Тесты производительности Linux и FreeBSD

4anonymous (*) (2001-11-15 20:33:11.0) >Молодец, пятерка... придурок. Зубри теперь help ulimit.

Я знал, что кто-нить с этим выползет .) Про это уже можно анекдот сочинять:

Встретились как-то линуксоид(Л) и бсдшник(Б)

Л(показывая язык и кривляясь): vmem ulimit ? Б(хмуро, держа фигу в кармане): threads ?

Вот и поговорили :(

Блин, а я, наивный, понадеялся, что флейма все же не будет :(

Yopt!!!!
Ja zhe skazal - ulimit - ne vyhod!!!!!
Chto eto za jadro takoe tupoe, esli ego bes ulimita poslednij nobody zavalit?

Я не хвалюсь... Это был ответ относительно ФРИ и НВидии... А назначение - кому как... Мне мои глаза дороги...

> Я не понимаю народа, который прется от бзди. Ну ладно, раньше она
> типа лучше подходила для веба, апач пол нее был заточен, то да се. А
> сейчас то чего кричать? Все, это уже реликт, только для музея. Ибо
> если универсальный линукс полностью отымет у бзди единственное и
> последнее ее предназначение - веб, то для чего она тогда ваще будет
> нужна? Просто атавизьм какой-то ;)

Я не понимаю людей, которые считают, что Линух предоставит мне хоть
что нибудь, что оправдало бы снос FreeBSD. Пока я не заметил, что
там такого ультрасовременного в Linux по сравнению с FreeBSD.
Цветной ls не предлагать.

> Сначала ты мне расскажешь, как ты успешно используешь IPSec и IPv6,
> ОК? Кстати, что за проблема в использовании IPv6 в линуксе? Не
> слыхал.
VPN между хостом дома и AIX 4.3.3 в оффисе + notebook под FreeBSD/Win2k работает. В Linuxe проблема в тотальной неинтегрированности этого дела
в официальный кернел и элементарной сырости реализации. Да и играть
в любимейшую игру линуксоидов "patch of the month для кернела, и так
уже донельзя запаченного производителем дистрибутива" я играть не
большой любитель. Мы уж постаринке, возьмём то, что работает сразу,
даром, что не модно.

> То, что делает jail я могу в линуксе реализовать
> одной простой user-space утилиткой, если мне по каким-то причинам не > хватает chroot.
Вот об этом поподробнее. Как "то, что делает jail" тебе
представляется? Методы реализации jail простой user-space
утилиткой в студию,пожалуйста, иначе диагноз тебе один -
обострённый случай осеннего гона.

A vot poslednie anonimousy - pro snos FreeBSD i "patch of the wheek" v korne ne pravy!
Ja ochen' mnogo ispolzuu Linux. I ja real'no snes u sebja doma freeBSD i postavil Linux! Mne tak
udobnee.
No v firme ja nachal snosit' na servakah Linux i stavit' FreeBSD - prosto iz-za VM, iz-za ujazvimosti.
Konechno, jail otlichaetsa ot 'user kernel' tak zhe, kak real native threads ot staryh 'linux threads', realisovanyh cherez fork()

2 Irsi: "Ибо стремление к универсальности и погубит линукс :)"

Объясни плиз, как такая нелюбовь к универсальности сочетается с любовью к виндоусу? ;-)

2svyatoi_otets: это только в воспаленных мозгах линуксоидов нелюбовь к линуксу автоматически означает любовь к виндам. :)

> Как насчёт _интегрированной_ поддержки IPsec
Ну, раз крутой дядя говорит, что нету - пойду выковыривать FreeSWAN из ядра Linux.
Быть то его не может...
И ipv6 выковыривать теперь придётся...

Да, кстати, о птичках:
Когда в BSD обещают RSBAC? А LVM?

> Ну, раз крутой дядя говорит, что нету - пойду выковыривать FreeSWAN
> из ядра Linux.
> Быть то его не может...
> И ipv6 выковыривать теперь придётся..
Батюшки светы, это ж когда это они способились IPSec-то в официальный
kernel то влить? Смотрю я это на http://lxr.linux.no/source/net/?v=2.4.13 и не понимаю, кто из нас
двоих обкурился. Так что мои слова про отсутствие интегрированного
IPSec в Linux ты не опроверг. Про IPv6 я, похоже, погорячился.
Влили таки, не прошло и двух лет...

> Когда в BSD обещают RSBAC? А LVM?
TrusedBSD и лично Robert Watson по контракту с DARPA над этим (RSBAC)
работают. Точно дату release сказать не могу, но вроде собираюися к
5.0 управиться.

LWM? А чем Vinum не угодил? Мне только тем, что GUI у него отсутствует
как класс. Vinum конечно заодно и softare RAID реaлизует, но никто ж
тебя этим пользоваться не заставляет.

Встречный вопрос - а что, RSBAC и LVM являются стандартными
компонентами Linux кернел? Или опять патч оf the month со всеми
вытекающими?

> A vot poslednie anonimousy - pro snos FreeBSD i "patch of the wheek"
> v korne ne pravy!
> Ja ochen' mnogo ispolzuu Linux. I ja real'no snes u sebja doma
> freeBSD i postavil Linux! Mne tak
> udobnee. ^^^^^-ключевое слово.
И чем позвольте? То, что ты лично снёс FreBSD, руководствуясь
какими-то своими мотивами, каким-то образом не делает тот бардак с
патчами и дистрибутивами менее реальным. Повторяю ещё раз,
вопли о некоей авангардности Linux и антиквариатности FreeBSD
ничем, кроме вот таких вот личных убеждений не подтверждаются
на практике. Примеров в поддержку той или иной версии можно
найти предостаточно, к примеру мой USB scanner ни в какую не
завёлся в RedHat 7.1, в то время как та же версия sane-backends
чудесно заработала на FreeBSD. Да и тот факт, что даже такая
простая штука, как USB клавиатура, сравнительно недавно требовала
нетривиальных телодвижений для использования с Linux, при полном
отсутствии проблем с FreeBSD и NetBSD, как то не позволяет мне
согласиться с постулатом об абсолютным превосходстве Linux над
FreeBSD на десктопе. Согласен, опыт других людей в отличных
от моих условиях вполне может быть иным.

"ключевое слово" задумывалось под "мне".

2 Irsi: перечитай внимательно, что я написал ;-) я спросил, про универсальность. насчет, твоего отношения к виндоусу - а то я не знаю.. дай тебе власть, все бы перевел на нт ;-)

2svyatoi_otets: а ты перечитай внимательно что я ответил :) И с чего ты взял что яб "все перевел на нт"? :)

2 Irsi: то есть универсальная нт тебе не нравится? я правильно понял? ;-)

2svyatoi_otets: она мне нравится гораздо больше чем линукс :) Но я вовсе не считаю ее идеалом, который пригоден для всего на свете...:)
Я тебе еше раз повторю свою любиму фразу на эту тему - "Универсальная ОС, это та ОС, которая умеет делать все... Но к сожалению неизбежно и то что она все делает посредственно."

> VPN между хостом дома и AIX 4.3.3 в оффисе

Ну не смеши. Есть ровно один миллион вариантов реализации VPN в линуксе.
Почему ты думаешь, что _один_ готовый вариант в bsd подходит всем?
Есть у линукса и в ядре эта штука - да пару движений надо сделать, есть
несчетное сножество user-space реализаций. Лично мне достаточно ssh для
связи с офисом...

> Вот об этом поподробнее. Как "то, что делает jail" тебе представляется?

Ну man jail(2) пересказывать не будем, скажем только, что кроме возможностей
chroot(2) он еще ограничивает сетевую активность процесса определенным хостом/ip.
Первое в линуксе и так есть, второе реализуется программно- почти у всех
сетевых сервисов есть в конфигурации что-то типа bindaddress host/ip.
Далее выключаем соответствующий capability и все дела. Но все это
простейшая банальнейшая фигня в сранении с chtrunk. Это как раз та утилитка
в линуксе, про которую я говорил. Посмотри на досуге. Тебе очень понравится ;)
Более того, ты скажешь: "какой детский сад этот jail" ;)

В догонку: для реализации VPN есть только один миллион способов,
то для реализации jail - миллиард ;)
Кстати, есть ли в *bsd что-то подобное на линуксовый mount --bind olddir newdir?

Для любителей freebsd и флейма вопрос: а вы знаете о том, что имлементация IPv6
во фряхе не соответствует общепринятым стандартам? Если не знаете, тогда вперед -
за учебники.

Ну и ублюдков здесь собралось... Maxcon, может за мат удалять собщение?

> Ну не смеши. Есть ровно один миллион вариантов реализации VPN в
> линуксе. Почему ты думаешь, что _один_ готовый вариант в bsd
> подходит всем?
> Есть у линукса и в ядре эта штука - да пару движений надо
> сделать, есть несчетное сножество user-space реализаций. Лично мне
> достаточно ssh для связи с офисом...

В некоей компании до недавнего времени за несанкционированный VPN
сделанный на коленке при помощи SSH просто выгоняли с работы. А
санкционированным способом являлся IPSec туннель с FW-1 Securemote
раньше, в теперь с Nortel gateway (точно не знаю, оно у меня
просто настроилось с pre-shared secret, так и не узнал, что за
ящик конкретно). Волновали меня эти проблемы только пока я имел
глупость поставить Linux дома, поскольку очень "авангардная" система
оказывается имела очень сосучую же IPSec реализацию. Проблема лечилась заменой не работающей _в данном случае_ OS на более
работоспособную.

Очень хотелось бы посмотреть, как сhtrunk создаст именно виртуальный
хост со своим rоot юзером и своими сервисами, которые имеют право
listen на любом привилегированном порту данного jail по усмотрению
этого самого тюремного супервизора, без вмешательство супервизора
глобального. Пока ты мне этого не продемонстрировал - chtrunk для
моих целей отдыхает и идёт в детский сад. Уж больно он и впрямь
простой.

> Кстати, есть ли в *bsd что-то подобное на линуксовый mount --bind
> olddir newdir?
Nullfs подойдёт? Делает именно это, но при помощи VFS stacking.
Появилось исключительно давно, еще в CSRG исходниках, однако с
появлением UBC во FreeBSD 2.0 находилось в перманентно поломанном
состоянии. Где-то пару лет назад Борис Попов nullfs починил в -CURRENT,
и уж не помню когда сделал backport в -STABLE. Я довольно активно использую, и именно в jail. Работает.

> Для любителей freebsd и флейма вопрос: а вы знаете о том, что
> имлементация IPv6 во фряхе не соответствует общепринятым
> стандартам? Если не знаете, тогда вперед - за учебники.

Для любителей флеймить не по делу - каких таких общепринятых
стандартов? Какая версия FreeBSD? Точнее, какая версия KAME?
За время своего существования KAME проект (они IPv6 и IPSec для всех
BSD делают) адаптировал исходники для нескольких редакций draft-а.
Если draft поменялся опять - новый импорт KAME это дело уладит,
не впервой (и даже не в десятый раз, см. KAME commit logs).
Говорить о соответствии стандарту, которого по сути не существует -
хороший повод пофлеймить и послать людей к так очевидно нелюбимым
тобой учебникам :)

Список IPv6 (IPng) draft and proposed standards - здесь:
http://playground.sun.com/pub/ipng/html/specs/standards.html
Последний раз working group собиралась в августе. Можете попялиться
на протосол этого заседания и для интереса сравнить имена
выступавших в именами КАМЕ, NetBSD и FreeBSD коммитеров.
Я бы сказал, что вероятность несоответствия FreeBSD стандартам,
если таковое имееет место, в долговременном плане невелика :)

> В некоей компании до недавнего времени
Ну таким компаниям наверное вообще в падлу использовать фришный софт...
У богатых свои привычки, вопросов нет. Большинство не таких крутых компаний
вполне удовлетворится решением типа http://yavipin.sourceforge.net/
или http://vtun.sourceforge.net/ или [еще 999999999 решений ;)]

> виртуальный хост со своим rоot юзером и своими сервисами,
Ну еще раз про миллиард решений...
http://www.freevsd.org/
http://www.solucorp.qc.ca/miscprj/s_context.hc
и т.д
Заметь, это не "сделай сам, на тебе jail", а _готовые_ - "поставил и работай" решения.

> Какая версия FreeBSD? Точнее, какая версия KAME?

Хе-хе... а я не зря спрашивал, где и как вы _используете_ IPv6 ;(
Ладно, цитирую тех, кто на самом деле использует...

-----------------------------------
One of the weirdest behavior of FreeBSD 4.4-STABLE with
net.inet6.ip6.kame_version: 20010528/FreeBSD
is that an IPv4 socket created with an IPv4-mapped IPV6 address
does *NOT* accept packets from other IPv4 addresses even if
net.inet6.ip6.v6only is set to 0.
------------------------------------

И где это я за всё время упомянул, что я использую IPv6, гневный
вы обличитель c огненным мечом? Про туннель IPSeс помню, где в
этой картине затесалось IPv6 - не припомню? Не надо приписывать мне то,
что я никогда не утверждал. Или в некоем воспалённом мозгу
IPSec == IPv6?

> Оne of the weirdest behavior of FreeBSD 4.4-STABLE with
> net.inet6.ip6.kame_version: 20010528/FreeBSD
> is that an IPv4 socket created with an IPv4-mapped IPV6 address
> does *NOT* accept packets from other IPv4 addresses even if
> net.inet6.ip6.v6only is set to 0.
И как это отличается от банальной ошибки реализации в данной конкретной версии и как эта ошибка может быть использована в качестве признака
тотальном несоответствии FreeBSD стандартам? Раз ошибка известна,
то её скорее всего уже починили в КАМЕ. 20010528 было довольно-таки
давно.

> Ну таким компаниям наверное вообще в падлу использовать фришный
> софт...
> У богатых свои привычки, вопросов нет. Большинство не таких крутых
> компаний вполне удовлетворится решением типа
> http://yavipin.sourceforge.net/

Это крупнейшая telecom компания в USA. Вы серьёзно предлагаете им
использовать поделку vtund при наличии интетрированных и стандартных
решений от того же Nortel только из-за того, что некая недоделанная
OS за стандартами не поспевает? "Не смешите мои тапочки". (C) Someone
on FIDO. Я привёл пример окружения, заданного жестко и от меня
совершенно независящего, где Linux подчистую проиграла FreeBSD c
точки зрения функциональности. Вы с этим смиритесь или и дальше будете
костыли предлагать, убеждая, что лучше ковылять, но на _таких_
костылях, чем "бегать, как дурак"?

http://www.freevsd.org/
А вы на это "решение" смотрели?
Certain common binaries (such as mv, cp, rm and ls) have been
modified to allow the admin user enough privilege to manipulate
files owned by users within the UID/GID range allocated to the
corresponding virtual server, but nothing outside of it. This
prevents the admin user from corrupting any important system files.
Как это убожество способно защитить от пользователя со своим
компилятором и лично им скомпилированными mv, cp, rm, ls мне
как бы непонятно. Опять костыль.

http://www.solucorp.qc.ca/miscprj/s_context.hc
Это ли не то самое сделай сам? Дизайн содран подчистую с jail,
и даже в предположении, что функционально он ничем jail не уступает,
от всё равно является сторонним патчем от левого производителя
со всеми присущими подобным решениям security рисками и геморрою
с версиями. Как раз во FreeBSD это - out of the box.

Однако заболтались мы, цель ведь была просто опровергнуть осенний
о простой user-land утилитке, эквивалентной jail.

Да понятно, что там рассказывать, большая компания, много денег, много понтов...
Если на текущий момент по всем рекламным каналам крутят слоган "java - это круто",
не сложно догадаться на чем пишут программисты "большой компании" ;)

> где Linux подчистую проиграла FreeBSD

Фи, это лень матушка, а не линукс. Если "большая компания" платит такие же большие деньги,
я бы им в досе ipsec сделал ;) На самом деле все там работает. Совсем немножко нужно было
ручками доделать, зато потом бы чувствовал себя мужчиной, а не плаксой.
Потом жалеть будешь, а поезд уже ушел. Большие компании не любят частых перемен.

> А вы на это "решение" смотрели?

Да, и поставил его на парочке серверов. Кстати, о птичках, на нем работает довольно много живых сайтов.

> Дизайн содран подчистую с jail

Что с того? Он сделан гибче и чище. Только и разницы.

> о простой user-land утилитке, эквивалентной jail

Нет, до эквивалента jail'у очень далеко. Утилитка не просто chroot'ит процесс, а
на лету создает ему весь необходимый набор библиотек и сопутствующих прог, а также
необходимые директории, файлы, девайсы и нужные права на них. Все это в одном вызове.

> Да понятно, что там рассказывать, большая компания, много денег,
> много понтов... Если на текущий момент по всем рекламным каналам
> крутят слоган "java - это круто", не сложно догадаться на чем
> пишут программисты "большой компании" ;)
Они пишут на том, что работает, и на java в том числе. И религию из
этого никто не делает и не считает нужным кому-либо чего навязывать.
Им, видите-ли, результат нужен, а не понты - одна из причин, почему
Linux здесь не прижился и, похоже, в ближайшем будущем не приживётся.
Основная масса софта здесь на C++ написана в силу исторических
причин. Если для тебя конкретный язык программирования всё ещё
имеет какое-то религиозное значение - добро пожаловать в клуб
кул хацкеров и дело твоё право.

> Фи, это лень матушка, а не линукс. Если "большая компания"
> платит такие же большие деньги, я бы им в досе ipsec сделал ;)
> На самом деле все там работает. Совсем немножко нужно было
> ручками доделать, зато потом бы чувствовал себя мужчиной, а не
> плаксой. Потом жалеть будешь, а поезд уже ушел. Большие компании
> не любят частых перемен.
Ты что, и впрямь не понимаешь? Не нужен им IPSec в Linux и отсутсвие
оного в Linuх их ну никак не трогает. Соответственно, большие деньги
за доведение глюкала до ума платить не будет. Совсем немножко ручками
доделать безусловно можно было бы , но я некоторых пор считаю
время, проведённое за починкой Linux багов бездарно потеряным, так
как интересных задач под более интересную для меня систему (FreeBSD)
предостаточно. Можешь вести напряжённую жизнь настоящего мужчины
борясь с Линуксом сколь пожелаешь, только не делай прыщавых попыток
оценивать чужие качества на основе их желания или нежелания делать
твою работу. Тебе Linux нравится - тебе и отладчик в зубы, чтобы
вопли о неземном рулезе Linux хоть как-то воплотить в жизнь. Простой
факт того, что то же самое just works во FreeBSD просто и элегантно
опровергает твои заклинания без необходимости прибегать к "нытикам".

> Да, и поставил его на парочке серверов. Кстати, о птичках, на нем
> работает довольно много живых сайтов.
Ditto jail, в более безопасном режиме. Что ты хотел доказать? Оно
просто не проходит по той же категории, что и jail security-wise,
потому как бесконечно сосёт в этой области, поэтому их сравнение
как-то бессмыссленно. freeVSD создаёт _видимость_ виртуальных
хостов с очень проницаемыми стенками.

> Что с того? Он сделан гибче и чище. Только и разницы.
Says who? Примеры "чибче" и "чище" в студию, пожалуйста! Я должен
поверить дону на слово? Jail как минимум вычищен от багов
тщательнее, потому что как минимум существует значительно дольше.
Хотя из всех примеров, что ты привёл, это действительно наиболее
близкий к jail проект, однако согласись, это вовсе непростая
юзерланд утилитка, с которой ты так неудачно погорячился :)

> Нет, до эквивалента jail'у очень далеко. Утилитка не просто
> chroot'ит процесс, а на лету создает ему весь необходимый набор
> библиотек и сопутствующих прог, а также необходимые директории,
> файлы, девайсы и нужные права на них. Все это в одном вызове.
И это лучше аналогичного scriptа со всеми нужными директориями
подмонтированными через nullfs как простите? Пытаешься на полном
серьёзе убедить меня, что некая программка знает, что мне нужно
в jail лучше меня? Да и по функциональности в смысле виртуального
хоста откровенно пролетает. Таки опять мимо тазика. Исключительно
гибкий chroot - этого у неё правда, не отнимешь. Но ведь не jail :(

> И религию из этого никто не делает

Дело не в религии, а в дутом понятии "солидности". Есть большая кривая но
разрекламированная вещь за $10000000, а есть маленькая прямая и бесплатная,
но никому неизвестная с той же функциональностью. Я про это. В крутых фирмах обычно
выбирают первую. Это почти как закон Мерфи.

> Не нужен им IPSec в Linux

А эта фраза как раз и подтверждает этот закон ;)

> что то же самое just works во FreeBSD

Ох, не говори "гоп" и не плюй в колодец...
Завтра с тебя потребуют поддержку каких-нибудь радиомодемов, bluetooth,
нормального smp, highmem 64GiG, 48-bit ATA, еще чего-нить.
Че делать будешь-то? Оно ведь just doesn't work ;)

> Примеры "чибче" и "чище" в студию

Вся студия в твоем распоряжении на указанном урле. Там даже пунктик в факе
есть: "чем отличается vserver от *bsd jail". Разбит твой jail на составляющие,
которые сами по себе могут использоваться по-отдельности.

> freeVSD создаёт _видимость_ виртуальных

Аналогично с предыдущим вопросом. Прочтение доков - лучший путь избежания ненужных споров.

> И это лучше аналогичного scriptа со всеми нужными директориями
> подмонтированными через nullfs

Ну да, а разве это не ясно? Он обеспечивает настоящий per-process namespace,
он снимает все setuid/setguid флаги, не дает сделать новый chroot, организует
подставные stdin, stdout, stderr. А что есть nullfs? Null без fs ;)

> убедить меня, что некая программка знает, что мне нужно в jail лучше меня?

Нет, я пытаюсь убедить тебя прочесть доку, прежде чем спорить. То, что тебе нужно
ты выставляешь параметрами к утилитке.

> Дело не в религии, а в дутом понятии "солидности".
Что дутого в желании использовать компоненты, обеспечивающие
необходимую работу без излишнего геморроя? И Linux и FreeBSD
являются настолько незначительными на их радаре, что требовать
от людей отказа от "солидности" для поддержки Linux совершенно
нереально. Как я уже писал, это реальность, вне зависимости
о том, что ты про наших админов думаешь. FreeBSD в это окружение
вписалась легче, чем Linux, за что последний был снесён. У тебя
проблемы с этим фактом? Тогда проделай ту работу, которую кто-то
из FreeBSD team уже проделал, а не убеждай меня, как это будет круто
и какие красивые перья я смогу распустить, если починю глюк сам.
В конце концов, если это ты меня стараешься убедить в применимости
Linux в моём окружении, то это твоя работа сделать так, чтобы у
меня появился повод тебе поверить. Пока никакого повода, кроме
зажигательных речей, ты не предоставил.

> Завтра с тебя потребуют поддержку каких-нибудь радиомодемов,
> bluetooth, нормального smp, highmem 64GiG, 48-bit ATA,
> еще чего-нить. Че делать будешь-то? Оно ведь just doesn't work ;)
Я сегодня использую wireless, 48-бит ATA был влит в -CURRENT не то,
чтобы очень недавно, highmem 64GiG патчи есть в Yahoo, етс, giant
lock FreeBSD более чем достойно показала себя в тестах, которые
эту дискуссию породили, на 2xCPU машине, соревнуясь с последним
словом в поддержке SMP в Linux 2.4. Посмотри, что изменится с
FreeBSD 5.0, где Giant уберут. Одним словом, FreeBSD на месте не
стоит и более чем вероятно, что необходимые мне вкусности будут
доступны, когда понадобятся. Хотя сильно сомневаюсь я, что покупка
64G IA32 Intel имеет хоть какой-то смысл при существуюшем уровне
предложений как раз для такого сектора от IBM, HP и Sun. Сдаётся
мне, мы увидим смерть IA32 платформ задолго до того, как
поддержка фришными поделками high-end i386 железа будет реально
востребована. Так что в будущее я смотрю довольно таки спокойно.
Если это "чего-нить" схожее с IPv6, IPSec, USB или IDE RAID,
то есть все шансы, что во FreeBSD они заработают _раньше_, чем в
Linux, по традиции.

>Прочтение доков - лучший путь избежания ненужных споров.
+
+ if (vsd_validate_user_uid (getuid ()) != 1)
+ {
+ printf ("rmdir: access denied: %s\n", strerror (errno));
+ return 1;
+ }
+
или
+ fail = vsd_check_path (dir, 1, R_OK | W_OK) ? 1 : rmdir(dir);

Прочтение исходников за отмазку пойдёт? Как такого рода патчики
к rmdir могут гарантировать защиту одной виртуальной системы
от другой, если я скомпилировал мой собственный rmdir, который
на vsd_check_path чихать хотел? Ну не будет человек в здравом
уме доказывать, что система юзерланд проверок может организовать
уровень изоляции, возможный при поддержке ядра. И соответственно
jail и freeVSD несопоставимы, что я уже писал. И даже чтение
документации речитативом до состояния полного духовного просветления
ситуацию не исправит.

>А что есть nullfs? Null без fs ;)
И как я после этого верить, что общаюсь с человеком, который знает
обе вещи, которые пытается сравнивать? Или ты это так шутишь?

> Нет, я пытаюсь убедить тебя прочесть доку, прежде чем спорить. То, > что тебе нужно ты выставляешь параметрами к утилитке.
Да прочитал, и даже ответил, то ты этого как-то не заметил. С jail
ты можешь написать script для создания внутренней структуры jail
и ты ограничен только своей фантазией и здравым смыслом. И это почти
наверняка гибче, чем задание environment пусть и через хорошо
задуманное, но всё равно ограниченное число параметров одной отдельно
взятой утилиты. Да и не ответил ты мне, как эта самая утилита поможет
мне создать полный аналог jail. То, что это очень интересное
расширение chroot я уже признавал вроде. Но ведь не jail же (вторая
попытка).

> Вся студия в твоем распоряжении на указанном урле. Там даже
> пунктик в факе есть: "чем отличается vserver от *bsd jail".
> Разбит твой jail на составляющие, которые сами по себе могут
> использоваться по-отдельности.
Ага, и вся студия бросто исписана утверждениями о большей чистоте
реализации по сравнению c FreeBSD. Не нашёл. Насчёт большей гибкости
в связи с заменой монолитного jail двумя (chroot не в счёт)
syscall-ами, одним из которых ограничивает address binding, а другой
создаёт новый security context - да, пожалуй такое может пригодиться,
хотя к чистоте реализации это опять же дела не имеет. По этому,
придётся, похоже, всё же оспорить свой тезис, что всё написанное для
Linux просто _чище_ уже по определению. Не верю!

Ну и пое...нь....
Кстати, во фре ещё и при большом количестве процессов проц меньше грузится... Ети тесты byte косвенно подтверждают.

Помниться тут одно из первых (ныне удалённых) сообщений флейм заказывало =) Voila! =)

> Помниться тут одно из первых (ныне удалённых) сообщений флейм
> заказывало =) Voila! =)
Не стоит благодарности :) Обращайтесь за добавкой!

А что, это еще очень здоровый флейм. Побольше бы таких. Гораздо хуже, когда
появляется толпа тролей и начинается бесполезный словесный футбол.

Да ну... нафиг надо... Всё равно каждый при своём мнении останеться... А вот место на серваке + трафик --> это есть =)

> Тогда проделай ту работу, которую кто-то
> из FreeBSD team уже проделал, а не убеждай меня,

Эй, не кипятись. Ни в чем я тебя не убеждаю. Рассматривай меня просто
как некоего собирателя мифов и легенд о непригодности линукса ;)
Твой не самый клинический случай всего лишь пополнил мою коллекцию.
Сама беседа имела цель уточнить некоторые детали.

> highmem 64GiG патчи есть в Yahoo

oops, а говорил, что патчи не любишь... Ладно, проехали.

> Как такого рода патчики к rmdir могут гарантировать защиту одной виртуальной системы
> от другой, если я скомпилировал мой собственный rmdir, который на vsd_check_path чихать хотел?

Горячий ты, и доки читать не любишь. Ты знаешь, поскольку я тебе уже говорил
про мое увлечение - коллекционирование преданий - хочу в связи с этим добавить, что
у меня так же имеется некоторая статистика по распространителям этих преданий,
так сказать психологический портрет. Очень вписываешься ;)

Защиту одной виртуальной системы от другой обеспечивает chroot. Я не удивляюсь,
что ты не заметил. Виртуальный рут наверное все-таки не сможет заменить системный rm
на свой по причине установке флага immutable. Но собрать свою прогу под названием
new_rm он безусловно может. Вот тебе и вопрос на засыпку: почему виртуальный рут
может поставить такую прогу, но никогда этого не сделает, при условии что у него все дома ;)

Приятно было пообщаться со сказочником, который таки в конце концов
признал очевидную истину хотя бы по одному пункту. Bcя защита
freeVSD - это chroot, а весь остальной треск про скрытые друг от друга процессы, етс - только бред маркетоида завравшегося. И на том спасибо.

> highmem 64GiG патчи есть в Yahoo
Oops! Ты там помнится про _будущее_ говорил. Патчи имеют тенденцию
вливаться в основное дерево исходников, тебе бы об этом знать
стоило. Не вижу как это опровергает мои слова, что вероятность
доступности названных тобой features тогда, _когда они мне
понадобятся_, очень высока. Видно давняя привычка собирать
мифы тебя подвела.

> Ты знаешь, поскольку я тебе уже говорил про мое увлечение -
> коллекционирование преданий - хочу в связи с этим добавить, что
> у меня так же имеется некоторая статистика по распространителям
> этих преданий, так сказать психологический портрет. Очень
> вписываешься ;)
Каков пафос! Без комментариев.

> Но собрать свою прогу под названием new_rm он безусловно может.
> Вот тебе и вопрос на засыпку: почему виртуальный рут может
> поставить такую прогу, но никогда этого не сделает, при условии
> что у него все дома ;)
У него может быть виртуальный sendmail или Apache c тривиально дырявым CGI и так далее и тому подобное. И у того, кто под логином
этого самого админа соберёт свои собственные утилиты с головой будет
всё в порядке. И информацию он в этом случае получит гораздо более
подробную, чем если бы такой же break-in случился в jail.
Соответственно и потенциальных возможностей использовать эту
информацию для дальнейшего развития успеха будет больше. Вот и
всё и дальнейшую дискуссию по этому поводу считаю закрытой. Мы уже
два дня дискутируем, и я вполне вправе ожидать человека, что он в
конце концов прочтёт документацию, к чему так упорно, и успешно,
надо сказать, призывал других.
В коллекцию не добавляю.

> Bcя защита freeVSD - это chroot, а весь остальной треск про скрытые друг от друга процессы

А чего ты так разозлился? Take it easy ;) Это всего лишь легкое и элегантное решение, вполне достаточное
для обычного хостинга. На freebsd я видал и похуже...

> У него может быть виртуальный sendmail или Apache c тривиально дырявым CGI и так далее и тому подобное. И у
> того, кто под логином этого самого админа соберёт свои собственные утилиты

Ах, отмазки пошли. Я понимаю, трудно признать свою ошибку. Вместо этого начинаем врать еще больше,
окончательно запутываемся, и вот ты уже прижат в угол... Скажи мне, как при том же дырявом CGI
jail сможет уберечь данные виртуального хоста от подмены/стирания? Внимательно слушаю.

> А чего ты так разозлился? Take it easy ;) Это всего лишь легкое и
> элегантное решение, вполне достаточное для обычного хостинга. На
> freebsd я видал и похуже...
Дано: freeVSD == chroot, Jail > chroot => Jail > freeVSD. Можешь
доказать противное _без_ приписывания людям эмоций по своей
собственной инициативе - милости просим к продолжению дискуссии.
А нет - иди читать мифы и сказки. По поводу последней фразы -
идиотски сконфигурированных Linux хостов в Internet гораздо больше,
просто в силу статистической необходимости. Как я понял, аргумент
такого типа должен как то подтверждать мою правоту и опровергать
твою, только вот я, честно признаться, не знаю как. Ну ты наверное
разберёшься, ты ж начал.

> Ах, отмазки пошли. Я понимаю, трудно признать свою ошибку.
> Вместо этого начинаем врать еще больше, окончательно
> запутываемся, и вот ты уже прижат в угол... Скажи мне, как при
> том же дырявом CGI jail сможет уберечь данные виртуального
> хоста от подмены/стирания? Внимательно слушаю.

А ничего нового я тебе тут сказать не могу. Ты уже упоминал здесь
immutable flags, etc. Только вот незадача - защита информации
внутри jail от root breach не является заявленной целью jail, и
ты как-то занятно ошибаешься думая, что это является заявленной
целью хоть одного из приведённых тобой Linux проектов. Целью
является изоляция виртуальной машины от других, с целью
минимизации последствий от security hole в какой-либо из них. Chroot
решает проблему изоляции на уровне файловой системы, Jail и freeVSD
добавляют к этому изоляцию видимой информации о процессах, только
Jail реализует это в ядре, а freeVSD предлагает костыль по сути,
систему userspace проверок, где программы _добровольно_ соглашаются
определённую информацию не трогать и.или не разглашать, хотя никто
и ничто их к этому не принуждает. Обьясни мне, не прибегая к
психологическим этюдам, сможет ли freeVSD остановить процесс с
еffective UID 0 от посылки SIGKILL процессам, работающим в других
VM? Jail сможет. Дискуссия закрыта, пока ты не сподобишься
разродиться хоть сколько-нибудь информированным ответом.

--
"Загнанный в угол".

http://uptime.netcraft.com/up/graph?mode_u=off&mode_w=on&site=http%3A...

The site www.linux.org.ru is running Apache/1.3.12 (Unix) PHP/4.0.3pl1 ApacheJServ/1.1.2 rus/PL29.7 on FreeBSD.

esli uzh linuxovye sai`ty krutyatsya na FreeBSD...

> Дано: freeVSD == chroot, Jail > chroot => Jail > freeVSD. Можешь
> доказать противное

Какое ж это "Дано"? Это уже плод больного воображения, а не исходные данные.
Неверное "Дано", соответственно и вывод неверен изначально, и доказывать
мне нечего, ибо в твоем предположении все "противно" ;)

Ладно, давай чистить твои мозги. Ну во-первых не смешивай разные типы данных - сисколы
с программными решениями, а то я сейчас начну сравнивать freebsd c файловой системой ;)
Если бы FreeVSD было равно chroot, то оно бы называлось chroot, а не FreeVSD.
Хорошо, предположим я понял, что ты хотел сказать. Тогда уточняем твое "Дано" и
приводим его в божеский вид.

Итак, Дано: jail может делать две вещи - 1) chroot'ить процесс и
2) ограничить его сетевую активность определенным ip/портом.

Вопрос заключается в том, можно ли повторить эту функциональность другими средствами,
например конкретно в линуксе, у которого нет родного jail.

Вот тебе варианты решения. Возьмем конкретный пример - запуск mysqld для виртуального хоста.
Файл запуска будет выглядеть примерно так:
#!/bin/sh
ulimit -SHv 300000
exec envuidgid mysql envdir ./env sh -c '
exec chroot $CHROOTDIR bin/setuidgid $USER bin/mysqld \
--basedir=/ \
${SOCKET+"--socket=$SOCKET"} \
${TCPPORT+"--port=$TCPPORT"} \
${BINDADDRESS+"--bind-address=$BINDADDRESS"} \
и т.д.
Мысль понятна? Функцию jail мы исполнили? А в сочетании с chtrunk
мы еще имеем в дополнение кое-что, чего у jail'a никогда не будет.

Хочешь пустить апач? Пожалуйста, укажи ему в конфиге BindAddress ip.
Как говорят китайцы, what's your problem?

> The site www.linux.org.ru is running Apache/1.3.12
> (Unix) PHP/4.0.3pl1 ApacheJServ/1.1.2 rus/PL29.7 on FreeBSD.
Я вообще сторонник FreeBSD и предпочитаю не иметь дел с Linux,
однако не могу не заметить, что не все могут выбирать платформу
своего хостинга, и выбор в пользу FreeBSD здесь вряд-ли был
сознательным. Тема эта задискутирована до дыр и дразнить
ей кого-либо без дела не стоит.

Кстати о птичках - кому там нужен был LOMAC пол FreeBSD? rc/sys/contrib/lomac - Imported sources Update of /home/ncvs/src/sys/contrib/lomac In directory freefall.freebsd.org:/d/home/green/HEAD/src/sys/contrib/lomac Log Message: Initial import of the LOMAC (Low-Watermark Mandatory Access Control) module port to FreeBSD.

Кстати о птичках - кому там нужен был LOMAC пол FreeBSD?

rc/sys/contrib/lomac - Imported sources
Update of /home/ncvs/src/sys/contrib/lomac
In directory freefall.freebsd.org:/d/home/green/HEAD/src/sys/contrib/lomac

Log Message:
Initial import of the LOMAC (Low-Watermark Mandatory Access Control)
module port to FreeBSD.

> esli uzh linuxovye sai`ty krutyatsya na FreeBSD...

Дык это специально, тест на чувство юмора. Умный улыбнется, придурок начнет
выводы строить... Ну и как, нравится тебе качество его работы на freebsd?
Быстро работает, да? Всегда доступен? Не глючит?

> что не все могут выбирать платформу своего хостинга, и выбор в пользу FreeBSD здесь вряд-ли был сознательным.

От, сказанул! Я прочувствовался до слез. В Москве, понимаешь ли, товарищи делали
почти бессознательный выбор платформы для хостинга ;(
Были настолько бессознательны, что перепутали линукс с фрибсд. Это сколько же надо выпить
или колес сожрать? Ну что ж, всякое бывает...

На linux.ru.net небось побольше ихнего пьют, но в такую бессознательность
еще ни разу не впадали. Крепкие, блин, ребята ;)

Мы сравниваем Jail и freeVSD как системы, предоставляющие некую
сходную функциональность и призывы не смешивать syscalls с данными
выглядят смешно - мне наплевать, как и то и другое реализовано,
хоть через помахивание кроличьей лапкой, но если freeVSD физически
не способна предоставить тот же уровень защиты друг от друга,
факт, который так и не был тобой опровергнут, то security wise
freeVSD << Jail.

> Итак, Дано: jail может делать две вещи - 1) chroot'ить процесс и
> 2) ограничить его сетевую активность определенным ip/портом.
3) Ограничить взаимную видимость между несколькими jail. Signals,
processes, some sysctl nodes. Как удобно ты это забыл, принимаясь за
чистку моей головы. Не передёргивайте карты, не в покер с жуликами
играете.

> Мысль понятна? Функцию jail мы исполнили? А в сочетании с chtrunk
Это дурная шутка, а не решение, уж ты меня извини.
Нет не исполнили. Теперь гарантируй, что злой дядя не сломает твой
mysqld и не использует эту дыру для того, чтобы открыть какой угодно
listening socket на каком угодно IP, в том числе и принадлежащем
другой VM. Или не сообщит кому надо информацию обо всех исполняемых
процессах на машине? И заодно таки ответь мне что же
делать с поломанным UID 0 процессом. Ты на прямые вопросы
отвечать будешь, или заботы о моём психическом состоянии превратились
в навязчивую идею и не дают думать ни о чём другом? Даже в пылу
битвы думать полезно.

> А в сочетании с chtrunk мы еще имеем в дополнение кое-что, чего
> у jail'a никогда не будет.
Вот от тебя и добиваются примера, чего такого конкретно в jail
не будет, ты же упорно желаешь играть в психиатра-недоучку и
покопаться у меня в голове. Похоже, если на следующее твоё письмо ты
ответа не получишь, так и знай, что противная сторона (я то есть)
считает, что ты сморозил очередную глупость и просто решила
сэкономить на словах.

> Как говорят китайцы, what's your problem?
Ну в упрямом и собеседнике, к примеру...