LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd А в чем её могучесть - кроме поддержки клятого X.509?   Мелкомягкие уверенно прут дальше (могут себе позволить, как богатые и здоровые) с claims-based identity. Которая очень похожа на исследования по ссылке в моём прошлом посте.   А линуксоиды топчутся на одном месте и дублируют проделанную в соседней песочнице работу ((     Добавлено:   Особенно "порадовала" фичастая фича OpenSSH: способность заменить OpenVPN Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 23:28 22-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Цитата: Особенно "порадовала" фичастая фича OpenSSH: способность заменить OpenVPN   а что Вам не понравилось? С OpenSSH можно по разному изголяться :-D Но вот туннель он создаёт очень медленный, увы.   OpenSSL помимо того, что реализует кучу механизмов шифрования, кодирования и хэширования, он так же может выступать в качестве ssl клиента/сервера, проверять сертификаты (в т.ч. и цепочки) и т.д. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 23:56 22-04-2012

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сертификаты, "удостоверяющие личность" принципала безопасности - зло, причём абсолютное. Публичный ключ сам по себе годный принципал.   Лучше бы линуксоиды сваяли свою иерархию доверия снизу вверх, чем как сейчас плелись в хвосте коммерческих CA.     Добавлено: Цитата: OpenSSL помимо того, что реализует кучу механизмов шифрования, к   ну это просто криптобиблиотека, тысячи их.  Хорошо бы ею ещё и пользоваться полезным образом, а не только подражать Злу из последних сил.     Добавлено: Цитата: Сертификаты, "удостоверяющие личность" принципала безопасности - зло, причём абсолютное. Публичный ключ сам по себе годный принципал.     Иными словами аутентификация объектов реального мира - категорически не дело софта. А вот авторизацию доступа к разнообразным комп. ресурсам можно и нужно сделать не столь запретительно сложной в администрировании.   Чтобы люди сами управляли количеством и качеством своего доверия сбербанку, киви, гуглояндексам и прочим провайдерам и вендорам - а не записывались к тем в анальное рабство от безвыходности. Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 00:35 23-04-2012 | Исправлено: LevT, 00:41 23-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT OpenSSL больше чем просто криптографическая библиотека.   Что Вам не нравится в текущем положении дел с сертификатами? Ну разве что зависимость всех от того или иного CA. Ну давайте создадим сеть доверия из PGP ключей... Я, кстати, не понимаю почему их практически не используют, за исключением подписи репозиториев и изредка писем. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 10:16 23-04-2012

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я за промежуточный вариант, который почему-то никогда и никем не рассматривается. Сеть доверия имеет смысл между теми, кто способен самостоятельно управлять ключами и отвечать своей репутацией перед пирами.   А для большинства "обычных людей" - полное доверие кому-нибудь вот такому, кто возьмётся это делать за них. И легкость смены "патрона".  "Найди себе имама или сам стань имамом" (с)   Стать "имамом", при наличии мотивации, должно быть достаточно легко - а не запретительно сложно как сейчас.     Добавлено:   Эта модель прекрасно масштабируется на сегодняшнюю реальность с размножающимися в каждом доме девайсами. Для всех моих девайсов должен быть единственный авторитет, подконтрольный их хозяину - а не гуглояндексам, вконтктикам-нокиям и прочим мелкоэплам.       Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 10:35 23-04-2012 | Исправлено: LevT, 10:41 23-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Ну так и используйте самоподписные сертификаты или создавайте свой внутрекорпоративный CA. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 12:14 23-04-2012

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору  Расходы по управлению сложностью, навороченной в интересах "корневых" СА и стоящих за них штатовских агентств - за каким хреном я должен нести?   Почему бы не отрезать нахрен нужное только проприетарщикам? Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 15:46 23-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Щито-то я перестал понимать тебя (не впервые, кстати)... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 15:48 23-04-2012

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd   Сама модель X.509 CA - изначально ущербна по дизайну.  Потому что делалась не в наших человеческих интересах, а в интересах спецслужб Страны Абсолютного Добра (о добрых-добрых корпорациях, способных содержать штат выдрессированных на её обслуживание специалистов безопасности - тоже не сильно при этом заботились: они свой профит поимели только между делом)   Ну да, поднапрягшись можно завести дома корневую CA - но в маловероятном случае реального успеха (то есть полезного для себя использования хотя бы 20% её функций) только и останется наниматься в одну из таких корпораций, чтобы применить полученные знания и опыт - потому что людям подобный подвиг как правило не под силу. Не с кем будет даже обсудить результаты.   У тебя у самого примерно тот же мотив был, когда ты отказался от идеи поднимать на новой работе SAN: технология кажется запретительно сложной, боишься не справиться и оказаться в одиночестве наедине с проблемами.     Ситуация аховая в обоих случаях. Линуксоидов, особо любящих "контролировать свои компьютеры", одинаково поимели и развели (ещё и отключив у них критическое мышление). Как так вышло - достойно отдельной работы над ошибками.   Потому что, и SAN (управление кроссплатформенным блочным IO), и управление доверительными отношениями - сейчас уже ключевые области, без которых "контроль над своими компьютерами" возможен только в сопливых мечтаниях. Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 19:56 23-04-2012 | Исправлено: LevT, 20:07 23-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Не, у меня есть огромное желание поиметьсся с SAN. Технология запретительно дорогая, и её применение не оправдано ну ни как в моей ситуации.   CA позволяет мне по каким-то "устоям" доверять тому или иному ресурсу, на основе общих убеждений в нерушимости и праведности CA. Можно юзать DNSSEC. Для своих домашних нужд я использую самоподписные сертификаты. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 20:30 23-04-2012

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Не, у меня есть огромное желание поиметьсся с SAN. Технология запретительно дорогая,     Нихрена она уже не дорогая ))    Модельки iSCSI инфраструктуры можно собрать и пощупать и на 100Мбит, реально в продуктиве пашет на гигабитном езернете (разве что не рекомендуется связываться с марвеллами-реалтеками и под.: только интел.) Свичи нужны да, гигабитные - но строго предпочительны L2 (уже имеющиеся L3 фичи рекомендуется отключать).   И сразу получаешь выигрыш: никакой проприетарщины с сопутстствующим ей геморроем. Но и теряешь... сомнительное удовольствие (затрахавшись и отчаявшись разобраться) докупить дополнительно платную управлялку от вендора стораджа. Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 21:29 23-04-2012 | Исправлено: LevT, 21:34 23-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Цитата: Модельки iSCSI инфраструктуры можно собрать и пощупать и на 100Мбит у? Я что-то упустил? Или вы мне о FCoE говорите? Нашедшего воплощение в iSCSI? ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 23:24 23-04-2012

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FCoE как раз идёт в качестве бонуса только к 10GbE адаптерам (они умеют прикидываться FC - если ось умеет инициализировать эту их функцию). Мне неизвестны гигабитки, где бы FCoE был.   А вот iSCSI - он over TCP/IP. Ничего кроме сетевой карты для него не надо.     Зачем тогда специализированные "iSCSI HBA"? А для того, чтобы уже биосу сообщить о доступных через них лунах и иметь возможность с них загрузить систему. Если нет такой задачи, то от них только лишние хлопоты: они не столь гибкие и более капризные, чем обычные сетевушки. Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 09:20 24-04-2012 | Исправлено: LevT, 09:22 24-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Такс, что-то мы ушли общаться на тему поднятую мной в другой ветке) Перемещаемся обратно туды... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 09:28 24-04-2012

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Офисный народ жалуется на балансировщик Zentyal-а: отваливаются не только  файлопомойки и вебморда почтового хостера, но и половина внешних сервисов типа mail.ru.   Какой костыль ты бы посоветовал применить? Учитывая, что я тороплюсь свалить в отпуск, и от Zentyal в качестве шлюза-балансировщика сейчас отказываться не могу. Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 17:03 01-06-2012

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd   1. Моя интуитивная идея разделить шлюз DNAT (gw) и балансировшик каналов (pgw), оказывается, раньше меня осенила некоторых продвинутых линуксоидов   http://xgu.ru/wiki/Default_gateway   http://vladimir-stupin.blogspot.com/2008/12/dnat-policy-based-routing.html       2. Сплит ДНС вещь хорошая, но если авторитетный провайдер публичной DNS-зоны не даёт делать её трансфер,  то приходится зону воспроизводить внутри конторы вручную, что вызывает законное раздражение.   ДНС маскарадинг должен выручать. Типа прозрачный DNS-прокси на роутере, который  подменяет результаты некоторых запросов (перечисленных в его конфиге).   Вот только вопрос: где лучше маскарадинг разместить, на gw или на pgw? (С учётом той перспективы, что со временем внутри конторы появятся авторитетные NS для некоторых публичных зон). Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 00:55 15-07-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT NS можно разместить много где: на шлюзе; в локалке (DNAT на него делать); в DMZ. Не понял я что-то твой крен в сторону про DNS-прокси... Split DNS и так предполагает настройку одной зоны дважды, так что я ни каких проблем не вижу. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 01:06 15-07-2012

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Цитата: 2. Сплит ДНС вещь хорошая, но если авторитетный провайдер публичной DNS-зоны не даёт делать её трансфер,  то приходится зону воспроизводить внутри конторы вручную, что вызывает законное раздражение.   Ваши отточенные формулировки всегда приводят меня в восхищение, но в данный момент по-моему вы просто не понимаете, о чем говорите.  Split DNS - это просто способ на своем  DNS сервере выдавать результат в зависимости от айпи запрашивающих клиентов. К трансферу чужих зон он никакого отношения не имеет.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 02:25 16-07-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Цитата: Ваши отточенные формулировки всегда приводят меня в восхищение восхищение не совсем то слово, но сутью согласен   Да Ваши ответы обычно чёткие и редко после них остаются вопросы, только если уж совсем глубоко не копать, чем я обычно болею... Мой методом объяснения и понимания ближе всего к методу "на пальцах". ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 09:18 16-07-2012

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Мне кажется, что возможность вносить изменения в единственном месте большая ценность. Поэтому от сплит днс толку для меня лично мало, если надо воспроизводить зону целиком.   Удобнее сделать лишний раз трансфер изменённой зоны и поправить нужные записи по списку. Но например бывший dyndns (который теперь dyn.com) такого не позволяет.     Alukardd Скажи, а ты принципиальный противник dns маскарадинга (почему?), или просто не копал его глубоко - и потому не берёшься его советовать и дизайнить что-то на его основе?   Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 12:01 16-07-2012

Страницы: 1 2 3 4 5 6

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » NAT и публикация сервисов с учётом virtual hosts

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование