Vlákno názorů k článku
Preference vývojářů podle OS
od M. Prýmek - Když už jsme u toho, jak jsou Windows...
-
Když už jsme u toho, jak jsou Windows super, mám jednu (dvě) otázky:
Port 22 je terčem neustálých útoků script kiddies. Tak jsem si řekl, že si je chvilku budu mapovat: umístím tam server, který zaznamená čas a IP, hostname protistrany. Pro zpruzení útočníka spojení přijme, ale nebude nijak odpovídat, takže útočníka donutí čekat a posléze se odpojit (pokud má ten skript nedokonale napsanej, tak mu to tam dokonce zůstane viset :)
Stačil mě na to xinetd, bash a asi dvě minuty času.
Otázka 1: Jak by se to udělalo na Windows a jak dlouho by to trvalo?
Otázka 2: Když je Windows tak pokrokovej systém, jak se tam dělá jail? -
Lael Ophir (neregistrovaný)Na problém portu 22 bych asi napsal pár řádek v C#, nebo v PowerShellu. Ale bylo by to zbyečně obtížné, souhlas. Teď jiná: když chci ve Windows najít své dokumentya emaily ve vztahu k pojištění, stisknu tlačítko Start, napíšu slovo pojištění, a jak píšu, fulltextový index mi vyhazuje seznam výsledků. Jak tohle udělám na unixech? A co myslíte, že uživatelé potřebují častěji? Features typu "budu odchytávat script kiddies na portu 22", nebo typu "potřebuji najít dokumenty o pojištění"?
Ve Windows se prostě nedělá jail, neumí ho. Ale umí řadu jiných věcí, třeba Performance onitor, kde se dají sbírat data o paměti, discích, procesech, síti, a čemkoliv dalším. Je to otevřené a rozšířitelné, takže například MS SQL Server, Exchange, antiviry a další nabízejí své vlastní say dat. Ve výsledku si můžete nechat vynést na graf a sesbírat do souboru data o délce diskové fronty (detekuje bottleneck na straně disků), přístupu ke swap file (zřejmě nedostatek paměti) atp. Výsledek můžet zobrazovat, nebo exportovat do CSV (ať žije Excel). Jinou pěknou feature je auditování. Můžete nastavit na FS a Registry, že chcete zapisovat třeba audit všech neúspěšných pokudů o zápis v adresáři Mzdy, který provedli uživatelé ze skupiny Účetní. Plus samozřejmě audit řady dalších událostí. Srovnejte s možnostmi na unixech. -
(Udělám výjimku z toho, že se s arogantníma anonymama nebavím, když už jsem tu otázku položil...)
Zmáčknu jabko+mezerník a "jak píšu, fulltextový index mi vyhazuje seznam výsledků". Navíc jsem tuhle funkcionalitu měl už pěkných pár let. Ale u Windows, které "jsou ve všem na špici", je to samozřejmě horká novinka a vymoženost, že?
>Ve Windows se prostě nedělá jail, neumí ho. Ale umí řadu jiných věcí...
Řada jiných věcí je mi u šosu, já jsem se ptal, jestli umí jail, když je to nepřemožitelná špička. IMHO jail je základ preventivní bezpečnosti, bez něj si s tím systémem můžete jít k šípku. -
Lael Ophir (neregistrovaný)MS nabízí fulltextový index od roku 1997. Od Windows 2000 je součástí instalace OS. Teprve Vista má ale GUI, které ho využívá. Ve starších verzích Windows bylo nutné stáhnout interface, který se do fulltextového indexu dotazoval.
Já měl za to, že z jail se dá utéct. Lepším modelem je .NET Code Access Security. Například .NET aplikace běžící v kontextu browseru nemá přístup k lokálnímu FS, přesto že běží v kontextu uživatele. Je to dost podobné Mandatory Access Control. -
anonymníFulltextovy index byl uz v nextstepu, odtud se podedil do MacOS. Ve win v te dobe nebyl, ale pak si asi MS rekl, ze je to uzitecne a naimplementoval to taky. Stejne tak se to dostalo i do linuxu.
Jinak k tomu Performance monitoru, jak dlouho Vam bude trvat nastavit ho tak, aby pro urcitou kombinaci souboru a procesu zmeril rekneme prumernou velikost (i s rozptylem) u dat zapisovanych na disk (nebo klidne i cokoliv jineho). A jak dlouho Vam to bude trvat v dtrace (pokud ho tedy znate). -
Lael Ophir (neregistrovaný)Nevím, jesti měl NeXT fulltextový index, případně od kdy. Zato vím, že MS nabízel fulltext index zdarma ke stažení pro Windows NT 4.0 v roce 1997 či dříve. Jednalo se od začátku o modulární Sw, ke kterému si můžete napsat vlastní filtr. Například společnost Adobe napsala filtr pro PDF dokumenty, a MS dodává filtr pro fulltextovou indexaci TIFF obrázků za použití OCR.
Ve Windows 2000 byl fulltext index součástí každé instalace. Problém byl, že interface pro fulltext search byl poměrně důkladně ukrytý. MS poté začal nabízet nějaký frontend, tuším nějaký MSN Search Toolbar či co (hledal na inetu i lokálně). Ve Vistě je fulltext integrovaný všude, a vyznačuje tím, že používá nízkou prioritu I/O operací, takže nezopmaluje počítač.
http://msdn.microsoft.com/en-us/library/ms951563.aspx
http://msdn.microsoft.com/en-us/library/ms689718.aspx
Performance Monitor (lze použít i po síti) umí měřit počet I/O requestů (plus write requestů, read requestů) za vteřinu, a počet zapsaných či přečtených bytů za vteřinu. Ovšem pokud chcete provádět troubleshooting konrkténí aplikace (třeba DB engine), tak aplikace často vystavuje vlastní counters. Například MS SQL Server poskytuje pár set hodnot, ve kterých se můžete přehrabovat. Oracle (ve Windows) také nabízí countery. Faktem ale je, že problémy s výkonem nejsou ve Windows časté, takže někteří admini Performance Monitor asi nikdy nepoužili.
http://msdn.microsoft.com/en-us/library/ms190382.aspx
dtrace neznám. V Performance Monitoru si vyberu objekt (třeba Physical Disk / Split IO/sec), podívám se na description (Split IO/Sec reports the rate at which I/Os to the disk were split into multiple I/Os. A split I/O may result from requesting data of a size that is too large to fit into a single I/O or that the disk is fragmented.), vyberu si instanci (všechny disky celkem, nebo vybraný fyzický disk), kliknu na tlačítko Add, a hotovo. Jak dlouho mi ude trvat naučit se ovládat dtrace? A bude se mi do toho vůbec chtít, když mám Performance Monitor, který toho jednak umí nesrovnatelně více, a pak se daleko snáze ovládá? -
anonymníPosledni verze nextstepu je z 95 a to se menilo minor cislo, takze by se neobjevily nove aplikace. Z toho usuzuji, ze tam byl drive, nez ve win. Kdyz si vzpomenu, jak se ta aplikace jmenovala, tak ji zkusim najit.
Nesrovnatelne vice? Vzdyt jste napsal, ze ho neznate. Kouknete se na stranky SUNu (mate-li cas) nebo na wikipedii, kde jsou kratke vysvetlujici ukazky. Dtrace je genialni nastroj, takze ho od SUNu prevzali i ostatni (akorat v linuxu neni jedna stabilne rozsirena userspace utilita). -
Lael Ophir (neregistrovaný)Sun uvedl v roce 2005 dtrace s velkou pompou. Ono bylo na čase, protože od roku 1993 do roku 2005 nenabízel a tomto poli ani zlomek možností toho, co uměly NT. Papíry k dtrace jsem četl, ale nezkoušel jsem. Když se podívám na samples, tak mi dtrace nepřijde jako geniální, ale jako obšleh Windows performance counters bez GUI.
-
anonymníLibi se mi, ze si muzu umistit sondu na libovolne misto v jadre. Klidne do ovladace k sitovce. Jazyk dtrace je intuitivni (pokud umite awk), takze gui neni potreba. Da se presto delat s produkcnim kernelem vpodstate cokoliv (klidne vymenit pro urcitou skupinu aplikaci nejakou funkci jadra za behu).
-
Lael Ophir (neregistrovaný)Intuitivní pokud umíte AWK? To mi nezní moc dobře ;). Koncept aplikací bez GUI je prostě uživatelům Windows (včetně adminů) cizí. Unixoví admini tráví dlouhý čas tím, že se memorují všechno možné, a potom to na té konzoli buší. My ze světa Windows se raději věnujeme principům. Rozšíření obou systémů ovládání (a zvláště nynější penetrace GUI na unixech) celkem jasně říká, co mají lidé raději.
To by mě zajímalo. Jak vyměníte určitou část jádra za běhu aplikace? Ve Widnows se provede zápis do nějaké tabulky pointerů, ale není to oficiálně podporované. Ve 64-bit Vistě dokonce znemožněné, protože to otevírá cestu kernelovým rootkitům. -
Lael Ophir (neregistrovaný)Takže unixový admin se narodí, sedne si ke konzoli, tam na něj bliká kurzor, a on se nic neučí. Prostě začne mastit příkazy, které se mu najednou začnou nějak zjevovat. Tak nějak si mám vysvětlovat, že unixovi admini dlouhy cas memorovanim netravi?
GUI mají kupodivu rádi admini Windows, vývojáři (kolik jich píše na konzoli, a kolik ve Visual Studiu nebo jiném IDE?), uživatelé... Prostě každý, s výjimkou unix adminů. -
Lael Ophir (neregistrovaný)Jenže tak jste se nenarodil. To jste se jen memoroval spoustu věcí, a jak jste je používal, začaly vám připadat přirozené. Tímto ovlivněn potom vidíte u dalších věci logické uspořádání (resp. podobné uspořádání, na které jste zvyklý), a jiné jsou zase "prasárny", i když nejsou nikde zakázané. Mezi "prasárny" můžeme počítat třeba mezery v názvech souborů (ty jsou v pohodě, ale autoři skriptů často zapomínají escapovat), diakritika v podstatě kdokoliv (i když v mailu to snad ani na unixech není problém), a řada dalších věcí.
