>Молодой человек, Давайте без таких фамильярностей? А то я вам забыл мой возраст сообщить, и может так оказаться что я постарше вас. Получится весьма по идиотски тогда.
>а Вы в курсе, какую цену имеет порождение процесса, а какую - обработка
>пакета файрволом?
По логике вещей - обработка пакета сильно легче чем форк процесса. Переключений контекста в юзермод нет, копировать ничего никуда не нужно. Поэтому пакеты молотятся миллионами, а вот форк процесса... хоть форк в *никсах и довольно эффективная и красивая операция, на примере опача прекрасно видно что форкать по процессу на сущность - в целом все-таки весьма дурное начинание.
>Вы пробовали проверять Ваши убеждения на соответствие реальности?
Специально бенчами - нет. Но по логике вещей фаер в ядре - сильно быстрее, если сделан не слишком через задницу и рулесов не миллион и в дурном порядке. Наблюдения за поведением систем вроде это подтверждают и общесистемный здравый смысл это подсказывает.
>Зато системный администратор знает, ибо именно это и является его работой.
Да, конечно, можно все дебилизмы софта выправлять системными администраторами, мотивируя что они для этого и предназначены. А по факту если какой-то сервис нельзя вывесить в интернет без злостных костылей - он не такой уж и секурный, как минимум подверженный атакам специально нагружающим систему, например.
>Молодой человек,
А вы уже старый дед чтобы так говорить? А не боитесь что я окажусь старше вас ненароком? Или у вас комплексы какие-то насчет возраста? А то два раза какое-то странное для форума обращение.
>Вы в курсе, чем отличаются понятия "надежность" (reliability),
>"безопасность" (security) и "производительность" (performance)?
Да, я в курсе. И в частности в security есть такой вид атак - атака на исчерпание ресурсов атакуемого. Или на снижение его качества сервиса. Чем проще и халявнее делается такая атака - тем проще испортить жизнь атакуемому имея под рукой сильно меньше ресурсов чем он сам, специально вызывая наиболее "дорогие" операции в атакуемой системе. Ну и например опач отличается от нжинксы тем что если нжинксе вдуть пару тыщ соединений (не особо забивающих канал, допустим) - оно особо и не озадачится по этому поводу. А если опачу - то сам факт постоянного форкания тысяч процессов, жрача ими памяти и т.п. - может испортить весь компот. Засрав список процессов, нагрузив процессор и сожрав память. А если лимитировать число процессов - тогда легитимные юзеры не дождутся своей очережи. Такой вот хреновый выбор получается.
>Вы в курсе, что они зачастую выдвигают противоречивые требования?
В принципе вы тут отчасти правы, но в конечном итоге - общий вектор развития sshd как-то не радует. Вместо того чтобы оптимизировать жрач ресурсов на атаках и усложнить эти атаки (цифры взяты не с потолка а с реального сервака если что) - наворачивают каких-то свистелок.
>DDoS-атака на веб-сервер запросами "GET /" - вполне легитимные юзеры запрашивают это
>же. В файрволе юзеры с такии запросами при превышении количества фильтруются
>с небольшой затратой ресурсов, сервер продолжает работать. Анализ в демоне потребует
>куда больших затрат в ресурсах.
Да бросьте вы, какойнить нжинкс спокойно отгружает статику тысячам и тысячам бакланов без всякой защиты фаером. Можно просто вывесить в инет и не париться. И хрен его кто положит с разумными затратами сил при нормальных настройках (кеш динамики в статику хоть на несколько секунд например). Все эти сюсюкания нужны для неповоротливых демонов сделанных через известное место, у авторов которых хватило ума форкать по процессу на какую-то внешнюю активность. Что само по себе очень грабельное и небезопасное начинание позволяющее удаленному атакующему неплохо поабузить жрач ресурсрв на атакуемом хосте. Собссно классический метод атаки на ресурсы: на апач шлется куча соединений и медленно и печально качается. Воркер-процессы или засирают собой все вокруг и начинается коллапс, вплоть до невозможности зайти по ssh (это кстати к вопросу о надежности оного, если что - видал бакланов которым приходилось просить стафф ресетнуть хост, т.к. ssh не работает в таких условиях, да) или, если сервер настроен - ну, легитимные юзеры просто сосут полчаса и не дождавшись пока воркер раздуплится их обслужить отхватят таймаут.
>Тому, кто предложит увеличить нагрузку на сервер в условиях атаки,
>стоит подумать об увольнении.
Почему-то все в условиях таких атак ставят нжинксу и забывают о проблеме. Давить ботов? Их много - задолбаетесь в файр рулесы вносить, а автоматически отсеять ботов от юзеров без геморроя возможно не всегда. А вот openssh в подобных ситуациях как-то не очень, при том даже не целенаправленных атаках на ресурсы а при просто банальном бруте пассвордов какими-то лабухами.
>Следовательно, свойство "безопасность" (security) не нарушено, демон свою задачу
>выполнил.
Кроме случая "атака на ресурсы". Ага?
>Обеспечение свойства "производительность" выполняется другими путями, см. учебники.
Слово производительность применительно к демону ремотного управления звучит как-то похабно. Ну не имеет права такой демон жрать кучу ресурсов. По определению просто.
>Это показывает только то, что Ваши задачи - недалеки от песочницы.
Ой, сколько апломба.
>У меня на работе обеспечение шифрованной (безопасной) передачи файлов (scp,
>иногда для пользователей sftp) и проброса TCP-соединений является
>_необходимым_ - эта функциональность используется каждый день.
Если мне это будет необходимо - я поставлю себе отдельный впн, сделанный не через задний проход и портфорвардер/нат/прокси/что там мне угодно. Нахрен мне все это в секурном шелле то? Я конечно понимаю что круто лупить все гвозди одним микросокопом, ноне понимаю почему бы не взять молоток если им задача решается куда лучше.
>Молодой человек, еще раз перечитайте учебники на предмет определений,
>что такое security и что такое performance.
А по делу то есть что сказать? Или язык никак не поворачивается признать что с перфомансом - не фонтан и поэтому надо потроллить? А как следствие, страдает и секурити. Скажем позволяя атаки на исчерпание ресурсов или деградацию качества сервиса. Да, конечно, их можно отбить фаером. И жопу апача можно огораживать фаером. И что там еще. Вот только лишний гемор то - не рулит...
>Молодой человыек, меня берут сомнения, что Вы в состоянии представить более удобные
>утилиты для портфорвардинга, нежели применение ключей -L, -R, -D в ssh.
А зачем их представлять? Их вон готовых есть. Как пример - хоть тот же 3proxy. Умеет сильно дофига всего и в разных позах. В общем имхо если кто и шнец и жнец и на дуде игрец, есть шанс что далеко не все из этого делается хорошо.
>Которые, заметим, кроме собственно форвардинга обеспечивают _безопасную_ (secure)
>передачу данных. Назовите хотя бы парочку.
OpenVPN+3roxy например. Первое секурный транспортный уровень, второе может взять на себя прокси/портфорварды. При том - если например к окружению может хотеть доступ несколько юзеров и не все из них сильно доверяемые - так как-то сильно проще и подконтрольнее получается. И настраиваемость просто на порядок лучше. Ну и нахрена козе боян, спрашивается? А то давайте еще веб-браузер и почтовик туда встроим? А то я ими тоже каждый день пользуюсь. Почему бы не встроить их в этот демон?!
