i
Ну дык тут уже все знают благодаря марку, что цепх сосёт на запись
Size: a a a
2020 August 28
S
Ну дык тут уже все знают благодаря марку, что цепх сосёт на запись
я про саму статью
S
то что ceph сосет, было понятно еще давно
S
i
надо меньше работать значит
Совет на все случаи жизни
i
> Внимание: в Ubuntu на сетевую задержку негативно влияет AppArmor, его лучше отключить.
i
Вот этот пассаж триггернул. Да, давайте ещё mitigations=off, нам же нужна МОЩЩЩ, а про безопасность кто-то другой подумает
n
я тут давеча тестировал, поотключал apparmor, mitigations, ядро 5.8, запинил треды vCPU на pCPU , итог: +50% tps в pgbench в виртуалке
AT
Вот этот пассаж триггернул. Да, давайте ещё mitigations=off, нам же нужна МОЩЩЩ, а про безопасность кто-то другой подумает
А зачем mitigations если никого рядом нет?
i
А зачем mitigations если никого рядом нет?
Если стор отдаётся по LAN, например iSCSI и тот же цепх, любая дырка в реализации аутентфикации, -> получаем шелл от юзера, эскалируем служебного юзера до root любыми доступными методами (у нас же нет изоляции AppArmor), и бонжур
i
Звучит проще, чем на самом деле, и нужна подготовка, но атака вполне реальна, при разведке и раскрутке цепочки эксплоитов
i
Тогда надо делать чисто локальный менеджмент, и из сети оставлять только кластерную, в которую никто кроме сторадж нод не воткнут
i
Тогда да, хоть рута делай 123qwerty456
i
Тогда надо делать чисто локальный менеджмент, и из сети оставлять только кластерную, в которую никто кроме сторадж нод не воткнут
А стор тогда отдавать по FC, SAS, и что там ещё у nvme придумали
AT
>эскалируем служебного юзера до root любыми доступными методами (у нас же нет изоляции AppArmor)
Я, на всякий случай замечу, что эти все уязвимости (Которые появляются после mitigations=off) позволяют не корректировать память, а только потенциально читать её, в свете чего нахождения уязвимостей такого рода выглядит малореально данными средствами
Я, на всякий случай замечу, что эти все уязвимости (Которые появляются после mitigations=off) позволяют не корректировать память, а только потенциально читать её, в свете чего нахождения уязвимостей такого рода выглядит малореально данными средствами
ВН
> Внимание: в Ubuntu на сетевую задержку негативно влияет AppArmor, его лучше отключить.
Ну как бы знаете, на каком то сраном аппарморе терять 100 мкс задержки в сети не тема
ВН
Вот этот пассаж триггернул. Да, давайте ещё mitigations=off, нам же нужна МОЩЩЩ, а про безопасность кто-то другой подумает
А что безопасность, если у тебя там только цеф на нодах и нет виртуалок
ВН
Если стор отдаётся по LAN, например iSCSI и тот же цепх, любая дырка в реализации аутентфикации, -> получаем шелл от юзера, эскалируем служебного юзера до root любыми доступными методами (у нас же нет изоляции AppArmor), и бонжур
Ну, как бы, это и при включенных mitigations можно сделать))
ВН
Если там такого рода дыры есть