nicht angemeldetHallo,
Es heißt immer, Linux sei im Gegensatz zu Windows virenfrei.
Stimmt das? Gab es nie ein Linuxvirus? Warum sollte Linux weniger anfällig für Viren sein als Windows? Ist es wirklich so viel sicherer oder will die Mehrzahl der Virenprogrammierer Windows schaden und Linux retten? Wollen Virenprogrammierer einfach nur möglichst viele Nutzer treffen und attackieren deshalb Windows? Wiegt man sich mit Linux in einer zweifelhaften Sicherheit?
Was denkt ihr?
Grüße,
Heiner
Hallo,
meine Meinung:
Weil Linux fast keiner benutzt, haben sich die Hacker noch nicht die mühe gemacht, nen Virus zu schreiben.
Wenn es so oft benutzt werden würde wie Windows, dann würde es bestimmt auch Linux Viren geben.
MFG
Andavos
Moin!
Wenn es so oft benutzt werden würde wie Windows, dann würde es bestimmt auch Linux Viren geben.
Ab auf die Trollwiese!
clanwissen:
Bill the "kleinweich" ist member|master|king in eurem Clan?
Jedenfalls stammt das Geschreibsel aus der Redmonder Marketingstube.
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
Hallo,
wie soll ich das verstehn?
clanwissen:
»»Bill the "kleinweich" ist member|master|king in eurem Clan?
»»Jedenfalls stammt das Geschreibsel aus der Redmonder Marketingstube.
Und außerdem ist das kein Clan, schau dir die Site an, dann weißt du was das für ne Site ist ;)
MFG
Andavos
Sup!
Ja, was das fuer eine Site ist, sagen schon folgende Saetze ganz gut aus:
"Möchte man dynamische Seite generieren, dann braucht man PHP. PHP steht für Hypertext Preprocessor."
Quizfrage: Wieviele Fehler enthalten die zwei Saetze?
Gruesse,
Bio
Hallo Bio!
"Möchte man dynamische Seite generieren, dann braucht man PHP. PHP steht für Hypertext Preprocessor."
Quizfrage: Wieviele Fehler enthalten die zwei Saetze?
Zusatzfrage: Wer schreibt solche Sätze?
(Ich würde mal auf einen pubertierenden Hauptschüler tippen ;)
MfG
Götz
Sup!
Sind wir gemein?
Gruesse,
Bio
Ihr seit doch hier die Hauptschüler!
IQ 0?
Hallo Geheim!
Ihr seit doch hier die Hauptschüler!
Und wenn?
IQ 0?
Deinen IQ hättest du uns aber nicht gleich mitteilen brauchen, wir haben eh kein Mitleid mit Dir ;)
(nein nein, anonyme Poster sind mir ein Greuel ...)
MfG
Götz
Hallo Bio Elite!
Sind wir gemein?
Nein. Die Wahrheit muß man einfach auch mal aussprechen ;)
MfG
Götz
Sup!
Nein. Die Wahrheit muß man einfach auch mal aussprechen ;)
Ja, Götz, ich denke, Du hast Recht ;-)
Gruesse,
Bio
Hi fastix®,
Wenn es so oft benutzt werden würde wie Windows, dann würde es bestimmt auch Linux Viren geben.
Ab auf die Trollwiese!
ich halte diese Aussage für durchaus logisch. Gerade wer "berühmt" werden will, sucht sich natürlich diejenige Plattform mit dem größten Marktanteil aus, wenn er "auf den Putz hauen" will.
Ich bin sicher, daß es mehr Linux-Viren gäbe als bisher, wenn mehr Anwender Linux verwenden würden - es wäre dann einfach attraktiver, sich über dieses Thema Gedanken zu machen. Allerdings würden Linux-Viren sich wahrscheinlich nicht auf Linux allgemein beziehen, sondern auf eine konkrete Distribution (weil ich dort bessere Chancen für einen "Patzer" sehe als im besser getesteten Linux-Kernel) - und damit müßte man dann wiederum den Marktanteil nur dieser einzelnen Distribution als Kriterium heranziehen, nicht den von Linux insgesamt.
Der wesentliche Unterschied gegenüber Windows wäre IMHO, daß 1. leichter nachvollziehbar wäre, wie man die zugrundeliegende Lücke schließen kann (wegen Open Source) und 2. entsprechende Patches schneller verfügbar wären (weil der Open-Source-Gemeinde kein "Zacken aus der Krone" fällt, wenn sie durch den Patch einen Fehler zugibt).
Viele Grüße
Michael
Moin!
Gab es nie ein Linuxvirus?
Doch, experimentelle. Die konnten sich whl weiterverbreitenh, aber von einer Schadensfunktion ist nichts bekannt.
Warum sollte Linux weniger anfällig für Viren sein als Windows?
Es ist nicht von M$.
Ist es wirklich so viel sicherer oder will die Mehrzahl der Virenprogrammierer Windows schaden und Linux retten?
Das ist denen mehrheitlich egal. Die wollen: Berühmt werden||Spaß haben||Aus dem Schaden Nutzen ziehen(back doors) oder oder. Die bohren das Brett an der dünnsten Stelle.
Wollen Virenprogrammierer einfach nur möglichst viele Nutzer treffen und attackieren deshalb Windows?
Bei Windows ist es einfach einfach eine Fensterscheibe einzuwerfen.
Wiegt man sich mit Linux in einer zweifelhaften Sicherheit?
Das könnte passieren. Aber gerade in administrierten Anwendersystemen in Firmen, Behörden etc. ist der Schutz sehr hoch.
Was denkt ihr?
Schönes Wetter heute.
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
Hey,
Stimmt das? Gab es nie ein Linuxvirus?
Es gibt schon ein paar Viren für Linux, angeblich sind es so etwa 100 (im Vergleich dazu: 90000 für Win/DOS). Allerdings würden von den vorhandenen Viren unter Linux heute kaum mehr ein Dutzend richtig funktionieren, weil die meisten schlicht auf Programmier- und Bequemlichkeitslücken im ein oder anderen Anwendungsprogramm aufgesetzt hatten.
Ein anderer wichtiger Punkt ist natürlich auch, daß Linux-Systeme relativ gering verbreitet sind, und deren Anwender für gewöhnlich ein weniger distanziertes Verhältnis zur Technik haben (mehr Ahnung von Computern). Die Tatsache, daß so extrem viele Linux-basierte Webserver seit Jahren ohne Probleme werkeln, läßt aber natürlich schon den Schluß zu, daß es grundsätzlich sicherer ist. Nicht zuletzt unterscheidet sich Linux von NT in einem besser durchdachten Grundkonzept (NT wurde als Klicki-Bunti-Pseudo-UNIX-Konkurrenz entwickelt), die vielen verworrenen und undurchsichtig reingebastelten Bibliotheken in NT zeugen nämlich von vielen Köchen, und auch die zahlreichen offenen Server-Ports (wie neulich das RPC-Ding) gibt es unter Linux einfach nicht.
Während sich also echte (binär-) Viren konzeptbedingt nur schlecht unter Linux verbreiten können, wird es gleichwohl früher oder später auch Scripting-Viren für Linux geben (der geneigte Leser denke da OpenOffice). Irgendwann werden sicher Python und Perl den Platz von Microsofts VirusBasic einnehemen...
MsF,
milky
Hallo!
Es heißt immer, Linux sei im Gegensatz zu Windows virenfrei.
wer sagt das?
Ist es wirklich so viel sicherer oder will die Mehrzahl der Virenprogrammierer Windows schaden und Linux retten?
Nö, aber der Aufwand einen Virus für Windows zu programmieren lohnt sich aus einigen Gründen einfach erheblich mehr, zum einen der Marktanteil von Windows, es ist bei Windows leichter einen Virsu zu schreiben, der sehr viele Systeme befallen kann, Sicherheitslücken unter Linux betreffen dagegen meist nur bestimmte Distributionen und davon oft nur bestimmte Versionen, darüberhinaus werden Sicherheitslücken hier erheblich schneller geschlossen. Daazu kommt dass viele Windowes-Nutzer Microsft so stark mißtrauen, dass sie lieber keine Updates einspielen, weil man Angst hat MS würde irgendwas ausspionieren (wobei diese Angst meiner Meinung nach oft daher kommt das nicht lizensierte Windows-Versionen eingesetzt werden, und die Leute Angst haben dass MS Ihnen so auf die Schliche kommt, dieses Problem gibt es bei Linux nicht).
Der größte "Vorteil" bei Windows-Viren liegt IMHO aber an der typischen Nutzerstruktur. Ich würde mal behaupten dass der typische Linux-Anwender ein erheblich höheres "algemeines Computer-Wissen und Sicherheitsbewußtsein" hat als der durchschnittliche Windows-Anwender, daher sind diese auch in der Lage ihr System erheblich sicherer zu konfigurieren. Ein weitere großer Unterschied ist das die meisten Linux-Anwender sich auch an das Benutzerkonzept des Betriebssystems halten, was bei Windows oft nicht so ohne weiteres möglich ist, so dass IMHO die meisten privaten Anwender fürs tägliche arbteiten den Administrator-Account verwenden, so dass ein Angreifer mit sehr wenig Aufwand direkt volle Administrator-Rechte auf dem System erlangt.
Das Problem ist, das gerade die privaten Rechner im Gegensatz zu Rechnern in Firmennetzwerken direkt und ohne jeglichen Sicherheitskonzept an das Internet angebunden werden, und so ständige zahllosen und wahllosen Angriffsversuchen von irgenbdwelchen Scriptkiddies ausgesetzt sind.
Ich hoffe allerdings, das die Linux-Distributoren in der Lage sein werden diese Schwäche von Windows für sich auszunutzen, denn ich finde es bedenklich dass nach der Standard-Installation der meisten Distributionen zig Dienste laufen, was eigentlich nicht sein müsste, und für den normalen Anwender nur ein Sicherheitsrisiko und keinen Vorteil bedeutet.
Wollen Virenprogrammierer einfach nur möglichst viele Nutzer treffen und attackieren deshalb Windows?
sicher!
Wiegt man sich mit Linux in einer zweifelhaften Sicherheit?
Wennman glaubt dass man einfach eine CDs reinschiebt, eien Standardinstallation durchführt und dann nix mehr passieren kann, komme was wolle, dann wiegt man sich definitiv in einer trügerischen Sicherheit, ähnlich den Windoiwes-Anwendern die glauebn nach de Installation eienr Firewall sei alles erledigt.
Was denkt ihr?
Meiner Meinung nach sollte man sich mit dem System entsprechend auseinander setzen, oder fachkundige Hilfe holen, wobei ich auf der anderen Seite auch verstehe wenn das viele Leute nicht möchten. In dem Fall würde ich - ob Windows, Linux oder was weiß ich - empfehlen, einen einfachen Router einzusetzen, das kostet wirklich nicht viel, blockiert aber eingehende Verbindungen recht zuverlässig. Aber auch das ist kein "rundum-sorglos-Paket", es gibt immer noch genügend Wege sich Viren einzufangen, nämlich durch ausführen von Mailanhängen, was bei Standardeinstellungen bei Outlook ja auch ohne zutun des Users passiert(diese Problem umgeht man bei Linux z.B. komplett). Daher würde ich auf alle Fälle noch einen Benutzeraccount mit so wennig Rechten wie möglich verwenden, und einen Virenscanner verwenden. Wenn man dann noch auf IE und Outlook verzichten kann(gute Alternativen gibt es genügend!) sieht das ganze schon erheblich besser aus als vorher.
Ich weiß dass das nicht der Königsweg ist, aber IMHO einige recht einfache (DAU-freundliche ;-)) Maßnahmen zu einem sicherern System.
Grüße
Andreas
Hi,
Erst einmal: ein sehr schöner Text! Wäre es mir erlaubt, ihn in Auszügen und bei Gelegenheit zu zitieren?
Ich würde aber gerne noch etwas hinzufügen:
Es heißt immer, Linux sei im Gegensatz zu Windows virenfrei.
wer sagt das?
Keiner direkt, aber alle vermitteln den Eindruck. Ich finde man sollte dem vehement entgegenwirken.
Daazu kommt dass viele Windowes-Nutzer Microsft so stark mißtrauen, dass sie lieber keine Updates einspielen, weil man Angst hat MS würde irgendwas ausspionieren (wobei diese Angst meiner Meinung nach oft daher kommt das nicht lizensierte Windows-Versionen eingesetzt werden, und die Leute Angst haben dass MS Ihnen so auf die Schliche kommt, dieses Problem gibt es bei Linux nicht).
Es gibt noch ein weiteres Problem bei Windowspatches, das viele Sysadmins behindert diese Patches rechtzeitig oder gar überhaupt einzuspielen: Seiteneffekte mit anderen Programmen.
Im Gegensatz zu z.B. Debian, die wirklich nur den jeweiligen Fehler patchen (Soweit möglich; wenn der Fehler im Konzept liegt, geht's natürlich nicht so einfach, wird dann aber ausführlich dokumentiert), sodaß mehr oder weniger gefahrlos ein Autoupdate erfolgen kann, sind die Patches für Windows riesig und beinhalten sehr viele Änderungen. Diese Änderungen führen in sehr vielen Fällen dazu, das einige andere Programme gar nicht, oder nur noch eingeschränkt laufen. Aus diesem Grunde ist es nötig, diese Patches zu testen und zwar ausführlich.
Sowas kann durchaus sehr lange dauern (z.B. in einem sehr heterogenem System, was Anwender-Software angeht) und damit natürlich hin und wieder auch _zu_ lange. Außerdem ist es durchaus möglich, das einige Programme nach dem Patchen gar nicht mehr laufen, Programme, die vielleicht essentiell für ein Unternehmen sind. Wenn der Hersteller des betroffenen Programmes dafür dann nicht rechtzeitig einen Patch bereitstellt bleibt das ganze System ungepatcht.
"Keep your system up-to-date!" funktioniert nicht unter Windows.
Der größte "Vorteil" bei Windows-Viren liegt IMHO aber an der typischen Nutzerstruktur. Ich würde mal behaupten dass der typische Linux-Anwender ein erheblich höheres "algemeines Computer-Wissen und Sicherheitsbewußtsein" hat als der durchschnittliche Windows-Anwender, daher sind diese auch in der Lage ihr System erheblich sicherer zu konfigurieren.
So gerne ich sowas natürlich höre, doch entspricht es immer weniger der Wahrheit. Die neuen Linuxdistributionen erlauben es auch einem blutigem Anfänger ein System zu installieren.(Teilweise, ach, was sga' ich da, meistens sogar einfacher, als eine Windowsinstallation ;-) Die Sicherheit liegt damit natürlich bei den Defaulteinstellungen der Distribution.
Unangenehmes Beispiel: bei installiertem Wine wurde bei einer Distribution KMail erlaubt, entsprechende Dateien bei Klick auszuführen. Windowsviren können auch auf einem Linuxsystem viel Schaden anrichten!
Ein weitere großer Unterschied ist das die meisten Linux-Anwender sich auch an das Benutzerkonzept des Betriebssystems halten, was bei Windows oft nicht so ohne weiteres möglich ist, so dass IMHO die meisten privaten Anwender fürs tägliche arbteiten den Administrator-Account verwenden, so dass ein Angreifer mit sehr wenig Aufwand direkt volle Administrator-Rechte auf dem System erlangt.
Das ist noch nicht einmal derartig eingeschränkt: Man braucht nur irgendeinen Zugang und ein Programm mit Rootrechten (z.B. eine Firewall? >;-> ), das die Windows-GUI-Maschinerie benutzt.
Das Problem ist, das gerade die privaten Rechner im Gegensatz zu Rechnern in Firmennetzwerken direkt und ohne jeglichen Sicherheitskonzept an das Internet angebunden werden, und so ständige zahllosen und wahllosen Angriffsversuchen von irgenbdwelchen Scriptkiddies ausgesetzt sind.
Bei den ganzen installierten DSL-Anschlüssen wundert es mich mittlerweile doch arg, das noch keine Firma mit einer eingebauten Firewall wirbt. (Zumindest habe ich noch keine gesehen)
Diese Stelle (der DSL Router) wäre nämlich geradezu ideal! Allerdings nehme ich an, das die eh schon hauchdünnen Gewinnmargen keinerlei Zusatznutzen erlauben.
Ich hoffe allerdings, das die Linux-Distributoren in der Lage sein werden diese Schwäche von Windows für sich auszunutzen, denn ich finde es bedenklich dass nach der Standard-Installation der meisten Distributionen zig Dienste laufen, was eigentlich nicht sein müsste, und für den normalen Anwender nur ein Sicherheitsrisiko und keinen Vorteil bedeutet.
Solange die Dienste nur mühselig via /etc/rc* (und teilweise sogar an vielen Stellen mehr) einzurichten sind ist das Bemühen der Distributoren diesen Vorgang zu vereinfachen verständlich. Sie sollten aber wirklich dazu übergehen, diese Dienste zwar komplett einzurichten, aber nicht mehr automatisch zu starten. Eine kleine Notiz beim Installieren wäre da wohl nicht verkehrt. Bedeutet zwar etwas mehr Mühe für den Benutzer, aber diese Mühe ist durchaus ökonomisch vertretbar.
Wiegt man sich mit Linux in einer zweifelhaften Sicherheit?
Wennman glaubt dass man einfach eine CDs reinschiebt, eien Standardinstallation durchführt und dann nix mehr passieren kann, komme was wolle, dann wiegt man sich definitiv in einer trügerischen Sicherheit, ähnlich den Windoiwes-Anwendern die glauebn nach de Installation eienr Firewall sei alles erledigt.
Nunja, nach der Installation von OpenBSD ... achso, geht um Linux ;-)
Was denkt ihr?
Meiner Meinung nach sollte man sich mit dem System entsprechend auseinander setzen, oder fachkundige Hilfe holen, wobei ich auf der anderen Seite auch verstehe wenn das viele Leute nicht möchten.
Aber hoffentlich lassen diese Leute ihre Bremsen in einer Fachwerkstatt reparieren! SCNR ;-)
In dem Fall würde ich - ob Windows, Linux oder was weiß ich - empfehlen, einen einfachen Router einzusetzen, das kostet wirklich nicht viel, blockiert aber eingehende Verbindungen recht zuverlässig. Aber auch das ist kein "rundum-sorglos-Paket", es gibt immer noch genügend Wege sich Viren einzufangen, nämlich durch ausführen von Mailanhängen, was bei Standardeinstellungen bei Outlook ja auch ohne zutun des Users passiert(diese Problem umgeht man bei Linux z.B. komplett).
Selbst darauf kann man sich nicht verlassen, siehe oben die Kombination von Wine&KMail.
Daher würde ich auf alle Fälle noch einen Benutzeraccount mit so wennig Rechten wie möglich verwenden, und einen Virenscanner verwenden. Wenn man dann noch auf IE und Outlook verzichten kann(gute Alternativen gibt es genügend!) sieht das ganze schon erheblich besser aus als vorher.
Vor allem: Backups halten! Zwei Stück, um genau zu sein. Eines mit einem jungfräulichem Betriebsystem und allen Anwendungen (Es kostet ein wenig Arbeit das zu erstellen und kann kompliziert werden, da während dieser Zeit natürlich aus Sicherheitsgründen kein Netzzugriff erfolgen darf und damit evt auch keine nötigen Patches eingespielt werden können) und eines, das die eigenen Daten enthält und regelmäßig aufgefrischt wird. Wenn das Betriebsystemimage gut gemacht ist, ist es sehr wenig Arbeit, es schon auf Verdacht hin neu einzuspielen.
Ich weiß dass das nicht der Königsweg ist, aber IMHO einige recht einfache (DAU-freundliche ;-)) Maßnahmen zu einem sicherern System.
Hier auch ein paar einfache Tipps (Also nä, mit zwei 'p' sieht das irgendwie besch... aus ;-) für Linux (und teilweise natürlich auch für Windows wenn nicht gerade sehr spezifisch):
nur das installieren, was man wirklich braucht!
Die modernen Distributionen erlauben eine problemlose Nachinstallation und zeigen auch Abhängigkeiten an, falls irgendein Programm, das Du brauchst, andere Programme zusätzlich benötigt. Dabei wäre übrigens zu überlegen, ob es nicht eine Alternative gäbe, die weniger Abhängigkeiten hat. Windowsprogramme sind meist statisch gelinkt, d.h. sie bringen alles nötige selber mit.
nur die Dienste benutzen, die man wirklich braucht!
Dieser Punkt ist eigentlich obsolet, da schon gebracht und außerdem hat man nach Befolgung des ersten Punktes eh keine Dienste laufen, die man nicht wirklich braucht. Sollte man aber trotzdem kontrollieren.
niemals, ich wiederhole: niemals im Mehrbenutzer- und/oder
Netzbetrieb als Root einloggen!
Sollten einmal root-Rechte nötig werden, gibt es den Befehl 'su', der es ermöglicht befehle als Root auszuführen. Meistgebraucht ist wohl "su -c 'make install'". Die meisten Distributionen haben auch bequemere Methoden als 'su', bitte die Dokumentation zu befragen.
Sollten sehr aufwendige Arbeiten auszuführen sein, ist im Single-Modus ohne Netzwerk neu zu booten.
wenn es die Fähigkeiten erlauben, ist ein monolithischer Kernel zu kompilieren und alle Modulutils zu entfernen.
niemals mehr Rechte als nötig vergeben!
Es gibt einige Tools, die die Suche nach zuviel Rechten erlauben.
Siehe z.B. Freshmeat oder Sourceforge. Insbesondere ist es in einigen Distributionen erlaubt, das Homeverzeichnis des anderen zu lesen. Zwar meist nur die Dateinamen, aber selbst das sollte verhindert werden. Dummerweise funktioniert dann z.B. locate nicht mehr richtig und es ist somit updatedb für jeden User extra zu fahren. Allerdings ist dieses Vorgehen eh zu empfehlen.
jedwede Fernwartung und -benutzung hat über verschlüsselte Kanäle zu erfolgen!
es ist regelmäßig (z.B. beim Mailabholen, einloggen o.ä.) die Updateseite der eigenen Distribution zu besuchen! In einigen Fällen (Debian) kann sogar recht gefahrlos ein Autoupdate eingesetzt werden.
Serveradmins sind gehalten das ebenso regelmäßig mit den bekannten Sicherheitsnewsgroups und -webseiten zu tun. Sowas kostet pro Tag vielleicht einmal 5-10 Minuten (so ziemlich genau die Zeit, die man für den Morgenkaffee benötigt, eine Hand für die Maus ist also frei ;-), die gut angelegt sind.
so short
Christoph Zurnieden
Hallo Christoph!
Erst einmal: ein sehr schöner Text!
Danke ;-)
Wäre es mir erlaubt, ihn in Auszügen und bei Gelegenheit zu zitieren?
logisch :)
Ich würde aber gerne noch etwas hinzufügen:
gerne ;-)
Es heißt immer, Linux sei im Gegensatz zu Windows virenfrei.
wer sagt das?
Keiner direkt, aber alle vermitteln den Eindruck. Ich finde man sollte dem vehement entgegenwirken.
Das stimmt wohl. Das sind immer die alten Flames, wo die Postings der "Linux-Hardliner" mehr schaden als nutzen.
Es gibt noch ein weiteres Problem bei Windowspatches, das viele Sysadmins behindert diese Patches rechtzeitig oder gar überhaupt einzuspielen: Seiteneffekte mit anderen Programmen.
Ja, mir ist das zwar erst recht selten passiert, aber man hört sehr oft das nach dem einspielen eines Service-Packs auf einmal viel mehr Probleme da sind als vorher, das darf nicht sein. Klar, das komtm meist von fremder Software, aber trotzdem ist es der OS-Hersteller schuld wenn Fremdsoftware derart negativen Einfluss üben kann.
"Keep your system up-to-date!" funktioniert nicht unter Windows.
Ja, dazu kommt das bekannte Sicherheistlücken oft erst Monate später oder gar nicht behoben werden.
Ich würde mal behaupten dass der typische Linux-Anwender ein erheblich höheres "algemeines Computer-Wissen und Sicherheitsbewußtsein" hat als der durchschnittliche Windows-Anwender, daher sind diese auch in der Lage ihr System erheblich sicherer zu konfigurieren.
So gerne ich sowas natürlich höre, doch entspricht es immer weniger der Wahrheit.
doch, ich denke schon, nur je einfacher Linux wird desto mehr nährt sich das an. Aber das ist ja auch das Ziel, mehr Anwender für Linux zu gewinnen, und meiner Meinung nach kann man nicht von jedem Anwender erwarten sich so mit dem System auseinander zu setzen wie Du oder ich. Und dann sind halt die Distributoren gefragt eine gleichzeitig einfache als auch sicher Installation zu gewährleisten, und da wird IMHO zur Zeit der faslche Weg eingeschlagen. Bei Red Hat kann ich während der Installation zwar Sicherheitseinstellungen machen, also welche Dienste erreichbar sein sollen, aber frag mich nicht warum, das schlägt sich dann nicht in der Konfiguration der Dienste oder den Startscripten nieder, sondern in Einträgen in iptables... das heißt die Dineste laufen, werden nur per "Firewall" geblockt. Das finde ich ziemlich dämlich. Was ich auch gut fände wäre eine einfache Möglichkeit die Dienste für eione lokalen Testbetrieb zu konfigurieren, also nur über localhost erreichbar, naja, iptables ist halt einfacher.
Die neuen Linuxdistributionen erlauben es auch einem blutigem Anfänger ein System zu installieren.(Teilweise, ach, was sga' ich da, meistens sogar einfacher, als eine Windowsinstallation ;-) Die Sicherheit liegt damit natürlich bei den Defaulteinstellungen der Distribution.
Trotzdem will ich meine Aussage über die "skills" der Anwender aufrecht erhalten. Im Prinzip fängt jeder erstmal mit Windows an, macht seine Erfahrungen und guckt sich dann vielleicht mal irgendwann Linux an. Die meisten PCs werden bei Aldi & Co. verkauft, da auch viel von Leute die mit "Computern/Internet anfangen", und da gibts dann immer Windows XP Home dabei.
Unangenehmes Beispiel: bei installiertem Wine wurde bei einer Distribution KMail erlaubt, entsprechende Dateien bei Klick auszuführen. Windowsviren können auch auf einem Linuxsystem viel Schaden anrichten!
Ich bin absolut kein Fan von solchen Emulationen. Daher verwende ich auch Linux weniger für meine "Desktop-Arbeit", das mache ich erst wenn alle Programme die ich brauche auch für Linux verfügbar sind, bzw. die Openoffice-Kompatibilität zu MS Office verbessert ist.
Und hier liegt auch der Teufelskreis: Mehr Anwendungssoftware gibt es nur mit mehr Anwendern, mehr Anwender gibt es nur wenn es DAU-freundlicher wird, wenn es DAU-freundlicher wird, wird es unsicherer(nicht zwangsläufig, aber dank den großen Distributionen ist das IMHO leider so).
Was nichts daran ändert das ein DAU-Linux immer noch erheblich sicherer ist als ein DAU-Windows, zumindest im Moment.
Ein weitere großer Unterschied ist das die meisten Linux-Anwender sich auch an das Benutzerkonzept des Betriebssystems halten, was bei Windows oft nicht so ohne weiteres möglich ist, so dass IMHO die meisten privaten Anwender fürs tägliche arbteiten den Administrator-Account verwenden, so dass ein Angreifer mit sehr wenig Aufwand direkt volle Administrator-Rechte auf dem System erlangt.
Das ist noch nicht einmal derartig eingeschränkt: Man braucht nur irgendeinen Zugang und ein Programm mit Rootrechten (z.B. eine Firewall? >;-> ), das die Windows-GUI-Maschinerie benutzt.
Wieso? Also Win98 & Co. jetzt mal außen vorgelassen, dessen Benutzerkonzept ist ein schlechter Witz, wenn Win2000 auf einer NTFS-Partition installiert wurde, und man nicht als Administrator oder Hauptbenutzer arbeitet, wie soll eine Software dann so ohne weiteres Zugriff auf Administrator-Rechte erlangen, es sei denn durch irgendwelche Exploits? Aber sowas gibts auch unter Linux.
Bei den ganzen installierten DSL-Anschlüssen wundert es mich mittlerweile doch arg, das noch keine Firma mit einer eingebauten Firewall wirbt. (Zumindest habe ich noch keine gesehen)
Hm? Meinst Du jetzt im Modem oder in einem Router? Bei Modem weiß ich nicht, aber ich glaube fast sowas schonmal gelesen zu haben, auf alle ist das bei Routern und Modem/Router Kombis doch inzwischen Standard, oder?
Diese Stelle (der DSL Router) wäre nämlich geradezu ideal!
ja, ich habe mir letztens einen Router für 35 EUR besorgt, der hatte sogar speziele Fiter-Funktionen eingebaut, was ich aber erst beim Versuch die zu verwenden festgestellt habe - um die zu nutzen muss man erstmal in Internet eine Lizenz für 29 EUR erwerben, eine Unverschämtheit :(
Aber auch ohne spezielle Filter, der Router an sich ist ja eine hervorragende Firewall, da er es nicht zulässt dass man von außen eine Verbindung zu einem Rechner hinter dem Router aufbaut. Der Router akzeptiert nur Antworten auf vorherige Requests.
Wenn ich will das mein Apache oder mein SSH von außen erreichbar wird, dann muss ich für den Port manuell eine entsprechende Weiterleitung einrichten (port forwarding). Und das ist ja auch logisch, nach außen hat das gesamte LAN hinter dem Router ja nur eine IP, die des Routers, wenn ich jetzt eine Verbindung zu einem Rechner hinter dem Router herstellen wil - woher soll der Router wissen zu welchem davon? Daher muss man dem das sagen.
Und das ist das gute, sollte man sich tatsächlich mal ein Backdoor-Programm eingefangen haben, dann kann das zwar nach außen kommunizieren, nur kann der Angreifer keine Verbindung zu dem Tool herstellen, zumindest solange kein Port(am Router) offen ist.
Solange die Dienste nur mühselig via /etc/rc* (und teilweise sogar an vielen Stellen mehr) einzurichten sind ist das Bemühen der Distributoren diesen Vorgang zu vereinfachen verständlich.
Finde ich nicht. Hinzufügen zu /etc/rc*.d passiert doch heut zu Tage über bequeme Oberflächen, bei Redhat klicke ich auf Systemeinstellungen->Dienste und da kann ich für jedes Runlevel einstellen, welche Dienst gestartet werden, und dieses Programm bearbeitet dann das Verzeichnis dem entsprechend. Das ist doch supereinfach zu bedienen, finde ich zumindest. Ich finde das automatische Starten der viele Dienste einfach unnötig.
Sie sollten aber wirklich dazu übergehen, diese Dienste zwar komplett einzurichten, aber nicht mehr automatisch zu starten. Eine kleine Notiz beim Installieren wäre da wohl nicht verkehrt. Bedeutet zwar etwas mehr Mühe für den Benutzer, aber diese Mühe ist durchaus ökonomisch vertretbar.
Ja, das sehe ich genau so. Vor allem braucht der normale Desktop-Anwender keine Dienste die irgendwelche Ports abhören, und wenn er in einem Firmennetzwerk irgendwas braucht dann sollte das der Admin einstellen.
Wiegt man sich mit Linux in einer zweifelhaften Sicherheit?
Wenn man glaubt dass man einfach eine CDs reinschiebt, eine Standardinstallation durchführt und dann nix mehr passieren kann, komme was wolle, dann wiegt man sich definitiv in einer trügerischen Sicherheit, ähnlich den Windoiwes-Anwendern die glauebn nach de Installation eienr Firewall sei alles erledigt.
Nunja, nach der Installation von OpenBSD ... achso, geht um Linux ;-)
;-) Ich kann auch Linux so installieren dass es auf keinem Port lauscht, aber das ist eben nicht "standard".
So, das war anscheinend etwas zu viel, mehr wollte ich jetzt nicht rauskürzen, also siehe Teil 2 ;-)
Hi,
[...]Seiteneffekte mit anderen Programmen.
Ja, mir ist das zwar erst recht selten passiert, aber man hört sehr oft das nach dem einspielen eines Service-Packs auf einmal viel mehr Probleme da sind als vorher, das darf nicht sein. Klar, das komtm meist von fremder Software, aber trotzdem ist es der OS-Hersteller schuld wenn Fremdsoftware derart negativen Einfluss üben kann.
Fremdsoftware? Nein, nein, das kann auch mit Windows selber kollidieren. (Meist, wenn man die Reihenfolge bestimmter Patches nicht einhält, oder die Reparatur eine Windows-API völlig durcheinanderwirbelt)
Ich würde mal behaupten dass der typische Linux-Anwender ein erheblich höheres "algemeines Computer-Wissen und Sicherheitsbewußtsein" hat als der durchschnittliche Windows-Anwender, daher sind diese auch in der Lage ihr System erheblich sicherer zu konfigurieren.
So gerne ich sowas natürlich höre, doch entspricht es immer weniger der Wahrheit.
[...]Bei Red Hat kann ich während der Installation zwar Sicherheitseinstellungen machen, also welche Dienste erreichbar sein sollen, aber frag mich nicht warum, das schlägt sich dann nicht in der Konfiguration der Dienste oder den Startscripten nieder, sondern in Einträgen in iptables... das heißt die Dineste laufen, werden nur per "Firewall" geblockt. Das finde ich ziemlich dämlich.
Naja, nicht so ganz. Manche Dienste braucht man nur lokal (nicht unbedingt nur zum Testen), außerdem hast Du ja auch nicht darum gebeten, die Dienste abzuschalten, sondern sie nicht erreichbar zu machen. Das dieser Unterschied respektiert wird ist nicht verkehrt, wenn auch nicht auf Anhieb einsehbar, das stimmt.
Was ich auch gut fände wäre eine einfache Möglichkeit die Dienste für eione lokalen Testbetrieb zu konfigurieren, also nur über localhost erreichbar, naja, iptables ist halt einfacher.
Das reicht nicht immer. Selbst wenn ein bestimmter Dienst ausschließlich über Localhost zu erreichen ist, so kann im schlimmstem Fall via IP-Spoofing immerhin ein DoS erreicht werden.
Trotzdem will ich meine Aussage über die "skills" der Anwender aufrecht erhalten. Im Prinzip fängt jeder erstmal mit Windows an, macht seine Erfahrungen und guckt sich dann vielleicht mal irgendwann Linux an. Die meisten PCs werden bei Aldi & Co. verkauft, da auch viel von Leute die mit "Computern/Internet anfangen", und da gibts dann immer Windows XP Home dabei.
Wenn Du wüßtest, womit ich angefangen hatte, würden mich alle bedauern, deshalb laß ich es mal ;-)
Aber es ist schon wahr: den ersten PC, den ich mir käuflich erwerben konnte, hatte schon Windows vorinstalliert und einmal reingeschaut hatte ich, das muß ich zugeben. (Übrigens mit dem Ergebnis: den Schrott will doch niemals jemand haben, die gehen doch sowas von Ruckzuck pleite ... tja, so kann man sich irren ;-)
Ich bin absolut kein Fan von solchen Emulationen. Daher verwende ich auch Linux weniger für meine "Desktop-Arbeit", das mache ich erst wenn alle Programme die ich brauche auch für Linux verfügbar sind, bzw. die Openoffice-Kompatibilität zu MS Office verbessert ist.
Zumindest gnumeric kann jetzt Exceldateien vollständig importieren (exportieren weiß ich nicht genau, nehme es aber an)
Das ist noch nicht einmal derartig eingeschränkt: Man braucht nur irgendeinen Zugang und ein Programm mit Rootrechten (z.B. eine Firewall? >;-> ), das die Windows-GUI-Maschinerie benutzt.
Wieso? Also Win98 & Co. jetzt mal außen vorgelassen, dessen Benutzerkonzept ist ein schlechter Witz, wenn Win2000 auf einer NTFS-Partition installiert wurde, und man nicht als Administrator oder Hauptbenutzer arbeitet, wie soll eine Software dann so ohne weiteres Zugriff auf Administrator-Rechte erlangen, es sei denn durch irgendwelche Exploits? Aber sowas gibts auch unter Linux.
Den hier http://security.tombom.co.uk/shatter.html bestimmt nicht. Das ist noch nicht einmal ein Exploit nach Definition, das ist "broken by design". Meines Wissens ist das auch bei w2003 noch so, lasse mich aber gerne eines Besseren belehren. Solange dieser Designflaw drin ist, kann ich Windows nicht für Netzwerk- und Multiuserbetrieb empfehlen.
Bei den ganzen installierten DSL-Anschlüssen wundert es mich mittlerweile doch arg, das noch keine Firma mit einer eingebauten Firewall wirbt. (Zumindest habe ich noch keine gesehen)
Hm? Meinst Du jetzt im Modem oder in einem Router? Bei Modem weiß ich nicht, aber ich glaube fast sowas schonmal gelesen zu haben, auf alle ist das bei Routern und Modem/Router Kombis doch inzwischen Standard, oder?
Ach, gibt es doch schon? Na, dann nehme ich alles zurück und behaupte das Gegenteil ;-)
Dann bleibt aber doch die Frage, warum das nicht allgemein eingesetzt wird. Sollte doch ein Großteil des Ärgers schonmal im Keim ersticken, oder?
Diese Stelle (der DSL Router) wäre nämlich geradezu ideal!
ja, ich habe mir letztens einen Router für 35 EUR besorgt, der hatte sogar speziele Fiter-Funktionen eingebaut, was ich aber erst beim Versuch die zu verwenden festgestellt habe - um die zu nutzen muss man erstmal in Internet eine Lizenz für 29 EUR erwerben, eine Unverschämtheit :(
Wenn Du damit die Quellen bekommst, ist das durchaus in Ordnung. (Ohne Quellen nützt keine Sicherheitssoftware etwas)
Aber auch ohne spezielle Filter, der Router an sich ist ja eine hervorragende Firewall, da er es nicht zulässt dass man von außen eine Verbindung zu einem Rechner hinter dem Router aufbaut. Der Router akzeptiert nur Antworten auf vorherige Requests.
Naja, _so_ einfach ist es denn nun doch nicht ;-)
Außerdem kommen die meisten eh von innen und wenn da nicht alles sorgfältig abgesichert ist, kommen die sogar durch.
»»[...] Vor allem braucht der normale Desktop-Anwender keine Dienste die irgendwelche Ports abhören, und wenn er in einem Firmennetzwerk irgendwas braucht dann sollte das der Admin einstellen.
Und zwar _nur_ der.
Zwei Stück, um genau zu sein. Eines mit einem jungfräulichem Betriebsystem und allen Anwendungen (Es kostet ein wenig Arbeit das zu erstellen und kann kompliziert werden, da während dieser Zeit natürlich aus Sicherheitsgründen kein Netzzugriff erfolgen darf und damit evt auch keine nötigen Patches eingespielt werden können)
Mit den ganzen Programmen? Wozu? Reicht es nicht einfach /etc zu sichern?
Es gibt bei Windows kein /etc. (Wollte es ein wenig allgemeiner halten)
Nein, es reicht keineswegs nur /etc zu sichern. Nicht nur, das ein Image schneller eingespielt ist, als neu installiert, man kann auch die Updates aktuell halten (braucht dann natürlich dafür eine extra Maschine, auf der man die Updates einspielt. Zur Not reicht auch eine extra Partition, aber wirklich nur zur Not)
Ja, das finde ich auch Mist, dass standardmäßig bei SSH root-login erlaubt ist. Zuminmdest bei Red Hat.
Immer noch? Au Mann!
Sollten sehr aufwendige Arbeiten auszuführen sein, ist im Single-Modus ohne Netzwerk neu zu booten.
Aber manchmal brauche ich als root auch das Netzwerk. Wobei, nicht unbedingt. Aber wieso genau? Was ist denn großartig der Unterschied zu su -?
Mit einem komplettem Login wird alles mögliche geladen, Environment, Dienste etc. Das wird für einen einfachen Befehl meistens gar nicht gebraucht. Sind nun mehrere Nutzer und/oder Netzwerkanschluß auf dem Rechner stehen mehr Stellen für Exploits zur Verfügung als nötig.
'su -c' startet wirklich nur das einzelne Kommando als Root, nichts anderes. ('su -l' wirkt übrigens als vollständiger Login) Es reicht aber auch nur das Netz zu kappen, wenn man alleine auf dem Rechner ist., es ist da nicht nötig, den Singlemodus zu starten.
- wenn es die Fähigkeiten erlauben, ist ein monolithischer Kernel zu kompilieren und alle Modulutils zu entfernen.
Ja? Das übersteigen wir aber jetzt die DAU-Zone um ein paar Stufen ;-)
Naja, soviel ist es nicht, ist eigentlich sogar oft und gut dokumentiert.
Was ist denn der Vortel eines monolithischen Kernels?
Der Vorteil liegt weniger im monolithischem Kernel, als im Fehlen der modutils. So _kann_ einfach kein übelwollendes Kernelmodul eingelinkt werden. (Da auch die Modulunterstützung im Kernel ausgeschaltet sein muß, nützt auch das Installieren der Modutils nix. Ginge dann nur mit Reboot und ein Reboot ohne das der Sysadmin 'shutdown $OPTIONS' eingetippelt hat, jagt ihn schneller vom Sessel hoch, als der Lieferant mit dem Kasten $CAFFEINATED_BEVERAGE_OF_CHOICE ;-)
Ich habe mir einmal versucht selbst einen Kernel zu bauen, das hat auch geklappt, nur habe ich es nicht mehr geschafft ins Netzwerk zu kommen, naja, hab dann irgendwann aufgegeben da es doch etwas viel Zeit frisst fürs "nur mal ausprobieren" ;-)
Na gut, aber normalerweise sollte die Kernelconfig doch die Defaults der Distribution bereits drin haben? Das einzige, was dann anzupassen wäre, ist die Prozessortypangabe direkt am Anfang. Wenn da schon der steht, den Du hast, ist das Neubauen sogar relativ unnötig. Zumindest dann, wenn Du das nicht richtig kannst. Ansonsten würde ich mir doch mal die entsprechenden Dokumentationen zur Brust nehmen. man sollte schon seinen eigenen Kernel kompilieren können, ob man es dann tut ist dann wieder eine andere Frage ;-)
so short
Christoph Zurnieden
Hi!
[...]Bei Red Hat kann ich während der Installation zwar Sicherheitseinstellungen machen, also welche Dienste erreichbar sein sollen, aber frag mich nicht warum, das schlägt sich dann nicht in der Konfiguration der Dienste oder den Startscripten nieder, sondern in Einträgen in iptables... das heißt die Dineste laufen, werden nur per "Firewall" geblockt. Das finde ich ziemlich dämlich.
Naja, nicht so ganz. Manche Dienste braucht man nur lokal (nicht unbedingt nur zum Testen),
Ja, aber z.B. den Apachen kann man so konfigurieren, das er nur am loopback lauscht.
außerdem hast Du ja auch nicht darum gebeten, die Dienste abzuschalten, sondern sie nicht erreichbar zu machen.
Ja, weil es nicht anders geht. Und der Unterschied ist einem DAU nicht wirklich klar.
Das dieser Unterschied respektiert wird ist nicht verkehrt, wenn auch nicht auf Anhieb einsehbar, das stimmt.
Ich verstehe das durchaus, naja, vielleicht ist es ja für die meisten Leute sinnvoller als ich denke.
Wenn Du wüßtest, womit ich angefangen hatte, würden mich alle bedauern, deshalb laß ich es mal ;-)
Was war es denn? Bei mir war es irgendein DR DOS, aber ein bisschen mehr als "normal" mache ich erst seit vielleicht 2 Jahren.
Aber es ist schon wahr: den ersten PC, den ich mir käuflich erwerben konnte, hatte schon Windows vorinstalliert und einmal reingeschaut hatte ich, das muß ich zugeben.
Naja, ich dachte mir ähnlches, außerdem hatte ich das anfangs nur auf einem Mädel gesehen, "Spielzeug" habe ich gedacht ;-)
(Übrigens mit dem Ergebnis: den Schrott will doch niemals jemand haben, die gehen doch sowas von Ruckzuck pleite ... tja, so kann man sich irren ;-)
Oh ja :)
Zumindest gnumeric kann jetzt Exceldateien vollständig importieren
Wie kann das gehen wenn das Format nicht offen liegt?
Bei den ganzen installierten DSL-Anschlüssen wundert es mich mittlerweile doch arg, das noch keine Firma mit einer eingebauten Firewall wirbt. (Zumindest habe ich noch keine gesehen)
Hm? Meinst Du jetzt im Modem oder in einem Router? Bei Modem weiß ich nicht, aber ich glaube fast sowas schonmal gelesen zu haben, auf alle ist das bei Routern und Modem/Router Kombis doch inzwischen Standard, oder?Ach, gibt es doch schon? Na, dann nehme ich alles zurück und behaupte das Gegenteil ;-)
Vielleicht nicht die tollste Quelle, naja: http://www.tecchannel.de/hardware/835/2.html
Dann bleibt aber doch die Frage, warum das nicht allgemein eingesetzt wird. Sollte doch ein Großteil des Ärgers schonmal im Keim ersticken, oder?
Das meine ich ja damit!
ja, ich habe mir letztens einen Router für 35 EUR besorgt, der hatte sogar speziele Fiter-Funktionen eingebaut, was ich aber erst beim Versuch die zu verwenden festgestellt habe - um die zu nutzen muss man erstmal in Internet eine Lizenz für 29 EUR erwerben, eine Unverschämtheit :(
Wenn Du damit die Quellen bekommst, ist das durchaus in Ordnung. (Ohne Quellen nützt keine Sicherheitssoftware etwas)
Keine Ahnung, ich rege mich auch weniger darüber auf Geld zu bezahlen, sondern eher wie die das machen.
Das ganze hat nichts mit einer hochwertigen Firewall zu tun, aber es ist besser als nichts.
Aber auch ohne spezielle Filter, der Router an sich ist ja eine hervorragende Firewall, da er es nicht zulässt dass man von außen eine Verbindung zu einem Rechner hinter dem Router aufbaut. Der Router akzeptiert nur Antworten auf vorherige Requests.
Naja, _so_ einfach ist es denn nun doch nicht ;-)
Nicht? Wieso nicht? Eingehende TCP und UDP Verbindungen werden doch zuverlässig geblockt, oder?
Außerdem kommen die meisten eh von innen und wenn da nicht alles sorgfältig abgesichert ist, kommen die sogar durch.
Wer kommt denn von innen? Wenn ich mir einen Trojaner einfange, dann macht der erstmal gar nichts, er versucht nur dem Angreifer zu kontaktieren, und das kann er ja ruhig schaffen, denn dieser wird nicht in der Lage sein sich mit der Schadsoftware zu verbinden. Gut, prinzipiell kann man auch ohne direkt verbunden zu sein schaden anrichten und Informationen übertragen, "Funktionalitäten" nachladen... aber mit sowas haben einfache Home-Desktops IMHO nicht zu kämpfen, deren Probleme ergeben sich einfach aus dem schier unendlichen Angriffsversuchen irgendelcher Script-Kiddies die nur in der Lage sind irgendewelche fertige möchtegern-Hacker-Software zu verteilen und zu bedienen.
Ich kenne mich da nicht so 100%ig aus, aber meines Wissens kann man auch von einem Client eine TCP-Verbindung zu einem Server herstellen, dann aber den Client als Server verwenden, und die Anfragen einfach vom Server aus schicken, aber den Aufwand braucht man sich ja nicht zu machen wenn es noch genügend "Opfer" gibt die es einem erheblich leichter machen. Aber hast schon Recht 100%ig ist das nicht, oder worauf genau wolltest Du hinaus?
Aber manchmal brauche ich als root auch das Netzwerk. Wobei, nicht unbedingt. Aber wieso genau? Was ist denn großartig der Unterschied zu su -?
