The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Замена fail2ban от разработчиков systemd

07.11.2012 17:48

Ауке Кок (Auke Kok), один из активных разработчиков systemd, опубликовал небольшое приложение tallow, берущее на себя часть функциональности известной программы fail2ban. Посредством journal API, приложение просматривает логи SSH на предмет попытки подбора паролей. При обнаружении нескольких неудачных попыток с одного IP-адреса нарушитель на некоторое время блокируется через iptables. Программа, скорее, ценна именно своей простотой и наглядной реализацией работы с журналом systemd. До полноценной замены fail2ban-а она пока не дотягивает.

  1. Главная ссылка к новости (http://thread.gmane.org/gmane....)
Автор новости: dalco
Тип: Программы
Короткая ссылка: https://opennet.ru/35258-systemd
Ключевые слова: systemd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (111) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, UNIm95 (ok), 19:33, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Скоро systemd станет ядром операционки (операционкой)
    с отсутствующей системой инициализации
     
     
  • 2.3, UNIm95 (ok), 19:38, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    или с отсутствием того что она там еще умеет
     
  • 2.5, DannyBoy (ok), 19:39, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Как и emacs.
     
     
  • 3.6, Аноним (-), 19:57, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скоро нужно будет ядро linux systemd и emacs, все остальное не нужно в принципе
     
     
  • 4.23, Аноним (-), 21:08, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Про grub (v2) забыл. А так да, хорошая ОС.
     
     
  • 5.48, Аноним (-), 22:37, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому emacs встроить прямо в него а systemd отпадает, его grub заменит сам :)
     
  • 3.66, Bvz (?), 23:03, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    однако имакс не пихают как безальтернативную замену всем (при чём на данный момент ещё и не могующую заменить даже на 10% имеющегося функционала, а даже превносящую новых костылей (см. обновление SELinux + systemd в последней федорке))
     
  • 3.85, myhand (ok), 02:52, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    сравнил ж*** с пальцем...
     
  • 2.7, Аноним (-), 20:07, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Или Торвальдса достанет и он интегрирует аналог systemd в ядро :). С fail2ban-ом и logrotate-ами!
     
     
  • 3.37, Аноним (-), 21:56, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Кроа-Хартман уже давно призывает сделать systemd внешней зависимостью ядра. А там и до "слияния кодовых баз" недалеко...
     
     
  • 4.62, mine (ok), 22:55, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пруф в студию или гтфо!
     
  • 4.78, Аноним (-), 00:19, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Кроа-Хартман уже давно призывает сделать systemd внешней зависимостью ядра.

    Так не пойдет, это читерство. Систему инициализации надо внедрить в майнлайн. И сделать pid=1 ядерным тредом. Чтоб нри убить ни порушить из юзермода, ибо нефиг! :)

     
  • 3.97, Andrey Mitrofanov (?), 16:18, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Или Торвальдса достанет и он интегрирует аналог systemd в ядро :). С
    > fail2ban-ом и logrotate-ами!

    Торвальдс уже потеет, переписывая в ядре то, что ниасилил Поттеринг в своих поделках:
    http://lwn.net/Articles/518942/rss?format=printable

     
     
  • 4.98, Andrey Mitrofanov (?), 16:24, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Торвальдс уже потеет, переписывая в ядре то, что ниасилил Поттеринг в своих
    > поделках:

    +реквестую новость "$SUBJ"!

     
  • 2.21, Аноним (-), 20:50, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    linuxd
     
  • 2.25, Аноним (-), 21:13, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Скоро systemd станет ядром операционки (операционкой)
    > с отсутствующей системой инициализации

    Казалось бы, при чем тут любимый текстовый редактор Леннарта (правильно, это GNU Emacs).

     

  • 1.2, Copycat (ok), 19:35, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Это уже не смешно
     
     
  • 2.9, Аноним (-), 20:08, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это уже не смешно

    Это вроде как отдельная утиля.

     
     
  • 3.20, Xasd (ok), 20:47, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    не мешай истерить! сказал что монолит, значит монолит :-)

    # P.S.: а "монолитом" будем называть всё, то что совместимо между собой :-) , если это от разработчиков SystemD.

    # P.P.S.: journal-gatewayd (HTTP-сервер) -- это тоже отдельная утилита (отельный демон) , но никто же не мешал истерить по поводу того что он в совокумности с systemd образует "монолит" ! :-D

     
     
  • 4.36, Аноним (-), 21:54, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > # P.S.: а "монолитом" будем называть всё, то что совместимо между собой :-) , если это от разработчиков SystemD.

