The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз ядра Linux 4.13

04.09.2017 07:42

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.13. Среди наиболее заметных изменений: встроенная реализация протокола TLS, плагин для рандомизации порядка полей в структурах данных, функциональность "lifetime hints" в VFS, поддержка буферизированного ввода/вывода в неблокирующем режиме, модуль для зонированных блочных устройств, расширение лимита на число файлов в директории ext4, поддержка привязки BPF-программ к сокетам, средства оптимизации энергопотребления через прогнозирование следующего прерывания.

В новую версию принято более 14 тысяч исправлений от 1400 разработчиков, размер патча - 68 Мб (изменения затронули 10647 файлов, добавлено 824508 строк кода, удалено 228197 строк). Около 45% всех представленных в 4.13 изменений связаны с драйверами устройств, примерно 18% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 15% связано с сетевым стеком, 4% - файловыми системами и 3% c внутренними подсистемами ядра.

Основные новшества:

  • Дисковая подсистема, ввод/вывод и файловые системы
    • В виртуальную файловую систему и уровень блочных устройств добавлены признаки со сведениями о времени жизни данных ("lifetime hints"), которые могут быть привязаны к открытому файлу при помощи системного вызова fcntl(). Например, признак RWH_WRITE_LIFE_SHORT сигнализирует, что данные предназначены для хранения короткое время, а признак RWH_WRITE_LIFE_EXTREME указывает на то, что данные останутся навсегда. Устройство хранения может использовать данные признаки для оптимизации размещения данных с учётом ожидаемого времени их хранения. В настоящее время только драйвер NVMe учитывает эти сведения;
    • Поддержка буферизированного ввода/вывода на блочном уровне в неблокирующем режиме. Новая возможность позволяет улучшить поддержку асинхронного доступа в условиях, когда используется буферизированный ввод/вывод, и снижает риск возникновения задержки возврата управления из ядра при выполнении асинхронных операций (AIO) при помощи интерфейса Direct I/O;
    • Для Device Mapper реализован новый модуль dm-zoned, позволяющий создавать зонированные блочные устройства в которых применяются разные правила записи в различные части устройства. Например, зонирование записи применяется в устройствах c черепичной магнитной записью (Shingled Magnetic Recording, SMR), в которых запись производится с частичным перекрытием соседней дорожки и, как следствие, в рамках группы допускается лишь последовательное добавление данных, а любая перезапись приводит к необходимости перезаписи всей группы дорожек. Модуль dm-zoned даёт возможность представить подобное зонированное устройство как обычное блочное устройство, скрывая применяемые в процессе работы ограничения записи;
    • В файловой системе ext4 реализована опция "largedir", при указании которой увеличивается число файлов, которое может размещаться в одной директории. Без данной опции действует лимит на 10 млн файлов в одной директории, а при указании опции "largedir" лимит увеличивается до 2 миллиардов файлов. Опция подготовлена разработчиками кластерной файловой системы Lustre;
    • В ext4 добавлена возможность хранения расширенных атрибутов файлов (Xattr) в отдельных inode, что позволяет добиться хранения большего числа атрибутов для одного файла. Каждый атрибут теперь может содержать до 64 Кб информации. При выносе Xattr в отдельный inode также наблюдается увеличение эффективности кэширования. Дополнительно, в ext4 добавлена поддержка дедупликации расширенных атрибутов, позволяющая фактически хранить только одну копию атрибута, применённого к нескольким файлам;
    • В ext4 обеспечена возможность параллельного выполнения операций discard при монтировании с опцией '-o discard';
    • Добавлен механизм для более надёжного информирования приложений в пространстве пользователя об ошибках, возникающих в процессе выполнения операций отложенной записи (writeback);
    • В F2FS, развиваемой компанией Samsung высокопроизводительной файловой системе для Flash-накопителей, обеспечена поддержка дисковых квот;
    • В F2FS, UBIFS и Btrfs добавлена поддержка системного вызова statx() с реализацией более эффективного и функционального варианта stat(), возвращающего расширенную информацию о файле, включая время создания файла и специфичные для файловых систем флаги;
    • В XFS добавлена поддержка опций SEEK_HOLE и SEEK_DATA системного вызова lseek() для выявления пустых областей и блоков данных внутри файла;
    • В файловой системе OverlayFS добавлена поддержка индекса директории, позволяющая выполнять операции копирования между слоями без повреждения жестких ссылок. Подготовлена инфраструктура для экспорта OverlayFS через NFS;
    • Добавлена возможность повторного экспорта NFS-раздела поверх NFS;
    • Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении к файлам на серверах Samba и Windows при помощи CIFS;
  • Виртуализация и безопасность
    • Добавлена реализация протокола TLS на уровне ядра (KTLS), использование которой позволяет добиться существенного повышения производительности приложений, использующих HTTPS. Реализация выполнена в виде модуля ядра, предоставляющего новый тип сокетов AF_KTLS, которые можно использовать для передачи данных по протоколам TLS 1.2 для TCP и DTLS 1.2 для UDP с применением шифра AES GCM. Поддерживается прямая отправка файлов через установленное TLS-соединение при помощи вызова sendfile(). На графике ниже отражено проведённое инженерами Facebook сравнение задержек при использовании обработчика HTTPS на базе KTLS в ядре и библиотеки OpenSSL:
    • В состав системы сборки включен плагин к GCC для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре. Плагин портирован из патчей проекта grsecurity;
    • В состав модуля AppArmor включен код обработки меток на процессы ("domain labeling"), разработанный и применяемый в Ubuntu. В будущих выпусках ожидается продолжение интеграции улучшений, разработанных командой Ubuntu для AppArmor и применяемых в проекте Snapd;
    • В подсистему SCSI добавлена поддержка cамошифруемых накопителей SSD (Self-Encrypting SSD), в которых устройство аппаратного шифрования встроено непосредственно в контроллер в соответствии со спецификацией Opal;
    • Добавлены дополнительные меры для определения во время компиляции и перехвата во время работы возможных переполнений буфера при выполнении строковых функций, определённых в заголовочном файле string.h. Реализация идентична режиму FORTIFY_SOURCE=1 в glibc, но также предоставляет средства и для контроля за размером буфера при операциях чтения, а не только при записи;
    • Реализована поддержка уровней безопасности хост-контроллера Thunderbolt, позволяющих задавать права доступа для подключаемых через данный интерфейс устройств (например, можно запретить прямой доступ к памяти через DMA или ограничить доступ только работой через Display Port и туннель USB);
    • Добавлены вызовы wait_for_random_bytes() и get_random_*_wait(), позволяющие убедиться, что генератор псевдослучайных чисел корректно инициализирован и получил достаточный объём энтропии;
    • В fscrypt добавлена поддержка алгоритма AES-128-CBC для шифрования содержимого файлов и AES-128-CBC-CTS для имён файлов (ранее поддерживались только AES-256-XTS и AES-256-CBC-CTS);
    • На 64-разрядных системах изменён метод генерации "канареечного слова" - технология защиты от переполнения стека, основанной на применении случайной последовательности, устанавливаемой в стек непосредственно перед адресом возврата. Младшие 8 бит канареечного слова теперь обнуляются. С одной стороны это на 8 бит снижает случайную энтропию, но с другой стороны позволяет защититься от получения значения канареечного слова, манипулируя переполнением Си-строк, для ограничения которых используется нулевой символ;
  • Сетевая подсистема
    • Обеспечена раздельная обработка sysctl tcp_sack, tcp_window_scaling и tcp_timestamps для каждого пространства имён сетевой подсистемы (network namespace);
    • В getsockopt() добавлена поддержка новой команды SO_PEERGROUPS, возвращающей список всех групп, в которые входит сокет;
    • Представлен новый тип BPF-программ - BPF_PROG_TYPE_SOCK_OPS, который позволяет организовать вызов BPF-программы на различных стадиях обработки сокетов и может применяться для корректировки параметров соединения, таких как размер буферов, начального окна, SYN/SYN-ACK RTO и т.п.
  • Память и системные сервисы
    • Добавлены средства прогнозирования следующего прерывания, которые позволяют повысить эффективность принятия решений, связанных с управлением питанием;
    • В утилиту perf добавлена опция "--smi-cost", позволяющая оценить затраты на обработку прерываний системного управления (SMI - System Management Interrupt, для выполнения кода в режиме SMM);
    • Инициатива по оформлению документации к ядру с использованием разметки reStructuredText (RST) и пакета Sphinx достигла важного рубежа - все ранее доступные шаблоны DocBook преобразованы в reStructuredText. Компоненты для поддержки DocBook удалены;
    • Для каждой BPF-программы теперь генерируется и назначается уникальный идентификатор, который может использоваться для получения файловых дескрипторов к объектам BPF из пространства пользователя;
    • Реализована первая стадия оптимизации процесса вытеснения в раздел подкачки больших страниц памяти (Transparent Huge-Pages). Если до сих пор первым этапом вытеснения в раздел подкачки было разбиение больших страниц на маленькие, то в ядре 4.13 подобное разбиение откладывается до момента распределения места в разделе подкачки и обработки кэша подкачки. Подобное изменение уменьшает конфликт блокировок и приводит к росту производительности примерно на 15%. В будущих ядрах разбиение больших страниц планируется отложить до момента фактической записи в раздел подкачки или чтения из него;
    • В файле /proc/cpuinfo в строке "cpu MHz" теперь выводится номинальная частота процессора, а не вычисленная текущая частота, которая может меняться при каждом запросе. Для оценки изменения текущей частоты рекомендуется использовать программы turbostat и cpupower, поставляемые в составе исходных текстов ядра;
  • Оборудование
    • Представлена новая подсистема драйверов "mux", позволяющая обеспечить поддержку контроллеров с мультиплексированием, управляющих работой сразу нескольких устройств;
    • Для архитектуры s390 реализованы пятиуровневые таблицы страниц памяти, которые позволяют адресовать до 16 эксабайт ОЗУ;
    • В DRM-драйвере (Direct Rendering Manager) Nouveau обеспечена поддержка средств стереоскопического и 3D вывода через HDMI и DisplayPort для карт NV50+ (G80+);
    • В DRM-драйвере AMDGPU добавлена ограниченная начальная поддержка GPU AMD Raven Ridge и внесена большая порция исправлений для поддержки GPU Radeon RX Vega. При этом, для указанных GPU пока не реализована поддержка DC (Display Core), т.е. отсутствуют компоненты для вывода на экран;
    • В DRM-драйвер для GPU Intel добавлена начальная поддержка грядущих процессоров на базе микроархитектур Intel Cannonlake и Intel Coffeelake. Улучшен процесс сброса GPU g4x и g33;
    • Добавлен драйвер vboxvideo для виртуального GPU VirtualBox, драйвер для которого раньше поставлялся в наборе VirtualBox Guest Additions, а теперь перенесён в основное ядро;
    • Добавлена поддержка звуковых кодеков Realtek ALC215, ALC285 и ALC289, Everest Semi ES8316, ZTE ZX AUD96P22;
    • Добавлена поддержка новых ARM-плат и SoC, включая Orange Pi Win, Orange Pi Zero Plus 2, Nano Pi NEO2, Orange Pi Prime, BeagleBone Blue, LeMaker Guitar Board, Linksys WRT3200ACM, Action Semi S500, Rockchip RV1108 и Bubblegum 96.

