В нескольких крупных вычислительных кластерах, находящихся в суперкомпьютерных центрах Великобритании, Германии, Швейцарии и Испании, выявлены следы взломов инфраструктуры и установки вредоносного ПО для скрытого майнинга криптовалюты Monero (XMR). Детальный разбор инцидентов пока недоступен, но по предварительным данным системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерах (последнее время многие кластеры предоставляют доступ сторонним исследователям, изучающим коронавирус SARS-CoV-2 и проводящим моделирование процессов, связанных с инфекцией COVID-19). После получения доступа к кластеру в одном из случаев атакующие эксплуатировали уязвимость CVE-2019-15666 в ядре Linux для получения root-доступ и установки руткита...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52973
Отлично.
Если бы на суперкомпьютер накатили бы OpenBSD + Coreboot, то такого бы безобразия не было бы
И Тео расплатился бы за электроэнергию за век вперёд.
А если бы там везде был бы OpenBSD+Coreboot и их бы взломали, то тут написали - нужно было везде ставить Linux.
Странная логика...
среди юникс лайк систем нет абсолютно плохих или хороших. просто при их настройке у админов либо руки кривые, либо забывают о первом правиле - "что не разрешено, то запрещено". и в редких случаях это серьезная дыра в системе. с другой стороны если админ не следил за сообщениями и оставил систему дырявой, то опять же вина админа.
> Если бы на суперкомпьютер накатили бы OpenBSDА разве OpenBSD умеет работать на многопроцессорных системах?
Мне казалось, что, вроде бы, там были проблемы с производительностью на многоядерных системах.
Юзеры gentoo призадумались...
Над тем, кто же еще сидит на это "старом ядре", когда у юзеров getnoo 5.6.13 ?
Почему так долго компиляется? (третий день уже)
Называется слышал звон, да не знаю где он.
Сейчас рутфс под armv7a _кросс-компилится_ меньше чем за сутки полностью на стареньком x86_64 Intel(R) Core(TM) i7-2860QM.
А на новых Ryzen или Threadripper часа за 2 небось.
дебутстрап за несколько минут делает, на чем угодно - хоть на соседнем armv7
ну и молодцы, я считаю. хакеры - санитары леса. в первую очередь цепляют запущенные системы.
А гопник, встретивший такого хакера в подворотне и проломивший ему голову арматуриной - санитар реала, ага.
вы правы, но всё же хакеры заставляют держать руку на пульсе, а не пускать сесурити на самотёк. "Плохо или хорошо? Главное, у кого ружьё"
Дэбилы они, а не санитары леса. Если бы не падлы вроди них сейчас не нужно было бы мильены тратить на все эти системы защиты. Только потому что кому-то сверлит залезть и украсть что-то у кого-то ...
> Дэбилы они, а не санитары леса. Если бы не падлы вроди них
> сейчас не нужно было бы мильены тратить на все эти системы
> защиты. Только потому что кому-то сверлит залезть и украсть что-то у
> кого-то ...а ещё есть разведчики, но им можно, смотри не перепутай со шпионами - тем нельзя!
В этой куче ничего не изменить.
А если они ничего не украли и не сломали?
Руткит на гитхабе интересно почитать - как работает, как вообще менять в своей системе ее поведение. Да еще компактно сделан. Красиво. При желании можно инсталлировать себе, в оборонительных целях. Не забыв убрать получение рута и сменив константы, конечно.
> санитар реала, ага.Плох тот хакер который клацает клювом, даже в подворотне. К тому же руткитом можно и свои процессы от хакеров попрятать. Забавно же когда приходит какой-то скрипткидис, и даже не понимает чего тут брать. Нихрена нету, да еще алерты админу улетели. Паскудство, да?!
> ну и молодцы, я считаю. хакеры - санитары леса. в первую очередь
> цепляют запущенные системы.Ты верно считаешь. Омнооюсины тырпрвйзов тебя сейчас минусами закидают. Это легче, чем привести в порядок свой ынтырпрайзхост.
Энтерпрайзы в соседней новости, XMR майнят.
Обновляться надо же))
Или отключать от инета нах
А ездить их админить будешь, наверное, ты? В общественном транспорте, чтоб адреналина побольше.
Раскрой мысль, как ты это собираешься сделать на суперкомпьютере? Там ещё кластерная ФС какая-нибудь, типа люстры/апельсина. А в ней могут петабайты данных лежать. Ты же не будешь бэкпортировать исправления уязвимостей под неподдерживаемые ведро, coreutils, iproute2?
> Раскрой мысль, как ты это собираешься сделать на суперкомпьютере? Там ещё кластерная
> ФС какая-нибудь, типа люстры/апельсина. А в ней могут петабайты данных лежать.
> Ты же не будешь бэкпортировать исправления уязвимостей под неподдерживаемые ведро, coreutils,
> iproute2?у кластера есть производитель и договор поддержки
Ну ты рассмешил.!!!
Я сам разворачивал кластер на базе Kerrighed.org для академии наук. Tак там ядро 2.4!!
Обновлять никто не будет.Зная на собственном опыте как работают обновления кластеров (никак) говорю вам - нельзя давать к кластеру прямой доступ. Даже к одной ноде!
Должен быть VPN с 2FA. Отдельный, для подключения только к кластерной сети.
> VPN с 2FAНикаких VPN, никаких SSH, никакой связи наружу, только бренная тушка в защищённом помещении, и никаких флэшек.
Поселить весь персонал в датацентре? И 2-недельный карантин на выходе из него, чего уж.
а вдруг так не у всех ?
С мэйнфреймами не путайте
Как правило, собрано и поддерживается местными научными сотрутниками ...
Вот иммено!
Я и был одним из этих "научных сотрудников"
Как? Как всегда, одной командой. При обновлении диск не очищается если что.
Скорее всего, ты это рассказываешь человеку, который винду переставлял раз в три месяца, а потом перешёл на убунту, и стал переставлять её раз в полгода, совмещая с обновлением. Вот оттуда такие странные представления об обновлении.
Ну, как-то так... В 2003-2007 годах переустанавливал вантуз, а сейчас раз в 2 года обновляю или переустанавливаю убунту. Это намного лучше...А теперь ты расскажи что будет если на кластере просто yum update сделать. Как быть с запущенными задачами, которые не желательно прерывать на перезапуск(для обновления их зависимостей, типа глибц). А что делать с ведром, на котором мы едем в данный момент? Livepatch? Kernelcare? Ой, а ведро-то у нас особое. Патченое-перепатченое! Тогда надо говорить с Игорем Селецким из Cloudlinux, чтобы пацаны собирали ТВОЁ ведро с ТВОИМИ пячами у СЕБЯ и дистиллили к нему бинарные обновления, которые будут загружены как модули. У них там также Usercare есть, где дистиллят лив-пячи для глибц и всего, чего захочешь за твои бабки. Это даже Каноникал делать не будет.
Моё же решение такое - никаких интернетов в сети кластера. Доступ через бастион-хосты, тоже без инета. Для данного случая - это простая и достаточная мера. Про air-gapped environment я не говорю, ибо на такой гемор не все согласны. А рабочий, настроенный и постоянно работающий софт - пусть будет сколь-угодно старым и уязвимым.
dnf update
HPC-кластера на Чентоси8 или фядорке? Покажи где.
Обычно там 5, 6, 7, но не старше.
https://fedoraproject.org/wiki/Features/Cluster
И это HPC-кластер? А как же распределённые ФС? Одним коросинхом и пейсмейкером - скудновато как-то. Кстати, вернёмся к началу треда, и как такое вообще обновлять? Даже в холодном режиме? С апельсином, люстрой, или гластерфс? Если гластерфс навернётся, то я его ещё возможно починить смогу...
Это кластер с GFS2.
А может гфс2 не надо, когда есть куча альтернатив получше?
Надо.
Интересно зачем? Расскажешь, почему именно гфс2? Почему не апельсины с люстрами, или хотя-бы гластер? Возможно я что пропустил.
А вот касательно обновлений, давай вернёмся к началу треда. Типичный юзкейс для НРС - это задачи на пару месяцев, которые кагбы нинада останавливать. Вот как это без ливпатчинга решить?
Lustre обладает рядом свойств, которые сильно затрудняют работу с ней в случае, когда клиенты используют независимые виртуализированные кластера.
можно подробнее что мешает то? Особенно при наличии submount tree + uid mapping ?
То, что Ethernet-сети кластеров изолированы друг от друга на канальном уровне для защиты данных клиентов и их сетевого трафика друг от друга.
Вы гоняете люстру по Ethernet ??!! даже не по RoCE а просто по ethernet... это зачет..
лан, рассказывать о проблемах не буду :) предпочту что бы вы сами на это наступили.
PS. virtio-fs и проброс с хоста решают ваши проблемы - виртуалки даже не знают как там ходит сторож..
Какую Lustre по Ethernet? Я писал про GFS2 для нескольких групп виртуальных машин, каждая из которых представляет из себя маленький виртуальный кластер.
> Lustre обладает рядом свойств, которые сильно затрудняют работу с ней в случае, когда клиенты используют независимые виртуализированные кластера.----
и дальше ответ про зернет...Вроде не привиделось. Значит Lustre не причем...
> Почему не апельсины с люстрами, или хотя-бы гластер?И дальше ответ, почему не Lustre.
вот тебя-то мне и надо!Расскажи, плиз, как чинить гластер, в котором (неважно, предположим - из-за массового апгрейда) произошел split-brain, и он бодро кинулся удалять собственное содержимое, посчитав его невалидным? Буду очень признателен.
А то я вот начитался впечатлений людей, столкнувшихся с этой проблемой - и что-то напрочь расхотелось его использовать.
P.S. а вот про коросинк подобных историй почему-то не слышно.
> P.S. а вот про коросинк подобных историй почему-то не слышно.Corosinc оно не разу не FS :) потому и не слышно.
Лана бы с GPFS сравнил :)
дык, какая разница что развалить?Но мне бы про гластер историю поебд, тем более клиент вретъ что все-все про него знает - а то историй эпикфейлов я начитался, и теперь кудыбечь, как обычно, неясно.
Из-за массового обновления? Ты вообще тпоэ? Знаешь, уж лучше майнинг, чем такое. Но правильный вариант там немного выше описан.
А по истории поебд - при наличии хоть одной целой реплики - получалось восстановить, а не после мажорных обновлений.
> А по истории поебд - при наличии хоть одной целой реплики -а она точно-точно будет целая? Зуб-то дашь? (подсказка - а если в нее кто писал в это время? А если во время обновления еще что интересное произойдет?)
> получалось восстановить, а не после мажорных обновлений.
мажорное обновление - с перезагрузкой нод - это очень, очень интересный экспириенс в случае неуправляемого кластера, ага. Гораздо более интересный чем просто сдохшие несколько штук нод.
Жаль, что кроме растопырки пальцев мы от тебя ничего, видимо, не дождемся. Не завидую покупателям того г-нища. (И вот так с этими супер-пупер всегда. Оно ведь даже не понимает, до сих пор, что происходит при таком обновлении - ну разьве что если сеть на время обновлений вообще не вырубить. make install на деньги dell сказало - и все, ачивка анлокед)
> а если в нее кто писал в это время?
> А если во время обновления еще что интересное произойдет?)А если бы у бабки был, то она была бы дедкой.
> make install на деньги dell сказало - и все, ачивка анлокед)
и ты снова насчёт make install промахнулось. А про деньги делл - да, правда. Но тебе их считать.
> А если бы у бабки был, то она была бы дедкой.ну то есть твоя поделка хитрозаколдована от сбоя сети, диска и всего что угодно, когда реплика осталась последняя, а нода с копией то ли еще стартует, то ли уже сдохла.
Оок.
Я примерно так, в общем, область применения гластера после беглого знакомства и представлял.
> А теперь ты расскажи что будет если на кластере просто yum update
> сделать. Как быть с запущенными задачами, которые не желательно прерывать нагы/гы - будет - интересно.
> перезапуск(для обновления их зависимостей, типа глибц). А что делать с ведром,
мы типа абстрактный кластер в вакууме рассматриваем, либо этот конкретный?
Чиста так теоретически - в нем должен быть фейловер. Поэтому zypper up (там вроде suse) и reboot. Типа оно само разберется - как должно было бы сделать при банальном отказе ноды, а такие бывают. На практике, все что может пойти не так, разумеется, пойдет не так. Вплоть до того что окажется что обновленное ведро, ой, опачки, не желает включаться в сеть с необновленными. Во всяком случае, никто ведь этого не гарантировал.
В общем, кому страшилок про (файловые, это куда забавнее вычислительных) кластеры - перечитайте прекрасный тикет:
https://github.com/lizardfs/lizardfs/issues/746 - удовольствие наблюдать как твои сотни терабайт _медленно_ (оно тормоз) но прямо на твоих глазах _безвозвратно_ превращаются в тыкву - ни с чем не сравнимо.Да, это уникальное просто попадание метеорита прямо в голову, на которой не было надето положенной каски, но ведь до того - сто раз так делали.
> Моё же решение такое - никаких интернетов в сети кластера. Доступ через
боюсь, настоящие вчоные, которые, собственно, его владельцы - тебя не поймут-с.
И могут даже того, при помощи ноги.
Скажи еще им большое спасибо, если оно прямо во время рассчета что-нибудь из этих интернетов не подсасывает (только вряд ли, сейчас так принято не только у монерок).
> Как обновлять? Как всегда, одной командойБред.
Это даже для локалхоста пустого не всегда выходит. Или даже для мелкого PHP сайта.Админ локалхоста, что сказать...
> Ты же не будешь бэкпортировать исправления уязвимостей под неподдерживаемые ведро, coreutils,
> iproute2?платите, в чем проблема, буду.
Могу даже предъявить пруф в виде торчащих в интернет систем с древними ядрами, которые, вот удивительно - никто пока не поломал. (Ну да, они не настолько ценные, чтоб красть от них учетки, а роботы-е6оботы, желающие помайнить - регулярно в своих попытках обламываются.)Проблема в том, что гранты, на которые те кластеры собраны - давно проедены, а денег на поддержку - не предусмотрено. Вот какой-нибудь младший научный и поддерживает в качестве хобби, ни за что не отвечая. Ему еще кандидатскую надо писать, свободного времени не так и много.
P.S. отдельно интересно, зачем собирать кластерное ядро с ненужно-модулем xfrm_user, через который его, по их словам, ломанули.
> платите, в чем проблема, буду.да нет, спасибо. Найдём кого-нибудь поадекватнее.
Так вот, нашли уже - подумаешь, суперкластер еще немножечко майнит.
А тебя нанять - так ты накатишь суперпоследнее новое ведро - и кластер не будет не только майнить (хотя это еще как раз и не факт) а еще и работать перестанет. Потому что там внезапно какая-нибудь люстра.
Чувак, ты туупицца. Решило наехать на того, кто клеил люстру в делловские СХД на Чентоси5, по заказу делла. С пячами ведра и корутилса от штеуда и л-нетами. Так держать!
Ну молодец, умеешь красиво врать в резюме. Апгрейдить-то это - похоже, не умеешь, да?
Ну а тогда чего выпендриваешься?
Ты наверное не читало что сверху написано.
Люстру вроде из новых ядер этсамое, чихпых? Так что клеить тебе не переклеить.
мужик, откуда у Dell свои СХД с Lustre ?!.. оно же по жизни закупало их - или у Xyratex или у EMC/WC..
врать надо хотя бы близко к истине.. а не так топорно.
А что делл с ЕМС сделал? Давай дальше о вранье.
железо от EMC - люстру от DDN/Intel.
Клеить и эксплуатировать разные вещи.
Нажимайте сразу рачера-обноылятора. Ядро будет всегда свежее.Вот только кластер может перестать работать...
Да он и не должен на свежих ядрах.
> Да он и не должен на свежих ядрах.вот и не взломают!
А кто тут рассказывал что крипту можно получить только честным путем, а не напечатать как государство фантики?
Государство хотя бы курс не так быстро просирает
Такие реплики должны идти с уточнением: какое государство и на каком временном промежутке имеется в виду)
Это уже неполиткорректно, потому что открывает возможность для контраргументов.
Ну и к чему эта неуместная аналогия была? Так-то коины и не были "напечатаны" в понимании, привычном для фиата. Это больше похоже на использование рабского труда при добыче драг. металлов. Нечестно? Само собой. Пострадали при этом все держатели актива? Нет, лишь "рабы".ЗЫ: При "печатании" новых денег правительства так же стараются запускать механизмы, позволяющие более-менее безболезненно извлекать аналогичную денежную массу из экономики, но это совсем другая история.
Я рассказывал. И не о "крипте", а конкретно о биткоине. Здесь речь о монеро. Для любой "настоящей", то есть децентрализованной, крипты правила эмиссии заложены с код и произвольно их не поменяешь - нужно, чтобы код обновило абсолютное большинство нод. И сколько новых мощностей ни добавь - это повлияет на распределение новых монет, но их самих больше не станет.Есть централизованные токены, которые хозяин может клепать каа хочет. Либра и TON тоже такими были бы, кстати.
Сами правила в каждой крипте свои. Я говорил о биткоине - в нём выпуск половинится каждые 4 года (точнее каждые 210000 блоков), в итоге число созданных биткоинов никогда не превысит 21 миллион. Майнится он только на специализированном железе и, во всяком случае на этапе майнинга, транзакции неплохо отслеживаются (потом можно запутать при желании, но всё равно есть ограничения).
У монеры эмиссия небольшая и фиксированная, но постоянная, майнится на видеокартах и подобном и хорошо реализована приватность с самой эмиссии. Поэтому для майнинга на взломанных машинах подходит идеально, в отличие от биткоина, который для этого вобще не годится
> А кто тут рассказывал что крипту можно получить только честным путем, а не напечатать как государство фантики?Угнать чужой комп и на нём майнить (расходуя чужую электроэнергию) — по меркам правых течений экономики, вполне честный способ.
Вообще-то как раз у "правых течений" крайне агрессивный подход к защите собственности
У них крайне агрессивный подход к защите своей собственности, но такой же агрессивный подход к захвату и эксплуатации чужой.
Точно так же можно сказать, что это у левых подход - взять все и поделить, но мы же понимаем, что это не так.Среди представителей всех течений полно лицемеров с двойными стандартами.
> эксплуатировали уязвимость CVE-2019-15666 в ядре Linux3.16 ядро?? серьёзно???
Не только. До 5.0.19.
Кроме того, версия ядра 3.10 используется в RHEL.7 и всех производных. А седьмой редхат еще вполне себе рабочий, как и многие производные.
> Не только. До 5.0.19.
> Кроме того, версия ядра 3.10 используется в RHEL.7 и всех производных.
> А седьмой редхат еще вполне себе рабочий, как и многие производные.ну, судя по ссылке - только.. или я неправильно прочёл значения полей
редхат исправления бекпартирует в старые ядра
но, судя по другим ответам, там может быть какой-нить дистриб какой-нить "кластерось" с последним выпуском в каком-нить 2012 году
>> ну, судя по ссылке - только.. или я неправильно прочёл значения полейНе смотри производные и чужие ссылки. Смотри оригинал.
Тут: https://nvd.nist.gov/vuln/detail/CVE-2019-15666.
Или тут: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15666.Мы не знаем причин, по которым автор новости публикует ссылку, которая является производной, а не ссылкой на оригинальную БДУ, где информация об уязвимости публикуется согласно методологии. И поэтому получается испорченный телефон и недопонимание. Есть идентификатор уязвимости, этого достаточно, поэтому информацию о ней надо смотреть прямо в БДУ, а не где-то еще.
>> редхат исправления бекпартирует в старые ядра
Именно. Там к процессу устранения уязвимостей подходят крайне серьезно и правильно.
>> но, судя по другим ответам, там может быть какой-нить...
То же мне секрет. Если про арчер - то вот:
http://www.archer.ac.uk/documentation/best-practice-guide/ar...
Если про его ось - то вот:
https://pubs.cray.com/content/S-2393/CLE%205.2.UP03/cle...