Mit einem komplettem Login wird alles mögliche geladen, Environment, Dienste etc.
Dienste? Wo werden denn abhängig vom User Dienste geladen?
'su -c' startet wirklich nur das einzelne Kommando als Root, nichts anderes. ('su -l' wirkt übrigens als vollständiger Login) Es reicht aber auch nur das Netz zu kappen, wenn man alleine auf dem Rechner ist., es ist da nicht nötig, den Singlemodus zu starten.
Stecker ziehen oder Netzwerkkarte deaktivieren? ;-)
- wenn es die Fähigkeiten erlauben, ist ein monolithischer Kernel zu kompilieren und alle Modulutils zu entfernen.
Ja? Das übersteigen wir aber jetzt die DAU-Zone um ein paar Stufen ;-)
Naja, soviel ist es nicht, ist eigentlich sogar oft und gut dokumentiert.
Ja, das schon, trotzdem gehört da schon ne Menge Wissen auch zur Hardware... dazu.
Was ist denn der Vortel eines monolithischen Kernels?
Der Vorteil liegt weniger im monolithischem Kernel, als im Fehlen der modutils. So _kann_ einfach kein übelwollendes Kernelmodul eingelinkt werden. (Da auch die Modulunterstützung im Kernel ausgeschaltet sein muß, nützt auch das Installieren der Modutils nix. Ginge dann nur mit Reboot und ein Reboot ohne das der Sysadmin 'shutdown $OPTIONS' eingetippelt hat, jagt ihn schneller vom Sessel hoch, als der Lieferant mit dem Kasten $CAFFEINATED_BEVERAGE_OF_CHOICE ;-)
;-) Gut, das ist wohl war, nur mus man doc für ein shutdown eh root-Rechte besitzen, was bringt es da noch am Kernel rumzufuchteln?
Ich habe mir einmal versucht selbst einen Kernel zu bauen [...]
Na gut, aber normalerweise sollte die Kernelconfig doch die Defaults der Distribution bereits drin haben?
Ja, das habe ich als Grundlage genommen, und dann versucht möglichst viele Module rauszuschmeißen, hat ja auch alles funktioniert bis auf das Netzwerk, naja. Wenn man mal sieht was da standardmäßig an Modulen geladen wird...
Das einzige, was dann anzupassen wäre, ist die Prozessortypangabe direkt am Anfang. Wenn da schon der steht, den Du hast, ist das Neubauen sogar relativ unnötig.
Sicher ist das unnötig, aber es ist doch mal ganz interessant, bei Gelegenheit mache ich das auch sicher nochmal, wobei, bei der nächsten Gelegenheit wolte ich es mal mit Gentoo Linux probieren, das sieht mir im Augenblick am interessantesten aus.
Zumindest dann, wenn Du das nicht richtig kannst.
Jeder fängt mal an ;-)
Ansonsten würde ich mir doch mal die entsprechenden Dokumentationen zur Brust nehmen. man sollte schon seinen eigenen Kernel kompilieren können, ob man es dann tut ist dann wieder eine andere Frage ;-)
Werde ich mal machen!
Grüße
Andreas
Hi,
außerdem hast Du ja auch nicht darum gebeten, die Dienste abzuschalten, sondern sie nicht erreichbar zu machen.
Ja, weil es nicht anders geht. Und der Unterschied ist einem DAU nicht wirklich klar.
Da der Endeffekt so ziemlich der gleiche ist, ist das bei den heutigen GHz Boliden recht egal.
Aber so wirklich gelungen ist das nicht, das stimmt wohl.
Das dieser Unterschied respektiert wird ist nicht verkehrt, wenn auch nicht auf Anhieb einsehbar, das stimmt.
Ich verstehe das durchaus, naja, vielleicht ist es ja für die meisten Leute sinnvoller als ich denke.
Basiert wahrscheinlich auch etwas auf der alten Unix-Philosophie:"You asked for it, you got it" ;-)
Wenn Du wüßtest, womit ich angefangen hatte, würden mich alle bedauern, deshalb laß ich es mal ;-)
Was war es denn? Bei mir war es irgendein DR DOS, aber ein bisschen mehr als "normal" mache ich erst seit vielleicht 2 Jahren.
Hem...nunja...äh...na gut: ein PDP-11. Was da drauf war, bleibt jetzt Dir überlassen zu suchen ;-)
So ähnlich sah das Dingen übrigens aus:
http://users.rcn.com/crfriend/museum/machines/pdp-1123.html
Aber es ist schon wahr: den ersten PC, den ich mir käuflich erwerben konnte, hatte schon Windows vorinstalliert und einmal reingeschaut hatte ich, das muß ich zugeben.
Naja, ich dachte mir ähnlches, außerdem hatte ich das anfangs nur auf einem Mädel gesehen, "Spielzeug" habe ich gedacht ;-)
"auf einem Mädel"?
Wie soll ich das denn jetzt verstehen?
Laß Dich nicht von Stonie erwischen! ;-)
Zumindest gnumeric kann jetzt Exceldateien vollständig importieren
Wie kann das gehen wenn das Format nicht offen liegt?
Reengineering (? Zuviele 'e's ;-), Trial&Error usw. Richtig harte Arbeit also.
Vielleicht nicht die tollste Quelle, naja: http://www.tecchannel.de/hardware/835/2.html
Au, hätt' ich nicht gedacht. Aber ist ja auch kein Wunder, wohne hjier auf dem Lande, bin gezwungenermaßen mit Dial-up und Modem unterwegs, kenne daher nur Modem oder "richtig".
Aber angeblich soll hier jetzt DSL möglich sein, allerdings sagen alle etwas anderes. (Außerdem brauche ich um's Verrecken kein ISDN, warum gibt's das eigentlich nur im Bundle?)
Das ganze hat nichts mit einer hochwertigen Firewall zu tun, aber es ist besser als nichts.
Für eine Diskussion ob "besser als nichts" wirklcih besser als ncih6ts ist siehe etwas weiter unten im Forum ;-)
Aber auch ohne spezielle Filter, der Router an sich ist ja eine hervorragende Firewall, da er es nicht zulässt dass man von außen eine Verbindung zu einem Rechner hinter dem Router aufbaut. Der Router akzeptiert nur Antworten auf vorherige Requests.
Naja, _so_ einfach ist es denn nun doch nicht ;-)
Nicht? Wieso nicht? Eingehende TCP und UDP Verbindungen werden doch zuverlässig geblockt, oder?
Woher weißt Du das? Bist Du Dir wirklich sicher?
Das ist ebn das Problem mit den Fertigteilen, man kann sich nie wirklich sicher sein, ob es da nicht irgendwo ... zu "Wartungszwecken" ...
Außerdem kommen die meisten eh von innen und wenn da nicht alles sorgfältig abgesichert ist, kommen die sogar durch.
Wer kommt denn von innen? Wenn ich mir einen Trojaner einfange, dann macht der erstmal gar nichts, er versucht nur dem Angreifer zu kontaktieren, und das kann er ja ruhig schaffen, denn dieser wird nicht in der Lage sein sich mit der Schadsoftware zu verbinden.
Warum nicht? Einmal drin ist einmal drin, da kann er schalten und walten, wie er lustig ist. Auch einen Tunnel aufmachen, den Router etwas manipulieren (Funktioniert die Authentifizierung für die Software des Routers wirklich? Bist Du Dir sicher?)
Gut, prinzipiell kann man auch ohne direkt verbunden zu sein schaden anrichten und Informationen übertragen, "Funktionalitäten" nachladen... aber mit sowas haben einfache Home-Desktops IMHO nicht zu kämpfen,
Äh... wie war das doch gleich mit Sobig? ;-)
deren Probleme ergeben sich einfach aus dem schier unendlichen Angriffsversuchen irgendelcher Script-Kiddies die nur in der Lage sind irgendewelche fertige möchtegern-Hacker-Software zu verteilen und zu bedienen.
Genau diese Software ist das Problem, die wird nämlcih hin und wieder von Leuten produziert, die es können. Und die Script-Kiddies sind mit Sicherheit hellauf begeistert, wenn so ein Dingen auch unter harten Bedingungen gut funktioniert. Die Script-Kiddies sind leider nur der Hammer, nicht der Schmied.
Ich kenne mich da nicht so 100%ig aus, aber meines Wissens kann man auch von einem Client eine TCP-Verbindung zu einem Server herstellen, dann aber den Client als Server verwenden, und die Anfragen einfach vom Server aus schicken, aber den Aufwand braucht man sich ja nicht zu machen wenn es noch genügend "Opfer" gibt die es einem erheblich leichter machen. Aber hast schon Recht 100%ig ist das nicht, oder worauf genau wolltest Du hinaus?
Das man sich nicht auf Fertigteile verlassen darf, auch nicht auf Prinzipien. Immer selber kontrollieren. Wenn man nicht die Fähigkeiten dazu hat: jemand beauftragen.
Mit einem komplettem Login wird alles mögliche geladen, Environment, Dienste etc.
Dienste? Wo werden denn abhängig vom User Dienste geladen?
Wenn Du KDE startest (wenn man sich schon vollständig asl Root einloggt, dann wenigsten richtig ;-) wird z.B. der artsd gestartet. Der ist für das Geräusch zuständig. Aber es kann auch ein Terminer sein, ICQ o.ä. Da gibt es vielfältige Dinge.
Aber am gefährlichsten ist wohl $ENV, da stecken eine Menge Informationen drin, dei nicht unbedingt jeder wissen muß. Darf zwar nicht gefährlich sein, sie zu kennen, aber man sollte potentiellen Angreifern nicht auch noch das Bier kaltstellen ;-)
'su -c' startet wirklich nur das einzelne Kommando als Root, nichts anderes. ('su -l' wirkt übrigens als vollständiger Login) Es reicht aber auch nur das Netz zu kappen, wenn man alleine auf dem Rechner ist., es ist da nicht nötig, den Singlemodus zu starten.
Stecker ziehen oder Netzwerkkarte deaktivieren? ;-)
Du magst Dich amüsieren, ich empfehle ernsthaft den Stecker zu ziehen.
;-) Gut, das ist wohl war, nur mus man doc für ein shutdown eh root-Rechte besitzen, was bringt es da noch am Kernel rumzufuchteln?
Um Kernelmodule zu laden muß man ebenfalls Rootrechte besitzen. Sollte das bei Dir nicht so sein, solltest Du das unbedingt ändern.
ja, ich weiß: wenn der Angreifer eh schon Rootrechte hat, ist schon Hopfen und Malz verloren, aber er muß nicht auch noch die Gelegenheit haben _dauerhaft_ Schaden anzurichten.
Diese und andere Dinge mögen Kleinigkeiten sein, läßliche, paranoide, oder was weiß ich, aber die Summe macht es aus. (Und ein wenig Paranoia schadet in dem Geschäft wirklich nicht ;-)
Ich habe mir einmal versucht selbst einen Kernel zu bauen [...]
Na gut, aber normalerweise sollte die Kernelconfig doch die Defaults der Distribution bereits drin haben?
Ja, das habe ich als Grundlage genommen, und dann versucht möglichst viele Module rauszuschmeißen, hat ja auch alles funktioniert bis auf das Netzwerk, naja. Wenn man mal sieht was da standardmäßig an Modulen geladen wird...
Wenn Du die Ausgabe von 'lsmod' meinst: das sind ausgerechnet die Module, die höchstwahrscheinlich auch gebraucht werden ;-)
Vielleicht nicht alle, aber ausgerechnet dei sollte man dann beim Neubauen erstmal drin lassen.
Achso: und dann, wenn man sich nicht gut genug auskennt bzw unsicher ist: immer eins nach dem anderen ;-)
Das einzige, was dann anzupassen wäre, ist die Prozessortypangabe direkt am Anfang. Wenn da schon der steht, den Du hast, ist das Neubauen sogar relativ unnötig.
Sicher ist das unnötig,
Nein, _richtig_ unnötig ist es nicht, man sollte es nach Möglichkeit schon tun.
so short
Christoph Zurnieden
Hallo Christoph!
außerdem hast Du ja auch nicht darum gebeten, die Dienste abzuschalten, sondern sie nicht erreichbar zu machen.
Ja, weil es nicht anders geht. Und der Unterschied ist einem DAU nicht wirklich klar.Da der Endeffekt so ziemlich der gleiche ist, ist das bei den heutigen GHz Boliden recht egal.
ja, aber IMHO ist es potentiell unsicherer einen eigentlich offenen Port per Software zu blocken, also ihn gar nicht erst zu öffnen.
Wenn Du wüßtest, womit ich angefangen hatte, würden mich alle bedauern, deshalb laß ich es mal ;-)
Was war es denn? Bei mir war es irgendein DR DOS, aber ein bisschen mehr als "normal" mache ich erst seit vielleicht 2 Jahren.Hem...nunja...äh...na gut: ein PDP-11. Was da drauf war, bleibt jetzt Dir überlassen zu suchen ;-)
So ähnlich sah das Dingen übrigens aus:
http://users.rcn.com/crfriend/museum/machines/pdp-1123.html
Oh ;-)
Naja, als ich jung war hatten ein paar Leute C64 oder Amiga, aber sowas hatte ich nie, angefangen hat es mit einem, ich denke 086er glaube ich, wenn es das überhaupt gab, jedenfalls war das Teil tragbar, hatte einen blau-gelben "Bildschirm" und war mindestsns so groß wie ein heutiger midi-Tower, naja, irgendwann gabs dann mal zu Hause einen 286er, wenn man dessen Leistungsmerkmale mal mit heute vergleicht, ist eigentlich unglaublich!
Naja, ich dachte mir ähnlches, außerdem hatte ich das anfangs nur auf einem Mädel gesehen, "Spielzeug" habe ich gedacht ;-)
"auf einem Mädel"?
upsala, so sollte das nicht heißen ;-)
Wie soll ich das denn jetzt verstehen?
das war noch zu Grundschulzeiten, und das Mädel hatte irgend ne Windows-Version, 3.x, und ich habe mich köstlich drüber amüsiert, bei uns gabs damals dann noch "echtes DOS", Norton Commander und so'n Kram :-) Naja, bis Papa dann mal mit Windows ankam, und ich erinere mich auch noch wie lange es gedauert hat bis ich verstanden habe was das Internet ist ;-)
Laß Dich nicht von Stonie erwischen! ;-)
Oh je... muss ich wohl ne Weile untertauchen... ;-)
Vielleicht nicht die tollste Quelle, naja: http://www.tecchannel.de/hardware/835/2.html
Au, hätt' ich nicht gedacht. Aber ist ja auch kein Wunder, wohne hier auf dem Lande, bin gezwungenermaßen mit Dial-up und Modem unterwegs, kenne daher nur Modem oder "richtig".
Aber angeblich soll hier jetzt DSL möglich sein, allerdings sagen alle etwas anderes.
Guck nach: http://www.t-com.de/is-bin/INTERSHOP.enfinity/WFS/PK/de_DE/-/EUR/PK_DisplayTDSLLogin-Start
unter http:t-dsl.de/ (Quick-Check oben rechts) geht es evtl. auch ohne Kundennummer, naja, bei mir nicht.
(Außerdem brauche ich um's Verrecken kein ISDN, warum gibt's das eigentlich nur im Bundle?)
Wer sagt denn das? Ich hjabe einen Analog-Anschluss und T-DSL. Ist nur etwas ärgerlich, da die Preise für DSL bei Analag-Anschlüssen deutlich höher sind, ein ISDN Anschluss würde mich höchstens 3 EUR im Monat extra kosten, aber naja, ich brauche es ebenfalls nicht.
Ich empfehle übrigens DSL nicht bei T-Online zu bestellen, im Augenblick würde ich GMX nehmen, die verwenden das Backbone der Telekom, haben aber super-günstige Tarife.
DSL ist wirklich nett, man kann den ganzen Tag online sein, ist fast wie ne Standleitung in der Firma ;-)
Gerade zum Modem merkt man erhebliche Unterschiede in den Ladezeiten, Verbeindungsaufbau und vor allem bei größeren Downloads. Habe mir z.B. gerade einen neuen "samsung-contact" Client runtergeladen, 120 MB in 20 Minuten.
Das ganze hat nichts mit einer hochwertigen Firewall zu tun, aber es ist besser als nichts.
Für eine Diskussion ob "besser als nichts" wirklcih besser als ncih6ts ist siehe etwas weiter unten im Forum ;-)
Noch bin ich ja davon überzeugt das so ein Router/Gateway zuverlässig jeden Verbindungsaufbau ablehnen.
Nicht? Wieso nicht? Eingehende TCP und UDP Verbindungen werden doch zuverlässig geblockt, oder?
Woher weißt Du das?
Weil das doch die Grundlage der Geräte ist. Wie soll ein Verbindungsaufbau funktionieren? Und einen TCP - Verbindungsaufbau zu erkennen ist doch nun wirklich nicht so schwer, und ein Router muss das ja eh können um zu funktionieren.
Bist Du Dir wirklich sicher?
Zumindest wüßte ich nichts was dagegen spricht.
Das ist ebn das Problem mit den Fertigteilen, man kann sich nie wirklich sicher sein, ob es da nicht irgendwo ... zu "Wartungszwecken" ...
Ja, abedr die Frage ist was man von einem "otto-normal-anwender" erwarten darf. Ich bin nicht der MEinung das man erst nach 100 Stunden Schulung oder nach professioneller Hilfestellung für 1000 EUR ins Internet darf. Und damit wirst Du nicht auskommen wenn es vernünftig sein sol. Man muss halt einen Kompromiss finden.
Wer kommt denn von innen? Wenn ich mir einen Trojaner einfange, dann macht der erstmal gar nichts, er versucht nur dem Angreifer zu kontaktieren, und das kann er ja ruhig schaffen, denn dieser wird nicht in der Lage sein sich mit der Schadsoftware zu verbinden.
Warum nicht? Einmal drin ist einmal drin, da kann er schalten und walten, wie er lustig ist.
Ja, aber nur wenn er ein entsprechendes Programm verwendet. Ein normaler Trojqaner kann das sicher nicht, die sind für Verbindungsaufbau von extern gedacht. Selbiges gilt für Spam-Relays. Wenn jemand kommt der Ahnung hat hat man natürlich verloren, aber IMHO ist dasein vertretbares Risiko für einen popeligen Home-PC.
IMHO sollt eman auf Outlook verzichten und lieber ein vernünftig eingerichtetes Outlook Express verwenden, oder eben eine der vielen Alternativen, wenn man dann noch nicht auf unbekannte Anhänge klickt lebt man IMHO recht sicher.
Auch einen Tunnel aufmachen,
Dann muss der Angreifer aber auch eine ständig erreichbare Adresse haben, was für den wiederum ein hohes Risiko darstellt wenn er an den faslchen gerät, und es gibt ebem mehr als genug potentielle Opfer die eben keinen Router dazwischen haben.
den Router etwas manipulieren (Funktioniert die Authentifizierung für die Software des Routers wirklich? Bist Du Dir sicher?)
Ich gehe davon aus, sicher bin ich natürlich nicht. Aber wie gesagt, erstmal mus er auf den Rechner kommen, udn dann eien Verbindung herstellen, was wie oben beschrieben einen deutlich höheren Aufwand erfordert als normal.
Gut, prinzipiell kann man auch ohne direkt verbunden zu sein schaden anrichten und Informationen übertragen, "Funktionalitäten" nachladen... aber mit sowas haben einfache Home-Desktops IMHO nicht zu kämpfen,
Äh... wie war das doch gleich mit Sobig? ;-)
Ja, das ist der Punkt mit den mailangängen. Und wuie genau Sorbig funktioniert weiß ich nicht, AFAIK "operierte" der ja autonom, also ohne individuelle Steuerung, und das ist schon ein Unterschied.
deren Probleme ergeben sich einfach aus dem schier unendlichen Angriffsversuchen irgendelcher Script-Kiddies die nur in der Lage sind irgendewelche fertige möchtegern-Hacker-Software zu verteilen und zu bedienen.
Genau diese Software ist das Problem, die wird nämlcih hin und wieder von Leuten produziert, die es können. Und die Script-Kiddies sind mit Sicherheit hellauf begeistert, wenn so ein Dingen auch unter harten Bedingungen gut funktioniert. Die Script-Kiddies sind leider nur der Hammer, nicht der Schmied.
Klar, aber mir wäre keine Software bekannt die darauf ausgelegt ist eine direkte Verbindung vom befallenen System zu einer festen Adresse herzustellen. Ich fänd das gut, denn dann könnte man dann stünde das ein oder andere Script-Kiddie auf einmal recht dumm da, vielleicht fange ich ja mal mit GUI-Programmierung an ;-)
Das man sich nicht auf Fertigteile verlassen darf, auch nicht auf Prinzipien. Immer selber kontrollieren. Wenn man nicht die Fähigkeiten dazu hat: jemand beauftragen.
privat? Ich würde das nicht machen.
Stecker ziehen oder Netzwerkkarte deaktivieren? ;-)
Du magst Dich amüsieren, ich empfehle ernsthaft den Stecker zu ziehen.
das kribbelt dann aber manchmal so in den Fingern... ;-)
ja, ich weiß: wenn der Angreifer eh schon Rootrechte hat, ist schon Hopfen und Malz verloren, aber er muß nicht auch noch die Gelegenheit haben _dauerhaft_ Schaden anzurichten.
Wenn er root-Rechte hat dann hat man ihm die Gelegenheit doch schon gegeben ;-)
Diese und andere Dinge mögen Kleinigkeiten sein, läßliche, paranoide, oder was weiß ich, aber die Summe macht es aus. (Und ein wenig Paranoia schadet in dem Geschäft wirklich nicht ;-)
:)
Ja, das habe ich als Grundlage genommen, und dann versucht möglichst viele Module rauszuschmeißen, hat ja auch alles funktioniert bis auf das Netzwerk, naja. Wenn man mal sieht was da standardmäßig an Modulen geladen wird...
Wenn Du die Ausgabe von 'lsmod' meinst: das sind ausgerechnet die Module, die höchstwahrscheinlich auch gebraucht werden ;-)
nein, ich habe die Konfigurationsdatei aus dem Source-RPM meines Kernels genommen, und dann mit *Config bearbeitet, da konnte ich mir ansehen was da so für Module geladen wurden, so Sachen wie ISDN-Karten oder PCMCIA... habe ich halt rausgeschmissen.
Achso: und dann, wenn man sich nicht gut genug auskennt bzw unsicher ist: immer eins nach dem anderen ;-)
Ja, hätte ich besser so gemacht.
Viele Grüße
Andreas
Hi,
Da der Endeffekt so ziemlich der gleiche ist, ist das bei den heutigen GHz Boliden recht egal.
ja, aber IMHO ist es potentiell unsicherer einen eigentlich offenen Port per Software zu blocken, also ihn gar nicht erst zu öffnen.
Na gut, wo er Recht hat, hat er Recht! ;-)
[PDP-11]
Oh ;-)
Aber zugegeben: das war jetzt wirklich nur mein allererster Kontakt mit der Materie überhaupt, meine ersten Schritte habe ich auf einer VAX gemacht. Naja, gut, auch nicht besser. Wundert mich, das mich das nicht für alle Zeiten abgeschreckt hat ;-)
Laß Dich nicht von Stonie erwischen! ;-)
Oh je... muss ich wohl ne Weile untertauchen... ;-)
Besser wär' das ;-)
Aber angeblich soll hier jetzt DSL möglich sein, allerdings sagen alle etwas anderes.
Guck nach: http://www.t-com.de/is-bin/INTERSHOP.enfinity/WFS/PK/de_DE/-/EUR/PK_DisplayTDSLLogin-Start
unter http:t-dsl.de/ (Quick-Check oben rechts) geht es evtl. auch ohne Kundennummer, naja, bei mir nicht.
Ja, die sagen, hier läge DSL. (Funktioniert übrigens wirklich nicht ohne Kundennummer, ich habe das über Freenet versucht. Kundennummer habe ich, weil ich die 90 Pauschalstunden im Monat nutze).
GMX (Da Du das erwähnt hast) hingegen behauptet steif und fest, das nicht.
(Außerdem brauche ich um's Verrecken kein ISDN, warum gibt's das eigentlich nur im Bundle?)
Wer sagt denn das?
Das ist verschieden, wie bei der Frage, ob hier jetzt DSL liegt oder nicht :-\
Aber...
Ich hjabe einen Analog-Anschluss und T-DSL. Ist nur etwas ärgerlich, da die Preise für DSL bei Analag-Anschlüssen deutlich höher sind, ein ISDN Anschluss würde mich höchstens 3 EUR im Monat extra kosten, aber naja, ich brauche es ebenfalls nicht.
... das kommt natürlich noch dazu!
Mitterlweile rechne ich schon, ob sich evt eine T1 lohnen würde. Eine gebrauchte UltraSparc in den Keller und noch ein anständiges RAID sind ca 15.000 EUR Investition. Und dann vermieten. Aber bei _der_ Konkurenz ...
Ich empfehle übrigens DSL nicht bei T-Online zu bestellen, im Augenblick würde ich GMX nehmen, die verwenden das Backbone der Telekom, haben aber super-günstige Tarife.
Dann sollte das doch rein theoretisch hier liegen, oder? GMX sagt aber: nö.
DSL ist wirklich nett, man kann den ganzen Tag online sein, ist fast wie ne Standleitung in der Firma ;-)
Darum geht es mir auch hauptsächlich. Nein, ich will keinen Server irgendwelcher Art aufstellen, es wäre nur nett, wenn man mal ein paar Leute einladen kann, ohne auf die Uhr schauen zu müssen, oder sich gar noch mühselig zu verabreden. Gerade jetzt ist so ein Fall: bei mir baut ein Programm nicht, es ist auch mit größten Mühen nicht festzustellen, warum nicht. (Das finale Linking der fasl_shell von RScheme will nicht. mmap() tut's nicht). Jetzt hat sich der Kollege angeboten, das eben selber zu probieren (Immer diese Vermutung von "Bedienungsfehlern"! ;-). Das ist bis jetzt an Terminen gescheitert, da ich nicht einfach die Leitung offenlassen kann, das kann ich mir finanziell nicht leisten.
Gerade zum Modem merkt man erhebliche Unterschiede in den Ladezeiten, Verbeindungsaufbau und vor allem bei größeren Downloads. Habe mir z.B. gerade einen neuen "samsung-contact" Client runtergeladen, 120 MB in 20 Minuten.
Modem ist zwar lästig lahm, aber ich lade mir äußerst selten viel runter. Das ist vielleicht mal ein neuer Kernel, wenn ich es verschlampt habe, mit den Diffs up-to-date zu bleiben, oder der neue Mozilla, etc. Also recht selten.
Noch bin ich ja davon überzeugt das so ein Router/Gateway zuverlässig jeden Verbindungsaufbau ablehnen.
Beim Wörtchen "zuverlässig" in Verbindung mit Computern ... >;->
Bist Du Dir wirklich sicher?
Zumindest wüßte ich nichts was dagegen spricht.
Selbst, wenn ich mir den Router selber gebaut hätte, hätte ich irgendwo, ganz hinten, so ein ungutes Gefühl ;-)
Denn irgendwelche Paket muß der Router ja durchlassen, sonst bräuchte man das Dingen nicht, da könnte man gleich den Stecker ziehen. Nun können aber äußerliche benigne Pakete innerlich maligne sein. Das kannst Du nicht erkennen, wenn es sich um verschlüsselte Daten hadelt. Die könntest Du natürlich aufdröseln (Sofern möglich, ansonsten blocken), aber das würde die Sicherheit des Systems gefährden (end-to-end Security wäre durchbrochen).
Das ist ebn das Problem mit den Fertigteilen, man kann sich nie wirklich sicher sein, ob es da nicht irgendwo ... zu "Wartungszwecken" ...
Ja, abedr die Frage ist was man von einem "otto-normal-anwender" erwarten darf. Ich bin nicht der MEinung das man erst nach 100 Stunden Schulung oder nach professioneller Hilfestellung für 1000 EUR ins Internet darf. Und damit wirst Du nicht auskommen wenn es vernünftig sein sol. Man muss halt einen Kompromiss finden.
Ja, das ist leider klar.
Dabei fällt mir übrigens ein: sind nicht von einigen Breitbandanbietern Router verboten worden? (Fragt sich natürlich, wie die das feststellen wollen ;-)
Warum nicht? Einmal drin ist einmal drin, da kann er schalten und walten, wie er lustig ist.
Ja, aber nur wenn er ein entsprechendes Programm verwendet.
Nein, ein "aber nur, wenn" kann ich nicht akzeptieren, tut mir leid, aber ...
Ein normaler Trojqaner kann das sicher nicht, die sind für Verbindungsaufbau von extern gedacht. Selbiges gilt für Spam-Relays. Wenn jemand kommt der Ahnung hat hat man natürlich verloren, aber IMHO ist dasein vertretbares Risiko für einen popeligen Home-PC.
... "vertretbares Risiko" schon eher ;-)
Aber die meiste Gefahr geht nunmal von eben jenen "popeligen HeimPCs" aus.
IMHO sollt eman auf Outlook verzichten und lieber ein vernünftig eingerichtetes Outlook Express verwenden, oder eben eine der vielen Alternativen, wenn man dann noch nicht auf unbekannte Anhänge klickt lebt man IMHO recht sicher.
Hier wieder einer:"vernünftig eingerichtet". Wer macht das?
Auch einen Tunnel aufmachen,
Dann muss der Angreifer aber auch eine ständig erreichbare Adresse haben, was für den wiederum ein hohes Risiko darstellt wenn er an den faslchen gerät,
Der Ursprung läßt sich mit ein wenig Geschick verbergen. Zwar nicht vollständig, aber dann müßte er nicht nur an den Falschen geraten, sondern auch noch an jemanden, der Interesse an der Verfolgung hat.
Das Risiko ist kalkulierbar. Da der erste Ursprung, also die feste Adresse, mit Sicherheit ein occupierter Rechner ist, ist auch der erstmal dran.
und es gibt ebem mehr als genug potentielle Opfer die eben keinen Router dazwischen haben.
Ja, die werden natürlich als erstes abgeklappert.
den Router etwas manipulieren (Funktioniert die Authentifizierung für die Software des Routers wirklich? Bist Du Dir sicher?)
Ich gehe davon aus, sicher bin ich natürlich nicht. Aber wie gesagt, erstmal mus er auf den Rechner kommen, udn dann eien Verbindung herstellen, was wie oben beschrieben einen deutlich höheren Aufwand erfordert als normal.
Also ich weiß ja nicht, aber die üblichen Verbreitungswege sind eben Mailanhänge, oder um genau zu sein: social engineering.
Gut, prinzipiell kann man auch ohne direkt verbunden zu sein schaden anrichten und Informationen übertragen, "Funktionalitäten" nachladen... aber mit sowas haben einfache Home-Desktops IMHO nicht zu kämpfen,
Äh... wie war das doch gleich mit Sobig? ;-)
Ja, das ist der Punkt mit den mailangängen. Und wuie genau Sorbig funktioniert weiß ich nicht,
Er hat genau das getan, was Du bezweifelst: Funktionalität nachgeladen.
AFAIK "operierte" der ja autonom, also ohne individuelle Steuerung, und das ist schon ein Unterschied.
Wogegen?
Genau diese Software ist das Problem, die wird nämlcih hin und wieder von Leuten produziert, die es können. Und die Script-Kiddies sind mit Sicherheit hellauf begeistert, wenn so ein Dingen auch unter harten Bedingungen gut funktioniert. Die Script-Kiddies sind leider nur der Hammer, nicht der Schmied.
Klar, aber mir wäre keine Software bekannt die darauf ausgelegt ist eine direkte Verbindung vom befallenen System zu einer festen Adresse herzustellen.
Auch hier wieder als Beispiel: Sobig.
Ich fänd das gut, denn dann könnte man dann stünde das ein oder andere Script-Kiddie auf einmal recht dumm da, vielleicht fange ich ja mal mit GUI-Programmierung an ;-)
Den Witz verstehe ich jetzt nicht so ganz.
Soll ich jetzt um Erklärung bitten? Aber dann ist ja der Witz weg!
Oh je, immer diese Entscheidungen ;-)
Das man sich nicht auf Fertigteile verlassen darf, auch nicht auf Prinzipien. Immer selber kontrollieren. Wenn man nicht die Fähigkeiten dazu hat: jemand beauftragen.
privat? Ich würde das nicht machen.
Hast Du die Fähigkeit Deinen Automotor selber zu reparieren? (Nein, das war jetzt eine rethorische Frage ;-)
Stecker ziehen oder Netzwerkkarte deaktivieren? ;-)
Du magst Dich amüsieren, ich empfehle ernsthaft den Stecker zu ziehen.
das kribbelt dann aber manchmal so in den Fingern... ;-)
Nein, nicht _den_ Steck... zu spät. Drückt mal einer die Sicherung wieder rein? ;-)
ja, ich weiß: wenn der Angreifer eh schon Rootrechte hat, ist schon Hopfen und Malz verloren, aber er muß nicht auch noch die Gelegenheit haben _dauerhaft_ Schaden anzurichten.
Wenn er root-Rechte hat dann hat man ihm die Gelegenheit doch schon gegeben ;-)
Mit einem gutem Überwachungssystem läßt sich eine Änderung an Binaries gut erkennen. ja, auch ein Überwachungssystem ist nötig, denn bei der heutigen Komplexität der Software kann es immer mal wieder passieren, mag man auch noch so aufpassen. Vielleicht hat auch nur einer das Rootpasswort geklaut (Wer legt sch denn schon jedesmal ein Decke über die Finger, wenn er das Passwort eintippelt?
Wenn Du die Ausgabe von 'lsmod' meinst: das sind ausgerechnet die Module, die höchstwahrscheinlich auch gebraucht werden ;-)
nein, ich habe die Konfigurationsdatei aus dem Source-RPM meines Kernels genommen, und dann mit *Config bearbeitet, da konnte ich mir ansehen was da so für Module geladen wurden, so Sachen wie ISDN-Karten oder PCMCIA... habe ich halt rausgeschmissen.
Es gibt einige Teile, die auf andere Teile aufbauen. So kann es z.B. nötig sein SCSI Unterstützung einzubauen, obwohl man gar kein SCSI hat. (CDs brennen ist so ein Beispiel, oder ZIP-Laufwerke)
Das ist zwar nicht sehr schön und eigentlich sogar vermeidbar, wenn die Kernelkonfiguration ein wenig benutzerfreundlicher wäre. Abhängigkeiten auflösen funktioniert ja anderswo auch schon und sogar schon recht lange.
Achso: und dann, wenn man sich nicht gut genug auskennt bzw unsicher ist: immer eins nach dem anderen ;-)
Ja, hätte ich besser so gemacht.
Aber ist nicht schlimm, passiert auch anderen Leuten. Auch denjenigen, die es eigentlich besser wissen sollten ;-)
so short
Christoph Zurnieden
Hi!
Laß Dich nicht von Stonie erwischen! ;-)
Oh je... muss ich wohl ne Weile untertauchen... ;-)Besser wär' das ;-)
Aber aus verlässlicher Quelle habe ich gehört dass Stonie zur Zeit vom world-wide-web ausgeschlossen ist, also kann ich mich wohl doch entspannt zurücklehnen ;-)
Ja, die sagen, hier läge DSL. (Funktioniert übrigens wirklich nicht ohne Kundennummer, ich habe das über Freenet versucht. Kundennummer habe ich, weil ich die 90 Pauschalstunden im Monat nutze).
GMX (Da Du das erwähnt hast) hingegen behauptet steif und fest, das nicht.
GMX & Co. sind Reseller, wenn Telekom sagt es gibt DSL, dann geht das auch mit GMX, kann man sich anscheinend nicht so 100%ig drauf verlassen. Daher würde ich mal bei der Telekom anrufen (die Hotlines sind sogar letzte Zeit richtig gut erreichbar, und kostenlos ;-))
ich weiß nicht was Dein Tarif kostet, aber wenn Du unter 1 GB pro Monat bleibst, zahlst Du bei Analog:
T-Net 15,66
T-DSL 19,99
GMX DSL1000 3,99
-----------------
38,64
und für ISDN:
T-ISDN 23,60
T-DSL 11,99
GMX DSL1000 3,99
-----------------
39,58
Der Unterschied beträgt in der Tat nur 94 Cent! Ein schlechter Witz.
(Außerdem brauche ich um's Verrecken kein ISDN, warum gibt's das eigentlich nur im Bundle?)
Wer sagt denn das?
Das ist verschieden, wie bei der Frage, ob hier jetzt DSL liegt oder nicht :-\
Das ist nicht verschieden, das geht definitiv! Solange Du nicht Arcor oder sowas sondern T-DSL nehmen willst geht das.
btw. verwechsele nicht T-Online mit Telekom, T-DSL ist Telekom, nicht T-Online.
Mitterlweile rechne ich schon, ob sich evt eine T1 lohnen würde.
Hä? Was ist das denn für ein Vergleich? Was kostet denn sowas? Das kann sich IMHO nicht lohnen für privat, eher sowas wie SDSL(2,3 Mbit SDSL-Leitung (2.3 Mbit in beide Reichtungen) ist gar nicht so teuer!)
http://www.qsc.de/de/produkte/q-dslmax/preise/index.html, daran hätte ich durchaus Spaß, wenn man sich da die Kosten für die Server bei den Providern sparen kann, naja, aber ob sich das lohnt udn ob man mir dne Providern konkurrieren kann und sollte, ich weiß es nicht, Spaß hatte ich daran trotdem ;-), zumal der downstream dann ja nicht so wichtig ist für normale Webserver ;-)
Das Ausfallrisiko würde siecherlich um einiges ansteigen, zumindest wenn man einen vernünftigen Provider hat ;-)
Eine gebrauchte UltraSparc in den Keller
Hm, bringen die denn so viel? Wie ist die denn ausgestattet?
und noch ein anständiges RAID sind ca 15.000 EUR Investition.
Für ein RAID-Array? Was hast Du Dir denn da vorgestellt? Sooo teuer ist das doch auch wieder nicht.
Und dann vermieten.
An wen? Wenn ich einen Server miete und die Wahl habe zwischen einem großen Rechenzentrum oder im Hobby-Keller von Christoph Zurnieden, weiß ich nicht so genau ob meine Wahl dann auf den Hobby-Keller fällt ;-)
Nein, ernsthaft, ich würde für so viel Geld eher 4-5 neue x86 Server von DELL kaufen, da bekommst Du dann je 2 XEONs mit 2.6 Mhz, 2 U160 SCSI Platten, 2 GB RAM, Gbit-Ethernet und all so'n Kram. Und die sind gut Leistunsfähig und passen vielleicht besser in das Ambiente eines Hobby-Keller-Providers ;-)
Aber bei _der_ Konkurenz ...
Was betrachtest Du denn als Konkurrenz? Was soll denn auf so einer Maschine laufen?
Dann sollte das doch rein theoretisch hier liegen, oder? GMX sagt aber: nö.
Das kann Dir nur die Telekom sagen.
Wenn es vorhanden ist musst Du das dann mit GMX regeln ;-)
Gerade zum Modem merkt man erhebliche Unterschiede in den Ladezeiten, Verbeindungsaufbau und vor allem bei größeren Downloads. Habe mir z.B. gerade einen neuen "samsung-contact" Client runtergeladen, 120 MB in 20 Minuten.
Modem ist zwar lästig lahm, aber ich lade mir äußerst selten viel runter.
Aber es ist nicht nur runterladen. Der Aufbau von normalen Seiten, vor allem solchen wie der Forumshauptdatei... geht viel, viel schneller. Wenn ich mich ins Internet einwähle dauert das 5 Sekunden, normalerweise wähle ich mich gar nicht erst ab, ich lasse alle 10 Minuten mails abfragen... das alles ist bei Modens eien Qual, zumal durch die Langsamkeit die erschiedenen Aufgaben viel länger dauern udn so mehr Zeit und Geld kosten.
Das ist vielleicht mal ein neuer Kernel, wenn ich es verschlampt habe, mit den Diffs up-to-date zu bleiben, oder der neue Mozilla, etc. Also recht selten.
Ja, das ist die Macht der Gewohnheit ;-) Mit DSL wird man da schon ein wenig verschwenderischer, wenn ich ethereal nicht installiert habe aber noch irgendwo von füher in einem Verzeichnis habe, überlege ich gar nicht erst sondern lade es mal eben neu runter um die updates mitzunehmen. Dann so Kleinigektein wie SPs unter Windows... oder mal ne Knoppix ISO, oder die drei Red Hat/Gentoo ISOs der neusten Version, das ist schon nett.
Noch bin ich ja davon überzeugt das so ein Router/Gateway zuverlässig jeden Verbindungsaufbau ablehnen.
Beim Wörtchen "zuverlässig" in Verbindung mit Computern ... >;->
Ja, ein Widerspruch in sich ;-)
Selbst, wenn ich mir den Router selber gebaut hätte, hätte ich irgendwo, ganz hinten, so ein ungutes Gefühl ;-)
Das ist wirklich paranoide ;-)
Es kommt immer drauf an was man schützen will, denke ich mir.
Denn irgendwelche Paket muß der Router ja durchlassen, sonst bräuchte man das Dingen nicht, da könnte man gleich den Stecker ziehen. Nun können aber äußerliche benigne Pakete innerlich maligne sein. Das kannst Du nicht erkennen, wenn es sich um verschlüsselte Daten hadelt.
Das nicht, aber das will ich ja gar nicht. Mir reicht es fürs erste, wenn der Router dafür sorgt, das jeder Verbindungsaufbau-Versuch von außen scheitert.
Meines Wissens sind die sog. "SOHO-Router" ja gar keine echten Router.
Ich gehe eigentlich davon aus dass diese Geräte nicht auf IP-Ebene arbeiten, da die Rechner hinter so einem Gerät ja dem Gegenüber nicht als Endpunkt der Kommunikation bekannt sind, sondern das ist eben der "Router", was bei echten Routern ja nicht der Fall sein darf, der routet nur dumm die ankommenden Pakete nach bestem Wissen und Gewissen weiter.
Die "SOHO-Router" haben IMHO einen eigenen TCP-Stack implementiert , der wie folgt arbeiten sollte:
Wenn von innen eine TCP-Verbindung aufgebaut wird, manipuliert der Router das IP-Paket, also dessen Quell-IP, und schreibt seine eigene da rein. Dann leitet er das Paket weiter. Dabei merkt er sich die Ziel-IP, die echte Quell-IP und vielleicht noch ein paar Cleinigkeiten um die Antwort wieder zu erkennen. Sendet der Server dann die Antwort, kann der Router anhand seiner gespeicherten Daten sagen wohion er das Paket weiterleiten soll. Der Server sendet das Paket an die Öffentliche IP des Routers, der ist der Endpunt der Kommunikation, aber der manipuliert nun erneut den IP-Header und schreibt die richtige Ziel-IP rein.
Der Rechner hinter dem Router hat, um eine TCP-Verbindung aufbauen zu können das SYN-Flag gesetzt, und der Server hat SYN und ACK Flags gesetzt. Das heißt der Router kann am TCP-Header sehen, ob es sich bei der Anfrage um eine Antwort auf einen Verbindungsaufbau handelt.
Sollte der Router an dieser Stelle merken, dass im TCP-Header nur das SYN-Flag gesetzt ist, weiß er dass es ein Verbindungsaufbau-Versuch ist. Da der Router aber Port-Forewarding anbietet muss er den TCP-HEader auf alle Fälle analysieren. Das heißt in diesem Fall überprüft er ob für den angeforderten Port ein Port-Forewarcing aktiviert ist. Ist das der Fall passiert das gleiche wie sonst mit den Antwort-Paketen aus dem Internet. Ist das nicht der Fall leitet er nichts weiter, und reagiert dann irgendwie anders, ich gehe davon aus dass er in dem Fall das RST-Flag setzt.
Das heißt im Prinzip ist das eigentlich wirklich simpel. Naja, meine Erklärung vielleicht weniger ;-)
Mit UDP kenne ich mich nicht aus, aber ich vermute da läuft das ähnlich. Andere Protokolle werden grundsätzlich abgewiesen. Also erklär mir mal wie man da von außen angreifen will? Das geht nur von innen.
Dabei fällt mir übrigens ein: sind nicht von einigen Breitbandanbietern Router verboten worden?
Manche erlauben es, manche verbieten es. Wobei ich nicht genau weiß ob immer Router oder nur Mehrbenutzerbetrieb verboten wird.
(Fragt sich natürlich, wie die das feststellen wollen ;-)
http://www.heise.de/ct/03/05/050/
Naja, das ist die Theorie... ;-)
Warum nicht? Einmal drin ist einmal drin, da kann er schalten und walten, wie er lustig ist.
Ja, aber nur wenn er ein entsprechendes Programm verwendet.
Nein, ein "aber nur, wenn" kann ich nicht akzeptieren, tut mir leid, aber ...
Wenn ich genügend Rechte auf einem fremden Rechner habe bin ich auch in der Lage eine Verbindung herzustellen, und sei es dass ich den IE imitieren und eine TCP-Verbindung durch HTTPS tunnel ;-)
(_ich_ kann das nicht, aber...)
Wenn Du sowas verhindern willst, und das bei einem DAU der kein Geld ausgeben willst, naja, viel Spaß ;-)
Och nö: "Das war jetzt etwas viel"
Fortsetzung folgt....
IMHO sollte man auf Outlook verzichten und lieber ein vernünftig eingerichtetes Outlook Express verwenden, oder eben eine der vielen Alternativen, wenn man dann noch nicht auf unbekannte Anhänge klickt lebt man IMHO recht sicher.
Hier wieder einer:"vernünftig eingerichtet". Wer macht das?
Ja, das ist das Problem. Daher würde ich dem DAU Mozilla Firebird und Mozilla Thunderbird empfehlen.
Auch einen Tunnel aufmachen,
Dann muss der Angreifer aber auch eine ständig erreichbare Adresse haben, was für den wiederum ein hohes Risiko darstellt wenn er an den faslchen gerät,
Der Ursprung läßt sich mit ein wenig Geschick verbergen.
Ja? Wenn ich nicht weiß wann der Verbindungsaufbau stattfindet, oder selbst wenn ich es weiß muss ich dann direkt erreichbar sein. OK, ich kann Proxies oder andere kompromittierte Rechner dazwischenschalten, oder meinst Du noch was anderes?
Zwar nicht vollständig, aber dann müßte er nicht nur an den Falschen geraten, sondern auch noch an jemanden, der Interesse an der Verfolgung hat.
Oh, das würde mir durchaus Spaß machen ;-)
Das Risiko ist kalkulierbar.
aber unnötig, da es genügend einfachere/sicherere Alternativen gibt.
Da der erste Ursprung, also die feste Adresse, mit Sicherheit ein occupierter Rechner ist, ist auch der erstmal dran.
Ich gehe davon aus, sicher bin ich natürlich nicht. Aber wie gesagt, erstmal mus er auf den Rechner kommen, udn dann eien Verbindung herstellen, was wie oben beschrieben einen deutlich höheren Aufwand erfordert als normal.
Also ich weiß ja nicht, aber die üblichen Verbreitungswege sind eben Mailanhänge, oder um genau zu sein: social engineering.
Ich glaube wir reden ein wenig aneinander vorbei. Ein Router bietet keinerlei Sicherheit gegen Mail-Anhänge und darin enthaltene Viren, das kann nur ein Virenscanner, am besten ein serverseitiger, um direkt zu verhindern dass der DAU überhaupt was zum draufklicken hat.
Ein Router hilft nicht gegen irgendwelche Viren oder Würmer, die autonom arbeiten also ohne manuell gesteuert zu werden, denn diese bauen selbst Verbidnungen auf oder schädigen den Rechner von alleine.
Ein Router hilft allerdings gegen bekannte Trojaner und gegen den Mißbrauch als Spam-Relay. Und diese beiden finde ich persönlich am schlimmsten.
Und ein Router hilft gegen Exploits wie lovesan die, das heißt selbst wenn der DAU nicht in der Lage ist seine Dienste alle zu deaktivieren, ein Außenstehender kommt gar nicht bis zu den Ports des Rechners durch, solange kein port-Forewarding im Routere eingerichtet ist. Und irgendwie habe ich mich in meiner Argumentation vor allem hierauf versteift, naja.
Ich fänd das gut, denn dann könnte man dann stünde das ein oder andere Script-Kiddie auf einmal recht dumm da, vielleicht fange ich ja mal mit GUI-Programmierung an ;-)
Den Witz verstehe ich jetzt nicht so ganz.
Soll ich jetzt um Erklärung bitten? Aber dann ist ja der Witz weg!
Oh je, immer diese Entscheidungen ;-)
ich spielte kurzfristig mit dem Gedanken ein kleines Cracker-Tool zu schreiben was den Script kiddies diese Möglichkeiten gibt, so dass die alle brav mal ein Serverprogramm auf Ihrer Seite einrichten, eine dyndns-Domain einrichten... dadurch ergäben sich sehr interessante Möglichkeiten ;-)
Das ganze wird aber leider an meinen fehlenden Kenntnissen scheitern... :-(
Das man sich nicht auf Fertigteile verlassen darf, auch nicht auf Prinzipien. Immer selber kontrollieren. Wenn man nicht die Fähigkeiten dazu hat: jemand beauftragen.
privat? Ich würde das nicht machen.Hast Du die Fähigkeit Deinen Automotor selber zu reparieren? (Nein, das war jetzt eine rethorische Frage ;-)
Dazu brauche ich dann aber genau so lange wie ein DAU brauchen würde eine ordendlich konfigurierte Firewall mit LinuxFromScratch aufzusetzen ;-)
das kribbelt dann aber manchmal so in den Fingern... ;-)
Nein, nicht _den_ Steck... zu spät. Drückt mal einer die Sicherung wieder rein? ;-)
Du kennst das auch? ;-)
Mit einem gutem Überwachungssystem läßt sich eine Änderung an Binaries gut erkennen.
Oh Gott, mit sowas habe ich mich noch nie wirklich beschäftigt. Meinst Du damit ein eigenes, welches z.B. MD5-Hashes der Binaries speichert und regelmäßig prüft? Welche sollte man prüfen? Alle bin/sbin Verzeichnisse? Aber dann muss ein Angreiufer doch nur auf ein Update warten, wie kann ich mir bei einem "apt-get dist-upgrade" noch sicher sein?
ja, auch ein Überwachungssystem ist nötig, denn bei der heutigen Komplexität der Software kann es immer mal wieder passieren, mag man auch noch so aufpassen. Vielleicht hat auch nur einer das Rootpasswort geklaut (Wer legt sch denn schon jedesmal ein Decke über die Finger, wenn er das Passwort eintippelt?
Du nicht? Tja, dann kann ich Deine Paranoia auch verstehen :)
Viele Grüße
Andreas
Hi,
Mitterlweile rechne ich schon, ob sich evt eine T1 lohnen würde.
Hä? Was ist das denn für ein Vergleich?
Gar keiner, war nur aus Frustration geboren, denn sowas bekommt man hinterhergetragen, ist aber kein Wunder ...
Was kostet denn sowas?
... bei den Preisen ;-)
(T1 und Konsorten wird übrigens schon lange nicht mehr angeboten, man kann es sich mittlerweile aussuchen. In 64kbit Schritten)
War aber auch mehr als Scherz gedacht.
Das kann sich IMHO nicht lohnen für privat, eher sowas wie SDSL(2,3 Mbit SDSL-Leitung (2.3 Mbit in beide Reichtungen) ist gar nicht so teuer!)
Aber zu schlecht, würde ich mich mit einer Firma nicht drauf verlassen müssen. (Kann sich geändert haben, verfolge sowas nur am Rande)
http://www.qsc.de/de/produkte/q-dslmax/preise/index.html, daran hätte ich durchaus Spaß, wenn man sich da die Kosten für die Server bei den Providern sparen kann, naja, aber ob sich das lohnt udn ob man mir dne Providern konkurrieren kann und sollte, ich weiß es nicht,
Lohnt sich in dieser Größenordnung kaum. Für einen Webshop ist es ein wenig zu klein. Höchstens als Internetzugang für eine kleinere Firma für die Kommunikation.
Das Ausfallrisiko würde siecherlich um einiges ansteigen, zumindest wenn man einen vernünftigen Provider hat ;-)
Naja, sich so eine Pizzabox bei einem großem Provider anzumieten ist auf jeden Fall bedeutend preiswerter ;-)
Eine gebrauchte UltraSparc in den Keller
Hm, bringen die denn so viel?
Ja.
Wie ist die denn ausgestattet?
Wie hieß es doch damals immer bei RR: sufficient ;-)
Aber da gibt es natürlich auch verschiedene Modelle in verschiedener Ausstattung. irgendwo hatte ich hier ein Angebot ... ah, hier:
Eine U80 mit zwei 450er M6 und 1GiB RAM für 3.500 EUR. (Also eine Workstation. Ist sogar noch ein Monitor und eine Festplatte mit drin)
und noch ein anständiges RAID sind ca 15.000 EUR Investition.
Für ein RAID-Array?
Da das neu sein muß ... achso, nein, insgesamt ;-)
Was hast Du Dir denn da vorgestellt? Sooo teuer ist das doch auch wieder nicht.
Doch, vernünftige Arrays sind immer noch schweineteuer! Die Preise sind ungefähr gleich geblieben, nur die Kapazität hat sich erhöht.
Und dann vermieten.
An wen? Wenn ich einen Server miete und die Wahl habe zwischen einem großen Rechenzentrum oder im Hobby-Keller von Christoph Zurnieden, weiß ich nicht so genau ob meine Wahl dann auf den Hobby-Keller fällt ;-)
Auf einen Hobby-Keller kaum, auf meinen Hobby-Keller schon eher ;-)
Aber wie gesagt, das war mehr ein Scherz, nicht so ganz ernstgemeint.
Nein, ernsthaft, ich würde für so viel Geld eher 4-5 neue x86 Server von DELL kaufen, da bekommst Du dann je 2 XEONs mit 2.6 Mhz, 2 U160 SCSI Platten, 2 GB RAM, Gbit-Ethernet und all so'n Kram. Und die sind gut Leistunsfähig und passen vielleicht besser in das Ambiente eines Hobby-Keller-Providers ;-)
Schön, und wie lange halten die?
Nein, auf PC-Schrott würde ich mich auf keinen Fall verlassen wollen, danke.
Aber bei _der_ Konkurenz ...
Was betrachtest Du denn als Konkurrenz?
Alle anderen ;-)
Was soll denn auf so einer Maschine laufen?
Askemos.
Dann sollte das doch rein theoretisch hier liegen, oder? GMX sagt aber: nö.
Das kann Dir nur die Telekom sagen.
Wenn es vorhanden ist musst Du das dann mit GMX regeln ;-)
Oh je ... ;-)
Modem ist zwar lästig lahm, aber ich lade mir äußerst selten viel runter.
Aber es ist nicht nur runterladen. Der Aufbau von normalen Seiten, vor allem solchen wie der Forumshauptdatei... geht viel, viel schneller.
Schlechtes Beispiel. Die Forumshauptdatei sind gerade mal so um die 40kib, das sind vielleicht 5-6 Sekunden und die lade ich auch nicht oft genug neu, das mir das auffallen würde.
Wenn ich auf riesige Webseiten stoße, schenk ich mir die meistens. Ist auch seltenst wirklich lohnenswert (Wenn es nicht gerade meine Lieblingsperversität ist ;-)
Wenn ich mich ins Internet einwähle dauert das 5 Sekunden, normalerweise wähle ich mich gar nicht erst ab, ich lasse alle 10 Minuten mails abfragen... das alles ist bei Modens eien Qual, zumal durch die Langsamkeit die erschiedenen Aufgaben viel länger dauern udn so mehr Zeit und Geld kosten.
Ja, stimmt, das lange Einwählen nervt ziemlich.
Aber alle 10 Minuten Mails abfragen? Brauchst Du den Anschluß beruflich?
Das ist vielleicht mal ein neuer Kernel, wenn ich es verschlampt habe, mit den Diffs up-to-date zu bleiben, oder der neue Mozilla, etc. Also recht selten.
Ja, das ist die Macht der Gewohnheit ;-) Mit DSL wird man da schon ein wenig verschwenderischer, wenn ich ethereal nicht installiert habe aber noch irgendwo von füher in einem Verzeichnis habe, überlege ich gar nicht erst sondern lade es mal eben neu runter um die updates mitzunehmen.
Nunja, sowas brauch ich ja nicht, denn ich habe ja eine derartig gute Ordnung, das ich alles sofort wiederfinde.
Äh ...
*öchöt*
Ja, ich weiß, was Du meinst ;-)
Dann so Kleinigektein wie SPs unter Windows...
Nein, _sowas_ brauch ich denn nun wirklich nicht >;->
Aber ernsthaft: warum sind die Dinger meistens so _unwahrscheinlich_ groß? Das das Sammelpatches sind ist schon klar, aber selbst damit wären es meist doch nur ein paar MiB, wenn es hochkommt, aber das sind doch meistens einige _zig_ MiB!
oder mal ne Knoppix ISO, oder die drei Red Hat/Gentoo ISOs der neusten Version, das ist schon nett.
Nunja, ist ja auch nicht so, als ob ich mir für solche seltenen Gelegenheiten nicht ... äh ... Gelegenheit verschaffen könnte ;-)
Selbst, wenn ich mir den Router selber gebaut hätte, hätte ich irgendwo, ganz hinten, so ein ungutes Gefühl ;-)
Das ist wirklich paranoide ;-)
Hey, davon leb' ich!
Nein, nicht vom Routerbau, vom paranoide sein! ;-)
Es kommt immer drauf an was man schützen will, denke ich mir.
Und wenn das entschieden ist kommt die Frage: wovor und womit.
Beide Fragen hängen wie folgt zusammen:
x = Budget - (wovor*womit) für alle x >= 0, Buget /in {}
Oder etwa nicht? >;->
[SOHO]
Das heißt im Prinzip ist das eigentlich wirklich simpel. Naja, meine Erklärung vielleicht weniger ;-)
Ja, doch kommt wahrscheinlich im Großen und Ganzen hin.
Mit UDP kenne ich mich nicht aus, aber ich vermute da läuft das ähnlich. Andere Protokolle werden grundsätzlich abgewiesen. Also erklär mir mal wie man da von außen angreifen will?
Das sagt Cisco auch immer >;->
(Fragt sich natürlich, wie die das feststellen wollen ;-)
http://www.heise.de/ct/03/05/050/
Naja, das ist die Theorie... ;-)
Grau ist alle Theorie ... ;-)
Nein, gut gemacht ist das von außen wirklich nicht feststellbar.
Wenn ich genügend Rechte auf einem fremden Rechner habe bin ich auch in der Lage eine Verbindung herzustellen, und sei es dass ich den IE imitieren und eine TCP-Verbindung durch HTTPS tunnel ;-)
(_ich_ kann das nicht, aber...)
Das ist weniger das Problem. Es wird aber zu einem Riesenproblem, wenn sich der Angreifer verstecken kann. Nichts anderes machen übrigens die sogenannten Rootkits (Na gut, das war jetzt arg verallgemeinert, aber wesentlich mehr machen die wirklich kaum)
Wenn Du sowas verhindern willst, und das bei einem DAU der kein Geld ausgeben willst, naja, viel Spaß ;-)
Man kann ja immer noch eine Knoppix CD anpassen ;-)
Der Ursprung läßt sich mit ein wenig Geschick verbergen.
Ja? Wenn ich nicht weiß wann der Verbindungsaufbau stattfindet, oder selbst wenn ich es weiß muss ich dann direkt erreichbar sein. OK, ich kann Proxies oder andere kompromittierte Rechner dazwischenschalten, oder meinst Du noch was anderes?
Im Groben ist es das, ja. Wenn das großzügig verteilt ist (Ob jetzt nur ein feste Adresse oder ein ganze Reihe macht Speichertechnisch nicht viel aus) kann man das eigentlich nur zurückverfolgen, wenn man den Angreifer auf frischer Tat ertappt.
Das Risiko ist kalkulierbar.
aber unnötig, da es genügend einfachere/sicherere Alternativen gibt.
Das macht aber keinen Spaß, wenn's einfach ist! ;-)
Also ich weiß ja nicht, aber die üblichen Verbreitungswege sind eben Mailanhänge, oder um genau zu sein: social engineering.
Und ein Router hilft gegen Exploits wie lovesan die, das heißt selbst wenn der DAU nicht in der Lage ist seine Dienste alle zu deaktivieren, ein Außenstehender kommt gar nicht bis zu den Ports des Rechners durch, solange kein port-Forewarding im Routere eingerichtet ist. Und irgendwie habe ich mich in meiner Argumentation vor allem hierauf versteift, naja.
Auf einem Auge blind, wie es so schön heißt? Aber gut, bei mir war's ja genauso, nur hatte ich mich auf den Angriff von innen versteift.
ich spielte kurzfristig mit dem Gedanken ein kleines Cracker-Tool zu schreiben was den Script kiddies diese Möglichkeiten gibt, so dass die alle brav mal ein Serverprogramm auf Ihrer Seite einrichten, eine dyndns-Domain einrichten... dadurch ergäben sich sehr interessante Möglichkeiten ;-)
Ah so meintest Du das.
Ich weiß schon, warum ich grundsätzlich nur aus geprüften Quellen selber baue ;-)
Das ganze wird aber leider an meinen fehlenden Kenntnissen scheitern... :-(
Ach was, sowas dürfte schnell gehackt sein.
Aber was würde es bringen? Verbesserte Kontrolle der Lütten?
Naja ;-)
Hast Du die Fähigkeit Deinen Automotor selber zu reparieren? (Nein, das war jetzt eine rethorische Frage ;-)
Dazu brauche ich dann aber genau so lange wie ein DAU brauchen würde eine ordendlich konfigurierte Firewall mit LinuxFromScratch aufzusetzen ;-)
Motor auseinandernehmen und funktionsfähig wieder zusammenkriegen könnte ich ja noch (zumindest die alten Dinger. Beim Käfermotor und beim C-Kadett auf jeden Fall, da habe ich Zeugen ;-) aber beim Zündung einstellen habe ich immer kläglich versagt. Lief zwar hinterher, nur wie ;-)
Also habe ich mir immer einen Kollegen geholt, der hatte das in 2-5 Minuten geregelt. Für die sprichwörtliche Flasche Bier. Das gibt es im Computerbereich doch mittlerweile auch, oder? Muß ja nicht immer der hochbezahlte Fachman sein.
Mit dieser Argumentation stelle ich mir allerdings selber ein Bein, denn weiter oben hatte ich ja noch beim Thema "vernünftig eingestellt" gefragt "wer macht das?" ;-)
Mit einem gutem Überwachungssystem läßt sich eine Änderung an Binaries gut erkennen.
Oh Gott, mit sowas habe ich mich noch nie wirklich beschäftigt. Meinst Du damit ein eigenes, welches z.B. MD5-Hashes der Binaries speichert und regelmäßig prüft?
Zum Beispiel.
Welche sollte man prüfen?
Alle.
Alle bin/sbin Verzeichnisse?
Nein, alle. Auch die Configurationsdateien.
Aber dann muss ein Angreiufer doch nur auf ein Update warten, wie kann ich mir bei einem "apt-get dist-upgrade" noch sicher sein?
Indem Du nur von vertrauenswürdigen Stellen ziehst und die Checksums von einer zweiten.
Ja, genau, irgendwo ist halt Schluß. Mehr Sicherheit wäre einfach nicht mehr mit vernünftigem Aufwand darstellbar.
(Wer legt sch denn schon jedesmal ein Decke über die Finger, wenn er das Passwort eintippelt?
Du nicht?
Nein, natürlich nicht, dafür hab' ich meine Leute ;-)
so short
Christoph Zurnieden
Auha, das war jetzt auch für mich zuviel, wenn ich zuviel gelöscht habe: einfach mal nachfragen.
Hi!
Das kann sich IMHO nicht lohnen für privat, eher sowas wie SDSL(2,3 Mbit SDSL-Leitung (2.3 Mbit in beide Reichtungen) ist gar nicht so teuer!)
Aber zu schlecht, würde ich mich mit einer Firma nicht drauf verlassen müssen. (Kann sich geändert haben, verfolge sowas nur am Rande)
Ja? Da habe ich keine Ahnung von, aber 2.3 Mbit up/downstream haben mich geblendet ;-)
Bei A-DSL habe ich schon hin und wieder Verbindungs-Probleme, wobei ich bei solchen S-DSL Leitungen davon ausgegangen bin dass das eigene Leitungen sind, aber das kann ich mir bei _dem_ Preis nicht vorstellen.
Lohnt sich in dieser Größenordnung kaum. Für einen Webshop ist es ein wenig zu klein.
kommt auf den Webshop an ;-)
Auf der anderen Seite sind ja gerade bei Webshops Anbindungsprobleme das gleiche wie ein paar Scheinchen das Klo runterzuspülen ;-)
Höchstens als Internetzugang für eine kleinere Firma für die Kommunikation.
Ja, stimmt schon, für wichtige Webserver braucht man andere Anbungsarten, wobei, es gibt doch viele Gebiete die mit Glasfaser erschlossen sind, die die kein DSL haben können (hähäh >:->), aber dafür gibt es glaube ich noch keien Breitbandzugänge, wäre aber sicher nicht schlecht.
Eine gebrauchte UltraSparc in den Keller
Wie ist die denn ausgestattet?
Wie hieß es doch damals immer bei RR: sufficient ;-)
jaja.. ;)
Eine U80 mit zwei 450er M6 und 1GiB RAM für 3.500 EUR. (Also eine Workstation. Ist sogar noch ein Monitor und eine Festplatte mit drin)
Wie gesagt, fürs gleiche Geld bekommst Du einen X86-Server der sicher 3 mal so schnell ist, also auch entsprechend entspannter arbeiten kann.
und noch ein anständiges RAID sind ca 15.000 EUR Investition.
Was hast Du Dir denn da vorgestellt? Sooo teuer ist das doch auch wieder nicht.Doch, vernünftige Arrays sind immer noch schweineteuer! Die Preise sind ungefähr gleich geblieben, nur die Kapazität hat sich erhöht.
Was ist denn ein "vernünftiger Array"? Ich glaube 36 GB Fujitsu U320 Platten mit 15000 UPM kosten so 400 EUR. Und ein Controller, mehr als 2000 EUR wird der wohl nicht kosten, oder? Würdest Du dann 20 Festplatten nehmen? Wofür? Bei einer so kleinen Maschine?
Nein, ernsthaft, ich würde für so viel Geld eher 4-5 neue x86 Server von DELL kaufen, da bekommst Du dann je 2 XEONs mit 2.6 Mhz, 2 U160 SCSI Platten, 2 GB RAM, Gbit-Ethernet und all so'n Kram. Und die sind gut Leistunsfähig und passen vielleicht besser in das Ambiente eines Hobby-Keller-Providers ;-)
Schön, und wie lange halten die?
Keine Ahnung, aber gucke wie lange der Self-Server hält. Gut nach ca. 2 Jahren ist die CPU kaputt gegangen, aber der Server steht unter Dauerlast, ist irgendwo in einen vollen Server-Schrank gestopft, verwendet nur eine einzige 1,2 Ghz CPU, die nicht mit einem Intel XEON vergleichbar ist(sondern fast identisch mit der "billig-Desktop-CPU" ist), viel zu viel Wärme produziert die man nicht "weggekühlt" bekommt und die ganze Zeit viel zu heiß läuft, einen Chipsatz der damals absolut neu und kaum getestet war...
Und wenn es der Server unter den Bedingungen so lange aushält, dann bin ich fest davon überzeugt dass ein Rechner wie von mir oben skizziert noch erheblich länger hält. Und nach 3-5 Jahren sind die ja eh abgeschrieben ;-)
OK, man kann vielleicht nicht CPUs im laufenden Betrieb auswechseln, aber da kommt es halt auf den Einsatzzweck und -Ort des Servers an.
Jednefalls denke ich das Deine UltraSparc schon Probleme hätte mit der Last des Self-Servers, zumindest käme das nah an seine Leistungsgrenze.
Nein, auf PC-Schrott würde ich mich auf keinen Fall verlassen wollen, danke.
Wieso nicht?
Was soll denn auf so einer Maschine laufen?
Askemos.
Was'n das?
Modem ist zwar lästig lahm, aber ich lade mir äußerst selten viel runter.
Aber es ist nicht nur runterladen. Der Aufbau von normalen Seiten, vor allem solchen wie der Forumshauptdatei... geht viel, viel schneller.Schlechtes Beispiel. Die Forumshauptdatei sind gerade mal so um die 40kib, das sind vielleicht 5-6 Sekunden
Naja, bei bei einer GEschwindighkeit von 5 KB/sek sind das 8 Sekunden , musst das gar nicht schönreden ;-)
Wenn ich auf riesige Webseiten stoße, schenk ich mir die meistens. Ist auch seltenst wirklich lohnenswert (Wenn es nicht gerade meine Lieblingsperversität ist ;-)
Ja, stimmt, das lange Einwählen nervt ziemlich.
Vor allem wenn man es anders kennt ;-) Aber da ist ISDN schon ein großere Unterschied.
Aber alle 10 Minuten Mails abfragen? Brauchst Du den Anschluß beruflich?
Ja. Habe ein IMAP-Konto und mein web.de Konto was ich ständig abfrage, wobei ich das galube ich auf 15 Minuten stellen musste da web.de Geld haben will wenn man öfter will ...
Dann so Kleinigektein wie SPs unter Windows...
Aber ernsthaft: warum sind die Dinger meistens so _unwahrscheinlich_ groß? Das das Sammelpatches sind ist schon klar, aber selbst damit wären es meist doch nur ein paar MiB, wenn es hochkommt, aber das sind doch meistens einige _zig_ MiB!
Ich lade mir immer die Komplettversion runter, dann kann ich die einmal laden und auf allen Windows 2000 Rechnern die mir so unterkommen installieren, und das hat bei SP4 über 120 MB. Aber auch sonst sind es IMHO ca. 30 MB.
oder mal ne Knoppix ISO, oder die drei Red Hat/Gentoo ISOs der neusten Version, das ist schon nett.
Nunja, ist ja auch nicht so, als ob ich mir für solche seltenen Gelegenheiten nicht ... äh ... Gelegenheit verschaffen könnte ;-)
Oh ja, da wird man recht kreativ ;-)
Das ist wirklich paranoide ;-)
Hey, davon leb' ich!
Nein, nicht vom Routerbau, vom paranoide sein! ;-)
Was bist Du denn? Body-Guard?
;-)
Das heißt im Prinzip ist das eigentlich wirklich simpel. Naja, meine Erklärung vielleicht weniger ;-)
Ja, doch kommt wahrscheinlich im Großen und Ganzen hin.
Wo denn nicht? Würde mich interessieren, ich bin da leider (noch) kein Fachmann, (will aber mal einer werden) ;-)
Also erklär mir mal wie man da von außen angreifen will?
Das sagt Cisco auch immer >;->
Vielleicht suchen die noch so einen wie mich? ;-)
Wenn ich genügend Rechte auf einem fremden Rechner habe bin ich auch in der Lage eine Verbindung herzustellen, und sei es dass ich den IE imitieren und eine TCP-Verbindung durch HTTPS tunnel ;-)
(_ich_ kann das nicht, aber...)Das ist weniger das Problem. Es wird aber zu einem Riesenproblem, wenn sich der Angreifer verstecken kann. Nichts anderes machen übrigens die sogenannten Rootkits (Na gut, das war jetzt arg verallgemeinert, aber wesentlich mehr machen die wirklich kaum)
Ich dachte immer die bauen backdoors in vorhandene Programme ein!? Das bringt aber nichts wegen s.o. ;-)
Wenn Du sowas verhindern willst, und das bei einem DAU der kein Geld ausgeben willst, naja, viel Spaß ;-)
Man kann ja immer noch eine Knoppix CD anpassen ;-)
Das ist unfair ;-) Wobei, das gibts ja, Firewall auf CD, das finde ich eigentlich sehr schlau, kann man sich ja eigentlich auch selbst machen. Wobei, wenn das von CD läuft, läuft das doch nicht dorekt von CD, sonderen wird auf eien Festplatte gemountet und alles mögliche im RAM gehalten, da ergeben sich ja im Prinzip zur Laufzeit ähnliche Möglichkeiten wie bei npormalen iInstallationen, nur das das alles nach einem Neustart garantiert wieder weg ist, es sei denn man legt die CD aus Versehen in einen CD-Brenner ;-)
Ja? Wenn ich nicht weiß wann der Verbindungsaufbau stattfindet, oder selbst wenn ich es weiß muss ich dann direkt erreichbar sein. OK, ich kann Proxies oder andere kompromittierte Rechner dazwischenschalten, oder meinst Du noch was anderes?
Im Groben ist es das, ja.
Wie "im Groben", was gäbe es sonst für Möglichkeiten?
Wenn das großzügig verteilt ist (Ob jetzt nur ein feste Adresse oder ein ganze Reihe macht Speichertechnisch nicht viel aus) kann man das eigentlich nur zurückverfolgen, wenn man den Angreifer auf frischer Tat ertappt.
Das ist klar, denn das wird wohl nirgends geloggt, und spätestens auf der 1. Zwischenstation wird sicherlich nichts geloggt worden sein.
ich spielte kurzfristig mit dem Gedanken ein kleines Cracker-Tool zu schreiben was den Script kiddies diese Möglichkeiten gibt, so dass die alle brav mal ein Serverprogramm auf Ihrer Seite einrichten, eine dyndns-Domain einrichten... dadurch ergäben sich sehr interessante Möglichkeiten ;-)
Ah so meintest Du das.
Ich weiß schon, warum ich grundsätzlich nur aus geprüften Quellen selber baue ;-)
Ich gehe auch davon aus dass Du kein Script-Kiddie bist, hast ja nichtmal Windows! Und die wollen lieber einen "Windows Installer" als irgendwas selbst zu bauen ;-)
Ach was, sowas dürfte schnell gehackt sein.
Aber ich kann keine GUI-Programmierung, hab nur mal mit Java/Swing gespielt, naja.
Aber was würde es bringen? Verbesserte Kontrolle der Lütten?
Nein, ich drehe den Spieß um und bekomme Zugang zu den Script-Kiddie Rechnern ;-)
Also habe ich mir immer einen Kollegen geholt, der hatte das in 2-5 Minuten geregelt. Für die sprichwörtliche Flasche Bier. Das gibt es im Computerbereich doch mittlerweile auch, oder? Muß ja nicht immer der hochbezahlte Fachman sein.
Das Problem ist nur, dass es viel zu viele selbsternannte Experten gibt, das sind die die gnau wissen wozu man eine Personal Firewall braucht ;-)
Viele Grüße
Andreas
Hi!
Schön, und wie lange halten die?
Keine Ahnung, aber gucke wie lange der Self-Server hält. Gut nach ca. 2 Jahren ist die CPU kaputt gegangen, aber der Server steht unter Dauerlast, ist irgendwo in einen vollen Server-Schrank gestopft, verwendet nur eine einzige 1,2 Ghz CPU, die nicht mit einem Intel XEON vergleichbar ist(sondern fast identisch mit der "billig-Desktop-CPU" ist), viel zu viel Wärme produziert die man nicht "weggekühlt" bekommt und die ganze Zeit viel zu heiß läuft, einen Chipsatz der damals absolut neu und kaum getestet war...
Als ich mir gerade nochmal ein Foto des Self-Servers angesehen habe ist es mir wie Schuppen von den Augen gefallen! Welcher Idiot hat denn da den Kühler montiert?
<img src="http://www.dau-alarm.de/pictures/hardware/dotm-012_k.jpg" border="0" alt="">
*SCNR*
Grüße
Andreas
Hi,
Lohnt sich in dieser Größenordnung kaum. Für einen Webshop ist es ein wenig zu klein.
kommt auf den Webshop an ;-)
Auf der anderen Seite sind ja gerade bei Webshops Anbindungsprobleme das gleiche wie ein paar Scheinchen das Klo runterzuspülen ;-)
Wobei bei den meisten Webshops diese Anbindungsprobleme sogar noch hausgemacht sind: riesige Seiten auf denen man nix findet. Alternativ auch einfach strukturierte, gut navigierbare Seiten, dann aber mit riesigen Bildern.
Höchstens als Internetzugang für eine kleinere Firma für die Kommunikation.
Ja, stimmt schon, für wichtige Webserver braucht man andere Anbungsarten, wobei, es gibt doch viele Gebiete die mit Glasfaser erschlossen sind, die die kein DSL haben können (hähäh >:->), aber dafür gibt es glaube ich noch keien Breitbandzugänge, wäre aber sicher nicht schlecht.
Ja, aber wichtige Server würde ich dann doch direkt an's Backbone anschließen und vor allem Serviceverträge abschließen. Ist zwar recht teuer, aber es lohnt sich.
Eine U80 mit zwei 450er M6 und 1GiB RAM für 3.500 EUR. (Also eine Workstation. Ist sogar noch ein Monitor und eine Festplatte mit drin)
Wie gesagt, fürs gleiche Geld bekommst Du einen X86-Server der sicher 3 mal so schnell ist, also auch entsprechend entspannter arbeiten kann.
Mal davon ab, das es sich um zwei verschieden Architekturen handelt, die sich schlecht vergleichen lassen, aber ich würde sagen, das da wohl erst der Xeon mitkäme und da ist der Preis dann so ziemlich gleich.
Doch, vernünftige Arrays sind immer noch schweineteuer! Die Preise sind ungefähr gleich geblieben, nur die Kapazität hat sich erhöht.
Was ist denn ein "vernünftiger Array"? Ich glaube 36 GB Fujitsu U320 Platten mit 15000 UPM kosten so 400 EUR. Und ein Controller, mehr als 2000 EUR wird der wohl nicht kosten, oder? Würdest Du dann 20 Festplatten nehmen? Wofür? Bei einer so kleinen Maschine?
Was hat denn die Maschinenleistung mit Festplattengrößen zu tun? Der Flaschenhals ist da auf jeden Fall die Platte. Achso, für das Restgeld kämen etwa 0,5 TiB zusammen in SCSI und als 1-0 RAID (Hot-swappable usw). Schwierig wird bei sowas natürlich auch das Backup.
Nein, ernsthaft, ich würde für so viel Geld eher 4-5 neue x86 Server [...]
Schön, und wie lange halten die?
Keine Ahnung, aber gucke wie lange der Self-Server hält. Gut nach ca. 2 Jahren ist die CPU kaputt gegangen, aber der Server steht unter Dauerlast, ist irgendwo in einen vollen Server-Schrank gestopft, verwendet nur eine einzige 1,2 Ghz CPU, die nicht mit einem Intel XEON vergleichbar ist(sondern fast identisch mit der "billig-Desktop-CPU" ist), viel zu viel Wärme produziert die man nicht "weggekühlt" bekommt und die ganze Zeit viel zu heiß läuft, einen Chipsatz der damals absolut neu und kaum getestet war...
Jetzt streu nicht auch noch Salz in die Wunden, die wissen ganz genau, das das ein Fehlkauf war. War AFAIk sogar ein Versehen, denn das ursprünglich eingeplante Board unterschied sich in der Typenbezeichnung nur an einer Stelle o.ä. Es ist übrigens ein Dualboard und die berechnete Leistung hätte voll und ganz gereicht. Nur: weil das das falsche Board war, kann die zweite CPU nicht genutzt werden.
Und wenn es der Server unter den Bedingungen so lange aushält, dann bin ich fest davon überzeugt dass ein Rechner wie von mir oben skizziert noch erheblich länger hält. Und nach 3-5 Jahren sind die ja eh abgeschrieben ;-)
Nein, die PC-Ware hält im Schnitt wirklich nur rund 2 Jahre wenn sie genutzt wird. Ja "genutzt", denn wenn ich nicht ständig Volllast fahren darf, habe ich Geld zum Fenster rausgeschmissen, das muß so eine Kiste abkönnen.
OK, man kann vielleicht nicht CPUs im laufenden Betrieb auswechseln, aber da kommt es halt auf den Einsatzzweck und -Ort des Servers an.
Jednefalls denke ich das Deine UltraSparc schon Probleme hätte mit der Last des Self-Servers, zumindest käme das nah an seine Leistungsgrenze.
Er würde müde drüber lächeln ;-)
Nein, auf PC-Schrott würde ich mich auf keinen Fall verlassen wollen, danke.
Wieso nicht?
Ist dafür nicht gebaut worden. Die Architektur selber ist auch nicht gerade das Gelbe vom Ei. (Wer jemals die Möglichkeit hatte auf CISC und RISC Prozessoren mit Assembler zu spielen weiß, was ich meine)
Was soll denn auf so einer Maschine laufen?
Askemos.
Was'n das?
Schlechtes Beispiel. Die Forumshauptdatei sind gerade mal so um die 40kib, das sind vielleicht 5-6 Sekunden
Naja, bei bei einer GEschwindighkeit von 5 KB/sek sind das 8 Sekunden , musst das gar nicht schönreden ;-)
;-)
Aber alle 10 Minuten Mails abfragen? Brauchst Du den Anschluß beruflich?
Ja. Habe ein IMAP-Konto und mein web.de Konto was ich ständig abfrage, wobei ich das galube ich auf 15 Minuten stellen musste da web.de Geld haben will wenn man öfter will ...
Nunja, wenn Du das beruflich brauchst, kannst Du das normalerweise ja von der Steuer absetzen, oder? ;-)
(Ja, ich weiß, wie kompliziert sowas ist, ich kenne das Finanzamt *sigh*)
Dann so Kleinigektein wie SPs unter Windows...
Aber ernsthaft: warum sind die Dinger meistens so _unwahrscheinlich_ groß? Das das Sammelpatches sind ist schon klar, aber selbst damit wären es meist doch nur ein paar MiB, wenn es hochkommt, aber das sind doch meistens einige _zig_ MiB!
Ich lade mir immer die Komplettversion runter, dann kann ich die einmal laden und auf allen Windows 2000 Rechnern die mir so unterkommen installieren, und das hat bei SP4 über 120 MB. Aber auch sonst sind es IMHO ca. 30 MB.
Nunja, aber das beantwortet meine Frage nicht, _warum_ die so groß sind ;-)
Das ist wirklich paranoide ;-)
Hey, davon leb' ich!
Nein, nicht vom Routerbau, vom paranoide sein! ;-)Was bist Du denn? Body-Guard?
;-)
Nein, ich verdiene etwas mehr und muß auch nicht als Kugelfang dienen ;-)
Das heißt im Prinzip ist das eigentlich wirklich simpel. Naja, meine Erklärung vielleicht weniger ;-)
Ja, doch kommt wahrscheinlich im Großen und Ganzen hin.
Wo denn nicht? Würde mich interessieren, ich bin da leider (noch) kein Fachmann, (will aber mal einer werden) ;-)
Das würde den Rahmen hier nun wirklich sprengen ;-)
Aber ich such bei Gelegenheit ein paar Links raus und schicke sie Dir, falls bis dahin dieser Thread hier rausgefallen ist. (Aber ich hoffe doch schwer, das bis heute abend erledigt zu haben ;-)
Also erklär mir mal wie man da von außen angreifen will?
Das sagt Cisco auch immer >;->
Vielleicht suchen die noch so einen wie mich? ;-)
Für die PR Abteilung? ;-)
Wenn ich genügend Rechte auf einem fremden Rechner habe bin ich auch in der Lage eine Verbindung herzustellen, und sei es dass ich den IE imitieren und eine TCP-Verbindung durch HTTPS tunnel ;-)
(_ich_ kann das nicht, aber...)Das ist weniger das Problem. Es wird aber zu einem Riesenproblem, wenn sich der Angreifer verstecken kann. Nichts anderes machen übrigens die sogenannten Rootkits (Na gut, das war jetzt arg verallgemeinert, aber wesentlich mehr machen die wirklich kaum)
Ich dachte immer die bauen backdoors in vorhandene Programme ein!? Das bringt aber nichts wegen s.o. ;-)
Nein, die bauen vorhandene Programme in Backdoors ein ;-)
Aber es bringt wirklich etwas, da ist so ein Router vielleicht lästig, aber kein großes Problem.
Wenn Du sowas verhindern willst, und das bei einem DAU der kein Geld ausgeben willst, naja, viel Spaß ;-)
Man kann ja immer noch eine Knoppix CD anpassen ;-)
Das ist unfair ;-) Wobei, das gibts ja, Firewall auf CD, das finde ich eigentlich sehr schlau, kann man sich ja eigentlich auch selbst machen.
Was ist eigentlich aus den Floppies geworden? Reicht doch! *gnaa* ;-)
Wobei, wenn das von CD läuft, läuft das doch nicht dorekt von CD, sonderen wird auf eien Festplatte gemountet
Doch, das läuft alles direkt von CD, eine Festplatte ist nicht nötig.
und alles mögliche im RAM gehalten, da ergeben sich ja im Prinzip zur Laufzeit ähnliche Möglichkeiten wie bei npormalen iInstallationen, nur das das alles nach einem Neustart garantiert wieder weg ist, es sei denn man legt die CD aus Versehen in einen CD-Brenner ;-)
Deswegen sollte man immer nur CD-Rs nehmen und den Rest auffüllen (vorzugsweise aus /dev/urandom). Ist auch billiger ;-)
Ja? Wenn ich nicht weiß wann der Verbindungsaufbau stattfindet, oder selbst wenn ich es weiß muss ich dann direkt erreichbar sein. OK, ich kann Proxies oder andere kompromittierte Rechner dazwischenschalten, oder meinst Du noch was anderes?
Im Groben ist es das, ja.
Wie "im Groben", was gäbe es sonst für Möglichkeiten?
Nein, viel mehr Möglichkeiten gibt es tatsächlich nicht, nur die Erklärung war recht grob, da passiert im Detail schon etwas mehr.
Wenn das großzügig verteilt ist (Ob jetzt nur ein feste Adresse oder ein ganze Reihe macht Speichertechnisch nicht viel aus) kann man das eigentlich nur zurückverfolgen, wenn man den Angreifer auf frischer Tat ertappt.
Das ist klar, denn das wird wohl nirgends geloggt, und spätestens auf der 1. Zwischenstation wird sicherlich nichts geloggt worden sein.
Aber natürlich wird da alles geloggt, die sind doch nicht blöd!
Nur das die Angeben in den Logfiles etwas ... äh ... verändert wurden ;-)
Ich weiß schon, warum ich grundsätzlich nur aus geprüften Quellen selber baue ;-)
Ich gehe auch davon aus dass Du kein Script-Kiddie bist, hast ja nichtmal Windows! Und die wollen lieber einen "Windows Installer" als irgendwas selbst zu bauen ;-)
Das stimmt auch mal wieder.
Aber ich stemme mich dem entgegen. Auf meine alte Kiste habe ich FreeBSD gehauen und die läuft jetzt bei den Enkeln eines Kollegen (6 und 8 Jahre alt, Die Enkel, nicht der Kollege ;-), die sind schier begeistert. Da frage ich mich jetzt doch so langsam: warum nur sind die davon so begeistert? ;-)
Aber was würde es bringen? Verbesserte Kontrolle der Lütten?
Nein, ich drehe den Spieß um und bekomme Zugang zu den Script-Kiddie Rechnern ;-)
Das ist doch das, was ich gesagt hatte?
Hör mal: wenn ich unverständlich bin, frage einfach nach. Ich weiß, das ich mich in so lockerer Runden wie im Selfforum manchmal etwas allzu flappsig ausdrücke ;-)
Also habe ich mir immer einen Kollegen geholt, der hatte das in 2-5 Minuten geregelt. Für die sprichwörtliche Flasche Bier. Das gibt es im Computerbereich doch mittlerweile auch, oder? Muß ja nicht immer der hochbezahlte Fachman sein.
Das Problem ist nur, dass es viel zu viele selbsternannte Experten gibt, das sind die die gnau wissen wozu man eine Personal Firewall braucht ;-)
Ja, das stimmt auch mal wieder, die Möglichkeit die Arbeit zu kontrollieren ist für den Auftraggeber nicht gegeben. Höchsten wenn das Kind in den Brunnen gefallen ist, aber dann ist es eh zu spät.
Das ist bei meinem Beispiel mit der Zündung natürlich einfacher: läuft rund? Zieht gut? Braucht wenig? Gut ist ;-)
so short
Christoph Zurnieden
Hi!
Eine U80 mit zwei 450er M6 und 1GiB RAM für 3.500 EUR. (Also eine Workstation. Ist sogar noch ein Monitor und eine Festplatte mit drin)
Wie gesagt, fürs gleiche Geld bekommst Du einen X86-Server der sicher 3 mal so schnell ist, also auch entsprechend entspannter arbeiten kann.Mal davon ab, das es sich um zwei verschieden Architekturen handelt, die sich schlecht vergleichen lassen, aber ich würde sagen, das da wohl erst der Xeon mitkäme und da ist der Preis dann so ziemlich gleich.
Klar kann man die nicht direkt vergleichen, aber es gibt ja benchmarks... die ja messen wie lange bestimmte Operationen dauern. Und ich weiß auch dass man das noch nicht unbedingt mit echten Applikationen vergleichen kann, aber auch da gibt es Messungen z.B. mit apachebench oder wie das teil heißt. Da kommt dann raus wieviel der Server schafft, und ich meine mich zu erinnern dass bei sowas die x86-Rechner erheblich aufholen. Sicher kann man nicht die Taktfrequenz zum Vergleichen nehmen, aber die in diesem Fall ist die Taktfrequenz fast 6 mal höher beim x86 Rechner, und auch die überigen Kanäle (PCI-X...), RAM-Anbindung... sind inzwischen schon wirklich schnell geworden. Da braucht man ganz schön große RAID-Arrays um das auszulasten.
Was hat denn die Maschinenleistung mit Festplattengrößen zu tun?
nix
Der Flaschenhals ist da auf jeden Fall die Platte. Achso, für das Restgeld kämen etwa 0,5 TiB zusammen in SCSI und als 1-0 RAID (Hot-swappable usw). Schwierig wird bei sowas natürlich auch das Backup.
Tja, da braucht man halt ein paar mehr Bänder ;-)
Aber erstmal braucht man überhaupt so viele Daten, nicht jede Server-Anwendung jongliert mit dermaßen großen Datenmengen (Webserver z.B.)
Und vermutlich hast Du sofort bemerkt dass ich von "echten Servern" keine Ahnung habe, ich habe nur hier und da mal einen Benchmark-Vergleich mit x86er Mschinen geshehen. Und eigentlich war ich der Ansicht das der Vorteil dieser Mschinen in der heutigen Zeit weniger in der Performance liegt, sondern eher in der Ausrichtung für den Serverbetrieb, also für große Mehrprozessor-Systeme, wo man im laufenden Betrieb CPUs tauschen kann ohne das die Anwendungen das merken. Oder sonst noch so alle möglichen Spielereien die den Admins das Leben erleichtern. Dazu kommt dann das die Komponenten erheblich hochwertiger sind, viel weniger fehleranfällig und weniger fehlerbehaftet. Dagegen verwenden viele Hochleistungs-Cluster heutzutage nicht um sonst x86er Rechner(z.B. Google), weil das trotz der Nachteile im Server-Betrieb eben immer noch billiger ist dieselbe Leistung zu erreichen - denke ich.
Keine Ahnung, aber gucke wie lange der Self-Server hält. Gut nach ca. 2 Jahren ist die CPU kaputt gegangen, aber der Server steht unter Dauerlast, ist irgendwo in einen vollen Server-Schrank gestopft, verwendet nur eine einzige 1,2 Ghz CPU, die nicht mit einem Intel XEON vergleichbar ist(sondern fast identisch mit der "billig-Desktop-CPU" ist), viel zu viel Wärme produziert die man nicht "weggekühlt" bekommt und die ganze Zeit viel zu heiß läuft, einen Chipsatz der damals absolut neu und kaum getestet war...
Jetzt streu nicht auch noch Salz in die Wunden, die wissen ganz genau, das das ein Fehlkauf war.
hinterher ist man immer schlauer. Damals war es sicher eine sehr nachvollziehbare Entscheidung, ist halt Pech wie das dann gelaufen ist.
War AFAIk sogar ein Versehen, denn das ursprünglich eingeplante Board unterschied sich in der Typenbezeichnung nur an einer Stelle o.ä. Es ist übrigens ein Dualboard und die berechnete Leistung hätte voll und ganz gereicht. Nur: weil das das falsche Board war, kann die zweite CPU nicht genutzt werden.
Wenn ich das richtig verstanden habe kann man die 2. CPU nutzen wenn man ein Bios-Update macht und eine neuere FreeBSD Version installiert, nur ist das nicht "mal eben so" gemacht, zumal ja keiner von den Admins in der Nähe wohnt. Mir dem neuen Forum scheit es ja besser zu gehen, und wenn die neue Suche kommt ist auch der 2, große Peformance-Verbraucher erheblich optimiert.
Nein, die PC-Ware hält im Schnitt wirklich nur rund 2 Jahre wenn sie genutzt wird. Ja "genutzt", denn wenn ich nicht ständig Volllast fahren darf, habe ich Geld zum Fenster rausgeschmissen, das muß so eine Kiste abkönnen.
Gut, aber wo hast Du das denn? Gerade im Internet hast Du extreme Lastenunterschiede Abhängig von der Tageszeit.
Jednefalls denke ich das Deine UltraSparc schon Probleme hätte mit der Last des Self-Servers, zumindest käme das nah an seine Leistungsgrenze.
Er würde müde drüber lächeln ;-)
Meinst Du? OK, Du wirst das wissen. Um nochmal kurz auf die x86er Architektur zurückzukommen, AFAIK wird _erheblich_ mehr Geld in die Entwicklung der x86 Server gesteckt, als in alle anderen Architekturen zusammen. Und die sind nicht nur so viel billiger weil sie (qualitativ) schlechter sind - das auchl, aber - sondern durch die Massenproduktion und den Konkurrenzkampf auf diesem Markt.
Im Augenblick befindet sich die Archiktkur ja wieder vor einem größperen Performance-Sprung nach vorne, ich habe gelesen dass ein Athlon64 mit 2.2 GHz zum Teil ca. 40 % schneller sein soll als der schnellste P4 mit 3.2 GHz. Und das alles mit alter 32-bit Software. Und diese Architektur ist noch ganz neu und nicht richtig ausgereift und von entsprechenden compilern ausgereitzt. Das Gegenstück von Intel wird auch nicht mehr lange auf sich warten lassen.
Darüber hinaus haben heute alle großen Server-Hersteller(IBM, HP, Sun...) auch x86 Server im Programm. So wie ich das verstanden habe sit das nicht mehr ganz so einfach wie früher mit RISC und CISC, die x86er Architektur lässt sich da heute nicht mehr ganz so einfach zuordnen wie früher.
Aber gut, das ist Nachgeplapper, selbst habe ich keine Erfahrung mit anderen Architekturen.
Wo denn nicht? Würde mich interessieren, ich bin da leider (noch) kein Fachmann, (will aber mal einer werden) ;-)
Das würde den Rahmen hier nun wirklich sprengen ;-)
Aber ich such bei Gelegenheit ein paar Links raus und schicke sie Dir, falls bis dahin dieser Thread hier rausgefallen ist. (Aber ich hoffe doch schwer, das bis heute abend erledigt zu haben ;-)
Das ist nett von Dir, Danke!
Also erklär mir mal wie man da von außen angreifen will?
Das sagt Cisco auch immer >;->
Vielleicht suchen die noch so einen wie mich? ;-)Für die PR Abteilung? ;-)
Nö, ich plane Cisco-Router mit x86 Architektur zu entwickeln ;-)
Was ist eigentlich aus den Floppies geworden? Reicht doch! *gnaa* ;-)
Was zum Henker ist ein "Floppy"?
*LOL*
Im Groben ist es das, ja.
Wie "im Groben", was gäbe es sonst für Möglichkeiten?Nein, viel mehr Möglichkeiten gibt es tatsächlich nicht, nur die Erklärung war recht grob, da passiert im Detail schon etwas mehr.
Aha, ein Fachmann, ein "Ehemaliger"? ;-)
Wo passiert denn mehr? Meinst Du jetzt auf dem kompromittierten Rechner selbst, oder beim "nach Hause telefonieren"? In wiefern?
Aber ich stemme mich dem entgegen. Auf meine alte Kiste habe ich FreeBSD gehauen und die läuft jetzt bei den Enkeln eines Kollegen (6 und 8 Jahre alt, Die Enkel, nicht der Kollege ;-), die sind schier begeistert. Da frage ich mich jetzt doch so langsam: warum nur sind die davon so begeistert? ;-)
Klar, eigentlich ist Linux/BSD heute vermutlich sogar einfacher zu bedienen, nur sind wir alle an Wondows gewöhnt, und in den meisten "normalen" Berufen kommt man halt ohne Windows-Kenntnissse nicht aus.
Aber was würde es bringen? Verbesserte Kontrolle der Lütten?
Nein, ich drehe den Spieß um und bekomme Zugang zu den Script-Kiddie Rechnern ;-)Das ist doch das, was ich gesagt hatte?
Hör mal: wenn ich unverständlich bin, frage einfach nach. Ich weiß, das ich mich in so lockerer Runden wie im Selfforum manchmal etwas allzu flappsig ausdrücke ;-)
Ich frag ja auch, ich dachte Du hättest _mich_ nicht verstanden ;-)
Viele Grüße
Andreas
Hi,
Mal davon ab, das es sich um zwei verschieden Architekturen handelt, die sich schlecht vergleichen lassen, aber ich würde sagen, das da wohl erst der Xeon mitkäme und da ist der Preis dann so ziemlich gleich.
Klar kann man die nicht direkt vergleichen, aber es gibt ja benchmarks... die ja messen wie lange bestimmte Operationen dauern.
Nein, Benchmarks ist in den seltensten Fällen zu trauen. Die können ein Punkt unter vielen sein, aber mehr auch nicht.
Der Flaschenhals ist da auf jeden Fall die Platte. Achso, für das Restgeld kämen etwa 0,5 TiB zusammen in SCSI und als 1-0 RAID (Hot-swappable usw). Schwierig wird bei sowas natürlich auch das Backup.
Tja, da braucht man halt ein paar mehr Bänder ;-)
Nein, das funktioniert nicht mehr mit Bändern, das wäre zu teuer. Einiges kommt natürlich schon auf Bänder, aber der Großteil wird einfach nur gespiegelt (Stw.:Hochverfügbarkeit)
Aber erstmal braucht man überhaupt so viele Daten, nicht jede Server-Anwendung jongliert mit dermaßen großen Datenmengen (Webserver z.B.)
Wäre aber ein Verkaufsargument! Weniger ist auch nicht so viel billiger, das es sich wirklich lohnen würde, die Platten selber sind einfach zu billig geworden, teuer ist nur noch die Peripherie.
[...]Oder sonst noch so alle möglichen Spielereien die den Admins das Leben erleichtern. Dazu kommt dann das die Komponenten erheblich hochwertiger sind, viel weniger fehleranfällig und weniger fehlerbehaftet.
Das und Service. Angeblich ist es zwar etwas schlechter geworden, aber bei Problemen mit z.B. einer bei SUN gekauften UltraSparc steht der Servicetechniker innerhalb von ein paar Stunden auf der Matte.
Dagegen verwenden viele Hochleistungs-Cluster heutzutage nicht um sonst x86er Rechner(z.B. Google), weil das trotz der Nachteile im Server-Betrieb eben immer noch billiger ist dieselbe Leistung zu erreichen - denke ich.
Ja, da macht es wirklich die Masse. Allerdings ist da eine auf Ausfälle hin ausgestatte Clustersoftware nötig und ein paar Mann, die nichts anderes machen, als 4 Schrauben zu lösen, 2 Stecker zu ziehen, die Kiste auf den Müll zu schmeißen und eine Neue einzubauen.
Der größte Vorteil dürfte aber wahrscheinlich darin liegen, das man diesen Cluster sehr fein skalieren kann. Also nicht für 100.000 EUR eine neue SUN, wenn's eng wird, sondern halt erstmal zwei bis drei PCs für 1.000 EUR. Da die sich aber nicht in die Karten schauen lassen, bleibt es natürlich nur Vermutung, ob das wirklich billiger ist und es nicht der einzige Grund ist, das sie SUN/IBM etc einfach nicht leiden können.
Wenn ich das richtig verstanden habe kann man die 2. CPU nutzen wenn man ein Bios-Update macht und eine neuere FreeBSD Version installiert, nur ist das nicht "mal eben so" gemacht, zumal ja keiner von den Admins in der Nähe wohnt. Mir dem neuen Forum scheit es ja besser zu gehen, und wenn die neue Suche kommt ist auch der 2, große Peformance-Verbraucher erheblich optimiert.
Vielleicht findet sich ja auch mal jemand mit Spendierhosen und begleicht die Rechnung für eine ordentliche Kiste.
Nein, die PC-Ware hält im Schnitt wirklich nur rund 2 Jahre wenn sie genutzt wird. Ja "genutzt", denn wenn ich nicht ständig Volllast fahren darf, habe ich Geld zum Fenster rausgeschmissen, das muß so eine Kiste abkönnen.
Gut, aber wo hast Du das denn? Gerade im Internet hast Du extreme Lastenunterschiede Abhängig von der Tageszeit.
Ja, klar. Da ist dann aber die Frage, ob man jetzt wirklich jede Spitze (z.B. ein Posting bei /. ;-) mitnehmen können muß.
Vollast ist übrigens nicht dasselbe wie Überlast. Wenn das Dingen überlastet ist, darf es ruhig streiken, aber Vollas muß es schon über längere Zeit aushalten können, da habe ich kein Erbarmen ;-)
Jednefalls denke ich das Deine UltraSparc schon Probleme hätte mit der Last des Self-Servers, zumindest käme das nah an seine Leistungsgrenze.
Er würde müde drüber lächeln ;-)
Meinst Du? OK, Du wirst das wissen. Um nochmal kurz auf die x86er Architektur zurückzukommen, AFAIK wird _erheblich_ mehr Geld in die Entwicklung der x86 Server gesteckt, als in alle anderen Architekturen zusammen. Und die sind nicht nur so viel billiger weil sie (qualitativ) schlechter sind - das auchl, aber - sondern durch die Massenproduktion und den Konkurrenzkampf auf diesem Markt.
Ja, deswegen können wir uns ja überhaupt erst die Dinger leisten.
Worauf ich deises Posting hier verfasse ist ein läppischer Duron 1200 mit einem halbem GiB RAM und einer 30 GiB Platte. Selbst gebastel, hat mich gerde mal 250 EUR gekostet. Mit allem Zubehör.
Das entspricht einem Gutteil der Weltrechen- und Speicherleistung zu dem Zeitpunkt, als ich mit staunend geöffnetem Mund vor der PDP-11 stand.
Nachteil: für jeden Mist brauche ich einen eigenen Treiber. Da die Rechenleistung derart gestiegen ist, ist ein guter Teil der Funktionalität der Peripheriegeräte in die Treiber gewandert (z.B.:GDI-Drucker).
Im Augenblick befindet sich die Archiktkur ja wieder vor einem größperen Performance-Sprung nach vorne, ich habe gelesen dass ein Athlon64 mit 2.2 GHz zum Teil ca. 40 % schneller sein soll als der schnellste P4 mit 3.2 GHz. Und das alles mit alter 32-bit Software. Und diese Architektur ist noch ganz neu und nicht richtig ausgereift und von entsprechenden compilern ausgereitzt.
Ausgereitzt werden kann das nur von Herstellercompilern. (Intel Compiler im Gegensatz zu GCC erzeugt in manchen Fällen bis zu 30% schnellere Binaries.) Aber das ist nicht ganz so wichtig.
Wichtig ist, das es so lange dauerte bis die PCs 64 Bit CPUs bekamen. Wer ist Schuld an der Verzögerung? Genau! ;-)
Wenn es nach MS ginge, wären die immer noch nicht auf dem Markt, nur Linux ist es zu verdanken, das eine ausreichend große Nachfrage besteht. und MS ist es zu "verdanken", das es eine 32 Bit Emulation gibt. Möcht' gar nicht wissen, wieviel Platz der Mist auf dem Dye verbraten hat *grr*
Das Gegenstück von Intel wird auch nicht mehr lange auf sich warten lassen.
Na, mal schauen, was so die Preise sagen ;-)
Darüber hinaus haben heute alle großen Server-Hersteller(IBM, HP, Sun...) auch x86 Server im Programm. So wie ich das verstanden habe sit das nicht mehr ganz so einfach wie früher mit RISC und CISC, die x86er Architektur lässt sich da heute nicht mehr ganz so einfach zuordnen wie früher.
Nein, der einzige Grund ist, das sowas nachgefragt wird. Die wären ja schön bescheuert, wenn sie das nicht anbieten würden ;-)
Warum wird das nachgefragt? nunja, erstens sind die Originalprodukte schweineteuer und zweitens läuft Windows nicht auf UltraSparc.
Aber gut, das ist Nachgeplapper, selbst habe ich keine Erfahrung mit anderen Architekturen.
Du bekommst für wenig Geld (ca 100 EUR) Sparcstations bei Ebay. Aber achte bitte darauf, das das komplette Sätze sind:Monitor, Keyboard und Maus müssen dabei sein, da die PC-Teile da nicht passen. (Und jetzt kein Palaver, damals gab es ncoh gar keine Norm in der Richtung ;-) Als Betriebsysteme stehen OpenBSD (läuft hier auf einer Sparcstation 5 und läuft gut), FreeBSD, Linux und Solaris zur Verfügung.
Auch einen Anbieter in der Nähe suchen, die sind sauschwer!
Und dann: viel Spaß beim experimentieren! ;-)
Wo denn nicht? Würde mich interessieren, ich bin da leider (noch) kein Fachmann, (will aber mal einer werden) ;-)
Das würde den Rahmen hier nun wirklich sprengen ;-)
Aber ich such bei Gelegenheit ein paar Links raus und schicke sie Dir, falls bis dahin dieser Thread hier rausgefallen ist. (Aber ich hoffe doch schwer, das bis heute abend erledigt zu haben ;-)Das ist nett von Dir, Danke!
Das war jetzt etwas mutig von mir, da gibt es einfach viel zuviele Links, die muß ich erstmal abklappern ;-)
Ber hier erstmal ein paar, was Gedächnis und Google auf die Schnelle so rausbrachten:
http://www.linuxrouter.org/
http://www.linuxdoc.org/HOWTO/IP-Masquerade-HOWTO.html
http://www.homenethelp.com/openbsd/bsd-firewall.asp
http://www.cisco.com/warp/public/535/4.html
http://www.sangoma.com/fguide.htm
Was ist eigentlich aus den Floppies geworden? Reicht doch! *gnaa* ;-)
Was zum Henker ist ein "Floppy"?
*LOL*
Jaja, die Generation von heute weiß ja gar nicht, wie das damals war, mit 640kib ... ;-)
Im Groben ist es das, ja.
Wie "im Groben", was gäbe es sonst für Möglichkeiten?Nein, viel mehr Möglichkeiten gibt es tatsächlich nicht, nur die Erklärung war recht grob, da passiert im Detail schon etwas mehr.
Aha, ein Fachmann, ein "Ehemaliger"? ;-)
Fachman bestimmt nicht, ich versuche mich so breit wie möglich zu machen ;-)
Wo passiert denn mehr? Meinst Du jetzt auf dem kompromittierten Rechner selbst, oder beim "nach Hause telefonieren"? In wiefern?
Lies Dir erstmal obige Links durch, die Fragen lasse ich dann solange stehen. Wenn sie danach noch wichtig sind ;-)
Aber ich stemme mich dem entgegen. Auf meine alte Kiste habe ich FreeBSD gehauen und die läuft jetzt bei den Enkeln eines Kollegen (6 und 8 Jahre alt, Die Enkel, nicht der Kollege ;-), die sind schier begeistert. Da frage ich mich jetzt doch so langsam: warum nur sind die davon so begeistert? ;-)
Klar, eigentlich ist Linux/BSD heute vermutlich sogar einfacher zu bedienen, nur sind wir alle an Wondows gewöhnt, und in den meisten "normalen" Berufen kommt man halt ohne Windows-Kenntnissse nicht aus.
Ich ging davon aus, das sich das in den 10 Jahren bis die beiden einen Beruf suchen stark verschoben hat ;-)
so short
Christoph Zurnieden
Hi Christoph!
Danke für die Antwort, komme heute leider nicht mehr zum Antworten, außerdem hast Du mir ja ne Menge zum Lesen gegeben ;-)
Und damit der Thread noch nicht im Archiv verschwindet... ;-)
Grüße
Andreas
Hallo!
Klar kann man die nicht direkt vergleichen, aber es gibt ja benchmarks... die ja messen wie lange bestimmte Operationen dauern.
Nein, Benchmarks ist in den seltensten Fällen zu trauen. Die können ein Punkt unter vielen sein, aber mehr auch nicht.
Ja, aber es gibt ja auch praxisnahe Benchmarks, eben sowas wie Requests/Seconds bei Apache, oder wie lange Photoshop für eine bestimmte Tätigkeit braucht. Und das sind ja Sachen die zählen, man muss nur das passende messen, eben das was der Rechner später machen soll.
Aber erstmal braucht man überhaupt so viele Daten, nicht jede Server-Anwendung jongliert mit dermaßen großen Datenmengen (Webserver z.B.)
Wäre aber ein Verkaufsargument! Weniger ist auch nicht so viel billiger, das es sich wirklich lohnen würde, die Platten selber sind einfach zu billig geworden, teuer ist nur noch die Peripherie.
Was meinst Du mit Peripherie? Anbindung ans Backbone oder was?
Wenn ich das richtig verstanden habe kann man die 2. CPU nutzen wenn man ein Bios-Update macht und eine neuere FreeBSD Version installiert, nur ist das nicht "mal eben so" gemacht, zumal ja keiner von den Admins in der Nähe wohnt. Mir dem neuen Forum scheit es ja besser zu gehen, und wenn die neue Suche kommt ist auch der 2, große Peformance-Verbraucher erheblich optimiert.
Vielleicht findet sich ja auch mal jemand mit Spendierhosen und begleicht die Rechnung für eine ordentliche Kiste.
Das würde mich mal interessieren, was wäre denn für Dich eine "ordentliche Kiste" für die Anforderungen des SELF-Raums? Gut, x86 scheidet also schonmal aus, und 50.000 EUR muss es ja auch nicht direkt kosten, aber was dazwischen wäre denn Deiner Ansicht nach eine vernünftige Lösung?
Das würde mich persönlich sehr interessieren, so in welchen Dimensionen man da so denken muss.
Die Frage ist was genau der Self-Server am meisten braucht. Gut, er hat sehr viele Dinge gleichzeitig zu erledigen, das heißt er würde von mehreren Prozessoren schon stark profieren, also 2, oder besser 4? Ich denke so viel bringen 4 dann auch nicht, oder?
Gut, RAM? Naja, auf dem Server wird alles extremst auf "Sparsamkeit" getrimmt, aber wenn man viel RAM hat kann das OS viel darin Cachen, was sicher kein Nachteil ist, vielleicht könnte man sogar die kompletten Daten für Archiv und Suche im RAM lagern!?
Gut wieviel sollte man nehmen? 2, oder besser 4 sogar 8?
Ein großes Problem sind meiner Meinung nach auch die Festplatten. Es wird vor allem von der Suche und dem Archiv sehr oft und vor allem viel von der Festplatte gelesen. Wäre dann vermutlich ein RAID 10 am besten, sagen wir mal mit 4 Festplatten a 36 GB? Dann alles auf eine Platte oder noch mehr Platten, oder sogar noch mehr RAID-Arrays?
Gut, dann ist das Problem welche Architektur, da kenne ich mich in dem Bereich eigentlich gar nicht auch, sun, hp, ibm, ich weiß nicht in wieweit sich die vielen verschiedenen Architekturen an sich und in deren Anbindungen an RAM, SCSI, Ethernet... unterscheiden. Ich denke Qualitativ, also von wegen Verfügbarkeit... nehmen die sich alle nicht viel.
Naja, von Gehäuse sollte das wenigstens in ein Rack passen, auch wenn es ein paar mehr HE's sind.
Gut, und jetzt eigentlich das wichtigste, auf so einem Server müsste dann auch ein Betriebssystem laufen, mit dem hier jemand, und am besten nicht nur einer klarkommt. Die Admins hier präferieren ja bekanntlich FreeBSD, gut, das schränkt das ganze schon etwas ein. AFAIK läuft das auf SPARK64 und Alpha, wobei ich nicht weiß ob das so viel Sinn macht, bzw. ob FreeBSD in der Lage ist die Hardware genauso gut auszureizen wie es ein Sun Solaris oder ein AIX kann. Oder wäre das dann auch eien Voraussetzungen - wenn professionell, dann aber richtig? Also das passende OS zur Hardware? Eine Alternative wäre evtl. noch IBMs Power4 mit Linux, odr auch NetBSD läuft ja auf sehr vielen Architekturen, aber wie gesagt, macht das viel Sinn oder sollte man an dieser Stelle nicht auf das richtige OS verzichten, nicht dass ich mir einen Porsche 911 kaufe aber das Automatik-Getrieb vom Trabant 601 einbaue ;-)
Mal ein paar Vorschläge, aber vermutlich kennst Du da auch bessere Varianten:
http://store.sun.com/catalog/doc/BrowsePage.jhtml?cid=100055&parentId=48589
http://store.sun.com/catalog/doc/BrowsePage.jhtml?cid=104994&parentId=48589
http://store.sun.com/catalog/doc/BrowsePage.jhtml?cid=83174&parentId=48589
http://www-132.ibm.com/content/home/store_IBMPublicUSA/en_US/eServer/pSeries/entry/6156C3_70296C3221C.html
http://www-132.ibm.com/content/home/store_IBMPublicUSA/en_US/eServer/pSeries/entry/6306C4_70286C4221C.html
http://h18002.www1.hp.com/alphaserver/ds25/index.html
http://www.hp.com/products1/servers/rackoptimized/rp5400series/specifications/index.html
Wohin würdest Du tendieren und warum?
Du bekommst für wenig Geld (ca 100 EUR) Sparcstations bei Ebay. Aber achte bitte darauf, das das komplette Sätze sind:Monitor, Keyboard und Maus müssen dabei sein, da die PC-Teile da nicht passen. (Und jetzt kein Palaver, damals gab es ncoh gar keine Norm in der Richtung ;-) Als Betriebsysteme stehen OpenBSD (läuft hier auf einer Sparcstation 5 und läuft gut), FreeBSD, Linux und Solaris zur Verfügung.
Auch einen Anbieter in der Nähe suchen, die sind sauschwer!Und dann: viel Spaß beim experimentieren! ;-)
Ich werde mir das mal ansehen ;-)
Nur - was genau soll ich da experimentieren? Muss man zum "experimentieren" mit Assembler... rumspielen? Davon habe ich überhaupt keine Ahnung. Wenn ich jetzt Linux drauf installiere, woran merke ich dann einen Unterschied zu meine Athlon XP 2600 mit 1 GB RAM (ausser dass es viel langsamer ist)? ;-))
Aber hier erstmal ein paar, was Gedächnis und Google auf die Schnelle so rausbrachten:
http://www.linuxrouter.org/
http://www.linuxdoc.org/HOWTO/IP-Masquerade-HOWTO.html
http://www.homenethelp.com/openbsd/bsd-firewall.asphttp://www.cisco.com/warp/public/535/4.html
http://www.sangoma.com/fguide.htm
sehr interessant, Danke!
Was ist eigentlich aus den Floppies geworden? Reicht doch! *gnaa* ;-)
Was zum Henker ist ein "Floppy"?
*LOL*Jaja, die Generation von heute weiß ja gar nicht, wie das damals war, mit 640kib ... ;-)
Oho! Natürlich weiß ich das noch, Damals war gerade der Umschwung von DD auf HD, eine satte Verdopplung er Kapazität auf 1.44 MB! Naja, und die tollen 5 1/4 Zoll Teile hatte ich damals noch ;-)
Viele Grüße
Andreas
Hi,
3:30, ist das schon die Prostata? Bin ich nun auch soweit? ;-)
Nein, Benchmarks ist in den seltensten Fällen zu trauen. Die können ein Punkt unter vielen sein, aber mehr auch nicht.
Ja, aber es gibt ja auch praxisnahe Benchmarks, eben sowas wie Requests/Seconds bei Apache, oder wie lange Photoshop für eine bestimmte Tätigkeit braucht. Und das sind ja Sachen die zählen, man muss nur das passende messen, eben das was der Rechner später machen soll.
Ja, dann wird das vernünftig. Blöderweise brauchst Du dafür die Maschine und die gibt es nicht wie ein Auto zum "probefahren" ;-)
Aber das Grinsemännchen ist eigentlich gar nicht berechtigt: wenn man was Anständiges haben will, legt man dafür schon das Äquivalent eines Monatslohnes eines Facharbeiters hin. Da sollte man eigentlich schon verlangen können, das Dingen vorher einmal auszuprobieren, oder?
Aber erstmal braucht man überhaupt so viele Daten, nicht jede Server-Anwendung jongliert mit dermaßen großen Datenmengen (Webserver z.B.)
Wäre aber ein Verkaufsargument! Weniger ist auch nicht so viel billiger, das es sich wirklich lohnen würde, die Platten selber sind einfach zu billig geworden, teuer ist nur noch die Peripherie.
Was meinst Du mit Peripherie? Anbindung ans Backbone oder was?
Nein, die Peripherie des Datenhalters. Hardwareraid ist relativ teuer im Gegensatz zu IDE-Platten. Aufgrund der Preise der IDE-Platten werden die übrigens mittlerweile sogar in profesionellem Umfeld eingesetzt. Trotz der dadurch nötigen Erhöhung der Redundanz - die Dinger halten natürlich nicht so lange, wie eine teuere SCSI-Einheit, die eine bestimmte Lebensdauer garantiert bekommt - ist es immer noch billiger.
Vielleicht findet sich ja auch mal jemand mit Spendierhosen und begleicht die Rechnung für eine ordentliche Kiste.
Das würde mich mal interessieren, was wäre denn für Dich eine "ordentliche Kiste" für die Anforderungen des SELF-Raums? Gut, x86 scheidet also schonmal aus, und 50.000 EUR muss es ja auch nicht direkt kosten, aber was dazwischen wäre denn Deiner Ansicht nach eine vernünftige Lösung?
Da weder die Ansprüche an Leistung noch an Verfügbarkeit sehr hoch sind, würde ich eine simple Dualbox empfehlen. Zweimal 2 GHz (i86) mit 1 GiB RAM (mit Check) (je nach Angebot auch mehr) mit kleinem Spiegel-RAID (IDE). Kostenpunkt: ca 3.500 EUR, wenn's Markenware sein soll.
Die Frage ist was genau der Self-Server am meisten braucht. Gut, er hat sehr viele Dinge gleichzeitig zu erledigen, das heißt er würde von mehreren Prozessoren schon stark profieren, also 2, oder besser 4? Ich denke so viel bringen 4 dann auch nicht, oder?
Er würde tatsächlich von mehreren Prozessoren profitieren, da zumindest das Forum daraufhin gebaut wurde. Der Overhead mehrere Prozessoren zu füttern ist zwar nicht ohne, aber ein Endmultiplikator von 0,8 ist meistens hinreichend. Wenn geschickt gebastelt wurde auch höher (Beispiel: 2 x 2 GHz X 0,8 = 3,2 GHz).
Gut, RAM? Naja, auf dem Server wird alles extremst auf "Sparsamkeit" getrimmt, aber wenn man viel RAM hat kann das OS viel darin Cachen, was sicher kein Nachteil ist, vielleicht könnte man sogar die kompletten Daten für Archiv und Suche im RAM lagern!?
RAM? RAM ist nie verkehrt! ;-)
Allerdings sollten architekturspezifische Höchstgrenzen beachtet werden.
Gut wieviel sollte man nehmen? 2, oder besser 4 sogar 8?
Bei 2 GHz i86 reichen zwei völlig aus.
Ein großes Problem sind meiner Meinung nach auch die Festplatten. Es wird vor allem von der Suche und dem Archiv sehr oft und vor allem viel von der Festplatte gelesen. Wäre dann vermutlich ein RAID 10 am besten, sagen wir mal mit 4 Festplatten a 36 GB? Dann alles auf eine Platte oder noch mehr Platten, oder sogar noch mehr RAID-Arrays?
Normaler Spiegel mit zwei handelsüblichen IDE-Platten reicht. Die Dinger haben mittlerweile im Schnitt schon 60 GiB und steigend.
Gut, dann ist das Problem welche Architektur, da kenne ich mich in dem Bereich eigentlich gar nicht auch, sun, hp, ibm, ich weiß nicht in wieweit sich die vielen verschiedenen Architekturen an sich und in deren Anbindungen an RAM, SCSI, Ethernet... unterscheiden. Ich denke Qualitativ, also von wegen Verfügbarkeit... nehmen die sich alle nicht viel.
Verfügbarkeit liegt nicht an der Architektur sondern am Hersteller. Normalerweise hält die spezielle Hardware zwar länger, das muß sie aber nicht zwingend. Wichtiger ist dabei eine garantierte MTTF.
Da aber keine Hochverfügbarkeit für den Selfserver nötig ist, ist auch keine spezielle Hardware nötig.
Naja, von Gehäuse sollte das wenigstens in ein Rack passen, auch wenn es ein paar mehr HE's sind.
Es ist zwar nicht viel genormt, aber zumindestens das ist ;-)
Gut, und jetzt eigentlich das wichtigste, auf so einem Server müsste dann auch ein Betriebssystem laufen, mit dem hier jemand, und am besten nicht nur einer klarkommt. Die Admins hier präferieren ja bekanntlich FreeBSD, gut, das schränkt das ganze schon etwas ein.
Eigentlich präferieren die Admins hier OpenBSD, aber das nur am Rande und auch nur unter Vorbehalt. (Bevor mich hier jemand haut ;-)
AFAIK läuft das auf SPARK64 und Alpha, wobei ich nicht weiß ob das so viel Sinn macht, bzw. ob FreeBSD in der Lage ist die Hardware genauso gut auszureizen wie es ein Sun Solaris oder ein AIX kann.
(Solaris ist nicht das OS, das ist immer noch SunOS. Solaris ist nur der Aufbau, so ähnlich, wie Win-3.11 auf DOS. Aber das auch nur in Klammern ;-)
Es gab einigen Ärger mit SUN und BSD und den Specs für SUNs neusten Prozessor. Aber sonst dürfte es keinen großen Unterschied geben. Müßte man halt mal messen.
Aber Solaris wird nicht umsonst "Slowlaris" geschumpfen ;-)
Oder wäre das dann auch eien Voraussetzungen - wenn professionell, dann aber richtig? Also das passende OS zur Hardware?
Das passende OS zur Hardware ist das, was darauf läuft und mit dem man am besten zurechtkommt. Wenn es dann auch noch die Applikationen laufen lassen kann, die man benötigt ist man fein raus ;-)
Es gibt allerdings auch noch Sicherheitsgründe, die vollständigen Zugriff auf die Quellen verlangen. Das ist bei Solaris ein teures Vergnügen.
Eine Alternative wäre evtl. noch IBMs Power4 mit Linux,
Linux ist schlecht, da die Forumssoftware mit Threads läuft und Linux ist derzeit noch auf Prozesse hin optimiert. Der nächste Kernel ändert das zwar, aber der ist noch viel zu jung.
odr auch NetBSD läuft ja auf sehr vielen Architekturen,
Das würde ich nehmen, wenn ich sonst nix fände, sprich: es gibt eigentlich keine Architektur, auf der NetBSD nicht portiert wäre ;-)
Aber über NetBSD kann ich nicht viel sagen, das kenne ich nicht gut genug.
aber wie gesagt, macht das viel Sinn oder sollte man an dieser Stelle nicht auf das richtige OS verzichten, nicht dass ich mir einen Porsche 911 kaufe aber das Automatik-Getrieb vom Trabant 601 einbaue ;-)
Man sollte _immer_ das richtige OS wählen, allerdings nicht so, wie Du das meinst. Wenn SUN ihre UltraSparcs mit SunOS ausliefert, muß SunOS noch lange nicht das richtige OS sein.
Mal ein paar Vorschläge, aber vermutlich kennst Du da auch bessere Varianten:
[Diverse Links zu Herstellern]
Wohin würdest Du tendieren und warum?
In Richtung des ganz am Anfang gegebenen Beispiels.
Da das Forum in Schwierigkeiten steckt, weil es nur die halbe Rechenleistung erhält, würde also ein Dual-2-GHz Rechner reichen. Bottleneck bei der Archivsuche ist die Platte (Hast Du gehört, Daniela? Daniääääla? ;-), deshalb ein Spiegelraid. (Bringt zwar nicht viel, ist aber ein guter Kompromis)
Du bekommst für wenig Geld (ca 100 EUR) Sparcstations bei Ebay. [...]
Ich werde mir das mal ansehen ;-)
Nur - was genau soll ich da experimentieren? Muss man zum "experimentieren" mit Assembler... rumspielen? Davon habe ich überhaupt keine Ahnung. Wenn ich jetzt Linux drauf installiere, woran merke ich dann einen Unterschied zu meine Athlon XP 2600 mit 1 GB RAM (ausser dass es viel langsamer ist)? ;-))
Hier (Auf meiner Sparcstation) läuft OpenBSD mit X (Allerdings kein KDE, aber selbst das lief ganz anständig. Ist in etwa mit einem P200 mit32 MB RAM zu vergleichen) ganz gut, keine Geschwindigkeitsprobleme.
Allerdings hast Du mit so einem Dingen die billige Möglichkeit mit SCSI zu experimentieren und auch Solaris zu entdecken (Solaris für x86 ist nicht zu gebrauchen, würde ich von abraten).
Auch wirst Du mit Erstaunen herausfinden, das es kein BIOS wie beim PC gibt (Mehr verrat ich hier nicht ;-)
Ja, doch, 100 EUR sind ein preiswertes Vergnügen. Die 100 EUR bekommst Du auch ziemlich sicher zurück, wenn Du mit dem Wiedereinstellen bei Ebay nicht gerade 2 Jahre wartest.
Jaja, die Generation von heute weiß ja gar nicht, wie das damals war, mit 640kib ... ;-)
Oho! Natürlich weiß ich das noch, Damals war gerade der Umschwung von DD auf HD, eine satte Verdopplung er Kapazität auf 1.44 MB! Naja, und die tollen 5 1/4 Zoll Teile hatte ich damals noch ;-)
... 640 Kib _Machnätbända_! ;-)
so short
Christoph Zurnieden
Hi Andreas, Christoph
Da weder die Ansprüche an Leistung noch an Verfügbarkeit sehr hoch sind, würde ich eine simple Dualbox empfehlen. Zweimal 2 GHz (i86) mit 1 GiB RAM (mit Check) (je nach Angebot auch mehr) mit kleinem Spiegel-RAID (IDE). Kostenpunkt: ca 3.500 EUR, wenn's Markenware sein soll.
Reicht nicht lange, was so gewünscht wird im Moment sind 2-3 Rechner in der Grössenordnung, ich bin aber nicht mehr sicher ob das nicht Uniprozessorsysteme waren.
Gut, RAM? Naja, auf dem Server wird alles extremst auf "Sparsamkeit" getrimmt, aber wenn man viel RAM hat kann das OS viel darin Cachen, was sicher kein Nachteil ist, vielleicht könnte man sogar die kompletten Daten für Archiv und Suche im RAM lagern!?
Das stimmt nicht, es wird auf möglichst wenig Prozessor getrimmt, auch auf Lasten des Rams.
Gut wieviel sollte man nehmen? 2, oder besser 4 sogar 8?
Bei 2 GHz i86 reichen zwei völlig aus.
Mir einer Maschine geht es vielleicht ein Jahr dann gut und wir sind wieder am Anschlag bei dem was alles geplant ist...
Gut, und jetzt eigentlich das wichtigste, auf so einem Server müsste dann auch ein Betriebssystem laufen, mit dem hier jemand, und am besten nicht nur einer klarkommt. Die Admins hier präferieren ja bekanntlich FreeBSD, gut, das schränkt das ganze schon etwas ein.
Eigentlich präferieren die Admins hier OpenBSD, aber das nur am Rande und auch nur unter Vorbehalt. (Bevor mich hier jemand haut ;-)
Ich hau dich, FreeBSD läuft auf der Maschine und OpenBSD ist auch nicht bevorzugt.
Das passende OS zur Hardware ist das, was darauf läuft und mit dem man am besten zurechtkommt. Wenn es dann auch noch die Applikationen laufen lassen kann, die man benötigt ist man fein raus ;-)
Nicht nur, wenn ein OS wesentlich mehr aus der selben Hardware herausholen kann, passt es besser.
Linux ist schlecht, da die Forumssoftware mit Threads läuft und Linux ist derzeit noch auf Prozesse hin optimiert. Der nächste Kernel ändert das zwar, aber der ist noch viel zu jung.
Zudem scheint Linux ein paar Bugs in vom Forum benötigten Bibliotheken zu haben dass es da Probleme gibt.
Da das Forum in Schwierigkeiten steckt, weil es nur die halbe Rechenleistung erhält, würde also ein Dual-2-GHz Rechner reichen. Bottleneck bei der Archivsuche ist die Platte (Hast Du gehört, Daniela? Daniääääla? ;-), deshalb ein Spiegelraid. (Bringt zwar nicht viel, ist aber ein guter Kompromis)
Ich lese durchaus mit hier. Viel bringen wir das aber nicht bei IDE Platten, die dürften nicht viel schneller sein als die jetzt verbauten Platten. Zudem, ob IDE Platten die Last auch aushalten, eine teure SCSI Platte hat auch schon schlapp gemacht.
Jaja, die Generation von heute weiß ja gar nicht, wie das damals war, mit 640kib ... ;-)
Mainframes mit VMS und 3270er Terminals sind witziger *g*
Gruss Daniela
P.S. Ich habe die Mail nicht vergessen. Eine Antwort kommt sobald ich die Prüfungen überstanden habe *zitter*
Hallo Daniela!
Hätte gar nicht gedacht dass hier noch jemand mitliest ;-)
Da weder die Ansprüche an Leistung noch an Verfügbarkeit sehr hoch sind, würde ich eine simple Dualbox empfehlen. Zweimal 2 GHz (i86) mit 1 GiB RAM (mit Check) (je nach Angebot auch mehr) mit kleinem Spiegel-RAID (IDE). Kostenpunkt: ca 3.500 EUR, wenn's Markenware sein soll.
Reicht nicht lange, was so gewünscht wird im Moment sind 2-3 Rechner in der Grössenordnung, ich bin aber nicht mehr sicher ob das nicht Uniprozessorsysteme waren.
IMO machen DUAL-Prozessorsysteme hier viel Sinn, nicht nur wegen der Forumssoftware, sondern überhaupt da hier ständig verschiedene Prozesse gleichzeitg rechnen müssen(Webserver, Datenbank, Forum, PERL...).
Gut, RAM? Naja, auf dem Server wird alles extremst auf "Sparsamkeit" getrimmt, aber wenn man viel RAM hat kann das OS viel darin Cachen, was sicher kein Nachteil ist, vielleicht könnte man sogar die kompletten Daten für Archiv und Suche im RAM lagern!?
Das stimmt nicht, es wird auf möglichst wenig Prozessor getrimmt, auch auf Lasten des Rams.
Ja, hast Recht.
Eigentlich präferieren die Admins hier OpenBSD, aber das nur am Rande und auch nur unter Vorbehalt. (Bevor mich hier jemand haut ;-)
Ich hau dich, FreeBSD läuft auf der Maschine und OpenBSD ist auch nicht bevorzugt.
;-)
Linux ist schlecht, da die Forumssoftware mit Threads läuft und Linux ist derzeit noch auf Prozesse hin optimiert. Der nächste Kernel ändert das zwar, aber der ist noch viel zu jung.
Zudem scheint Linux ein paar Bugs in vom Forum benötigten Bibliotheken zu haben dass es da Probleme gibt.
Naja, dann bleibt wohl nur *BSD, nur was bleiben dann noch für Architekturen übrig? So wie ich Kai verstanden habe läuft reizt das eigentlich nur x86er Rechner so richtig aus. Wobei, Solaris ist ja auch Unix(AFAIK, ich kenne es nur vom Namen ;-)), vielleicht kommt man hier auch damit zurecht? Ist nur fraglich ob da die Forums-Software läuft...
Was denkst Du denn, lieber einen "richtigen" Server, oder dann doch lieber die Last auf 2-3 x86 Rechner verteilen? Die Frage ist nur, was mit dem aktuellen Server ist, also wie lange der das noch so mitmacht, denn der wird ja nicht wirklich geschont ;-)
Wobei es natürlich verhältnismäßig billig ist hier defekte Teile auszutauschen. Die Athlon CPUs und kleine SCSI-Platten sind ja im Vergleich zu einem XEON-System recht günstig.
Wird Deine Suche eigentlich auch Threads verwenden?
Viele Grüße
Andreas
Hallo nochmal,
[...] So wie ich Kai verstanden habe [...]
Was rede ich da, ich meine natürlich Olli, immer diese Verwechselungen, sorry ;-)
Grüße
Andreas
Hi,
Hätte gar nicht gedacht dass hier noch jemand mitliest ;-)
Oh, das dürften so einige sein.
Reicht nicht lange, was so gewünscht wird im Moment sind 2-3 Rechner in der Grössenordnung, ich bin aber nicht mehr sicher ob das nicht Uniprozessorsysteme waren.
IMO machen DUAL-Prozessorsysteme hier viel Sinn, nicht nur wegen der Forumssoftware, sondern überhaupt da hier ständig verschiedene Prozesse gleichzeitg rechnen müssen(Webserver, Datenbank, Forum, PERL...).
Wenn z.B. Datenbank, Webserver und Forum auf eigenen Boxen wären, macht das sogar noch mehr Sinn. (Skaliert etwas besser) Ist aber natürlich etwas teuerer, wenn man nicht, wie in meinem anderen Posting vorgeschlagen, "Pizzaboxen" nimmt und davon dann mehr.
Eigentlich präferieren die Admins hier OpenBSD, aber das nur am Rande und auch nur unter Vorbehalt. (Bevor mich hier jemand haut ;-)
Ich hau dich, FreeBSD läuft auf der Maschine und OpenBSD ist auch nicht bevorzugt.
Ich weiß wirklich nicht, warum das bei mir so penetrant festhängt. Ist ja nicht das erste Mal, das ich diese fehlerhafte Annahme machte.
Alterssturheit? ;-)
Wobei, Solaris ist ja auch Unix(AFAIK, ich kenne es nur vom Namen ;-)), vielleicht kommt man hier auch damit zurecht? Ist nur fraglich ob da die Forums-Software läuft...
Ja, sollte ohne große Änderungen (Simples S&R sollte reichen) laufen.
Was denkst Du denn, lieber einen "richtigen" Server, oder dann doch lieber die Last auf 2-3 x86 Rechner verteilen? Die Frage ist nur, was mit dem aktuellen Server ist, also wie lange der das noch so mitmacht, denn der wird ja nicht wirklich geschont ;-)
Achwasmußerabkönnen! ;-)
Wobei es natürlich verhältnismäßig billig ist hier defekte Teile auszutauschen. Die Athlon CPUs und kleine SCSI-Platten sind ja im Vergleich zu einem XEON-System recht günstig.
Selbst die Ersatzteilpreise für ein Xeon-System sind noch recht günstig im Gegensatz zu denen für "heavy metal" ;-)
Wird Deine Suche eigentlich auch Threads verwenden?
Tja, Daniela, gute Frage, der schließ ich mich an ;-)
(Ob sich die Suche aber sinnvoll spleißen läßt bleibt dahingestellt. Ein Thread pro Suchvorgang (aus einem Pool, sonst gibt's Probleme!) und ein wenig auf Reentrance achten damit das OS selber optimieren kann sollte reichen)
so short
Christoph Zurnieden
Hallo!
Hätte gar nicht gedacht dass hier noch jemand mitliest ;-)
Oh, das dürften so einige sein.
schon klar, nur hat vorher keiner was gesagt ;-)
IMO machen DUAL-Prozessorsysteme hier viel Sinn, nicht nur wegen der Forumssoftware, sondern überhaupt da hier ständig verschiedene Prozesse gleichzeitg rechnen müssen(Webserver, Datenbank, Forum, PERL...).
Wenn z.B. Datenbank, Webserver und Forum auf eigenen Boxen wären, macht das sogar noch mehr Sinn. (Skaliert etwas besser)
Das ist wirder was was ich nicht verstehe. Warum zum Henker skaliert das besser? Sagen wir mal die 3 Rechner kosten dasselbe wie 1 größerer, und die Rechenleistungen sind vergleichbar. sagen wir mal man hat 3 Anwendungen, Forum, Datenbank und Webserver, bei den 3 Rechnern wird je eine davon auf einen Rechner gelegt. Aber was skaliert daran jetzt besser als alles auf einem, dafür etwas größeren Rechner? Sagen wir mal der Webserver braucht 5 mal so viel Performance wie der Datenbank-Server, dann ist der Webserver-Rechner total ausgelastst, und der Datenbankserver hat kaum was zu tun. Wenn alles auf einer Maschine läuft kann man das ganze doch viel besser verteilen, oder? _Da_ wird ganz fein skaliert.
Ist aber natürlich etwas teuerer, wenn man nicht, wie in meinem anderen Posting vorgeschlagen, "Pizzaboxen" nimmt und davon dann mehr.
Das fände ich wiederum recht interessant ;-)
(Ob sich die Suche aber sinnvoll spleißen läßt bleibt dahingestellt. Ein Thread pro Suchvorgang (aus einem Pool, sonst gibt's Probleme!) und ein wenig auf Reentrance achten damit das OS selber optimieren kann sollte reichen)
Was bedeutet "Reentrance" wenn ich fragen darf?
Grüße
Andreas
Hi,
Hätte gar nicht gedacht dass hier noch jemand mitliest ;-)
Oh, das dürften so einige sein.
schon klar, nur hat vorher keiner was gesagt ;-)
Der Prozentsatz an Lurkern ist stets deutlich höher, als der der Poster ;-)
Wenn z.B. Datenbank, Webserver und Forum auf eigenen Boxen wären, macht das sogar noch mehr Sinn. (Skaliert etwas besser)
»»[...]Sagen wir mal der Webserver braucht 5 mal so viel Performance wie der Datenbank-Server, dann ist der Webserver-Rechner total ausgelastst, und der Datenbankserver hat kaum was zu tun. Wenn alles auf einer Maschine läuft kann man das ganze doch viel besser verteilen, oder? _Da_ wird ganz fein skaliert.
Ja, die Last muß dabei schon geleichmäßig verteilt sein, sonst macht das nicht viel Sinn. Beim Selfserver könnte man z.B. Suche und Forum auf zwei verschiedene Boxen legen. Da die Suche auf Platte zugreift und das Forum auf RAM und Rechenleistung kann man beide Boxen entsprechend verschieden ausstatten. Das skaliert dann etwas besser und ist vor allem billiger.
(Ob sich die Suche aber sinnvoll spleißen läßt bleibt dahingestellt. Ein Thread pro Suchvorgang (aus einem Pool, sonst gibt's Probleme!) und ein wenig auf Reentrance achten damit das OS selber optimieren kann sollte reichen)
Was bedeutet "Reentrance" wenn ich fragen darf?
Es geht dabei um's Signalhandling, Atomicity und so weiter. Ich kenne allerdings Deine Vorbildung nicht, um das entsprechend erklären zu können. (Ich könnte natürlich auf "für Doofe" erklären, aber das würde dann wirklich den Rahmen hier sprengen *g*. Aber ich könnte mal schauen, ob ich irgendwo im Netz etwas finde. Auf die Schnelle sind hier ein paar Slides: http://www.damek.kth.se/RIP/lectures/L7.pdf)
so short
Christoph Zurnieden
Hi Andreas
Wird Deine Suche eigentlich auch Threads verwenden?
Ich sehe den Nutzen bei der Suche nicht wirklich, das ganze als Client-Server Programm laufen zu lassen. Da jede Suche als eigener Prozess läuft per CGI, gibt es wenig was sich da noch in Threads unterteilen liese. Suchergebnisse Cachen wäre zwar nur mit einer Client-Server Anwendung vernünftig möglich, aber auch darin sehe ich nicht wirklich einen Sinn da dann jeder einzelne Suchparameter identisch sein muss um das Ergebnis im Cache benutzen zu können.
Was für die Suche interessanter ist, ist Christophs Vorschlag das ganze zum Apache-Modul zu machen. Auch das jedoch erst, wenn sie mal stabil läuft. Das dürfte auch nicht alzu schwierig sein Ein- und Ausgabe umzuschreiben und entsprechend alles zu berücksichtigen. Dazu muss ich mich aber noch in Apache-Module einlesen.
Gruss Daniela
Hallo Daniela!
Wird Deine Suche eigentlich auch Threads verwenden?
Ich sehe den Nutzen bei der Suche nicht wirklich, das ganze als Client-Server Programm laufen zu lassen.
Ja, klar, ist ja was ganz anders als das Forum, stimmt.
Da jede Suche als eigener Prozess läuft per CGI, gibt es wenig was sich da noch in Threads unterteilen liese. Suchergebnisse Cachen wäre zwar nur mit einer Client-Server Anwendung vernünftig möglich, aber auch darin sehe ich nicht wirklich einen Sinn da dann jeder einzelne Suchparameter identisch sein muss um das Ergebnis im Cache benutzen zu können.
Ja, das hatte ich damals auch gemerkt als ich da mal ein paar "gehversuche" gemacht habe wobei ich Dir leider ohne Absicht auf die Füße getreten bin ;-) Ich hoffe Du bist mir deswegen nicht mehr böse, das ganze war sicher keine Absicht, und im nachhinein war es wirklich nicht besonders weitsichtig von mir, aber damals hatte ich keine Ahnung das jemand daran arbeitet, naja, auf alle Fälle war es sehr lehrreich für mich, und ich habe gemerkt dass es dann doch nicht so einfach ist wie ich das so ganz naiv am Anfang gedacht hatte. Und wenn ich das "meine Suche" genannt habe, hatte das überhaupt nichts damit zu tun dass ich da irgendwas für mich beansprucht hätte.
Was für die Suche interessanter ist, ist Christophs Vorschlag das ganze zum Apache-Modul zu machen. Auch das jedoch erst, wenn sie mal stabil läuft. Das dürfte auch nicht alzu schwierig sein Ein- und Ausgabe umzuschreiben und entsprechend alles zu berücksichtigen. Dazu muss ich mich aber noch in Apache-Module einlesen.
Oh, das hört sich interessant an, kann mir auch gut vorstellen dass das was bringt. Das hieße dann dass nicht bei jeder Suche ein neuer Prozess gestartet werden muss, sondern dass das alles über die Apache-Prozesse geregelt wird, oder? Weißt Du schon wie groß ungefähr so ein "Such-Prozess" sein wird?
Viele Grüße
Andreas
Hi Daniela,
"24. September 2003, 07:53" ?
---------------------^^^^^^
Ich dachte, Du bist Studentin? ;-)
Da weder die Ansprüche an Leistung noch an Verfügbarkeit sehr hoch sind, würde ich eine simple Dualbox empfehlen. Zweimal 2 GHz (i86) mit 1 GiB RAM (mit Check) (je nach Angebot auch mehr) mit kleinem Spiegel-RAID (IDE). Kostenpunkt: ca 3.500 EUR, wenn's Markenware sein soll.
Reicht nicht lange, was so gewünscht wird im Moment sind 2-3 Rechner in der Grössenordnung, ich bin aber nicht mehr sicher ob das nicht Uniprozessorsysteme waren.
Getrennte Boxen sind natürlich für die Verfügbarkeit ideal.
Allerdings auch deutlich teuerer, als die Dualvariante.
Oder man macht es wie Google und nimmt "Pizzaboxen", davon aber jede Menge. So ein Dingen gibt es schon ab 250 EUR, mit 10 Stück ( ca 3.000 EUR, da noch etwas Peripherie dazukommt) ist richtig Rechenleistung vorhanden und eine sehr hohe Verfügbarkeit. Allerdings auch recht viel Gehirnschmalz, da alle Kisten auch zusammenspielen müssen.
Gut wieviel sollte man nehmen? 2, oder besser 4 sogar 8?
Bei 2 GHz i86 reichen zwei völlig aus.
Mir einer Maschine geht es vielleicht ein Jahr dann gut und wir sind wieder am Anschlag bei dem was alles geplant ist...
Wieviel von dem, was geplant ist, kommt wirklich zur Ausführung?
Wieviel Antwortdelay ist tatsächlich akzeptabel?
Und, auch wenn es sarkastisch klingen mag: wieviel von dem Geld, das hier verplant wird, steht tatsächlich zur Verfügung?
Das passende OS zur Hardware ist das, was darauf läuft und mit dem man am besten zurechtkommt. Wenn es dann auch noch die Applikationen laufen lassen kann, die man benötigt ist man fein raus ;-)
Nicht nur, wenn ein OS wesentlich mehr aus der selben Hardware herausholen kann, passt es besser.
Wenn alles ohne Fehl und Tadel läuft, warum sollte ich dann ein OS nehmen, das ein wenig mehr herausholt, als benötigt wird? Ein "gut genug" ist in 95% der Fälle wirklich "gut genug".
Warum meinst Du, das es so schwierig ist Windows vom Desktop zu verdrängen, obwohl es deutlich bessere Alternativen gibt?
Da das Forum in Schwierigkeiten steckt, weil es nur die halbe Rechenleistung erhält, würde also ein Dual-2-GHz Rechner reichen. Bottleneck bei der Archivsuche ist die Platte (Hast Du gehört, Daniela? Daniääääla? ;-), deshalb ein Spiegelraid. (Bringt zwar nicht viel, ist aber ein guter Kompromis)
Ich lese durchaus mit hier.
Deshalb auch mein Bölken ;-)
("Bölken" ~ bellen, aber nicht so ganz, schlecht übersetzbar)
Viel bringen wir das aber nicht bei IDE Platten, die dürften nicht viel schneller sein als die jetzt verbauten Platten. Zudem, ob IDE Platten die Last auch aushalten, eine teure SCSI Platte hat auch schon schlapp gemacht.
Das wundert mich nicht, wenn eh schon Abwärmeprobleme bestehen. SCSI Platten werden deutlich heißer, als IDE Platten.
Meine Empfehlungen sind stets sorgfältig bedacht. Was mich natürlich keineswegs davon freispricht, falsch gedacht zu haben! Dafür bin ich ein zu alter Sack, als das ich mir noch irgendetwas einbilde ;-)
Jaja, die Generation von heute weiß ja gar nicht, wie das damals war, mit 640kib ... ;-)
Mainframes mit VMS und 3270er Terminals sind witziger *g*
Ja, sowas kräftigt die Unterarmmuskulatur enorm ;-)
(Für die Mitleser, die den Witz nicht verstanden haben: die alten Terminals hatten eine Tastatur, die nicht einfach nur geschaltet hat, sondern jede Taste hatte so eine Art Dynamo unter sich, der die nötige Schaltspannung erzeugte. Das ist auch der Grund, warum die alten Unixbefehle sowenig Buchstaben haben ;-)
P.S. Ich habe die Mail nicht vergessen. Eine Antwort kommt sobald ich die Prüfungen überstanden habe *zitter*
Normalerweise würde ich hier viel Glück wünschen, aber ich gehe davon aus, das Du das nicht nötig hast.
so short
Christoph Zurnieden
Hi Christoph
"24. September 2003, 07:53" ?
---------------------^^^^^^
Ich dachte, Du bist Studentin? ;-)
Schön wärs, ich studiere zwar, habe aber "nebenher" noch einen normalen 60% Job, dazu dieses Semester durchschnittlich 26 Stunden Vorlesung.
Und, auch wenn es sarkastisch klingen mag: wieviel von dem Geld, das hier verplant wird, steht tatsächlich zur Verfügung?
Die Sponsorensuche läuft gerade, etwas konkretes gibt es aber noch nicht.
Wenn alles ohne Fehl und Tadel läuft, warum sollte ich dann ein OS nehmen, das ein wenig mehr herausholt, als benötigt wird? Ein "gut genug" ist in 95% der Fälle wirklich "gut genug".
Die Frage ist, sind es 95% oder eher 50%
Warum meinst Du, das es so schwierig ist Windows vom Desktop zu verdrängen, obwohl es deutlich bessere Alternativen gibt?
Ich weis es nicht, ich finde Windows ja nichtmal angenehmer zu bedienen. Mein Umsteigegrund war, das Windows einfach nicht nach meiner Pfeife getanzt hat.
Viel bringen wir das aber nicht bei IDE Platten, die dürften nicht viel schneller sein als die jetzt verbauten Platten. Zudem, ob IDE Platten die Last auch aushalten, eine teure SCSI Platte hat auch schon schlapp gemacht.
Das wundert mich nicht, wenn eh schon Abwärmeprobleme bestehen. SCSI Platten werden deutlich heißer, als IDE Platten.
Das war wohl eher ein Fabrikationsfehler, das Ding hat keine 2 Monate im Dauerbetrieb durchgehalten.
Meine Empfehlungen sind stets sorgfältig bedacht. Was mich natürlich keineswegs davon freispricht, falsch gedacht zu haben! Dafür bin ich ein zu alter Sack, als das ich mir noch irgendetwas einbilde ;-)
Das wollte ich dir auch nicht absprechen, aber manches ist einfach nach aussen nicht sichtbar wie schlimm es wirklich ist.
Ja, sowas kräftigt die Unterarmmuskulatur enorm ;-)
(Für die Mitleser, die den Witz nicht verstanden haben: die alten Terminals hatten eine Tastatur, die nicht einfach nur geschaltet hat, sondern jede Taste hatte so eine Art Dynamo unter sich, der die nötige Schaltspannung erzeugte. Das ist auch der Grund, warum die alten Unixbefehle sowenig Buchstaben haben ;-)
Ich muss gestehen, ich hatte immer Terminalemulationen oder dann Terminals mit ganz normaler IBM Tastatur wobei auch deren Anschlag noch witzig ist.
P.S. Ich habe die Mail nicht vergessen. Eine Antwort kommt sobald ich die Prüfungen überstanden habe *zitter*
Normalerweise würde ich hier viel Glück wünschen, aber ich gehe davon aus, das Du das nicht nötig hast.
Ehm, ich hab das dringend nötig. Ich _hasse_ Kryptografie, ich verstehe die Mathematik dahinter einfach nicht. Ich habe auch keinerlei Literatur gefunden welche mir die anhand von Formeln erklärt und nicht anhand von Beispielen die auch noch schön direkt im Text drin sind und dementsprechend nicht schön dargestellt sind.
Auswändig zu wissen wie Schlüsseltausch im Detail (also inklusive sämtlicher Berechnungen) funktioniert, ist auch nicht so wirklich toll.
Gruss Daniela
Hi Daniela,
"24. September 2003, 07:53" ?
---------------------^^^^^^
Ich dachte, Du bist Studentin? ;-)Schön wärs, ich studiere zwar, habe aber "nebenher" noch einen normalen 60% Job, dazu dieses Semester durchschnittlich 26 Stunden Vorlesung.
Ja, das kann ich mir lebhaft vorstellen. Mich regt es auch immer unsäglich auf, wie sich manche Leute über die "faulen Langzeitstudenten" mokieren. Die sollten mal versuchen von BaFöG, selbst vom Höchstsatz, in einer normalen Universitätsstadt wie z.B. Berlin, Frankfurt o.ä. zu leben.
Wenn alles ohne Fehl und Tadel läuft, warum sollte ich dann ein OS nehmen, das ein wenig mehr herausholt, als benötigt wird? Ein "gut genug" ist in 95% der Fälle wirklich "gut genug".
Die Frage ist, sind es 95% oder eher 50%
Ja, die Zahl ist aus der Luft gegriffen, das gebe ich unumwunden zu ;-)
Aber mal realistisch: wofür wird denn z.B. Word benutzt? Für kurze Texte von 1-5 Seiten, wobei eine Seite wahrscheinlich noch die Mehrheit stellt (Briefe).
Das sind deutlich mehr als 50%, die Word als "gut genug" empfinden. (Eher wahrscheinlich sogar als "bloated" ;-). Der Rest verflucht dann Word, weil es Dokumente mit über 30 Seiten regelmäßig vernichtet. (Ob das immer noch so ist, weiß ich nicht, aber gehe davon aus). Das bedeutet dann auch, das für die Entwickler von Word "gut genug" eben "gut genug" war >,->
Und ich glaube, damit habe ich mich jetzt in den eigenen Fuß geschossen ;-)
Warum meinst Du, das es so schwierig ist Windows vom Desktop zu verdrängen, obwohl es deutlich bessere Alternativen gibt?
Ich weis es nicht, ich finde Windows ja nichtmal angenehmer zu bedienen. Mein Umsteigegrund war, das Windows einfach nicht nach meiner Pfeife getanzt hat.
Nunja, Windows ist für praxisorientierte Informatiker wirklich das ungeeignetste OS. Aber sich ein wenig damit auskennen ist nicht verkehrt. "Know your enemy!" ;-)
Das wundert mich nicht, wenn eh schon Abwärmeprobleme bestehen. SCSI Platten werden deutlich heißer, als IDE Platten.
Das war wohl eher ein Fabrikationsfehler, das Ding hat keine 2 Monate im Dauerbetrieb durchgehalten.
Ja, das ist Pech, das passiert halt, da kann man nun wirklich nichts gegen machen. Gut, man könnte schon, nur kostet das halt etwas mehr. Etwas viel mehr.
Meine Empfehlungen sind stets sorgfältig bedacht. Was mich natürlich keineswegs davon freispricht, falsch gedacht zu haben! Dafür bin ich ein zu alter Sack, als das ich mir noch irgendetwas einbilde ;-)
Das wollte ich dir auch nicht absprechen, aber manches ist einfach nach aussen nicht sichtbar wie schlimm es wirklich ist.
Nun, die regelmäßigen kurzfristigen Ausfälle fallen schon auf. Zumindest mir.
Aber je mehr ich darüber nachdenke, desto besser gefällt mir eure Idee mit den vielen kleinen Boxen. Die gehen zwar recht schnell kaputt, aber wenn sie dsa schnell genug tun, ist da noch Garantie drauf und wenn genügend vorhanden sind fällt der Ausfall von 1-2 Boxen nicht weiter auf.
Bleibt das Problem, das sie regelmäßig ausgewechselt werden müssen. Da das aber ganze Boxen sind (und angenommenerweise immer die gleichen Inhalte haben) ist das auch angelernten Leuten überantwortbar. (Booten übers Netzwerk und spiegeln von OS und Daten aus dem Cluster raus. Bedeutet für den Austauscher einfach rausschrauben, wegschmeißen, neuen reinschrauben, einschalten)
Ich muss gestehen, ich hatte immer Terminalemulationen oder dann Terminals mit ganz normaler IBM Tastatur wobei auch deren Anschlag noch witzig ist.
Ja, man sollte sich wohl nicht so heftig umgewöhnen müssen ;-)
So _ganz_ ohne Wiederstand mag ich es aber auch nicht.
P.S. Ich habe die Mail nicht vergessen. Eine Antwort kommt sobald ich die Prüfungen überstanden habe *zitter*
Normalerweise würde ich hier viel Glück wünschen, aber ich gehe davon aus, das Du das nicht nötig hast.
Ehm, ich hab das dringend nötig.
Tja, und das erfährt man jetzt so kurz vor Ultimo *gnaa*
Wo liegen ... nein, das ist nichts für's Forum, bastel mal eine Mail, mal schauen, ob da nicht noch ein wenig vom Hopfen und vom Malz zu retten sind.
Ich _hasse_ Kryptografie, ich verstehe die Mathematik dahinter einfach nicht.
Da bist Du wahrscheinlich nicht alleine ;-)
Welche mathematische Ausdrucksweise verstehst Du denn am besten?
Ich habe auch keinerlei Literatur gefunden welche mir die anhand von Formeln erklärt und nicht anhand von Beispielen die auch noch schön direkt im Text drin sind und dementsprechend nicht schön dargestellt sind.
Das liegt wahrscheinlich daran, das hochkomplexe Materie, wie Kryptographie, nur von sehr wenigen Leuten wirklich verstanden wird, die dann allerdings nicht gut erklären können. So schreibt dann einer vom Anderen ab.
Auswändig zu wissen wie Schlüsseltausch im Detail (also inklusive sämtlicher Berechnungen) funktioniert, ist auch nicht so wirklich toll.
Würde aber durch die Prüfung helfen ;-)
Nein, nicht wirklich, ich weiß.
so short
Christoph Zurnieden
Hallo Christop!
Aber je mehr ich darüber nachdenke, desto besser gefällt mir eure Idee mit den vielen kleinen Boxen.
War das jetzt unsere oder Deine? Langsam macht mir Dein Gedächtnis Sorgen :)
interessant finde ich das auf jeden Fall, ist nur die Frage ob man auf sowas die ganze hier verwendete Software lazufen lassen kann. Und vor allem ist das glauieb ich nicht ganz so trivial aufzusetzen wie ein einfacher Server, oder?
Die gehen zwar recht schnell kaputt, aber wenn sie dsa schnell genug tun, ist da noch Garantie drauf und wenn genügend vorhanden sind fällt der Ausfall von 1-2 Boxen nicht weiter auf.
Wenn man mal wirklich überlegt, ich habe letztens einen Rechner mit 1500 Mhz, 512 MB Ram und 40 GB Festplatte für gut 250 EUR zusammengebaut, das heißt für einen DUAL-Xeon mit allem drum und dran bekommt man 10-15 solcher Boxen. Selbst wenn die Hälfte davon ausfällt ist man damit vermutlich immer noch besser dran als mit dem Xeon.
Das Problem ist nur - was macht man mit dem Eingangsrechner, also der der das ganze verwaltet? Denn wenn der ausfällt ist Ende!
Bleibt das Problem, das sie regelmäßig ausgewechselt werden müssen. Da das aber ganze Boxen sind (und angenommenerweise immer die gleichen Inhalte haben) ist das auch angelernten Leuten überantwortbar. (Booten übers Netzwerk und spiegeln von OS und Daten aus dem Cluster raus. Bedeutet für den Austauscher einfach rausschrauben, wegschmeißen, neuen reinschrauben, einschalten)
Problem hierbei ist natürlich, das es deutlich mehr Platz braucht und mehr Strom verbraucht, und zusätzlich noch mehr Wartungsaufwand erfordert, das heißt dass öfter mal ein Techniker was austauschen muss.
Aber genial wäre es natürlich, wenn man diese Dinger mit 2 oder sogar 3 Jahren Garantie bekommt.
Naja, wie gesagt, ich finde es höchst interessant. Und wenn ich nicht irre eignet sich FreeBSD hervorrangend für so einen Cluster-Betrieb, bleibt nur noch die Frage wie das ganze verwaltet wird, und was mit der Software ist. Ich weiß nicht in wiewiet man da was verändern muss, ich denke die Forums-Software z.B. funktioniert nict so ohne weiteres parallel auf mehreren Rechnern.
Kann man denn nicht einfach so zu sagen ein virtuelles Betriebssystem drüberlegen, also als hätte man nur einen extrem großen Rechner? Das heißt Das alles beim alten ist, und sich nur irgendeine Software um die Verteilung der Daten und Prozesse auf die Rechner sorgt...
Naja, aber da kennt Ihr Euch sicher besser aus ;-)
Grüße
Andreas
Hi,
Aber je mehr ich darüber nachdenke, desto besser gefällt mir eure Idee mit den vielen kleinen Boxen.
War das jetzt unsere oder Deine? Langsam macht mir Dein Gedächtnis Sorgen :)
Das mit mehreren Boxen war nicht meine Idee, ich hatte das nur weiter ausgeführt.
interessant finde ich das auf jeden Fall, ist nur die Frage ob man auf sowas die ganze hier verwendete Software lazufen lassen kann. Und vor allem ist das glauieb ich nicht ganz so trivial aufzusetzen wie ein einfacher Server, oder?
Mittlerweile schon, es hat sich da viel getan.
Die gehen zwar recht schnell kaputt, aber wenn sie dsa schnell genug tun, ist da noch Garantie drauf und wenn genügend vorhanden sind fällt der Ausfall von 1-2 Boxen nicht weiter auf.
[...] Selbst wenn die Hälfte davon ausfällt ist man damit vermutlich immer noch besser dran als mit dem Xeon.
Ja, die Verfügbarkeit erhöht sich extrem. Wenn die Qualität auch nur halbwegs ist, ist auch die Administration ohne Mehraufwand möglich, denn man muß ja erst ab einer bestimmten Ausfallmenge auswechseln. Zu bedenken wäre evt noch, das die Haltbarkeit bei gleichen Boxen wahrscheinlich auch gleich ist, also wenn einer ausfällt, lassen die anderen höchstwahrscheinlich auch nicht lange auf sich warten. Also müssen am Anfang der Installation alle beschädigten Boxen möglichst sofort ausgewechselt werden, bis sich die Zeitpunkte der Installationen ausreichend verteilt haben. Was "ausreichend" ist, ist leider schlecht zu berechnen.
Das Problem ist nur - was macht man mit dem Eingangsrechner, also der der das ganze verwaltet? Denn wenn der ausfällt ist Ende!
Das ist ein normaler Cluster, da gibt es keinen Eingangs- oder Ausgangsrechner. Aber problematisch ist natürlich die Peripherie. Wenn die Anbindung über einen Switch erfolgt, ist dieser selbstverständlich ein Schwachpunkt. Die Dinger halten aber relativ lange (Haben ja keine beweglichen Teile) und bei zweifacher Redundanz sollte es ausreichen.
Problem hierbei ist natürlich, das es deutlich mehr Platz braucht und mehr Strom verbraucht, und zusätzlich noch mehr Wartungsaufwand erfordert, das heißt dass öfter mal ein Techniker was austauschen muss.
Mehr Wartungsaufwand eher nicht. Wenn noch genügend funktionieren, kann man die kaputten liegen lassen.
Mehr Strom? Ja, das ist leider wahr. Wenn man aber ein wenig sparsam ist, sollte der Cluster mit 10 Maschinen mit rund einem kW auskommen.
Bei 5 Maschinen hat es sich also schon egalisiert (Ja, die dicken Server brauchen _mindestens_ ein halbes kW!). Das wären dann (bei einem kW) im Monat 720 kWh. Der Preis liegt bei großen Rechenzentren im Industrieabnehmerbereich von ca 0,10 EUR/kWh, macht 72 EUR im Monat, großzügig gerundet also 100 EUR/Monat. Für weitere hundert Tacken im Monat sollte es auch möglich sein, einen Hiwi zu bekommen, der regelmäßig die Maschinen wechselt. Mit allem Drum und Dran und Steuern wären das rund 3.000 EUR/Jahr. Dafür sollte sich ein Sponsor finden lassen.
Dummerweise kommen da noch die Übertragungskosten dazu und _die_ hauen richtig rein.
Aber genial wäre es natürlich, wenn man diese Dinger mit 2 oder sogar 3 Jahren Garantie bekommt.
2 Jahre ist gesetzlich, das reicht. Länger halten die Dinger eh nicht.
Naja, wie gesagt, ich finde es höchst interessant. Und wenn ich nicht irre eignet sich FreeBSD hervorrangend für so einen Cluster-Betrieb,
Es eignen sich fast alle OS. Für den Clusterbetrieb wäre eigentlich Linux besser, da es dafür schon jede Menge Software und vor allem jede Menge Erfahrung gibt, bei den BSDs sieht es etwas schlechter aus. Ist aber nicht wirklich entscheidungsrelevant, dafür sind die Unterschiede zu marginal.
bleibt nur noch die Frage wie das ganze verwaltet wird, und was mit der Software ist. Ich weiß nicht in wiewiet man da was verändern muss, ich denke die Forums-Software z.B. funktioniert nict so ohne weiteres parallel auf mehreren Rechnern.
Doch, das dürfte nun wirklich kein Problem sein. Alle Software auf dem Selfserver läßt sich ohne weiteres verteilen.
Kann man denn nicht einfach so zu sagen ein virtuelles Betriebssystem drüberlegen, also als hätte man nur einen extrem großen Rechner? Das heißt Das alles beim alten ist, und sich nur irgendeine Software um die Verteilung der Daten und Prozesse auf die Rechner sorgt...
Nein, so ein "virtuelles OS" ist nicht nötig, das ist seit Beowulf doch schon ziemlich gereift ;-)
Naja, aber da kennt Ihr Euch sicher besser aus ;-)
Das muß nicht sein, das kannst Du ändern! ;-)
so short
Christoph Zurnieden
Hallo!
Das mit mehreren Boxen war nicht meine Idee, ich hatte das nur weiter ausgeführt.
OK ;-)
interessant finde ich das auf jeden Fall, ist nur die Frage ob man auf sowas die ganze hier verwendete Software lazufen lassen kann. Und vor allem ist das glauieb ich nicht ganz so trivial aufzusetzen wie ein einfacher Server, oder?
Mittlerweile schon, es hat sich da viel getan.
Hm ich finde eigentlich fast nur Artikel anno 1999 und sowas, naja, und selbst das was da steht hört sich gut an.
Nett war auch ein Satz in einem Online-CT Artikel von 1999, "... die utopische Rechenleistung von 3000 Mhz..." , wenn die wüßten das man sowas heute im Aldi nachgeschmissen bekommt, naja, fast ;-)
Ja, die Verfügbarkeit erhöht sich extrem. Wenn die Qualität auch nur halbwegs ist, ist auch die Administration ohne Mehraufwand möglich, denn man muß ja erst ab einer bestimmten Ausfallmenge auswechseln.
Ich würde ja gerne einen neuen Athlon64 oder Opteron nehmen, nicht DUAL, denn da bekommt man schon Board S-ATA und gbit-LAN und Prozessor für unter 500 EUR... aber das lohnt sich ja nicht wirklich, wenn schon dann richtig billig(außerdem braucht man da registered RAM, das finde ich wirklich bescheuert, denn wenn man nur max. 2 GB RAM einsetzt bringt registered AFAIK gar nichts). Und Außerdem ist da die schlechte Erfahrung mit AMD, wobei das mit der thermischen Belastung heute nicht mehr ganz so vergleichbar ist, die neuren(nicht die 64bit) AMDs produzieren weniger Abwärme als Pentiums und die Kühler sind erheblich besser.
Das Problem ist nur - was macht man mit dem Eingangsrechner, also der der das ganze verwaltet? Denn wenn der ausfällt ist Ende!
Das ist ein normaler Cluster, da gibt es keinen Eingangs- oder Ausgangsrechner. Aber problematisch ist natürlich die Peripherie. Wenn die Anbindung über einen Switch erfolgt, ist dieser selbstverständlich ein Schwachpunkt.
Hä? Wie soll das denn funktionieren? Alle Requsts müssen doch über eine Maschine laufen, also die IP die bei teamone.de aufgelösen wird. Oder dachtest Du daran mehrere öffentliche IPs zu verwenden und dann entsprechend sellforum, selfhtml... auf verschiedene Maschinen zu legen? Aber dann hast Du ja keine Redundanz. IMHO braucht man einen Loadbalancer oder einen Reverse-Proxy oder sowas, der entsprechend die aAnfragen verteilt. Soll denn jeder Rechner alles können, oder hat jeder bestimmte aufgaben?
Ich hatte eigentlich gedacht, dass alle Request über einen(qualitativ hochwertigeren) Rechner kommen, der die anderen Rechner vewaltet, und dann nur die Prozesse auf die Rechner verteilt, je nach deren Auslastung. Sowas in der Art, aber sowas finde ich nicht ;-)
Ich finde immer nur Informationen wie man dann Software entwickelt, die sich auf mehrere Rechner verteilen lässt, aber gerade das will ich ja nicht, ich will eine Software die das für alle Prozesse übernimmt. Gibts sowas nicht?
Problem hierbei ist natürlich, das es deutlich mehr Platz braucht und mehr Strom verbraucht, und zusätzlich noch mehr Wartungsaufwand erfordert, das heißt dass öfter mal ein Techniker was austauschen muss.
Mehr Wartungsaufwand eher nicht.
Und was ist mit Administartionsaufwand?
Mehr Strom? Ja, das ist leider wahr. Wenn man aber ein wenig sparsam ist, sollte der Cluster mit 10 Maschinen mit rund einem kW auskommen.
Zur Not nimmt man halt VIA-CPUs, die verbrauchen nur gut 10 Watt im Schnitt ;-)
Bei 5 Maschinen hat es sich also schon egalisiert (Ja, die dicken Server brauchen _mindestens_ ein halbes kW!). Das wären dann (bei einem kW) im Monat 720 kWh. Der Preis liegt bei großen Rechenzentren im Industrieabnehmerbereich von ca 0,10 EUR/kWh, macht 72 EUR im Monat, großzügig gerundet also 100 EUR/Monat. Für weitere hundert Tacken im Monat sollte es auch möglich sein, einen Hiwi zu bekommen, der regelmäßig die Maschinen wechselt. Mit allem Drum und Dran und Steuern wären das rund 3.000 EUR/Jahr. Dafür sollte sich ein Sponsor finden lassen.
Aber was ist mit den Rechnern die nach 2 Jahren kaputt gehen? Wahrscheinlich braucht man dann alle 3 Jahre alle Rechner neu, dsas heißt pro Jahr kommen nochmal 1/3 der Anschaffungskosten dazu.
Nur, bist Du Dir bei den 250 EUR so sicher? Einen PC für 250 EUR ist kein Problem, aber ich finde so gut wie keine Rack-Gehäuse die mit passendem Netzteil viel weniger als 200 EUR kosten. Außerdem sind das meist 4 HE, das wären dann mind. 40 HE im Rechenzentrum, wenn alle Dicht an Dicht liegen, ggfs. + Switch...
Dummerweise kommen da noch die Übertragungskosten dazu und _die_ hauen richtig rein.
Ja, da kommen sicher mal schnell 100 GB im Monat zusammen. Und das wird ja gesponert, wenn man sich das mal überlegt, wirklich Wahnsinn!
Aber wenn das wirklich 40+ HE würden, naja, das ist auch nicht von Pappe!
Aber Du hattest vermutlich eher so 1HE Dinger im Kopf, oder? Naja, wenn man die denn so billig bekommt...
Naja, wie gesagt, ich finde es höchst interessant. Und wenn ich nicht irre eignet sich FreeBSD hervorrangend für so einen Cluster-Betrieb,
bleibt nur noch die Frage wie das ganze verwaltet wird, und was mit der Software ist. Ich weiß nicht in wiewiet man da was verändern muss, ich denke die Forums-Software z.B. funktioniert nict so ohne weiteres parallel auf mehreren Rechnern.
Doch, das dürfte nun wirklich kein Problem sein. Alle Software auf dem Selfserver läßt sich ohne weiteres verteilen.
Ja? Was ist z.B. mit dem Apachen, wie genau würde das verteilt? Haben dann alle Maschinen die selben Daten auf der Platte? Anders geht es ja nicht, wenn bei jedem Request von irgend ner anderen Platte über das Netzwerk was geholt werden müsste, das wäre vor allem bei der Suche tötlich. Dann müssen die Daten beim schreiben aber auch überall aktualisiert werden, wer oder was übernimmt das?
Was ist mit der Datenbank, wieder dasselbe Problem. Noch schlimmer beim Forum, obwohl, das komuniziert z.B. über Unix-Sockets, OK das könnte man vielleicht auch mit TCP machen (CK hat mal gsagt dass man das theoretisch verteilen könnte wenn ich nicht irre), aber die Frage ist _wie_ man das ganze verteilt. Wenn man jetzt für jeden Service eine dedizierte Maschine meint, dann ist das kein Problem, aber ich verstehe nicht wie genau das bei einem Cluster funktionieren soll, so dass die Daten auf allen Machinen im RAM liegen. Ich weiß dass man das lösen kann, aber nur wenn man Sachen umprogrammiert und entsprechende Bibliotheken verwendet, aber ich hatte Dich jetzt so verstanden das sowas nicht nötig ist.
Irgendwo mache ich glaube ich einen dicken Denkfehler ;-)
Kann man denn nicht einfach so zu sagen ein virtuelles Betriebssystem drüberlegen, also als hätte man nur einen extrem großen Rechner? Das heißt Das alles beim alten ist, und sich nur irgendeine Software um die Verteilung der Daten und Prozesse auf die Rechner sorgt...
Nein, so ein "virtuelles OS" ist nicht nötig, das ist seit Beowulf doch schon ziemlich gereift ;-)
Ja, aber trotzdem kann man das doch nur nutzen, wenn die Software über TCP/UDP, MPI, PVM oder SysV IPC komuniziert. Das Problem ist ja auch, dass man hier Threads nicht verteilen kann(geht nicht ist glaube ich falsch, aber...). So eine Architektur wie der Apache 1.3 hat ist denke ich für sowas sehr gut geeignet, weil es eben einen Prozess gibt der sich um die anderen kümmert, also die übrigen Prozesse startet und beendet und mit Daten versorgt. Ich frage mich nur wie man dem beibringen will Prozesse auf anderen Rechnern zu starten ohne in den Quellcode einzugreifen.
Mal ein Zitat von http://www.xtreme-machines.com/x-cluster-qs.html:
"UNLESS AN APPLICATION WAS SPECIFICALLY WRITTEN FOR A CLUSTER ENVIRONMENT IT WILL
ONLY WORK ON ONE CPU. YOU CAN NOT TAKE APACHE OR MYSQL AND RUN THEM OVER
MULTIPLE CPUS IN A CLUSTER UNLESS SPECIFIC PARALLEL SOURCE CODE VERSIONS
HAVE BEEN CREATED."
Naja, noch glaube ich es wäre einfacher dedizierte Maschinen für die Dienste zu verwenden, vielleicht mit load-balancing, failover..., nur kommt man so nicht an die Performance und schafft "nur" Verfügbarkeit, dann sollte man aber lieber weniger dafür bessere Rechner einsetzen. Ein Cluster ist aber interessanter ;-)
Naja, aber da kennt Ihr Euch sicher besser aus ;-)
Das muß nicht sein, das kannst Du ändern! ;-)
Ich versuch mein bestes ;-)
etwas verwirrte Grüße,
Andreas
Hi,
interessant finde ich das auf jeden Fall, ist nur die Frage ob man auf sowas die ganze hier verwendete Software lazufen lassen kann. Und vor allem ist das glauieb ich nicht ganz so trivial aufzusetzen wie ein einfacher Server, oder?
Mittlerweile schon, es hat sich da viel getan.
Hm ich finde eigentlich fast nur Artikel anno 1999 und sowas, naja, und selbst das was da steht hört sich gut an.
Könntest mal nach MOSIX googeln. Wäre zwar nicht unbedingt die Software meiner Wahl, aber MOSIX ist sehr gut dokumentiert, würde Dir wahrscheinlich weiterhelfen.
Ich würde ja gerne einen neuen Athlon64 oder Opteron nehmen, nicht DUAL, denn da bekommt man schon Board S-ATA und gbit-LAN und Prozessor für unter 500 EUR... aber das lohnt sich ja nicht wirklich,
Man sollte selbst bei reduzierten Verfügbarkeitsanforderungen keine "Bleeding Edge" nehmen, lieber altbewährtes bei denen alle Bugs schon bekannt sind. Laß andere ausprobieren, die das Geld und die Zeit dafür haben ;-)
wenn schon dann richtig billig(außerdem braucht man da registered RAM, das finde ich wirklich bescheuert, denn wenn man nur max. 2 GB RAM einsetzt bringt registered AFAIK gar nichts). Und Außerdem ist da die schlechte Erfahrung mit AMD, wobei das mit der thermischen Belastung heute nicht mehr ganz so vergleichbar ist, die neuren(nicht die 64bit) AMDs produzieren weniger Abwärme als Pentiums und die Kühler sind erheblich besser.
Abwärmeprobleme sind sehr weitreichend, da reicht es nicht, einen ausreichend dimensionierten Prozessorkühler zu haben, dei Wärme muß auch irgendwann einmal an die frische Luft, gleichzeitig darf kein Staub reinkommen.
Das Problem ist nur - was macht man mit dem Eingangsrechner, also der der das ganze verwaltet? Denn wenn der ausfällt ist Ende!
Das ist ein normaler Cluster, da gibt es keinen Eingangs- oder Ausgangsrechner. Aber problematisch ist natürlich die Peripherie. Wenn die Anbindung über einen Switch erfolgt, ist dieser selbstverständlich ein Schwachpunkt.
Hä? Wie soll das denn funktionieren? Alle Requsts müssen doch über eine Maschine laufen, also die IP die bei teamone.de aufgelösen wird. Oder dachtest Du daran mehrere öffentliche IPs zu verwenden und dann entsprechend sellforum, selfhtml... auf verschiedene Maschinen zu legen? Aber dann hast Du ja keine Redundanz. IMHO braucht man einen Loadbalancer oder einen Reverse-Proxy oder sowas, der entsprechend die aAnfragen verteilt. Soll denn jeder Rechner alles können, oder hat jeder bestimmte aufgaben?
Achso, ja gut, einen Loadbalancer/Router o.ä. braucht es schon, das ist wahr. Fällt bei mir aber unter Peripherie, braucht außerdem keine beweglichen Teile ist also haltbar. Aber mehrere IPs unter ein und derselben Adresse ist durchaus gängig, da müßte nichts verteilt werden.
Und: ja, in einem Cluster sollte jeder Rechner alles können, das würde die Administration sehr vereinfachen. Oder es funktioniert wirklich mit Einzelboxen pro Anwendung, wie von mir beschrieben. Diese Einzelboxen können dann übigens selber wieder Cluster sein ;-)
Ich hatte eigentlich gedacht, dass alle Request über einen(qualitativ hochwertigeren) Rechner kommen, der die anderen Rechner vewaltet, und dann nur die Prozesse auf die Rechner verteilt, je nach deren Auslastung. Sowas in der Art, aber sowas finde ich nicht ;-)
Sowas braucht es nicht mehr (Kann aber in bestimmten Anwendungsfällen immer noch sinnvoll sein), es werden nur Anfragen verteilt, dei Aufteilung der Arbeit übernimmt der Cluster selber.
Ich finde immer nur Informationen wie man dann Software entwickelt, die sich auf mehrere Rechner verteilen lässt, aber gerade das will ich ja nicht, ich will eine Software die das für alle Prozesse übernimmt. Gibts sowas nicht?
Diese Frage verstehe ich nicht. Wenn Du einen Prozess auf viele Rechner verteilen kannst, warum solltest Du nicht viele Prozesse auf viele Rechner verteilen können? Wo liegt da der Hinderungsgrund?
Problem hierbei ist natürlich, das es deutlich mehr Platz braucht und mehr Strom verbraucht, und zusätzlich noch mehr Wartungsaufwand erfordert, das heißt dass öfter mal ein Techniker was austauschen muss.
Mehr Wartungsaufwand eher nicht.
Und was ist mit Administartionsaufwand?
Da alle Maschinen gleich sind (Hard- wie Software) ist der Adminsitrationsaufwand genauso hoch, wie auf einer einzelnen Maschine. (Praktisch natürlich ein klein wenig höher, aber wirklich nur ein klein wenig)
Mehr Strom? Ja, das ist leider wahr. Wenn man aber ein wenig sparsam ist, sollte der Cluster mit 10 Maschinen mit rund einem kW auskommen.
Zur Not nimmt man halt VIA-CPUs, die verbrauchen nur gut 10 Watt im Schnitt ;-)
Das haut's auch nicht mehr raus, der Stromfresser gibt es mittlerweile viele in einem Rechner ;-\
»»[...] Mit allem Drum und Dran und Steuern wären das rund 3.000 EUR/Jahr. Dafür sollte sich ein Sponsor finden lassen.
Aber was ist mit den Rechnern die nach 2 Jahren kaputt gehen?
Nichts hält ewig. Bei einer durchschnittlichen Haltbarkeit von 2 Jahren sollte der Cluster etwas über drei Jahre funktionieren. Bis dahin wird doch wohl ein neuer Sponsor gefunden sein, oder? ;-)
Wahrscheinlich braucht man dann alle 3 Jahre alle Rechner neu, dsas heißt pro Jahr kommen nochmal 1/3 der Anschaffungskosten dazu.
Etwas weniger, aber so ungefähr kommt's hin, ja.
Nur, bist Du Dir bei den 250 EUR so sicher?
Ja, neulich noch eine Anzeige gesehen für 269 EUR (Bei 10 Stück Abnahme sollte man die auf 250 EUR runterhandeln können ;-)
1 HE, 2 GHz, 256 MiB RAM, 30 GiB Platte (IDE), 100 Mbit Netzkarte.
Doch, das dürfte nun wirklich kein Problem sein. Alle Software auf dem Selfserver läßt sich ohne weiteres verteilen.
Ja? Was ist z.B. mit dem Apachen, wie genau würde das verteilt?
Thread- bzw prozessweise (Je nach Apache)
Haben dann alle Maschinen die selben Daten auf der Platte?
Ja. Wäre zumindest die billigste Lösung.
Anders geht es ja nicht, wenn bei jedem Request von irgend ner anderen Platte über das Netzwerk was geholt werden müsste, das wäre vor allem bei der Suche tötlich. Dann müssen die Daten beim schreiben aber auch überall aktualisiert werden, wer oder was übernimmt das?
Die Clustersoftware.
[...] aber ich verstehe nicht wie genau das bei einem Cluster funktionieren soll, so dass die Daten auf allen Machinen im RAM liegen. Ich weiß dass man das lösen kann, aber nur wenn man Sachen umprogrammiert und entsprechende Bibliotheken verwendet, aber ich hatte Dich jetzt so verstanden das sowas nicht nötig ist.
Mittlerweile ist keine Arbeit an den Programmen selber mehr nötig (Wenn doch, ist das Programm nicht geeignet für den verteilten Betrieb), das läßt sich ohne Umschreiben einlinken.
Nein, so ein "virtuelles OS" ist nicht nötig, das ist seit Beowulf doch schon ziemlich gereift ;-)
Ja, aber trotzdem kann man das doch nur nutzen, wenn die Software über TCP/UDP, MPI, PVM oder SysV IPC komuniziert. Das Problem ist ja auch, dass man hier Threads nicht verteilen kann(geht nicht ist glaube ich falsch, aber...). So eine Architektur wie der Apache 1.3 hat ist denke ich für sowas sehr gut geeignet, weil es eben einen Prozess gibt der sich um die anderen kümmert, also die übrigen Prozesse startet und beendet und mit Daten versorgt. Ich frage mich nur wie man dem beibringen will Prozesse auf anderen Rechnern zu starten ohne in den Quellcode einzugreifen.
Es ist egal, ob man Prozesse oder Threads verteilt, da ist nichts leichter oder schwerer, nur die Frage, was das OS besser unterstützt.
Man muß nicht in den Quellcode eingreifen, da die Prozesse(Threads) selber nicht vom Programm gestartet werden, sondern vom OS, oder von Bibiotheken. Änderungen an beiden erfordern keinerlei Änderung am Programm selber.
Mal ein Zitat von http://www.xtreme-machines.com/x-cluster-qs.html:
"UNLESS AN APPLICATION WAS SPECIFICALLY WRITTEN FOR A CLUSTER ENVIRONMENT IT WILL
ONLY WORK ON ONE CPU. YOU CAN NOT TAKE APACHE OR MYSQL AND RUN THEM OVER
MULTIPLE CPUS IN A CLUSTER UNLESS SPECIFIC PARALLEL SOURCE CODE VERSIONS
HAVE BEEN CREATED."
Bisken älter das Zitat, was? ;-)
Naja, noch glaube ich es wäre einfacher dedizierte Maschinen für die Dienste zu verwenden, vielleicht mit load-balancing, failover..., nur kommt man so nicht an die Performance und schafft "nur" Verfügbarkeit, dann sollte man aber lieber weniger dafür bessere Rechner einsetzen. Ein Cluster ist aber interessanter ;-)
Ich befürchte, das es um die simple Frage geht: was ist am billigsten für unsere Zwecke.
so short
Christoph Zurnieden
Hi!
Könntest mal nach MOSIX googeln. Wäre zwar nicht unbedingt die Software meiner Wahl, aber MOSIX ist sehr gut dokumentiert, würde Dir wahrscheinlich weiterhelfen.
Oh ja, _sehr_ interessant. Hat nur ein paar Haken, damit läuft kein verteilter Apache, kein PostgreSQL, keine pthreads, und die aktuelle Version läuft nur unter Linux.
Aber war sehr interessant!
Achso, ja gut, einen Loadbalancer/Router o.ä. braucht es schon, das ist wahr. Fällt bei mir aber unter Peripherie, braucht außerdem keine beweglichen Teile ist also haltbar. Aber mehrere IPs unter ein und derselben Adresse ist durchaus gängig, da müßte nichts verteilt werden.
Ja, die Frage die ich mir gestellt habe ist ob das dann auch öffentliche IPs sind die dann durchgeroutet sind, oder ob die Maschinen private IPs bekommen, vermutlich letzteres.
Und: ja, in einem Cluster sollte jeder Rechner alles können, das würde die Administration sehr vereinfachen.
Aber dazu muss die Cluster-Software in der Lage sein auch Prozesse die Shared Memory(z.B. Apache) verwenden zu verteilen, das kann Mosix AFAIK nicht. Hast Du eigentlich praktische Erfahrung mit Clustern? Läuft sowas auch wirklich stabil? Wenn ich mir so überlege wie komplex das ganze ist...
Ich hatte eigentlich gedacht, dass alle Request über einen(qualitativ hochwertigeren) Rechner kommen, der die anderen Rechner vewaltet, und dann nur die Prozesse auf die Rechner verteilt, je nach deren Auslastung. Sowas in der Art, aber sowas finde ich nicht ;-)
Sowas braucht es nicht mehr (Kann aber in bestimmten Anwendungsfällen immer noch sinnvoll sein), es werden nur Anfragen verteilt, die Aufteilung der Arbeit übernimmt der Cluster selber.
Optimal wäre es natürlich wenn ein Loadbalancer die Requests direkt schön verteilt.
Ich finde immer nur Informationen wie man dann Software entwickelt, die sich auf mehrere Rechner verteilen lässt, aber gerade das will ich ja nicht, ich will eine Software die das für alle Prozesse übernimmt. Gibts sowas nicht?
Diese Frage verstehe ich nicht. Wenn Du einen Prozess auf viele Rechner verteilen kannst, warum solltest Du nicht viele Prozesse auf viele Rechner verteilen können? Wo liegt da der Hinderungsgrund?
Das hat sich inzwischen geklärt, nur eben für Apache & Co. nicht. Und das fände ich schon wichtig, da der afaik ja die ganzen Client-Prozesse über CGI startet, und das ist dann schon besser wenn das auch verteilt würde.
Ich habe noch eine Frage, angenommen wir starten nur einen Server-Prozess für den Forumsserver, können die Client-Prozesse von den verschiedenen Clusterrechnern dann auch per Unix-Socket Domain drauf zugreifen? Eigentlich ja nicht, oder? Aber auch wenn schon, das würde dann ja eh über TCP weitergeleitet, also kann man sich den Overhead auch sparen und in der Forums-Anwendung die Kommunikation direkt auf TCP umstellen, wenn ich CK richtig verstanden habe ist das jedenfalls möglich ;-)
Ja? Was ist z.B. mit dem Apachen, wie genau würde das verteilt?
Thread- bzw prozessweise (Je nach Apache)
Zumindest bei mosix habe ich gelesen dass das eben nicht geht. Das ginge wenn der Apache alleine mit Threads arbeiten würde, aber das macht er in keiner Varante, das worker MPM ist im Prinzip dasselbe wie prefork, nur dass die Kinderprozesse eine feste Anzahl von Threads starten die die Requests bearbeiten. Das hat eigentlich nur den Vorteil das der Server bei ein klein wenig höherer Leistung weniger RAM verbraucht als mit prefork, soll dagegen aber nicht ganz so stabil sein.
Haben dann alle Maschinen die selben Daten auf der Platte?
Ja. Wäre zumindest die billigste Lösung.
Dann muss man aber bei jedem Schreibvorgang auf alle Platten gleichzeitig schreiben, und dazu noch alles über das Ethernet übertreagen, und zumindest Fast Ethernet ist noch deutlich langsamer als normaler Platten.
Es ist egal, ob man Prozesse oder Threads verteilt, da ist nichts leichter oder schwerer, nur die Frage, was das OS besser unterstützt.
Man muß nicht in den Quellcode eingreifen, da die Prozesse(Threads) selber nicht vom Programm gestartet werden, sondern vom OS, oder von Bibiotheken. Änderungen an beiden erfordern keinerlei Änderung am Programm selber.
Aber zumimndest bei mosix ist es wohl doch ein Problem mit dem RAM, bei normalen Prozessen und Threads ist das anscheinend kein Problem mehr, bei shared memory und pthreads wohl doch, und leider benutzen das viele gute Programme. Ich habe da irgendwo gelesen das das alles erst funktioniert wenn man auch verteiltes shared memory hinbekommt. Aber das ist noch nicht so weit. Kennst Du denn Alternativen die das können? Und wenn das dann sowas noch unter FreeBSD laufen würde wäre das natürlich prima ;-)
Mal ein Zitat von http://www.xtreme-machines.com/x-cluster-qs.html:
"UNLESS AN APPLICATION WAS SPECIFICALLY WRITTEN FOR A CLUSTER ENVIRONMENT IT WILL
ONLY WORK ON ONE CPU. YOU CAN NOT TAKE APACHE OR MYSQL AND RUN THEM OVER
MULTIPLE CPUS IN A CLUSTER UNLESS SPECIFIC PARALLEL SOURCE CODE VERSIONS
HAVE BEEN CREATED."Bisken älter das Zitat, was? ;-)
Wie gesagt, 99 ;-)
Aber das ist von 2003: http://howto.ipng.be/openMosixWiki/index.php/don't
Das steht eigentlich so alles wo es sinnvoll wäre, Anwendungen die pthreads und solche die shared memory nutzen, Apache und PostgreSQL. Aber Du sagstest ja Du würdest mosix eh nicht einsetzen - was dann?
Naja, noch glaube ich es wäre einfacher dedizierte Maschinen für die Dienste zu verwenden, vielleicht mit load-balancing, failover..., nur kommt man so nicht an die Performance und schafft "nur" Verfügbarkeit, dann sollte man aber lieber weniger dafür bessere Rechner einsetzen. Ein Cluster ist aber interessanter ;-)
Ich befürchte, das es um die simple Frage geht: was ist am billigsten für unsere Zwecke.
Ja, da hast Du Recht, auch wenn das vermutlich am Ende dann nicht in Frage kommt, ich finde das Thema trotzdem höchst interessant ;-)
Auf jeden Fall vielen Dank schonmal für die interessanten Erläuterungen!
Viele Grüße
Andreas
PS: "mosix" ist ein ein ziemlich dämliche Name ;-)
Hi,
Könntest mal nach MOSIX googeln. Wäre zwar nicht unbedingt die Software meiner Wahl, aber MOSIX ist sehr gut dokumentiert, würde Dir wahrscheinlich weiterhelfen.
Oh ja, _sehr_ interessant. Hat nur ein paar Haken, damit läuft kein verteilter Apache, kein PostgreSQL, keine pthreads, und die aktuelle Version läuft nur unter Linux.
Na, dann weißt Du ja jetzt, warum das nicht die Software meiner Wahl ist ;-)
Aber war sehr interessant!
Genau deshalb der Hinweis, damit Du erstmal langsam dahinter kommst, was da überhaupt vorgeht. War aber auch das einzige wovon ich _weiß_, das es gut dokumentiert ist ;-)
Achso, ja gut, einen Loadbalancer/Router o.ä. braucht es schon, das ist wahr. Fällt bei mir aber unter Peripherie, braucht außerdem keine beweglichen Teile ist also haltbar. Aber mehrere IPs unter ein und derselben Adresse ist durchaus gängig, da müßte nichts verteilt werden.
Ja, die Frage die ich mir gestellt habe ist ob das dann auch öffentliche IPs sind die dann durchgeroutet sind, oder ob die Maschinen private IPs bekommen, vermutlich letzteres.
Kann auch beides sein, ist nichts ungewöhnliches. Wird aber vor allem bei Mailservern gemacht, da ist das laut Protokoll sogar vorgesehen (Das sind die Zahlen neben den MX-Servern, die geben die Reihenfolge der Auswahl vor. Können aber auch gleich sein.)
Und: ja, in einem Cluster sollte jeder Rechner alles können, das würde die Administration sehr vereinfachen.
Aber dazu muss die Cluster-Software in der Lage sein auch Prozesse die Shared Memory(z.B. Apache) verwenden zu verteilen, das kann Mosix AFAIK nicht. Hast Du eigentlich praktische Erfahrung mit Clustern?
Ja.
Läuft sowas auch wirklich stabil?
Ja.
Wenn ich mir so überlege wie komplex das ganze ist...
Na, ganz so schlimm ist's auch wieder nicht ;-)
Ich hatte eigentlich gedacht, dass alle Request über einen(qualitativ hochwertigeren) Rechner kommen, der die anderen Rechner vewaltet, und dann nur die Prozesse auf die Rechner verteilt, je nach deren Auslastung. Sowas in der Art, aber sowas finde ich nicht ;-)
Optimal wäre es natürlich wenn ein Loadbalancer die Requests direkt schön verteilt.
Da ist die Frage der Definition von "Last", wie mir Michael Schroepl erst gerade sagte, das ist schwer zu beantworten. Ein vollautomatischer Loadbalancer wäre also für die Vielfalt der Aufgaben nur sehr beschränkt einsetzbar. Wäre wohl am Ende viel T&E nötig.
Ich finde immer nur Informationen wie man dann Software entwickelt, die sich auf mehrere Rechner verteilen lässt, aber gerade das will ich ja nicht, ich will eine Software die das für alle Prozesse übernimmt. Gibts sowas nicht?
Diese Frage verstehe ich nicht. Wenn Du einen Prozess auf viele Rechner verteilen kannst, warum solltest Du nicht viele Prozesse auf viele Rechner verteilen können? Wo liegt da der Hinderungsgrund?
Das hat sich inzwischen geklärt, nur eben für Apache & Co. nicht. Und das fände ich schon wichtig, da der afaik ja die ganzen Client-Prozesse über CGI startet, und das ist dann schon besser wenn das auch verteilt würde.
Jetzt bin ich ganz verwirrt. Warum sollten die ganzen Prozesse über CGI gestartet werden, was macht das für einen Sinn? Selbst wenn man das täte wäre es immer noch möglich, die Klammotten auf mehrere Schultern zu laden.
Ich habe noch eine Frage, angenommen wir starten nur einen Server-Prozess für den Forumsserver, können die Client-Prozesse von den verschiedenen Clusterrechnern dann auch per Unix-Socket Domain drauf zugreifen?
Theoretisch ja. Aber warum sollten sie? Die Last wird vorher schon verteilt, alle Rechner haben die gleichen Datensätze, warum also Kommunikation?
Eigentlich ja nicht, oder? Aber auch wenn schon, das würde dann ja eh über TCP weitergeleitet, also kann man sich den Overhead auch sparen und in der Forums-Anwendung die Kommunikation direkt auf TCP umstellen, wenn ich CK richtig verstanden habe ist das jedenfalls möglich ;-)
Oder UDP, das gäbe noch weniger Overhead. Aber warum so kompliziert?
Ja? Was ist z.B. mit dem Apachen, wie genau würde das verteilt?
Thread- bzw prozessweise (Je nach Apache)
Zumindest bei mosix habe ich gelesen dass das eben nicht geht.
"Geht nich, gipps nich!" ;-)
(Vorrausgesetzt das alle Quellen verfügbar sind natürlich)
Das ginge wenn der Apache alleine mit Threads arbeiten würde, aber das macht er in keiner Varante, das worker MPM ist im Prinzip dasselbe wie prefork, nur dass die Kinderprozesse eine feste Anzahl von Threads starten die die Requests bearbeiten. Das hat eigentlich nur den Vorteil das der Server bei ein klein wenig höherer Leistung weniger RAM verbraucht als mit prefork, soll dagegen aber nicht ganz so stabil sein.
Ja, es ist durchaus möglich, das der Apache nicht out-of-the-box mitspielt. Sollten aber keine größeren chirurgischen Eingriffe nötig sein.
Vorbehaltlich möglichen schweren Irrtums meinerseits ;-)
Haben dann alle Maschinen die selben Daten auf der Platte?
Ja. Wäre zumindest die billigste Lösung.
Dann muss man aber bei jedem Schreibvorgang auf alle Platten gleichzeitig schreiben, und dazu noch alles über das Ethernet übertreagen, und zumindest Fast Ethernet ist noch deutlich langsamer als normaler Platten.
Eigentlich ein Mißverständnis meinerseits (Ich will schon eigentlich Daten und Anwendung getrennt halten, so ist das ja nicht ;-), aber bei näherer Betrachtung auch nicht schlecht, denn:
Es wird selten geschrieben und wenn, nicht allzuviel.
Es werden zwar regelmäßig Postings abgesetzt, aber keine 100 Stück pro Sekunde o.ä. (Wäre mal statistisch aus den Logfiles zu ziehen, wie so die ganzen Spitzenwerte lauten). Die Dinger haben maximal rund 16 kib an Daten (Auch hier wieder: Durchschnitt aus den Logfiles)
Verzögerungen beim Spiegeln liegen im Sekundenbereich, das fällt dem Benutzer nicht auf.
Wenn das Posting beim sofortigem Reload der Forumsdatei nicht da ist, wird einfach neu reloaded. Das dauert alles ein paar Sekunden, bis dahin ist es gespiegelt. (Man könnte auch den Danke-Text dahingehend verändern, das es nicht mehr heißt "...ist jetzt im Forum lesbar" sondern "...ist in ein paar Sekunden im Forum lesbar") Auch hierüber sollten einige Angaben aus den Logfiles zu ziehen sein, wenn auch nicht mehr ganz so sauber, wie oben.
für sauberen Clusterbetrieb ist eine getrennte Kommunikationsleitung nötig, darüber ginge dann auch der Abgleich.
Es gibt eh nur noch mindestens 100 MBit Netze, das sollte reichen.
Man muß nicht in den Quellcode eingreifen, da die Prozesse(Threads) selber nicht vom Programm gestartet werden, sondern vom OS, oder von Bibiotheken. Änderungen an beiden erfordern keinerlei Änderung am Programm selber.
Aber zumimndest bei mosix ist es wohl doch ein Problem mit dem RAM, bei normalen Prozessen und Threads ist das anscheinend kein Problem mehr, bei shared memory und pthreads wohl doch, und leider benutzen das viele gute Programme. Ich habe da irgendwo gelesen das das alles erst funktioniert wenn man auch verteiltes shared memory hinbekommt. Aber das ist noch nicht so weit.
Ist in Arbeit, erste Erfolge sind zu verzeichnen.
Kennst Du denn Alternativen die das können? Und wenn das dann sowas noch unter FreeBSD laufen würde wäre das natürlich prima ;-)
Klar:
man gcc
xpdf 24547012.pdf
u.s.w.
;->
Aber das ist von 2003: http://howto.ipng.be/openMosixWiki/index.php/don't
Das steht eigentlich so alles wo es sinnvoll wäre, Anwendungen die pthreads und solche die shared memory nutzen, Apache und PostgreSQL. Aber Du sagstest ja Du würdest mosix eh nicht einsetzen - was dann?
Siehe oben ;-)
Nein, ernsthaft: das ist zu entscheiden, wenn man genau weiß, was überhaupt gebraucht wird. Das dauert auch alles sowieso noch etwas länger, vielleicht ist bis dahin sogar MOSIX die erste Wahl, wer weiß?
Bis jetzt gibt es aber wirklich keine fertige Software, es gilt also das Übliche: Nachschauen, wie es die anderen gemacht haben, wo deren Probleme liegen und wo deren Nutzen und dann selber bauen. So kleine Cluster sind meist Spezialisten, da kann man kaum Fertigware für nehmen.
Ich befürchte, das es um die simple Frage geht: was ist am billigsten für unsere Zwecke.
Ja, da hast Du Recht, auch wenn das vermutlich am Ende dann nicht in Frage kommt, ich finde das Thema trotzdem höchst interessant ;-)
Nicht nur das: jetzt kannst Du bei nächster Gelgenheit bei so einem Thema lässig in's Archiv verweisen:"Das hatten wir doch erst letzthin, schau doch mal [link ... " ;-)
PS: "mosix" ist ein ein ziemlich dämliche Name ;-)
Jupp! ;-)
so short
Christoph Zurnieden
Hallo!
Optimal wäre es natürlich wenn ein Loadbalancer die Requests direkt schön verteilt.
Da ist die Frage der Definition von "Last", wie mir Michael Schroepl erst gerade sagte, das ist schwer zu beantworten. Ein vollautomatischer Loadbalancer wäre also für die Vielfalt der Aufgaben nur sehr beschränkt einsetzbar. Wäre wohl am Ende viel T&E nötig.
Hm, nchmal ein kleinens Verständnisproblem:
Angenommen man könnte den Apachen tatsächlich verteilen, dann gibt es aber imer noch nur einen Prozes im gesamten Cluster, der die Anfragen verteilt, oder? Also es gibt ja immer den eien Steuerprozess der sich um eingehende Anfragen kümmert, und diese dann auf die anderen Rechner verteilt. Dieser Prozess liegt dann ja immer auf einer Node, also muss jeder HTTP-Request auch an diese Adresse, oder?
Das hat sich inzwischen geklärt, nur eben für Apache & Co. nicht. Und das fände ich schon wichtig, da der afaik ja die ganzen Client-Prozesse über CGI startet, und das ist dann schon besser wenn das auch verteilt würde.
Jetzt bin ich ganz verwirrt. Warum sollten die ganzen Prozesse über CGI gestartet werden, was macht das für einen Sinn?
Ich meine jetzt speziell die Client-Prozesse für das Forum. Wenn ich das richtig verstehe leitet der Apache die Anfragen per CGI weiter, udn das heißt AFAIK dass der Apache einen entsprechenden Prozess, nämlich den Forums-Client Prozess startet. Dieser Komunizoert dann per Socket mit dem Forumsserver, so habe ich das verstanden. Aber eigentlich würde die Cluster-Software ja dann dafür sorgen dass diese Client-Prozesse ja entsprechend verteilt werden, das heißt dass sie auf anderen Nodes gestartet würden. Das heißt das Forum würde - wenn ich richtig liege - durchaus von dieser Architektur profitieren. eigentlich ist es sogar optimal für sowas ;-)
Selbst wenn man das täte wäre es immer noch möglich, die Klammotten auf mehrere Schultern zu laden.
Was ist denn mit dem Server-Prozess, da kann es ja nur einen geben, oder? Wobei das ja egal ist wenn der Cluster in der Lage wäre die Worker-Threads der Serversoftware auf anderen Nodes zu verteilen, oder?
Ich habe noch eine Frage, angenommen wir starten nur einen Server-Prozess für den Forumsserver, können die Client-Prozesse von den verschiedenen Clusterrechnern dann auch per Unix-Socket Domain drauf zugreifen?
Theoretisch ja. Aber warum sollten sie? Die Last wird vorher schon verteilt, alle Rechner haben die gleichen Datensätze, warum also Kommunikation?
Das heißt theoretisch sollte auf jeder Node ein Server-Prozess gestartet werden? Dazu muss die Server-Software aber mit mehrere Prozessen umgehen können, abgesehen davon dass die Cliuster Software in der Lage sein muss für "distrubutet shared memory" zu sorgen. Angenommen letzteres ist der Fall, wenn man davon ausgeht dass ein Forum immer aus nur einem Serverprozess besteht, wie soll es dann funktionieren auf allen Nodes je einen solchen Server-Prozess zu haben? Das funktioniert doch nicht, oder? Was passiert denn wenn ein Client ein Posting abschickt? Dann startet der Apache eine Client-Prozess, der dem Server-Prozess die Daten per Socket übergibt. Dieser speichert die Postings ja erstmal im RAM.
Ich verstehe nicht so recht wie sich der Server-Prozess jetzt verteilen lässt(also dass man parallel meherere Server-Prozesse mit gleichen DAten hat, obwohl die Software eigentlich nur für einen Prozess entwickelt ist). Im Prinzip müsste der Client den Request an jeden Server-prozess senden, oder macht das dann auch der Cluster? Irgendwie verstehe ich das nicht. Odere belibet wirklich alles beim alten, auf irgendeiner Node wurdde der Cleint-prozess gestartet der komuniziert mit dem Server per Unix Socket Domain, und die Cluster-Software sorgt dafür dass die anderen Prozessde auf den Anderen Nodes ebenfalls upgedatete werden? Nur - woher weiß die Software, ob ich schreibend auf den Server zugreife, so dass der Request an alle verteilt wird, und auf der andere Seite bei einem lesenden Anfrage, dass man die Daten direkt lokal aus dem Server-Prozess auf dem eigenen Rechner auslesen kann, also nichts übertragen werden muss?
Eigentlich ja nicht, oder? Aber auch wenn schon, das würde dann ja eh über TCP weitergeleitet, also kann man sich den Overhead auch sparen und in der Forums-Anwendung die Kommunikation direkt auf TCP umstellen, wenn ich CK richtig verstanden habe ist das jedenfalls möglich ;-)
Oder UDP, das gäbe noch weniger Overhead.
ja stimmt, aber dann muss man in die Anwendungen irgendeien Art von "Empfanmgskontrolle" einbauen, indem man eine Checksumme oder sowas mit zurücküberträgt.
Aber warum so kompliziert?
Ich dachte es geht nicht anders, s.o.
Ja, es ist durchaus möglich, das der Apache nicht out-of-the-box mitspielt. Sollten aber keine größeren chirurgischen Eingriffe nötig sein.
Ja? Willst Du Ihm mal eben abgewöhnen shared memory zu verwenden? ;-)
AFAIK brauchst Du mindestens 2 Prozesse, einmal den Steuerprozess, und mindestens einen der arbeitet. Und die verwenden wohl shared memory. Was willst Du dagegen machen?
Dann muss man aber bei jedem Schreibvorgang auf alle Platten gleichzeitig schreiben, und dazu noch alles über das Ethernet übertreagen, und zumindest Fast Ethernet ist noch deutlich langsamer als normaler Platten.
Aber vielleicht lohnt sich ja auch Gbit Ethernet, soweit ich weiß schafft ein normaler PCI-Bus mit 33 Mhz und 32Bit in der Praxis so um die 80 MB/sekunde, Fast Ethernet aber nur so um die 10. Also ist das schon eine deutliche Steigerung auch wenn man nicht ganz so viel ereicht wie mit schnelleren PCI Versionen, aber die sind viel zu teuer. Gbit Ethernet-Karten bekommt man dagegen schon unter 20 EUR.
Nur sind echte Gbit Ethernet Switches noch deutlich teuerer, bis 8 Ports finde ich noch ne Menge, aber darüber wirds sehr teuer. Naja, vermutlich braucht man es her nicht.
Eigentlich ein Mißverständnis meinerseits (Ich will schon eigentlich Daten und Anwendung getrennt halten, so ist das ja nicht ;-), aber bei näherer Betrachtung auch nicht schlecht, denn:
- Es wird selten geschrieben und wenn, nicht allzuviel.
Es werden zwar regelmäßig Postings abgesetzt, aber keine 100 Stück pro Sekunde o.ä. (Wäre mal statistisch aus den Logfiles zu ziehen, wie so die ganzen Spitzenwerte lauten). Die Dinger haben maximal rund 16 kib an Daten (Auch hier wieder: Durchschnitt aus den Logfiles)
Die Porsting werden ja zunächst nicht auf die Platte geschreiben, erst nach x Minuten dann alle zusammen, und ich meine mich zu erinnern das selbst dieses Schreiben dann schonmal für Verzögerungen sorgt, wenn man dagegen noch über Ethernet muss, dann wird dass sicher nicht besser, oder?
Dazu kommt dann noch die Archivierung nachts, die dann auch noch erheblich länger dauern würde, naja, vielleicht doch Gbit Ethernet? Wobei, sooo viele Daten fallen hier ja auch nicht an... ;-)
- Verzögerungen beim Spiegeln liegen im Sekundenbereich, das fällt dem Benutzer nicht auf.
Wenn das Posting beim sofortigem Reload der Forumsdatei nicht da ist, wird einfach neu reloaded. Das dauert alles ein paar Sekunden, bis dahin ist es gespiegelt. (Man könnte auch den Danke-Text dahingehend verändern, das es nicht mehr heißt "...ist jetzt im Forum lesbar" sondern "...ist in ein paar Sekunden im Forum lesbar") Auch hierüber sollten einige Angaben aus den Logfiles zu ziehen sein, wenn auch nicht mehr ganz so sauber, wie oben.
Apropos Logfiles, wie funktionieren denn dann Apache-Logs wenn die Prozesse Quer verteilt sind? Und der Apache loggt ja ständig, und das nicht wenig.
- für sauberen Clusterbetrieb ist eine getrennte Kommunikationsleitung nötig, darüber ginge dann auch der Abgleich.
Es gibt eh nur noch mindestens 100 MBit Netze, das sollte reichen.
Also braucht man 2 Netze?
| | Aber zumimndest bei mosix ist es wohl doch ein Problem mit dem RAM, bei normalen Prozessen und Threads ist das anscheinend kein Problem mehr, bei shared memory und pthreads wohl doch, und leider benutzen das viele gute Programme. Ich habe da irgendwo gelesen das das alles erst funktioniert wenn man auch verteiltes shared memory hinbekommt. Aber das ist noch nicht so weit.
Ist in Arbeit, erste Erfolge sind zu verzeichnen.
Naja, aber das ist ja dasselbe wie mit neuen Prozessoren udn Mainboards, wenn das so neu ist handelt man sich da sicher ne Menge Probleme ein...
Kennst Du denn Alternativen die das können? Und wenn das dann sowas noch unter FreeBSD laufen würde wäre das natürlich prima ;-)
Klar:
man gcc
xpdf 24547012.pdf
u.s.w.;->
Meinst Du selber auf FreeBSD portieren? Naja, in einem Posting habe ich gelesen dass das nicht ganz so einfach ist, da eben der FreeBSD Kernel etwas anders funktioniert.
Ja, da hast Du Recht, auch wenn das vermutlich am Ende dann nicht in Frage kommt, ich finde das Thema trotzdem höchst interessant ;-)
Nicht nur das: jetzt kannst Du bei nächster Gelgenheit bei so einem Thema lässig in's Archiv verweisen:"Das hatten wir doch erst letzthin, schau doch mal [link ... " ;-)
Wobei diese Frage ja doch nicht ganz so oft kommt wie "2 Frames gleichzeitig ändern..." ;-)
Grüße
Andreas
Hi,
Hm, nchmal ein kleinens Verständnisproblem:
Angenommen man könnte den Apachen tatsächlich verteilen, dann gibt es aber imer noch nur einen Prozes im gesamten Cluster, der die Anfragen verteilt, oder? Also es gibt ja immer den eien Steuerprozess der sich um eingehende Anfragen kümmert, und diese dann auf die anderen Rechner verteilt. Dieser Prozess liegt dann ja immer auf einer Node, also muss jeder HTTP-Request auch an diese Adresse, oder?
Also mal von Anfang an (Der Übersichtlichkeit wegen immer nur zwei Pfade, es kann aber durchaus mehr geben):
Der Forumsbesucher will die Hauptdatei laden und schickt einen HTTP GET an "forum.de.selfhtml.org/". Die Anfrage kommt nun an den Eingang von 213.139.94.131 (kleiner Hint am Rande: das ist server.teamone.de ;-). Dieser Eingang ist entweder die Maschine/der Cluster selber, oder ein Router. Wenn es die Maschine/der Cluster selber ist, ist da entweder Schluß, oder das ist die Maschine/der Cluster, die/der die Last verteilt. Ähnlich beim Router. Entweder ist da nur eine Firewall drin und fertig, oder die Logik zur Last- bzw. Applikationsverteilung.
Wenn letzteres sind da genügend Ausgänge(Ausgang muß nicht unbedingt gleich Netzkarte sein) vorhanden, um jeden einzelnen Rechner aus dem Cluster einzeln zu bedenken. Auf diesen Einzelrechnern ist dann jedesmal das Gleiche drauf. Synchronisation der Daten erledigt entweder die Clustersoftware oder die Datenhaltung ist extern und intelligent (sprich: eine normale transaktionssichere Datenbank).
Das größte Problem ist aber bei aller Verteilung die Bestimmung der Last.
Ein Programm könnte man noch beobachten, selbst wenn es RAM, I/O oder Rechenzeit überbeansprucht und auch noch alles auf einmal. Bei mehreren Dingern wird's sehr schnell sehr heftig, da ist man evt mehr mit Lastbestimmung beschäftigt, als mit allem anderem. Aber zumindest geht es; wenn auch nur recht grob, wenn es praktikabel sein soll.
Selbst wenn man das täte wäre es immer noch möglich, die Klammotten auf mehrere Schultern zu laden.
Was ist denn mit dem Server-Prozess, da kann es ja nur einen geben, oder?
Warum? Ist doch kein Windows! ;-)
Wobei das ja egal ist wenn der Cluster in der Lage wäre die Worker-Threads der Serversoftware auf anderen Nodes zu verteilen, oder?
Das wäre z.B. eine Möglichkeit.
Theoretisch ja. Aber warum sollten sie? Die Last wird vorher schon verteilt, alle Rechner haben die gleichen Datensätze, warum also Kommunikation?
Das heißt theoretisch sollte auf jeder Node ein Server-Prozess gestartet werden? Dazu muss die Server-Software aber mit mehrere Prozessen umgehen können, abgesehen davon dass die Cliuster Software in der Lage sein muss für "distrubutet shared memory" zu sorgen.
Es läßt sich einerseits umgehen (die shared memory Problematik) und andererseits ist es kein Problem. Du kannst in jedem ordentlichem OS nachlesen, wie sowas funktioniert: die Verwaltung mehrerer Prozesse auf einmal.
Angenommen letzteres ist der Fall, wenn man davon ausgeht dass ein Forum immer aus nur einem Serverprozess besteht, wie soll es dann funktionieren auf allen Nodes je einen solchen Server-Prozess zu haben?
Indem man einfach einen startet?
Das funktioniert doch nicht, oder? Was passiert denn wenn ein Client ein Posting abschickt? Dann startet der Apache eine Client-Prozess, der dem Server-Prozess die Daten per Socket übergibt. Dieser speichert die Postings ja erstmal im RAM.
Ja, wenn das so günstig ist, soll er das so machen. Ich halte das aber für etwas zu kompliziert.
Ich verstehe nicht so recht wie sich der Server-Prozess jetzt verteilen lässt(also dass man parallel meherere Server-Prozesse mit gleichen DAten hat, obwohl die Software eigentlich nur für einen Prozess entwickelt ist). Im Prinzip müsste der Client den Request an jeden Server-prozess senden, oder macht das dann auch der Cluster?
Nein, die Anfrage geht an einen Server, der gerade Zeit dafür hat.
Ist er damit fertig und haben sich Daten geändert, wird die Spiegelung angeworfen. Das kann man sogar recht einfach über ein Hook in write() basteln.
Irgendwie verstehe ich das nicht. Odere belibet wirklich alles beim alten, auf irgendeiner Node wurdde der Cleint-prozess gestartet der komuniziert mit dem Server per Unix Socket Domain, und die Cluster-Software sorgt dafür dass die anderen Prozessde auf den Anderen Nodes ebenfalls upgedatete werden? Nur - woher weiß die Software, ob ich schreibend auf den Server zugreife, so dass der Request an alle verteilt wird, und auf der andere Seite bei einem lesenden Anfrage, dass man die Daten direkt lokal aus dem Server-Prozess auf dem eigenen Rechner auslesen kann, also nichts übertragen werden muss?
Irgendwo ganz unten ist es nachher read() und write(), Hook darein und fettich. Da beide Funktionen in der LibC sind, brauchen die Anwendungen noch nicht einmal dafür geändert werden.
(Das ist "übersimplifiziert" ich weiß ;-)
Oder UDP, das gäbe noch weniger Overhead.
ja stimmt, aber dann muss man in die Anwendungen irgendeien Art von "Empfanmgskontrolle" einbauen, indem man eine Checksumme oder sowas mit zurücküberträgt.
Das ist dann aber schon _sehr_ detailiert, das läßt sich nur im Laufe des Codens beantworten, wie man das jetzt genau macht.
Ja, es ist durchaus möglich, das der Apache nicht out-of-the-box mitspielt. Sollten aber keine größeren chirurgischen Eingriffe nötig sein.
Ja? Willst Du Ihm mal eben abgewöhnen shared memory zu verwenden? ;-)
Wenn's Not tut?
Ich könnte sogar hingehen und ganz auf Apache verzichten, es gibt ja noch mehr HTTP-Server. (Das würde aber nur funktionieren, wenn man wirklich _nur_ die HTTP-Server Funktion des Apachen braucht. Meist braucht man aber noch einen ganzen Haufen mehr)
AFAIK brauchst Du mindestens 2 Prozesse, einmal den Steuerprozess, und mindestens einen der arbeitet. Und die verwenden wohl shared memory. Was willst Du dagegen machen?
Den Shared Memory auf den Haken nehmen?
Aber vielleicht lohnt sich ja auch Gbit Ethernet, soweit ich weiß schafft ein normaler PCI-Bus mit 33 Mhz und 32Bit in der Praxis so um die 80 MB/sekunde, Fast Ethernet aber nur so um die 10. Also ist das schon eine deutliche Steigerung auch wenn man nicht ganz so viel ereicht wie mit schnelleren PCI Versionen, aber die sind viel zu teuer. Gbit Ethernet-Karten bekommt man dagegen schon unter 20 EUR.
Bei den Preisen ließe sich das durchaus überlegen. Lange Kabel sind ja nicht vorhanden.
Nur sind echte Gbit Ethernet Switches noch deutlich teuerer, bis 8 Ports finde ich noch ne Menge, aber darüber wirds sehr teuer. Naja, vermutlich braucht man es her nicht.
8 würden ja auch reichen, 10 war nur, weil's 'ne runde Zahl ist ;-)
Die Porsting werden ja zunächst nicht auf die Platte geschreiben, erst nach x Minuten dann alle zusammen, und ich meine mich zu erinnern das selbst dieses Schreiben dann schonmal für Verzögerungen sorgt, wenn man dagegen noch über Ethernet muss, dann wird dass sicher nicht besser, oder?
Bottleneck ist das I/O mit der Platte selber, nicht das Anschmeißen des Schreibens.
Dazu kommt dann noch die Archivierung nachts, die dann auch noch erheblich länger dauern würde, naja, vielleicht doch Gbit Ethernet? Wobei, sooo viele Daten fallen hier ja auch nicht an... ;-)
Archivierung kann im Hintergrund laufen, die stört nicht. (Frage mich ernsthaft, warum die jetzt stören sollte?)
Apropos Logfiles, wie funktionieren denn dann Apache-Logs wenn die Prozesse Quer verteilt sind?
Genauso, wie vorher auch.
Und der Apache loggt ja ständig, und das nicht wenig.
Läßt sich einstellen.
- für sauberen Clusterbetrieb ist eine getrennte Kommunikationsleitung nötig, darüber ginge dann auch der Abgleich.
Es gibt eh nur noch mindestens 100 MBit Netze, das sollte reichen.Also braucht man 2 Netze?
Wäre zu empfehlen, aber nicht unbedingt zwingend.
[...] Ich habe da irgendwo gelesen das das alles erst funktioniert wenn man auch verteiltes shared memory hinbekommt. Aber das ist noch nicht so weit.
Ist in Arbeit, erste Erfolge sind zu verzeichnen.
Naja, aber das ist ja dasselbe wie mit neuen Prozessoren udn Mainboards, wenn das so neu ist handelt man sich da sicher ne Menge Probleme ein...
Ja, das ist korrekt. Wollte auch nur darauf hinweisen, das die Arbeit an dem Problem schon recht weit gediehen ist.
Kennst Du denn Alternativen die das können? Und wenn das dann sowas noch unter FreeBSD laufen würde wäre das natürlich prima ;-)
Klar:
man gcc
xpdf 24547012.pdf
u.s.w.;->
Meinst Du selber auf FreeBSD portieren?
Ne ne, selber machen! ;-)
(GCC ist der Compiler, aber das wußtest Du ja, 24547012.pdf ist die Dateibezeichnung von "I-32 Intel(R) Architecture Software Developer's Manual Volume 1: Basic Architecture")
Naja, in einem Posting habe ich gelesen dass das nicht ganz so einfach ist, da eben der FreeBSD Kernel etwas anders funktioniert.
Ach, ist doch alles das gleiche Gelumpe: kennst du eins, kennst du alle ;-)
so short
Christoph Zurnieden
Hallo!
Bevor ich das jetzt schreibe will ich nur eben klarstellen, dass ich hier nichts plane, sondern Überlegungen anstelle, nicht das das missverstanden wird ;-)
Nachdem ich mir jetzt wirklich so einiges zu Clustern durchgelesen habe, bin ich jetzt der Meinung das es mit mosix keinen Sinn macht aus den bekannten Gründeen, und eine gute Alternative die genau das kann was wir brauchen habe ich nicht gefunden. Also habe ich mir was anderes überlegt, und zwar dass man nicht so tief in Kernel und Programmcode eingreifen muss, sondern einfach bekannte Techniken wie Loadbalancing, rsync, NFS... verwendet. Hier meine Gedanken dazu:
Aufbau des Netzwerkes:
___
.-~" "~-.
/
Y Y
| www |
l !
\ /
"-.,___,.-"
|
|
+-------------+ öffentliche IP: 213.139.94.131
| NAT-Gateway |
+-------------+ interne IP: 192.168.0.1
/ / | \
/ / | \
/ / | \
/ / | \
/ / | \
/ / | \
+---+ +---+ +---+ +---+ +---+ Alle Rechner identisch:
| | | | | | | | | | FreeBSD, Apache, PostgreSQL, Forumsserver, rsync...
| 1 | | 2 | | 3 | | 4 | | 5 |
| | | | | | | | | |
+- -+ +---+ +---+ +---+ +---+ IPs: 192.168.0.2 - 192.168.0.6
Logischer Aufbau:
___
.-~" "~-.
/
Y Y
| www |
l !
\ /
"-.,___,.-"
|
|
+---+
| |
| 1 | Load-Balancer: Apache + mod_backhand
| |
+---+
/ |
/ |
/ |
/ |
/ |
/ |
+---+ +---+ +---+
| | | | | |
| 2 | | 3 | | 4 | Worker-Nodes: Apache, fo_view, fo_post...
| | | | | |
+- -+ +---+ +---+
\ | /
\ | /
\ | /
\ | /
\ | /
\ | /
+---+
| |
| 5 | Backend-Server: fo_server, PostgreSQL, NFS
| |
+---+
Auf allen Rechnern ist dasselbe installiert, und mit rsync wird dafür gesorgt dass alle denselben Datenbestand haben. Ziel ist es das jeder Rechner jeden "Job" machen kann, also bei Problemen für einen anderen einspringen kann.
Hierfür sind 2 spezielle Shell-Scripte zu entwickeln, die auf allen Rechern liegen. Das erste um aus der Worker-Node den Backend-Server zu machen, und das 2. um zum Load-Balancer zu werden.
Ich gehe mal von 5 Rechnern aus. Alle 5 Rechner bilden ein eigenes, privates LAN, die HTTP-Anfragen gehen ein NAT-Gateway, wobei, das ist glaube ich der falsche Ausdruck, zumindest sorgt dieses Gerät für Port-Forewarding, so dass Requests an 213.139.94.131:80 an Node 1 weitergeleitet werden. Auf diesem Rechner läuft Apache mit mod_backhand, womit die Anfragen an die Worker-Nodes übergeben werden(recht intelligenter, transparenter Proxy ;-)), und er kann auch selber Requests beantworten, die Verteilung erfolgt automatisch. Die Worker-Nodes bekommen dann also die HTTP-Requests und arbeiten die ab, dort laufen dann auch die Forums-Clients, die mit dem Forumsserver auf Node 5 per Socket kommunizieren. Selbiges gilt für Datenbankverbindungen.
Im Prinzip wird ja nur auf Node 5 was auf die Festplatte geschrieben. Auf den Worker-Nodes wird ein Netzwerklaufwerk von Node 5 gemountet. Hier werden alle Dateien gespeichert, die evtl, von irgendwelchen PHP/PERL... Scripten beschrieben werden.
Wenn man die Session-Dateien von PHP jetzt auch auf dem Netzwerklaufwerk speichert, kann man sogar ganz normal Sessions verwenden, ohne dass es was ausmacht wenn der nächste Request mit derselben SessionID auf einer ganz anderen Node landet.
Es werden ständig (also alle paar Minuten) die Daten auf allen Rechnern synchronisiert, also von Node 5 aus per rsync verteilt, wobei nur die Änderungen komprimiert auf alle anderen Nodes übertragen werden. Die Worker-Nodes überprüfen im Gegenzug den Status der beiden anderen Rechner - mit welcher Technik auch immer, am besten indem alle notwendigen Dienste überprüft werden. Fällt Node 1 oder Node 5 aus, merken das die Worker-Nodes, und einer davon führt das entsprechende Umwandlungs-Script aus, ändert seine eigene IP in die des ausgefallenen Rechners, und schon gehts weiter.
Mit Hilfe von rsync kann man auch dafür sorgen, dass Änderugen z.B. an der Forums-Software oder an HTML-Dateien auf alle Nodes überspielt werden. Man kann auch mehrere Backend-Server verwenden, wenn z.B. die mal die Suche auf PostgreSQL zugreift, wird das ja erheblich mehr belastet als heute. Dann legt man die halt auf einen eigenen Rechner. Hierzu müsste dann die IP in allen die DB verwendenden Programmen verändert werden, und diese Änderung per rsync verteilt werden.
Wenn man dann z.B. 8 von den genannten Pizza-Boxen als Worker-Nodes einsetzt, dazu eine etwas hochwertigere Maschine als Loadbalancer und den aktuellen Server als Backend-Server(ich finde es schon sinnvoll wenn dieser ein DUAL-System ist und ein SCSI-RAID verwendet weil hier alle drauf zugreifen), dann hat man IMHO ein durchaus leistungsfähiges System mit einer sehr hohen Verfügbarkeit, welches noch recht günstig ist, viel mehr als ein einziges leistungsfähiges DUAL-XEON System wird das nicht kosten. OK, wenn man sagt man würde auch etwas mehr ausgeben für 2 XEON Systeme, oder noch ne Ecke mehr für einen "richtigen" Server, dann bekommt man für das Geld dann 20 und mehr "Pizzaboxen" die parallel arbeiten. Ist aber auch mit etwas Arbeit verbunden ;-)
Gegenüber mosix hätte so eine Lösung einige Vorteile:
Der Load-Balancer, der ja im Prinzip als Proxy arbeitet, schafft erheblich mehr Requests pro Sekunde als zur Zeit auf dem Server anfallen, da ist noch sehr viel Luft, stellt also in absehbarer Zeit keinen Flachenhals dar. Man könnte noch ein 2. Netzwerk aufbauen, also eines für HTTP, und eines für den Rest, damit die HTTP-Kommunikation nicht unter einer evtl. etwas größeren "rsync-Orgie" leidet.
Gut, soweit meine Theorie ;-)
Was ist denn mit dem Server-Prozess, da kann es ja nur einen geben, oder? Warum? Ist doch kein Windows! ;-)
Ich meinte damit den Forumsserver-Prozess ;-) Aber Christian Seiler hat ja bereits gesagt dass CK da vielleicht doch noch was in der Hinterhand hat ;-)
Wobei das ja egal ist wenn der Cluster in der Lage wäre die Worker-Threads der Serversoftware auf anderen Nodes zu verteilen, oder? Das wäre z.B. eine Möglichkeit.
nur kann mosix das halt nicht.
Es läßt sich einerseits umgehen (die shared memory Problematik) und andererseits ist es kein Problem. Du kannst in jedem ordentlichem OS nachlesen, wie sowas funktioniert: die Verwaltung mehrerer Prozesse auf einmal.
Klar, aber wenn ein Serverprogramm, welches seine Daten im Ram hält, auf mehrere Prozesse verteilt werden soll, braucht man sowas wie shared memory, und eben das lässt sich ja nicht verteilen mit mosix.
Und ich kann mir nicht vorstellen das "distributet shared memory" besonders effektiv ist, gerade der Performance wegen liegen die Daten ja im RAM, und wenn dann andauernd bei RAM-Zugriffen Daten über das Netzwerk austgetauscht werden kann das doch nicht wirklich performant sein, oder?
Angenommen letzteres ist der Fall, wenn man davon ausgeht dass ein Forum immer aus nur einem Serverprozess besteht, wie soll es dann funktionieren auf allen Nodes je einen solchen Server-Prozess zu haben?
Indem man einfach einen startet?
Und wie synchronisierst Du die Daten in den verschiedenen RAMs?
Viele Grüße Andreas
Hi,
Bevor ich das jetzt schreibe will ich nur eben klarstellen, dass ich hier nichts plane, sondern Überlegungen anstelle, nicht das das missverstanden wird ;-)
Schade eigentlich, wir hatten hier alle gehofft, das Du zumindest planst, einen Scheck auszustellen ;-)
Nachdem ich mir jetzt wirklich so einiges zu Clustern durchgelesen habe, bin ich jetzt der Meinung das es mit mosix keinen Sinn macht aus den bekannten Gründeen,
War ja auch nur für Dich als Beispiel zum Lesen und Verstehen, wie sowas funktioniert. Das es für die Zwecke des Selfservers das falsche Werkzeug ist, hatte ich allerdings gleich am Anfang erwähnt, wenn ich micht ganz irre (zu faul, nachzublättern ;-).
und eine gute Alternative die genau das kann was wir brauchen habe ich nicht gefunden. Also habe ich mir was anderes überlegt, und zwar dass man nicht so tief in Kernel und Programmcode eingreifen muss, sondern einfach bekannte Techniken wie Loadbalancing, rsync, NFS... verwendet. Hier meine Gedanken dazu:
(rsync (alle rtools) und NFS sind sicherheitstechnisch bedenklich, das müßte dann wirklich über physikalisch getrennte Netze laufen, wäre also teurer und aufwendiger und weil aufwendiger auch nochmal sicherheitstechnisch bedenklich, also doppelt. Nicht so schön.)
Aufbau des Netzwerkes:
[www<->NAT<->viele gleiche Boxen]
Logischer Aufbau:
Internet-WWW
|
|
Load-Balancer: Apache + mod_backhand
|
|
Mehrere Worker-Nodes: Apache, fo_view, fo_post...
|
|
Backend-Server: fo_server, PostgreSQL, NFS
Auf allen Rechnern ist dasselbe installiert, und mit rsync wird dafür gesorgt dass alle denselben Datenbestand haben. Ziel ist es das jeder Rechner jeden "Job" machen kann, also bei Problemen für einen anderen einspringen kann.
Zum Thema rsync sihe oben ansonsten und bis hierhin: ja, sieht gut aus.
Hierfür sind 2 spezielle Shell-Scripte zu entwickeln, die auf allen Rechern liegen. Das erste um aus der Worker-Node den Backend-Server zu machen, und das 2. um zum Load-Balancer zu werden.
Jetzt wird's durcheinan...achso, ja.
Ich gehe mal von 5 Rechnern aus. Alle 5 Rechner bilden ein eigenes, privates LAN, die HTTP-Anfragen gehen ein NAT-Gateway, wobei, das ist glaube ich der falsche Ausdruck,
Nimm "Router", "Router" ist schön allgemein, das paßt in solchen Fällen immer ;-)
zumindest sorgt dieses Gerät für Port-Forewarding, so dass Requests an 213.139.94.131:80 an Node 1 weitergeleitet werden. Auf diesem Rechner läuft Apache mit mod_backhand, womit die Anfragen an die Worker-Nodes übergeben werden(recht intelligenter, transparenter Proxy ;-)), und er kann auch selber Requests beantworten, die Verteilung erfolgt automatisch. Die Worker-Nodes bekommen dann also die HTTP-Requests und arbeiten die ab, dort laufen dann auch die Forums-Clients, die mit dem Forumsserver auf Node 5 per Socket kommunizieren. Selbiges gilt für Datenbankverbindungen.
Im Prinzip wird ja nur auf Node 5 was auf die Festplatte geschrieben. Auf den Worker-Nodes wird ein Netzwerklaufwerk von Node 5 gemountet. Hier werden alle Dateien gespeichert, die evtl, von irgendwelchen PHP/PERL... Scripten beschrieben werden.
Du verteilst die Last also wie folgt:
1 Teil für die Kommunikation mit den HTTP-Clients
3 Teile für die Bearbeitung der Anfragen
1 Teil für Datenhaltung
Diese Art der Verteilung hätte ich aber gerne begründet. Immerhin ist das System recht komplex. Auch fehlt an einigen Stellen Redundanz. Das kann durchaus sinnvoll sein, kann ich aber im Augenblick nicht so ganz nachvollziehen. Insbesondere, wenn der Datenhaltungsnode ausfällt, müßte die ganze Maschien stoppen, da der Node, der die Funktion des Datenhaltungsnodes übernimmt, auch alle Daten spiegeln müßte. Das dauert nicht nur, es besteht auch die Gefahr, das die Kiste einen Totalausfall hat und keine Daten mehr weitergeben kann.
Es werden ständig (also alle paar Minuten) die Daten auf allen Rechnern synchronisiert, also von Node 5 aus per rsync verteilt,
Ah so macht er's also.
Das würde einerseits den evt Datenverlust auf dei Zeit zwischen den Synchronisationen reduzieren, andererseits wäre die Menge der Daten etwas höher, als wenn jedesmal "weltweit" geschrieben würde. Die etwas höhere Menge führt evt zu einem regelmäßigem "Schluckauf" des Clusters. Aber das sollte akzeptabel sein. Ob der Datenverlust akzeptabel ist, ist natürlich eine andere Frage, in 5 Minuten kann sich je nach Tageszeit schon allerhand ansammeln.
wobei nur die Änderungen komprimiert auf alle anderen Nodes übertragen werden.
Nur Änderungen zu übertragen erfordert übrigens auch einen Kontrollmechanismus, aber das nur am Rande (Wenn ständig synchron gespeichert wird, muß das natürlich auch passieren, aber es ist nicht ganz so aufwendig und es kann auch nicht ganz soviel passieren)
Da mehr als zwei Nodes beteiligt sind, kann das z.B. über regelmäßige Abstimmung über die MD5-Summen der Forumshauptdatei erfolgen (byzantinisches Protokoll)
Die Worker-Nodes überprüfen im Gegenzug den Status der beiden anderen Rechner - mit welcher Technik auch immer,
Ich befürchte, genau hier hängt der Hammer, das ist das größte Problem. Es gibt aber zumindest Heartbeat Lösungen, also zumindest die Frage ob das Dingen überhaupt noch am Leben ist, kann halbwegs sicher beantwortet werden.
[...]Hierzu müsste dann die IP in allen die DB verwendenden Programmen verändert werden, und diese Änderung per rsync verteilt werden.
Wenn Du die hardcodierten Pfade durch dynamische ersetztest, hättest Du dieses Problem nicht ;-)
Wenn man dann z.B. 8 von den genannten Pizza-Boxen als Worker-Nodes einsetzt, dazu eine etwas hochwertigere Maschine als Loadbalancer und den aktuellen Server als Backend-Server(ich finde es schon sinnvoll wenn dieser ein DUAL-System ist und ein SCSI-RAID verwendet weil hier alle drauf zugreifen), dann hat man IMHO ein durchaus leistungsfähiges System mit einer sehr hohen Verfügbarkeit, welches noch recht günstig ist, viel mehr als ein einziges leistungsfähiges DUAL-XEON System wird das nicht kosten. OK, wenn man sagt man würde auch etwas mehr ausgeben für 2 XEON Systeme, oder noch ne Ecke mehr für einen "richtigen" Server, dann bekommt man für das Geld dann 20 und mehr "Pizzaboxen" die parallel arbeiten.
Nun hats Du aber das Problem, das zwei Kisten mächtig viel Arbeit leisten. Einmal den HTTP-Server, der _alle_ Anfragen bearbeitet udn einmal die Datenhaltung, die _alle_ Datenhaltung unter sich hat. Fällt einer der beiden aus, müßte nach Denem Prinzip eine der Pizzaboxen diesen Part übernehmen. Hier oben sagts Du aber, das die beiden Maschinen deutlich kräftiger sein müssen. Da sehe ich einen gewissen Wiederspruch.
Der Load-Balancer, der ja im Prinzip als Proxy arbeitet, schafft erheblich mehr Requests pro Sekunde als zur Zeit auf dem Server anfallen, da ist noch sehr viel Luft, stellt also in absehbarer Zeit keinen Flachenhals dar. Man könnte noch ein 2. Netzwerk aufbauen, also eines für HTTP, und eines für den Rest, damit die HTTP-Kommunikation nicht unter einer evtl. etwas größeren "rsync-Orgie" leidet.
Dur brauchst eh ein zweites Netzwerk, schon aus Sicherheitsgründen. Bis auf den nötigen Switch läge das aber preislich im Rahmen. Der Transport würde auchnicht viel Rechnezeit beanspruchen, wäre also auch akzeptabel.
Wobei das ja egal ist wenn der Cluster in der Lage wäre die Worker-Threads der Serversoftware auf anderen Nodes zu verteilen, oder?
Das wäre z.B. eine Möglichkeit.nur kann mosix das halt nicht.
Dann ist das das falsche Werkzeug. Der Nächste bitte! ;-)
Und ich kann mir nicht vorstellen das "distributet shared memory" besonders effektiv ist, gerade der Performance wegen liegen die Daten ja im RAM, und wenn dann andauernd bei RAM-Zugriffen Daten über das Netzwerk austgetauscht werden kann das doch nicht wirklich performant sein, oder?
Nein, _besonders_ effektiv ist das nicht, aber vielleicht ist das _ausreichend_ effektiv? Das würde eine ziemliche statistische Rechnung ergeben, da weiß man vorher wirklich nicht, was am Ende tatsächlich rauskommt.
Angenommen letzteres ist der Fall, wenn man davon ausgeht dass ein Forum immer aus nur einem Serverprozess besteht, wie soll es dann funktionieren auf allen Nodes je einen solchen Server-Prozess zu haben?
Indem man einfach einen startet?
Und wie synchronisierst Du die Daten in den verschiedenen RAMs?
Ach, immer diese Detailbesessenen ;-)
Geht nicht gibt's nicht, aber "ist nicht sinnvoll" dagegen zu Hauf.
Es gibt einige beherzigenswerte Regeln im Geschäft, die wichtigste ist wohl KISS, "Keep it simple, stupid!". Wenn Du zwei Möglichkeiten hast, wobei eine einfach und schön, aber etwas langsam ist, die andere hingegen hochkomplex, dafür aber richtig flott: nimm die einfache und rüste den Rechner auf, ist billiger und schont die Nerven. Ausnahmen bestätigen auch hierbei nur die Regel.
Wenn ich diesen Grundsatz beherzige, habe ich folgende Konstellation:
WWW
|
Router
| | | ...
Nodes 1,2,3 ...
Der Router hat ein wenig Intelligenz eingebaut, die Nodes bilden mit eigenem Netzwerk eine Art Cluster.
Der Router übernimmt die Anfragen aus dem Netz und wirft damit um sich (Reihum, Round-Robin, was weiß ich, egal). Für jede Anfrage, die er an einen Node abgegeben hat, zählt er einen Zähler hoch. Dieser Zähler ist fest mit dem jeweiligem Node verknüpft. Für jede Antwort dekrementiert er diesen Zähler wieder. Erreicht der Zähler einen bestimmten Wert (T&E) ist dieser Node als ausgelastet zu betrachten. Übernimmte dieser Node auch nach einer bestimmten Zeit (T&E) keine Anfrage mehr, ist er als kaputt zu betrachten und fürderhin zu ignorieren. (Meldung an Sysadmin nicht zu vergessen! ;-). Außerdem ist der Maximalwert zu erhöhen. Wenn keiner der Nodes an den Router mehr etwas absetzen kann ist der Router als tot zu btrachten (Clustersoftware). Einen Ruf an den Sysadmin kann dabei wahrscheinlich nicht abgesetzt werden, allerdings ist so ein Ausfall auch von Außen festzustellen, die Masse an Beschwerden sollten also als Weckruf genügen ;-)
Das ist natürlich _sehr_ simpel und düfte in praxi wahrscheinlich nicht genügen, aber der Platz für ein Posting ist ja auch begrenzt ;-)
(Aus diesem Grunde habe ich auch erstmal das Problem der Datensynchronisation ausgeklammert, das würde für ein eigenes Posting reichen, das läßt sich leider nicht derart simplifizieren)
Aber so hast Du eine hohe Verfügbarkeit (solange der Router und mindestens ein Node noch laufen gibt es auch Antworten, die allerdings aber auch über Timeoutwert liegen könnten. Zumindest die Datenkonsistenz ist damit aber gesichert.) und hohe Rechenleistung.
Es werden in dieser Konstellation natürlich nirgendwo Maximalwerte erreicht, aber alle Werte würde ich blind als "ausreichend" bezeichnen.
so short
Christoph Zurnieden
Hi!
Schade eigentlich, wir hatten hier alle gehofft, das Du zumindest planst, einen Scheck auszustellen ;-)
OK, ich steuere die Netzwerkkabel bei ;-)
(rsync (alle rtools) und NFS sind sicherheitstechnisch bedenklich, das müßte dann wirklich über physikalisch getrennte Netze laufen, wäre also teurer und aufwendiger und weil aufwendiger auch nochmal sicherheitstechnisch bedenklich, also doppelt. Nicht so schön.)
Du hast selbst gesagt dass ein Cluster für die interne Kommunikation ein eigenes Netz verwenden sollte, also hör mir mit sowas auf ;-)
Zum Thema rsync siehe oben ansonsten und bis hierhin: ja, sieht gut aus.
Wieso ist rsync unsicher? Mit SSH und entsprechenden keys? Und wenn es noch in einem eigenen Netz ist, ist doch kein großes Problem, und ein 100Mbit Netzwerk für 10 Rechner kostet ja nicht die Welt. rsync würde ja sowieso nur innerhalb dieses kleinen LANs funktionieren, Anfragen von außen werden ja nicht weitergeroutet.
Du verteilst die Last also wie folgt: 1 Teil für die Kommunikation mit den HTTP-Clients 3 Teile für die Bearbeitung der Anfragen 1 Teil für Datenhaltung
naja, ich dachte eher an 8 oder 10 Rechner, wovon dann auch mehr als 1 Backend-Serverdienste übernehmen können.
Diese Art der Verteilung hätte ich aber gerne begründet.
OK. Aber dafür bin ich eigentlich nicht der richtige, dafür kenne ich mich mit der Lastverteilung der einzelnen Anwendungen hier nicht genug aus, aber ich will es mal nach bestem Wissen und Gewissen probieren: Was haben wir hier für Prozesse die Last erzeugen? Einen großen Teil der Last erzeigen die httpd Protzesse, siehe:
<iframe src="http://selfaktuell.teamone.de/sonst/mrtg/ps0.html" width="90%" height="90%">http://aktuell.de.selfhtml.org/sonst/mrtg/ps0.html</iframe>
der größte Teil davon sind Prozesse für reines HTML, also selfhtml, selfaktuell... Bei solchen Prozessen brauche ich keinen Backend-Server. Bedenke dass ich NFS nur verwenden will, wenn Apache-Prozesse(PHP) oder CGI-Scripte Dateien beschrieben wollen - wie oft passiert das hier? So gut wie nie. Im Moment wüsste ich nicht eine Stelle wo das passiert. Die fo_post Prozesse des Forums schreiben nicht auf eine Festplatte, sondern komunizieren mit dem fo_server über ein Socket. Mein Gedanke war es, alle Daten die sich nicht ständig ändern, auf die Worker-Nodes zu verteilen, so dass die Lokal auf der Platte liegen und so recht schnell beantwortet werden können. Und das kann man sogar noch weiter spinnen. Ich bin nicht so sicher wie das in Zukunft laufen soll, aber ich vermute dass es dabei bleibt dass Forums-Threads nur Nachts archiviert werden, und nicht in Echtzeit. Wenn man es auf die Spitze treiben wollte, könnte man dann auf jeder Worker-Node die Suche lokal betreiben, das heißt nach dem Archivieren werden die neuen Archivdaten auf die Nodes verteilt(das muss sowieso geschehen wegen den Fallback-Mechanismen), und die Worker-Nodes verwenden bei der Suche dann die lokale Datenbank! Nur ist ja gerade der Sinn einer Datenbank diese zentral zu halten, naja, nur so ein Gedanke ;-) Im übrigen gilt dasselbe für den Archiv-viewer, der könnte auch aotonom auf den einzelnen Nodes laufen, da die Daten ja nur einmal pro Nacht geändert werden. Aber ich glaube der soll über den Forumsserver laufen, naja, so ganz blicke ich noch nicht durch den Source des Forums durch ;-) Du hast geschrieben dass der Load-Balancer ein Bottelneck ist. Meinst Du wirklich? Ja, theoretisch sieht das so aus, aber praktisch, gucke Dir mal die Netzwerkauslastung an:
<iframe src="http://selfaktuell.teamone.de/sonst/mrtg/snmp0.html" width="90%" height="90%">http://aktuell.de.selfhtml.org/sonst/mrtg/snmp0.html</iframe>
Sooo viel ist das nicht, da kann ein so ein Rechner noch deutlich mehr vertragen. Und ja, der arbeitet auf HTTP Ebene und das kann da ganz anders aussehen, aber gucken wir uns auch das an: vom Webalizer nur mal die stark frequentierten Subdomains(August, Quelle:http://webalizer.teamone.de/):
Anfragen pro Stunde schnitt maximal selfhtml 15.280 45.133 selfforum 5.681 35.492 selfaktuell 4.200 12.698 Summe ca. 100.000 Request pro Stunde
Das sind ca. 30 Requests pro Sekunde. OK, das sagt jetzt noch wenig über Lastspitzen aus, aber bedenke dass es sich hierbei schon um am stärksten frequentiierte Stunde im ganzen Monat handelt, und das individuell für jede Subdomain, das muss also nicht zur gleichen Zeit gewesen sein. Aber gut, sagen wir es kommen mal 100 Requests pro Sekunde, und vielleicht kommt da in Zukunft ja noch was dazu vielleicht sind es dann mal ab und an 200 pro Sekunde. Naja, aber das ist doch keine Zahl die einen rein als Proxy arbeitenden Apachen schrecken kann kann, oder? Bedenke dass der Apache überhaupt rein gar nichts mit der Bearbeitung der Requests zu tun hat(keine Plattenzugriffe, kein CGI...), gut, das Verteilen der Request kostet auch Leistung, aber dafür macht mod_backhand das IMO durchaus sehr intelligent:
Was ich jetzt nicht bedacht habe, ist das wir hier ja meines Wissens einen Squit einsetzen, naja, mit dem kenne ich mich nicht aus und ich weiß im Augenblick nicht wie man den da einbauen könnte, aber ich glaube der kann auch sowas in Richtung Load-Balancing, bin aber nicht sicher. Oder vielleicht eher anders herum, man behält Apache mit mod_backhand als Load-Balancer, und verwendet einen Squit-Cache auf jeder Working-Node, naja.
Immerhin ist das System recht komplex. Auch fehlt an einigen Stellen Redundanz.
wo? Für jede Maschine die keine Worker-Node ist muss es ein Script geben, welches aus einer Worker-Node einen eben solchen Server macht. Halt indem Konfigurationen geändert werden, Dienste beendet bzw. gestartet, crontab geändert usw.
Insbesondere, wenn der Datenhaltungsnode ausfällt, müßte die ganze Maschien stoppen, da der Node, der die Funktion des Datenhaltungsnodes übernimmt, auch alle Daten spiegeln müßte.
Die "Datenhaltungsnode" hält nur ganz, ganz weniger Daten. Eben die die öfter als einmal in der Nacht verändert werden. Und diese Daten brauchen die Clients zum größten Teil nicht für Ihren Betrieb, sondern erst wenn Sie selbst zur Datenhaltungsnode werden sollen. Deshalb werden die Daten regelmäßig verteilt. Wenn jetzt die Datebhaltungsnode ausfällt, dann würde alles einfach weiterlaufen, da die worker-nodes die meisten Daten lokal haben(HTML...). ein Beispiel für schreibende Daten wäre z.B. eine PHP-Session, die die Session-Daten in einer Datei speichert, oder eben solche Dinge, aber wird sowas hier bisher kaum eingesetzt, ich habe es nur erwähnt da es in Zukunft vielleicht mal verwendet werden könnte. Und selbst dann hat die Worker-Node ja höchstens 5 Minuten alte Session-Daten(kann man ja auch öfter synchronisieren, oder direkt beim schreiben). Andere wichtige zentrale Daten sind ja die aktuellen Threads aus dem Forum. Aber wenn der Rechner mit dem Forumsserver abschmiert, dann geht soweiso was verloren da nur periodisch Daten aus dem Ram auf die Platte geschrieben werden. Und das müsste man dann halt bei jedem Schreibvorgang direkt im Cluster verteilen. Wenn die Maschine Forumsserver kaputt geht, hat das bei meiner Lösung im Prinzip nach außen hin denselben Effekt als würde der fo_server Prozess einfach abstürzen und ein paar Sekunden später automatisch neu gestartet werden.
Es werden ständig (also alle paar Minuten) die Daten auf allen Rechnern synchronisiert, also von Node 5 aus per rsync verteilt, Das würde einerseits den evt Datenverlust auf dei Zeit zwischen den Synchronisationen reduzieren, andererseits wäre die Menge der Daten etwas höher, als wenn jedesmal "weltweit" geschrieben würde. Die etwas höhere Menge führt evt zu einem regelmäßigem "Schluckauf" des Clusters. Aber das sollte akzeptabel sein. Ob der Datenverlust akzeptabel ist, ist natürlich eine andere Frage, in 5 Minuten kann sich je nach Tageszeit schon allerhand ansammeln.
Was denn? Wie gesagt, Postings stehen auch erstmal nur im Ram!
Die Worker-Nodes überprüfen im Gegenzug den Status der beiden anderen Rechner - mit welcher Technik auch immer, Ich befürchte, genau hier hängt der Hammer, das ist das größte Problem. Es gibt aber zumindest Heartbeat Lösungen, also zumindest die Frage ob das Dingen überhaupt noch am Leben ist, kann halbwegs sicher beantwortet werden.
Wo ist das Problem? Wenn ich wissen will ob ein Webserver noch läuft, schicke ich dem z.B: einen HEAD-Request auf den der mir dann einen 304-Response schicken sollte, das kostet am wenigsten Performance, und sagt mir recht klar ob der noch läuft, und wie lange der Request dauert. vergleichbares geht sowohl mit PostgreSQL als auch dem Forumsserver. Also wo ist das Problem? Am besten man schreibt ein kleines C-Progamm welches das macht.
[...]Hierzu müsste dann die IP in allen die DB verwendenden Programmen verändert werden, und diese Änderung per rsync verteilt werden. Wenn Du die hardcodierten Pfade durch dynamische ersetztest, hättest Du dieses Problem nicht ;-)
Das verstehe ich nicht. Wenn ich ein Port-Forewarding einrichte, dann muss ich die Requests auf eine bestimmte IP weiterleiten, genauso wenn ich auf einen Datenbank-Server zugreife muss ich in allen Anwendungen eine feste IP verwenden. Wenn der jetzt ausfällt muss jemand anderes diese IP annehmen, oder ich muss die IPs in allen Anwendungen ändern.
Nun hats Du aber das Problem, das zwei Kisten mächtig viel Arbeit leisten. Einmal den HTTP-Server, der alle Anfragen bearbeitet
Was den aber doch nicht vor größere Probleme stellen sollte, oder? Also ich habe einige benchmarks mit mod_backhand angesehen, z.B. war da einer der hat mit einem PIII 700 mit 128MB RAM 500 Requests pro Sekunde geschafft. Ich weiß jetzt nicht genau, aber es gibt glaube ich sogar noch die Möglichkeit die Anfragen vorbei am Proxy zurückzuschicken, naja. Außerdem schafft das der aktuelle Server ja auch, obwohl darauf alles andere noch nebenher läuft!
und einmal die Datenhaltung, die alle Datenhaltung unter sich hat.
Nein, das iust nur ein ganz, ganz kleiner Teil der Daten der global gehalten werden muss, s.o.
Fällt einer der beiden aus, müßte nach Denem Prinzip eine der Pizzaboxen diesen Part übernehmen. Hier oben sagts Du aber, das die beiden Maschinen deutlich kräftiger sein müssen. Da sehe ich einen gewissen Wiederspruch.
Ich meinte weniger "viel kräftiger", sondern eher "viel zuverlässiger", also hier nicht gerade den allerbilligsten Ramsch nehmen. Von der Leistung her kann das eine 2Ghz Pizzabox mit Sicherheit, sogar recht entspannt, naja, im Prinzip muss es nichtmal ein anderer Rechner sein, ich dachte nur weil das dann Ausfälle wären, die etwas unangenemer sind. Auf der anderen Seite dürfte der Job in wenigen Sekunden umgestellt sein. Beim Load-Balancer hieße dass dann halt ein paar Sekunden nicht erreichbar, beim Dateiserver könnten wenige Daten verloren gehen, wobei es bisher noch keine Anwendung gibt wo wirklich solche wichtigen Daten verloren gehen könnten. Beim Forumsserver heißt das, dass die Daten noch ein paar Sekunden(wenn überhaupt im Sekundenbereich, so viele Daten sind das nicht) länger nicht gesichert sind, also so lange bis sie verteilt sind. Das Datenverlustrisiko würde sich also nur marginal erhöhen. Vielleicht kann man den Forumsserver ja auch auf 2 Maschinen parallel beteiben, wenn das geht, dann müssten schon beide Machinen ausfallen.
KISS, "Keep it simple, stupid!" Wenn ich diesen Grundsatz beherzige, habe ich folgende Konstellation:
WWW | Router | | | Nodes 1,2,3
Die Sache ist nur die, was kostet so ein Router der so Mechanismen kennt die Anfragen zu verteilen? Ich finde da nur richtig teure Teile, die mehr kosten also die 10 Pizzaboxen zusammen. Sicher wäre das besser, weil man den potentiell problematischen billig-Loadbalancer loswird. Nur hat die Verwendung von festen Servern den Vorteil, dass die heute verwendete Software im Prinzip weiterverwendet werden kann. Das ginge bei keiner Lösung vergleichbar zu mosix.
Grüße Andreas
Hallo!
In meinem Mozilla werde die Iframes nicht ganz richtig angezeigt, ohne my-Ansicht funktioniert es etwas besser: [pref:t=57634&m=329555]
und da ist nch das "br />" nach den iframes, was da glaube ich nicht hingehört, in der Vorschau jedenfalls sah es gut aus.
Grüße
Andras
PS: schreibe später noch nen bug-report
Hi,
Schade eigentlich, wir hatten hier alle gehofft, das Du zumindest planst, einen Scheck auszustellen ;-)
OK, ich steuere die Netzwerkkabel bei ;-)
Vorsicht, Du könntest beim Wort genommen werden! ;-)
(Es gibt qualitative und damit auch preisliche Unterschiede bei den nötigen Kabeln. Eine komplette Verkabelung kann durchaus mehr als 100 EUR kosten! Aber gut, soviel ist das auch nicht ;-)
(rsync (alle rtools) und NFS sind sicherheitstechnisch bedenklich, [...]
Du hast selbst gesagt dass ein Cluster für die interne Kommunikation ein eigenes Netz verwenden sollte, also hör mir mit sowas auf ;-)
rsynch bräuchte ien _physikalisch_ getrenntes Netz, das ist bei ausreichender Durchsatzmöglichkeit ormalerweise nicht nötig, wäre halt nur schön.
Wieso ist rsync unsicher? Mit SSH und entsprechenden keys? [...]
Du kennst den Overhead von Verschlüsselung? Und damit meine ich nicht nur die extra Bandbreite (die schon bei 100 MBit und bei dem Bedarf nicht mehr weiter auffällt) sondern vor allem dei nötige Rechneleistung, die kann man nicht mehr so ohne weiteres ignorieren. Auch wird es dann recht komplex und damit fehleranfällig.
Aber vielleicht bin ich auch nur zusehr von meiner Paranoia besessen, die mir sagt: Alles was man nicht verschlüsseln muß, weil es einfach nicht da ist, ist ein Sorge weniger ;-)
rsync würde ja sowieso nur innerhalb dieses kleinen LANs funktionieren, Anfragen von außen werden ja nicht weitergeroutet.
Das Gefährdungspotential ist zu groß, darf man sich nicht drauf verlassen.
Du verteilst die Last also wie folgt:
1 Teil für die Kommunikation mit den HTTP-Clients
3 Teile für die Bearbeitung der Anfragen
1 Teil für Datenhaltung
naja, ich dachte eher an 8 oder 10 Rechner, wovon dann auch mehr als 1 Backend-Serverdienste übernehmen können.
Teil != Box.
Diese Art der Verteilung hätte ich aber gerne begründet.
OK. Aber dafür bin ich eigentlich nicht der richtige, dafür kenne ich mich mit der Lastverteilung der einzelnen Anwendungen hier nicht genug aus, aber ich will es mal nach bestem Wissen und Gewissen probieren:
Wenn Du Dich nicht damit auskennst, warum hast Du dann diese Lösung gewählt? Die hast Du doch nicht aus dem losen Ärmel geschüttelt, oder? ;-)
Was haben wir hier für Prozesse die Last erzeugen?
Einen großen Teil der Last erzeigen die httpd Protzesse, siehe:
(Ach, das mit den Iframes funtkioniert tatsächlich? Nie vorher ausprobiert. Kompliment an Christian! Funktioniert hier (Konqueror 3.2.1) übrigens, warum Mozilla mäkelt ist schwer nachzuvollziehen)
der größte Teil davon sind Prozesse für reines HTML, also selfhtml, selfaktuell
[...]
Das der größte Teil read-only Operationen sind, war schon klar (ich hätte den Anteil übrigens für größer gehalten, wie kommt's?) nicht umsonst ist da ein Cache zwischengeschaltet.
Aber ich verstehe immer noch nicht so gaz, warum Du in Details optimierst und dabei eine hochkomplexe Umgebung schaffst. Das rentiert sich doch nicht.
Im übrigen gilt dasselbe für den Archiv-viewer,[...]
Entweder trennst Du alle Applikationen, oder faßt alle zusammen. Ein Mischmasch ist nicht gesund. Ist ein wenig zu allgemein, da einige Programme zu sehr zusammengehören, die sollte man dann natürlich als Einheit auffassen. Aber auch so sparsam wie möglich.
Du hast geschrieben dass der Load-Balancer ein Bottelneck ist. Meinst Du wirklich? Ja, theoretisch sieht das so aus, aber praktisch, gucke Dir mal die Netzwerkauslastung an:
Das die Netzauslastung niedrig ist, heißt nicht, des der Loadbalancer kein Bottleneck ist. Der ist eben einer und die andere Seite sind viele. Ob er sch auch so auswirkt ist natürlich eine andere Frage. Davon unbeleckt bleibt aber auch natürlich der Ausfall.
[...] Aber gut, sagen wir es kommen mal 100 Requests pro Sekunde, und vielleicht kommt da in Zukunft ja noch was dazu vielleicht sind es dann mal ab und an 200 pro Sekunde.
Ich bezweifele nicht, das es zu schaffen ist.
Aber jetzt habe ich auch den Faden verloren: was wolltest Du mir damit sagen?
Was ich jetzt nicht bedacht habe, ist das wir hier ja meines Wissens einen Squit einsetzen[...]
Was hindert und hakt und nicht wirklich essentiell ist fliegt gnadenlos raus ;-)
Immerhin ist das System recht komplex. Auch fehlt an einigen Stellen Redundanz.
wo? Für jede Maschine die keine Worker-Node ist muss es ein Script geben, welches aus einer Worker-Node einen eben solchen Server macht. Halt indem Konfigurationen geändert werden, Dienste beendet bzw. gestartet, crontab geändert usw.
Das dauert. Was passiert in der Zwischenzeit? Steht alles?
Auch sind für so tiefgreifende Funktionen wahrscheinlich root-Rechte nötig, das ist sicherheitstechnisch nicht akzeptabel.
Was passiert überhaupt bei einem Fehler bei dem Vorgang? Wie möchtest Du den abfangen?
Die "Datenhaltungsnode" hält nur ganz, ganz weniger Daten. Eben die die öfter als einmal in der Nacht verändert werden. Und diese Daten brauchen die Clients zum größten Teil nicht für Ihren Betrieb, sondern erst wenn Sie selbst zur Datenhaltungsnode werden sollen. Deshalb werden die Daten regelmäßig verteilt.
Wenn es eh so wenig Daten sind, diese selten gebraucht und alle regelmäßig verteilt werden, wofür dann überhaupt einen Datenhaltungsnode?
Wenn jetzt die Datebhaltungsnode ausfällt, dann würde alles einfach weiterlaufen, da die worker-nodes die meisten Daten lokal haben(HTML...). ein Beispiel für schreibende Daten wäre z.B. eine PHP-Session, die die Session-Daten in einer Datei speichert, oder eben solche Dinge, aber wird sowas hier bisher kaum eingesetzt, ich habe es nur erwähnt da es in Zukunft vielleicht mal verwendet werden könnte.
Das ist eher unwahrscheinlich. PHP hat nicht genügend Vorzüge um als passendes Werkzeug für unseren Zweck angesehen werden zu können. Außerdem stehen evt noch Lizenzprobleme dagegen. (Die PHP-Lizenz, auch die Neue, ist seit Version 4 nicht mehr kompatibel zur GPL)
Und selbst dann hat die Worker-Node ja höchstens 5 Minuten alte Session-Daten(kann man ja auch öfter synchronisieren, oder direkt beim schreiben).
Bei Sessiondaten können selbst 5 Minuten zuviel sein ;-)
Andere wichtige zentrale Daten sind ja die aktuellen Threads aus dem Forum. Aber wenn der Rechner mit dem Forumsserver abschmiert, dann geht soweiso was verloren da nur periodisch Daten aus dem Ram auf die Platte geschrieben werden.
Ja, und genau dagegen muß etwas getan werden, das darf nicht mehr passieren.
Das fällt nämlich am meisten auf ;-)
Und das müsste man dann halt bei jedem Schreibvorgang direkt im Cluster verteilen. Wenn die Maschine Forumsserver kaputt geht, hat das bei meiner Lösung im Prinzip nach außen hin denselben Effekt als würde der fo_server Prozess einfach abstürzen und ein paar Sekunden später automatisch neu gestartet werden.
Mit oder ohne Datenverlust?
Es werden ständig (also alle paar Minuten) die Daten auf allen Rechnern synchronisiert, also von Node 5 aus per rsync verteilt,
[...]Ob der Datenverlust akzeptabel ist, ist natürlich eine andere Frage, in 5 Minuten kann sich je nach Tageszeit schon allerhand ansammeln.
Was denn? Wie gesagt, Postings stehen auch erstmal nur im Ram!
Wenn sie in mindestens 2 RAMs stünden, wäre die Gefahr des Verlustes geringer.
Auch ließe sich das ändern, wenn alle Postings direkt auf Platte geschrieben würden. Das ist jetzt mehr oder weniger nur im RAM, weil der derzeit völlig unterdimensionierte Server damit nicht klarkommen würde. Mit ausreichend Schmackes in der Box wäre das kein Hinderungsgrund mehr.
Ich befürchte, genau hier hängt der Hammer, das ist das größte Problem. Es gibt aber zumindest Heartbeat Lösungen, also zumindest die Frage ob das Dingen überhaupt noch am Leben ist, kann halbwegs sicher beantwortet werden.
Wo ist das Problem? [...]
Das Problem ist, das wir hier über statusfreie Protokolle reden. Die kannst Du nur Brute Force (hier: Timeout) auf Funktion überprüfen. Auch bekommst Du dann nur raus, ob der Server überhaupt noch läuft, das geht über dei Heartbeatfunktionen besser. Auch müßtest Du die Priorität der HEAD Anfragen hochschrauben, die ist nämlich meist im Keller um DoS zu reduzieren. Sicherheitstechnisch nicht so gelungen. Der Selfserver hat eh schon genügend Probleme in dem Bereich, mußt nicht auch noch einen draufsetzen.
Das verstehe ich nicht. Wenn ich ein Port-Forewarding einrichte, dann muss ich die Requests auf eine bestimmte IP weiterleiten, genauso wenn ich auf einen Datenbank-Server zugreife muss ich in allen Anwendungen eine feste IP verwenden. Wenn der jetzt ausfällt muss jemand anderes diese IP annehmen, oder ich muss die IPs in allen Anwendungen ändern.
Oder ich frage jemanden, der sich damit auskennt. Das ist zwar ein geringfügiger Overhead, aber IPs in Skripten, Datenbanken o.ä. on-the-fly zu ändern ist gefährlich in vielerlei Hinsicht. Keine empfohlene Vorgehensweise.
[...]
[...]Von der Leistung her kann das eine 2Ghz Pizzabox mit Sicherheit, sogar recht entspannt, naja, im Prinzip muss es nichtmal ein anderer Rechner sein, ich dachte nur weil das dann Ausfälle wären, die etwas unangenemer sind.
Wenn Ausfälle unangenehm werden, muß für Zuverlässigkeit georgt werden, ja, das ist korrekt. Allerdings kann das auch durch redundante Auslegung erfolgen. Ist in unserem Fall billiger.
Kleine Anektdote am Rande: In einem Posting weiter oben (kein Link, mit Absicht) wurde doch glatt die Verfügbarkeit von Boxen wie folgt berechnet:
Wenn eine Box 90% Zuverlässigkeit hat, dann haben zwei Boxen von 90% Zuverlässigkeit nur noch 90% * 90% = 81% Zuverlässigkeit. Wer bringt den Leuten heutzutage eigentlich Wahrscheinlichkeitsrechnung bei? ;-\
Auf der anderen Seite dürfte der Job in wenigen Sekunden umgestellt sein.
Du müßtest relativ viel umbauen, das könnte schon eine Minute dauern. Aber gut, so viel ist das nicht, der Fall dürfte ja auch nicht regelmäßig eintreten.
Beim Load-Balancer hieße dass dann halt ein paar Sekunden nicht erreichbar, beim Dateiserver könnten wenige Daten verloren gehen, wobei es bisher noch keine Anwendung gibt wo wirklich solche wichtigen Daten verloren gehen könnten.
Wirkich _lebenswichitg_ sind natürlich keine der Daten, aber auch eine Reputation ist etwas wert!
KISS, "Keep it simple, stupid!"
Wenn ich diesen Grundsatz beherzige, habe ich folgende Konstellation:WWW
|
Router
| | |
Nodes 1,2,3Die Sache ist nur die, was kostet so ein Router der so Mechanismen kennt die Anfragen zu verteilen? Ich finde da nur richtig teure Teile, die mehr kosten also die 10 Pizzaboxen zusammen.
Nein, ich meinte - wie eigentlich etwas früher schon beschrieben? - keinen Router, wie er als Rubrik im Handel zu finden ist, sondern das logische Gerät. Es muß noch nicht einmal ein einzelnes Gerät sein, ja es ist noch nicht einmal nötig, das das überhaupt ein physikalisches Gerät ist, denn sogar die Clustersoftware könnte den Part übernehmen (Dann wird's allerdings kompliziert ;-)
Sicher wäre das besser, weil man den potentiell problematischen billig-Loadbalancer loswird.
"Billig" nicht unbedingt ;-)
Nur hat die Verwendung von festen Servern den Vorteil, dass die heute verwendete Software im Prinzip weiterverwendet werden kann. Das ginge bei keiner Lösung vergleichbar zu mosix.
Jetzt häng Dich doch nicht so an MOSIX fest!
Da hab' ich ja was gesagt *sigh* ;-)
Au Mann, jetzt war's sogar "etwas zuviel", hoffe habe nicht zuviel geripped.
so short
Christoph Zurnieden
Hallo!
Vorsicht, Du könntest beim Wort genommen werden! ;-)
(Es gibt qualitative und damit auch preisliche Unterschiede bei den nötigen Kabeln. Eine komplette Verkabelung kann durchaus mehr als 100 EUR kosten! Aber gut, soviel ist das auch nicht ;-)
Na, bevor es an den Kabeln scheitert... :)
Wieso ist rsync unsicher? Mit SSH und entsprechenden keys? [...]
Du kennst den Overhead von Verschlüsselung? Und damit meine ich nicht nur die extra Bandbreite (die schon bei 100 MBit und bei dem Bedarf nicht mehr weiter auffällt) sondern vor allem dei nötige Rechneleistung, die kann man nicht mehr so ohne weiteres ignorieren. Auch wird es dann recht komplex und damit fehleranfällig.
Das stimmt auch wieder. Aber in einem physikalisch getrenneten Netz ist das ja nicht das Problem, oder?
rsync würde ja sowieso nur innerhalb dieses kleinen LANs funktionieren, Anfragen von außen werden ja nicht weitergeroutet.
Das Gefährdungspotential ist zu groß, darf man sich nicht drauf verlassen.
Ja, das hatten wir irgendwo schonmal ;-)
Ich habe letztens Geschmack an nmap gefunden, nettes tool, damit habe ich gerade mal mein Netzwerk zu Hause hinter nem DSL-Router gescannt, und - frag mich nicht wieso - aber das Teil hat tatsächlich offene Ports hinter dem Router gefunden, obwohl die nicht von außen per port forewarding weitergeleitet werden, hat die dann als "filtered" markiert. Naja, und wenn das schon geht...
naja, ich dachte eher an 8 oder 10 Rechner, wovon dann auch mehr als 1 Backend-Serverdienste übernehmen können.
Teil != Box.
Aber meine "Teile" bezogen sich auch in keinster Weise auf ein Verhältnis, nur wäre das in der Praxis vermutlich tatsächlich irgendwo in dem Bereich wie Du es beschreibst.
Wenn Du Dich nicht damit auskennst, warum hast Du dann diese Lösung gewählt? Die hast Du doch nicht aus dem losen Ärmel geschüttelt, oder? ;-)
Es interessiert mich halt, kann gut sein dass Olli, CK oder wer auch immer das ganze aus einem etwas anderen Blickwinkel sehen ;-)
| | der größte Teil davon sind Prozesse für reines HTML, also selfhtml, selfaktuell
[...]
Das der größte Teil read-only Operationen sind, war schon klar (ich hätte den Anteil übrigens für größer gehalten, wie kommt's?)
Ja, das hat mich jetzt allerdings auch sehr gewundert dass das Forum so viele Requests hat wie selfhml.
nicht umsonst ist da ein Cache zwischengeschaltet.
Vielleicht liegt es daran? Vielleicht stehen nur die tatsächlch beim Apache landenden Requests im Webalizer? Wobei ich mich eigentlich glaube zu erinnern dass das die Logs des Caches sind, naja.
Aber ich verstehe immer noch nicht so gaz, warum Du in Details optimierst und dabei eine hochkomplexe Umgebung schaffst. Das rentiert sich doch nicht.
Ja, nachdem Du das ganze doch etwas auseinander genommen hast, macht es wohl doch nicht so viel Sinn. Ich dachte halt dass man am einfachsten eine Sttruktur aufbaut die möglichst nicht in die Applikationen selbst eingreifen muss.
Im übrigen gilt dasselbe für den Archiv-viewer,[...]
Entweder trennst Du alle Applikationen, oder faßt alle zusammen. Ein Mischmasch ist nicht gesund. Ist ein wenig zu allgemein, da einige Programme zu sehr zusammengehören, die sollte man dann natürlich als Einheit auffassen. Aber auch so sparsam wie möglich.
Hm, wenn Du das sagst, ich dachte halt dass man den Overrhead durch Netzwerk-Traffic für den Live-Betrieb so gering wie möglich halten sollte, wenn die Daten für eine mögliche Übernahme eines Dienstes doch eh auf der Platte liegen müssen, fand ich es ein bisschen schade drum dieselben diese Daten dann über das Netzwerk abzufragen.
[...] Aber gut, sagen wir es kommen mal 100 Requests pro Sekunde, und vielleicht kommt da in Zukunft ja noch was dazu vielleicht sind es dann mal ab und an 200 pro Sekunde.
Ich bezweifele nicht, das es zu schaffen ist.
Aber jetzt habe ich auch den Faden verloren: was wolltest Du mir damit sagen?
Du hast gesagt der Loadbalancer sei ein Bottelneck, und ich meine dagegen dass diese Last auch für eine Billigrechner kein Problem darstellt. BEdenke was der aktuelle Server noch so nebenher alles macht, und der Load-Balancer muss die Requests ja nur verteilen, nicht abarbeiten.
Für jede Maschine die keine Worker-Node ist muss es ein Script geben, welches aus einer Worker-Node einen eben solchen Server macht. Halt indem Konfigurationen geändert werden, Dienste beendet bzw. gestartet, crontab geändert usw.
Das dauert. Was passiert in der Zwischenzeit? Steht alles?
Auch sind für so tiefgreifende Funktionen wahrscheinlich root-Rechte nötig, das ist sicherheitstechnisch nicht akzeptabel.
Ah ja, das ist natürlich wahr. Hm, und nun? Alles Quatsch gewesen?
Was passiert überhaupt bei einem Fehler bei dem Vorgang? Wie möchtest Du den abfangen?
Ja, das wird langsam immer komplexer ;-)
Am Ende wird das noch zu einem Mosix2 ;-)
Wenn es eh so wenig Daten sind, diese selten gebraucht und alle regelmäßig verteilt werden, wofür dann überhaupt einen Datenhaltungsnode?
Das sollte ja kein eigener Rechner sein, das könnte ein anderer (z.B. Forumsserver) ja nebenher machen. Der Sinn ist halt, dass man in CGI-Programmen Daten beschreiben, kann, ohne ginge das nzr durch sntsprechende Sessions durch den Load-Balancer, um die auf einen Request folgenden Request an dieselbe Node zu dirigieren.
Und wenn die Daten nicht nur für einen Besuch gespeichert werden, dann müssen geschreibene Daten auch auif alle Nodes üvbertragen werden, und da dachte ich mir, für die paar Daten sei NFS doch die einfachere Lösung.
[vielleicht wird ja mal PHP eingeetzt]
Das ist eher unwahrscheinlich. PHP hat nicht genügend Vorzüge um als passendes Werkzeug für unseren Zweck angesehen werden zu können.
Doch, es gibt viele Leute die ein Ziel mit PHP schneller erreichen als mit PERL, ich zum Beispeil eben weil ich mit PHP gelernt habe. Heute nervt mich das, aber für einfache Aufgaben im Web-Umfeld ist PHP ideal.
Außerdem stehen evt noch Lizenzprobleme dagegen. (Die PHP-Lizenz, auch die Neue, ist seit Version 4 nicht mehr kompatibel zur GPL)
Nein, sie ist erheblich freier. Und selbst wenn, die Kompatibilität ist doch nur vorgeschreiben wenn wir die Software vertreibern wollten, oder? Willst Du mir jetzt erzählen dass alle die auf einem Linux-Rechner PHP verwenden gegen die GPL verstoßen?
Und das müsste man dann halt bei jedem Schreibvorgang direkt im Cluster verteilen. Wenn die Maschine Forumsserver kaputt geht, hat das bei meiner Lösung im Prinzip nach außen hin denselben Effekt als würde der fo_server Prozess einfach abstürzen und ein paar Sekunden später automatisch neu gestartet werden.
Mit oder ohne Datenverlust?
Mit demselben Datenverlust wie es im Augenblick passieren würde.
[Datenverlust bei Absturz des Forumsservers]
Was denn? Wie gesagt, Postings stehen auch erstmal nur im Ram!
Wenn sie in mindestens 2 RAMs stünden, wäre die Gefahr des Verlustes geringer.
Auch ließe sich das ändern, wenn alle Postings direkt auf Platte geschrieben würden. Das ist jetzt mehr oder weniger nur im RAM, weil der derzeit völlig unterdimensionierte Server damit nicht klarkommen würde. Mit ausreichend Schmackes in der Box wäre das kein Hinderungsgrund mehr.
Ja, das kann gut sein. Ist die Frage wieviel Schmackes man da wohl braucht, also entweder man vergrößert die Gesamtleistung, oder man entfernt andere Prozesse. Womit wir wieder bei der Ausgangsfrage wären(dicke Maschine, Cluster, einige wenige Maschinen...).
Wenn ich ein Port-Forewarding einrichte, dann muss ich die Requests auf eine bestimmte IP weiterleiten, genauso wenn ich auf einen Datenbank-Server zugreife muss ich in allen Anwendungen eine feste IP verwenden. Wenn der jetzt ausfällt muss jemand anderes diese IP annehmen, oder ich muss die IPs in allen Anwendungen ändern.
Oder ich frage jemanden, der sich damit auskennt.
Also Dich ;-)
Das ist zwar ein geringfügiger Overhead, aber IPs in Skripten, Datenbanken o.ä. on-the-fly zu ändern ist gefährlich in vielerlei Hinsicht. Keine empfohlene Vorgehensweise.
deswegen ja die IP des Servers annehmen, wenn eben ping 192.168.0.x scheitert. Oder per Heartbeat oder was auch immer. Aber da gibts ja noch Lösungen mit virtuellen IPs, meinst Du das?
Wenn Ausfälle unangenehm werden, muß für Zuverlässigkeit georgt werden, ja, das ist korrekt. Allerdings kann das auch durch redundante Auslegung erfolgen. Ist in unserem Fall billiger.
Meinst Du 2 Server die sich beobachten? Halt sowas:
<img src="http://t1d.www-1.cacheibm.com/servers/esdd/articles/linux_clust/before.gif" border="0" alt="">
<img src="http://t1d.www-1.cacheibm.com/servers/esdd/articles/linux_clust/after.gif" border="0" alt="">
Wenn eine Box 90% Zuverlässigkeit hat, dann haben zwei Boxen von 90% Zuverlässigkeit nur noch 90% * 90% = 81% Zuverlässigkeit. Wer bringt den Leuten heutzutage eigentlich Wahrscheinlichkeitsrechnung bei? ;-\
Hm? Wenn ich mich richtig erinnere ging es darum, dass wenn eine der beiden Boxen ausfällt gar nichts mehr lief. Was ist denn daran falsch?
Nur hat die Verwendung von festen Servern den Vorteil, dass die heute verwendete Software im Prinzip weiterverwendet werden kann. Das ginge bei keiner Lösung vergleichbar zu mosix.
Jetzt häng Dich doch nicht so an MOSIX fest!
Da hab' ich ja was gesagt *sigh* ;-)
Jajaja, das hast Du schon mehrfach gesagt ;-)
Nur hattest Du vollkommen Recht, einige dieser Lösungen sind kaum bis gar nicht dokumentiert, zumindest finde ich absolut nichts. Naja, aber Du kennst eine Software die einen Apachen über den Cluster verteilen kann, die zudem noch auf FreeBSD, wenigstens Linux läuft?
Au Mann, jetzt war's sogar "etwas zuviel", hoffe habe nicht zuviel geripped.
Das Problem hatte ich auch schon des öfteren, irgendwann kann man nichts mehr kürzen und muss irgendwelchen Text löschen, der nicht ganz so wichtig ist ;-)
Grüße
Andreas
Hi,
'tschuldigung, bischen später geworden.
Du kennst den Overhead von Verschlüsselung?
[...]
Das stimmt auch wieder. Aber in einem physikalisch getrenneten Netz ist das ja nicht das Problem, oder?
Der Rechner muß trotzdem rechnen und in dieser Richtung aktive Netzkarten sind meines Wissens nicht auf dem Markt.
Warum eigentlich nicht?
[...] nmap[...]aber das Teil hat tatsächlich offene Ports hinter dem Router gefunden, obwohl die nicht von außen per port forewarding weitergeleitet werden, hat die dann als "filtered" markiert.
Und NMAP macht nichts anderes, als nach DIN und ISO erlaubt. Und wenn Du Dir jetzt noch vorstellst, das da noch ein paar Skript mit angehangen werden, die die bekannten Sicherheitslücken erproben...
Aber Du wolltest mir ja nicht glauben ;-)
Aber ich verstehe immer noch nicht so gaz, warum Du in Details optimierst und dabei eine hochkomplexe Umgebung schaffst. Das rentiert sich doch nicht.
Ja, nachdem Du das ganze doch etwas auseinander genommen hast, macht es wohl doch nicht so viel Sinn.
War aber keine Absicht, hätte am Ende auch Sinn machen können.
Ich dachte halt dass man am einfachsten eine Sttruktur aufbaut die möglichst nicht in die Applikationen selbst eingreifen muss.
Dieses Vorhaben war ja auch löblich.
Hm, wenn Du das sagst, ich dachte halt dass man den Overrhead durch Netzwerk-Traffic für den Live-Betrieb so gering wie möglich halten sollte, wenn die Daten für eine mögliche Übernahme eines Dienstes doch eh auf der Platte liegen müssen, fand ich es ein bisschen schade drum dieselben diese Daten dann über das Netzwerk abzufragen.
Erst Funktion, dann Optimierung ;-)
Du hast gesagt der Loadbalancer sei ein Bottelneck, und ich meine dagegen dass diese Last auch für eine Billigrechner kein Problem darstellt. BEdenke was der aktuelle Server noch so nebenher alles macht, und der Load-Balancer muss die Requests ja nur verteilen, nicht abarbeiten.
Der Loadbalancer ist ein Bottleneck, da es nur eine Maschine ist.
Hat zwar nicht viel zu tun, aber wenn er beschädigt wird, geht nichts mehr. Da er aber nicht viel zu tun hat, kann er auch ohne bewegliche Teile gebaut werden, dann ist die Zuverlässigkeit ausreichend hoch. (Die kürzeste Lebensdauer haben Lüfter und Platten, die Elektronik selber hält, wenn der zulässige Temperaturbereich eingehalten wird, sehr lange)
Und wenn die Daten nicht nur für einen Besuch gespeichert werden, dann müssen geschreibene Daten auch auif alle Nodes üvbertragen werden, und da dachte ich mir, für die paar Daten sei NFS doch die einfachere Lösung.
Wenn es wirklich so wenig Daten sind, fallen die im Btrieb nicht weiter auf, dafür braucht es nichts extra. Das gilt aber wirklich nur, wenn es tatsächlich lediglich sehr wenig Daten sind.
Doch, es gibt viele Leute die ein Ziel mit PHP schneller erreichen als mit PERL, ich zum Beispeil eben weil ich mit PHP gelernt habe. Heute nervt mich das, aber für einfache Aufgaben im Web-Umfeld ist PHP ideal.
"Für einfache Aufgaben"; eben! ;-)
Außerdem ist dafür auch noch ein Interpreter nötig. Das ist ein Programm mehr, als unbedingt nötig.
Außerdem stehen evt noch Lizenzprobleme dagegen. (Die PHP-Lizenz, auch die Neue, ist seit Version 4 nicht mehr kompatibel zur GPL)
Nein, sie ist erheblich freier.
Dann hast Du sie noch nicht gelesen, oder? ;-)
(Aber ich weiß, worauf Du anspielst)
Und selbst wenn, die Kompatibilität ist doch nur vorgeschreiben wenn wir die Software vertreibern wollten, oder? Willst Du mir jetzt erzählen dass alle die auf einem Linux-Rechner PHP verwenden gegen die GPL verstoßen?
Mit reiner Verwendung kannst Du nicht gegen die GPL verstoßen, die gilt, wie Du schon richtig bemerkt hast, nur beim Vertrieb.
Veröffentlichung ist aber gegeben, da jeder Code für den Selfserver veröffentlicht wird. Das kann dann evt Probleme geben.
BTW: Nach PHP-Lizenz ist es verboten, Programmnamen mit dem String "PHP" darin zu benutzen. Das finde ich dann doch etwas merkwürdig zudem es überhaupt nicht verfolgt wird (die meisten PHP-Skripte haben ja schließlich "PHP" im Namen). Aber PHP-3 (GPL) wird auch noch weiterentwickelt. Für einfache Skripte sollte das ausreichen.
Mit oder ohne Datenverlust?
Mit demselben Datenverlust wie es im Augenblick passieren würde.
Also nix gewonnen? Mmh...
Auch ließe sich das ändern, wenn alle Postings direkt auf Platte geschrieben würden. Das ist jetzt mehr oder weniger nur im RAM, weil der derzeit völlig unterdimensionierte Server damit nicht klarkommen würde. Mit ausreichend Schmackes in der Box wäre das kein Hinderungsgrund mehr.
Ja, das kann gut sein. Ist die Frage wieviel Schmackes man da wohl braucht, also entweder man vergrößert die Gesamtleistung, oder man entfernt andere Prozesse. Womit wir wieder bei der Ausgangsfrage wären(dicke Maschine, Cluster, einige wenige Maschinen...).
Ich würde halt "einige (wenige) Maschinen" bevorzugen. (Alle gleich mit Lastverteilung und Datensynchronisation)
Aber eines noch aus meinem allzu reichhaltigem Erfahrungsschatz:
In praxi kommt's dann meistens völlig anders als man theoretisch bedacht hatte ;-)
[...]Wenn der jetzt ausfällt muss jemand anderes diese IP annehmen, oder ich muss die IPs in allen Anwendungen ändern.
Oder ich frage jemanden, der sich damit auskennt.
Also Dich ;-)
Ich dachte da eher an einen Mechanismus, der die passende IP liefert ;-)
Das ist zwar ein geringfügiger Overhead, aber IPs in Skripten, Datenbanken o.ä. on-the-fly zu ändern ist gefährlich in vielerlei Hinsicht. Keine empfohlene Vorgehensweise.
deswegen ja die IP des Servers annehmen, wenn eben ping 192.168.0.x scheitert. Oder per Heartbeat oder was auch immer. Aber da gibts ja noch Lösungen mit virtuellen IPs, meinst Du das?
"Virtuelle IPs"? Was sind denn virtuelle IPs? Wenn es das ist, was die Bildchen unten zeigen, ist das aber eine merkwürdige Bezeichnung für einen Router. Ah, von IBM, alles klar ;-)
Wenn Ausfälle unangenehm werden, muß für Zuverlässigkeit georgt werden, ja, das ist korrekt. Allerdings kann das auch durch redundante Auslegung erfolgen. Ist in unserem Fall billiger.
Meinst Du 2 Server die sich beobachten?
Ja, zum Beispiel.
Wenn eine Box 90% Zuverlässigkeit hat, dann haben zwei Boxen von 90% Zuverlässigkeit nur noch 90% * 90% = 81% Zuverlässigkeit. Wer bringt den Leuten heutzutage eigentlich Wahrscheinlichkeitsrechnung bei? ;-\
Hm? Wenn ich mich richtig erinnere ging es darum, dass wenn eine der beiden Boxen ausfällt gar nichts mehr lief. Was ist denn daran falsch?
Das gar nichts mehr läuft, wenn eine Box ausfällt.
Nein, Scherz beiseite, da habe ich wohl was überlesen, 'tschuldigung.
Nur hattest Du vollkommen Recht, einige dieser Lösungen sind kaum bis gar nicht dokumentiert, zumindest finde ich absolut nichts. Naja, aber Du kennst eine Software die einen Apachen über den Cluster verteilen kann, die zudem noch auf FreeBSD, wenigstens Linux läuft?
Nein, warum?
Ich muß doch nicht immer etwas vorgebautes nehmen?
Klar würde ich erstal schauen, ob irgendjemand schon in die Verlegenheit kam und sich so etwas basteln mußte. Aber wenn ich da nix finde, setz ich mich halt selber hin.
Au Mann, jetzt war's sogar "etwas zuviel", hoffe habe nicht zuviel geripped.
Das Problem hatte ich auch schon des öfteren, irgendwann kann man nichts mehr kürzen und muss irgendwelchen Text löschen, der nicht ganz so wichtig ist ;-)
Ja, aber das schmerzt. Allerdings auch nicht so sehr, das ich ein zweites Posting anhängen würde ;-)
so short
Christoph Zurnieden
Hi!
'tschuldigung, bischen später geworden.
Naja, wenn das nicht nochmal vorkommt drücke ich mal ein Auge zu ;-)
Das stimmt auch wieder. Aber in einem physikalisch getrenneten Netz ist das ja nicht das Problem, oder?
Der Rechner muß trotzdem rechnen und in dieser Richtung aktive Netzkarten sind meines Wissens nicht auf dem Markt.
Wozu? Dafür haben wie doch die vielen Pizzaboxen die Zussamen merh als genug Rechnerleistung haben. Und das die Lösung einen gewissen Overhead verursacht ist klar. Natürlich sollte der so klein wie möglich sein.
Und NMAP macht nichts anderes, als nach DIN und ISO erlaubt. Und wenn Du Dir jetzt noch vorstellst, das da noch ein paar Skript mit angehangen werden, die die bekannten Sicherheitslücken erproben...
Ja, hätte ich wirklich nicht gedacht. Ist dann wohl doch nicht so einfach. Aber es ist schonmal eine kleine Hürde ;-)
Aber Du wolltest mir ja nicht glauben ;-)
Hm *schmoll* ;-)
Der Loadbalancer ist ein Bottleneck, da es nur eine Maschine ist.
Hat zwar nicht viel zu tun, aber wenn er beschädigt wird, geht nichts mehr. Da er aber nicht viel zu tun hat, kann er auch ohne bewegliche Teile gebaut werden, dann ist die Zuverlässigkeit ausreichend hoch. (Die kürzeste Lebensdauer haben Lüfter und Platten, die Elektronik selber hält, wenn der zulässige Temperaturbereich eingehalten wird, sehr lange)
OK, ein neuer Anlauf ;-)
Was hälst Du von:
http://www.linuxvirtualserver.org/HighAvailability.html?
Auf diese Weise ließe sich ja durchaus der Load-Balancer absichern. Sowas könnte man dann auch für einen Backend-Server machen.
Doch, es gibt viele Leute die ein Ziel mit PHP schneller erreichen als mit PERL, ich zum Beispeil eben weil ich mit PHP gelernt habe. Heute nervt mich das, aber für einfache Aufgaben im Web-Umfeld ist PHP ideal.
"Für einfache Aufgaben"; eben! ;-)
Außerdem ist dafür auch noch ein Interpreter nötig. Das ist ein Programm mehr, als unbedingt nötig.
Ja, aber wenn die Developer nunmal nicht alle C können, soll die ganze Arbeit nur bei den wenigen die das können bleiben?
Außerdem kann man ja das Apache-Modul verwenden, dann muss der Interpreter wenigstens nicht dauernd geladen werden.
Außerdem stehen evt noch Lizenzprobleme dagegen. (Die PHP-Lizenz, auch die Neue, ist seit Version 4 nicht mehr kompatibel zur GPL)
Nein, sie ist erheblich freier.
Dann hast Du sie noch nicht gelesen, oder? ;-)
Naja, ist schon etwas her... :)
(Aber ich weiß, worauf Du anspielst)
Mit reiner Verwendung kannst Du nicht gegen die GPL verstoßen, die gilt, wie Du schon richtig bemerkt hast, nur beim Vertrieb.
Veröffentlichung ist aber gegeben, da jeder Code für den Selfserver veröffentlicht wird. Das kann dann evt Probleme geben.
Wird er das? Teilweise, aber sicher nicht alle Scripte die auf dem Server liegen. Aber Du hast schon Recht, dass muss man dann schon bedenken.
BTW: Nach PHP-Lizenz ist es verboten, Programmnamen mit dem String "PHP" darin zu benutzen. Das finde ich dann doch etwas merkwürdig zudem es überhaupt nicht verfolgt wird (die meisten PHP-Skripte haben ja schließlich "PHP" im Namen).
In der Lizenz steht:
"The name "PHP" must not be used to endorse or promote products
derived from this software without prior written permission."
Wenn ich das mit meinen spärliche Englisch-Kenntnissen übersetze heißt das doch:
"Der Name 'PHP' darf nicht dazu verwendet werden, Produkte, erstellt mit dieser Software zu unterstützen oder zu vermarkten ohne vorherige Erlaubnis."
ich glaube das geht hier um die Intention, man soll nicht den Namen PHP zu Werbezwecken missbrauchen, womit ggfs. dem Ansehen von PHP geschadet wird(wie bei PHPNuke geschehen). So jedenfalls verstehe ich die FAQ hierzu:
Q. I've written a project in PHP that I'm going to release as open source, and I'd like to call it PHPTransmogrifier. Is that OK?
A. We cannot really stop you from using PHP in the name of your project unless you include any code from the PHP distribution, in which case you would be violating the license. But we would really prefer if people would come up with their own names independent of the PHP name.
Also denke ich dass das kein Prolem ist.
Aber PHP-3 (GPL) wird auch noch weiterentwickelt. Für einfache Skripte sollte das ausreichen.
PHP3? Das ist nicht Dein Ernst? ;-)
Mit oder ohne Datenverlust?
Mit demselben Datenverlust wie es im Augenblick passieren würde.Also nix gewonnen? Mmh...
Nix verloren ;-)
Aber wenn schon dann sollte man natürlich auch gewinnen, vielleicht lassen sich ja durch eine eigene Box für den Forumsserver die Postings direkt auf die Plate schreiben?
Ich würde halt "einige (wenige) Maschinen" bevorzugen. (Alle gleich mit Lastverteilung und Datensynchronisation)
meinst Du wirklch alle? Auch Load-Balancing, Forumsserver, Datenbank...? Wie würdest Du die Anwendungen auf die Machinen verteilen? Wie stellst Du hohe Ausfallsicherheit sicher?
Aber eines noch aus meinem allzu reichhaltigem Erfahrungsschatz:
In praxi kommt's dann meistens völlig anders als man theoretisch bedacht hatte ;-)
1. Kommt es anders, und 2. als man denkt ;-)
[...]Wenn der jetzt ausfällt muss jemand anderes diese IP annehmen, oder ich muss die IPs in allen Anwendungen ändern.
Oder ich frage jemanden, der sich damit auskennt.
Also Dich ;-)
Ich dachte da eher an einen Mechanismus, der die passende IP liefert ;-)
Sowas in der Richtung von "Linux virtual Server"? Also dem oben beschriebenen Mechanismus?
deswegen ja die IP des Servers annehmen, wenn eben ping 192.168.0.x scheitert. Oder per Heartbeat oder was auch immer. Aber da gibts ja noch Lösungen mit virtuellen IPs, meinst Du das?
"Virtuelle IPs"? Was sind denn virtuelle IPs? Wenn es das ist, was die Bildchen unten zeigen, ist das aber eine merkwürdige Bezeichnung für einen Router.
Darüber nin ich schön öfter gestolpert, auch beim Link oben, ich glaube das ist "Fake is IP take-over software by using of ARP spoofing", aber frag mich nicht... ;-)
Ah, von IBM, alles klar ;-)
Wie? Ist das keine kompetente Quelle? Habe ich immer gedacht...
Nur hattest Du vollkommen Recht, einige dieser Lösungen sind kaum bis gar nicht dokumentiert, zumindest finde ich absolut nichts. Naja, aber Du kennst eine Software die einen Apachen über den Cluster verteilen kann, die zudem noch auf FreeBSD, wenigstens Linux läuft?
Nein, warum?
Ich muß doch nicht immer etwas vorgebautes nehmen?
Wer soll das denn programmieren? Du? Ah, Du willst das <I>! ;-)
Klar würde ich erstal schauen, ob irgendjemand schon in die Verlegenheit kam und sich so etwas basteln mußte. Aber wenn ich da nix finde, setz ich mich halt selber hin.
Sehr gut ;-)
Halt mich auf dem laufenden *SCNR*
Grüße
Andreas
Hi,
'tschuldigung, bischen später geworden.
Naja, wenn das nicht nochmal vorkommt drücke ich mal ein Auge zu ;-)
Du gönnst mir auch nix, was? ;-)
OK, ein neuer Anlauf ;-)
Was hälst Du von:
http://www.linuxvirtualserver.org/HighAvailability.html?Auf diese Weise ließe sich ja durchaus der Load-Balancer absichern. Sowas könnte man dann auch für einen Backend-Server machen.
Ja, sowas mit zwei Boxen ist gut bekannt und die entspr Software läuft auch stabil. Kostet aber numal leider mindestens doppelt.
Doch, es gibt viele Leute die ein Ziel mit PHP schneller erreichen als mit PERL, ich zum Beispeil eben weil ich mit PHP gelernt habe. Heute nervt mich das, aber für einfache Aufgaben im Web-Umfeld ist PHP ideal.
"Für einfache Aufgaben"; eben! ;-)
Außerdem ist dafür auch noch ein Interpreter nötig. Das ist ein Programm mehr, als unbedingt nötig.Ja, aber wenn die Developer nunmal nicht alle C können, soll die ganze Arbeit nur bei den wenigen die das können bleiben?
Wenn ein Programmierer nicht in der Lage ist, innerhalb kurzer Zeit eine andere Sprache zu lernen, ist mit ihm nicht viel los.
Also recht brutale Antwort: ja.
BTW: Nach PHP-Lizenz ist es verboten, Programmnamen mit dem String "PHP" darin zu benutzen. Das finde ich dann doch etwas merkwürdig zudem es überhaupt nicht verfolgt wird (die meisten PHP-Skripte haben ja schließlich "PHP" im Namen).
In der Lizenz steht:
"The name "PHP" must not be used to endorse or promote products
derived from this software without prior written permission."Wenn ich das mit meinen spärliche Englisch-Kenntnissen übersetze heißt das doch:
"Der Name 'PHP' darf nicht dazu verwendet werden, Produkte, erstellt mit dieser Software zu unterstützen oder zu vermarkten ohne vorherige Erlaubnis."
"endorse or promote" = indossieren oder bewerben.
ich glaube das geht hier um die Intention, man soll nicht den Namen PHP zu Werbezwecken missbrauchen, womit ggfs. dem Ansehen von PHP geschadet wird(wie bei PHPNuke geschehen). So jedenfalls verstehe ich die FAQ hierzu:
Nein, nicht "mißbrauchen" sondern "gebrauchen", das ist ein kleiner aber feiner Unterschied.
Q. I've written a project in PHP that I'm going to release as open source, and I'd like to call it PHPTransmogrifier. Is that OK?
A. We cannot really stop you from using PHP in the name of your project unless you include any code from the PHP distribution, in which case you would be violating the license. But we would really prefer if people would come up with their own names independent of the PHP name.
Also denke ich dass das kein Prolem ist.
Doch das ist eines. Erstmal ist das alles etwas undurchsichtig. Wenn es denen wirklich egal wäre, würden sie den Passus streichen. Für einfache Skripte gilt er ja streng genommen auch! (Das ist "Legalese", das muß man nicht verstehen, ich zitiere hier auch nur von berufener Hand ;-)
Andere größere Probleme:
Wenn ich den Code des PHP-Interpreteres ändere, darf ich das resultierende Produkt nicht mehr ohne Genehmigung als PHP-Interpreter vertreiben, noch nicht einmal damit Werbung machen, das er PHP-Code interpretiert. Das gilt für alle Arten von Änderungen, insbesondere Sicherheitspatches.
Solange dieser Passus drin ist, ist PHP-4 als proprietär zu betrachten und entsprechend zu behandeln.
Aber PHP-3 (GPL) wird auch noch weiterentwickelt. Für einfache Skripte sollte das ausreichen.
PHP3? Das ist nicht Dein Ernst? ;-)
Doch, das ist durchaus mein Ernst, warum?
Bist Du noch zusehr in Windowswelten verhaftet, das es stets die neueste Version sein muß?
Mit oder ohne Datenverlust?
Mit demselben Datenverlust wie es im Augenblick passieren würde.Also nix gewonnen? Mmh...
Nix verloren ;-)
Doch: Geld und Nerven.
Ich würde halt "einige (wenige) Maschinen" bevorzugen. (Alle gleich mit Lastverteilung und Datensynchronisation)
meinst Du wirklch alle? Auch Load-Balancing, Forumsserver, Datenbank...? Wie würdest Du die Anwendungen auf die Machinen verteilen? Wie stellst Du hohe Ausfallsicherheit sicher?
Das alles ergibt sich von alleine. Das einzige, was extra läuft, ist Datensynchronisation.
Ich dachte da eher an einen Mechanismus, der die passende IP liefert ;-)
Sowas in der Richtung von "Linux virtual Server"? Also dem oben beschriebenen Mechanismus?
Zum Beispiel.
Darüber nin ich schön öfter gestolpert, auch beim Link oben, ich glaube das ist "Fake is IP take-over software by using of ARP spoofing", aber frag mich nicht... ;-)
Oh, das reicht mir schon, damit wird so einiges klar ;-)
Ah, von IBM, alles klar ;-)
Wie? Ist das keine kompetente Quelle? Habe ich immer gedacht...
Kompentent durchaus, Formulierung und Bildchen waren halt nur so typisch IBM.
Ich muß doch nicht immer etwas vorgebautes nehmen?
Wer soll das denn programmieren? Du? Ah, Du willst das <I>! ;-)
Wenn es unbedingt sein muß.
Klar würde ich erstal schauen, ob irgendjemand schon in die Verlegenheit kam und sich so etwas basteln mußte. Aber wenn ich da nix finde, setz ich mich halt selber hin.
Sehr gut ;-)
Halt mich auf dem laufenden *SCNR*
Solange nichts wirklich installiert ist, sind solche Überlegungen müßig ;-)
so short
Christoph Zurnieden
Hallo Andreas,
Ich weiß nicht in wiewiet man da was verändern muss, ich denke die Forums-Software z.B. funktioniert nict so ohne weiteres parallel auf mehreren Rechnern.
Ich wage mich mal zu erinnern, dass CK das genaue Gegenteil behauptet hat, nämlich dass das kein größeres Problem wäre.
Viele Grüße,
Christian
Hallo Chrtistian!
Ich weiß nicht in wiewiet man da was verändern muss, ich denke die Forums-Software z.B. funktioniert nict so ohne weiteres parallel auf mehreren Rechnern.
Ich wage mich mal zu erinnern, dass CK das genaue Gegenteil behauptet hat, nämlich dass das kein größeres Problem wäre.
Kommt drauf an was Du meinst, Du kennst die Software sicher besser, aber wenn ich das richtig verstehe wird pro Forum immer nur ein Serverprozess gestartet, der dann mehrere Threads startet, oder?
Ich hatte dann angenommen dass man nur Prozesse per Cluster-Software verteilen kann - so stand es in den ganzen alten Artikeln ;-) - also dachte ich das funktioniert nicht. Dagegen kann man mit MOSIX zumindest bei Linux auch Threads verteilen. Aber wie Daniela sagt funktioniert das Forum nicht 100%ig unter Linux, also kann man das vergessen, da die aktuelle MOSIX Version wohl nicht für FreeBSD verfügbar ist, scheidet das eh aus.
Außerdem kann MOSIX wohl Programme wie den Apachen nicht verteilen, naja, aber ob das noch aktuell ist weiß ich nicht, vielleicht könnte man sich da mit der 2er Version des Apachen behelfen, aber das weiß ich nicht. Probleme gibt es wohl bei Programmen, wo die Prozesse "writable" shared Memory verwenden, wenn ich das jetzt richtig verstanden habe
Und ich befürchte dass auch der neue Apache selbst mit "worker" MPM das genau so macht, er verwendet dann zwar Threads, aber außerdem noch Prozesse wie früher die dann vermutlich untereinander shared Memory verwenden.
Naja, sonst ist das wirklich ne feine Sache, nur passt das glaube ich nicht in unsere Umgebung, naja, aber Christoph hat sicher noch mehr auf Lager ;-)
Viele Grüße
Andreas
Hallo Andreas,
Kommt drauf an was Du meinst, Du kennst die Software sicher besser, aber wenn ich das richtig verstehe wird pro Forum immer nur ein Serverprozess gestartet, der dann mehrere Threads startet, oder?
Christian hat mal erwähnt, dass sich dies sehr einfach über ein Plugin erreichen ließen, dass zwei Forumsserver miteinander kommunizieren. Selbst kann ich das nicht beurteilen, *so* gut kenne ich die Software auch nicht.
Viele Grüße,
Christian
Hi Christoph
Tja, und das erfährt man jetzt so kurz vor Ultimo *gnaa*
Wo liegen ... nein, das ist nichts für's Forum, bastel mal eine Mail, mal schauen, ob da nicht noch ein wenig vom Hopfen und vom Malz zu retten sind.
Ich schreibs jetzt mal doch im Forum weil noch ein paar andere mitgezittert haben.
Hopfen und Malz sind tatsächlich gerettet. Als ich rauskriegen wollte, was ich an den Formeln nicht verstehe hab ich zwar das nicht rausgekriegt, dafür habe ich sie endlich verstanden. Die Prüfung ist jetzt gerade vorbei, ich weis zwar nicht wie gut es war, aber die Dozenten meinten, es hätte Dicke gereicht. Gefragt wurde RSA und als Nebenthema Kryptografische Hashfunktionen. Dieses Mal habe ich auch nicht mit Miller-Rabin bewiesen das 17 keine Primzahl ist *g*
Gruss Daniela
Hi Daniela,
Tja, und das erfährt man jetzt so kurz vor Ultimo *gnaa*
Wo liegen ... nein, das ist nichts für's Forum, bastel mal eine Mail, mal schauen, ob da nicht noch ein wenig vom Hopfen und vom Malz zu retten sind.Ich schreibs jetzt mal doch im Forum weil noch ein paar andere mitgezittert haben.
Hopfen und Malz sind tatsächlich gerettet. Als ich rauskriegen wollte, was ich an den Formeln nicht verstehe hab ich zwar das nicht rausgekriegt, dafür habe ich sie endlich verstanden. Die Prüfung ist jetzt gerade vorbei, ich weis zwar nicht wie gut es war, aber die Dozenten meinten, es hätte Dicke gereicht.
Da gingen wir doch alle von aus, oder?
Gefragt wurde RSA und als Nebenthema Kryptografische Hashfunktionen.
Das war alles? Aber gut: ich hab' leicht reden ;-)
(Außerdem kenn ich das gut, wenn es irgendwo hakt und man um's Verrecken nicht weiß wo, noch nichteinmal, wenn dann der Knoten geplatzt ist)
Dieses Mal habe ich auch nicht mit Miller-Rabin bewiesen das 17 keine Primzahl ist *g*
Auch schön ;-)
Aber das kann ich auch: habe vor ein paar Monaten mit Mengentheorie zu tun gehabt. Irgendwo hatte ich einmal eine Null stehen, sah, daß das falsch war, strich sie durch und machte erstmal ausführlich Pause. Kam wieder, sah die durchgestrichene Null, hielt sie für ein Leermengenzeichen und hatte gegen Ende gaaanz merkwürdige Ergebnisse ;-)
so short
Christoph Zurnieden
Hi!
3:30, ist das schon die Prostata? Bin ich nun auch soweit? ;-)
armer Christoph, sag mal Bescheid in welches Senioren-Heim Du kommst! Hoffentlich mit Internetanschluss!
;-)
Ja, dann wird das vernünftig. Blöderweise brauchst Du dafür die Maschine und die gibt es nicht wie ein Auto zum "probefahren" ;-)
Aber das Grinsemännchen ist eigentlich gar nicht berechtigt: wenn man was Anständiges haben will, legt man dafür schon das Äquivalent eines Monatslohnes eines Facharbeiters hin. Da sollte man eigentlich schon verlangen können, das Dingen vorher einmal auszuprobieren, oder?
Wozu gibts die neuen Verbraucherschutzgesetze (2 Wochen Rückgaberecht bei Online-Bestellungen)? ;-)
Naja, müsste jedenfalls auch für fertige Rechner gelten, aber das weiß ich auch nicht so sicher, jedenfalls bieten manche Hersteller ja sowas von sich aus auch an, habe ich zumindest gestern ein paar mal gelesen.
Vielleicht findet sich ja auch mal jemand mit Spendierhosen und begleicht die Rechnung für eine ordentliche Kiste.
Das würde mich mal interessieren, was wäre denn für Dich eine "ordentliche Kiste" für die Anforderungen des SELF-Raums? Gut, x86 scheidet also schonmal aus, und 50.000 EUR muss es ja auch nicht direkt kosten, aber was dazwischen wäre denn Deiner Ansicht nach eine vernünftige Lösung?
Da weder die Ansprüche an Leistung noch an Verfügbarkeit sehr hoch sind, würde ich eine simple Dualbox empfehlen. Zweimal 2 GHz (i86) mit 1 GiB RAM (mit Check) (je nach Angebot auch mehr) mit kleinem Spiegel-RAID (IDE). Kostenpunkt: ca 3.500 EUR, wenn's Markenware sein soll.
Gut, aber das ist ja im Verhältnis zur aktuellen Maschine kein wirklicher Schritt nach vorne, wenn man bedenkt dass die aktuelle Maschine inzwischen glaube ich gut 2 Jahre alt ist. Und das bei wachsender Last(mehr Besucher + mehr Anwendungen).
Also IDE finde ich denkbar ungeeignet. Ich habe vor kurzem noch einen Vergleich gelesen, von IDE Hard- und Software-RAID, verglichen mit einem richtigen SCSI-RAID, und das SCSI-System war teilweise 3 mal so schnell(SCSI-Platten erreichen höhere Transferraten, haben nur halb so lange Zugriffszeiten, per IDE können nicht 2 Geräte gleichzeitig komunizieren, SCSI spart Prozessor-Performance...). Dazu kommt dass die Teile möglichst ne längere Zeit halten sollen, wenn ne IDE-Platte ausfällt(was öfter als bei SCSI passiert) dann haben wir da erstmal ein Problem weil da nicht jemand neben sitzt der 10 so Platten im Schrank liegen hat und die in 2 Minuten getauscht hat.
Ein großes Problem sind meiner Meinung nach auch die Festplatten. Es wird vor allem von der Suche und dem Archiv sehr oft und vor allem viel von der Festplatte gelesen. Wäre dann vermutlich ein RAID 10 am besten, sagen wir mal mit 4 Festplatten a 36 GB? Dann alles auf eine Platte oder noch mehr Platten, oder sogar noch mehr RAID-Arrays?
Normaler Spiegel mit zwei handelsüblichen IDE-Platten reicht. Die Dinger haben mittlerweile im Schnitt schon 60 GiB und steigend.
Also ich meine jetzt nicht vom Platz, das ist hier wohl weniger das Problem, sondern die Zeit wie lange Prozesse auf Daten von der Platte warten müssen, und das würde mit IDE vermutlich deutlich nach oben steigen. Daher würde ich eher SCSI-Platten mit 15000 UPM nehmen. So teuer sind die auch nicht wenn man nicht so viel Speicherplatz braucht, und einen SCSI-Controller haben doch inzwischen fast alle x86 Server-Mainboards integriert.
Verfügbarkeit liegt nicht an der Architektur sondern am Hersteller. Normalerweise hält die spezielle Hardware zwar länger, das muß sie aber nicht zwingend. Wichtiger ist dabei eine garantierte MTTF.
Da aber keine Hochverfügbarkeit für den Selfserver nötig ist, ist auch keine spezielle Hardware nötig.
Trotzem sind Ausfälle hier erheblich unangenehmer als in einem eigenen Rechenzentrum mit eigenem Admin der direkt eingreifen kann.
Außerdem hast Du mir doch ohne Ende von den Vorteilen de anderen Achitekturen vorgeschwärmt ;-)
Eigentlich präferieren die Admins hier OpenBSD, aber das nur am Rande und auch nur unter Vorbehalt. (Bevor mich hier jemand haut ;-)
Ist ja bereits geschehen ;-)
Es gab einigen Ärger mit SUN und BSD und den Specs für SUNs neusten Prozessor. Aber sonst dürfte es keinen großen Unterschied geben. Müßte man halt mal messen.
Aber Solaris wird nicht umsonst "Slowlaris" geschumpfen ;-)
Ernsthaft? Ich hätte jetzt mal angenommen dass Sun ein besser auf die eigene Architektur abgestimmtes OS auf die Reihe bekommt?!
Eine Alternative wäre evtl. noch IBMs Power4 mit Linux,
Linux ist schlecht, da die Forumssoftware mit Threads läuft und Linux ist derzeit noch auf Prozesse hin optimiert. Der nächste Kernel ändert das zwar, aber der ist noch viel zu jung.
Und FreeBSD ist da so viel weiter? Ich dachte POSIX-Threads seien auch tief im Linux-Kernel verwurzelt?!
Mal ein paar Vorschläge, aber vermutlich kennst Du da auch bessere Varianten:
[Diverse Links zu Herstellern]
Wohin würdest Du tendieren und warum?In Richtung des ganz am Anfang gegebenen Beispiels.
Da das Forum in Schwierigkeiten steckt, weil es nur die halbe Rechenleistung erhält, würde also ein Dual-2-GHz Rechner reichen.
Gut, x86er Maschinen habe ich jetzt gar nicht bedacht da ich eigentlich dachte Du würdest für die Anforderungen hier lieber eine "richtige" Server-Architektur bevorzugen, und _so_ viel teurer ist das ja zum Teil gar nicht. Wenn Du mir sagst dass Du mit einer 450 Mhz UltraSPARC locker mit dem aktuellen Self-Server mithalten könntest, waru,m würdest Du dann trotzdem eien x86 Server nehmen und keinen nur wenig teureren Rechner mit DUAL UltraSPARC IIIi mit 1 Ghz und mehr, oder einen DUAL Power4 mit 1,2 Ghz? Demnach müssten die den 2 Ghz x86 Kollegen haushoch überlegen sein. Oder war das jetzt abhängig von den Kosten? Was wäre unabhängig davon? Das habe ich eigentlich gemeint. Im x86er Bereich ist das ja nicht so schwer, da haben alle Anbieter ja vergleichbare Geräte im Angebot, aber bei den jeweiligen Server-Architekturen ist das schon etwas anderes, oder meinst Du das die keine großen Vorteile hinsichtlich Performance, Haltbarkeit... bringen? Da hatte ich Dich vorher aber etwas anders verstanden!
Bottleneck bei der Archivsuche ist die Platte
Die ja bekanntlich mit SCSI U160 Platten mit 10.000 UPM laufen! Und da willst Du noch weiter kürzen? Ein RAID 10 mit 15.000er SCSI-Platten dürfte die Lage deutlich verbessern, ein IDE-RAID IMHO nicht wirklich.
Hier (Auf meiner Sparcstation) läuft OpenBSD mit X (Allerdings kein KDE, aber selbst das lief ganz anständig. Ist in etwa mit einem P200 mit32 MB RAM zu vergleichen)
Hm? Was hast Du denn für eine?
ganz gut, keine Geschwindigkeitsprobleme.
Allerdings hast Du mit so einem Dingen die billige Möglichkeit mit SCSI zu experimentieren und auch Solaris zu entdecken
Was kann man denn nun schon wieder mit SCSI "experimentieren"? ;-)
Aber Solaris würde mich durchaus mal reizen!
Auch wirst Du mit Erstaunen herausfinden, das es kein BIOS wie beim PC gibt (Mehr verrat ich hier nicht ;-)
Oh! Naja, bei Gelegenheit mache ich das glaube ich wirklch mal!
| Ja, doch, 100 EUR sind ein preiswertes Vergnügen. Die 100 EUR bekommst Du auch ziemlich sicher zurück, wenn Du mit dem Wiedereinstellen bei Ebay nicht gerade 2 Jahre wartest.
Meinst Du sowas: http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&item=3048981224&category=22462? in der Preiskategorie ist wohl im Moment nichst drin.
... 640 Kib _Machnätbända_! ;-)
Was ist "Kib"?
Viele Grüße
Andreas
Hi,
3:30, ist das schon die Prostata? Bin ich nun auch soweit? ;-)
armer Christoph, sag mal Bescheid in welches Senioren-Heim Du kommst! Hoffentlich mit Internetanschluss!
;-)
Komm Du mal in mein Alter! ;-)
Ja, dann wird das vernünftig. Blöderweise brauchst Du dafür die Maschine und die gibt es nicht wie ein Auto zum "probefahren" ;-)
Aber das Grinsemännchen ist eigentlich gar nicht berechtigt: wenn man was Anständiges haben will, legt man dafür schon das Äquivalent eines Monatslohnes eines Facharbeiters hin. Da sollte man eigentlich schon verlangen können, das Dingen vorher einmal auszuprobieren, oder?
Wozu gibts die neuen Verbraucherschutzgesetze (2 Wochen Rückgaberecht bei Online-Bestellungen)? ;-)
Naja, müsste jedenfalls auch für fertige Rechner gelten, aber das weiß ich auch nicht so sicher, jedenfalls bieten manche Hersteller ja sowas von sich aus auch an, habe ich zumindest gestern ein paar mal gelesen.
Ja, wenn das alles so einfach wäre *sigh*
Um Rückgabe wegen nichteingehaltener Leistungsversprechungen fordern zu können, müßen auch Leistungsversprechungen vorhanden sein. Gibt Dir nur keiner in der rechtlich vorgeschriebenen Form. So blöd sind die ja nicht ;-\
Da weder die Ansprüche an Leistung noch an Verfügbarkeit sehr hoch sind, würde ich eine simple Dualbox empfehlen. Zweimal 2 GHz (i86) mit 1 GiB RAM (mit Check) (je nach Angebot auch mehr) mit kleinem Spiegel-RAID (IDE). Kostenpunkt: ca 3.500 EUR, wenn's Markenware sein soll.
Gut, aber das ist ja im Verhältnis zur aktuellen Maschine kein wirklicher Schritt nach vorne, wenn man bedenkt dass die aktuelle Maschine inzwischen glaube ich gut 2 Jahre alt ist. Und das bei wachsender Last(mehr Besucher + mehr Anwendungen).
Ich kann nur von tatsächlicher Last ausgehen, nicht von dem, was geplant ist.
Und dafür reicht es.
Ist sozusagen Mindestvorraussetzung. Davon aus kann man dann planen. Je nach Geld, Ansprüchen und Vermögen der Administratoren. Außerdem sollte nur Software in die Rechnung einbezogen werden, die tatsächlich fertig, oder kurz vor der Fertigstellung ist (Im kommerziellem Bereich auch die, die fest budgetiert ist). Ein "wir wollen aber demnächst noch ..." kann teuer werden ;-)
Also IDE finde ich denkbar ungeeignet. Ich habe vor kurzem noch einen Vergleich gelesen, von IDE Hard- und Software-RAID, verglichen mit einem richtigen SCSI-RAID, und das SCSI-System war teilweise 3 mal so schnell(SCSI-Platten erreichen höhere Transferraten, haben nur halb so lange Zugriffszeiten, per IDE können nicht 2 Geräte gleichzeitig komunizieren, SCSI spart Prozessor-Performance...). Dazu kommt dass die Teile möglichst ne längere Zeit halten sollen, wenn ne IDE-Platte ausfällt(was öfter als bei SCSI passiert) dann haben wir da erstmal ein Problem weil da nicht jemand neben sitzt der 10 so Platten im Schrank liegen hat und die in 2 Minuten getauscht hat.
Performanceunterschiede sind eigentlich nur noch marginal. Das Problem der Prozessorbelastung fällt mittlerweile auch flach, da neueste Hardware-IDE-RAIDs einen Prozessor draufhaben. (Irgendwo habe ich letzthin einen Test gelesen, nur wo?). Das Problem, das SCSI eine höhere Verfügbarkeit als IDE hat stellt sich beim Selfserver nicht. Es spielt keine große Rolle, wenn das Dingen für kurze Zeit ausfällt.
Normaler Spiegel mit zwei handelsüblichen IDE-Platten reicht. Die Dinger haben mittlerweile im Schnitt schon 60 GiB und steigend.
Also ich meine jetzt nicht vom Platz, das ist hier wohl weniger das Problem, sondern die Zeit wie lange Prozesse auf Daten von der Platte warten müssen, und das würde mit IDE vermutlich deutlich nach oben steigen. Daher würde ich eher SCSI-Platten mit 15000 UPM nehmen. So teuer sind die auch nicht wenn man nicht so viel Speicherplatz braucht, und einen SCSI-Controller haben doch inzwischen fast alle x86 Server-Mainboards integriert.
Die integrierten Controller sind jetzt nicht so recht das Gelbe vom Ei ;-)
Auch haben Platten über 10.000 U/min ein ziemliches Abwärmeproblem.
Da aber keine Hochverfügbarkeit für den Selfserver nötig ist, ist auch keine spezielle Hardware nötig.
Trotzem sind Ausfälle hier erheblich unangenehmer als in einem eigenen Rechenzentrum mit eigenem Admin der direkt eingreifen kann.
Es kostet aber nichts, im Gegensatz zu einer Firma, die Umsatz über ihre Seite macht.
Außerdem hast Du mir doch ohne Ende von den Vorteilen de anderen Achitekturen vorgeschwärmt ;-)
Die Kosten dafür hast Du ja schon selber ermittelt, oder? ;-)
Aber Solaris wird nicht umsonst "Slowlaris" geschumpfen ;-)
Ernsthaft? Ich hätte jetzt mal angenommen dass Sun ein besser auf die eigene Architektur abgestimmtes OS auf die Reihe bekommt?!
Ja? Was erwartest Du von den Leuten, die "Java" auf die Menschheit losgelassen haben? >;->
Aber Scherz beiseite: da ich selbr schon hin und wieder die Möglichkeit hatte, mit Solaris zu arbeiten, kann ich den subjektiven Eindruck etwas längerer Antwortzeiten durchaus bestätigen. Ob da objektiv etwas dran ist, allerdings nicht, dafür fehlen mir die direkten Vergleichsmöglichkeiten. (Na gut, ich könnte mir auf meine Sparcstation noch Solais zusätzlich draufhauen, da zwei Platten drin sind, aber die CDROM ist mal wieder irgendwo "unterwegs" ;-)
Eine Alternative wäre evtl. noch IBMs Power4 mit Linux,
Linux ist schlecht, da die Forumssoftware mit Threads läuft und Linux ist derzeit noch auf Prozesse hin optimiert. Der nächste Kernel ändert das zwar, aber der ist noch viel zu jung.
Und FreeBSD ist da so viel weiter? Ich dachte POSIX-Threads seien auch tief im Linux-Kernel verwurzelt?!
Nein, BSD ist nicht weiter, nur anders. Unter anderem hat Linux auch eine andere Kernelarchitektur.
Linux baut auf LWPs auf (Lightweight processes), BSD und andere Unices auf Threads und selbst da gibt es verschiedene Modelle (FreeBSD kann übrigens alle ;-)
Achso, POSIX-Threads werden bei Linux von einer Library angeboten, die sind nicht im Kernel.
Mal ein paar Vorschläge, aber vermutlich kennst Du da auch bessere Varianten:
[Diverse Links zu Herstellern]
Wohin würdest Du tendieren und warum?In Richtung des ganz am Anfang gegebenen Beispiels.
Da das Forum in Schwierigkeiten steckt, weil es nur die halbe Rechenleistung erhält, würde also ein Dual-2-GHz Rechner reichen.Gut, x86er Maschinen habe ich jetzt gar nicht bedacht da ich eigentlich dachte Du würdest für die Anforderungen hier lieber eine "richtige" Server-Architektur bevorzugen, und _so_ viel teurer ist das ja zum Teil gar nicht.
Vielleicht solltest Du auch mal die Ersatzteilpreise in die Kalkulation mit einbeziehen? ;-)
Wenn Du mir sagst dass Du mit einer 450 Mhz UltraSPARC locker mit dem aktuellen Self-Server mithalten könntest, waru,m würdest Du dann trotzdem eien x86 Server nehmen und keinen nur wenig teureren Rechner mit DUAL UltraSPARC IIIi mit 1 Ghz und mehr, oder einen DUAL Power4 mit 1,2 Ghz? Demnach müssten die den 2 Ghz x86 Kollegen haushoch überlegen sein. Oder war das jetzt abhängig von den Kosten? Was wäre unabhängig davon? Das habe ich eigentlich gemeint.
Unabhängig von den Kosten? Ja, da würde ich natürlich "heavy Metal" bevorzugen. Aber man kann die Kostenfrage nie ausklammern, das wäre schlecht geplant. Es gibt auch das berühmte Minimax-Prinzip, das besagt, das man _entweder_ für eine bestimmte Summe die bestmögliche Qualität herausholen kann, _oder_ eine bestimmte Qualität so billig als möglich bekommt. Dazwischen gibt es nichts. Da die verfügbare Geldmenge unbekannt ist, muß man sie so klein wie möglich halten. Also bleibt nur die Variante Zwo.
Im x86er Bereich ist das ja nicht so schwer, da haben alle Anbieter ja vergleichbare Geräte im Angebot, aber bei den jeweiligen Server-Architekturen ist das schon etwas anderes, oder meinst Du das die keine großen Vorteile hinsichtlich Performance, Haltbarkeit... bringen? Da hatte ich Dich vorher aber etwas anders verstanden!
Klar halten die länger, sind mächtiger (Geschwindigkeit hängt nicht allein an Hertzzahlen, deshalb diese Wortwahl) und der Service ist auch nicht ohne.
Bottleneck bei der Archivsuche ist die Platte
Die ja bekanntlich mit SCSI U160 Platten mit 10.000 UPM laufen! Und da willst Du noch weiter kürzen? Ein RAID 10 mit 15.000er SCSI-Platten dürfte die Lage deutlich verbessern, ein IDE-RAID IMHO nicht wirklich.
Ja, klar! Aber die Kosten! Nicht nru die direkten, sondern auch die indirekten, da ausreichende Kühlung im eng gepacktem Serverrack sehr teuer ist.
Hier (Auf meiner Sparcstation) läuft OpenBSD mit X (Allerdings kein KDE, aber selbst das lief ganz anständig. Ist in etwa mit einem P200 mit32 MB RAM zu vergleichen)
Hm? Was hast Du denn für eine?
Eine SparcStation 5. (Zu faul zum Nachschauen, aber ich glaube 50MHz/32MB)
Was kann man denn nun schon wieder mit SCSI "experimentieren"? ;-)
SCSI ist deutlich anders als IDE, da kann man schon einiges mehr mit machen.
Aber gut, ist wohl eher für Programmierer interessant.
Aber Solaris würde mich durchaus mal reizen!
Dann mach das doch, hält Dich keiner! ;-)
Meinst Du sowas: http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&item=3048981224&category=22462? in der Preiskategorie ist wohl im Moment nichst drin.
Oh, als ich letztes Mal geschaut hatte, war da eine ganze Reihe drin. Naja, das Angebot bei sowas dürfte auch nicht fest sein, vielleicht in 1-2 Wochen mal wieder schauen.
Aber die Suche nach "sparcstation" (in der allgemeinen Suche) hat einiges (23) ergeben, wo hast Du denn geschaut? (Groß-, Klein- und Getrenntschreibung schmeißt vielleicht noch mehr raus)
Das Angebot oben ist übrigens ohne Peripherie, das würde ich nicht machen.
... 640 Kib _Machnätbända_! ;-)
Was ist "Kib"?
Unterscheidung zwischen Kilobyte (1.000 Bytes) und Kilobyte (1024 Bytes).
so short
Christoph Zurnieden
Fortsetzung:
Meiner Meinung nach sollte man sich mit dem System entsprechend auseinander setzen, oder fachkundige Hilfe holen, wobei ich auf der anderen Seite auch verstehe wenn das viele Leute nicht möchten.
Aber hoffentlich lassen diese Leute ihre Bremsen in einer Fachwerkstatt reparieren! SCNR ;-)
Wieso? Man kann ja einfach einen Aufkleber "Alles OK mit den Bremsen" über die Warnleuchte kleben ;-)
Vor allem: Backups halten!
So langsam wirds ja richtig grundsätzlich ;-)
Zwei Stück, um genau zu sein. Eines mit einem jungfräulichem Betriebsystem und allen Anwendungen (Es kostet ein wenig Arbeit das zu erstellen und kann kompliziert werden, da während dieser Zeit natürlich aus Sicherheitsgründen kein Netzzugriff erfolgen darf und damit evt auch keine nötigen Patches eingespielt werden können)
Mit den ganzen Programmen? Wozu? Reicht es nicht einfach /etc zu sichern?
und eines, das die eigenen Daten enthält und regelmäßig aufgefrischt wird. Wenn das Betriebsystemimage gut gemacht ist, ist es sehr wenig Arbeit, es schon auf Verdacht hin neu einzuspielen.
klar!
Hier auch ein paar einfache Tipps (Also nä, mit zwei 'p' sieht das irgendwie besch... aus ;-) für Linux (und teilweise natürlich auch für Windows wenn nicht gerade sehr spezifisch):
- nur das installieren, was man wirklich braucht!
Auf jeden Fall, je mehr man installiert desto mehr potentielle Fehler und Sicherheistlücken.
- niemals, ich wiederhole: niemals im Mehrbenutzer- und/oder
Netzbetrieb als Root einloggen!
Sollten einmal root-Rechte nötig werden, gibt es den Befehl 'su', der es ermöglicht befehle als Root auszuführen. Meistgebraucht ist wohl "su -c 'make install'". Die meisten Distributionen haben auch bequemere Methoden als 'su', bitte die Dokumentation zu befragen.
Ja, das finde ich auch Mist, dass standardmäßig bei SSH root-login erlaubt ist. Zuminmdest bei Red Hat.
Sollten sehr aufwendige Arbeiten auszuführen sein, ist im Single-Modus ohne Netzwerk neu zu booten.
Aber manchmal brauche ich als root auch das Netzwerk. Wobei, nicht unbedingt. Aber wieso genau? Was ist denn großartig der Unterschied zu su -?
- wenn es die Fähigkeiten erlauben, ist ein monolithischer Kernel zu kompilieren und alle Modulutils zu entfernen.
Ja? Das übersteigen wir aber jetzt die DAU-Zone um ein paar Stufen ;-)
Was ist denn der Vortel eines monolithischen Kernels? Ich habe mir einmal versucht selbst einen Kernel zu bauen, das hat auch geklappt, nur habe ich es nicht mehr geschafft ins Netzwerk zu kommen, naja, hab dann irgendwann aufgegeben da es doch etwas viel Zeit frisst fürs "nur mal ausprobieren" ;-)
- niemals mehr Rechte als nötig vergeben!
klar!
- jedwede Fernwartung und -benutzung hat über verschlüsselte Kanäle zu erfolgen!
Ja, telnet hat auf alle Fälle ausgedient, und FTP hat IMHO nur noch in Ausnahmefällen seine Berechtigung.
- es ist regelmäßig (z.B. beim Mailabholen, einloggen o.ä.) die Updateseite der eigenen Distribution zu besuchen! In einigen Fällen (Debian) kann sogar recht gefahrlos ein Autoupdate eingesetzt werden.
Serveradmins sind gehalten das ebenso regelmäßig mit den bekannten Sicherheitsnewsgroups und -webseiten zu tun. Sowas kostet pro Tag vielleicht einmal 5-10 Minuten (so ziemlich genau die Zeit, die man für den Morgenkaffee benötigt, eine Hand für die Maus ist also frei ;-), die gut angelegt sind.
Ja, und ich würde auch noch die entsprechenden Infoquellen meiner Server-Dienste lesen, z.B. Apache, oder auch OpenSSH(btw:http://www.heise.de/newsticker/data/pab-16.09.03-000/) , MySQL (btw:http://www.heise.de/newsticker/data/dab-15.09.03-000/)...
Viele Grüße
Andreas
Hallo Christoph,
Nur so eine kleine Ergänzung:
Unangenehmes Beispiel: bei installiertem Wine wurde bei einer Distribution KMail erlaubt, entsprechende Dateien bei Klick auszuführen. Windowsviren können auch auf einem Linuxsystem viel Schaden anrichten!
http://articles.linuxguru.net/view/198
Viele Grüße,
Christian
Hi Andreas,
Ich hoffe allerdings, das die Linux-Distributoren in der Lage sein werden diese Schwäche von Windows für sich auszunutzen, denn ich finde es bedenklich dass nach der Standard-Installation der meisten Distributionen zig Dienste laufen, was eigentlich nicht sein müsste, und für den normalen Anwender nur ein Sicherheitsrisiko und keinen Vorteil bedeutet.
das Problem ist, daß die Linux-Distributoren für die "große Kohle" in den DAU-Markt rein müssen.
Aber die DAUs sind genau diejenigen, die Linux ablehnen, wenn man da an tausend Schrauben drehen muß, bevor "alles funktioniert, genau wie bei Windows". Die wollen also lieber per Default alles eingeschaltet haben (und notfalls teurere Hardware kaufen müssen - immer noch billiger als noch viel teurere Manpower!).
Je höher der Marktanteil von Linux wird, desto mehr Müll wird per Default eingeschaltet sein - fürchte ich.
Viele Grüße
Michael