    Не хочу вас огорчать, но слово "монолит" давно зарезервировано для обозначения архитектуры ядер не-тру-юникс систем - Linux, Solaris, *BSD. Ему противопоставляется понятие юниксвейного микроядра, используемого в истинно юниксовых проектах - Minix, Hurd.

     
     
  • 5.49, Аноним (-), 22:40, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > микроядра, используемого в истинно юниксовых проектах - Minix, Hurd.

    Осталось только найти оригинальный юникс с микроядром. Наверное придется сгонять на машине времени в прошлое и дать по щапке парням из AT&T чтоб микроядро юзали а не какие-то там дурацкие монолиты. Так в новой версии реальности победят микроядра, а не какие-то там монолиты, столь нелюбимые одептами микроядер.

     
  • 4.63, Ytch (?), 22:55, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Наличие хоть 100500 отдельных утилит, но не работающих по отдельности, ничем, с точки зрения "монолитности", не отличается от одного огромного "экзешника".
    Не надо мне, пожалуйста, сейчас рассказывать, что в systemd это не так. Пока еще - частично да, но systemd не стоит на месте и уверенными шагами целенаправленно (это и не скрывается) идет к наиболее тесным взаимосвязям между всеми компонентами системы, до которых могут дотянуться авторы. А ведь это чистый vendor lock-in, по сути (да и методы схожие), хоть все и "открытое/свободное" и как будто бы без vendor'a.
     
     
  • 5.68, Аноним (-), 23:04, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Наличие хоть 100500 отдельных утилит, но не работающих по отдельности, ничем, с
    > точки зрения "монолитности", не отличается от одного огромного "экзешника".
    > Не надо мне, пожалуйста, сейчас рассказывать, что в systemd это не так.
    > Пока еще - частично да, но systemd не стоит на месте
    > и уверенными шагами целенаправленно (это и не скрывается) идет к наиболее
    > тесным взаимосвязям между всеми компонентами системы, до которых могут дотянуться авторы.
    > А ведь это чистый vendor lock-in, по сути (да и методы
    > схожие), хоть все и "открытое/свободное" и как будто бы без vendor'a.

    Да, когда две или более программы обмениваются запросами и данными - это однозначно vendor lock-in!
    И борьбу с ним необходимо начать с основ - запретить использование любых API.

     
     
  • 6.73, Ytch (?), 23:40, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не-не-не Не когда обмениваются запросами и данными, а когда не могут не обменив... большой текст свёрнут, показать
     
     
  • 7.90, 1 (??), 08:18, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    смени дилера бро
     
     
  • 8.92, Аноним (-), 10:07, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пишите программы, которые делают что-то одно и делают это хорошо Пишите програм... текст свёрнут, показать
     
  • 7.93, Анончик (?), 11:00, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > когда в этом нет необходимости (с точки зрения пользователя)

    Это ты про тех пользователей, которые удаляют C:\Windows, потому что с ИХ ТОЧКИ ЗРЕНИЯ эта папка НЕ НУЖНА?

     
     
  • 8.101, Ytch (?), 20:50, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Вот ожидал этого Специально ведь указал ВСЕ НЕАВТОРЫ И опытные админы и прогр... текст свёрнут, показать
     
  • 8.102, Аноним (-), 02:11, 09/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня нет этой папки Мне она не нyжна ... текст свёрнут, показать
     
  • 2.56, Аноним (-), 22:46, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это уже не смешно

    нет ты

     

  • 1.4, dddd (?), 19:39, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Замена fail2ban от разработчиков

    И тут я уже знал, что увижу далее.
    Никогда не пользовался ранее fail2ban, не могу судить о нужности подобного функционала в systemd (хотя выглядит интересно). Оставлю сей вопрос местным аналитикам.

     
     
  • 2.24, Аноним (-), 21:11, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Никогда не пользовался ранее fail2ban, не могу судить о нужности подобного функционала в systemd (хотя выглядит интересно). Оставлю сей вопрос местным аналитикам.

    Когда местные аналитики узнают, что это отдельная программа, не входящая в systemd, у них будет инфаркт :)

     
     
  • 3.82, zsh (ok), 00:56, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Напиши автор новости заголовок как "Представлена альтернатива fail2ban..." никакого флуда бы вовсе не было.
     
  • 2.54, Аноним (-), 22:45, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Замена fail2ban от разработчиков
    > И тут я уже знал, что увижу далее.
    > Никогда не пользовался ранее fail2ban, не могу судить о нужности подобного функционала
    > в systemd (хотя выглядит интересно). Оставлю сей вопрос местным аналитикам.

    arisu, ты?

     
     
  • 3.59, dddd (?), 22:51, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Замена fail2ban от разработчиков
    >> И тут я уже знал, что увижу далее.
    >> Никогда не пользовался ранее fail2ban, не могу судить о нужности подобного функционала
    >> в systemd (хотя выглядит интересно). Оставлю сей вопрос местным аналитикам.
    > arisu, ты?

    Нет, я не arisu.

     
  • 3.61, Аноним (-), 22:54, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > arisu, ты?

    Неа. У арисы при слове systemd начинается сочнейший фругурт. А фругурт у арисы всегда сопровождается хамством и матюками. Его очень сложно перепутать.

     
  • 2.81, XoRe (ok), 00:44, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Никогда не пользовался ранее fail2ban

    Очень рекомендую.
    Там можно самому делать шаблоны, с регекспами и скриптовыми триггерами.
    До "замены" программкам с захардкоженой логикой ой как далеко.

     

  • 1.8, Kolya (?), 20:07, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    а с чего вы взяли, что оно будет в systemd?
     
     
  • 2.10, Аноним (-), 20:09, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > а с чего вы взяли, что оно будет в systemd?

    У некоторых клоунов выработался условный рефлекс:
    - Бобик, systemd!
    - Гррр! Гав!

     
     
  • 3.13, Стандартный аналитик (?), 20:18, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Гррр! Гав! Гав! Мяу.. Рррр! Пшшш
     
     
  • 4.79, Аноним (-), 00:22, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Гррр! Гав! Гав! Мяу.. Рррр! Пшшш

    Фича пашет! :). А еще три "бобика" отметились, но тявкать постеснялись :D

     
  • 3.15, anonymous (??), 20:25, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так балет никому не нужен, ракеты разбиваются о небесную твердь, продажи тетриса падают, вот и нашли причину неудач - Леннарта.
     
     
  • 4.27, Аноним (-), 21:17, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так балет никому не нужен, ракеты разбиваются о небесную твердь, продажи тетриса
    > падают, вот и нашли причину неудач - Леннарта.

    Тут, говорят, автор rsyslog тронулся умом (на почве зависти к успехам journal) и хочет следующую версию своего поделия переписать на Java, с бинарными индексами и XML-ями.
    И не надо мне говорить, что Леннард в этом не виноват!

     
     
  • 5.67, Ytch (?), 23:04, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > и хочет следующую версию своего поделия переписать на Java

    Отличная мысль! Превосходить так во всем! Только "Ентерпрайз"! Только "Кроссплатформ"!

    > с бинарными индексами

    Тю! А почему только индексами? Что за полумеры?

    > и XML-ями.

    В xml же должны быть конфиги! Хьюман-ридабл, хьюман-райтабл! Все знают как хьюманы обожают это дело.


     
     
  • 6.70, Аноним (-), 23:11, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> и хочет следующую версию своего поделия переписать на Java
    > Отличная мысль! Превосходить так во всем! Только "Ентерпрайз"! Только "Кроссплатформ"!

    Вот-вот. Благодаря Java в новом rsyslog будет обеспечена небывалая степень кроссплатформенности, что будет выгодно отличать его от systemd.

    > В xml же должны быть конфиги! Хьюман-ридабл, хьюман-райтабл! Все знают как хьюманы обожают это дело.

    А то ж. В Solaris и Mac OS X иниты уже сто лет в обед в чистом XML конфигурируются. Истинный unix way - только в истинных UNIX!

     
     
  • 7.80, Аноним (-), 00:22, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вот-вот. Благодаря Java в новом rsyslog будет обеспечена небывалая степень кроссплатформенности,
    > что будет выгодно отличать его от systemd.

    Так вот ты какое, счастье iZEN-а...

     
  • 4.29, kurokaze (ok), 21:21, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ракеты разбиваются из-за некошерных украинских движков же!
     
     
  • 5.33, Аноним (-), 21:33, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Ракеты разбиваются из-за некошерных украинских движков же!

    Нет, их просто недостаточно старательно освящают! На 170 тыщ как можно нормально освятить?
    Нужно как минимум по лимону баксов попам выдавать, тогда все ок будет.

     
     
  • 6.34, Сейд (ok), 21:41, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С Праздником вас, товарищи! С Великой Октябрьской социалистической революцией!

    В этот день 95 лет назад страна выбрала путь всеобщего развития и единения. Революция была жестокая, но все же свобода, равенство и братство одержало верх над буржуйской заразой. Вечная слава людям, отдавшим жизнь ради светлого будущего!

     
  • 6.50, Аноним (-), 22:42, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Нужно как минимум по лимону баксов попам выдавать, тогда все ок будет.

    Они за миллион полезут раздвигать небесную твердь? :)

     
     
  • 7.65, Аноним (-), 23:01, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Они за миллион полезут раздвигать небесную твердь? :)

    Они шефу своему свистнут, он все оформит в лучшем виде.

     

  • 1.11, Crazy Alex (ok), 20:14, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    О, хорошо. Когда таких штук напишут пару тысяч, выловят большинство косяков systemd, напишут вменяемый мануалы,где будет архитектура, настройки, методы отладки и практический опыт - что стоит делать, что нет - вот тогда и можно будет задуматься о переходе на сколько-нибудь ценных системах. А пока - в  песочнице всему этому место, и у экстремалов.
     
     
  • 2.22, Xasd (ok), 20:58, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > О, хорошо. Когда таких штук напишут пару тысяч, выловят большинство косяков systemd,
    > напишут вменяемый мануалы,где будет архитектура, настройки, методы отладки и практический
    > опыт - что стоит делать, что нет - вот тогда и
    > можно будет задуматься о переходе на сколько-нибудь ценных системах. А пока
    > - в  песочнице всему этому место, и у экстремалов.

    окей. мы вас насильно не заставляем выходить из креагенной камеры :D

    ...можете там прибывать сколько хотите!

     
     
  • 3.39, Crazy Alex (ok), 22:03, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Понимаете, мне от systemd профита вообще никакого. Ноль. Зеро. Поэтому я на него перейду только если мне это гарантированно не доставит никаких проблем. А опыт пусть нарабатывают те, для кого в systemd есть хоть какие-то плюсы.

    В принципе, если написание таких штук, как в топике, окажется на systemd удобным и простым - это будет первым плюсом, ради которого стоит посмотреть в его сторону.

    P.S. Слово "криогенный" вам лучше в словаре всё же глянуть ;-)

     
     
  • 4.41, Аноним (-), 22:21, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Понимаете, мне от systemd профита вообще никакого. Ноль. Зеро.

    Если не читать документацию, профита вообще ни от чего не будет.

     
     
  • 5.109, anonymous (??), 11:32, 09/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/

    Так объясните идиотам на пальцах, какой прок от systemd на серверах???
    Сколько не спрашиваю, никто не отвечает.
     
     
  • 6.110, all (??), 23:36, 10/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну хотя бы нормальный контроль за демонами
     
  • 3.75, Аноним (-), 00:07, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > креагенной
    > прибывать

    Граммар-наци, покажите ему как правильно пищется слово "прибивать" :)

     
  • 2.26, Аноним (-), 21:15, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > О, хорошо. Когда таких штук напишут пару тысяч, выловят большинство косяков systemd,
    > напишут вменяемый мануалы,где будет архитектура, настройки, методы отладки и практический
    > опыт - что стоит делать, что нет - вот тогда и
    > можно будет задуматься о переходе на сколько-нибудь ценных системах. А пока
    > - в  песочнице всему этому место, и у экстремалов.

    Привет, 2010 год! А у нас, в 2012, и куча документации, и методы отладки, и прочие ништяки :)

     
     
  • 3.38, Crazy Alex (ok), 21:57, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Куча документации и проего у вас будет года через два. Он в сколько-нибудь рапространенных дистрибутивах когда появился? Сколько людей его пытались промышленно эксплуатировать? Какой опыт накоплен касательно его поведения во всяких нештатных ситуациях? Там кто-то заявлял о том, что поведение существующих опций стабилизировано (а без этого накапливать опыт граблей бессмысленно)?
     
     
  • 4.44, Аноним (-), 22:27, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еще в ваше время Вам указать количество людей с точностью до сотых долей И раз... большой текст свёрнут, показать
     

  • 1.12, Сейд (ok), 20:17, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    fail2ban требует shorewall. А у меня system-config-firewall.
     
     
  • 2.16, Нанас (?), 20:32, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А у меня он требует iptables =)
     
     
  • 3.18, Сейд (ok), 20:36, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нанас и Сейд — лучшие друзья.
     
     
  • 4.77, Аноним (-), 00:16, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нанас и Сейд — лучшие друзья.

    Чип и Дейл местные :)

     

  • 1.14, Хрен с горы (?), 20:22, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ура! Моя любимая система инициализации!
     
     
  • 2.69, Ytch (?), 23:10, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ура! Моя любимая система инициализации!

    fail2ban? tallow? Которая из них?

     
     
  • 3.71, Аноним (-), 23:12, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ура! Моя любимая система инициализации!
    > fail2ban? tallow? Которая из них?

    fail2ban, конечно. Он же на питоне, а значит, прозрачный!!1

     
     
  • 4.103, Аноним (-), 02:14, 09/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > fail2ban, конечно. Он же на питоне, а значит, прозрачный!!1

    Да, Шигорин тут приводил пример прозрачной питонятины. Я пожалуй посмотрев такое лучше буду декодировать потуги парней с obfuscated C contest. Си выучить явно проще чем японский.

     

  • 1.17, Аноним (17), 20:34, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    denyhosts
     
     
  • 2.35, Аноним (-), 21:44, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, denyhosts лучше этого поделия как минимум тем, что питоне. А значит, полностью прозрачен для редактирования!
     

  • 1.28, Аноним (-), 21:20, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > До полноценной замены fail2ban-а она пока не дотягивает.

    Разумеется. Ведь она на б-гомерзких сях, а не на православном питоне.
    Да и клиент-серверной архитектуры, в отличие от fail2ban, нету. А ведь демон банов (на питоне) - в современной системе вещь незаменимая!

     
     
  • 2.30, kurokaze (ok), 21:23, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> До полноценной замены fail2ban-а она пока не дотягивает.
    > Разумеется. Ведь она на б-гомерзких сях, а не на православном питоне.
    > Да и клиент-серверной архитектуры, в отличие от fail2ban, нету. А ведь демон
    > банов (на питоне) - в современной системе вещь незаменимая!

    fail2ban на питоне? спасибо что предупредили, а то было хотел попозже посмотреть

     
     
  • 3.32, Аноним (-), 21:29, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > fail2ban на питоне? спасибо что предупредили, а то было хотел попозже посмотреть

    А еще он gamin тянет, то бишь кусок гнома.

     
     
  • 4.52, Аноним (-), 22:44, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А еще он gamin тянет, то бишь кусок гнома.

    Да вообще какая-то горбатая утиля. Впрочем чего еще от питонистов ожидать?

     
  • 4.106, 2 (?), 10:11, 09/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >А еще он gamin тянет, то бишь кусок гнома.

    В каком месте?

     
  • 3.43, jOKer (ok), 22:24, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А чего вы собсно ждали? Парсера логов на сях? Так на это способны только... гм... системд-строители)))
    А по-хорошему, тут либо перл, либо питон, имхо.
     
     
  • 4.46, Аноним (-), 22:32, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А чего вы собсно ждали? Парсера логов на сях? Так на это
    > способны только... гм... системд-строители)))
    > А по-хорошему, тут либо перл, либо питон, имхо.

    Несерьезно. Эти языки недостаточно прозрачны.
    Вот автор rsyslog сечет фишку - всем приготовиться к Java в базовой системе!

     
     
  • 5.47, Аноним (-), 22:34, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот автор rsyslog сечет фишку - всем приготовиться к Java в базовой системе!

    Разумеется, кроме тех, кто уже перешел на journal и может спокойно выкинуть rsyslog из своей системы.

     
  • 4.55, Аноним (-), 22:45, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > способны только... гм... системд-строители)))

    Да, конечно, настоящий питонист мужественно педалит гигантские логи на своем тормозилове. Нагрузка на цпу и прочие мелочи его не смущают. Даже если это ssh какого-нибудь мелкого роутера который вместо роутинга начинает заниматься обслуживанием какашки на питоне больше чем всем остальным.


     
     
  • 5.86, jOKer (ok), 05:25, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Даже если это ssh какого-нибудь мелкого роутера

    Хорош дурку включать! Все знают, что на мелком роутере крупных логов нет. По определению, ибо на аппаратную хреновину сильно много и не запихнешь.

    Крупные логи, они только на серверах, но на серверах есть питон и перл (а точнее, в порядке предпочтения - перл и питон), которые на этих задачах куда экономичнее всех и вся. Перл так тот вообще для этого и спроектирован.

     
     
  • 6.94, Аноним (-), 14:36, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это с чего вдруг На нее можно запихнуть хоть тот же нжинкс А логи и данные скл... большой текст свёрнут, показать
     
     
  • 7.100, Аноним (-), 19:16, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Я и заметил - приблуды на сях (которых есть, как бы не пытались представить это в ином свете рапидные наколенщики) по скорости анализа логов почему-то рвут и питон и перл с диким отрывом :)

    Только писать, дебажить и поддерживать эти приблуды на сях занимает слегка дох*я времени - как здорово, если добрый дядя уже написал их для тебя.
    Собственно, перл и есть одна из этих приблуд с очень высокой гибкостью, из-за чего немного страдает производительность. Больше гибкости - ниже скорость работы

     
     
  • 8.104, Аноним (-), 02:15, 09/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я же говорю - типовой питонист торопится на пожар, поэтому самому дебажить его л... текст свёрнут, показать
     
     
  • 9.107, 2 (?), 10:15, 09/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Узнаю опенковых аналитиков Как ведь плохо использовать отполированную утилиту н... текст свёрнут, показать
     
  • 4.60, Аноним (-), 22:52, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А чего вы собсно ждали? Парсера логов на сях? Так на это
    > способны только... гм... системд-строители)))

    И не говори. Только такой отморозок, как Поцтеринг, мог догадаться писать _программу_ на _си_.

     
     
  • 5.76, Аноним (-), 00:09, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > И не говори. Только такой отморозок, как Поцтеринг, мог догадаться писать _программу_ на _си_.

    Что-то мне подсказвает что придется нелюбителям си поискать другой глобус. Си недавно помнится у явы первое место по популярности отбил :)


     
     
  • 6.87, jOKer (ok), 05:54, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> И не говори. Только такой отморозок, как Поцтеринг, мог догадаться писать _программу_ на _си_.
    > Что-то мне подсказвает что придется нелюбителям си поискать другой глобус. Си недавно
    > помнится у явы первое место по популярности отбил :)

    Что-то мне подсказывает, что даже самый крутой рейтинг идею адекватности инструмента поставленной задаче не отменял.

     
     
  • 7.95, Аноним (-), 14:37, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Что-то мне подсказывает, что даже самый крутой рейтинг идею адекватности инструмента поставленной
    > задаче не отменял.

    Адекватность и питонисты - несовместимые понятия. Основной целью истинного питониста является написать программу как можно быстрее. На все остальное по моим наблюдениям питонистам вообще глубоко наплевать.

     
     
  • 8.108, 2 (?), 10:16, 09/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    fixed Адекватность и анонимы - несовместимые понятия ... текст свёрнут, показать
     

  • 1.31, Аноним (-), 21:25, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вообще, если переписать это дело с iptables на ipset (который уже сто лет как в ядре), вещь получится офигенно полезная и удобная. Особенно если учесть, что в ipset штатная поддержка таймаутов на уровне ядра, а не костыльный поллинг, как в fail2ban.
    Опять же, маленький и быстрый демон на сях на серваке смотрится куда лучше развесистого питоноподелия.
     
  • 1.40, anonymous (??), 22:10, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Ауке Кок (Auke Kok), один из активных разработчиков systemd, опубликовал (http://thread.gmane.org/gmane.comp.sysutils.systemd.devel/7228)
    > небольшое приложение tallow (https://github.com/sofar/tallow), берущее на себя часть
    > функциональности известной программы fail2ban. Посредством journal API, приложение просматривает
    > логи SSH на предмет попытки подбора паролей. При обнаружении нескольких неудачных
    > попыток с одного IP-адреса нарушитель на некоторое время блокируется через iptables.
    > Программа, скорее, ценна именно своей простотой и наглядной реализацией работы с
    > журналом systemd. До полноценной замены fail2ban-а она пока не дотягивает.
    > URL: http://thread.gmane.org/gmane.comp.sysutils.systemd.devel/7228
    > Новость: http://www.opennet.ru/opennews/art.shtml?num=35258

    А любители systemd могут внятно объяснить, как выключить ненужный функционал (httpd, бинарные логи, включить свой обработчик логов) и при этом сохранить работающую систему?
    Я не ярый противник всего нового, просто у меня _уже_ есть ряд наработок, менять которые мне крайне неудобно. И бинарные логи, к слову, крайне много портят.

     
     
  • 2.45, Аноним (-), 22:30, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А любители systemd могут внятно объяснить, как выключить ненужный функционал (httpd, бинарные логи, включить свой обработчик логов) и при этом сохранить работающую систему?
    > Я не ярый противник всего нового, просто у меня _уже_ есть ряд наработок, менять которые мне крайне неудобно. И бинарные логи, к слову, крайне много портят.

    Скажите, если не секрет - а как вы писали эти свои "наработки", если не умеете читать документацию?

     
     
  • 3.84, filosofem (ok), 02:44, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> А любители systemd могут внятно объяснить, как выключить ненужный функционал (httpd, бинарные логи, включить свой обработчик логов) и при этом сохранить работающую систему?
    >> Я не ярый противник всего нового, просто у меня _уже_ есть ряд наработок, менять которые мне крайне неудобно. И бинарные логи, к слову, крайне много портят.
    > Скажите, если не секрет - а как вы писали эти свои "наработки",
    > если не умеете читать документацию?

    Не надо по себе судить.

     
  • 2.64, Аноним (-), 23:00, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я не ярый противник всего нового, просто у меня _уже_ есть ряд
    > наработок, менять которые мне крайне неудобно. И бинарные логи, к слову,
    > крайне много портят.

    Более мудрый человек на вашем месте поинтересовался бы, как лучше переделать свои наработки под актуальный API.
    Потому что именно со слов "мне это менять крайне неудобно" начинается строительство гор костылей, которые оборачиваются фееричнейшим геморром для тех, кому потом придется их поддерживать.

    А отключается это все очень легко. Надо только прочитать документацию. Но сможете ли вы совершить столь волевой шаг?

     
     
  • 3.83, filosofem (ok), 02:43, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Надо только прочитать документацию. Но сможете ли вы совершить столь волевой шаг?

    Нет, ты же не смог.
    Кстати: пиар статья Леннарда в стиле Гетзэфактс это не документация.

     
  • 3.89, Аноним (-), 07:28, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное он мудрый человек. И наверное он хочет использовать свои наработки в разных ОС, а не только в одной кривульке.
     
  • 3.91, anonymous (??), 09:41, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Я не ярый противник всего нового, просто у меня _уже_ есть ряд
    >> наработок, менять которые мне крайне неудобно. И бинарные логи, к слову,
    >> крайне много портят.
    > Более мудрый человек на вашем месте поинтересовался бы, как лучше переделать свои
    > наработки под актуальный API.
    > Потому что именно со слов "мне это менять крайне неудобно" начинается строительство
    > гор костылей, которые оборачиваются фееричнейшим геморром для тех, кому потом придется
    > их поддерживать.
    > А отключается это все очень легко. Надо только прочитать документацию. Но сможете
    > ли вы совершить столь волевой шаг?

    Короче говоря, по теме сказать нечего. Как выключить бинарные логи нет ни ответа, ни документации.

     
  • 2.111, all (??), 23:47, 10/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А любители systemd могут внятно объяснить, как выключить ненужный функционал (httpd, бинарные
    > логи, включить свой обработчик логов) и при этом сохранить работающую систему?
    > Я не ярый противник всего нового, просто у меня _уже_ есть ряд
    > наработок, менять которые мне крайне неудобно. И бинарные логи, к слову,
    > крайне много портят.

    https://wiki.archlinux.org/index.php/Systemd#Journal

    По httpd - не знаю не пользовался


     
     
  • 3.112, anonymous (??), 12:59, 11/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> А любители systemd могут внятно объяснить, как выключить ненужный функционал (httpd, бинарные
    >> логи, включить свой обработчик логов) и при этом сохранить работающую систему?
    >> Я не ярый противник всего нового, просто у меня _уже_ есть ряд
    >> наработок, менять которые мне крайне неудобно. И бинарные логи, к слову,
    >> крайне много портят.
    > https://wiki.archlinux.org/index.php/Systemd#Journal
    > По httpd - не знаю не пользовался

    Как выключить там нет, только как включить "режим совместимости". httpd - это потенциальная уязвимость. "Прикрывания файрволлами" и прочее - увеличение нагрузки на CPU.
    Вот у меня, к примеру, нагруженный DNS-сервер в виртуальной машине гипервизора. Минимальный инстал, логи льются сразу на сервер логирования (syslog-ng) в другую VM. Минимум служб, пакетов и прочего. Зачем мне там systemd? Виртуалка и так стартует за десяток секунд полностью. Перезапуск упавшего демона? Если демон упал, этому была причина. Это должна отметить система мониторинга, дежурный и оповестить ответственного за сервис, чтобы тот проанализировал причину (DDoS-атака, утечка памяти, специально сформированный запрос, изменения в конфигурационном файле и неудачный перезапуск и т.д.), а не просто перезапустить и забыть.
    Зачем мне на нескольких десятках виртуальных машин менять систему инициализации (это, к слову, серьезные плановые работы, которые надо согласовывать), когда в текущей конфигурации все хорошо, а новое надо еще отлаживать, при этом каких-то новых удобств оно не сулит?

     
     
  • 4.113, Аноним (-), 13:15, 11/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот у меня, к примеру, нагруженный DNS-сервер в виртуальной машине гипервизора. Минимальный инстал, логи льются сразу на сервер логирования (syslog-ng) в другую VM. Минимум служб, пакетов и прочего. Зачем мне там systemd? Виртуалка и так стартует за десяток секунд полностью.

    Вот вот. Ни один любитель системд не ответит нафейхуа он нужен если всё растаскивается по виртуалкам. А сейчас направление такое - строго на виртуализацию. В связи с повсеместным распространением индус-программ, не умеющих работать нормально в многозадачной системе, это единственный безгеморойной вариант поиметь работающие сервисы.

     

  • 1.42, анргол (?), 22:23, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    видимо, надо systemd форкать, оставить от него одну систему инициализации, а там на него люди потянутся
     
     
  • 2.51, Аноним (-), 22:44, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    так будешь форкать-то? или только советы горазд давать?
     
  • 2.72, Ytch (?), 23:15, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > видимо, надо systemd форкать, оставить от него одну систему инициализации, а там
    > на него люди потянутся

    Тогда придется форкать, как минимум, еще и udev (если, конечно, Линус не сделает этого раньше).

     
     
  • 3.105, Аноним (-), 02:18, 09/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А может нытики форкнутся уже и заткнутся? У меня нет systemd но постоянный нудеж оных уже достал.
     

  • 1.53, anonimous (?), 22:44, 07/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень показательно и симптоматично. Я это делаю в пять строчек на born-shell'е:

      IPT=iptables
      inet_if=eth0
      $IPT -A INPUT -i ${inet_if} -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -m limit --limit 5/minute --limit-burst 5 -j ACCEPT
      $IPT -A INPUT -p tcp --syn --dport 22 -m limit --limit 5/minute -j ACCEPT
      $IPT -A INPUT -p tcp --syn --dport 22 -j DROP

     
     
  • 2.57, Аноним (-), 22:50, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Очень показательно и симптоматично. Я это делаю в пять строчек на born-shell'е:

    Вот только это ну совсем не есть эквивалентная замена fail2ban-у. И born-shell тут нужен чисто как запускалка айпитаблеса. В общем то в таком виде сие может быть любой шелл, вплоть до скармливания айпитаблесу параметров путем его вызова сисколлами, пардон :). Только все это - фича нетфильтра, а не вашего "типа, скрипта".

     
  • 2.58, Аноним (-), 22:50, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Очень показательно и симптоматично. Я это делаю в пять строчек на born-shell'е:

    Очень показательно и симптоматично, что ты не понял, о чем здесь речь.
    А также, что твое решение неприменимо во многих ситуациях, когда к серверу может присоединяться много людей (например, шаред-хостинг), и в то же время довольно слабо ограничивает брутфорсеров (даже таймауты в sshd более эффективны).

     
     
  • 3.74, Ytch (?), 23:49, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > и в то же время довольно слабо ограничивает брутфорсеров (даже таймауты в sshd более эффективны).

    Не знаю уж как для больших и/или известных проектов, но для тех что помельче, простая смена номера порта sshd практически полностью ликвидирует проблему (если конечно не "копают" именно под вас).

     
     
  • 4.99, Клыкастый (ok), 17:44, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    стайка ботов периодически ломящаяся рутом это не проблема.
     
  • 2.96, Аноним (-), 14:47, 08/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >   IPT=iptables

    А кстати, в чем сакральный смысл вот этого? Показать как вы круто умеете пользоваться переменными? Почем зря лишняя строка на ровном месте :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру