Új hozzászólás Aktív témák
-
cog777
senior tag
@Gargouille, @gbors:
Hat, ha allamilag tamogatott betoresek ellen akarjuk vedeni a szervert, akkor kokemenyen kell az OS-nek is tamogatni a vedelmet, inkabb hiszek egy Qubes szeru megoldasban mint egy szoftverben ami egy nagy kernelterben probalja megvedeni az osszes szolgaltatast.
Termeszetesen az atjarast biztositani kell, illetve a kommunikacio lassabb lesz, de a vedelem is jobb. Illetve 100%-os vedelem nincs, de legalabb ha egy szeletet torik, az nem jelenti azt hogy automatikusan mindenhez hozzafernek.
Lehetne pl monitorozni a kommunikaciot az egyes vm-ek kozott egy dedikalt procin futo vedelmi szoftverrel...
A monolitikus megoldasban az a vicces, hogy sokszor meg az aktualis karbantartok sem tudjak, mi hogy mukodik es hol van, mert a karbantarto garda mar tobbszor kicserelodott... kisebb mikroszervizek szolgaltatasait legalabb konnyebb atlatni.
"és elkezdesz hasonlítani egy monolitikus rendszerre, különösen tesztelhetőség terén. Szerintem vannak funkciók, ahol szimplán nem praktikus, hiába szebb."
Valoszinuleg igazatok van, meg kell talalni az egyensulyt.@dabadab:
koszi, jo tudni hogy user modban futott. Arra gondoltam hogy minden szolgaltatas belepesi pontja lehetne egy honeypot proxi vm/vagy gep es ha szokatlan a kimeno kommunikacio, akkor lezarja a kapcsolatot. Riasztas es a szolgaltatas vm fagyasztasa utan meg lehetne vizsgalni mi tortent.
Tovabb nem ragozom a dolgot, nem tudok tobbet hozzafuzni. -
Egy ilyen vegponti szolgaltatas ami belematat a kernelbe
FYI a linuxos Crowdstrike cucc user mode-ban fut és a problémákat egy kernel bug okozta.
A honeypottal meg nem tudom, hogy mit szeretnél, az meg tudja neked mondani, hogy "hekkelés van folyamatban", meg részleteket róla, de védeni nem véd.
-
Én sajnos indokoltnak tartom egy OS szinten futó védelem meglétét erősen kitett rendszerek esetében - olyan betörési vektorok bukktantak fel az utóbbi években, hogy átlag számítógéphasználó Józsi csak pislogna. És ezek mögött kőkemény anyagi források vannak, mind az államilag támogatottak, mind a terrorcélúak mögött, ezzel hiába raksz szembe prudens konfigurációt és lelkiismeretes rendszergazdákat, nem lesz elég.
Az Apple-ös modellhez nem tudok hozzászólni, nem tudom, hogy elégséges lenne-e akkor, ha annyi iOS szerver lenne, mint Windows.A microservice-es modell időről időre előjön, mint a nagy megoldás a monolitikus rendszerek problémáira, de amíg az egyik problémát megoldja, csinál helyette másikat. Nagyon elegáns, nekem is sokkal jobban tetszik, de ha sűrű a kommunikáció, akkor nagyon drága lesz erőforrásban, ill. potenciálisan problémás átfutási időben. Ha meg elkezdesz a sűrű forgalmú kapcsolatokra optimalizálni (adatcache, perzisztens csatornák, stb.), akkor meg eltolod az egészet a szorosan csatolt irányba, és elkezdesz hasonlítani egy monolitikus rendszerre, különösen tesztelhetőség terén. Szerintem vannak funkciók, ahol szimplán nem praktikus, hiába szebb.
-
#40
Gargouille
őstag
cog777
#39
Gargouille
őstag
"Regen az IBM jott kulon megoldassal: honeypot-tal. Ezt a megkozelitest sokkal jobbnak tartom, hogy ha vannak dedikalt gepek betores eszlelesre."
Ez egy teljesen általánosan alkalmazott technika manapság is, de csak egy apró szelete a védelemnek. A "gyanútlan" támadók ellen segíthet, de például egy célzott támadás esetén, ahol a támadó rendelkezik belső információval a rendszerről és a védelmi megoldásokról is (akár a honeypot-okról is), könnyen el tudja kerülni ezeket, így ha ilyesmire alapozod a védelmet, az hamis biztonságtudathoz vezet csak.
"egy ossze-vissza integralt monolitikus megoldasnal sokkal jobbnak tartom a kizarolag a specialis feladatokra fokuszalo egyedi szolgaltatasok/mikroszervizek halmazat."
Egyszerű és elkülöníthető célfeladatokra (például egy webszerver) ez jól működhet de, ha meg összetett rendszerekről van szó ott elkerülhetetlen, hogy keresztbe-hosszába össze legyen drótozva minden mindennel. Attól, hogy mondjuk külön VM-ekere raksz mindent még az egyes komponenseknek ugyanúgy authentikálniuk kell egymással, különféle api-kon keresztül hozzá kell férjenek a másikhoz stb., tehát nem lesznek különálló entitások teljesen. -
cog777
senior tag
"de az érintett ügyfelek legalább annyira hülyék, sőt. "
Igy van. Bambano jol mondta a KISS-t. Regen egy debian szerveren a vegleteking lecsupaszitott szolgaltatasok futottak, minden szolgaltatas a sajat neveben es lekorlatozva. Nyilvan igy is voltak betoresek, de a riziko alacsony volt ha megfeleloen kemenyitett biztonsagi eloirasokat betartottak.Egy ilyen vegponti szolgaltatas ami belematat a kernelbe, az welcome a Manci neni offisz gepen, de semmi keresnivaloja egy szerveren vagy egy celfeladatot ellato gepen. (Ott max egy fajlszkenner mukodhet nezve a word docs-okat. Megjegyzes: jobbnak tartom az Apple fele megoldast ahol nincs kernelbe matatas, ok nyujtanak egy szolgaltatast a security szolgaltatasok fele)
Ez a tipikus, majd a biztonsagot egy magic security software megoldja. (Nem fogja, inkabb extra riziko)
Regen az IBM jott kulon megoldassal: honeypot-tal. Ezt a megkozelitest sokkal jobbnak tartom, hogy ha vannak dedikalt gepek betores eszlelesre.
Igaz, en fejleszto vagyok, de azon keresztul az en 20 eves tapasztalatom: egy ossze-vissza integralt monolitikus megoldasnal sokkal jobbnak tartom a kizarolag a specialis feladatokra fokuszalo egyedi szolgaltatasok/mikroszervizek halmazat. Ezeket egyenken legalabb az adott karbantartok sokkal jobban atlatjak.
Szerintem. Aztan lehet hogy jon valaki egy AI statisztikava,l es elmondja sokkal jobb eredmenyeket ertek el vele mint a korabbi modszerekkel
-
#37
Hieronymus
veterán
Rage47
#36
-
Nekem továbbra sem fér a fejembe, hogy kritikus rendszerekre hogyan lehet ellenőrzés nélkül bármilyen változtatást keingedni, nemhogy kernel szinten futót. Lehet szidni a Crowdstrike-ot, meg is érdemlik, de az érintett ügyfelek legalább annyira hülyék, sőt. Ha az elmúlt 10 évben gondosan megspóroltak évi párszázezer USD-t azzal, hogy ilyen tesztelésektől eltekintettek, akkor most itt a remek alkalom, hogy újraszámolják ezeknek a megtakarításoknak a teljes NPV-jét
![;]](//cdn.rios.hu/dl/s/v1.gif)
És egyeseknek van pofájuk felvetni, hogy a Crowdstrike fizessen kártérítést. Hogy jogi alapja hol és mennyi van ennek, azt nyilván nem tudom, de racionálisan? F*** off, guys. -
Az elég vad lenne, hogy minden fejlesztő hülye. Meg az is, hogy a Windows szar, mert bedönti valami. Ezek extrém végletek.
Sajnos nagyon sok esetben a shareholder satisfaction számít, így rengeteg a kompromisszum. Ez egy ilyen játék. Akinek biznisze van, nem kiállításra fog kódot írni. De ennek nincs is köze a hibához. Hiba mindenhol lehet. Valószínűleg a rizikók fele sem volt jól kezelve vagy a disaster recovery vagy BCP vagy bármilyen plan elhanyagolva, nem gyakorolva. Ismerős? Ez szerintem ma a cégek 99%-ára igaz. Ez is egy ilyen játék.
-
bambano
titán
a debianosok zöme hobbiból játszik.
lásd még: devuan.
rá akartak tolni egy rakás fejlesztőre valamit, amit ők nem akartak, leléptek és forkolták a projektet.
a debian fölött nincs menedzsment. a debianosok maguk közül választanak leadereket.egyetértek, én sem hobbiból játszom, hanem megélhetésből.
-
cog777
senior tag
Vegletekig kioptimalizaljak az uzemeltetest es a fejlesztest, mikozben idiota iranyba viszik el a termek fejlesztesenek iranyat, celjait rengeteg penzt beleolve. De en mint fejleszto tovabbra is azt gondolom - es ezt mar megvitattuk parszor - hogy a fejleszto felett levo menedzsment, PO fog donteni, hogy mit kell lefejleszteni es mennyi penz es ido lesz ra, illetve a tech lead-eknek kellene megfelelo fejlesztesi process-t biztositani.
Korabbi cegemnel, pl a tesztelesi rendszert lesporolta a vezetes - mondvan az nem hoz penzt csak az uj csilivili ficsorok, mikozben az ugyfelek konyorogtek a nagyobb stabilitasert. Meg is lett az eredmenye.
"a unix alapfilozófiája: KISS. Keep it stupid and simple..."
Tokeletesen egyetertek.
-
bambano
titán
nem csak az a baj, hogy homogének a rendszerek. amiben egyébként nem az a gond, hogy homogén, hanem hogy mindent egyszerre csinálnak és nincs tartalék.
az igazi baj, hogy már régen elterjedt a mánia, hogy minden overengineered. túltervezet, túl architektolt. réteg réteg hátán, mint a hagyma, mert a nyüves fejlesztők nem bírnak megülni a seggükön, hanem mindenáron új dolgokat akarnak lekódolni ahelyett, hogy takarítanák a régi kódot. kitalálnak egy rakás hulladék réteget, szabványt, stb. adnak neki mágikus nevet, és ettől érzik jól magukat. az egyszeri ember meg csak kapkodja a fejét, hogy mi van? erre az ms ráadásul még rá is tesz egy lapáttal, amikor fogja a meglévő szabványokat és szándékosan eltorzítja őket, hogy ne lehessen opensource megvalósítani. volt egy kerberos, csináltak belőle domain kontrollert. amire egyébként semmi szükség.
és akkor mindenki csodálkozik, hogy a nagy bábeltornyában időnként összedőlnek a dolgok.
a unix alapfilozófiája: KISS. Keep it stupid and simple. Na erről Redmondban nem hallottak soha, a linuxosok meg kezdik elfelejteni. ezért van káosz. osztogatni kellene Canestent a fejlesztők között. ha viszket, kend be, ne programozz helyette.
-
clon
senior tag
Jah te elhiszed azt, hogy egy garázsból induló vállalkozás tulajdonosa befutva világméretűen osztva a termékét 30 év után csak úgy odaadja bárkinek azt amit felépített minden lehetőség nélkül a további irányvonalra
A felelősséget meg a napi munkát áttolta másra DE az irány meghatározását megtartotta. -
HoTDoG
tag
5 perc után mindenki a Crowdstrike-re mutogatott, köztük a Microsoft is. Pedig a Microsoft oprendszere dőlt be egy harmadik féltől származó frissítéstől. Akkor miért csak a Crowdstrike-ot veszi elő mindenki? Hiányolom ezt a megközelítést a hírekből, elemzésekből, konklúziókból. Pedig nekem inkább az tűnik kockázatnak, hogy a legelterjedtebb oprendszer ennyire instabillá tehető.
-
#15
nubreed
veterán
Alogonomus
#11
nubreed
veterán
válasz
Alogonomus
#11
üzenetére
Ott a pont. Mikor ez az egész sztori napvilágot látott, ez volt az első kérdés ami felmerült bennem, hogy miért kellett ütemezés nélkül, több hullámba való elosztás nélkül egyszerre frissíteni az általuk üzemeltetett rendszereket.
-
#11
Alogonomus
őstag
Alogonomus
őstag
Előkerült egy olyan nézőpont is, hogy a CrowdStrike ott szúrta el igazán, hogy egyetlen hullámban frissítette a Föld összes üzemeltetett rendszerét a helyett, hogy először sokkal kisebb halmazon tesztelte volna a frissítést. A hiba így minden rendszert lényegében egyszerre érintett, vagyis már közbelépni sem lehetett a kár minimalizálása érdekében.
-
cog777
senior tag
Kritizalva most az ugyfel oldalat is, nem csak a CrowdStrike-et:
Szerintem pont ez az eset mutatja, miert is nem jo, ha homogen rendszerunk van. Van 100 geped, mind egyforma es mind kritikus rendszert vezerel. Kuldj ki rajuk egy hibas frissitest lehetoleg ugyanabban az idoben es lesz egy single point of failure. Kb talan meg egy junior fejleszto/mernok is TUDJA hogy nem igy kellene csinalni. Es pont ezt tortent, es olyan Boeinges esetnek tunik: tamaszkodjunk EGY szenzor adatara repules kozben.
Termeszetesen a homogen rendszer uzemeltetesekor megsporolt osszeg remekul mutat a ceges beszamolokon...viszont megerositi, hogy nem art a kritikus infrat allami szinten szabalyozni, es szemmel lathato buntivel jutalmazni ha ilyen ostobasagot (sporolast) csinalnak a cegek.
(Amugy a linuxra lenne egy erv: nem homogen, csak senki nem vallalja be az extra uzemeltetesi koltseget) -
clon
senior tag
Az érved az, hogy mindenki menjen linuxra mert a win alatt EZ van ugyanakkor a linux alatt is hasonló van így HA mindenki áttér arra akkor semmit nem nyer vele csak más néven kapja ugyanazt.
A linux addig jó míg kevesen használják mert ha tömegek kezdik használni ott is el fog uralkodni a káosz meg a "reklámozás" a pénz harácsolás... -
#4
Alogonomus
őstag
Alogonomus
őstag
.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Linux kezdőknek
- Apple iPhone Air - almacsutka
- Kerékpárosok, bringások ide!
- Melyik tápegységet vegyem?
- MIUI / HyperOS topik
- Bemutatkoztak a Corsair kábelezést rejtő, Frame 4500X szériás házai
- ASUS ROG Ally
- Milyen házat vegyek?
- E-roller topik
- Fényeskedjék: ROG Strix OLED XG32UCWMG monitor tesztje
- További aktív témák...
- GYÖNYÖRŰ iPhone 13 mini 256GB Blue -1 ÉV GARANCIA - Kártyafüggetlen, MS3180
- BESZÁMÍTÁS! 4TB Western Digital RED Pro SATA HDD meghajtó garanciával hibátlan működéssel
- Update 09.23. - Bomba árak 2025-ben is! Üzleti - Consumer laptopok DELL FUJITSU HP LENOVO
- ÁRGARANCIA!Épített KomPhone i7 14700KF 32/64GB RAM RTX 5070 Ti 16GB GAMER PC termékbeszámítással
- Samsung Galaxy Watch6 LTE 44mm, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft.
Város: Budapest