Там написано, на базе какого релиза SUSE эта ось. Дальше вычислить ядро нетрудно.
> Если про его ось - то вот:
> https://pubs.cray.com/content/S-2393/CLE%205.2.UP03/cle...
> Там написано, на базе какого релиза SUSE эта ось. Дальше вычислить ядро нетрудно.Трудно. у Cray - далеко не штатное ядро от SuSe, там тонна своих каких-то патчей именно в CLE.
Другой момент что CLE 5.2 это такое стаааарье как г. мамонта, сейчас актуальным считается 7.2 что ли..
Но это уже к хозяевам кластера.
Я к тому, что ОС известна. Значит, известно и ядро. Какая там конечная версия - ну, может быть не та, с которой сдавали кластер. Может, обновляли. Важно то, что мы всегда знаем, на базе чего ее делают. Более того у SUSE есть SUSE Linux Enterprise High Performance Computing. Думаю, что масса нужных патчей для поддержки всяких тонкостей в интересах суперкомпьютеров есть уже там, если не все. Этот релиз SUSE делает для работы поверх всяких супердомов от HP и Z-систем от IBM.
> Я к тому, что ОС известна.нет, известно только с чего ее форкнули.
> Важно то, что мы всегда знаем, на базе чего ее делают.
и толку с этого знания, если делали не мы, а крэй, по спецзаказу именно под эту вот ни на что непохожую железяку? И хорошо еще, если у нас есть исходники, а не "сперва оплатите подписку за тридцать лет и три года что вы пользовались но не платили". (Или - "а вашей хреновине - EOL, хахаха")
Нам, на минуточку, надо кластер сохранить, а не ведро обновить как попало на что попало. Потому что можно и попасть.
rm `locate xfrm_user.ko` правда, ничего из этого не помешало бы сделать. Но это таки админ нужен, а не мастер-обновлястер.
нету там "необычной железки" - оно уже давно штамповка. Лет 10 как.
хнык-хнык (глядя на сваленную в углу "давно штамповку" - ядро от корейца, патчи от китайца, как вся погребень работает - вообще непонятно нихрена, как тестировать - есть масса идей, ни одной надежной)
А шо у нас XC40 где-то кроме гидромета есть?.. и то через T-platform закупленое..
А то хрень еще та..
> Важно то, что мы всегда знаем, на базе чего ее делают. Более того у SUSE есть SUSE Linux Enterprise High Performance Computing. Думаю, что масса нужных патчей для поддержки всяких тонкостей в интересах суперкомпьютеров есть уже там, если не все. Этот релиз SUSE делает для работы поверх всяких супердомов от HP и Z-систем от IBM.Нету там патчей от Cray. Зуб могу дать.
PS. В качестве Вы же не маленький - будет ли делиться критически важная US контора своими наработками с EU "партнерами" ? Особенно если учесть что это чуть ли не последная контора которая имеет свой собственный интерконект.
А в archer разьве ж свой?К сожалению, наличия отсутствия тюнинха кувалдой именно под эту конструкцию (даже не под архитектуру) нынче маловероятно.
Причем без него ты бы мог жить, но тогда надо целиком сузин дистрибутив ставить, а он - коммерческий, и его тоже так просто поставить нельзя. Да и поздно уже ;-)
Ну и делиться ведь необязательно исходниками, даже если и свой.
Ну и отдельная история - а как этот кластер-шмастер вообще штатно перезагружается, кто-нибудь знает? ;-)
Лайвпатчи там вряд ли предусмотрены.
> К сожалению, наличия отсутствия тюнинха кувалдой именно под эту конструкцию (даже не под архитектуру) нынче маловероятно.Под архитектуру вероятно и реально, а вот именно под эту инсталляцию - никто ничего делать не будет. Разве что рассчитают параметры FGR через скрипт - исходя из количества кабинетов в закупке.
Перегружается он во время maintenance window.. этак раз в пол года.. заменить железо которое решило сгореть за это время. Остальное время оно должно работать приносить бабло, и дабы всякого дрожания не было ибо MPI и с ума сойти может.
> Перегружается он во время maintenance window.. этак раз в пол года.. заменить
> железо которое решило сгореть за это время. Остальное время оно должнооно скорее всего hot-swap, так что ради этого - точно не перезагружается. И раз в пол-года еще шикарно жить, а то может и вообще быть не предусмотрено до особого распоряжения.
Если там сделано теми же руками и с той же "надежностью", что линуксные storage кластеры - то процедуры отключения вообще может не быть.
ну примерно с такой эпизодичностью я вижу репорты связанные с maintance window по каждому клиенту.>линуксные storage кластеры
А что Cray Sonexsion это не лунксячий сторадж ? отключение и upgrade есть - но в ровно определенных пределах.
>>линуксные storage кластеры
> А что Cray Sonexsion это не лунксячий сторадж ? отключение и upgradeну я хрен знает - вдруг cray руками что-то сделал.
Про более распространенные у васянов - уже, к сожалению, знаю :-(
Типовое решение - "если вы хотите потерять данные - ну попробуйте выключить".> есть - но в ровно определенных пределах.
дай угадаю - при отключении ноды начинается судорожный ребалансинг оставшихся, поэтому если данные тебе хоть сколько нибудь дороги, надо ее выключить, подождать пока перебалансирует, апгрейдить или что там, включать, убеждаться что она вошла в кластер а не "несовместимая версия, ойвсё!" - и снова ждать ребалансинг, потому что данные на ней теперь недостаточно свежие и не считаются. Сколько там в таком ящике этих нод ?
> ну я хрен знает - вдруг cray руками что-то сделал.Сейчас сам клепает, до этого закупал у Xyratex/Seagate кои были OEM для очень широкого круга продавцов.
Но внутри Linux :-)>Типовое решение - "если вы хотите потерять данные - ну попробуйте выключить".
Тфу - тьфу - но дизайн люстры +/- устойчив к сбоям. И не имеет такой фичи как перебалансировка и сетевой рейд..
Хотя очень хотят это внедрить. см FLR phase 2+>дай угадаю - при отключении ноды начинается судорожный ребалансинг оставшихся, поэтому если данные тебе хоть сколько нибудь дороги,
не угадал. Как правило связаное с FW железок.. вот недавно обновили в одной "бензоколонке" FW у CX3 карточек.. и быстро.. быстро назад. Ибо оно не живое. Или обновили MOFED - а оно падать начало, ведь теперь нормального релиз цикла у Mellanox нету.
А глюки "не совместимая я" - это в случае DDN/WC lustre - регулярно, но к счастью вытаптывается еще на первых этапах тестирования, а потом начинаются отлавливания data corruption. Которые к сожалению DDN не волнуют, что бы из-за такой мелочи блокировать релиз.
> Тфу - тьфу - но дизайн люстры +/- устойчив к сбоям.а что там происходит при отвале части нод? Просто на обращения к части данных возвращается "ойнишмагла", а когда обратно включишь - продолжает с того же места?
> не угадал. Как правило связаное с FW железок
а не обновлять - не? Кой смысл его обновлять если железки уже работают как надо?
> А глюки "не совместимая я" - это в случае DDN/WC lustre - регулярно, но к счастью вытаптывается
> еще на первых этапах тестирования, а потом начинаются отлавливания data corruption.фак... ОНО ЕЩЕ И ПОРТИТЬ данные умеет?!
э... кажется, я понимаю почему прогнозам погоды верить нельзя.
Где бы взять другой глобус? На марс не полечу - ракета лопается при попытке заправки тоже потому что ее на таком кластере считали, стопудов.
> а что там происходит при отвале части нод? Просто на обращения к части данных возвращается "ойнишмагла", а когда обратно включишь - продолжает с того же места?Примерно так. Дьявол в деталях - в частности переход на cool backup node.
> а не обновлять - не? Кой смысл его обновлять если железки уже работают как надо?
А не обновлять у меланокса другие косяки лезут :) Я могу много веселых историй оттуда рассказать.
> фак... ОНО ЕЩЕ И ПОРТИТЬ данные умеет?!
легко. При определенной фазе луны.. ;-)
>э... кажется, я понимаю почему прогнозам погоды верить нельзя.
Никому верить нельзя. Но мне можно;-)
PS. один раз SGI обновил не вовремя кластер в NASA.. было слегка стремена ;-)
Я тут недавно встретил суровый продакшон на Debian Lenny. А там ещё 2.6.26
Попросили заказчика обновить это дерьмо мамонта, дабы не травмировать разработчиков
>Я тут недавно встретил суровый продакшон на Debian Lenny. А там ещё 2.6.26Debian GNU/Linux 5.0 заменён на Debian 6.0 ("squeeze"). Выпуск обновлений безопасности был прекращён 6 февраля 2012.
причем тут разработчики? Тут головная боль для админа!
Ну вобще-то админу как бы пофиг. Он может любую версию накатить. Но дело в том, что в дистрибутивах как правило обновляется все вместе. И что прикажете делать админу, когда разработчики написали прогу работающую только под каким-нибудь jdk 7 которому в свою очередь нужна древняя версия libc? Пересобрать все старые версии пакетов? Запихать все это в докер? А если там ПО нужен прямой доступ к специфическому оборудованию? Кроме того здесь речь идет о кластерах, а значит возможно используется оборудование к которому идут закрытые драйверы собранные под строго определенную версию ядра.
> Ну вобще-то админу как бы пофиг. Он может любую версию накатить. Но
> дело в том, что в дистрибутивах как правило обновляется все вместе.
> И что прикажете делать админу, когда разработчики написали прогу работающую только
> под каким-нибудь jdk 7 которому в свою очередь нужна древняя версия
> libc? Пересобрать все старые версии пакетов? Запихать все это в докер?
> А если там ПО нужен прямой доступ к специфическому оборудованию? Кроме
> того здесь речь идет о кластерах, а значит возможно используется оборудование
> к которому идут закрытые драйверы собранные под строго определенную версию ядра.Что за бред? 1) Обратная совместимость слышал?
>которому идут закрытые драйверы собранные
Чито?
1. Как это относится к проприетарному драйверу оборудования? Вы уверены, что можно взять блоб для ядра 3.2 и нормально использовать с более новым ядром?
2. Хваленая обратная совместимость работает слабо, если "ой мы не тестировали свою прогу с java 8 потому, проверим версию и остановимся если версия не подходит". Особенно часто наблюдалось еще совсем недавно в половине java-клиентов российских банков. Притом доходило до смешного - если клиентов несколько и каждому нужна своя минорная версия. Пример с java конечно преувеличение, но довольно часто встречается в "суровом энтырпрайзе".
>java-клиентов российских банковДа на кластерах клиенты российских банков) Представь себе можено на одном хосте иметь хреново тучу java машин.
Да lxd и kvm и тп не кто не отменял, если там уж критерий.
На одном localhost'е. Можно иметь сколько угодно и какого угодно ПО. На суперкомпьютерах думаю вряд ли. Скорее всего как писали выше собирал его и устанавливал систему подрядчик по одноразовому договору. На обслуживание либо закончился договор либо забили, а может и поставщика ПО уже нет. Я сомневаюсь, что суперкомпьютеры прям из публичных репозитариев debian или какого другого linux обновляются. Я также сомневаюсь, что там generic-ядра стоят. Также сомневаюсь, что у админа в инструкциях есть что-то вроде. Раз в месяц собираешь кастомное ядро проверяешь работоспособность и портируешь драйверы оборудования по необходимости.
> Также сомневаюсь, что у админа в инструкциях есть что-то вроде. Раз в месяц собираешь кастомное
> ядро проверяешь работоспособностьна запасном кластере в шкафу, угу.
А на практике это будет выглядеть как-то так: "рассылаешь анонсы по списку неизвестно откуда взять, что предстоит апгрейд в такое-то время. Выслушиваешь ответы что ты козел, и что там эксперимент на миллиарды нефти. Ждешь конца рассчета, недели две. Снова рассылаешь, ждешь другой эксперимент. Ночью в пятнадцатиминутное окно лихорадочно апгрейдишься, стараясь не развалить все к хренам (отдельная интересная темка, впрочем, это вычислительные кластеры, они если развалятся, перезапустишь, это тебе не гластер) и гоняешь тесты до утра. Утром не менее суматошно даунгрейдишься, потому что что-то пошло не так. Пол-дня отвечаешь на вопли что ты обрушил эксперименты на миллиард нефти от м-ков умудрившихся не попасть в списки, но где-то выклянчить логин через третьи руки."
Повторять все заново до посинения. Или забить - подумаешь, майнит...
Зарплату за это не урежут, в отличие от предыдущего б-ского цирка.
в нормальных конторах которые с кучей нефти работают.. там maintaince window на 2-3 дня.
Ибо старт большой дисковой полки - это около тех же 10 минут (ну долго диски раскручиваются.. долго 5U84).
Ну и нужно проверить все хорошо.Правда это не в россии.
Полок-то обычно не одна.
А вот запасной суперкомпьютер целиком - вряд ли даже и в нероссии позволить себе могут.Поэтому окно будет определяться не тем, сколько тебе хочется повозиться и еще разок все перепроверить, а тем, сколько времени все перетопчутся, пока ты там копаешься. С косым взглядом в твою сторону "а может ну твою безопасность нахрен?".
Вот в результате я вчерась проморгал очередной апгрейд - к счастью, там эксплойта в пабли вроде не выкладывали. А то какие китаезы у нас лазят - я вряд ли даже и в курсе.
конечно не одна. И не один десяток. Максим который видел что-то в районе 700-800 полок в одном сторадже.
> А вот запасной суперкомпьютер целиком - вряд ли даже и в нероссии позволить себе могут.нет никакого запасного суперкомпьютера. есть запасные блейды и все это ... объединено через какой-то интерконнект.
толи IB толи Eth толи GNI.и стопка блейдов для запускалки - slurm и тп.. вот и весь ваш кластер.
> нет никакого запасного суперкомпьютера. есть запасные блейды и все это ... объединено через
> какой-то интерконнект.прикол именно в этом. У меня, к примеру, запасная схд физически отдельная - поэтому даже если целиком отъедет при неудачном эксперименте, будет небольшой такой п-ц, а не полный.
Голов у каждой тоже не одна, и есть некоторое представление о том, чего можно с ними делать, а чего нельзя (некоторые вещи таки нельзя или, скажем так - не рекомендуется, могут отп...ть коллеги)Ну и, разумеется, на нее точно никто не будет накатывать новое ведро ради борьбы с неведомыми уязвимостями - ибо китайцы там не ходют.
А у тебя кластер всегда в работающем состоянии - то есть вряд ли хоть чем он отличается от дисковых кластеров, с которыми я уже изрядно подзатрахался, пытаясь выбрать ну хоть сколько нибудь рабочее при конечных затратах решение.
Область нерабочести - это именно реакция на кратковременные отказы части кластера и split-brain (к примеру, неудачный апгрейд, после которого тот внезапно разваливается на два - апгрейженный и не апгрейженный - в хорошем варианте ;-)
То есть я там никогда в жизни не рискну ничего апгрейдить, себе дороже.
> прикол именно в этом. У меня, к примеру, запасная схд физически отдельная - поэтому даже если целиком отъедет при неудачном эксперименте, будет небольшой такой п-ц, а не полный.ты хорошо представляешь "запасную" СХД на 20-50 P?... я вот с трудом :)
Даже учитывая что на дисковой полке сейчас можно собрать 1P (с 14Т дисками).Раньше на 2Т дисках было еще веселее.
> А у тебя кластер всегда в работающем состоянии - то есть вряд ли хоть чем он отличается от дисковых кластеров, с которыми я уже изрядно подзатрахался, пытаясь выбрать ну хоть сколько нибудь рабочее при конечных затратах решение.
в рабочем. В люстре используется механизм похожий на journal=data из ext4.
В 95-99% случаев это гарантирует что данные будут валидны после сбоя.Ну а что-то бы глюков на update не было - можно сходить и взять достаточно тестированую люстру - https://github.com/Cray/lustre, не идеал - но такие ошибки проверяются и перероверяются.
В сказку попал? Обычно накодят так что совместимость не каждый раз прокатит. Через два года питонистам будешь это рассказывать когда двойку похоронят. Сейчас уже модули берёшь в питоне и они не работают, а разработчик уже положил на это всё.
> дело в том, что в дистрибутивах как правило обновляется все вместе.
> И что прикажете делать админу, когда разработчики написали прогу работающую только
> под каким-нибудь jdk 7 которому в свою очередь нужна древняя версия
> libc? Пересобрать все старые версии пакетов? Запихать все это в докер?использовать nix
SSI сластер в Линукс закончился еще в версиях 2.*, так что 3.* для кластера еще вполне свежо.
> 3.16 ядро?? серьёзно???представь серозные дяди используют и поддерживают это ядро в продакшене, а школьники не могут даже обновить кластер)
> представь серозные дяди используют и поддерживают это ядро в продакшенеЭтим «серозным дядям» лучше поискать другие точки приложения своих сил. Улицы там поубирать, или грузчиком в Ашан.
>> эксплуатировали уязвимость CVE-2019-15666 в ядре Linux
> 3.16 ядро?? серьёзно???А что не так? Старенькое?
>>> эксплуатировали уязвимость CVE-2019-15666 в ядре Linux
>> 3.16 ядро?? серьёзно???
> А что не так? Старенькое?древненькое, одобренное кроманьонцами
Поясни пожалуйста, у ваших это болезнь такая или образ мышления уже? Почему у вас байты протухают?
> Поясни пожалуйста, у ваших это болезнь такая или образ мышления уже? Почему
> у вас байты протухают?байты не протухают, но тайные дырочки в них со временем становятся известны слишком многим, эти дырочки требуется заделывать
>> Поясни пожалуйста, у ваших это болезнь такая или образ мышления уже? Почему
>> у вас байты протухают?
> байты не протухают, но тайные дырочки в них со временем становятся известны
> слишком многим, эти дырочки требуется заделыватьТак почему же не заделывают дыры? Почему кластер торчит сетью незнамо куда? Вопросы, конечно, риторические...
>>> Поясни пожалуйста, у ваших это болезнь такая или образ мышления уже? Почему
>>> у вас байты протухают?
>> байты не протухают, но тайные дырочки в них со временем становятся известны
>> слишком многим, эти дырочки требуется заделывать
> Так почему же не заделывают дыры? Почему кластер торчит сетью незнамо куда?
> Вопросы, конечно, риторические...ответ во второй половине
https://www.opennet.ru/openforum/vsluhforumID3/120660.html#44
Так это ж заделывать надо. А можно просто шлёпать новые ядра по расписанию, получая деньги за пресловутое внедрение инноваций, и делать вид, что дыры заделываются и баги исправляются. Хомяки с удовольствием схарчат этот кисель. Их даже 12309 не останавливает, хотя поставщика любой другой ОС сожрали бы за такое без соли. Зато можно хвастать, что на суперкомпьютерах -- линукс! Хотя линукс там только из-за бесплатности и как пускалка для специлизированного софта. Секта и в Африке секта.
>> Так почему же не заделывают дыры?Думаю, что дело совсем не в этом. Дыры то как раз заделывают. На всякий случай поясняю:
Факт номер 1: был взломан научный кластер archer, вот о нем подробнее (http://www.archer.ac.uk/documentation/best-practice-guide/ar...).
Факт номер 2: на этом кластере используется ОС, производная от SUSE. Это ОС линукс, разработчиком которой заявлена компанией Cray, по факту Cray принадлежит HP: (https://pubs.cray.com/content/S-2393/CLE%205.2.UP03/cle...).
Факт номер 3: дата публикации информации об уязвимости - 27 августа 2019 года: (https://nvd.nist.gov/vuln/detail/CVE-2019-15666).
Факт номер 4: компания SUSE выпустила обновление ядра для всех основных версий своей ОС с устранением уязвимости 24 сентября 2019 года (https://lists.opensuse.org/opensuse-security-announce/2019-0...).
Факт номер 5: Не во всех версиях SUSE Linux ядро подвержено этой уязвимости. О чем заявлено тут: https://www.suse.com/security/cve/CVE-2019-15666/
Так вот - дыру заделали (за месяц примерно), и продолжают занимаются дальнейшим анализом.
