>>Молодой человек,
>
>Давайте без таких фамильярностей? А то я вам забыл мой возраст сообщить,
>и может так оказаться что я постарше вас. Получится весьма по
>идиотски тогда. Действительно, может получиться - Вы ведь знаете, каким образом в определении IQ участвует возраст? Сообщите, очень интересно, что же будет.
>[оверквотинг удален]
>
>По логике вещей - обработка пакета сильно легче чем форк процесса. Переключений
>контекста в юзермод нет, копировать ничего никуда не нужно. Поэтому пакеты
>молотятся миллионами, а вот форк процесса... хоть форк в *никсах и
>>Вы пробовали проверять Ваши убеждения на соответствие реальности?
>
>Специально бенчами - нет. Но по логике вещей фаер в ядре -
>сильно быстрее, если сделан не слишком через задницу и рулесов не
>миллион и в дурном порядке. Наблюдения за поведением систем вроде это
>подтверждают и общесистемный здравый смысл это подсказывает.
Теперь выпишите Ваше убеждение сообщением выше по треду и сравните его с процитированным.
>довольно эффективная и красивая операция, на примере опача прекрасно видно что
>форкать по процессу на сущность - в целом все-таки весьма дурное
>начинание.
Идите, почитайте Стивенса на предмет разницы между блокируемым и неблокируемым вводом-выводом. А заодно посмотрите внимательнее на архитектуру Апача и сравните её с архитектурой sshd, прежде чем делать столь скоропалительные заявления.
>[оверквотинг удален]
>[...]
>Ну и нахрена козе боян, спрашивается? А то давайте еще веб-браузер
>и почтовик туда встроим? А то я ими тоже каждый день
>пользуюсь. Почему бы не встроить их в этот демон?!
>
>>Молодой человек,
>
>А вы уже старый дед чтобы так говорить? А не боитесь что
>я окажусь старше вас ненароком? Или у вас комплексы какие-то насчет
>возраста? А то два раза какое-то странное для форума обращение.
Затем, что это обращение более чем адекватно Вашему состоянию, и рассуждени выше о "дебилизмах" это полностью подтверждает. Здесь как нельзя более уместна цитата из классика:
- Вы стоите на самой низшей ступени развития, [...] вы еще только
формирующееся, слабое в умственном отношении существо, все ваши поступки чисто
звериные, и вы в присутствии двух людей с университетским образованием
позволяете себе с развязностью совершенно невыносимой подавать какие-то советы
космического масштаба и космической же глупости [...] вам нужно молчать и
слушать, что вам говорят. Учиться и стараться стать хоть сколько-нибудь
приемлемым членом [...] общества. Кстати, какой негодяй снабдил вас этой
книжкой?
>>Вы в курсе, чем отличаются понятия "надежность" (reliability),
>>"безопасность" (security) и "производительность" (performance)?
>
>Да, я в курсе. И в частности в security есть такой вид
>атак - атака на исчерпание ресурсов атакуемого. Или на снижение его
>качества сервиса.
Молодой человек, ткните, пожалуйста пальцем, где написано, что в перечень задач SSH входит защита от DoS-атак? Кстати, почему Вы не дали конкретные названия типов атак? Вы не владеете терминологией?
>и не озадачится по этому поводу. А если опачу - то
>сам факт постоянного форкания тысяч процессов,
Молодой человек, пойдите же и ознакомьтесь с архитектурой Апача, наконец! Зачем Вы несете такую чушь о pre-forked модели?
>>Вы в курсе, что они зачастую выдвигают противоречивые требования?
>
>В принципе вы тут отчасти правы, но в конечном итоге - общий
>вектор развития sshd как-то не радует. Вместо того чтобы оптимизировать жрач
>ресурсов на атаках и усложнить эти атаки (цифры взяты не с
Молодой человек, Вы в курсе, на _что_, собственно уходят эти самые ресурсы? Распишите. А заодно ознакомьтес с предметом поближе и узнайте, что sshd по мере сил их усложняет. Насколько это в его силах.
>Да бросьте вы, какойнить нжинкс спокойно отгружает статику тысячам и тысячам бакланов
>без всякой защиты фаером. Можно просто вывесить в инет и не
Вывесите. Динамику на главной по SSL. А потом создайте нагрузку ботнетом. Результат сообщите.
Вы вообще пробовали подумать на тему, для каких условий выбирается та или иная архитектура, дабы проводить адекватное сравнение?
>Все эти сюсюкания нужны для неповоротливых демонов сделанных через известное место,
>у авторов которых хватило ума форкать по процессу на какую-то внешнюю
>активность. Что само по себе очень грабельное и небезопасное начинание позволяющее
Молодой человек, идите прочитайте man setuid.
>>Тому, кто предложит увеличить нагрузку на сервер в условиях атаки,
>>стоит подумать об увольнении.
>
>Почему-то все в условиях таких атак ставят нжинксу и забывают о проблеме.
>Давить ботов? Их много - задолбаетесь в файр рулесы вносить, а
>автоматически отсеять ботов от юзеров без геморроя возможно не всегда. А
Если бы Вы имели реальный опыт эксплуатации, Вы бы знали, что случаев "поставил и забыл" - на практике мало. И nginx тоже бывает необходимо настраивать (или ядро тюнить), не говоря уже о том, что здесь - совсем другой сервис, а интеллектуальную работу софт за админа не сделает.
>>Следовательно, свойство "безопасность" (security) не нарушено, демон свою задачу
>>выполнил.
>
>Кроме случая "атака на ресурсы". Ага?
Идите еще раз подумайте над тем, от каких атак защищает SSH.
>>Обеспечение свойства "производительность" выполняется другими путями, см. учебники.
>
>Слово производительность применительно к демону ремотного управления звучит как-то похабно. Ну не
>имеет права такой демон жрать кучу ресурсов. По определению просто.
Определение в студию. А заодно вычислительные потребности криптографических алгоритмов с открытым ключом.
>>У меня на работе обеспечение шифрованной (безопасной) передачи файлов (scp,
>>иногда для пользователей sftp) и проброса TCP-соединений является
>>_необходимым_ - эта функциональность используется каждый день.
>
>Если мне это будет необходимо - я поставлю себе отдельный впн, сделанный
>не через задний проход и портфорвардер/нат/прокси/что там мне угодно. Нахрен мне
>все это в секурном шелле то? Я конечно понимаю что круто
>лупить все гвозди одним микросокопом, ноне понимаю почему бы не взять
>молоток если им задача решается куда лучше.
Вам недостаточно будет одного лишь VPN, а потребуются еще средства передачи самих файлов. Приведите сравнительный анализ Вашего решения (кстати, где оно? Вы не озвучили полный комплект) и scp/sftp.
>[оверквотинг удален]
>признать что с перфомансом - не фонтан и поэтому надо потроллить?
>
>>Молодой человек, меня берут сомнения, что Вы в состоянии представить более удобные
>>утилиты для портфорвардинга, нежели применение ключей -L, -R, -D в ssh.
>>Которые, заметим, кроме собственно форвардинга обеспечивают _безопасную_ (secure)
>>передачу данных. Назовите хотя бы парочку.
>
>А зачем их представлять? Их вон готовых есть. Как пример - хоть
>тот же 3proxy. Умеет сильно дофига всего и в разных позах.
>OpenVPN+3roxy например. Первое секурный транспортный уровень, второе может взять на себя прокси/портфорварды.
По делу здесь пока ничего здесь пока ничего не говорите именно Вы, зато разражаетесь многословными тирадами по поводу двух слов обращения к Вам. Лично я использую 3proxy только на одной машине, а scp/sftp - на семи десятках. Именно что молоток - для гвоздей. Под каждую задачу свой инструмент. Сомневаюсь, что Вы следуете этому принципу. Приведите конкретику: как именно Вы настраиваете 3proxy, чем он удобнее ssh -L/-R/-D.
