышел(а) из комнаты: Disconnected: Replaced by new connection
[21:49:33] 0xd34df00d вошёл(а) в комнату
[21:52:15] <slepnoga> Civilian: ты читеришь :) 10К ребутнуть теоретически легче, чем 5М
[21:52:39] 0xd34df00d вышел(а) из комнаты: Disconnected: Replaced by new connection
[21:52:49] 0xd34df00d вошёл(а) в комнату
[21:52:53] <slepnoga> гранулярность на 10к больше в 20 раз :)
[21:54:24] maxggxam вышел(а) из комнаты
[21:54:30] nis вышел(а) из комнаты
[21:57:17] medvedko вышел(а) из комнаты
[21:58:26] maxggxam вошёл(а) в комнату
[22:01:19] beelzebubbie вышел(а) из комнаты
[22:04:49] Civilian вошёл(а) в комнату
[22:05:16] <Civilian> slepnoga: м?
[22:11:27] conformist вышел(а) из комнаты
[22:13:20] 0xd34df00d вышел(а) из комнаты: Disconnected: closed
[22:24:52] beelzebubbie вошёл(а) в комнату
[22:25:22] beelzebubbie вышел(а) из комнаты
[22:25:49] Night Nord вошёл(а) в комнату
[22:27:50] conformist вошёл(а) в комнату
[22:31:10] conformist вышел(а) из комнаты
[22:31:47] conformist вошёл(а) в комнату
[22:33:40] conformist вышел(а) из комнаты
[22:34:02] CarelessChaser вошёл(а) в комнату
[22:34:45] CarelessChaser вышел(а) из комнаты
[22:41:44] 0xd34df00d вошёл(а) в комнату
[22:44:09] 0xd34df00d вышел(а) из комнаты: Disconnected: Replaced by new connection
[22:44:19] 0xd34df00d вошёл(а) в комнату
[22:46:58] jam666 вошёл(а) в комнату
[22:47:10] beelzebubbie вошёл(а) в комнату
[22:50:03] conformist вошёл(а) в комнату
[22:53:04] 0xd34df00d вышел(а) из комнаты: Disconnected: Replaced by new connection
[22:53:14] 0xd34df00d вошёл(а) в комнату
[22:58:03] 0xd34df00d вышел(а) из комнаты: Disconnected: Replaced by new connection
[22:58:13] 0xd34df00d вошёл(а) в комнату
[22:59:42] 0xd34df00d вышел(а) из комнаты
[23:07:21] jam666 вышел(а) из комнаты: Disconnected: Replaced by new connection
[23:07:31] jam666 вошёл(а) в комнату
[23:17:21] <mva> что-то я задумался, стоит ли на древнем ноутбуке с Celeron M включать -mtune=pentium-m или особой разницы с -mtune=i686 не будет заметно?..
[23:33:28] Civilian вышел(а) из комнаты: Replaced by new connection
[23:33:38] Civilian вошёл(а) в комнату
[23:34:22] slepnoga вышел(а) из комнаты
[23:46:40] Mellon вышел(а) из комнаты
[23:50:45] Mellon вошёл(а) в комнату
[23:52:01] Vurtatoo вошёл(а) в комнату
[23:57:42] krigstask вышел(а) из комнаты: Datorn somnade
[23:58:19] krigstask вошёл(а) в комнату