Скорее всего причина в том, что это конкретные админы на конкретном кластере по каким-то соображениям (или просто от лени\головотяпства) вовремя не накатили апдейт(ы) для устранения уязвимости и\или не предприняли иных мер для нейтрализации её.
На сколько я понимаю, у них была масса возможностей и времени или обновиться или хотя бы как-то получше настроить параметры для повышения безопасности.
//оффтоп> а город подумал "ученья идут"
вот так была отбита очередная попытка ZOG получить 51% майнинг-пула
ZOG и так практически официально контролирует все суперкомпьютеры, зачем им взламывать своё же?
Так мы и майнинг-пулы контролируем.Как зачем? Ради торжества зла, разумеется!
Вывceврeти, линупc неуязвим потому что пишут его не корпорасты за зарплату, а сообщество just for lulz! Миллиарды крacных глаз каждую строчку кода проверяют по графику 24/7 и баги вместе с закладками фиксят ещё до их появления.
Мда, желающих срубить баблишка на чрезвычайной ситуации не убывает."из Краковского университета (Польша)"
Краковского педагогического, судя по ссылке.
Зачем педагогам суперкомпьютер?
дык, вот же ж - немножко помайнили, а то зарплаты не хватает даже на еду.Конечно-конечно, у меня угнали учетку, как же ж иначе.
> Зачем педагогам суперкомпьютер?Ну, вероятно, тоже науку делают.
*аплодисменты*
Ну хоть что-то полезное на кластерах посчитали :)
А говорят для линукса нет вирусов
Это не вирус, а направленый паразитизм.
ну да, а вирусы-то ненаправленные, они самозарождаются из грязного белья и крупы?Как там у вас, в XIII веке - с чумой еще не познакомились? Ничего, скоро-скоро.
>ну да, а вирусы-то ненаправленныеИменно так.
>ну да, а вирусы-то ненаправленныеЧума никакого отношения к вирусам не имеет.
С какой стати вход под реальной учетной записью и запуск формально легитимной задачи Вы называете вирусом?
почему Monero вообще чего-то стоит? Откуда у них берется какая-то цена, за которую её можно продать...
Ну типа - обеспечивается всем достоянием мафии - наркотики, оружие, малолетние шлюхи, поддельные документы.Откуда вот у ржубля цена, за которую я щас две бутылки купил, если его продать даже как вторсырье нельзя - биологическая опасность пятой степени?
> Ну типа - обеспечивается всем достоянием мафии - наркотики, оружие, малолетние шлюхи,
> поддельные документы.
> Откуда вот у ржубля цена, за которую я щас две бутылки купил,
> если его продать даже как вторсырье нельзя - биологическая опасность пятой
> степени?Тобой в том числе и обеспечивается. Трудом твоим.
> Тобой в том числе и обеспечивается. Трудом твоим.моим - только пока меняется на баксы. Потому что топить печку биологическими отходами пятой степени стремно, а больше ничего за ржубли не продается на самом-то деле.
Поскольку ничего за них и не производится.
(бутылки-то тоже с испанской бормотухой, а не крысчанского бодяженья молдавским компотом, я с него блюю)
А вот мафиозям доллары показались неудобно - меченные подбросить норовят, передавать стремно а удобные пути передачи все контролируются и т д. Поэтому там цифровой мусор пришелся очень даже ко двору. Удовлетворяет всем требованиям "настоящих денег" - вычурное, трудно подделать, сложно найти на халяву (взлом серверов это не халява и доступно немногим), количество в обороте ограничено но велико.
И пока их охотно меняют на то достояние - вполне имеют цену.
нологи плоти!?
дык, некто Аль Капоне за это и подсел чука.
> Ну типа - обеспечивается всем достоянием мафии - наркотики, оружие, малолетние шлюхи,
> поддельные документы.
> Откуда вот у ржубля цена, за которую я щас две бутылки купил,
> если его продать даже как вторсырье нельзя - биологическая опасность пятой
> степени?Билет банка по сути долговая расписка.
> Билет банка по сути долговая расписка.Проснись, золотой эквивалент давно отменен!
Теперь совершенно непонятно, что же он мне на самом деле должен.И получить этот "долг" с него - нельзя никак. Только поменять одну резанную бумагу на другую.
Ну вот бесполезные цифирки - точно так же меняются на резанную бумагу и обратно. А криминал обеспечивает ликвидность и постоянный спрос.
>> Билет банка по сути долговая расписка.
> Проснись, золотой эквивалент давно отменен!
> Теперь совершенно непонятно, что же он мне на самом деле должен.
> И получить этот "долг" с него - нельзя никак. Только поменять одну
> резанную бумагу на другую.
> Ну вот бесполезные цифирки - точно так же меняются на резанную бумагу
> и обратно. А криминал обеспечивает ликвидность и постоянный спрос.А причем тут золото? Это именно расписка, прям такая, какую жидобольшевики выдавали экспропреируемым взамен последней коровки. И суть доллара США та же. Вообще это все отдельная большая тема.
> Это именно расписка, прям такая, какую жидобольшевики выдавали экспропреируемым взамен последней
> коровкине, не такая - ту только как образец почерка товагища можно было потом выгодно перепродать музею его имени, а так - цена ей - бумага. Годится для растопки, но не для обмена на бухло и жратву.
А зеленые бумажки, не смотря на отмену статуса долговой расписки, которую таки можно было при желании вручить обратно, имеют вполне себе стабильное хождение.
Хде-то в твоей политекономии проляп-с.
При этом с ненужно-цифирками ситуация ровно та же. Пока мафия не найдет более надежные способы - им ничто не угрожает. Но пока они вроде всем довольны, и благодарят мистера Сатоши в вечерних молитвах за подгон.
>> Это именно расписка, прям такая, какую жидобольшевики выдавали экспропреируемым взамен последней
>> коровки
> не, не такая - ту только как образец почерка товагища можно было
> потом выгодно перепродать музею его имени, а так - цена ей
> - бумага. Годится для растопки, но не для обмена на бухло
> и жратву.
> А зеленые бумажки, несмотря на отмену статуса долговой расписки, которую таки
> можно было при желании вручить обратно, имеют вполне себе стабильное хождение.
> Хде-то в твоей политекономии проляп-с.
> При этом с ненужно-цифирками ситуация ровно та же. Пока мафия не найдет
> более надежные способы - им ничто не угрожает. Но пока они
> вроде всем довольны, и благодарят мистера Сатоши в вечерних молитвах за
> подгон.Разница только в том, что зелёную обеспечивает государство с промышленностью и ВПК, а ту "красный коммандир" и местная ячейка. Командира могут внезапно грохнуться а ячейку ликвидировать. И останется чел с бумажкой, которой или зад вытереть или махорки завернуть цена.
> Разница только в том, что зелёную обеспечивает государство с промышленностью и ВПК,
> а ту "красный коммандир" и местная ячейка. Командира могут внезапно грохнутьсятак тоже ж не один и не одна. Там тоже своя промышленность, а может даже и ВПК ("люди говорят, у вас танк есть?!")
В этом и прорывные технологии - монерки доступны всем, у кого есть хотя бы плохонькая мобила. Включая и герильерос, мужественно растящих кусты коки на погибель мировому империализму высоко в Андах, и школоло Васю, покупающего себе штыриво на Гидре, хотя он где те Анды на географии показать и не смог, да и не надо ему - у него карманных денег только на химию хватило.
>> Разница только в том, что зелёную обеспечивает государство с промышленностью и ВПК,
>> а ту "красный коммандир" и местная ячейка. Командира могут внезапно грохнуться
> так тоже ж не один и не одна. Там тоже своя промышленность,
> а может даже и ВПК ("люди говорят, у вас танк есть?!")
> В этом и прорывные технологии - монерки доступны всем, у кого есть
> хотя бы плохонькая мобила. Включая и герильерос, мужественно растящих кусты коки
> на погибель мировому империализму высоко в Андах, и школоло Васю, покупающего
> себе штыриво на Гидре, хотя он где те Анды на географии
> показать и не смог, да и не надо ему - у
> него карманных денег только на химию хватилоСерьезное впк мафия не потянет, паразит же. Бонбу может запилить любознательный школьник-кун, я гарантирую это! Ключевая проблема у него будет с надёжным детонатором. Глупый школьник начнет мешать пергидроль и ацетон...и будет как в Самаре в середине нулевых. В автобусе.
> Серьезное впк мафия не потянет, паразит же.не паразит, а "государство в государстве" же!
(крестьянин, растящий ту коку - я бы вот поспорил, кого большими-то паразитами считает)Подводные лодки вон - строят! Ну да, из скотча и клея, а не ядерные, пока. Но те что не тонут прямо сразу - ухитряются уйти от сонаров американской береговой охраны, это тебе не хрен собачий.
Действительно - ну кому нужна в принципе не отслеживаемая валюта...
> Действительно - ну кому нужна в принципе не отслеживаемая валюта...Вообще-то, безумный Алексей, криптовалюты прекрасно отслеживаются. Их юзерам даже меры против этого принимать приходится .
>> Действительно - ну кому нужна в принципе не отслеживаемая валюта...
> Вообще-то, безумный Алексей, криптовалюты прекрасно отслеживаются. Их юзерам даже меры
> против этого принимать приходится .криптовалюты есть разных типов, есть и принципиально неотслеживыемые
>>> Действительно - ну кому нужна в принципе не отслеживаемая валюта...
>> Вообще-то, безумный Алексей, криптовалюты прекрасно отслеживаются. Их юзерам даже меры
>> против этого принимать приходится .
> криптовалюты есть разных типов, есть и принципиально неотслеживыемыеИх через вэбастрал.ком передают? Пруф, если не сложно.
