Jádro 2.6.24.2 opravuje chybu vmsplice

omg ... chod si vylestit bambus na ten svoj mainframe ... uz ti to tu niekt pisal - vunerability systemu je priamo umerna potencionalnemu poctu userov, ktory system budu pouzivat. Ak by neexistovalo nic ine len mainframy, tak tam mas security advisory 3x denne ... bezpecny OS je odpojeny od netu, energie zamknuty v bankovom trezore... tak uz tu prosim ta prestan pustat hlody, ktore aj-tak nikoho nezaujimaju.

OMFG, Lenine, prestan tady trollovat:

z/OS je bez Linuxu nekde v LPAR totalne nepouzitelna masina, protoze na tom zadna rozumna sluzba nejede. Pokud samozrejme nepocitam uplne prisernou DB/2 (coz je napr ve verzi pro AS/400 databaze, jejiz uzivatelska pritulnost je asi na urovni mrtve a studene Nemky) a dalsi "vychytavky" jako zminovane MQ ci Websfira, coz jsou nejdrazsi softy ve sve kategorii, bohuzel zdaleka ne nejlepsi. Ono vubec reseni od IBM jsou nekdy sice zajimavy (treba i ta blba 3270ka), ale rozhodne ne optimalni (ve smyslu cena/vykon).

Dalsi vec je, ze OSy s verifikaci kodu jsou _by principle_ proste pomalejsi. Samozrejme, na I/O operace jsou tyhle mainframe OS rychlejsi, ale faktem je, ze par PCek za 10tinovou cenu bude pocitat hardcore math nekolikrat rychleji nez jakykoli mainframe.

ja se v minulem prispevku bavil primarne o i5/OS, nikoliv o z/OS. i5/OS je velmi hezky a integrovany OS.

Mozna vas to prekvapi, ale k i5/OS se dodava i klikajici GUI a to jak pro vyvojare, tak pro administratory. Krom toho i5/OS podporuje pomerne hezkou radu programovacich jazyku a daji se tam doinstalovat i perl, python, ssh, unix shell a podobne, takze muzete delat i v tom v cem jste programovali doposud. Ze sprava db2 z command lajny neni nic moc? Jako kdyby to bylo u Oracle/mysql/etc nejak vyrazne lepsi! Chcete do i5/OS unix shell, no tak si ho tam nainstalujte, je dokonce i zdarma.

MQ series a websphere jsou high end soft a tomu pochopitelne odpovida i cena. Musim ale rici, ze si na ne nemuzu stezovat, coz se o open source nedodelcich Geronimo, Tomcat, Glassfish, jboss, active mq rici rozhodne neda. Pokud znate nejakou kvalitni alternativu, ja se rad necham poucit.

Ja vim ze cesi jsou silne orientovani na cenu (tzv. socky), ale realita uspesnych podnikatelu je jina. Jak jsem psal bezi nam na iseries aplikace pro Verisign a spol dns registr, kde mame priblizne 85 tisic svych domen + 150 tisic domen lidi kterym delame registratora a to jeste nepocitam ty mraky dropu co kazdej den chytame a ty nekvalitni prodavame v aukci minimalne za $60, denne prodame asi 100 dropu. Z toho si muzete udelat obrazek kolik vydelavame. Za jak dlouho vydelame na rocni licencni poplatky za SW? Tezko rict, rekneme za tyden? Takze holt jeden tyden v roce delame pro IBM a zbytek do vlasni kapsy. To nam vubec nevadi, za kvalitni software totiz zaplatime radi.

Podivejte se na specint, specfp benchmarky pod AIXem a i5/os na stejnem hw. Uvidite, ze i5/os neni pomalejsi. Mainframy se nepouzivaji na matyku, od toho jsou blade systemy http://www-03.ibm.com/systems/bladecenter/hardware/servers/qs21/index.html

No, takze jsme se dozvedeli, ze i cybersquatteri pouzivaji iSeries a ze jim to pekne nese. Supr.

Ted trochu k te technice:

To, ze je pro nekoho rozhodujici cena ku vykon je spise pozitivni vlastnost - ne kazdy si musi honit ego, ze mu v servrovne jede Velka Modra. Co si pamatuji (jsem z mini nejakej ten rok pryc), licencni model AS/400 byl dost otresny (ve smyslu: otresny pro zakaznika, super pro IBM) - pro ty, co nevedi - funguje to tak, ze masina obsahuje fyzicky kremik, ktery ma OS zakazan pouzivat. Po zadani klice (za tucny peniz) se vam tak treba spustil dalsi procesor. Disky se musely nakoupovat pouze od IBM za jejich ceny, atd.

Co se tyka AS, tak WebSphere neni zdaleka jediny "high end", jsou tady jini dodavatele softu: BEA (dnes uz Oracle), Sun, atd. Mit predstavu, ze od IBM je to nejlepsi je opravdu lehce naivni, IBM neni zadny magichouse.

U MQS je nejhorsi opet cenova politika, kdy fakt za kus relativne elementarniho SW vyplaznete mega za kazdy node. To je IMHO v dnesni dobe trosku mimo.

DB/2 JE SHIT a to myslim zcela vazne. Ta databaze neumela (par let nazad) zcela zakladni SQL konstrukty (LIMIT), neumela dynamicke typovani, neumela proste nic. Ano, v MySQL se dela DALEKO lepe, protoze to programatora neprca za kazdou volovinu (ted ponechavam stranou rozliseni ucelu DB - nejsem fanatik, abych rikal, ze MySQL se da nasadit misto enterprise-level DB. Za MySQL si dosadte Oracle ci cokoli jineho - proste DB/2ku poboucha jakakoli jina rozumna SQL DB - bud pritulnosti nebo funkcemi).
Coz mne privadi k tomu, ze plivete na OSS - pricemz vetsinu tech "super" nastroju, ktere popisujete, jsou prave OSS. Takze ano, bez OSS je to shit, protoze na tom nebezi python, perl, atd. V dnesni dobe pouzivat COBOL z jinych nez historickych duvodu je proste blbost, to jiste uznate ;-)

Licencni model AS/400 neni tak zly jak predvadite. Muzu mit napriklad 4 procesory v masine, ale pro DB2 pouzivat jen 2, protoze jich vic pro DB nepotrebuji a tudiz mam pak levnejsi licence. Flexibilita v licencovani nikdy neni na skodu.

Krom toho jak jsem ukazal pocet cracku na linux je asi 100x vetsi nez na iSeries. Takze ano, provozovat aplikaci na linux je bezesporu levnejsi ale jen do te doby nez ho nekdo crackne. Nebavime se ale o zabespeceni nejakeho serveru ala root.cz, kde kdyz to nekdo crackne nic se nedeje, proste se data obnovi ze zalohy. Uspesny crack registracni masiny by umoznil slohnout domeny v cene peknych par mega dolaru. Mne nepripada jako dobry napad usetrit desetitisice za licence a pritom 100 nasobne zvysit riziko ze mi nekdo ukradne desetimiliony. Mne pripada mnohem lepsi napad ty desetitisice rozlozit tak abychom se o tyto naklady podelili se zakazniky, na kazdeho vyjde ve finale jen par dolaru a to se jeste vydeli poctem zaregistrovanych domen.

Aplikacni server od Sunu jsme zkouseli. Verze Glassfish 2.0 nejenze nema vsechny featury WAS, ale hlavne leakuje pamet a deadlockuje se.

MQSeries neni nejaky extra drahy soft, koukam do ceniku a pro unixy stoji jen $66/PVU. Je to IO bound uloha, takze rekneme 2 cpu cores bohate staci, 150kc by to v klidu pokrylo. Vam to pripada drahy? Mne vubec ne.

S DB2 pracuji od verze 4, a uz ctyrka mela UDT a u SELECTU OPTIMIZE FOR XXX ROWS. Pravda LIMIT nemela ale to nebylo potreba: zadejte u dotazu optimize for 20 rows, fetchnete 20 radek, zavrete cursor.

Ja nepokladam python a perl za super nastroje. My je tu pro programovani na iseries vubec nepouzivame. Jen jsem ukazoval, ze pokud nekdo touzi na iseries po techto prostredcich je mozne jejich nainstalovani. V Cobolu si piseme kratke moduly do CICS.

to je tak krasne tato vasa sukromna masturbace
mozem vas uistit, ze vam vsetci zavidime, a hrozne.
ale co s nami sockami, mozme len zospodu pozerat na vas milionarov...

Mají pravdu - nikdo je nepoužívá. To, že 50% zákazníků IBM má nějaký mainframe OS neznamená že jsou hodně používané. Jsme IBM advanced partner a všechno co klientům prodáváme stojí na strojích od IBM. Téměř všechno je AIX. Pravda, za ty roky se nainstalovaly dvě AS/400 a jeden z/OS - jedna z těch i5 pro nás. Ale to je všechno. Ta druhá i5 v jisté firmě teď běží AIX programy. :)

Kvůli tomu nepíšu. Mainframe OSy jsou prakticky mrtvý (byť System i je fakt c00l z hlediska virtualizace instrukčních sad, myšlenky univ. bytecodu, etc) a je to škoda. Takový p5XX s AIXem je něco jinýho. Ty dodáváme prakticky non-stop, ale to je klasický UNIX.

Všechno to začalo tou bezpečností a k tomu bych se chtěl vrátit. Je vidět Lenine že absolutně nemáš představu. Ty vycházíš z nějakých reportů Secunie? Hahahaha....

Pro AIX (vč. 5300-07-01) mám 5 local root exploitů a jeden remote root. To nemluvím o těch co ty - tyhle jsem našel já a nikde o chybách na kterých stojí nenajdeš ani slovo. Oficiálně neexistujou a proto mi budou ještě hodně dlouho fungovat. Další lokální "exploit" (díky, QSPGETSP/QSPPUTSP!) mám pro i5 (V5R4, seclev 50) na naší 570. Víš proč o nich nevíš a ty díry tam budeš mít otevřené pro lidi jako já ještě hodně dlouho? Protože jejich hodnota je mnohem větší a nikdo se jich jen tak pro svůj zápis do análů Bugtraqu nevzdá! Já si je budu držet, dokud nějakou náhodou nezmizí. Mainframe OS je bezpečnější MY ASS!

Můžu ti garantovat, že nejsem sám. Tvoje směšná čísla ze Secunie mají s realitou bezpečnosti jedinou skutečnou souvislost: čím větší, tím víc triviálních chyb bylo odstraněno a tím je daný systém blíž k bezpečnému ideálu. Všechny tyhle minoritní a proprietární systémy jsou svojí děravostí o několik řádů jinde (víc děravé), než Linux a spol. Fakt je ten, že když se automaticky držíte posledních updatů a máte dobrý vícevrstvý bezpečnostní model, je takový systém mnohem bezpečnější s Linuxem.

Nakonec si je ale potřeba uvědomit, že žádný systém není dokonalý a pokud potřebujeme absolutní bezpečnost, je potřeba předcházet možným útokům fyzicky. Demizony, oddělené service/maitenance sítě, firewally, IDS i na ten jeden (právě na ten jeden) portík, který máte na fw otevřený a běží na něm TA servisa, IDS uvnitř, anti-LKM moduly a nástroje, security labely, MAC. A tak dále, kam až sahá vaše oprávněná paranoia.

Málokterý systém je možné tak ověsit dodatečnou (a často účinnou) securitou jako Linux. To, že to nikdo nedělá, je jejich problém.

ZÁVĚR: AIX, i5, resp. stará AS/400: to všechno jsou - na poměry Linuxu - systémy děravé jak řešeta! Najít v nich díru je tisíckrát snazší než najít stejně dobrou díru v Linuxu. Jen doufám, že nejste nějaký bezpečnostní poradce. To pak pán budiž milosrdný s vašimi zákazníky. Hahahahahahahahaha...