Одновременно Латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 4.13 - Linux-libre 4.13-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В новом выпуске очищен от блобов код для поддержки криптоакселераторов Cavium Nitrox CNN55XX и Inside Secure SafeXcel, кодировщики и декодировщики Qualcomm Venus V4L2, а также драйверы для Mellanox Technologies Spectrum, Quantenna QSR10g, Qualcomm ADSP и WCNSS. Обновлён код чистки блобов в драйверах для GPU AMDGPU, Adreno A5xx и Intel i915 CSR, беспроводных чипов Atheros 802.11ac ath10k, Broadcom IEEE802.11n embedded FullMAC WLAN, Intel DVM /MVM, Redpine Signals WLAN и Wilocity 60g WiFi, а также драйверов сенсорных экранов Silead Tablet.

  1. Главная ссылка к новости (https://lkml.org/lkml/2017/9/3...)
  2. OpenNews: Релиз ядра Linux 4.12
  3. OpenNews: Релиз ядра Linux 4.11
  4. OpenNews: Релиз ядра Linux 4.10
  5. OpenNews: Релиз ядра Linux 4.9
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47126-linux
Ключевые слова: linux, kernel
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (214) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 07:55, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –21 +/
    >включен плагин к GCC для рандомизации раскладки структур данных

    А БСДшники недавно с такой помпой сообщали о чём-то подобном, что казалось, что их секьюрити-шмукьюрити впереди планеты всей, а оказывается они просто раздули очередную муху до больших габаритов.
    >Плагин портирован из патчей проекта grsecurity;

    Ребята допрыгались -- сейчас их полезные наработки "раздеребанят", самые интересные включат в ядро на постоянной основе, а про grsecurity вообще забудут.

     
     
  • 2.27, Крутой аноним (?), 10:46, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > Ребята допрыгались -- сейчас их полезные наработки "раздеребанят"

    ИМХО, после того как и патч уводил ядро в панику при выполнении
    такой команды: 'script /dev/null < /dev/zero':
    https://twitter.com/marcan42/status/724745886794833920

    а на сообщение об ошибке они забанили человека, который это нашел,
    я думаю туда им и дорога

     
     
  • 3.162, Аноним (-), 21:00, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Дарю идею: если в startup ядра устроить deadlock, желательно еще до декомпрессии - систему вообще никто не взломает.
     
  • 2.56, Аноним (-), 14:59, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +17 +/
    >> включен плагин к GCC для рандомизации раскладки структур данных
    > А БСДшники недавно с такой помпой сообщали о чём-то подобном,

    Смотрит внимательно
    https://marc.info/?l=openbsd-tech&m=149732026405941
    > Over the last three weeks I've been working on a new randomization

    feature which will protect the kernel
    > That change is scaffolding to ensure you boot a newly-linked kernel
    > upon every reboot.  The base set now contains a "link-kit" of the .o's
    > from the compile directory, so that a new random kernel can be linked
    > together.  It is linked automatically in the background by the rc scripts, and installed as /bsd

    и правда, помпезность и схожесть
    > рандомизации раскладки структур данных

    аж зашкаливают!

    Кстати, можно ли на опеннете фильтровать сообщения по нику?

     
  • 2.117, Пох (?), 04:37, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Бедняга, БСД не дает ему покоя.
     

  • 1.2, zloykakpes (ok), 07:56, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    > В файловой системе ext4 реализована опция "largedir"

    Интересно, а для чего это? Где может понадобиться хранение даже 10млн файлов в одной директории? Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.

     
     
  • 2.3, Аноним (-), 08:18, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Где может понадобиться хранение даже 10млн файлов в одной директории?

    На серверах Гугля, например. Или какого-нибудь АНБ.

     
     
  • 3.4, Аноним (-), 08:36, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Зачем? Папки не просто так придумали, это реалньо удобно. Даже если у АНБ будет папка "Вася", в которой по нему будет вся инфа, как часто душ принимает, номера телефонов, кред. история и тп. все равно лучше по папкам распихивать, а еще лучше в БД. 10 миллионов звучит как оверкилл, а 2 мильярда как оверфакингкилл.
     
     
  • 4.5, A.Stahl (ok), 08:38, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Я так и не понял что же этот папка Вася придумал.
     
  • 4.6, A.Stahl (ok), 08:42, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > в которой по нему будет вся инфа

    Ты предлагаешь анализировать все данные, которые проходят через них? Они не идиоты, поэтому просто, скорее всего, сваливают всё на кучу, а если вдруг что-то нужно, то начинают эту кучу разгребать. Да и незаконно это -- анализировать данные безосновательно.

     
     
  • 5.145, Аноним (-), 14:19, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вообще их и собирать безосновательно незаконно, не говоря даже о моральной стороне вопроса, но кого это когда останавливало?
     
  • 4.7, Аноним (-), 08:48, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Приведу реальный пример. Из-за ограничений вроде "не более 1000 файлов в папке", писателям CMS для хранения файлов приходится выдумывать какие-то правила, типа "хранить файлы вида abcdefgh.jpg по пути /a/b/c/abcdefgh.jpg". А потом еще писать сложную логику вида "а не появилось ли в папке /a/b/c более, чем тысяча изображений, начинающихся с abc?" И нет, речь не идет о сложной инфраструктуре с хайлоадом и прочими штуками, которые нужны только в частопосещяемых сайтах. Речь идет об обычных сайтах обычных организаций, в который залили тысячу и одно изображение.
     
     
  • 5.12, Anonimus (??), 09:35, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    подобные ограничения связанны исключительно с тем что обращение к файлам с небольшим количеством файлов в папке намного быстрее чем если все в куче. Плохо что не все "пИсатели CMS" вкурсе методов которые помогли бы ускорить работу их 7@внокода.
     
     
  • 6.51, mrd (??), 14:12, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зависит от того, как доступ идет и все настроено. На "всяких" CMS обычно все включено, все, которые только есть, плагины apache например, которые читают все атрибуты.
    А если файловая система использует деревья и доступ идет по имени файла (без чтения списка того, что в директории), то все будет быстро.
     
  • 5.15, qq (??), 09:45, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    кстате да, захотелось как-то в видяшку добавить текст, под рукой тока  ffmpeg, разбил на jpg, прошелся скриптом, собрал обратно, корячиться с папками, вот еще.
     
     
  • 6.44, Аноним (-), 13:35, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "разбил на jpg" нет бы png но jpg???
     
     
  • 7.180, Аноним (-), 22:37, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > "разбил на jpg" нет бы png но jpg???

    Ну а что, здорово же. Было видео, уже пожатое каким-то кодеком с потерями. Он это распаковал и пожал еще раз, в жпег, потеряв качество опять. А потом сжал еще и это.

    Разве не соблазнительно получить артефакты сжатия целых три раза, да еще разные и усиливающие друг друга? Жпегу понравится блочность MP4 (хотя-бы deblock ему сделать автор наверняка забыл). Он наартефактит по границам блоков. А потом все это вместе попробует прожевать mp4 или кто там еще, кодирующий результат. В общем врубаем это на полный экран на большом мониторе и понимаем как делать не надо...

     
     
  • 8.183, Mihail Zenkov (ok), 22:58, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Может у него исходный файл в mjpeg был ... текст свёрнут, показать
     
  • 7.192, Аноним (-), 12:47, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    PNG не поддерживает цветовые модели кроме RGB, а преобразование из YUV и обратно может привести к потерям цветовой информации.
    JPG позволяет хранить изображение без потерь, ffmpeg'у для этого нужно указать -q 0, наиболее подходящая цветовая модель будет выбрана автоматически.
     
  • 6.58, мимо_крокодил (?), 15:01, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    "разбил на jpg" нет бы -vf drawtext но "прошелся скриптом, собрал обратно"
     
  • 4.10, Аноним (-), 09:15, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Папки не просто так придумали, это реалньо удобно.

    Кликайте себе по "папкам" в своей венде. В линуксе совсем не обязательно что туда будет заходить человек.

     
  • 4.22, paulus (ok), 10:29, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Зачем?

    У гугеля все на ярлыках, типа каталоги альбомов или на почте, а в реале сплошные ярлыки по которым все сортируется у пользователя. Глубже наверное не лучше...

     
  • 4.71, аноно (?), 16:22, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем заменять фсб на анб? На имхоклабе так советуют?
     
     
  • 5.143, Stax (ok), 14:07, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Затем, что за редкими исключениями АНБ интересуют в первую очередь именно живущие в США. На 99.99% граждан РФ им по большому счету плевать - у них нет ни желания, ни ресурсов ими заниматься. В то время как наш родной товарищ майор заинтересован покопаться именно в данных жителя этой страны :)
     
     
  • 6.157, _ (??), 20:29, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    АНБ-шные уши ловились в Германии, Великобритании и Франции. Не только политика, но и тупо бизнесс. Денюжки на пенсию офицеры майнили :)
    Что уж говорить про партнёров пожиже?
     
     
  • 7.158, _ (??), 20:32, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это я не к тому что ФСБ - няшки. Все такие службы - $^%#@&@$!!!! Так было, так будет.(С)
     
  • 3.205, pavlinux (ok), 03:31, 09/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кэп, директория - это файл, ссылка - это файл... Unix - это файл.  
     
  • 2.8, номия (?), 08:53, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    иногда надо, но там все вроде давно убежали на бтрфс, зфс, xfs и прочие серверные фс
     
     
  • 3.45, Аноним (-), 13:36, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > иногда надо, но там все вроде давно убежали на бтрфс, зфс, xfs
    > и прочие серверные фс

    Вероятно проблемы начинаются когда нужно выделить пачку по признаку и скопировать для обработки :)

     
  • 2.11, Нанобот (ok), 09:22, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.

    подозреваю, что разница в скорости будет незначительной

     
     
  • 3.14, Anonimus (??), 09:37, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    значительной...
     
     
  • 4.23, Аноним (-), 10:35, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Зависит от фс
     
  • 3.18, пох (?), 10:06, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > подозреваю, что разница в скорости будет незначительной

    для современных версий ext4 (dirindex на нас не с неба упал) - незначительной, при некоторых дополнительных условиях (ибо реализован плохо, и может давать массовые коллизии)

    Писать программу в надежде, что под ней обязательно окажется ext4 с dirindex - плохой, негодный программист.

    Все вменяемые уже десять лет перешли на древовидные структуры, поскольку роботу совершенно все равно, a/b/c/abcfile или abcfile искать, а для людей подобные помойки никогда и не предназначались.

     
     
  • 4.46, Аноним (-), 13:38, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> подозреваю, что разница в скорости будет незначительной
    > для современных версий ext4 (dirindex на нас не с неба упал) -
    > незначительной, при некоторых дополнительных условиях (ибо реализован плохо, и может давать
    > массовые коллизии)
    > Писать программу в надежде, что под ней обязательно окажется ext4 с dirindex
    > - плохой, негодный программист.
    > Все вменяемые уже десять лет перешли на древовидные структуры, поскольку роботу совершенно
    > все равно, a/b/c/abcfile или abcfile искать, а для людей подобные помойки
    > никогда и не предназначались.

    b-tree над фС, так это СУБД :)

     
     
  • 5.61, пох (?), 15:15, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > b-tree над фС, так это СУБД :)

    из субд очень неудобно, к примеру, делать sendfile()

    Вообще, почти всюду, где стоит выбор субд или фс, следует выбирать - fs, как ни странно. Причина банальнейшая: fs обычно пишут и контролируют получившуюся писанину на порядки более грамотные ребята. А в субд на одного грамотного десять косоруких. (да еще и лежит это все все едино в fs, как правило, поэтому еще и требуется потом сопрягать одно с другим)

    Идти за субд нужно либо когда нужно эффективное кэширование (fs'ы крайне фигово кэшируют _файлы_) либо когда нужны нетривиальные запросы, либо по каким-то еще причинам то, с чем приходится работать, не ложится в понятия файл/каталог.

     
     
  • 6.68, Crazy Alex (ok), 16:08, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Да в понятие "файл" сейчас вообще мало что ложится, во всяком случае в отношении пользовательских данных. Остаётся обвешивать xattrs или добавлять дополнительный потоки как в NTFS, лепить кучу костылей вида RWH_WRITE_LIFE_xxx, создвавать каталоги вроде myfile.html.files и прочее. Уж лучше честно отползти к "ресурсам" с более-менее продуманным набором атрибутов и не пытаться имитировать статическими файлами динамический контент, состоящий из кучи различных чанков.
     
     
  • 7.164, Аноним (-), 21:04, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Да в понятие "файл" сейчас вообще мало что ложится,

    Да почему, есть даже mmap. Получается что файл даже память. Но вот правда при ошибке ты получишь сразу SIGSEGV. И удачи тебе понять что это не крах в программе а ошибка чтения. Вот такая вот хреновая абстракция.

     
  • 6.163, KonstantinB (ok), 21:02, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    [trollface on]
    ...а когда косорукие писатели субд, не знающие ничего, кроме btree, берутся писать фс, получается бтрфс!

    [trollface off]
    вообще, для разработки настоящих субд (а не хипстерских поделок) знаний надо не меньше, чем для разработки фс. А может, даже и больше.

     
  • 6.208, лютый жабист__ (?), 17:38, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эксперты локалхоста как обычно про масштабирование, кластеры и не слышали. Расскажи как ты из fs в 10 нод будешь файлы раздавать. Можно из десятка субд повыбирать, а с кластерными фс чо? Все кривые и косые, даже странно, их же крутыши пишут, не то что субдшники
     
  • 5.159, _ (??), 20:35, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > b-tree над фС, так это СУБД :)

    Садись - два!

    1) не СУБД, читай определение
    2) не _b_-tree

     
  • 3.72, Аноним (-), 16:32, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    в ext4 - переход за 2 уровня H-Tree (что дает large_dir) - вызывает посадку производительности на порядок и выше.
     
  • 2.16, Phozzy (?), 09:53, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    у Jfrog в bintray используется rich metadata file system.
     
  • 2.20, Аноним (-), 10:23, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Где может понадобиться хранение даже 10млн файлов в одной директории?

    "It's better to have something you don't need than to need something you don't have." © не-помню-кто

    Лучше пусть фича будет и останется лишней для 99.999% пользователей, чем понадобится — а её нет.

     
     
  • 3.28, Mihail Zenkov (ok), 10:55, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, но при условии, что для 99.999% пользователей overhead от добавления опции будет 0.001%.
     
  • 3.62, Аноним (-), 15:25, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > "It's better to have something you don't need than to need something
    > you don't have." © не-помню-кто
    > Лучше пусть фича будет и останется лишней для 99.999% пользователей, чем понадобится
    > — а её нет.

    Это типа встроенные QR коды, http сервачок, DNS, su, крон, netcat, календарь ... правда, до уровня нормальных, отдельных утилит и ПО оно никак не дотягивает, но зато встроенно и главный передовой комбайнер Леннарт гарантирует качество!


     
     
  • 4.98, Аноним (-), 23:44, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > QR коды, http сервачок, DNS, su, крон, netcat, календарь

    Перечисленное не имеет ничего общего с задачами PID 1, зато нормальная работа с большим количеством файлов в директориях иммет самое непосредственное отношение к функциональности ФС. Так что сравнение не совсем корректное.

     
  • 2.36, Аноним (-), 12:27, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе же в новости написали где это нужно

    > Опция подготовлена разработчиками кластерной файловой системы Lustre

    Да, они, вероятно, не правы нафигачивая много файлов в одну директорию.

     
  • 2.40, Аноним (-), 12:37, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.

    Сделать быстрый доступ хешами и деревьями не проблема, проблема сделать быстрое обновление индекса. Например, переименование файла или добавление новых может потребовать перезаписи сразу всего индекса, а для 10 млн это минимум сотни мб.

     
     
  • 3.63, пох (?), 15:32, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Сделать быстрый доступ хешами и деревьями не проблема, проблема сделать быстрое
    > обновление индекса.

    существующие реализации обычно просираются на удалении, а не на добавлении ;-) Что, во многих случаях, редкая или вовсе ненужная задача.

     
     
  • 4.96, Аноним (-), 23:21, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    слова богу хоть хоть один нормальный программист. неистово плюсую.
     
  • 4.111, all_glory_to_the_hypnotoad (ok), 01:38, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    на уровне формата хранения индекса ещё нужно умудриться сделать резервирование для добавления записей, но не сделать gc. Наверняка тормозит не из-за вышеописанной причины.
     
  • 2.42, anonymous (??), 13:10, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Помню, в году 2006 один веб-сервер заказчика перестал работать из-за переполнения предельного размера файлов в каталоге. Выяснилось, что сайт писался подрядчиком для какого-то там госпроекта, и на все увещевания организации каталогов структурно или хотя бы по первым буквам названия файлов клал болт. Пришлось апгрейдить ядро и мигрировать на ext4 из-за этого криворука, чтобы хоть как-то сайт работал. Так что все возможно, человек - животина глупая, ему и 10 млн файлов в каталоге может не хватить.
     
     
  • 3.48, Аноним (-), 13:41, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Помню, в году 2006 один веб-сервер заказчика перестал работать из-за переполнения предельного
    > размера файлов в каталоге. Выяснилось, что сайт писался подрядчиком для какого-то
    > там госпроекта, и на все увещевания организации каталогов структурно или хотя
    > бы по первым буквам названия файлов клал болт. Пришлось апгрейдить ядро
    > и мигрировать на ext4 из-за этого криворука, чтобы хоть как-то сайт
    > работал. Так что все возможно, человек - животина глупая, ему и
    > 10 млн файлов в каталоге может не хватить.

    А в т.з. были ограничения?
    ИМХО оптимально(хоть и дорого)для таких штук СУБД, у них лучше поставлен процесс обновления и новые версии обычно успевают под новые запросы.

     
  • 2.70, Crazy Alex (ok), 16:16, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот люстре и понадобилось
     
  • 2.115, Аноним (-), 02:38, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Проверь, если парни из LANL протащили этот патч, то надо. Особенно, учитывая как люстра хранит файлы на OST. В общем, нужно. Особенно, на очень больших кластерах хранения. Да, типа как у самого LANL, у которых сотни софта, который написан в 80х на фортране и никто не собирается его переписывать ради работы с новомодными медленными фс типа s3 и экзабайты экспериментальных данных, которые надо пережёвывать сотнями тысяч процессоров. И да, дынные могут использоваться совместно.
    Ну и да, парням из АНБ тоже пригодится.
     
  • 2.132, bOOster (ok), 10:53, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Да разумные люди давно переехали на файловые системы которые в своем принципе директорий не имеют. Вернее это логическая единица каталогизации. Может быть именем директории, может быть тегом для поиска и т.п. Теже яйца только в профиль. Я линуксоиды до сих пор костыли пристраивают к "покосившемуся и расжиревшему" ядру, со всех сторон утыканное идентичными костылями и архитектурой MSDOS 40 летней давности... Чтоб не рухнуло.
     
     
  • 3.151, пох (?), 17:45, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не "разумные" а "богатые" (и здоровые).
    Это мордокнига может позволить себе "никогда ничего не удалять". А мы вынуждены использовать технологии, позволяющие особождать иногда место (в том числе место в этих ваших логических каталогизациях, оно тоже небесплатное)

    Архитектуре vfs лет на двадцать больше чем этой вашей ms-dos. Скопировавшей, кстати, иерархичекое дерево догадайтесь, у кого.

     
     
  • 4.156, bOOster (ok), 20:18, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ZFS? Не?
     
  • 2.154, анон (?), 18:33, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    бывают уникумы, которые восстанавливают данные после сбоя методом "слей все в кучу", а потом приходят к сапорту кровавого ынтырпрайза с слезными просьбами рассортировать им все.

    Было такое уже не раз, ЛОЛ!

     

     ....большая нить свёрнута, показать (53)

  • 1.9, Аноним (-), 08:58, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    хмм в ноувеи стереоскопическое это не 3д чтоли, и почему на моих 2 нвидиах экран всегда черный, и лечится только фирменными блобами, грустно както.
     
     
  • 2.19, Аноним (-), 10:17, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ноувеи

    Щито?

     
     
  • 3.29, Andrey Mitrofanov (?), 11:23, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> ноувеи
    > Щито?

    Теперь, когда Вы спросили...

    https://ru.wikipedia.org/wiki/%D0%A1%D0%BC%D0%B5

    http://www.opennet.ru/openforum/vsluhforumID3/44782.html#3

     
  • 2.43, Аноним (-), 13:27, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >ноувеи

    Это читается как нуво

     
     
  • 3.52, Аноним (-), 14:19, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ах вот оно что, ну спасибо, теперь нет проблем.
     
  • 3.196, Аноним (-), 14:16, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А произносится как нуву http://www.translate.ru/dictionary/fr-ru/nouveau
     
     
  • 4.197, Andrey Mitrofanov (?), 15:37, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А произносится как нуву http://www.translate.ru/dictionary/fr-ru/nouveau

    "Никогда не доверяла этим 'translated by PROMPT'."

    [CODE]From French-English Freedict dictionary [fd-fra-eng]:

      nouveau [nuvo]
         new; novel[/CODE]

     

  • 1.13, Аноним (-), 09:36, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +51 +/
    >реализованы пятиуровневые таблицы страниц памяти, которые позволяют адресовать до 16 эксабайт ОЗУ;

    Обеспечена начальная поддержка Google Chrome

     
     
  • 2.17, Аноним (-), 09:58, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –21 +/
    Скорее, Mozilla Firefox. Но поржал, спасибо :D
     
     
  • 3.53, Аноним (-), 14:21, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Серьёзно?

    firefox-esr 527Мб - 13 вкладок, 8 аддонов
    chromium 300Мб - 1 вкладка, 0 аддонов

     
     
  • 4.227, Anonymoustus (ok), 04:48, 18/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Firefox ESR 52.4.0 (32-біт) c дополнением Suspend Tab (http://piro.sakura.ne.jp/xul/_suspendtab.html.en), 288 вкладок, ~800 МБ ОЗУ.
     

  • 1.21, istepan (ok), 10:25, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    13 - счастливое число! >:D
     
     
  • 2.24, A.Stahl (ok), 10:38, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё -- простое.
     
     
  • 3.33, Клыкастый (ok), 11:51, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    все простые числа - счастливые. будьте проще.
     

  • 1.25, Аноним (-), 10:38, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > Без данной опции действует лимит на 10 млн

    Графические обозреватели файлов тормозят уже на 10000. Спасибо С++ и бездарному программированию.

     
     
  • 2.26, A.Stahl (ok), 10:42, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Срочно переписать на Лиспе: нет обозревателей -- нет проблемы.
     
  • 2.30, Аномномномнимус (?), 11:30, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не за что, юзай даблкоммандер или мюкоммандер, если эти не устраивают
     
  • 2.32, Аноним (-), 11:49, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нее, там не с++, там правит python!
     
     
  • 3.47, Аноним (-), 13:41, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > там правит python!

    Electron!

     
     
  • 4.165, Аноним (-), 21:10, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> там правит python!
    > Electron!

    Если вам нравится питон и электрон, попробуйте просмотреть с их помощью 10 миллионов файлов. Как раз и узнаете зачем нужны пятиуровневые таблицы и 16 экзабайтов.

     
     
  • 5.185, Аноним (-), 23:10, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>> там правит python!
    >> Electron!
    > Если вам нравится питон и электрон, попробуйте просмотреть с их помощью 10
    > миллионов файлов. Как раз и узнаете зачем нужны пятиуровневые таблицы и
    > 16 экзабайтов.

    Понимаю, что гнобить питон на опеннете стало модно, но все же хоть немного матчасть знать следует. Хотя ьы чтобы не сравнивать электрон с пальцем.
    https://github.com/python/cpython/blob/75b961869a1184895c9d5bf41a57f3c98562266
    [CODE]
    static PyObject *
    os_scandir_impl(PyObject *module, path_t *path)
    .
    .
    Py_BEGIN_ALLOW_THREADS
    iterator->dirp = fdopendir(fd);
    Py_END_ALLOW_THREADS
    [/CODE]

     
  • 3.89, Аноним (-), 22:00, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нее, там не с++, там правит python!

    А что, кто-то запускал?

    Предлагаю добровольцам установить vifm и ranger, потом запустить echo {1..100500} > {1..100500} и mkdir {100500..200500} и поочередно открывая в этих ФМ, угадать, что из них на сишечке, а что на питончике. Если не получиться с ходу, можно включить предпросмотр файлов.

     
  • 2.65, Аноним (-), 15:51, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Спасибо бездарному программированию.

    Поправил тебя, не благодари. Если писать гoвнoкод на любом языке - он будет тормозить, даже если пишешь на ассемблере.

     

  • 1.31, Аноним (-), 11:48, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вроде как zstd в btrfs хотели запилить...
     
     
  • 2.83, Аноним (-), 20:02, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В следующем ядре будет
     

  • 1.34, Аноним (-), 11:52, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.

    Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.

     
     
  • 2.37, gre (?), 12:30, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.
    > Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
    > Плагин портирован из патчей проекта grsecurity;

    Ага, шапито в апстриме это нормально.

     
     
  • 3.39, пох (?), 12:36, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ага, шапито в апстриме это нормально.

    это - привычно.

    собственно, а чего вы хотите на фоне "TLS в ядре"? (интересно, сколько дырьев там всплывет в ближайшую пару лет, и о скольких из них мы узнаем хотя бы не на год позже хакеров)

    да и прочие новости, увы, того же пошиба.

     
     
  • 4.49, Аноним (-), 13:53, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Ага, шапито в апстриме это нормально.
    > это - привычно.
    > собственно, а чего вы хотите на фоне "TLS в ядре"? (интересно, сколько
    > дырьев там всплывет в ближайшую пару лет, и о скольких из
    > них мы узнаем хотя бы не на год позже хакеров)
    > да и прочие новости, увы, того же пошиба.

    Надеюсь дистростроители по умолчания отключат "TLS в ядре", а то как то "неправильно" (например в Debian) делать make menuconfig.
    А тем кому это действительно необходимо, сами для себя настроят "TLS в ядре".
    Тем более, что после залатывания каждой дырки в ядре, необходимо будет тянут 30MB.

     
  • 4.57, Crazy Alex (ok), 14:59, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    TLS в ядре - это правильно. Может хоть так допинают до того, что нешифрованного трафика быть не должно вообще - примерно как научилив  конце концов, что логин/пароль при входе в систему надо вводить всегда и что файрволл таки нужен везде.

    И нет, это не от спецслужб и подобного, поэтому и не должно быть идеально защищённым. Это, наоборот, поднимают минимальный уровень - чтобы голым задом не светили.

     
     
  • 5.60, пох (?), 15:06, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > TLS в ядре - это правильно. Может хоть так допинают до того, что нешифрованного трафика
    > быть не должно вообще

    может. Я очень надеюсь к этому моменту успеть найти себе бизнес подальше от линуксов.

    99% траффика шифровать совершенно _незачем_.
    Пихание шифрования во все дырки, вместо грамотного ограничения ненужной сетевой активности и грамотных же средств AAA (которые к шифрованию совершенно боком), и особенно в виде совершенно безобразного и заведомо небезопасного монстра tls, только увеличивает риски. Потому что через это самое криво написанное шифрование вас и поломают, при случае.

    И до кучи оно максимально затрудняет траблшутинг. И чем глубже зарыто, тем сложнее найти проблему.

     
     
  • 6.69, Crazy Alex (ok), 16:15, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, оно с "грамотным ограничением сетевой активности" вообще не связано. И лучше уж один "монстр" (кстати, сильно почищенный в последнее время и уже собранным абсолютным большинством граблей) чем зоопарк кастомных решений на любой чих.

    И ещё раз - это не "чтоб не поломали", а "чтоб любой скрипт-кидди не видел трафик". Ну и DPS усложнит - тоже дело хорошее. Как минимум, для этого стоит шифровать всё подряд (благо, сейчас это практически ничего не стоит).

    Ну да, любителям "всё поснифать вайршарком" вместо траблшутинга там, где, собственно проблемы (то есть в приложении) - усложнит.

    Вы просто упорно не хотите смириться с тем, что нынче компьютер без сети, в общем-то, смысла не имеет от слова "вообще".

     
     
  • 7.76, zanswer CCNA RS and S (?), 17:29, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эм, не вижу нечего плохого в использование Wireshark при поиске неисправности связанной с обменом через сеть. К слову никто не запрещает при необходимости расшифровывать пакеты Transport Layer Security протокола при анализе в Wireshark, если это требуется и реализация TLS в ядре, этому не помеха.

    И ещё, я не вижу не какой проблемы в том, что инженеры Facebook совместно с инженерами Red Hat, реализовали TLS в ядерном пространстве. Судя по PDF, они добились очень не плохих результатов и продолжат их совершенствовать, в сторону работы с аппаратными крипто акселераторами.

     
     
  • 8.104, Влад (??), 00:43, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    даешь heatbleed в ядре ... текст свёрнут, показать
     
     
  • 9.119, zanswer CCNA RS and S (?), 05:48, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    То есть наличие TCP IP стека и ещё прицепа сетевых протоколов в ядре вас не бесп... большой текст свёрнут, показать
     
     
  • 10.181, пох (?), 22:47, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    разумеется беспокоит Включая омерзительное пихание дыры-v6 куда ни попадя, с от... текст свёрнут, показать
     
  • 9.135, Аноним (-), 11:21, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Читать не умеете Установка соединения, завершение его и прочая служебная муто... текст свёрнут, показать
     
  • 6.166, Аноним (-), 21:17, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > может. Я очень надеюсь к этому моменту успеть найти себе бизнес подальше от линуксов.

    В майкрософт устройся.

    > 99% траффика шифровать совершенно _незачем_.

    Учитывая современные тенденции и повальное увлечение синдром вахтера, все с точностью до наоборот.

    > Пихание шифрования во все дырки, вместо грамотного ограничения ненужной сетевой активности

    Ограничение сетевой активности - одно. Защита от копания в данных посторонних лиц - совсем другое.

    > И до кучи оно максимально затрудняет траблшутинг. И чем глубже зарыто, тем
    > сложнее найти проблему.

    Знаем мы этих любителей траблшутинга. Кто номера кред ворует, кто пароли от почт и социалок.

     
     
  • 7.184, пох (?), 23:08, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    как бы им тоже окончательный линукс не пришел в ближайшие лет пять учитывая сов... большой текст свёрнут, показать
     
  • 5.81, angra (ok), 18:40, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > примерно как научили в конце концов, что логин/пароль при входе в систему надо вводить  всегда и что файрволл таки нужен везде.

    Ну а теперь попробуй доказать необходимость обоих _везде_. Только сразу учти, что доказываешь ты не юзверю, а админу. Можешь даже ограничиться аргументацией их нужности на моей рабочей машине, вдруг я чего-то не знаю и ты откроешь мне глаза.


     
     
  • 6.82, пох (?), 19:52, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Только сразу учти, что доказываешь ты не юзверю

    юзверю с головой на плечах доказать еще сложнее, чем админу - потому что у него нет админской паранойи, зато есть юзверьская - например, не является ли это требование подставой со стороны админов, вольной или невольной.

     
     
  • 7.87, Crazy Alex (ok), 21:41, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    На юзверя есть полиси, не надо ему ничего доказывать - один хрен у него скорее всего квалификации понять не хватит.

    Если юзер не корпоративный - то тоже ничего ему доказывать не надо - сам себе буратино, злобный или нет - зависит от обстоятельств.

     
     
  • 8.127, пох (?), 09:26, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    потом ты наталкиваешься впервые в жизни интересно, как не удалось до сих пор В... большой текст свёрнут, показать
     
     
  • 9.167, Аноним (-), 21:21, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальные админы уже давно кое-чему научились И теперь называются девопсами Ж... текст свёрнут, показать
     
     
  • 10.186, пох (?), 23:14, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты не поверишь, но работал я в конторе, где девопсы в одном углу, админы - в дру... текст свёрнут, показать
     
  • 6.86, Crazy Alex (ok), 21:38, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очень просто - проще прикрываться логином/паролем всегда, чем в каждом конкретно случае думать - а нельзя ли ну вот на этот раз без них обойтись. Может можно, может нет, может сейчас можно, а завтра что-то поменялось... Проще сразу поставить и не париться.
     
     
  • 7.90, angra (ok), 22:02, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    То есть из-за того, что ты не хочешь всего один раз подумать, ты каждый день вбиваешь логин и пароль. Молодец, нечего сказать.
     
     
  • 8.93, Crazy Alex (ok), 22:42, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Думать придётся не один раз, а каждый раз, когда ты притаскиваешь какие-то новые... текст свёрнут, показать
     
     
  • 9.123, angra (ok), 08:27, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    У меня там изначально есть конфиденциальные данные От того, что появятся новые,... текст свёрнут, показать
     
  • 9.126, пох (?), 09:19, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    вы все еще живете во временах ОС Демос Компьютеры ныне - персональные, двадцать... большой текст свёрнут, показать
     
     
  • 10.168, Аноним (-), 21:28, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме котиков и лайков там еще логины-пароли летают к этим котикам Спамеры это ... текст свёрнут, показать
     
     
  • 11.187, пох (?), 23:21, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну вот у меня нет пароля к опеннету Нет акаунта - нечего заблокировать не-е-е... большой текст свёрнут, показать
     
  • 7.99, Mihail Zenkov (ok), 23:59, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Постоянно сижу под рутом примерно 16 лет Последние 10 лет еще и с автологином ... большой текст свёрнут, показать
     
     
  • 8.101, Crazy Alex (ok), 00:12, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вы же понимаете, что у меня никогда проблем не было - не особо сильный аргумен... большой текст свёрнут, показать
     
     
  • 9.114, Mihail Zenkov (ok), 02:09, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен Просто есть миф, что под рутом работать нельзя Я привел те факты, кот... большой текст свёрнут, показать
     
     
  • 10.170, Аноним (-), 21:35, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Он везде нужен Потому что провайдеры обнаглели и не гнушаются врезки в траффик ... текст свёрнут, показать
     
     
  • 11.182, Mihail Zenkov (ok), 22:52, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это проблема недобросовестного провайдера и решать ее нужно иначе - по-возможнос... большой текст свёрнут, показать
     
     
  • 12.189, Пох (?), 08:41, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Попробуйте сменить любого из большой тройки мобильных мой местный тоже не гнуша... текст свёрнут, показать
     