"Просто" куча криптографии и миксер, встроенный в базовый протокол - есть математические пруфы, что в транзакцию фошло столько же монет, сколько и вышло, но без владения приватным ключом даже сумма каждого отдельного выхода не видна. На самом деле нифига не просто, я в этой математике не готов разбираться совершенно. Но есть конесенсус, что отследить монеру практически нереально. Если есть желание копаться - начинайте с википедии - https://en.wikipedia.org/wiki/Monero_(cryptocurrency)
> ...я в этой математике не готов разбираться совершенно. Но есть конесенсус, что отследить монеру практически нереальноСоздание такого консенсуса и было одной из основных целей использования уровня математической сложности, недоступного большинству потенциальных пользователей данной криптовалюты.
>>>> Действительно - ну кому нужна в принципе не отслеживаемая валюта...
>>> Вообще-то, безумный Алексей, криптовалюты прекрасно отслеживаются. Их юзерам даже меры
>>> против этого принимать приходится .
>> криптовалюты есть разных типов, есть и принципиально неотслеживыемые
> Их через вэбастрал.ком передают? Пруф, если не сложно.https://www.opennet.ru/opennews/art.shtml?num=52655
GNU Taler ... Особенностью системы является то, что покупателям предоставляется анонимность, но продавцы не являются анонимными для обеспечения прозрачности предоставления налоговой отчётности, т.е. система не позволяет отследить информацию о том, куда пользователь тратит деньги, но предоставляет средства для отслеживания поступления средств (отправитель остаётся анонимным), что решает свойственные BitCoin проблемы с налоговым аудитом.
>[оверквотинг удален]
>>>> Вообще-то, безумный Алексей, криптовалюты прекрасно отслеживаются. Их юзерам даже меры
>>>> против этого принимать приходится .
>>> криптовалюты есть разных типов, есть и принципиально неотслеживыемые
>> Их через вэбастрал.ком передают? Пруф, если не сложно.
> https://www.opennet.ru/opennews/art.shtml?num=52655
> GNU Taler ... Особенностью системы является то, что покупателям предоставляется анонимность,
> но продавцы не являются анонимными для обеспечения прозрачности предоставления налоговой
> отчётности, т.е. система не позволяет отследить информацию о том, куда пользователь
> тратит деньги, но предоставляет средства для отслеживания поступления средств (отправитель
> остаётся анонимным), что решает свойственные BitCoin проблемы с налоговым аудитом.Достаточно отследить, что чел вообще тратит.
>[оверквотинг удален]
>>>>> против этого принимать приходится .
>>>> криптовалюты есть разных типов, есть и принципиально неотслеживыемые
>>> Их через вэбастрал.ком передают? Пруф, если не сложно.
>> https://www.opennet.ru/opennews/art.shtml?num=52655
>> GNU Taler ... Особенностью системы является то, что покупателям предоставляется анонимность,
>> но продавцы не являются анонимными для обеспечения прозрачности предоставления налоговой
>> отчётности, т.е. система не позволяет отследить информацию о том, куда пользователь
>> тратит деньги, но предоставляет средства для отслеживания поступления средств (отправитель
>> остаётся анонимным), что решает свойственные BitCoin проблемы с налоговым аудитом.
> Достаточно отследить, что чел вообще тратит.и что же это даст?
и как отследить то?
Ты вообще в реальный мир приземлять эти деньги будешь? Или так виртуальные фантики туда-сюда до конца времен будешь гонять? Через несколько лет ФНС соберет свою база по всем гражданам. Да, покупка спичечного коробка наверное мимо них пролетит. А остальное ты как получать будешь в реале?
> Ты вообще в реальный мир приземлять эти деньги будешь? Или так виртуальные
> фантики туда-сюда до конца времен будешь гонять? Через несколько лет ФНС
> соберет свою база по всем гражданам. Да, покупка спичечного коробка наверное
> мимо них пролетит. А остальное ты как получать будешь в реале?да нормально всё будет
платишь койнами чувакам, которые делают бомжу наследство, бомж оказывается твоим дядей, после чего спивается на радостях
и ты становишься наследником миллиардовзы: как будто лоббисты и взяточники деньги в реальный мир не приземляют, разница то в чём?
Ну, удачи. Недавно принудили банковские системы некоторых стран раскрывать данные о вкладчиках. И по пути наплевали на закон о тайне. Только очень, очень большие деньги не тронули. Тебе с твоими копейками койновскими ничего не светит. Ну кроме судьбы бомжа, когда государство у тебя всё изымет и штрафы кинет.
> Ну, удачи. Недавно принудили банковские системы некоторых стран раскрывать данные о вкладчиках._некоторых_ стран, _некоторые_ данные - и там тоже заплати и спи спокойно.
> И по пути наплевали на закон о тайне. Только очень, очень
> большие деньги не тронули. Тебе с твоими копейками койновскими ничего нену ок, бумажные деньги-то уже запретили или нет, я не пойму?
Копейки будешь получать тем же способом что и товар - ты мне xxx xmr, я тебе - gps координаты где и на какую глубину копать. Ты мне отзыв - "песок копать было легко, деньги бумажками не больше $20, как договаривались, упакованы хорошо, дождь не промочит, сумма сошлась, в качестве бонуса положили марку, прод...э...банкира - рекомендую, только теперь из леса выбраться не могу - марка еще действует".
Обратный обмен, разумеется, тоже возможен.
Отслеживаются наиболее популярные, тот же биткоин. Monero из числа приватных, наиболее популярная из приватных, благодаря чему обрела популярность в даркнете. Еще из приватных даже с более сильным решением проблемы отслеживания - Zcash. По технологиям вопрос приватности в криптовалютах уже решен, можно сказать. Сложность в основном в интеграции в существующие популярные валюты.
> почему Monero вообще чего-то стоит? Откуда у них берется какая-то цена, за
> которую её можно продать...Тебя не удивляет, почему редкая почтовая марка может стоить кучу денег?
Потому, что игроки так решили, бро.
Криптовалюта Monero должена быть объявлена в не закона и запрещена к использованию.
> Криптовалюта Monero должена быть объявлена в не закона и запрещена к использованию.Обяви. Запрети.
Чо, ручки коротки? ;-)
госнаркоконтроль и росгвардия запретили. так что теперь только и остается что плотить нологи.
> госнаркоконтроль и росгвардия запретили. так что теперь только и остается что плотить
> нологи.Ну плати на здоровье. А я пока воздержусь.
Нацгвардия не нужна. На редкость бессмысленная структура.
лол, запрещалка еще не выросла!
>системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерахну и? (с)
дали клушам ПОРОЛЬ а клуши его про***ли. в чем взлом-то? взлом клуш? в чем новость тогда?
>>системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерах
> ну и? (с)
> дали клушам ПОРОЛЬ а клуши его про***ли. в чем взлом-то? взлом клуш?
> в чем новость тогда?ну во-первых - мы узнали, что это не взлом линукса, а взлом клуш - об этом и новость
и всё равно даже тут в комментах понабежали с воплями "ваш опенсорс - решето"а во-вторых - мы узнали (в комментах) о дичайшем положении на кластерах с обновлениями систем и отсутствии разделения "кластерной ОСь" по административным и вычислительным нодам, об отсутствии OTP, и об отсутствии "слоя апи для транспортировки кластерных задач от ставящего к вычислительной ноде без возможности запуска где либо ещё" - в AWS, наверно, животики порвали от смеха
К чему лежат следующие предпосылки
1) Ибо предполагается , что кластер в DMZ,а мы верим сотрудникам(Если мы не верим сотрудникам с кластером, значит мы не верим и в результатах исследований, далее открываются бездны, которых никто не хочет открывать).
2)Если по обновлении ядра кластер начнет работать на 2% медленнее , сисадмину прилетает реквест "откати обратно" от непосредственного начальства.
3) Фаталистическом предположеннии "Все равно взломают через spectre" и см п2
> К чему лежат следующие предпосылки
> 1) Ибо предполагается , что кластер в DMZ,а мы верим сотрудникам(Если мы
> не верим сотрудникам с кластером, значит мы не верим и в
> результатах исследований, далее открываются бездны, которых никто не хочет открывать).
> 3) Фаталистическом предположеннии "Все равно взломают через spectre" и см п2смысл в том, что сотрудники понимают в моделировании гидросферы, а не в сохранности паролей
и потому нам надо пропихивать прогу по расчёту гидросферы на "железную виртуалку" (выч-ноду), а админ-нода имеет один порт на вход - строго для получения той проги и отдачи результата
и никакого ссш никудазы: и otp во все поля
Это не поможет. Условно говоря, от пользователя на исполнение приходит произвольный бинарник, который имеет возможность как минимум читать/писать в некую директорию/шару у которой полный доступ чтение/запись. Далее у пользователя на админ ноде полный комплект инструментов разработки. Те, сделать так, чтобы модель считывала допустим раз в секунду данные из некоего файла, бросала их командой в консоль и выдавала результат в другой файл - пара пустяков. И все это транслировалось утилиткой с админ ноды туда куда надо .Вот вам ssh на коленке.
> Условно говоря, от пользователя на исполнение приходит произвольный бинарник,
> который имеет возможность как минимум читать/писать в некую директорию/шару у
> которой полный доступ чтение/запись.пусть пишет и читает - на своей личной железной виртуалке == выч-ноде (на куче оных, выделенных под задачу345) и в шареную для расчётов бд/фс с правами "задача345"
> Далее у пользователя на админ ноде полный
> комплект инструментов разработки.так быть не должно
я дёргаю апи опеннета "записать строчку в базу комментов" - мне никто для этого права на админку не даётзы: более того - админ-нода вообще не обязана работать быстро и может быть на любом дистрибутиве и любом стандартном железе с распаследними патчами
(нода собирания результатов после задачи - это не админская нода, а ещё одна вычнода, с прогой задача345_резалт, и она будет делать это быстро, а потом медленно через шаренную бд/фс результат пойдёт наружу)так можно майнить койны, но нельзя заразить кластер (только до сброса задачи345 и блока учётки учёного345)
>так быть не должноВ ваших фантазиях. На деле ,обычно выглядит так: пользователь подключился к admin node по ssh ,поправил исходники модели , скомпилировал. Скачал данные с n-того ftp шника, написал скрипт преобразующий их в исходный формат модели, прогнал скрипт, поставил на счет. Когда посчиталось, подключился сукин сын под vnc, запустил matlab и давай анализировать , что,там, понасчиталось. Попытки давления сисадмина, кончаются служебными записками "госсзадание в опасносте", "требуем восстановить доступ или лицензионный матлаб на свой компьютер" итд итп.
Обычно админа-фашиста уедают административными методами ....(многие кстати и не сопротивляются, из расчета что "а вот мне приказали доступ к сети открыть, а вот тут полный набор компилляторов, черта лысого собрать можно " прикроет их ... при взломе. Симбииоз-с)
>>системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерах
> ну и? (с)
> дали клушам ПОРОЛЬ а клуши его про***ли. в чем взлом-то? взлом клуш?
> в чем новость тогда?Продолжай утешать себя.
Суть в том, что пишут такие же, как и обминят(
>>системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерах
> ну и? (с)
> дали клушам ПОРОЛЬ а клуши его про***ли. в чем взлом-то? взлом клуш?
> в чем новость тогда?Да успокойтесь, небыло никакого взлома: "просто показалось!..."
Вот уровень обминов современного тырпрайза! Даже ввсян-локвлхостер не смог бы так обгадиться! Подозреваю после локализации проблемы там ещё трояны останутся, обменечраторы Линукс х.. их когда найдут с такой-то компетенцией!
> Вот уровень обминов современного тырпрайза! Даже ввсян-локвлхостер не смог бы так обгадиться!
> Подозреваю после локализации проблемы там ещё трояны останутся, обменечраторы Линукс х..
> их когда найдут с такой-то компетенцией!увы, эти кластеры - не энтерпрайз
тут вот во второй части сообщения норм написано
https://www.opennet.ru/openforum/vsluhforumID3/120660.html#44
В уважающем себя ынтерпрайзе держат на зарплате лучших из последних из вымирающего вида (админов) и не светят в интернет интранетом.А суперкомпьютеры -- это проходной двор и продажа вычислительного ресурса за деньги. Компьютеры с пониженной социальной ответственностью: кто заплатил, тому и сос*т^W (запрещённое на опеннетен слово) считает. Не удивительно, что там линукс.
> В уважающем себя ынтерпрайзе держат на зарплате лучших из последних из вымирающего вида
> (админов) и не светят в интернет интранетом.ну так, "не светят"... разработкой-то кто для того ынтыр-прайса заниматься будет - лучший админ? Отож.
И заводятся у тебя всякие стремные аутсорсеры с дырками глубоко внутрь периметра и странными требованиями к операционным системам и сети. И в общем-то тоже только сидеть и молиться, больше ничего сделать даже самый лучший админ не может. (А соответственно, лучший там и работать не хочет, работают лучшие из худших.)А с суперкомпьютерами еще хуже, да, потому что с ними работают непрофессионалы, и пароль реально даже не на бумажке к монитору, а в файлике прямо на десктопе хранят, да еще и пересылают коллегам - "на, попользуйся, пока я в отпуске". А сколько там у того китаезы коллег - хорошо если тысячи.
Оно ж МАТЕМАТИК или, там, молекулярный генетик, даже не программист профессиональный.
Знает scala, и еще много страшных слов. Пароль запомнить хронически не может, голова другим занята.> А суперкомпьютеры -- это проходной двор и продажа вычислительного ресурса за деньги.
это ноучные прежде всего компьютеры - поэтому даже не всегда за деньги, иногда просто любофф у них такая с китайцами или, того хуже, русскими.
За электричество платит универ какой-нибудь.
А ещё есть ЦЕРНовный GREED, который очень омдно и интернационально, но платим из своих бюджэдов. И за железо, и за обслугу, и прочее-прочее.
Там всё шито-крыто, сертификаты, аутентификация, контроль и чуть ли не свои IP-диапазоны. Врак нипрайдёт!
Мораль? Морали нет. Всё это исключительно аморально )
Суперкомпьютеры к интернету вообще не должны подключаться.
> Суперкомпьютеры к интернету вообще не должны подключаться.угу, данные к ним подвозить на перфокартах, а получать результат - на перфолентах.
Зачем перфоленты? Внешние жёсткие диски.
И как эти внешние жёсткие диски доставлять? По почте? Или сотрудника из лаборатории отряжать, чтобы он их отвёз, а потом привёз обратно? Да и где гарантия, что на этом внешнем жёстком диске не будет майнера?
Через интернет в здание суперкомпьютерного центра.
> Через интернет в здание суперкомпьютерного центра.Дык кто будет проверять данные? Если не будет проверок, то это просто более меееедленный и более дорогой канал связи. Проще подключить к интернету и воткнуть искусственные задержки в 24 часа, на передачу данных.
Проверять на что? На вредоносные исполняемые файлы?
> Проверять на что? На вредоносные исполняемые файлы?Не только, ещё на вредоносные включения во невредоносные исполняемые файлы. На вредоносные скрипты. На специально-сформированные данные, эксплуатирующие дыры в невредоносных исполняемых файлах. Ну и так далее.
>> Проверять на что? На вредоносные исполняемые файлы?
> Не только, ещё на вредоносные включения во невредоносные исполняемые файлы. На вредоносные
> скрипты. На специально-сформированные данные, эксплуатирующие дыры в невредоносных исполняемых
> файлах. Ну и так далее.csv in, csv out, делов то
а что там происходит на ПРАВИЛЬНОЙ вычноде - всем пофиг, некстзадача запускается после ребута с образа
ну если ток биос перепрошьют....
>>> Проверять на что? На вредоносные исполняемые файлы?
>> Не только, ещё на вредоносные включения во невредоносные исполняемые файлы. На вредоносные
>> скрипты. На специально-сформированные данные, эксплуатирующие дыры в невредоносных исполняемых
>> файлах. Ну и так далее.
> csv in, csv out, делов то
> а что там происходит на ПРАВИЛЬНОЙ вычноде - всем пофиг, некстзадача запускается
> после ребута с образаУгу, а образы откуда? Датацентр за учёных софт пишет и собирает его в образы?
>>>> Проверять на что? На вредоносные исполняемые файлы?
>>> Не только, ещё на вредоносные включения во невредоносные исполняемые файлы. На вредоносные
>>> скрипты. На специально-сформированные данные, эксплуатирующие дыры в невредоносных исполняемых
>>> файлах. Ну и так далее.
>> csv in, csv out, делов то
>> а что там происходит на ПРАВИЛЬНОЙ вычноде - всем пофиг, некстзадача запускается
>> после ребута с образа
> Угу, а образы откуда? Датацентр за учёных софт пишет и собирает его
> в образы?по идее от суппортеров кластера, ну или от государства, если кластер государственный, но судя по написаному в этой теме - никаких образов нет и не будет, чай не быдлоамазон, а высокая наука
> по идее от суппортеров кластера, ну или от государства, если кластер государственный,
> но судя по написаному в этой теме - никаких образов нет
> и не будет, чай не быдлоамазон, а высокая наукаНо учёные должны же как-то закидывать программы? Машинный код в cvs упаковывать?
>> по идее от суппортеров кластера, ну или от государства, если кластер государственный,
>> но судя по написаному в этой теме - никаких образов нет
>> и не будет, чай не быдлоамазон, а высокая наука
> Но учёные должны же как-то закидывать программы? Машинный код в cvs упаковывать?да, строчкой, чтоб никакие зип-бомбы или построители предпросмотров не самоуронились
а на выч-ноде тупо вынимается строчка и называется экзешникомзы: дженкинс вон ssh не раздаёт, а и из текстовиков (исходников) сделать программу может, и запустить, и логи отдаст
>>> по идее от суппортеров кластера, ну или от государства, если кластер государственный,
>>> но судя по написаному в этой теме - никаких образов нет
>>> и не будет, чай не быдлоамазон, а высокая наука
>> Но учёные должны же как-то закидывать программы? Машинный код в cvs упаковывать?
> да, строчкой, чтоб никакие зип-бомбы или построители предпросмотров не самоуронились
> а на выч-ноде тупо вынимается строчка и называется экзешником
> зы: дженкинс вон ssh не раздаёт, а и из текстовиков (исходников) сделать
> программу может, и запустить, и логи отдастВ исходник засунуть вредонос ещё проще чем в бинарь.
>>>> по идее от суппортеров кластера, ну или от государства, если кластер государственный,
>>>> но судя по написаному в этой теме - никаких образов нет
>>>> и не будет, чай не быдлоамазон, а высокая наука
>>> Но учёные должны же как-то закидывать программы? Машинный код в cvs упаковывать?
>> да, строчкой, чтоб никакие зип-бомбы или построители предпросмотров не самоуронились
>> а на выч-ноде тупо вынимается строчка и называется экзешником
>> зы: дженкинс вон ssh не раздаёт, а и из текстовиков (исходников) сделать
>> программу может, и запустить, и логи отдаст
> В исходник засунуть вредонос ещё проще чем в бинарь.весь вопрос в том, что будет доступно после заражения - одна выч-нода (с автоочисткой при ребуте) или весь кластер
а так никто не мешает учёным майнить койны, а погоду предсказывать по рандому
> а так никто не мешает учёным майнить койны, а погоду предсказывать по
> рандомуВ том то и дело, что не мешают, и если у учёного увели учётку, то... упс.
>> а так никто не мешает учёным майнить койны, а погоду предсказывать по
>> рандому
> В том то и дело, что не мешают, и если у учёного
> увели учётку, то... упс.но тогда не смогут увести кластер!
а тут увели кластер целиком
> но тогда не смогут увести кластер!смогут. Если я могу майнить койны - я и эксплойтик запустить могу. Хоть в csv его подсуну, хоть другим путем. А у тебя там уп-с- ведро с уязвимостью.
>> но тогда не смогут увести кластер!
> смогут. Если я могу майнить койны - я и эксплойтик запустить могу.
> Хоть в csv его подсуну, хоть другим путем. А у тебя
> там уп-с- ведро с уязвимостью.нет, на выходе с этой кластерной подсети (ну или всего кластера) - фаервол и только фс/база (где под задачу отдельный юзер)
соседние выч-ноды пускай ремотно взломал
ну ладно, фс/база тоже старые, ремотно взломал
но к загрузочным образам и админ-ноде доступ не получил, ибо они не прям в кластере, фарвол опять, и обновлены
но можно взять содержимое дата-нод в заложники и требовать выкуп, шифровальщики обзавидуются
дык, зачем? Денех с этих научников хрен получишь все равно.
Если у нас под контролем хотя бы часть вычислительных нод - все, профит вот он - майним и складываем... да хоть в базу с кодом вируса, легально нам из этой учетки доступную, хоть куда. Какой-то путь у результата вычислений (и скорее всего не только, модельки - их на ходу отлаживают, обычно, а не стопки перфокарт к воротам бесконтактно передают ;-) обратно к авторам есть - им и пользуемся.И чем дольше не спалимся - тем как раз лучше, поэтому - никаких деструктивных действий, шума и паники.
Пусть админы и дальше думают "почему это кластер стал медленнее? Кажись, после последнего апгрейда началось? Да, точно, до него такого не было - ну его нахрен новый апгрейд - еще хуже станет!"
тебе напомнить количество эксплойтов вида "попытался смонтировать чужую fs - заодно, внезапно, исполнил чужой код"?
Помимо возможности исполнить его еще и напрямую с контроллера того диска, впрочем, на фоне дыр в fs этим уже никто заниматься не будет. Тут у тебя кластер не то что майнить начнет, а еще и рассчитает методику производства ядерных боеголовок на коленке.А отключить автопробинг всего что тебе подсовывают - модные-современные-сцыстемдауны не могут, в принципе.
Напомни мне, требуется ли для майнинга постоянное подключение к интернету или можно подгружать блоки данных с внешних накопителей?
можно, это ж не транзакцию подтверждать. Во всяком случае, насколько я понимаю monero - там можно.
С типовым пулом работать ты так не сможешь, он, наверное, расстроится от того что его задания неделями игнорируют, но можно ж создать и нетиповой. А учитывая, что твои вычислительные ресурсы может на порядок превышают остальные - ты все равно успеешь наковырять монеток раньше других - просто не все они будут валидны (кто-то сп-л раньше).
А как я про это узнаю?
на следующем (ну не следующем, через один) диске приедет подтверждение от других участников, как еще.
А мне-то что? Я же вообще нахожусь не в Британии.
> А мне-то что? Я же вообще нахожусь не в Британии.а тебе ничего - знай обналичивай подтвердившиеся монетки, и на карточку православного сбера переводи - отлично работает и в Небритании, инфа 100%.
А как я эти монетки получу?
ну так диск-то ты обратно забирать будешь - а на нем вот он, кошелечек. Синхронизируешься, часть монеток тебе подтверждают (часть нашла какая-то тварь, пока ты диски туда-сюда возил), и делай с ними что хошь.По-моему, норм бизнес. Но нужно именно ломануть суперкомпьютер, майнить-то придется в одиночку, без помощи пула (точнее, он сам себе пул). С корпоративными кластерами не прокатит.
Тогда для загрузки данных вместо жёсткого диска я буду использовать DVD.
> Тогда для загрузки данных вместо жёсткого диска я буду использовать DVD.а в чем проблема подсунуть троянца на dvd? И точно так же выгружать то что он там наймайнил.
Ладно, пошел я обновлять системы, а то пришлют же "фоточку с места ДТП", а она заодно и помайнит что-нибудь. libjpeg, угу.
Куда выгружать? DVD после загрузки выкидываются в мусорный контейнер для пластмассы.
> Куда выгружать? DVD после загрузки выкидываются в мусорный контейнер для пластмассы.а для выгрузки результатов используется что? туда и выгружать койны
среди средней температуры воздуха над океаном на высоте минус семь метров
Монитор и принтер.
> Монитор и принтер.ты с этим монитором и принтером поедешь на ноучную конфу? или вручишь их политикам как подтверждение глобального потепления?
Напечатаю и отправлю статью на конференцию.
>> Суперкомпьютеры к интернету вообще не должны подключаться.
> угу, данные к ним подвозить на перфокартах, а получать результат - на
> перфолентах.Ты так говоришь, будто перфолента это что-то плохое :-)
>>> Суперкомпьютеры к интернету вообще не должны подключаться.
>> угу, данные к ним подвозить на перфокартах, а получать результат - на
>> перфолентах.
> Ты так говоришь, будто перфолента это что-то плохое :-)быстро, надежно, на века!
>>>> Суперкомпьютеры к интернету вообще не должны подключаться.
>>> угу, данные к ним подвозить на перфокартах, а получать результат - на
>>> перфолентах.
>> Ты так говоришь, будто перфолента это что-то плохое :-)
> быстро, надежно, на века!на века - это перфолента из жести?
Из фторопласта.
> Из фторопласта.Негодно. Он течет, как сучка, стоинт на пластинку полукубовый аквариум поставить.
> на века - это перфолента из жести?да простая бумага, типа, три столетия проверено сохраняется, а не эти вот ваши эсэсде. При том что читать с нее надо дырки, а не смывающиеся и выцветающие чернила.
И три с половиной тысячелетия - без гарантий восстановления, но частично сохраняется (египетские папирусы в общем-то - бумага)
Жесть, кстати, ржавеет даже под слоем лака/олова, так что ты неудачно выбрал материал.
Так тогда пергамент для перфокарт, перфолент.
> Так тогда пергамент для перфокарт, перфолент.Золотая/платиновая/палладиевая нить решает. Надёжней бумаги.химик-кун гарантирует!
>угу, данные к ним подвозить на перфокартах, а получать результат - на перфолентах.VPN на сервере не входящем в состав кластера, следовательно, имеющем актуальные обновления безопасности. А уж за ним кластер, а хождение по SSH внутри туннеля. Правда, от похищения ключей и пароля от учётки с компа клиета, всё равно, не гарантия. Но разрешать подключаться к туннелю только с доверенных, также изолированных научных сетей.
> Но разрешать подключаться к туннелю только с доверенных, также изолированных научных сетей.Ага, они так и делают - а потом "ребята, нам надо подвинуть вашу цельную аж /25 сеточку на соседний диапазон, мы этот блок отдаем - АААА, НЕТ, ВСЕ ПРОПАДЕТ, У НАС МИЛЛИОН ПОДПИСОК ЗА МИЛЛИОН ДЕНЕГ прибитый к этим адресам, и как поменять - никто не знает".
Потому что это институт нейрологии, а не админы.Я надеюсь, ты понимаешь, как "надежны" системы этого института (да что там - обычная винда на рабочем месте местного гениуса) напрямую подключенные к этим белым ip ?
А потом начинается - "китайцы виноваты". Ага, щас.
Ну те, на которых , засекреченные иранские физики моделируют термоядерную бомбу - таки да ...
А ежели на ем прогноз погоды моделируют -то приходится заливать данные наблюдений.
Так что там бывает наблюдается доступ к internet по по бедым спискам, и уж залить скачать файл возможность у пользователя есть всегда....
> А ежели на ем прогноз погоды моделируют -то приходится заливать данные наблюдений.о, а вот вам и метод синхронизации с пулами (там этих наблюдений столько, что и чейн-блоки спрячутся никто не найдет)
правда, на этом конкретно вроде не погоду а вирусы обслюнявливали, но тоже наверняка что-то с чем-то синхронизируют.
>> А ежели на ем прогноз погоды моделируют -то приходится заливать данные наблюдений.
> о, а вот вам и метод синхронизации с пулами (там этих наблюдений
> столько, что и чейн-блоки спрячутся никто не найдет)
> правда, на этом конкретно вроде не погоду а вирусы обслюнявливали, но тоже
> наверняка что-то с чем-то синхронизируют.Там этих наблюдений очень мало, постоянно данных не хватает, особенно из южного полушария и океанских просторов. Я не имею ввиду омнооюсины вродеяндекспогоды/гуглопогоды и прочей педерастии, которую следует запретить вообще везде. И термометры на улицах, которые хрен пойми что показывают следует убрать. Все эти понодавгородеопднейм задудосить, поломать и удалить, обминят расстрелять на 20 лет без права переписки.
Заливайте, через однонаправленную сеть.
>Ну те, на которых , засекреченные иранские физики моделируют термоядерную бомбу - таки да ...Да чё там иранские. В Саровском НИИЭФ трое сотрудников втихаря на тамошнем кластере майнили. Ничего не ломая, имели легальный доступ. Майоры их вычислили. Чуваков уволили и суд каждому присудил что-то over 400 тыр штрафа.
>>Ну те, на которых , засекреченные иранские физики моделируют термоядерную бомбу - таки да ...
> Да чё там иранские. В Саровском НИИЭФ трое сотрудников втихаря на тамошнем
> кластере майнили. Ничего не ломая, имели легальный доступ. Майоры их вычислили.
> Чуваков уволили и суд каждому присудил что-то over 400 тыр штрафа.Все правильно делали! Настоящие детки Чубайса и ко! Надеюсь намайнили больше суммы штрафа.
> Да чё там иранские. В Саровском НИИЭФ трое сотрудников втихаря на тамошнем
> кластере майнили. Ничего не ломая, имели легальный доступ. Майоры их вычислили.вот сволочи!
> Чуваков уволили и суд каждому присудил что-то over 400 тыр штрафа.
а все нажитое непосильным трудом - досталось майору.
Ну, в принципе, лошье, канешна, должно страдать. Не могли свалить на "китайских хакеров", как все.
>Шанхайского университета транспорта (Китай) и Китайской научной сетиВот вам и злоумышленники. Сами китайцам дали доступ, а теперь удивляются.
А я думаю, что это британцы.
Кластеры Marconi и Galileo в Италии (центр высокопроизводительных вычислений Cineca) тоже были затронуты (их нет в списке в статье). Вот такое сообщение прислали 15 мая (орфография сохранена):> Dear Users,
> Based on alert from PRACE community, CINECA verified that some usernames
> on Marconi and Galileo have been braked due to external unauthorized
> access. The activity performed by unauthorized users were linked to
> cryptomining. All systems are currently under recovery and we will soon
> bring them to full production.Marconi в TOP500 попадает...
Как я понимаю, затронуты только те кластеры, которые не используют мультифакторную аутентификацию. Молодцы, чо.