LINUX.ORG.RU

kernel.org был скомпрометирован

 ,


0

1

На сайте kernel.org, предоставляющем доступ к исходным кодам ядра Linux, появилось сообщение о том, что 28 августа инфраструктурные серверы были скомпрометированы. Исходный код ядра не повреждён — об этом можно говорить благодаря строгому контролю целостности репозиториев распределённой системы git, но всё равно сейчас выполняется его проверка.

На серверах постепенно производится переустановка систем, а также ведётся расследование инцидента и выявление последствий действий злоумышленников.

Сообщение на lwn.net

>>> Подробности

★★★★★

Последнее исправление: post-factum (всего исправлений: 2)
Ответ на: комментарий от sdh

Бесспорно.

> Есть такое понятие как роутер

Конечно же можно и таким образом разрулить. Если есть желание.

Но я, в силу ряда причин, предпочитаю программно-аппаратные комплексы, реализованные как готовое изделие. Прежде всего потому, что они уже готовы к использованию и просты как 3 копейки. И в стойках места мало занимают.

Ну, денег стоят... Ну, да... Ну (возможно!) что не совсем безопасны, так и на 100% нет ни где безопасности. Но на серваках (таки да!) Hardened Gentoo. Так что, вполне приемлемый вариант.

Единственное — сбор логов нужно наладить чтобы со всех хостов, роутеров, файеров всё сливалось на один хост, где-нибудь в глубине Вашей сети. Там можно внимательно всё просмотреть. Задача не технического а организационного плана.

anonymous
()
Ответ на: Бесспорно. от anonymous

>Единственное — сбор логов нужно наладить чтобы со всех хостов, роутеров, файеров всё сливалось на один хост, где-нибудь в глубине Вашей сети.

и чтобы это была единственная задача этого хоста... даже sshd на нём не подымать!!!

настроить мейл клиент чтобы разсылать сообщения..

плюс возможно FM (с анализом группировкой событий их класыфикацией и взаемосвязей принятием необходимых мер) но это очень дорого будет...

sdh
()
Ответ на: комментарий от RA

Protocols: ISO/OSI, TCP/IP, ARP, IPv4, IPv6, Ethernet, vlan, OSPF, BGP, E-BGP, IRC, XMPP, SNMP, SIP, Netflow, etc.

ты знаешь что означает эти абревиатуры? учавствовал в их разработке? Умело применяешь их(расскажи как ты эффективно используешь TCP/IP)? спициалист локалхоста

Курс изучения длится два года и один месяц. Два года учат выговаривать слово пре-сти-ди-жи-та-тор, и потом один месяц обучают искусству гипноза. Так говорилось в сказке. Поэтому, долбоспециалист еще и сказочный

anonymous
()
Ответ на: комментарий от sdh

Угггууууу...

> плюс возможно FM (с анализом группировкой событий их класыфикацией и взаемосвязей принятием необходимых мер) но это очень дорого будет...

Относительно дорого, да... Я не хотел этого говорить, но видимо придётся. Мы используем на практике Cisco MARS, да, это стоит денег, но решает проблемы обнаружения более чем наполовину. Это позволяет контролировать (особенно при наличии оборудования cisco и нормальных логах) весь периметр Вашей сети и то, что внутри происходит. И да, я не работаю ни в «Газпроме», ни в его «дочке», ни в банке. Мы занимаемся «безопасностью». В некотором роде. :)))

А вот _насколько_ это дорого нужно считать. Т.к., неизвестно что дороже — потерять информацию в результате удачной атаки сопливого малолетки (и такое бывает) или вложить деньги в инфраструктурное оборудование и блокировать такие «отаги» на корню. Например, та же ASA умеет блокировать по regexp запросы (пусть будут http). Т.е., если некто запускает сканер, проверяющий Ваш хост на наличие уязвимых скриптов, то ASA отправить его в пешее эротическое особо извращённым образом — просто дропнув соединение. Ну вот пусть теперь его бот и выжидает по 2 минуты на каждую попытку. У нас всё работает, а у чувачка тратится время. Бога ради! :))) Там ещё море функционала... Бесспорно, что мы (ну я по крайней мере) смогу его воспроизвести на стандартной машине, отданной под роутер, но не факт что лично я захочу просто тратить на это время. Я, к сожалению, не админ. Программист я. Изначально. Просто приходится иной раз... :)

anonymous
()
Ответ на: Угггууууу... от anonymous

>да, это стоит денег, но решает проблемы обнаружения более чем наполовину.

Похоже на рекламу виагры «член стоит более чем наполовину».

Jewish_cherry
()
Ответ на: комментарий от anonymous

Сообщение написано не на русском языке, а на английском языке, но кириллицей и с русской грамматикой. Такой язык сейчас в моде.

anonymous
()

Ядро-разумное само себя скомпрометировало.

Our_dear_mOxim
()
Ответ на: Угггууууу... от anonymous

Цицька дерьмо! и софт её дерьмо!

И ещё не понятно, защищает она тебя или шпионит за тобой;)

Лучше писать и использовать свободный софт...

Например вот очень интересный и правильный вариант: http://habrahabr.ru/blogs/network_technologies/126051/

anonymous
()
Ответ на: комментарий от fyjybvec

> ynpo01dsP ynpo02dsP ... ynpo30dsP ?

Нет :-) Эти буквы — первые в словах в транслитерации фразы «Я например помню около 30 достаточно сложных паролей».

askh ★★★★
()
Ответ на: комментарий от anonymous

> И ещё не понятно, защищает она тебя или шпионит за тобой;)

Наверное, не столько «шпионит», сколько имеет тщательно недокументированные возможности. Типа той, которая в 2002г. была использована по отношению к роутерам некоторых серий. Там был небольшой такой баг, который приводил к тому, что когда роутер получал пакеты ICMP redirect (ICMP type 5), то он внезапно укладывался баиньки и всячески отказывался что-либо роутить.

Фишка в том, что в IOS пакеты поступают и обрабатываются в несколько очередей — от пакетов малых размеров до huge. Вот и получалось что ICMP redirect почему-то попадал в эту самую очередь huge пакетов. Ну а дальше... Там была проблема с переполнением буфера. Пакеты поступали в эту очередь до тех пор, пока память была, затирая много чего из того, что затирать было бы не нужно.

Сколько ещё таких же подарочков там припасено остаётся только гадать.

Цицька дерьмо! и софт её дерьмо!

Не. Пардон. С этим ни кто не спорит. Но альтернатив покамест в упор не видно. Так чтоб поставил, настроил, организовал сбор и обработку и нехай оно работает пока не помрёт от старости. И желательно чтобы это был единый «корпус», который поставил на место в стойке, подцепил сеть и питание и всё... Ответ на вопрос «где оно стоит?» должен быть — «В стойке. Где-то. Искать надо.»

Лучше писать и использовать свободный софт...

Да. Есть у меня коллега, вынашивающий подобную приведённой Вами идею. Я кинул ему ссылку почитать. Он почитал. Ответил мне и разрешил ознакомить Вас с его ответом (мнением).

Оговорюсь сразу. Ни кто не претендует на высокое звание истины в последней инстанции. Это прежде всего. То, что я напишу ниже это одно из мнений и ни кто не уверяет никого в том, что оно абсолютно корректное и единственно верное.

Итак, при всей привлекательности идеи, есть ряд недостатков.

Первый. Язык реализации и используемая БД. Насчёт монго можно говорить много и нудно, это лишнее, замечу только то, что мы предложили бы использовать набор правил, записанный в виде Berkeley DB, ныне это Oracle Embedded. Это связано с самой по себе сутью такой системы. Или, если угодно, нашего видения такой системы. Язык реализации (мы предполагаем) должен быть С. Почему так?

Потому, что такого рода система во-первых, должна быть _быстрой_ и даже _очень_ быстрой. Во-вторых, как я писал выше, мы предполагаем что это это должен быть «корпус». Атомарный. Возьмите ту же cisco asa с фильтрацией трафика через websense. Ну там да... Intel Pentuim 200MHz (на PIX), немного памяти, малость флеша... Всё. Новая прошивка означает новые, усовершенствованные алгоритмы работы (с новыми ошибками, но чёрт бы с ним). Если разбираться с «экспертной системой», то ей (системе) совершенно похрен на чём она написана.

Хочется примерно такого же. Но все мы понимаем что написать новую ОС для этих целей, аналог Cisco IOS это полный бред. Ни кому не нужный. Остаётся использование чего-нибудь небольшого и очень быстрого. Навроде eCOS. Это пока рабочая гипотеза, надо продумывать, но она имеет право на существование. Что? eCOS непреемптивна? Да. Ну и хер бы с ним. Зато RTOS. И вполне работающая на Intel based.

Отсюда мы получаем необходимость кода на С (в eCOS либо на уровне модулей ядра, либо на уровне чуть выше, но то же радостно), работающего с правилами, записанными в компактной форме. Я уже озвучил в каком виде.

На входе такой системы, вот тут Вы очень правы, будет поток лог-файлов. Система их анализирует, сопоставляя с существующими правилами и принимает решение что делать с этим дальше. Но мы решили ограничиться поддержкой только системы syslog (для начала) и весьма скромным набором реакций (у Вас это Actions).

Если что-то будет (в чём например я лично сомневаюсь, т.к. загрузки выше крыши), то мы с удовольствием ознакомим общественность. Дальше будет вопрос в изготовлении законченного программно-_АППАРАТНОГО_ комплекса, если доживём, но это уже будет другой вопрос.

anonymous
()
Ответ на: комментарий от Jewish_cherry

Послушайте, виндарасы...

... у вас что, у всех поголовно проблемы ниже пояса?

Один тут спалился (за язык его ни кто не тянул) — дескать, коротковат у него...

Второй (вторая, второе):

Похоже на рекламу виагры «член стоит более чем наполовину».

По всей видимости, знает с чем сравнивает... Блин. Как страшно жить-то...

anonymous
()
Ответ на: комментарий от malbolge

Приложения на php хакнуть легче, чем CGI с kernel.org. Но и плюшек от взлома CGI бывает больше, особенно если у пользователя, под которым работает сервер достаточно широкие возможности. Интересно, как злоумышленники получили ключ для SSH-доступа?

lucentcode ★★★★★
()
Ответ на: комментарий от anonymous

Не факт, что злоумышленники изменили исходники. Да и куча GIT-репозиториев у разработчиков и тарболлы с сырцами мигом помогут установить, не подгадили ли в ядро. Чем фряха лучше? Написать шеллкод под фряху не сложнее, чем под любой другой юникс. И если Linux разрабатывает и тестирует море народа, оперативно прикрывая уязвимости, то насчёт оперативности разрабов фряхи у меня сомнения. Их просто слишком мало, что-бы на должном уровне тестировать ядро, да и разрабатывать его в соответствии с современными тенденциями. А компроментация SSH, и прикладных программ - обычное дело для любой системы. Даже хвалёна QNX держится только в силу своей небольшой распространённости, но я уверен, и её ломают.

lucentcode ★★★★★
()

Не понятно, что там делал Xnest? Он же устарел, давно есть Xephyr. Более современный и надёжный.

lucentcode ★★★★★
()
Ответ на: комментарий от anonymous

Cisco педриот или навязчивый торгаш?

>Не. Пардон. С этим ни кто не спорит. Но альтернатив покамест в упор не видно. Так чтоб поставил, настроил, организовал сбор и обработку и нехай оно работает пока не помрёт от старости. И желательно чтобы это был единый «корпус», который поставил на место в стойке, подцепил сеть и питание и всё... Ответ на вопрос «где оно стоит?» должен быть — «В стойке. Где-то. Искать надо.»

Вам не стыдно на моём ЛОРе рекламировать американский разработки и китайские заводы?

Смотри альтернативу: http://eltex.nsk.ru/catalog

Первый. Язык реализации и используемая БД. Насчёт монго можно говорить много и нудно, это лишнее, замечу только то, что мы предложили бы использовать набор правил, записанный в виде Berkeley DB, ныне это Oracle Embedded. Это связано с самой по себе сутью такой системы. Или, если угодно, нашего видения такой системы. Язык реализации (мы предполагаем) должен быть С. Почему так?


базы, кажись используются две: где оправдано использовать реаляционную модель данных, используют postgresql, где лучше кореневая модель данных используют mongo (мне она не нравится но FM стал быстрее в 4-6 раз и способен обработать ~ 500 сетевых событий в секунду).

Писать проект такого уровня на С мазохическая утопия.. Да питон в этом плане нереально крут, они даже ssh, telnet, snmp клиенты для ускорение системы в целом переписали на Python...

Акцент при разработки делается на маштабируемость системы для управления огромными сетями (уже есть инсталяции NOC с тысячами сетевых устройств, и много где NOC рулит сотнями устройств) уже в некоторых проектах число пользователей перевалило 100 000 000 человек - это огромные нагрузки...
Проблема в FM снизить IO на серверы логов... Это и соотведствующие железо и дисковая подсистема.. В одну железяку с Ынтел 200Mhz ты её не засунешь... На каждые 300-500 сетевых устройств приходится ставить отдельный сервер для выполнения на них команд... Загрузка проца и особо IO на серверах с БД есть довольно большая.
Но Python это не узкое место, а огромный плюс, свидетельством этого есть очень быстрое развитие и огромное число поддерживаемого оборудования: http://redmine.nocproject.org/projects/noc/docs/en/nocbook/html/supported.html добавление поддержки ещё одной ОS одним человеком, занимает примерно до 1-2 недели (в будущем релизе планируется поддержка GNU/Linux, Eltex, Alentis)... В подобных проектах IBM & HP на это уходят месяцы работы группы людей...

anonymous
()
Ответ на: Cisco педриот или навязчивый торгаш? от anonymous

> Вам не стыдно на моём ЛОРе рекламировать американский разработки и китайские заводы?

Нет. Не стыдно. Есть одна проблема — это работает. И работает достаточно хорошо (если понимать что существует ряд ограничений).

Смотри альтернативу:

Видел. Вы хотите мне рассказать что там элементная база (читай «микросхемки») нашего, российского производства? Откройте корпус и посмотрите. Будете неприятно удивлены.

базы, кажись используются две: где оправдано использовать реаляционную модель данных, используют postgresql, где лучше кореневая модель данных используют mongo (мне она не нравится но FM стал быстрее в 4-6 раз и способен обработать ~ 500 сетевых событий в секунду).

Еб*ся! :))) 500 сетевых событий в секунду! Ох*ть!!! Я просто рыдаю тихими слезами умиления... Послушайте, Вы всерьёз уверены что знакомы с BerkeleyDB? И сколько она позволит обрабатывать событий в секунду оценить можете? Вот откройте мне тайну золотого ключика (уж простите что я нескромен) — на кой хер Вам там убился SQL (и постгрес в частности)?!? У меня _уже_ есть MARS и там _уже_ есть Oracle. Я не с потолка взял данное положение — SQL в таком случае на... Это один из тормозов такого рода системы.

anonymous
()
Ответ на: Cisco педриот или навязчивый торгаш? от anonymous

Далее.

Писать проект такого уровня на С мазохическая утопия.. Да питон в этом плане нереально крут, они даже ssh, telnet, snmp клиенты для ускорение системы в целом переписали на Python...

Простите. У меня для Вас есть очень херовая новость.

[code] ldd /usr/bin/python    linux-vdso.so.1 => (0x00007fffa9af7000)    libc.so.6 => /lib64/libc.so.6 (0x00007fc7e0bd5000)    /lib64/ld-linux-x86-64.so.2 (0x00007fc7e0f58000) [/code]

Т.е., для всех этих жутких извращений что пишутся на питоне, С достаточно крут (по крайней мере, питон сам по себе на нём и писан и переваривает всё это). А вот для вашей неэпической системы он крут недостаточно? Вы в своём уме? Если Вас смущает якобы отсутствие в С бесспорно удобных средст для программирования в стиле ООР, то у меня есть для Вас вторая херовая новость. Вы ни хера не знаете С. Гуглить по строке «OOP in C», читать внимательно и смотреть на даты публикаций. Когда именно на С можно было уже писать в стиле ООП. Оборотная сторона такого подхода — нет нужды в туевой хуче библиотек. Опять же система потребляет меньше ресурсов.

Акцент при разработки делается на маштабируемость системы для управления огромными сетями (уже есть инсталяции NOC с тысячами сетевых устройств, и много где NOC рулит сотнями устройств) уже в некоторых проектах число пользователей перевалило 100 000 000 человек - это огромные нагрузки...

Однааако... Очевидно Cisco забилось нервно в угол и тихо грызёт свою шляпу, боясь привлечь внимание таких «акул»... :))) Вас жестоко [s]нае...[/s] эээ... «обманули», скажем так. В некоторых проектах 100 000 000 человек? О-ба-нааа... Чуваки, Вы там чё, NASA окучили? Или всё-таки, данную цифирь надо поделить на... сколько?

На каждые 300-500 сетевых устройств приходится ставить отдельный сервер для выполнения на них команд...

Вот по этой причине я и потратил время на вас, идиотов, пытаясь объяснить с какого хера данная система должна быть _крайне_ экономична. Возможно Вы не в курсе, но тот же Oracle без aio (асинхронного ввода-вывода) не живёт. И файловая система там должна быть подобрана _соответствующая_ (из линуксовых XFS настоятельно рекомендую для РСУБД). А не ту, что Вы придумали прикрутить. Это называется «системная аналитика», когда Вам говорят где Вы идиот и по какой причине. За это денег вообще-то платят, но сегодня я это делаю бесплатно. :)))

Но Python это не узкое место, ...

А на хер нужно такое «развитие»? Если Вы подразумеваете что Ваш софт типа бесплатен, то простите, но я на железе на хер разорюсь.

В одну железяку с Ынтел 200Mhz ты её не засунешь...

В циско, как я понимаю, достаточно толковый системный анализ. И они понимают что есть ряд устройств. Всё по отдельности это ни что. В сумме это «сеть». В вашем случае окромя одной жопы, которой Вы хотите накрыть всё без исключения, я ни чего более не увидел. Но жопа в итоге будет. И большая. :)))

Впрочем, удачи.

anonymous
()

Хм, а как узнали, что серверы были скомпрометированы? И так и не понятно, что наделали кулхацкеры.

Vier_E ★★★
()
Ответ на: Угггууууу... от anonymous

Херня этот MARS, притом что уже и EOS... Перешли на QRadar. По поводу крутости ASA - на каждую хитрую жопу найдется свой хуй.

anonymous
()
Ответ на: комментарий от leiche

> Снова «скомпрометирован». Взломан же.

Таки да. Кто пояснит разницу? Почему упорно избегается термин «взлом сервера»?

Stalin ★★★★★
()
Ответ на: комментарий от lucentcode

> Ага, но на серверах не должно быть иксов.

Их там и не было. И Xnest'a не было. Совсем не было. Прочитай все же новость не по диагонали.

YAR ★★★★★
()
Ответ на: комментарий от anonymous

>Нет. Не стыдно. Есть одна проблема — это работает. И работает достаточно хорошо (если понимать что существует ряд ограничений).

У на Eltex уже вытеснил cisco с телефонии и теперь, возможно, потеснить DLink с коммутаторов.

А знаешь почему? Устройства Eltex показали себя надёжнее, в наших условиях эксплуатации;)

Видел. Вы хотите мне рассказать что там элементная база (читай «микросхемки») нашего, российского производства? Откройте корпус и посмотрите. Будете неприятно удивлены.


Раскручивал смотрел, удивления нет, а вам стоит глянуть это: http://eltex.nsk.ru/company «Технологические возможности».

Еб*ся! :))) 500 сетевых событий в секунду! Ох*ть!!! Я просто рыдаю тихими слезами умиления...


Ты не в курсе темы:) Положить тупо событие syslog или snmp-trap в базу != обработать событие...
Например событие Link Down:
Оно приходит, класифицируется по бази событий что это пропал линк, подымается сообщение о выключении линка, но этому сообщению надо присвоить приоритет, чтобы оператор видел на мониторе сперва самые важный сообщения... Одно дело падение линка клиента и совсем другое падение линка между важными сетевыми устройствами... Для этого сеть представляется как граф с весовыми узлами и просчитывается снижение доступности сервисов сети от отключения линка... Если отвалилось часть сети сообщению присвоится больший приоритет...
Аналогично по событиям просчитываются атаки на сеть, и предпринимаются необходимые действия...
Класифицировать 500 событий в секунду и выдавать их обработаными оператору это много!!!

на кой хер Вам там убился SQL

они отказались от SQL в конкретно даном случаи и перешли на mongo, это дало прирост производительности в 4-6 раз в основном за счёт снижения IO.

sdh
()
Ответ на: комментарий от anonymous

Python очень удобен для программирования, особо когда проект очень сложен. На С такое поднять просто не реально:) Программа на python пишется раз в 10 быстрее и есть раз в 100 понятнее и читабельнее, да python в общем медленнее С и потребляет больше ресурсов...

Из списка известных инсталяций:
http://redmine.nocproject.org/projects/noc/wiki/WeAreUsingNOC
Переходим по ссылке http://badoo.com/ и видим что число зарегистрированных пользователей > 121 000 000 человек, я не преувеличивал, а уменьшил на 21 миллион ;)

Структура NOC трёх уровневая, на втором уровне система имеет свой протокол комманд и ничего не знает об управляемом ею железе, на третьем уровне происходит перевод комманд в команды конкретного железа и потом обратно перевод результатов полученых с железа во внутрений протокол NOC...
Так вот именно на нижнем третьем уровне надо примерно 1 сервер на 300-500 сетевых узлов!!!
Ты пойми что при 500 узлах надо будет минимум 500 ssh/telnet запускать чтобы выполнить один запрос/команду оператора NOC, а если двое операторов одновременно обратятся к сети то на последнем третьем уровне будет уже 1000 ssh/telnet сесий и не надо говорить мне об SNMP он тоже имеет узкие места...
NOC переписал telnet, ssh, snmp клиенты с С на Python ибо стандартные юниксовые реализации этих клиентов просто обсирались на таких масштабах!

Да для того чтобы управлять сетью, она должна состоять из управляемых узлов.. Управляемое железо стоит намного дороже, а хорошее ещё дороже:) Но пока ваша сеть состоит из десятка неуправляемых свичей жить можно и сэкономить на управляемом железе... Но если сеть состоит из сотен сетевых коммутаторов и обслуживает тысячи серверов и клиентов то затраты на обслуживание такой сети и качество его её работы будут просто не приемлемы. по этому большие сети строятся на управляемом оборудовании (если вы не будете покупать cisco то не разоритесь) а для того чтобы им управлять и пишется NOC с самым толковым системным анализом.

И вам успехов:)

sdh
()
Ответ на: комментарий от post-factum

>Сначала подумай о сложности поддержания безопасности такого проекта, потом вспомни, что нет ничего 100% безопасного, и перестань нести чушь.

Какого такого проекта? Там чуть ли не 5ть статических говностраничек и файлопомойка с архивами кернелов.

Такое школота подымет как за нефиг. А ты тут про сложность _такого проекта_ плетешь.

anonymous
()

Peter Anvin... че-то знакомое, это случаем не каждый раз при загрузке ядра (может быть старого, 2.4) выдавалась строчка с его именем?

www_linux_org_ru ★★★★★
()
Ответ на: комментарий от sdh

> Раскручивал смотрел, удивления нет, а вам стоит глянуть это:

Ладно. Коль пошла такая пьянка... Хочу сказать что «это» я видел. Ну и вот это -> http://news.ngs.ru/more/77588/ (форма собственности внушает, описание тех. процесса... символизирует). И вот это -> http://www.oc.ru/partners/eltex/ (с цитатой — «ООО «Элтекс» является одним из партнеров Cisco, которая создала экосистему из партнеров, наиболее конкурентных отечественных поставщиков оборудования и программного обеспечения»).

На основании выше изложенного, цитата:

У на Eltex уже вытеснил cisco с телефонии и теперь, возможно, потеснить DLink с коммутаторов.

Признаётся маркетинговым высером. :)) Давайте от этого впредь воздержимся ибо LOR это не та поляна, чтобы упражняться в маркетинге. И уж тем более не та поляна, чтобы рассказывать про то, как у нас раззвиздато с _собственной_компонентной_базой_.

Ты не в курсе темы:) Положить тупо событие syslog или snmp-trap в базу != обработать событие...

То, что подумал _ты_, не означает что это написал _я_. Мне была показана ссылка на программьё. Я посмотрел. Узрел что там разговор идёт в терминах Event -> Action. Про Action я и пишу. БД в таком случае нужна (самое важное!) для хранения информации именно об Actions. И срабатывание системы должно происходить по алгоритму — есть Event, смотрим чё там по данному Event есть в системе (какой Action следует предпринять) и, на основании этого срабатываем (не всегда нужно дёргать за яйца оператора). Но вот тут есть одна засада. Action'ов может быть не один ни фига. И надо учитывать то, что и сами по себе Events могут иметь различные уровни severity, как следствие — разные Actions. Это был «раз». А вот и «два». По хорошему, такого рода система должна быть основана на некой «экспертной системе», содержащей как готовый набор правил, так и возможности к обучению такой системы и дотачиванию на месте, под конкретные нужды. И записать правила для такой ЭС было бы логичнее в некую БД. Уже озвучил в какую. Как домашнее задание — разбирайтесь сами почему именно так.

А вот уж как там будет запротоколирована отработанная или пропущенная связка Event->Action это уже дело сотое. И тем более не идёт разговор о хранении trap'ов или syslog.

Класифицировать 500 событий в секунду и выдавать их обработаными оператору это много!!!

Это тебе так кажется. «Я это гарантирую». ;)

anonymous
()
Ответ на: комментарий от www_linux_org_ru

hpa дофига где отметился.

> Peter Anvin... че-то знакомое, это случаем не каждый раз при загрузке ядра (может быть старого, 2.4) выдавалась строчка с его именем?

SYSLINUX, поддержка какого-то из рейдов... Но именно в SYSLINUX его инициалы были первыми. И да, выводились на экран...

anonymous
()
Ответ на: комментарий от sdh

> Python очень удобен для программирования, особо когда проект очень сложен. На С такое поднять просто не реально:)

Не. Питон очень удобен когда вы не умеете писать на С.

/* Fixed. */

Потому что море софта с невероятнейшей сложностью (ядро? основные либы системы? либы GTK+/GNOME, и прочая-прочая-прочая) смотрят на вас как на... Ну, как-то не очень одобрительно так смотрят. :)))

http://redmine.nocproject.org/projects/noc/wiki/WeAreUsingNOC
Переходим по ссылке http://badoo.com/ и видим что число зарегистрированных пользователей > 121 000 000 человек, я не преувеличивал, а уменьшил на 21 миллион ;)

ЛОЛШТО?!? :))) Хорошо. Мои личные патчи, переправленные авторам, привели к тому, что mod_fastcgi из версии 2.4.2 стал 2.4.6. Возможно, так как это было давно, из 2.4.4 в 2.4.6 Я не помню этих цифирей, но я помню что было сделано. Не столь суть. Таким образом, исходя из Вашей же логики, я должен записать на свой счёт все успешные инсталляции Apache + mod_fastcgi и всех пользователей такого рода систем?!? Вы... В своём уме?

Да, я смотрю на статистику badoo.com и тщусь понять — у вас что, 121млн. инсталляций? Если «да», то я Вас поздравляю, если «нет», то приведённый мною пример манипуляцией с цифрами абзацем выше. Обойдёмся без «маркетинга»? :)))

Структура NOC

Ну, каждый сам себе злобный Буратино. Вы хотели воспроизвести то, «как это делают»? Ну и отлично. Вперёд. Какие трудности? За исключением того, что принципиальной новизны здесь нет в упор, да и решение уже нормально существует (аналогичное). Вам захотелось очередного велосипеда? Ну... Я, в принципе, сказал что мы бы на своём месте сделали, но как видно, Вы не понимаете что именно нужно.

Ты пойми что при 500 узлах надо будет минимум 500 ssh/telnet запускать чтобы выполнить один запрос/команду оператора NOC,

Нет. Это Вы _точно_ не понимаете что именно нужно сделать. 500 сессий на 500 узлов не нужно. Сессия (не важно автоматическая или с «применением» оператора) должна устанавливаться по мере необходимости, а не все и сразу. У вас не «архитектура», а говно, если вы врубаете сессии чохом. Action должно иметь чёткий адрес назначения.

Тем более на хер не нужен телнет. Либо, да, ssh, либо откройте уже для себя snmp v3. Он шифрован (это намёк).

NOC переписал telnet, ssh, snmp клиенты с С на Python ибо стандартные юниксовые реализации этих клиентов просто обсирались на таких масштабах!

Когда коту делать нехер, он как правило, то же яйц... эээ... «порядок наводит». Я ещё раз говорю — вы откровенно не понимаете что нужно. По этой причине, вы пишете зачудительнейшую херню.

а для того чтобы им управлять и пишется NOC с самым толковым системным анализом.

Я уже это вижу... Анализ... системный... Такой системный... :)))

anonymous
()
Ответ на: комментарий от sdh

У на Eltex уже вытеснил cisco с телефонии

А конкретней можно, интересно очень, как используете?

anton_jugatsu ★★★★
()
Ответ на: оффтоп от po1s0n

Кармадрочера тоже видно издалека, без относительности количества звезд у него

ага, только вот в случае недозвездности хотя бы почти всегда можно судить что юзверь нуб.

tazhate ★★★★★
()
Ответ на: hpa дофига где отметился. от anonymous

> SYSLINUX, поддержка какого-то из рейдов... Но именно в SYSLINUX его инициалы были первыми. И да, выводились на экран...

гы-гы, я спалился

один из своих первых линуксов я грузил именно через сислинукс, т.к. параллельно стояла 95 винда, и то ли инсталлятор не умел правильно ставить лило, то ли я чего побоялся, и грузил именно так

www_linux_org_ru ★★★★★
()

будто kernel.org первый раз ломают

insider ★★★
()
Ответ на: комментарий от bbk123

> how they managed to exploit that to root access is currently unknown and is being investigated." не переводится как

разве здесь не говорится о том, что они не знают, как злоумышленники получили именно рутовый доступ после взлома пользовательской учетки?

hedgehog
()
Ответ на: комментарий от hedgehog

> > how they managed to exploit that to root access is currently unknown and is being investigated.

разве здесь не говорится о том, что они не знают, как злоумышленники получили именно рутовый доступ после взлома пользовательской учетки?

Здесь говорится о том, что они не знаюь, как злоумышленниуки собирались использовать рутовы доступ. И да, они действительно не знают (это написано в другом месте), как этот рутовый доступ был получен. Мой вопрос был именно об этом. Надеюсь, что ты просто устал и поэтому невнимателен. Надеюсь, что ты не страдаещб дислексией или иным нарушением понимания прочитанного текста.

bbk123 ★★★★★
()

tak kto-to poqsilsa na svatoe, nado bi po pochkam nabit'

anonymous
()
Ответ на: комментарий от bbk123

что-то мне подсказывает, ты напутал с английскими цитатами, но это уже не суть важно

hedgehog
()
Ответ на: комментарий от darkshvein

А он на xfce? Наш человек же. Может он устроит разрабам разнос, как гномерам когда-то %)

matimatik
()

был ли допрос админов?

Взломали святая святых... что же это могло быть... скорее всего это российские спецслужбы взломали сайт применив метод терморектального криптоанализа... думаю что нужно поискать следы электровспоминателя на пятых точках админов...

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.