     
  • 13.195, Mihail Zenkov (ok), 13:59, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я живу в Беларуси - у нас три оператора mts, velcom, life На протяжении 15 ле... большой текст свёрнут, показать
     
  • 11.191, Michael Shigorin (ok), 12:37, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Недавно тащил какой-то тарбол метров на сто или ста Он неспешно полз отк... текст свёрнут, показать
     
  • 10.199, AlexYeCu_not_logged (?), 17:57, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не миф ... текст свёрнут, показать
     
     
  • 11.200, Led (ok), 23:50, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    У них там даже картошку сортируют под рутом ... текст свёрнут, показать
     
  • 11.201, Mihail Zenkov (ok), 00:09, 07/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У вас есть обоснование применительно к домашней системе с одним пользователем ... текст свёрнут, показать
     
     
  • 12.209, AlexYeCu_not_logged (?), 13:10, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    8 по приведённой тобой же ссылке До поры, до времени ... текст свёрнут, показать
     
     
  • 13.211, Mihail Zenkov (ok), 16:21, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так сколько мне еще ждать Еще 15 лет ... текст свёрнут, показать
     
  • 12.210, AlexYeCu_not_logged (?), 13:17, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Есть Систем с одним пользователем не существует, по крайней мере более-менее со... текст свёрнут, показать
     
     
  • 13.212, Mihail Zenkov (ok), 16:27, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это не обоснование Во всех современных системах есть виртуализация контейнеры, ... текст свёрнут, показать
     
     
  • 14.213, лютый жабист__ (?), 18:29, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С фига ли Например у меня все фоточки и видео для юзера в ро, изменять только ... текст свёрнут, показать
     
     
  • 15.214, Mihail Zenkov (ok), 20:11, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То есть, что бы удалить отредактировать фотографию, каждый раз нужен повышать пр... большой текст свёрнут, показать
     
     
  • 16.215, лютый жабист__ (?), 11:29, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Все свои 50-100-500-5000 ГБ фото видео надо постоянно редактировать И ещё храни... текст свёрнут, показать
     
     
  • 17.216, Mihail Zenkov (ok), 11:47, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно настроить разные права Но это 1 не удобно - так как постоянно нужно дум... текст свёрнут, показать
     
     
  • 18.217, лютый жабист__ (?), 13:27, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Только с бэкапом может случиться такой конфуз ты бэкапишь побитые неполные данн... текст свёрнут, показать
     
     
  • 19.218, Mihail Zenkov (ok), 18:00, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как я уже сказал - у меня эта ситуация исключена физическим ограничением доступа... текст свёрнут, показать
     
  • 15.219, Аноним84701 (ok), 22:47, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Напуркуа Это же надо редактор фоток и прочее из под рута запускать или права до... текст свёрнут, показать
     
     
  • 16.228, Anonymoustus (ok), 05:47, 18/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошая практика 8212 для работы копировать нужные файлы в какое-нибудь посто... текст свёрнут, показать
     
  • 4.125, llolik (ok), 08:59, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > собственно, а чего вы хотите на фоне "TLS в ядре"?

    Как я понимаю, туда перенесли только блочный шифр, чтоб sendfile(), например, в TLS-соединение делать без кучи копирований kernel-userspace. Handshake и всё остальное всё равно делается в userspace также, как и раньше.

     
     
  • 5.130, пох (?), 09:53, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> собственно, а чего вы хотите на фоне "TLS в ядре"?
    > Как я понимаю, туда перенесли только блочный шифр, чтоб sendfile(), например, в
    > TLS-соединение делать без кучи копирований kernel-userspace. Handshake и всё остальное
    > всё равно делается в userspace также, как и раньше.

    угу - и имеем кучу каллбэков в user-space из ядерного контекста, со всеми вытекающими из этого.
    Понятна цель факинбука, они уже весь мир под себя прогнули, что там какое-то ведро, но нам с вами радости от этого решительно никакой.

     
     
  • 6.150, Аноним (-), 16:46, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > имеем кучу каллбэков в user-space из ядерного контекста

    Нет, не имеем. Идите читайте пдфку.

     
  • 6.171, Аноним (-), 21:39, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Понятна цель факинбука, они уже весь мир под себя прогнули, что там
    > какое-то ведро, но нам с вами радости от этого решительно никакой.

    У факингбука цель простая, как и у почти всех кто сервера содержит: получить с своего железа максимум. Подобные фичи нацелены именно на это. Рассуждения о том что зелен виноград натыкаются на график в новости и опции сборки.

     
     
  • 7.188, пох (?), 23:29, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Понятна цель факинбука, они уже весь мир под себя прогнули, что там
    >> какое-то ведро, но нам с вами радости от этого решительно никакой.
    > У факингбука цель простая, как и у почти всех кто сервера содержит:

    у моих серверов нет проблемы с ssl - потому что они в диски и cpu на пехепе упираются, гораздо раньше.
    Поэтому мне, как и большинству держателей серверов, довольно мало пользы от сендфайла в ssl'ный сокет.

    У меньшинства - вам же уже тут такое, хехе, ...меньшинство писало - "ssl на фронтендах", там никаких файлов при правильной настройке вообще нет.

     
  • 3.133, bOOster (ok), 11:02, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>> ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.
    >> Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
    >> Плагин портирован из патчей проекта grsecurity;
    > Ага, шапито в апстриме это нормально.

    Конечно нормально. Сейчвс вспылвет куча "оптимизированного" в кавычках г%внокода, которые к структурам обращались по вычисленному фиксированному адресу внутри структуры.  А после приведения софта в порядок, вдруг линь начнет работать медленнее BSD в данном контексте….

     
     
  • 4.172, Аноним (-), 21:44, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно нормально. Сейчвс вспылвет куча "оптимизированного" в кавычках г%внокода,

    Если какой-то код в юзермоде вообще ориентировался на структуры ядра - авторы скорее всего делали что-то не так. А если они при этом еще и предполагали конкретные адреса - кто им доктор? Реально что-то такое может быть в паре глубоко системных программ. Остальным в внутренних структурах ядра делать нечего.

     
  • 2.38, пох (?), 12:35, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > Это уже на уровне вредительства,

    к счастью, этот бесполезный хлам можно отключить.

    > Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.

    нет, школьники засели в KSPP - и тырят кусочки кода grsec, которые во-первых, вовсе не предназначены для использования отдельно от комплекса остальных мер, во-вторых, никогда и не позиционировались как решение "для всех". Что, собственно, авторов grsec и затрахало неимоверно. Но школота продолжает твердить что они лучше знают и тащить в ядро всякую дрянь, плохо при этом понимая ее работу - "мы требуем со6лядения GPL!!!".

     
     
  • 3.67, Аноним (-), 16:06, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но факт того, что они GPL нарушают ты не отрицаешь? К тому же "школота" не тащит это в ядро, таки наоборот.
     
  • 3.173, Аноним (-), 21:49, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    С другой стороны, авторы grsec тоже затрахали немало народа своим илитизмом, снобизмом, нулевым юзабилити, диким неадекватом (в твиттере разок было просто сказочное шоу). Наверное логично что появился неплохой спрос на то чтобы кто-то делал более юзабельно. И таки упомянутая фича юзабельна сама по себе. Если адреса структур будут перемешаны, атакующему будет очень неудобно а у эксплойта будет лишний шанс не сработать.
     

     ....большая нить свёрнута, показать (59)

  • 1.35, Андрей (??), 11:57, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > В ext4 добавлена возможность хранения расширенных атрибутов файлов (Xattr) в отдельных inode

    И как она активируется? Нужно ли переформативать?

    > В XFS добавлена поддержка опций SEEK_HOLE и SEEK_DATA системного вызова lseek() для выявления пустых областей и блоков данных внутри файла

    Вот это да! В XFS этого не было!?

     
  • 1.54, saahriktu (ok), 14:25, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Новые опции ядра Expose irq internals in debugfs GENERIC_IRQ_DEBUGFS N y ... большой текст свёрнут, показать
     
     
  • 2.147, Аноним (-), 15:03, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А где можно такие списки с новыми опциями разных версий найти?
     
     
  • 3.149, saahriktu (ok), 16:09, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Лично я, собирая себе новое ядро, копирую конфиг от предыдущей версии и запускаю "make oldconfig". Конфигуратор начинает спрашивать по поводу новых опций, а я копирую куски его вывода. И получаются вот такие вот списки.

    Для последних ядер (4.4-4.10, 4.13) такие списки можно взять здесь: http://saahriktu.org/linuxnewopts.tar.lzma .

     
     
  • 4.152, пох (?), 17:48, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Лично я, собирая себе новое ядро, копирую конфиг от предыдущей версии и
    > запускаю "make oldconfig". Конфигуратор начинает спрашивать по поводу новых опций, а
    > я копирую куски его вывода. И получаются вот такие вот списки.

    это далеко не полный набор - многие вопросы конфигуратора иерархические, и если на верхнем уровне иерархии застрял дефолтный 'N', то узнать, что изменялось под ними, таким образом не получится.

     
     
  • 5.155, saahriktu (ok), 19:33, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тем не менее, полученные таким образом опции точно являются новыми.
     
     
  • 6.175, Аноним (-), 22:01, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Тем не менее, полученные таким образом опции точно являются новыми.

    Опции сборки бывают условными. Ты не увидишь опций для архитектур отличных от твоей или для случаев когда выбор сделанный ранее конфликтует с опцией. Поэтому то что ты видишь - какой-то частный случай, зависящий от архитектуры и ранее выбранных опций. И зачем его вываливать сюда? Те кому надо - все-равно на вопросы билдсистемы ответят, так как актуально в их конфигурациях.

     
     
  • 7.190, saahriktu (ok), 12:06, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Далеко не все опции ядра архитектуроспецифичны. Да, если какие-то подсистемы драйверов отключены, то связанные с ними опции в список не попадут. Однако, базовые подсистемы включены в любом случае. А потому опции, которые связаны с разного рода планировщиками, управлением памятью, процессорами и питанием, базовые сетевые опции,... и т.д. в список попадут точно. И это может быть интересно тем, кто хочет знать какие серьёзные измения произошли в базовых подсистемах ядра.
     
  • 3.174, Аноним (-), 21:55, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А где можно такие списки с новыми опциями разных версий найти?

    git diff, хоть и не очень удобно. А у предыдущего автора не все новые опции ядра показаны, только то что актуально для его системы и архитектуры. Там есть еще всякие условные опции, специфичные для платформ/архитектур. Которых у автора в списке конечно же быть не обязано. Не будет билдсистема работающая на x86(_64) показывать новые опции сборки какого-нибудь MIPSа или ARM. Но это не означает что эти опции не доабвили. Они неактуальны для авторской конфигурации. Но автор об этом видимо не знает, он занят компилированием - некогда билдсистему изучать.

     

  • 1.55, Аноним (-), 14:41, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > от 1400 разработчиков

    А сколько линуксоидов в мире?

     
     
  • 2.64, A.Stahl (ok), 15:32, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ~120 млн.
     
     
  • 3.73, Аноним (-), 16:55, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А вы считаете линускоидами дилетантов вроде меня?
    Я не компьютерщик, а просто пользователь, но умею ставить некоторые дистрибутивы Линукса, настраивать их и обслуживать.
    Спрашиваю абсолютно серьезно и сам стараюсь понять.
     
     
  • 4.74, Аноним (-), 16:58, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    линуксоидами, извините за описку
     
  • 4.75, A.Stahl (ok), 17:11, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Конечно. Линукс есть? Ну значит всё, не отмажешься уже:)
     
     
  • 5.92, lucentcode (ok), 22:39, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чем-то ваш комментарий напомнил мне один анекдот, про самогонный аппарат, где полицейский уверял что если у человека аппарат есть, значит он его активно использует...
     
  • 3.88, Аноним (-), 21:52, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Пользователей андроида почему не посчитал? Да, они в нём не разбираются, но пользуются же!
     

  • 1.66, mumu (ok), 16:01, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > TLS: AES GCM

    А почему нет CBC, XTS и т.п.? Я вечно в этих аббревиатурах путаюсь и не до конца понимаю что где и когда используется.

     
     
  • 2.77, Передний конец разработки (?), 17:30, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    XTS обычно используют в linux-luks и freebsd-geom
     
  • 2.78, zanswer CCNA RS and S (?), 17:41, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому, что GCM лучше всего подходит для шифрования сетевых пакетов. В конечном счёте цель инженеров Facebook и Red Hat была низкая латентность, и высокая производительность. А не реализация всех возможных режимов работы AES.
     
  • 2.80, Stax (ok), 18:17, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    CBC нельзя параллельно считать, а GCM можно.
    У XTS есть потенциальные проблемы с безопасностью и он вообще не для сетевой передачи.

    Для текущего стандарта TLS актуален в первую очередь GCM, CBC считается небезопасным, поэтому нет смысла делать что-либо кроме GCM.

     
     
  • 3.85, забыл пароль (?), 20:17, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вроде насколько я помню, CBC это как-раз дефолтный режим для ipsec и GCM скорее всего не заработает на всяких вин7, старых цисках и т.п. (может даже вин10 тоже не умеет GCM, l2tp/ipsec он устанавливает всегда в режиме CBC).
     
     
  • 4.95, Аноним (-), 23:20, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    ipsec сдох и плохо пахнет.
     
  • 4.109, h31 (ok), 01:31, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    IPsec и мелкософт - это особая история. GCM вроде как поддерживается, но только вместе с IKEv1. В случае IKEv2 там максимум CBC.
    А для TLS у них всё в порядке, GCM отлично работает и включен как самый приоритетный.
     
     
  • 5.121, zanswer CCNA RS and S (?), 08:03, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Microsoft утверждает, что их реализация IKEv2 гарантирует следующие возможности ... большой текст свёрнут, показать
     
     
  • 6.220, pavlinux (ok), 23:49, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >   [RFC3602]
    >      Pseudo-random function      
    >  HMAC-SHA-384 [RFC4868]
    >      Integrity      
    >            
    >   HMAC-SHA-384-192 [RFC4868]
    >      Diffie-Hellman group      
    >    384-bit random ECP group [RFC5903]"
    > Как видим, для IPSec Phase 2, для протокола ESP поддерживается AES в
    > GCM режиме, для IPSec Phase 1, для протокола IKEv2 нет.

     
     
  • 7.222, zanswer CCNA RS and S (?), 13:33, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>   [RFC3602]
    >>      Pseudo-random function
    >>  HMAC-SHA-384 [RFC4868]
    >>      Integrity
    >>
    >>   HMAC-SHA-384-192 [RFC4868]
    >>      Diffie-Hellman group
    >>    384-bit random ECP group [RFC5903]"
    >> Как видим, для IPSec Phase 2, для протокола ESP поддерживается AES в
    >> GCM режиме, для IPSec Phase 1, для протокола IKEv2 нет.

    IKEv2 SA может использовать только AES-CBC, но IPSec SA может использовать и AES-GCM, данные клиентов будут шифроваться уже с помощью AES-GCM. Иными словами, не вижу не какой проблемы, что IKEv2 SA использует AES-CBC.

     
  • 4.122, zanswer CCNA RS and S (?), 08:17, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если верить Microsoft kb325158, то по умолчанию L2TP over IPSec вообще использует DES в CBC режиме, даже не AES.

    Что касается того, поддерживается ли AES в GCM режиме или нет, в Windows 10 мне пока найти не удалось, есть таблица для более старых версий: https://technet.microsoft.com/en-us/library/dd125380(v=ws.10).aspx

    И в ней указано, что Windows 7 поддерживает AES в режиме GCM, но, только при использовании IKE в Quick режиме. Изменилось ли, что-то для Windows 10 в этом направлении, сказать сложно.

     
  • 3.91, Андрей (??), 22:02, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > CBC считается небезопасным, поэтому нет смысла делать что-либо кроме GCM.

    Но стоит волею случая использовать тот же IV с одним KEY для шифрования, и GCM мгновенно взламывается.

     
     
  • 4.94, Аноним (-), 23:19, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это какой-то уж очень неслучайный случай.
     
  • 2.112, h31 (ok), 01:41, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    AES-GCM работает заметно быстрее на современных процессорах. Имеет встроенный MAC, что опять же снижает нагрузку и упрощает процесс. Параллелится, как уже выше говорили. При его реализации меньше мест, где можно накосячить и ловить потом уязвимости.
    CBC сейчас используется только как legacy.
     
     
  • 3.113, забыл пароль (?), 01:55, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за пояснения! Не просветите ещё насчет CTR? Он как к остальным относится и как и когда используется?
     
     
  • 4.146, Stax (ok), 14:24, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Спасибо за пояснения! Не просветите ещё насчет CTR? Он как к остальным
    > относится и как и когда используется?

    Не совсем относится, это потоковый, а не блочный режим шифрования. Там нет никакой аутентификации, нужно прикручивать внешнюю. Голый поток CTR некий MiTM может изменить таким образом, чтобы после расшифровки мы получили другие данные и ничего не заметили - при этом MiTM'у совершенно даже не нужно знать, что там было исходно зашифровано. Также появляется уязвимость, если атакующий добудет исходные данные до шифрования и шифрованный поток.

    CCM и GCM используют в своей основе CTR, добавляя аутентификацию (если совсем грубо упрощать).

     

  • 1.97, Аноним (-), 23:29, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Где улучшения для Ext2? Ибо мне нафиг не упало бесполезное журналирование, которое только и умеет, что дрюкать диск. А по сути, не наблюдаю никакого развития, с ядра 2.6*, один лишь продакшен для Красной Шляпы.
     
     
  • 2.110, анонист (?), 01:35, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А разве нельзя журналирование отключить?
     
  • 2.129, пох (?), 09:50, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Где улучшения для Ext2?

    в гугле

    > Ибо мне нафиг не упало бесполезное журналирование, которое

    mkfs.ext4 -O '^has_journal' ниасилил? Тогда, к сожалению, тебе противопоказано использовать что-то немейнстримное - чтобы писать против ветра, штаны расстегивать уметь надо заранее, причем это не гарантирует от мокрых штанов, это pre-requirement.

    > только и умеет, что дрюкать диск. А по сути, не наблюдаю
    > никакого развития, с ядра 2.6*, один лишь продакшен для Красной Шляпы.

    его и не будет.

    У ext2 сегодня только одно преимущество - несколько большая компактность кода. Для неумеющих пользоваться mkfs пользы от него никакой, они просpут гигабайты там, где сэкономят килобайт, потому что еще много чем пользоваться не умеют.

     
  • 2.179, Аноним (-), 22:18, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Где улучшения для Ext2? Ибо мне нафиг не упало бесполезное журналирование,

    Бесполезное? Блаародного сэра не напрягает время fsck на диске пару терабайт? Вместо нескольких секунд реплея журнала при монтировании?

     

  • 1.100, Аноним (-), 00:11, 05/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем такие ядра что ломают поддержку старых дров? Почему я не могу использовать линукс с видеокартой амд R9 270? Зачем ломать поддержку ABI, что они выиграли? Они только потеряли пользователей.
     
     
  • 2.103, fidaj (ok), 00:43, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    кто-то потерял пользователей - а кто-то поимел бабло за новокупленное железо быстрее старого аж на 1,3421453544367% !
     
  • 2.118, Аноним (-), 05:42, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему я не могу использовать линукс с видеокартой амд R9 270?

    Можете

     
  • 2.178, Аноним (-), 22:14, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему я не могу использовать линукс с видеокартой амд R9 270?

    Это кто сказал такое? Под нее в ядре линукса аж целых ДВА драйвера. Так получилось. Amdgpu, который пока в экспериментальном режиме (с ним даже -PRO заработает) и обычный radeion.

    > Зачем ломать поддержку ABI, что они выиграли?

    Вы что, сами писали проприетарный драйвер GPU, что вас ABI интересует? И как, получилось обставить AMD в деле написания драйверов?

     

  • 1.102, Аноним (-), 00:14, 05/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Вся эта глупорылая борьба с проприетарщиной - дикое безумие! Бинарные блобы это такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем и конденсаторов.
     
     
  • 2.105, saahriktu (ok), 00:46, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Никто не заставляет обновляться. Выбирая проприетарщину юзер соглашается с теми ограничениями, которые вводят её разработчики. А они просто не желают бегать и выпускать блобы под каждую новую версию. Поэтому эти блобы если и являются частью чьей-то системы, то только в рамках тех версий, для которых их выпустили проприетарщики. При этом рано или поздно они всё равно выкинут поддержку конкретного оборудования. Даже если оно ещё живо у юзеров.

    Но, не всем нужны блобы.

     
  • 2.106, Влад (??), 00:46, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вся эта глупорылая борьба с проприетарщиной - дикое безумие! Бинарные блобы это
    > такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем
    > и конденсаторов.

    С чего это вдруг?

     
  • 2.176, Аноним (-), 22:05, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем и конденсаторов.

    Вот кстати микросхемы опенсорсные как раз появляются. Хорошо.

     

  • 1.116, Аноним (-), 04:04, 05/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну когда же линукс сможет полноценно работать на нетбуках чери трейл?
     
  • 1.120, Аноним (-), 07:24, 05/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Без данной опции действует лимит на 10 млн файлов в одной директории, а при указании опции "largedir" лимит увеличивается до 2 миллиардов файлов

    Как их потом удалить одной командой из баша без скриптования

     
     
  • 2.124, iPony (?), 08:49, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > find папка -name "*" -exec rm {} \;
     
     
  • 3.128, пох (?), 09:33, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> find папка -name "*" -exec rm {} \;

    мда, я всегда подозревал альтернативную одаренность понийопов... exec... ага, в каталоге с 10000 записей.

    find -type f -print0 | xargs -0 rm
    (и вон из профессии, если a) не видите разницы b) это не первое, о чем вы подумали)

     
     
  • 4.131, iPony (?), 10:29, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > мда, я всегда подозревал альтернативную одаренность понийопов... exec... ага, в каталоге с 10000 записей.

    Да, ты даже на самом слабом ПК моргнуть не сможешь.

    PS: а про профессию - сам иди куда хочешь, а я не сисадмин

     
  • 4.136, iPony (?), 11:29, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И да. Лимит в xargs по аргументам в 2МБ - мы тупо в него упремся при 10 млн файлов
     
     
  • 5.137, Andrey Mitrofanov (?), 11:53, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И да. Лимит в xargs по аргументам в 2МБ - мы тупо
    > в него упремся при 10 млн файлов

    # find / -delete

    тебе в помощь.

     
     
  • 6.138, iPony (?), 11:56, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Оно по моему же только в GNU-том есть.
     
     
  • 7.139, Andrey Mitrofanov (?), 12:13, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Оно по моему же только в GNU-том есть.

    Я задел Ваши религиозные? Отлично.

     
  • 7.148, Аноним (-), 15:31, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Оно по моему же только в GNU-том есть.

    C чего бы это?

    > Author: peter <peter@FreeBSD.org>
    > Date:   Fri Oct 4 12:54:07 1996 +0000
    >    Implement a -delete option to find.  The code is extremely paranoid and
    >    goes to a fair degree of trouble to enable something like this to
    >    be safe:  cd /tmp && find . -mtime +7 -delete

     
  • 5.140, пох (?), 12:47, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > И да. Лимит в xargs по аргументам в 2МБ

    у xargs нет никаких лимитов по аргументам (точнее, они у нее не имеют ни малейшего отношения к описанному применению - аргумент там один, из двух байт - rm)

    она вызовет этот rm столько раз, сколько понадобится, чтобы уместиться в системные лимиты на exec.

     
  • 4.193, Michael Shigorin (ok), 12:48, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > find -type f -print0 | xargs -0 rm

    find -type f -delete тогда уж.

    Хотя да, всякие -0 из https://www.altlinux.org/Secure_Packaging_Policy некоторым выше могут и ныне быть в новинку...

     
     
  • 5.194, пох (?), 13:59, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    мои клавиатурные привычки - много старше -delete
    (и универсальнее, ибо не всегда надо именно rm)

    -0, правда, тоже недавнее изобретение, раньше приходилось еще и tr вставлять в цепочку.

     
  • 5.206, pavlinux (ok), 03:39, 09/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> find -type f -print0 | xargs -0 rm
    > find -type f -delete тогда уж.
    > Хотя да, всякие -0 из https://www.altlinux.org/Secure_Packaging_Policy некоторым выше
    > могут и ныне быть в новинку...

    touch ' ..  .\+Xy \+\8 Уда ли Мен\!!я '

     
  • 5.207, pavlinux (ok), 03:54, 09/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    find -type f -print0 | xargs -0 unlink

    ---

    А ваще, руxками потереть иноду каталога и пошли всё нафег :)

     
  • 3.177, Аноним (-), 22:08, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> find папка -name "*" -exec rm {} \;

    А ты представляешь себе что будет при 10 000 000 файлов? Можешь создать и посмтреть как твоя конструкция отработает. Ты наверное удивишься увиденному.

     
  • 3.141, пох (?), 12:50, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ionice -c 3 rm  -rf /* &

    не работает же - задает глупые вопросы в новых-модных системах?
    И зачем, кстати, ionice? Там тормоза не от io. (то есть не от того io которым управляет ionice)

     
     
  • 4.142, anonimus (?), 13:59, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Просто nice?
     
  • 4.144, anonimus (?), 14:07, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    О, знаю. Shell вместо звёздочки влепит километровый список файлов и будет больно
     
     
  • 5.153, пох (?), 17:50, 05/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > О, знаю. Shell вместо звёздочки влепит километровый список файлов и будет больно

    почему километровый ? Или ты стамиллионами файлов в / нагадил? А чо, изобретательно ;-)

    echo /* | wc
           1      21     136


     

  • 1.198, Аноним (-), 16:49, 06/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Теперь драйвер gpu для vbox интегрирован в ядро, что в теории избавит от установки guest addition и позволит использовать полноценное 3д ускорение гостевой ос, правда не 17.10 разницу не увидел
     
  • 1.202, док (?), 14:36, 07/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении к файлам на серверах Samba и Windows при помощи CIFS

    -- что это значит вообще?)

     
     
  • 2.203, Andrey Mitrofanov (?), 16:46, 07/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении
    > к файлам на серверах Samba и Windows при помощи CIFS
    > -- что это значит вообще?)

    "Технологии Майкрософт."  ==Не заморачивайтесь.

     
     
  • 3.204, Andrey Mitrofanov (?), 11:02, 08/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении
    >> к файлам на серверах Samba и Windows при помощи CIFS
    >> -- что это значит вообще?)
    > "Технологии Майкрософт."  ==Не заморачивайтесь.

    :( Или да.

    [I]"Earlier this year, widespread use of SMB1 in Linux servers helped fuel the expansion of the WannaCry ransomware."[/I] --http://linuxgizmos.com/android-oreo-adds-linux-kernel-reqs-debuts-project-tre

     

  • 1.221, Аноним (-), 08:31, 13/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Не перестаю удивляться эпичности фантазии придумавшего включать поддержку всех устройств прямо в ядро... По-моему это как каждого, желающего сдать на права заставлять тут же сдавать сразу на все категории, плюс на пилотирование вертолётов и подводных лодок и обязывать регулярно для продления прав выходить в финалы ЧМ по разным видам спорта.
     
     
  • 2.231, Феномен (?), 01:33, 06/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это хорошие и добрые фантазии, благодаря которым мы можем вытащить HDD с пингвином из компьютера и не заморачиваясь подключить его к микроволновке, кофеварке, стиральной машине и т.п.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру