Назначение прав: M$ vs Novell, статика vs динамики

Для любителей просто поболтать

Назначение прав: M$ vs Novell, статика vs динамики

Сообщение Сергей Дубров » 04 фев 2010, 17:56

Не флейму ради, просто сегодня в очередной раз столкнулся с некой ситуацией - вот и решил поделиться с сообществом :).

Попросили тут юзеры расшарить для них на вендовом серваке некую папочку под названием GOST. Тыкаю, как обычно, правой кнопочкой в нужный каталог, иду на вкладку 'Безопасность', добавляю группе Everyone права на чтение, жму 'OK', рисуются часики и... висят. Висят долго - минуту, две, пять... Что за на фиг, думаю? Срубаю окно, повторяю процедуру - то же самое. Делаю это с другой машины, из оснастки 'Computer Management' - а также - бесконечно висят часы.

И только после этого я сообразил глянуть во внутрь расшариваемого каталога - а там, мама дорогая, туча-куча мелких файликов, разбросанных по довольно развесистой структуре каталогов. Как потом выяснилось, их там (файлов) что-то около 350 тысяч штук.

И сразу всё стало понятно: когда я добавляю в DACL директории верхнего уровня новую запись, это сразу же наследуется вниз по иерархии файловой системы. А у M$ наследование реализовано СТАТИЧЕСКИМ прописыванием в DACL КАЖДОГО объекта, расположенного ниже по дереву. Вот это прописывание у 350 тыс. объектов и вызывало "бесконечное" зависание при нажатии кнопки 'OK'. Когда вы видите "засеренные" галочки в правах доступа файла/объекта, это означает, что эти права статически вписаны в свойствах прямо этого файла/объекта, но отмечены, как унаследованные "сверху".

Но права-то назначать надо - в очередной раз нажимаю 'OK', попутно засекая время. Завершилась процедура... через два с лишним часа! Всё это время загрузка процессора сервера была под 100% заодно с неслабой активностью дисков.

Не поленился, провёл тот же эксперимент на NW-сервер - скопировал всю структуру на NW-диск (NSS) (долго копировалось), правая кнопка на каталог GOST, ставлю нужные права, нажимаю 'OK' - окно закрылось мгновенно. Тут же с другой рабочей станции лезу в самую глубину каталогов, к самому дальнему файлу - тут же получаю к нему доступ, никаких видимых глазу задержек. Динамика! Быстрое назначение - это понятно, по сути, запись в ACL одного единственного каталога GOST. Но и при доступе к далеко запрятанным в глубинах каталогов файлам торможения на проверках (вверх по дереву) не ощущается совершенно.

А ведь та же ерунда будет, если вы захотите удалить кого-нибудь из опекунов такого вот развесистого каталога на венде - пару часиков подождать придётся, пока все DACL-ы промодифицируются 8).
Аватара пользователя
Сергей Дубров
 
Сообщения: 2080
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Ну дык...

Сообщение Павел Гарбар » 04 фев 2010, 19:40

Два показательных примера по прописыванию прав :-)
Давно. Новелловский семинар, вроде про ZEN. В начале своего выступелния докладчик что-то должен сделать с папкой на виндовой машине - дает права и говорит: "А теперь, пока я буду делать доклад, оно пропишет права"...
Не так давно. Большой банк. Приходит новый админ на работу. Ему должны дать прав на файловую систему. Дают. Он стоит рядом. Ему говорят: "Иди". Он: "Да я подожду, когда закончится и пойду работать". А ему и говорят: "Нет, ты не понял - приходи завтра!"
Павел Гарбар
 
Сообщения: 691
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

А кстати, что будет, если при этом процессе оно сдохнет?

Сообщение Boris Morozov » 05 фев 2010, 01:48

На половину файлов будет доступ, на половину нет? Чем это увидеть и как лечить?
Ну не держим мы файловую систему на виндах, иногда у клиентов бывает такое, там где свой вендоадмин есть. Мы то сами мазохизмом не страдаем, но бывает надо помочь бедолагам.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Re: А кстати, что будет, если при этом процессе оно сдохнет?

Сообщение Сергей Дубров » 05 фев 2010, 07:18

Boris Morozov писал(а):На половину файлов будет доступ, на половину нет?

Да.

Boris Morozov писал(а):Чем это увидеть и как лечить?

Увидеть это можно по факту отсутствия доступа к нужным файлам. Лечится сильно по-разному, в зависимости от фазы, на которой прекратилась установка DACL. Тупой метод - снять права, подождать два часа и добавить их снова. На самом деле, даже если процесс прописывания DACL-ов издохнет по дороге, после реанимации сервера (н-р, перезагрузки) он возобновится сам. Но когда и через какое время - никто не знает.

Ещё одна неприятность в этом вопросе: как выяснилось (и теоретически и экспериментально) - прописывание записи в DACL НЕ атомарная операция и существует вероятность, что процесс "прорастания" прав может "убить" DACL на каком-нибудь файле/директории, срубившись на пол-дороге. Бороться с такими странными файлами приходится более увесистыми методами, вплоть до низкоуровневых ползаний по файловой системе. И такие случае не редкость. По-моему, на iXBT некоторе время назад обсуждался подобный случай: начальник отредактировал какой-то DOC, скопировал его куда-то в дебри сетевого хранилища, но, что-то вспомнив, тут же решил мувнуть файл обратно. И в этот момент что-то произошло и файл стал для него недоступен, даже на чтение. Как потом выяснилось, проблема была именно в недомодифицированном до конца DACL-е.

