LXC i limity [Wydzielone z tematu Opinie o nazwa.pl]

[Spoofy]

 Najmocniej przepraszam, lecz zostałem "ztriggerowany" (flame reason?) i nie pozwolę na dalsze zaciemnianie rzeczywistości.

Tak to właśnie jest, że niestety w piątkowy wieczór, wykonując milion innych tasków w tym samym czasie, nie jestem w stanie wysilić się na rozpisywanie czy odpisywanie w odpowiedniej formie, używając ładniejszego i być może bardziej zrozumiałego słownictwa - wybaczcie. Niemniej jednak sens moich wypowiedzi jest zrozumiały i klarowny.
 

W dniu 6.05.2022 o 22:40, st220 napisał:

Chyba kolega nigdy z lxc nie korzystał, nie administrował.

Gratuluję buractwa, które niestety nic nie wnosi do dyskusji. Niestety, brak już sił na pobłażliwość. Tracenie czasu na polemikę bez konkretów jest jałowe i nic nie wnosi do tematu.

EDIT reason: Zbyteczny flame z mojej strony.

(...)

Proszę, zacznij od tego: https://linuxcontainers.org/lxc/manpages/man5/lxc.container.conf.5.html https://www.kernel.org/doc/html/latest/admin-guide/cgroup-v1/cgroups.html .

Wracając, niestety muszę was zmartwić, gdyż pewne rzeczy (EDITED*), zostały już sprawdzone, takie jak np. środowisko PHP nazwa.pl, które jednoznacznie potwierdzają moje słowa.

No ale poczekajmy na publikacje.

Edytowane 9 Maja 2022 przez Spoofy
Wydzielenie dyskusji do osobnego tematu + too much flame.

[Spoofy]

 

Z uwagi na utrzymanie wysokiej jakości contentu na naszym forum, temat techniczny dotyczący limitów LXC, zostaje wydzielony od tematu opinie o nazwa.pl.
 

Szerzenie wadliwych, publicznie dostępnych zasobów, mogących stanowić zagrożenie, stoi w naturalnym przeciwieństwie do mojego postępowania, zatem link kierujący do tych zasobów zostaje usunięty z publikacji.

[st220]

W dniu 7.05.2022 o 05:55, Spoofy napisał:

Gratuluję buractwa, które niestety nic nie wnosi do dyskusji. Niestety, brak już sił na pobłażliwość. Tracenie czasu na polemikę bez konkretów jest jałowe i nic nie wnosi do tematu.

 

Po raz kolejny widzę że branża hostingowa jest mocna w gębie a nie technologiach. Wytknięcie niewiedzy kończy się atakiem. Przytoczone linki nie wnoszą nic w dyskusje. Przykładowo kubernetes jak i lxc w nowszej wersjach jak ta w proxmox 7 korzysta z cgroups v2. W wielu aspektach branża hostingowa w Polsce zatrzymała się w połowie poprzedniej dekady.

Nie będę się wysilać i próbować opisać jak działa kubernetes. Dorzucę tylko że nazwa napisała marketingową papkę na temat lxc u siebie:

https://www.nazwa.pl/blog/konteneryzacja-na-cloudhosting-nazwapl

Z której wynika że stworzyli właśnie coś na kształt kubernetesa, a poszczególne kontenery lxc wyglądają jak pody z paroma aplikacjami. Patrząc również na ich oferty pracy mocno szukają kogoś kto im to przepisze na nowszą technologie i również stąd może wynikać że ich systemy są przestarzałe.

[itomek]

3 minuty temu, st220 napisał:

szukają kogoś kto im to przepisze na nowszą technologie

 

 

Powiem więcej, jeżeli jakaś firma szuka księgowego, to znaczy że zalega z płatnością podatków  

[Spoofy]

6 godzin temu, st220 napisał:

Po raz kolejny widzę że branża hostingowa jest mocna w gębie a nie technologiach. Wytknięcie niewiedzy kończy się atakiem. Przytoczone linki nie wnoszą nic w dyskusje. Przykładowo kubernetes jak i lxc w nowszej wersjach jak ta w proxmox 7 korzysta z cgroups v2. W wielu aspektach branża hostingowa w Polsce zatrzymała się w połowie poprzedniej dekady.

Wnoszą podstawową wiedzę odnośnie tego, jak działa ograniczanie zasobów za pomocą cgroups.
 

6 godzin temu, st220 napisał:

Nie będę się wysilać i próbować opisać jak działa kubernetes. Dorzucę tylko że nazwa napisała marketingową papkę na temat lxc u siebie:

https://www.nazwa.pl/blog/konteneryzacja-na-cloudhosting-nazwapl

Z której wynika że stworzyli właśnie coś na kształt kubernetesa, a poszczególne kontenery lxc wyglądają jak pody z paroma aplikacjami. Patrząc również na ich oferty pracy mocno szukają kogoś kto im to przepisze na nowszą technologie i również stąd może wynikać że ich systemy są przestarzałe.

Widzisz, dobrze wiem do czego jest k8s i na pewno nie do hostingu aplikacji PHP w środowisku współdzielonym. Jeżeli stosujesz terminologię k8s, znaczy że albo nie do końca wiesz jak działa i z czego konkretnie korzysta k8s albo nie znasz wymogów środowisk tego typu, gdyż zwyczajnie k8s się do tego nie nadaje i to nie jest ten case. Raczej z doświadczenia stawiałbym coś na wzór https://docs.opennebula.io/6.2/open_cluster_deployment/lxc_node/index.html

Szkoda @itomekże nie poinformowałeś o publikacji, tak jak deklarowałeś - niestety, nie obserwuję bloga nazwa.pl, także nie wiem kiedy i co publikujecie.

Co do treści samej publikacji, to podobają mi się inspiracja moimi słowami apropos porównania do mieszkania, bloku czy domu usług tego typu  

Cytat

Dzięki konteneryzacji zapewnione są także gwarantowane zasoby pamięci RAM i procesora.

W publikacji brakuje technicznych szczegółów, odnośnie tego w jaki sposób jest to realizowane. Nie ma ani słowa o tym, w jaki sposób gwarancja CPU czy pamięci jest zapewniona, zatem raz jeszcze - w jaki sposób procesy uruchamiane w kontenerze mają zagwarantowane zasoby CPU czy pamięci? Czy przykładowo kontener LXC podczas startu alokuje całą gwarantowaną pamięć operacyjną i jest ona niedostępna dla innych kontenerów?

 

"Jeżeli więc widzisz, że hosting oferuje oprogramowanie CPanel + LightSpeed, to możesz być pewny, że nie posiada on funkcjonalności konteneryzacji."
Oj, kolejne kłamstwo się szykuje. Czym jest LVE jak nie właśnie metodą "konteneryzacji"?

Przemyśl @itomekswoją odpowiedź, gdyż tutaj uderzasz w struny dość dużych graczy i ich technologii

[itomek]

11 godzin temu, Spoofy napisał:

Szkoda @itomekże nie poinformowałeś o publikacji, tak jak deklarowałeś

 

Eh.. Jak zwykle dużo się dzieje w odniesieniu do rozwoju oferty nazwa.pl, zwyczajnie zapomniałem podlinkować. Link został podany https://www.nazwa.pl/blog/konteneryzacja-na-cloudhosting-nazwapl

 

11 godzin temu, Spoofy napisał:

Co do treści samej publikacji, to podobają mi się inspiracja moimi słowami apropos porównania do mieszkania, bloku czy domu usług tego typu  

 

Fakt, że na przykładach można łatwo wytłumaczyć pewne kwestie. Blog to miejsce, gdzie trafiają wszyscy, często mniej techniczni użytkownicy. Porównanie, które wpływa na wyobraźnię jest najlepsze 

 

11 godzin temu, Spoofy napisał:

w jaki sposób procesy uruchamiane w kontenerze mają zagwarantowane zasoby CPU czy pamięci?

 

Gwarantowane zasoby nie są zasobami rezerwowanymi. Gwarancja dotyczy 99.9% czasu opisanego w SLA i jest realizowana poprzez przenoszenie danego kontenera na fizyczny serwer z największą ilością zasobów RAM i CPU. Klastry posiadają na tyle dużo fizycznych serwerów, aby zapewnić nieprzerwanie dostępne zasoby dla wszystkich usług. Oczywiście, w razie potrzeby można dołączać do klastra nowe serwery dedykowane.

 

 

Analogicznie w przypadku mniejszego ruchu, dla zapewnienia niższego zużycia energii, a przez to ochrony środowiska, niepotrzebne serwery są czasowo odłączane. 

 

11 godzin temu, Spoofy napisał:

Czym jest LVE jak nie właśnie metodą "konteneryzacji"?

 

Jeżeli chodzi o konteneryzację, jaka jest używana w Cloud Linux (LVE) + LiteSpeed, to trzeba zauważyć, że jest ona wykonywana dopiero dla procesów potomnych serwera WWW. Skutkuje to tym. że potencjalny błąd bezpieczeństwa w głównym procesie serwera WWW powodowałby naruszenie bezpieczeństwa dla wszystkich usług zlokalizowanych na określonym serwerze. W kontenerach uruchamiane są dopiero podprocesy serwera WWW. W przypadku technologii używanej przez nazwa.pl, najpierw tworzony jest kontener LXC, a dopiero w nim, wewnątrz namespace'ów Linuxowych, uruchamiane są wszystkie usługi. Gdyby porównać obydwie technologie wirtualizacji, to LiteSpeed musiałby być uruchamiany w całości dla każdego klienta hostingowego z osobna.

 

Namespaces w Linuxie zostały wymyślone po to, aby zapewnić dla wirtualnych środowisk wydzieloną przestrzeń w jądrze, odseparowaną od przestrzeni dla procesów w systemie i innych tego typu kontenerów. Uruchamianie procesu potomnego serwera WWW z Parent PID głównego serwera webowego zapewnia komunikację pomiędzy procesami, ale stanowi również połączenie, które zaprzecza idei konteneryzacji, gdzie wewnątrz kontenera tworzony jest PID 1, od którego dopiero tworzone są procesy potomne systemu i wszystkie procesy użytkowników. 

 

 LVE to jak widać bardziej technologia do zamykania pojedynczych procesów w boksach, a nie całej usługi, ze wszystkimi korzyściami i ryzykami z tym związanymi. 

[Spoofy]

6 godzin temu, itomek napisał:

Eh.. Jak zwykle dużo się dzieje w odniesieniu do rozwoju oferty nazwa.pl, zwyczajnie zapomniałem podlinkować. Link został podany https://www.nazwa.pl/blog/konteneryzacja-na-cloudhosting-nazwapl

 

Cóż, dobrze że w końcu wzięliście się za ogarnianie technologii LXC, którą wiele firm w tym ja stosuję od ładnych paru lat produkcyjnie. Niestety, wszystko wskazuje na to że dalej znów perfidnie kluczycie lub nie rozumiecie w jaki sposób ona działa, stąd dyskusja.
 

6 godzin temu, itomek napisał:

Fakt, że na przykładach można łatwo wytłumaczyć pewne kwestie. Blog to miejsce, gdzie trafiają wszyscy, często mniej techniczni użytkownicy. Porównanie, które wpływa na wyobraźnię jest najlepsze 

 

Sam przecież mówiłeś, że w publikacji będą zawarte wszystkie informacje, a jedyne czego się doszukałem to twierdzenie "gwarantowania zasobów przez 99.9% czasu".

 

6 godzin temu, itomek napisał:

Gwarantowane zasoby nie są zasobami rezerwowanymi. Gwarancja dotyczy 99.9% czasu opisanego w SLA i jest realizowana poprzez przenoszenie danego kontenera na fizyczny serwer z największą ilością zasobów RAM i CPU.

Dziękuję bardzo, tak więc to jest clou. Nie ma technicznej gwarancji tych zasobów, poza zapewnieniem. Takie "gwarancje" można sobie wpisać między bajki, bo od "gwarantowania zasobów" są inne, bardziej odpowiednie ku temu technologie, a LXC do tego nie służy, o czym niżej. 

 

6 godzin temu, itomek napisał:

Klastry posiadają na tyle dużo fizycznych serwerów, aby zapewnić nieprzerwanie dostępne zasoby dla wszystkich usług. Oczywiście, w razie potrzeby można dołączać do klastra nowe serwery dedykowane.

Zatem taki klaster w praktyce niczym się nie różni od sterty spiętych ze sobą serwerów i przerzucania kont między nimi, co robi każdy kto posiada jakikolwiek resource plan . Czy w trakcie przenoszenia kontenera na inny node jest on niedostępny powodując niedostępność usługi?

 

6 godzin temu, itomek napisał:

Analogicznie w przypadku mniejszego ruchu, dla zapewnienia niższego zużycia energii, a przez to ochrony środowiska, niepotrzebne serwery są czasowo odłączane. 

 

 

Cytat

Po uruchomieniu nowych Data Center, dostępna moc infrastruktury spółki wzrośnie do 140 MW.

Czyżby zmiana polityki? Ostatnio nazwa.pl cały czas "zwiększała MW", a teraz nagle tacy "zieloni"? Takie twierdzenia też wydają się śmieszne, dla każdego kto widział datacenter ATM, także absolutnie "zieloni" nie jesteście i raczej długo nie będziecie

 

6 godzin temu, itomek napisał:

Jeżeli chodzi o konteneryzację, jaka jest używana w Cloud Linux (LVE) + LiteSpeed, to trzeba zauważyć, że jest ona wykonywana dopiero dla procesów potomnych serwera WWW. Skutkuje to tym. że potencjalny błąd bezpieczeństwa w głównym procesie serwera WWW powodowałby naruszenie bezpieczeństwa dla wszystkich usług zlokalizowanych na określonym serwerze. W kontenerach uruchamiane są dopiero podprocesy serwera WWW. W przypadku technologii używanej przez nazwa.pl, najpierw tworzony jest kontener LXC, a dopiero w nim, wewnątrz namespace'ów Linuxowych, uruchamiane są wszystkie usługi. Gdyby porównać obydwie technologie wirtualizacji, to LiteSpeed musiałby być uruchamiany w całości dla każdego klienta hostingowego z osobna.

Błąd - w LVE można uruchomić dosłownie każdy proces w ramach jego limitów. Oczywiście najczęściej LVE nie tyczy się głównego serwera z oczywistych względów - zasoby dla niego powinny być zawsze dostępne Uruchamianie całego serwera www wewnątrz kontenera  jest kompletnym marnotrawieniem zasobów - czemu potencjalny klient ma płacić za uruchomiony serwer www Apache, skoro interesuje go procesowanie strony a nie kwestie obsługi sieciowej, hm? Idąc dalej, setup tego typu niczym nie różni się od osobnego serwera VPS w skalowalnym środowisku. Serwery VPS wybierane z uwagi na konkretne potrzeby, dopóki użytkownik ich nie ma to nie widzę absolutnie żadnego sensu, dlaczego klient miałby płacić za zużycie zasobów przez serwer www w ramach własnych zasobów.

 

6 godzin temu, itomek napisał:

Namespaces w Linuxie zostały wymyślone po to, aby zapewnić dla wirtualnych środowisk wydzieloną przestrzeń w jądrze, odseparowaną od przestrzeni dla procesów w systemie i innych tego typu kontenerów. Uruchamianie procesu potomnego serwera WWW z Parent PID głównego serwera webowego zapewnia komunikację pomiędzy procesami, ale stanowi również połączenie, które zaprzecza idei konteneryzacji, gdzie wewnątrz kontenera tworzony jest PID 1, od którego dopiero tworzone są procesy potomne systemu i wszystkie procesy użytkowników. 

Init PID 1 w kontenerze jest zły? Z założenia są to odseparowane środowiska i tak działa to w każdej innej metodzie konteneryzacji, w tym we wspomnianym tutaj k8s. Niestety, technologia konteneryzacji powstała właśnie po to, aby współdzielić zasoby, a Ty dalej usilnie próbujesz twierdzić że "99.9%" i przerzucanie między serwerami jest "gwarancją zasobów". No nie, nazwa.pl to nie AWS a takie twierdzenia ponownie ukazują tylko marketingowy bullshit a nie realne zrozumienie i wytłumaczenie stosowanej technologii.

 

W dniu 9.05.2022 o 20:36, Spoofy napisał:

Szerzenie wadliwych, publicznie dostępnych zasobów, mogących stanowić zagrożenie, stoi w naturalnym przeciwieństwie do mojego postępowania, zatem link kierujący do tych zasobów zostaje usunięty z publikacji.

 

6 godzin temu, itomek napisał:

naruszenie bezpieczeństwa dla wszystkich usług zlokalizowanych na określonym serwerze.

Proszę, nie mów mów już o "bezpieczeństwie", bo kompromitacja pod tym względem tutaj osiągnęła już pułap nieosiągalny dla innych firm z top100. Nie pytam nawet ile z głupiego szukania wyszłoby podobnych linków i gdzie jest nieistniejący jak widać WAF nazwa.pl.


Ostatni oficjalny raport ukazuje, iż w Polsce nazwa.pl jest na drugim miejscu pod kątem kampanii Phisingowych, tak  więc w związku z tym przykładem pytam - czy ta biedna gmina i CERT zostały poinformowane o tym fakcie i czy nazwa.pl ma zamiar coś zrobić z podobnymi, rażącymi przykładami braku odpowiedniego podejścia do bezpieczeństwa?

[itomek]

4 godziny temu, Spoofy napisał:

dobrze że w końcu wzięliście się za ogarnianie technologii LXC, którą wiele firm w tym ja stosuję od ładnych paru lat produkcyjnie.

 

Nie znalazłem wielu firm oferujący hosting współdzielony, które stosowałyby LXC, a przynajmniej nikt nic o tym nie pisze. Gdzie jest cPanel, DirectAdmin, brak jest LXC. A tak wygląda zdecydowana większość hostingów.

 

4 godziny temu, Spoofy napisał:

Nie ma technicznej gwarancji tych zasobów, poza zapewnieniem.

 

Zapewnienie zgodnie z umową to gwarancja dostępności zasobów. Gwarantujemy dostępność zasobów zgodnie ze SLA. Bardzo łatwo to sprawdzisz, uruchamiając jednocześnie kilka procesów na CloudHostingu vs inne hostingi, gdzie tej gwarancji nie ma.

 

4 godziny temu, Spoofy napisał:

co robi każdy kto posiada jakikolwiek resource plan

 

U nas osobne klastry odpowiadają za WWW, za FTP, za SSH, za pocztę e-mail, za bazy danych. To spore wyzwanie, które jest możliwe dzięki technologii cloud. Dane są utrzymywane zewnętrznie, procesy startują w kontenerach, co umożliwia ich natychmiastową migracje zgodnie z decyzjami loadbalancera. Nie wiem, jakie jeszcze hostingi masz na myśli, ale jeżeli ktoś tak faktycznie świadczy swoje usługi, to jego klienci są na pewno bardzo zadowoleni. Nasi są. 

 

4 godziny temu, Spoofy napisał:

a teraz nagle tacy "zieloni"?

 

Jeżeli można coś zrobić dla ekologii, to trzeba to robić. Nawet niewielkie oszczędności CO2 są ważne. I może jest to odpowiedni moment, aby też o tym powiedzieć. Nasze rozwiązania CloudHosting, dzięki dynamicznemu dzieleniu zasobów i rozkładaniu ich wg potrzeb, pozwalają na nowe podejście do sterowania serwerami działającymi w klastrze. 

 

5 godzin temu, Spoofy napisał:

Uruchamianie całego serwera www wewnątrz kontenera  jest kompletnym marnotrawieniem zasobów - czemu potencjalny klient ma płacić za uruchomiony serwer www Apache, skoro interesuje go procesowanie strony a nie kwestie obsługi sieciowej, hm?

 

Separacja nie jest niczym złym. Wręcz przeciwnie, pozwala na zachowanie wyższego standardu bezpieczeństwa pojedynczej usługi. VPSy to optymalne rozwiązania, co do tego nie ma wątpliwości, ale nie każdy ma szansę i możliwości je obsługiwać. Do tego potrzebny jest admin, a na CloudHostingu zarządzanie realizowane jest w sposób przyjazny dla użytkownika. CloudHosting ma zatem miejsce gdzieś między hostingiem a VPSem. 

 

5 godzin temu, Spoofy napisał:

No nie, nazwa.pl to nie AWS

 

Usługa, którą oferujemy w nazwa.pl, powstała w oparciu o rozwiązania, o których tutaj piszemy, nie jest powszechnie spotykana na rynku. Oczywiście, coś takiego jak konteneryzacja jest znane średnio zaawansowanemu administratorowi Linuxa, ale potrzeba jest to tak poustawiać i zaplanować, aby wszystko działało dla wielu setek tysięcy hostingów. Możemy mówić o stosowanych technologiach, bo sam jesteś w stanie to sprawdzić. Nie napiszemy jednak, jak to zostało zrobione, że "działa", bo to już wchodzenie w know-how, które kosztowało nas wiele pracy i testów. Nie jesteśmy AWS, bo dostarczamy rozwiązania dla zwykłych użytkowników, których nie interesuje wiele kwestii technicznych, ale którzy chcą mieć usługę zawsze dostępną, zawsze działającą szybko i wydajnie i z przyjaznym (prostym) interfejsem. Ktoś, kto potrzebuje czegoś więcej w naszej ofercie znajdzie VPSy oparte o KVM. To wszystko jednak stanowi osobne oferty skierowane do zupełnie innych grup odbiorców.

 

5 godzin temu, Spoofy napisał:

czy nazwa.pl ma zamiar coś zrobić z podobnymi, rażącymi przykładami

 

Zacznę od tego, że wszystkie zgłoszenia dot. phishingu realizowane są przez nas natychmiast po ich otrzymaniu lub samodzielnym wykryciu. IPS i WAF działają na wzorce powtarzalne, a ich skuteczność na indywidualne schematy zależy od wielu czynników. Bazy są oczywiście non-stop aktualizowane, a systemy zatrzymują dziennie setki tysięcy ataków (link do ciekawego opracowania: https://www.nazwa.pl/blog/700000-zatrzymanych-atakow-czyli-typowy-dzien-dla-intrusion-prevention-system-w-nazwapl) . W przypadku takich firm jak nasza, działa efekt skali. Musisz mieć na uwadze to, ze utrzymujemy kilkaset tysięcy hostingów, nie tylko dla domen, ale też dla subdomen. Nie każdy ma WordPress'a, którego przy informacji o jakimś CVE jesteśmy w stanie w kilka chwil "załatać". Nawet nie wyobrażasz sobie, co można wgrać na hosting  

[theqkash]

Godzinę temu, itomek napisał:

Zacznę od tego, że wszystkie zgłoszenia dot. phishingu realizowane są przez nas natychmiast po ich otrzymaniu lub samodzielnym wykryciu.

 

Tu pozwolę się Tomku trochę wtrącić, choć planowałem tego nie robić, ale... w pierwotnym poście @Spoofy przed modyfikacją pojawił się link do webshella, który jednak nadal działa    

 

A w sumie był do Was zgłoszony i samodzielnie też go mogliście wykryć.

[itomek]

40 minut temu, theqkash napisał:

A w sumie był do Was zgłoszony i samodzielnie też go mogliście wykryć.

 

Nie mamy pewności, czy właściciel usługi sam nie umieścił tego skryptu, chcąc go w jakimś celu wykorzystać. Taki webshell na nic kompletnie nie pozwala, poza manipulowaniem zawartością w ramach tego konkretnego konta, gdzie jest umieszczony czy uzyskaniem dostępu do zawartości, która i tak jest dostępna w każdy inny sposób dla właściciela hostingu. Tak czy inaczej, wyjaśnię z Działem Obsługi Klienta ten temat i poproszę, aby skontaktowali się z właścicielem serwera i ustalili, czy on sam chce ten skrypt utrzymywać i czy go samodzielnie wgrywał.

[Spoofy]

2 godziny temu, itomek napisał:

Nie znalazłem wielu firm oferujący hosting współdzielony, które stosowałyby LXC, a przynajmniej nikt nic o tym nie pisze. Gdzie jest cPanel, DirectAdmin, brak jest LXC. A tak wygląda zdecydowana większość hostingów.

 

Cóż, szukasz widocznie nie tam gdzie potrzeba. Informacji na temat rynku jest dość sporo w internecie.

 

3 godziny temu, itomek napisał:

Zapewnienie zgodnie z umową to gwarancja dostępności zasobów. Gwarantujemy dostępność zasobów zgodnie ze SLA. Bardzo łatwo to sprawdzisz, uruchamiając jednocześnie kilka procesów na CloudHostingu vs inne hostingi, gdzie tej gwarancji nie ma.

 

Powtórzę się - do "gwarancji zasobów" istnieją odpowiednie rozwiązania techniczne, w ramach wymaganych potrzeb.
 

3 godziny temu, itomek napisał:

U nas osobne klastry odpowiadają za WWW, za FTP, za SSH, za pocztę e-mail, za bazy danych. To spore wyzwanie, które jest możliwe dzięki technologii cloud. Dane są utrzymywane zewnętrznie, procesy startują w kontenerach, co umożliwia ich natychmiastową migracje zgodnie z decyzjami loadbalancera. Nie wiem, jakie jeszcze hostingi masz na myśli, ale jeżeli ktoś tak faktycznie świadczy swoje usługi, to jego klienci są na pewno bardzo zadowoleni. Nasi są. 

 

Nie rozumiem - dokładnie w taki sam sposób mogą działać gotowe panele, czy usługi ogólnodostępne - zatem "cloud" jest łatwo osiągalny w dzisiejszych czasach, czego dowodzą przykłady tutaj przytaczane. LB ruchu czy efektywne skalowanie i balansowanie jest dość łatwe. Różne hostingi wykorzystują technologię LXC w taki czy inny sposób - niewiedza rynku na temat konkurencji czy też standardów - nieistotne.

 

3 godziny temu, itomek napisał:

Jeżeli można coś zrobić dla ekologii, to trzeba to robić. Nawet niewielkie oszczędności CO2 są ważne. I może jest to odpowiedni moment, aby też o tym powiedzieć. Nasze rozwiązania CloudHosting, dzięki dynamicznemu dzieleniu zasobów i rozkładaniu ich wg potrzeb, pozwalają na nowe podejście do sterowania serwerami działającymi w klastrze. 

 

Nie rozumiem jak dopychanie na wyrost totalnie zbędnych, powielanych procesów w przykładzie dla np. typowej aplikacji webowej PHP, może pomóc w ekologii. Samo zużycie energii przy "gwarancji zasobów" raczej nie jest jej oszczędzaniem. "Dynamicznie przydzielane zasoby" a "ich gwarancja" wśród usług hostingowych czy też web hostingowych jest już dawno zdefiniowana, zaś raz jeszcze powtarzam - technologie konteneryzacji i separacji zostały stworzone do współdzielenia zasobów i ewentualnego ograniczania ich zużycia a nie gwarantowania, co sam przyznajesz.

 

3 godziny temu, itomek napisał:

Separacja nie jest niczym złym. Wręcz przeciwnie, pozwala na zachowanie wyższego standardu bezpieczeństwa pojedynczej usługi. VPSy to optymalne rozwiązania, co do tego nie ma wątpliwości, ale nie każdy ma szansę i możliwości je obsługiwać. Do tego potrzebny jest admin, a na CloudHostingu zarządzanie realizowane jest w sposób przyjazny dla użytkownika. CloudHosting ma zatem miejsce gdzieś między hostingiem a VPSem. 

 

Nie do każdego VPS'a potrzebny jest "admin" - wystarczy odpowiednie rozwiązanie do zarządzania środowiskiem systemowym, automatyzacja. Czasami admin może być potrzebny, lecz znów - jest to oczywiście proporcjonalne do wymagań.

 

3 godziny temu, itomek napisał:

Usługa, którą oferujemy w nazwa.pl, powstała w oparciu o rozwiązania, o których tutaj piszemy, nie jest powszechnie spotykana na rynku. Oczywiście, coś takiego jak konteneryzacja jest znane średnio zaawansowanemu administratorowi Linuxa, ale potrzeba jest to tak poustawiać i zaplanować, aby wszystko działało dla wielu setek tysięcy hostingów. Możemy mówić o stosowanych technologiach, bo sam jesteś w stanie to sprawdzić. Nie napiszemy jednak, jak to zostało zrobione, że "działa", bo to już wchodzenie w know-how, które kosztowało nas wiele pracy i testów. Nie jesteśmy AWS, bo dostarczamy rozwiązania dla zwykłych użytkowników, których nie interesuje wiele kwestii technicznych, ale którzy chcą mieć usługę zawsze dostępną, zawsze działającą szybko i wydajnie i z przyjaznym (prostym) interfejsem. Ktoś, kto potrzebuje czegoś więcej w naszej ofercie znajdzie VPSy oparte o KVM. To wszystko jednak stanowi osobne oferty skierowane do zupełnie innych grup odbiorców.

 

Wprowadzanie konkretnej usługi a marketingowe kluczenie na temat jej specyfikacji technicznej to dwie różne rzeczy. Cóż, może "średnio zaawansowany administrator" potrafi poustawiać sobie proste środowisko, lecz ogólnie każda konteneryzacja służy właśnie do prostego skalowania współdzielonymi zasobami i relatywnie łatwo za pomocą wspomnianych rozwiązań stworzyć całkiem przyzwoitą infrastrukturę. Niestety, większość publikacji czy dyskusji z Tobą, kończy się zakrywaniem się  "know-how" firmy. Otóż nie, dopytywanie o szczegóły techniczne dotyczące realizacji marketingowych tez w przedstawianej ofercie jest obowiązkiem. Po raz wtóry wyszło szydło z worka, ponieważ technicznie nie jesteś w stanie udowodnić takiego działania, zaś przykłady stosowania takich czy innych rozwiązań z pogranicza "konteneryzacji LXC" dobitnie to ukazują.

 

3 godziny temu, itomek napisał:

Zacznę od tego, że wszystkie zgłoszenia dot. phishingu realizowane są przez nas natychmiast po ich otrzymaniu lub samodzielnym wykryciu. IPS i WAF działają na wzorce powtarzalne, a ich skuteczność na indywidualne schematy zależy od wielu czynników. Bazy są oczywiście non-stop aktualizowane, a systemy zatrzymują dziennie setki tysięcy ataków (link do ciekawego opracowania: https://www.nazwa.pl/blog/700000-zatrzymanych-atakow-czyli-typowy-dzien-dla-intrusion-prevention-system-w-nazwapl) . W przypadku takich firm jak nasza, działa efekt skali. Musisz mieć na uwadze to, ze utrzymujemy kilkaset tysięcy hostingów, nie tylko dla domen, ale też dla subdomen. Nie każdy ma WordPress'a, którego przy informacji o jakimś CVE jesteśmy w stanie w kilka chwil "załatać". Nawet nie wyobrażasz sobie, co można wgrać na hosting  

 

54 minuty temu, itomek napisał:

Nie mamy pewności, czy właściciel usługi sam nie umieścił tego skryptu, chcąc go w jakimś celu wykorzystać. Taki webshell na nic kompletnie nie pozwala, poza manipulowaniem zawartością w ramach tego konkretnego konta, gdzie jest umieszczony czy uzyskaniem dostępu do zawartości, która i tak jest dostępna w każdy inny sposób dla właściciela hostingu. Tak czy inaczej, wyjaśnię z Działem Obsługi Klienta ten temat i poproszę, aby skontaktowali się z właścicielem serwera i ustalili, czy on sam chce ten skrypt utrzymywać i czy go samodzielnie wgrywał.

Po pierwsze - nie wszystkie WAF'y czy IPS'y działają na podstawie sygnatur - zdecydowana większość produktów ogólnodostępnych, w tym urządzeń, które również stosujecie, lecz nie wszystkie. Po drugie, rozumiem że przykładowo przy modsec standardowe reguły OWASP blokują dostęp do `/etc/passwd` ale już nie do innych plików, lecz własnie inne potencjalnie poufne informacje, w tym skrzętnie ukrywane przez Ciebie (tym razem realne) "know-how" firmy, ukazujące pełną konfigurację środowiska systemowego i usług, powinny być blokowane przez reguły WAF. Przeglądanie zawartości wszystkich plików lub danych, newralgicznych ścieżek systemowych jest banalnie proste do zablokowania i przy obecnych standardach, nawet szablony konfiguracyjne, dystrybuowane w popularnych systemach, posiadają takie blokady. Po trzecie - ukazywanie marketingowej a nie technicznej statystyki dotyczącej porównania z sygnaturami jest dość słabe - każdy może się pochwalić ostatnimi próbami blokad wszystkich takich ataków i zliczać, bawić się statystyką, pokazywać kibany, grafany, splunki, sightline'y, fortiosdashboard'y etc. - to nie zmienia faktu, że tych żądań nie zablokował żaden WAF i IPS stosowany przez nazwa.pl, a zdecydowanie powinien. Dlaczego? Otóż dlatego że: po czwarte - nie bez powodu przywołałem kwestię Phishingu i jego rozpowszechniania w ostatnim raporcie CERT, gdyż taki webshell idealnie się do tego nadaje. Nawet "średnio zaawansowany administrator", ba nawet junior powinien wiedzieć o tak poważnym zagrożeniu jakie niesie za sobą taki webshell. Widzisz, każde z szumnie prezentowanych przez Ciebie rozwiązań nazwa.pl kompletnie zawiodło, dlatego że najwyraźniej nie stosujecie podstawowej detekcji potencjalnego malware'u i być może dlatego w oficjalnych statystykach raportu CERT wypadacie tak słabo. Większość, nawet gotowych rozwiązań, np. skanujących w czasie rzeczywistym tego typu plik w pierwszej kolejności umieściłoby taki skrypt w kwarantannie o potencjalnym zagrożeniu, zaś ewentualny false positive przy dobrej praktyce "security-wise", musiałby być zweryfikowany przez właściciela. Nie będę dalej przedstawiał podstaw dotyczących security, ale tutaj naprawdę widać po raz wtóry realne (nie)działanie zabezpieczeń stosowanych w usługach nazwa.pl.

Proszę, zajmijcie się tym tematem jak najszybciej, ponieważ przyczyniacie się tym samym do degradacji poziomu bezpieczeństwa polskiej przestrzeni internetowej. Nie będę tego dłużej tłumaczył, proszę o kontakt z CERT, jeżeli czegoś nie rozumiesz.

Z mojej strony zakończę dyskusję, gdyż słowne przekomarzanie się mnie nie interesuje a jedynie suche, techniczne fakty, których niestety już tutaj brak, zaś Twoje potwierdzenie w tym zakresie mnie satysfakcjonuje. Oliwa sprawiedliwa, jak to powiadają.

[itomek]

4 godziny temu, Spoofy napisał:

Cóż, szukasz widocznie nie tam gdzie potrzeba. Informacji na temat rynku jest dość sporo w internecie.

 

 

Podeślij mi linki do ofert hostingów współdzielonych, które korzystają z takich rozwiązań, które pozwalają gwarantować określone zasoby. Własny cloud + dane na zewnętrznych macierzach + osobne klastry serwerów do poszczególnych usług + konteneryzacja + własna sieć CDN z wieloma węzłami w Polsce itd. A może korzystanie z CloudLinuxa dla Ciebie jest cloudem? Ciekawe, ile czasu będzie trwało zmigrowanie jednego klienta z takiego serwera, który ma 1 TB danych na inny serwer, w przypadku gdy wystąpi problem z noisy neighbour. U nas ułamki sekund. A w firmie którą wskażesz?

 

4 godziny temu, Spoofy napisał:

każda konteneryzacja służy właśnie do prostego skalowania współdzielonymi zasobami i relatywnie łatwo za pomocą wspomnianych rozwiązań stworzyć całkiem przyzwoitą infrastrukturę

 

Zarzucasz mi brak przedstawiania know-how firmy, a sam również piszesz ogólnie. Można to, można tamto. Doskonale wiem, że można, pytanie kto to robi i jakim kosztem. Na razie w PL widzę dominację cPanela i DirectAdmina, a rozliczenia przez WHMCS. Można jeździć Fiatem Cinquecento i można jeździć Rolls-Roycem Phantom Extended Series II. Jeden i drugi przy nieodpowiednim prowadzeniu będzie miał wypadek. Pytanie, kto co oferuje i czy faktycznie wywiązuje się z tego. W nazwa.pl jest SLA, które określa możliwości usługi, a użytkownik może ich wymagać. Zaraz napiszesz pewnie, że SLA jest niepotrzebne. Tam możemy ciągnąć tę dyskusję w nieskończoność.

 

5 godzin temu, Spoofy napisał:

Proszę, zajmijcie się tym tematem jak najszybciej, ponieważ przyczyniacie się tym samym do degradacji poziomu bezpieczeństwa polskiej przestrzeni internetowej.

 

Tonący brzytwy się chwyta. Odwołam się znów do samochodów. Badanie carVertical z 2021 roku przedstawia Lexusa jako najczęściej uszkadzany samochód w Europie. Może powinniśmy w Polsce zrobić dodatkowe badania techniczne dla Lexusów, skoro są takie niebezpieczne, albo zakazać ich rejestracji? Otóż to ludzie, którzy nieumiejętnie z nich korzystają, robią problem, a nie rozwiązania, które dostarcza producent. A może Lexus powinien przestać sprzedawać swoje samochody w Europie, bo Europejczycy mają statystycznie największą szansę w nich zginąć? Obłęd. Tak postrzegam Twoją wypowiedź i raport, który przytaczasz.

[Spoofy]

20 minut temu, itomek napisał:

Podeślij mi linki do ofert hostingów współdzielonych, które korzystają z takich rozwiązań, które pozwalają gwarantować określone zasoby.

Z google też nie potrafisz korzystać, prawda? Tak leniwy jesteś czy serio odrealniony?

Proszę, pierwsze z brzegu przykłady:

https://www.ovhcloud.com/pl/web-hosting/
https://www.cba.pl/pl/oferta/hosting
https://progreso.pl/pl/hosting-hybrydowy
 

21 minut temu, itomek napisał:

Własny cloud + dane na zewnętrznych macierzach + osobne klastry serwerów do poszczególnych usług + konteneryzacja + własna sieć CDN z wieloma węzłami w Polsce itd.

Cóż, nie będę mówić o tym że moja własna firma z powodzeniem wdraża takie rozwiązania, no ale serio - wyniesienie usług na osobne node'y w ramach dzielonych klastrów to nie jest rocket science, tym bardziej na podstawie już istniejących rozwiązań. Apropos "CDN'ów" w Polsce, to już było powiedziane dużo na tym forum, jakie realnie ma to znaczenie. Do stackpath'a czy CloudFlare'a to troszkę też wam daleko, a nawet tego typu darmowe usługi dają realne korzyści np. pod kątem SEO czy szybkiego resolvingu za granicą, przy analityce etc.

 

24 minuty temu, itomek napisał:

może korzystanie z CloudLinuxa dla Ciebie jest cloudem?

A czemu nie, skoro dałoby się to ładnie poukładać i spiąć na podstawie gotowych rozwiązań, równie wydajnie? 

 

25 minut temu, itomek napisał:

Ciekawe, ile czasu będzie trwało zmigrowanie jednego klienta z takiego serwera, który ma 1 TB danych na inny serwer, w przypadku gdy wystąpi problem z noisy neighbour. U nas ułamki sekund. A w firmie którą wskażesz?

Wiesz, większość stosuje tylko dyski NVMe a na nich zewnętrzne macierze ZoL, czy object storage dla konkretnych wymogów - to też jest raczej standard a nie nowość na rynku  no ale przy centralnym storage'u raczej przenoszenie ustawień kontenera miedzy node'ami, trwa niewiele więcej niż samo nawiązanie połączenia. Serio mam pokazywać przykłady? 
Jeżeli klient ma potrzebę gwarancji zasobów - może zakupić usługę gwarantującą ich przydział. Jeżeli klient chce usługi HA z centralnym storage'em rozliczanym per GB, też jest to bajecznie proste, tanie i przystępne, ponieważ to technologia wyznacza standard

 

30 minut temu, itomek napisał:

Zarzucasz mi brak przedstawiania know-how firmy, a sam również piszesz ogólnie. Można to, można tamto. Doskonale wiem, że można, pytanie kto to robi i jakim kosztem. Na razie w PL widzę dominację cPanela i DirectAdmina, a rozliczenia przez WHMCS. Można jeździć Fiatem Cinquecento i można jeździć Rolls-Roycem Phantom Extended Series II. Jeden i drugi przy nieodpowiednim prowadzeniu będzie miał wypadek. Pytanie, kto co oferuje i czy faktycznie wywiązuje się z tego. W nazwa.pl jest SLA, które określa możliwości usługi, a użytkownik może ich wymagać. Zaraz napiszesz pewnie, że SLA jest niepotrzebne. Tam możemy ciągnąć tę dyskusję w nieskończoność.

Cóż, tak mocno nie możesz doszukać się prostych faktów, informacji czy np. mojego CV to nic nie poradzę. To że dominują gotowce, wynikać może z tego że warto z nich korzystać, skoro robią coś dobrze od wielu lat i są znane, hm? Może zamiast skupiać się na aspektach kompletnie nieistotnych, sam wolę skorzystać z takiego gotowca i skupić się na konkretnych wymogach a nie nad developmentem całości  

Znów mocno wykraczamy poza technikalia, tym razem wkraczając w sferę biznesową. Tutaj kalkulacje są również bajecznie proste - ile developmentu, zmian i rozwoju widać w takich projektach z takimi zasobami a jakimiś internalowymi customami, hm? Uważasz że przykładowo nazwa.pl byłaby w stanie developmentem w jakikolwiek sposób dorównać takiemu projektowi, czy może częściej jest to raczej doganianie standardów kreowanych przez te gotowce? Trywialnych przykładów nie trzeba szukać daleko - obsługa certyfikatów LET w panelu nazwa.pl vs jakikolwiek "gotowiec".

 

34 minuty temu, itomek napisał:

Tonący brzytwy się chwyta. Odwołam się znów do samochodów. Badanie carVertical z 2021 roku przedstawia Lexusa jako najczęściej uszkadzany samochód w Europie. Może powinniśmy w Polsce zrobić dodatkowe badania techniczne dla Lexusów, skoro są takie niebezpieczne, albo zakazać ich rejestracji? Otóż to ludzie, którzy nieumiejętnie z nich korzystają, robią problem, a nie rozwiązania, które dostarcza producent. A może Lexus powinien przestać sprzedawać swoje samochody w Europie, bo Europejczycy mają statystycznie największą szansę w nich zginąć? Obłęd. Tak postrzegam Twoją wypowiedź i raport, który przytaczasz.

Obłędem nazywasz i traktujesz oficjalny, cykliczny raport waszego partnera, powtarzający jak mantrę podstawy bezpieczeństwa internetowego? Sugerujesz że nazwa.pl jest idealnym hostingiem do trzymania takich webshelli i złośliwych skryptów, tym samym promujesz i abrobujesz tego typu występki? Cóż, na samochodach się nie znam, to jest forum o tematyce hostingowej.

[itomek]

20 minut temu, Spoofy napisał:

Z google też nie potrafisz korzystać, prawda? Tak leniwy jesteś czy serio odrealniony?

 

Widzę, że nie potrafisz trzymać nerwów, nie obrażam Cię, więc Ty tez powstrzymaj się od tego typu określeń. Nie widzę tam elementów, które potwierdzałyby stosowanie konteneryzacji do budowy chmury. Chyba, że dopuszczasz bycie chmurą VM na Openstacku z lokalnym storage'em, podobnie jak CloudLinux + cPanel też może być chmurą dla Ciebie. A w tych firmach weryfikowałeś, czy procesy odpalone na SSH widoczne są przez WWW? Czy jest tam mowa o jakieś separacji środowisk / klastrów itp?

 

20 minut temu, Spoofy napisał:

Sugerujesz że nazwa.pl jest idealnym hostingiem do trzymania takich webshelli i złośliwych skryptów, tym samym promujesz i abrobujesz tego typu występki?

 

Każdy może, każdy ma, każdy jak chce to będzie. Tak wygląda Twoja wypowiedź. A siłę przekazu tego typu raportów pokazałem Ci na przykładzie carVertical i Lexusa.

Edytowane 27 Maja 2022 przez itomek

[patrys]

3 godziny temu, itomek napisał:

A siłę przekazu tego typu raportów pokazałem Ci na przykładzie carVertical i Lexusa.

 

4 godziny temu, itomek napisał:

Badanie carVertical z 2021 roku przedstawia Lexusa jako najczęściej uszkadzany samochód w Europie. Może powinniśmy w Polsce zrobić dodatkowe badania techniczne dla Lexusów, skoro są takie niebezpieczne, albo zakazać ich rejestracji?

 

Raport: https://www.carvertical.com/pl/blog/znamy-najczesciej-i-najrzadziej-uszkadzane-samochody-w-europie

 

"Jak wynika z analizy, najczęściej uszkadzanym samochodem jest Lexus. Samochody tej marki uchodzą za trwałe, jednak mają często znaczną moc. Zdarza się więc, że kierowcy przeceniają swoje umiejętności, co prowadzi do wypadków."

 

To raport wypadków, a nie trwałości pojazdu ( produktu ) czy jego nie zawodności.

Czyli wrzućmy cokolwiek, by coś napisać ; )

 

Marka samochodowa nie ma wpływu na to co zrobi z ich produktem nabywca, hostingodawca ma wpływ na to czy klient uruchomi coś złośliwego na jego platformie.

[itomek]

9 minut temu, patrys napisał:

To raport wypadków

 

Szkoda, że takiej analizy nie robisz w odniesieniu do raportu CERTu, jaki został zacytowany. A wystarczy przeanalizować liczbę domen obsługiwanych przez firmę vs liczba incydentów z raportu, a nie szukać po indywidualnych adresach IP. Ale jak widać, na potrzeby tak skonstruowanego zestawienia lepiej, że inne firmy wrzucają dziesiątki domen na jeden współdzielony IP, czego nazwa.pl nie robi. Chociaż jakby robiła to byłaby na szarym końcu takiego zestawienia. A skąd to jest wiadome? Wystarczyło, żeby Spoofy opublikował kolejną stronę raportu, na której widać statystykę obsługiwanych złośliwych stron. Ale to już nie było ciekawe w kontekście szukania taniej sensacji...

 

Cyt. ze strony 94: https://cert.pl/uploads/docs/Raport_CP_2021.pdf 

 

 

Jak więc poprawnie czytać raport CERT? Na pewno nie tak, jak pokazał to Spoofy. Trzeba zestawić liczbę domen obsługiwanych przez dany podmiot z liczbą opisanych w raporcie incydentów. Dzięki temu widać, jaki stosunek mają tego typu incydenty do wszystkich hostowanych adresów. Ale kto tu ma interes, aby o tym napisać...

 

Ja swoją wypowiedzią o carVertial chciałem zwrócić uwagę na to, że dowolną informację statystyczną można zaprezentować tak, jak interpretatorowi jest to wygodne. Myślę, że każdy kto przeczytał na spokojnie mój komentarz wie, że to właśnie miałem na myśli. 

[patrys]

Tomku nie robiłem analizy odwołałem się tylko do Twojego bez sensownego przytoczenia raportu z branży motoryzacyjnej który w ogóle nie jest powiązany z tym i co lepsze ów firmy nie mają żadnego wpływu na to...

 

Tu na szybko zerkając w PDF, no cóż home.pl jest na pierwszym miejscu, nazwa.pl na drugim, a podium zamyka akamai.

"Tab. 10. Polskie systemy autonomiczne, w których znajdowało się najwięcej stron phishingowych."

 

Po ASN po prostu pokazali skale, IP to już kolejna pozycja...

Jeżeli CERT się nie myli to zostaje to przełknąć

[Spoofy]

5 godzin temu, itomek napisał:

Obłęd. Tak postrzegam Twoją wypowiedź i raport, który przytaczasz.

 

4 minuty temu, itomek napisał:

Jak więc poprawnie czytać raport CERT? Na pewno nie tak, jak pokazał to Spoofy.

Tak więc, ten "obłędny" raport na stronie 94 ukazuje inne zagadnienie  Phising != malware umożliwiający jego rozsiewanie. Wiesz, inne firmy tak hucznie nie reklamują i nie opowiadają o nieomylności i niezawodności swoich rozwiązań, w taki sposób.
 

14 godzin temu, itomek napisał:

Bazy są oczywiście non-stop aktualizowane, a systemy zatrzymują dziennie setki tysięcy ataków (link do ciekawego opracowania: https://www.nazwa.pl/blog/700000-zatrzymanych-atakow-czyli-typowy-dzien-dla-intrusion-prevention-system-w-nazwapl) .

5 minut temu, itomek napisał:

że dowolną informację statystyczną można zaprezentować tak, jak interpretatorowi jest to wygodne

10 godzin temu, Spoofy napisał:

każdy może się pochwalić ostatnimi próbami blokad wszystkich takich ataków i zliczać, bawić się statystyką, pokazywać kibany, grafany, splunki, sightline'y, fortiosdashboard'y etc. - to nie zmienia faktu, że tych żądań nie zablokował żaden WAF i IPS stosowany przez nazwa.pl, a zdecydowanie powinien.

 

Nie rozmywajmy się na jakieś wyszukane porównania z innych dziedzin, po prostu skończmy na tym co zostało już napisane. Pewnego piątku powiedziałeś moim zdaniem @itomekpewną techniczną głupotę, ja czując się urażony i "ztriggerowany" się do niej przyczepiłem, uzyskałem informacje na ten temat i tyle. Przepraszam jeżeli Cię uraziłem, dlatego proponuję, proszę - zakończmy tą dyskusję.