Разборки были долгими, в них приняли участие не самые последние вендоадмины. DACL у этого DOC-а покорёжило так странно, что к нему не мог подобраться ни администратор, ни владелец-создатель - вообще никто. Не удавалось ни назначить явные права на это документ, ни сменить владельца - полный ступор. А файл, как водится, был ну очень важным и нужным, и, конечно же, существовал в единственном экземпляре. В итоге ситуацию разрулили, используя какие-то экзотические инструменты от M$.

Что интересно - копию кривого DACL-а админ сделал и потом промоделировал ситуацию на другой машине - всё повторилось. Но парень оказался грамотным, он нашёл ещё одно решение для этой баги - не универсальное, но всё же - диск с проблемным файлом он подсунул современному линуху и тот, игнорируя все ACL-ы, спокойно прочитал нужный DOC :). NTFS 3G работает.

Boris Morozov писал(а):Ну не держим мы файловую систему на виндах, иногда у клиентов бывает такое, там где свой вендоадмин есть. Мы то сами мазохизмом не страдаем, но бывает надо помочь бедолагам.

Наш вендоадмин - суперграмотный и квалифицированный спец, таких ещё поискать. Но сильно влюблён в мелкософт и продавливает их решения очень настырно. В результате деньги на всякие Win2003/2008 (включая R2)/MSSQL и пр. 1С ему выделяются, а на меня, когда заходит разговор о приобретении лицензий на линуховый OES2 - машут руками, типа, дорого.

Года через два-три-четыре уходить с нынешних NW6.5 всё равно придётся, и я уже сейчас в тяжком раздумии, в какую сторону двигаться - M$ way меня не вдохновляет совершенно (и никогда не вдохновлял), SLES + OES - нет перспектив по части финансирования. Наколенные конструкторы "сделай-сам" из opensource отнимают уйму времени и очень затратны по поддержке (играясь с OpenSuSE я имею удовольствие в этом убеждаться чуть ли не ежедневно). Обложили кругом :)
Аватара пользователя
Сергей Дубров
 
Сообщения: 2080
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Года два-три-четыре не самый маленький срок.

Сообщение Boris Morozov » 06 фев 2010, 04:04

Про то, что новелл загнется я уже лет 15 слышу и тем не менее в производстве альтернативы нет на сегодняшний день.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Сообщение Dmitry aka DrHoo » 06 фев 2010, 18:56

Сергей Дубров писал(а):В результате деньги на всякие Win2003/2008 (включая R2)/MSSQL и пр. 1С ему выделяются, а на меня, когда заходит разговор о приобретении лицензий на линуховый OES2 - машут руками, типа, дорого.

Сергей, делай упор на безопасность:
В Microsoft IIS найдена серьезная уязвимость
Хакеры атаковали Google через изъян в браузере Internet Explorer
В Windows найдена уязвимость 17-летней давности

Не лишним также будет напомнить про вирусы (нам, например, в январе снова пришлось бороться с угрозой Kido) и т.п.
Аватара пользователя
Dmitry aka DrHoo
 
Сообщения: 73
Зарегистрирован: 05 июн 2002, 07:48

Сообщение Сергей Дубров » 06 фев 2010, 19:50


Не совсем в тему - там хоть дыры в древнем ослике IE6 использовали, а вот ребята с полезного сайта http://susestudio.com/ IE вообще не поддерживают - ни 6, ни 7, ни 8. Говорят, правда, что когда-нибудь 7-8 поддержат, а сейчас пока FF 3.x, Opera, Chrome и Safari. Забижают мелкомягких :). Я заметил, что в последние несколько месяцев доля IE всех версий стала сокращаться заметно убыстряющимися темпами.

А тем, кто работает с сузей, рекомендую на указанный http://susestudio.com/ заглянуть - полезная штука, интересная.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2080
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Про IE и SuseStudio

Сообщение Павел Гарбар » 07 фев 2010, 21:59

В прошедшую пятницу (5 фев) таки прошел семинар, посвященный облачным вычислениям.
Когда попытались показать SuseStudio ровно IE - на странице отобразилась примерно треть того, что мы потом увидели из FF. На что Кирилл Степанов заметил: "Это в результате ранее подписанных соглашений с МС" ;-)
Приглашали выступить представителей MS и VMware. Из VMware никто не пришел. Из MS человек все же пришел, но сказал, что в России пока непонятно как даже показывать облака и в ближайшее время про Azure ничего толком никто не скажет.
Павел Гарбар
 
Сообщения: 691
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Сообщение Андрей Тр. aka RH » 08 фев 2010, 16:05

Сергей Дубров писал(а):А тем, кто работает с сузей, рекомендую на указанный http://susestudio.com/ заглянуть - полезная штука, интересная.

Я так понимаю - это больше для ISV ? А для простых смертных в чем польза ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

В чем может быть польза

Сообщение Павел Гарбар » 08 фев 2010, 17:10

Опять же по следам семинара про облака.
Из того, что показали: SuseStudio может породить образ виртуальной машины в формате, который понимается Amazon'овым облачным управлятелем. Т.е. можно сгенерить нужный себе вариант виртуальной машины и отправить его в Амазон (если существующие там заготовки не подходят).
Еще - не таская с собой дистрибутивы можно сгенерить образ виртуальной машины и закачать его. На вскидку - в форматах для флэшки или LiveCD, VMware и XEN.
Павел Гарбар
 
Сообщения: 691
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron