השירות החדש של לינגנו, ועלילות השרת בעיר הגדולה

עדכון: חלק מהעומס טיפה ירד. מספיק כדי לכתוב מסיפורי התקופה האחרונה.

קנינו שרת חדש. מטרת השרת היא לספק שירות לעסקים קטנים – גיבויים מרחוק.

הרעיון הוא פשוט. במקום לקנות טייפ גיבוי, קלטות גיבוי, לזכור להחליף קלטת כל יום, לזכור לבדוק שהקלטת אכן נכתבה כמו שצריך, ולזכור להחזיק את הקלטות במקום בטוח מחוץ למשרד, קונים שירות. בעברית – קונים שקט נפשי תמורת קצת כסף (לא הרבה, דרך אגב, אבל אני, כמובן, משוחד).

קצת הסבר על מה זה גיבוי (אני יודע, כולם חושבים שהם יודעים).
אספקט אחד של גיבוי זה משהו שכולנו מבינים – אם יש תקלה כלשהי, שיהיה איך להגיע למידע. זה אספקט חשוב, אבל גיבוי זו לא הדרך היחידה, או אפילו הכי טובה, להגיע אליו. למשל, raid נותן אף הוא הגנה מפני תקלת חומרה, ובמובנים מסויימים אף עובד יותר טוב.

גיבוי נועד להגן על דברים נוספים. להלן כמה אירועים שעלולים לקרות לעסק. גיבוי שמבוצע נכון מגן מפני כולם:
1. נכנס וירוס ומוחק את כל הדיסקים.
2. יש פריצה לעסק, וגונבים את המחשבים.
3. שריפה בבניין גורמת לנזקים לציוד
4. עובד ממורמר, או שעל סף עזיבה, מחבל בנתונים על המחשבים.
5. אי תשומת לב של רגע גורמת לנזק לנתונים. למשל – לא שמתם לב ומחקתם קובץ חשוב.

כדי להגן מפני 1, יש צורך שיהיה העתק נוסף על המידע, לא על הדיסקים שאיתם עובדים. כדי להגן מפני 2 ומפני 3, חשוב שההעתק הנוסף יהיה במקום שהינו פיזית שונה. 4 הוא מסובך במיוחד, מכיוון שיכול להיות שהנזקים שעשו בכוונה היו קטנים אך מכאיבים. כדי להגן מפני זה חשוב לשמור על העתקים ישנים של הגיבויים, כדי שיהיה מקור להשוואה.

הבעיה עם כל הנ”ל אינה שאי אפשר להתמודד איתם. אפשר, והדרכים לעשות את זה הן אפילו דיי ידועות ומקובלות. הבעיה עם הנ”ל היא שכדי להמודד עם האיומים כמו שצריך, צריך המון המון תשומת לב קבועה. הסיבה שגיבויים לא קורים כמו שצריך הינה שהגורם האנושי בד”כ מכשיל אותם.

לינגנו, מצידה, עושה את הדברים הבאים כדי להבטיח שהמידע שלכם יישאר בטוח:
1. כל המידע מוצפן טרם עזיבתו את החברה. כמו שכבר עדכנתי פה – בשביל זה יש את rsyncrypto, שכבר נמצא בגרסת 0.04. פירושו של דבר זה שלנו אין שום דרך לדעת מה המידע שאחנו שומרים כל כך בקנאות שישאר תקין.
2. כל התהליך הינו אוטומטי. הלקוחות לא צריכים לזכור לעשות משהו. הגיבוי, כולל שמירת גרסאות ישנות ושמירת העתק מחוץ למשרד, פשוט קורה.
3. המידע מועבר לשרת שיושב אצל ספק שירות. ניתן לבקש לשמור גרסאות ישנות של המידע על פי קריטריונים ידועים מראש. ניתן להכתיב בצורה קלה ופשוטה מה יגובה.
4. השרת כמובן מגובה בכל האמצעים הסטנדרטיים לשמירה על הנתונים (raid, אבטחת מידע וכו). כחברה, אבל, אנחנו לא מסתפקים בזה.
5. כל המידע על השרת מועתק על בסיס יומי לשרת שני, שיושב במשרדי לינגנו.
6. כל המידע נשמר על קלטות, ואילו נשמרות בכספת בבנק.

במילים אחרות, כדי שלא ניתן יהיה לשחזר את המידע שלכם, צריכות לקרוא הפעולות הבאות:
1. מישהו צריך לפרוץ לבנק ולגנוב את תכולת הכספת
2. לפני שהספקנו לשחזר את המידע אצל הבנק, קרתה במשרדי חברת לינגנו שריפה שהשמידה את המחשבים אצלינו.
3. לפני שהספקנו לגבות את המידע בשנית מהשרת הראשי, מישהו לקח פטיש והשמיד את כל הדיסקים שם, אצל ספק האינטרנט.
4. לפני שהספקנו להחליף את הדיסקים, פגע בכם וירוס שהשמיד את המידע.

במילים אחרות, בעלות שלעניות דעתי המשוחדת הינה מאוד סבירה, אתם מגינים על עצמיכם מפני כל שלושה כשלים שעלולים לקרות. אם אתם שומעים על מישהו שמעוניין, אני כמובן אשמח אם תעבירו לו את כתובתינו…

עכשיו לסיפורי השרת. כפי שבוודאי הבנתם, צריך שרת שיחזיק את כל הסיפור. אחרי מחקר שוק מסויים, התמקדתי על IBM xSeries 346, בעיקר בגלל המקום שיש בו לדיסקים (קריא – הרחבות עתידיות). קיבלתי הצעת מחיר, והתחלתי לבדוק את החומרה לתאימות ללינוקס. היו כמה תלונות על התקנה מעט קשה, בגלל שההתקנה של Debian לא מזהה את הדיסקים, אבל אחרי התקנה הכל בסדר. מתוך ההנחה שעל בעיות התקנה אני אצליח להתגבר, ביצעתי את ההזמנה.

אחרי שביצעתי אותה, מתקשר אלי איש המכירות ואומר שהוא בטעות הכליל בהצעת המחיר בקר raid משוכלל מזה שהשרת מגיע איתו. הוא מוכן לתת לי את הבקר המשוכלל בחצי ממחיר העלות שלו, אבל הרגיל מגיע עם תמיכה ב-raid-1, שזה כל מה שאני צריך כרגע, אז אני אומר לו “עזוב”.

המשוכלל – ServeRaid-7k
הפשוט – HostRaid

וכאן החטא הקדמון. אף אחד מאיתנו לא שם לב לכך שבעצם את כל הבדיקות עשינו על הבקר שמצויין בהצעת המחיר, לא על הבקר שהגיע בפועל.

עיצה ידידותית:

אל תקנו חומרה mission critical שדורשת driver קנייני


באמת.
פשוט תגידו “לא תודה”.

אחרי יומיים של נסיונות נואשים להתקין את המחשב, הבנתי מה הבעיה. ה-driver שחשבתי בהתחלה שצריך, ips, הינו דרייבר חופשי שנמצא כחלק אינטגרלי מהליבה של לינוקס. הוא לא זיהה את בקר ה-raid. אפילו נכנסתי לקוד המקור של הקרנל, וחיפשתי אותו. לא הבנתי למה הוא לא מזהה. הרי כתוב בקוד המקור במפורש: ServeRaid-7k. מה לא ברור?

תשובה – זה הרי לא ServeRaid-7k. זה HostRaid. אחרי יומיים של נסיונות כושלים, כשסוף סוף ירד לי האסימון על הנקודה הזו, התחלתי לחפש במקום הנכון. מסתבר שיש דרייבר גם לבקר הזה, אלא ש:
1. הוא קנייני לחלוטין. אין לו קוד מקור בכלל.
2. הוא מקומפל מראש רק עבור קרנלים דיי ישנים של RedHat ושל Suse.
3. אפשר להוריד אותו מהאתר של Adaptec, שם הוא מופיע תחת הכינוי “minimally tested”… אימרו לי ילדים. אם אתם לקוחותי, ואני מספר לכם בגאווה על המערכת החזקה שקניתי, עד כמה היא עמידה לתקלות, ועד כמה היא רצה נפלא על הדרייבר שנבדק בצורה מינימלית ע”י adaptec, עד כמה אתם תשמחו לקנות ממני את השירות?

למי שמעוניין להסתכל בעצמו, הדרייבר נקרא “a320raid“.

בקיצור, קנינו את התוספת של ה-ServeRaid-7k, ובא לציון גואל. הכל עובד נפלא. ואתם, ילדים, זכרו את המסר הבא. הסתמכות על דרייברים קניניים פירושה שמישהו חיצוני מכתיב לכם איזו מערכת הפעלה לשים, איזו גרסה, מתי לשדרג, ואיך להתייחס לעדכוני אבטחת מידע. ראו הוזהרתם.

שחר

Openssl….

כמו שאתם רואים, אני מאוד עסוק בזמן האחרון, וקצב העדכונים ירד בהתאמה.

כמה הערות “חדשותיות”:
– הגשתי הצעה למאמר+הרצאה לאוגוסט פינגווין. נראה אם תתקבל.
– היום מפגש להתחיל להכין את Go-Linux 2005, שייתקיים באפריל. בואו נקווה שהפעם תהיה יותר הכנה, ובהתאם גם כנס ברמה גבוהה יותר, מאשר 2004.

ועכשיו ההערה הקצרה שרציתי להגיד. יש ספריה בשם OpenSSL. מכילה את כל התשתית לכמעט כל פעולת הצפנה שמתכנת סביר ירצה לעשות בימים אילו. יש רק בעיה אחת איתה.

התיעוד.

למשל – הספריה הזו כוללת תמיכה מלאה ב-AES – סטנדרט ההצפנה שהחליף לפני שנים מספר את DES. נסיון למצוא תיעוד על כך באתר של openssl מעלה חרס. כאילו שאין בכלל תמיכה.

למרבה השמחה, יש את קוד המקור, ויש את הפקודה openssl, שמהווה למעשה תוכנית דוגמא לכל היכולות של הספריה. עדיין, תיעוד (טוב) זה יותר נוח. יש לי כרגע בעיה מסויימת שאני ממש אצטרך להכנס ל-openssl עם debugger כדי לבדוק למה הוא לא עובד.

בימים כאילו אני נזכר במשפט שקראתי ב-fortune פעם (תירגום לעברית על ידי):
תיעוד זה כמו סקס. כשזה טוב, זה ממש טוב. כשזה רע, זה עדיין טוב יותר משום דבר.

שחר

טרי מהתנור

חברתי נכנסה הרגע בפאניקה (היא עדיין פה). אתמול הסתבר לה שעל הלינוקס שמותקן אצלה בירושלים אין frozen-bubble! אז אמנם עוד לא לימדתי אותה את נפלאות apt-get, אבל הייתם מצפים שאת מספר הטלפון שלי היא תדע כבר בשלב זה של יחסינו….

שחר

עדכון מצב, ועל אמינות בדיקות גרפולוגיות

דבר ראשון – עדכון. אני מודע לזה שבזמן האחרון אני מעדכן פה פחות. אני עובד במלוא המרץ על תוכנה חופשית חדשה. הבאמת סקרנים יכולים להסתכל על דף מצב כמעט חסר תוכן (אבל שמאפשר גישה ל-CVS עם הקוד) באתר של Sourceforge. אני אעדכן כאשר יהיו דברים יותר מהותיים.

דבר שני (התפרסם בסלאשדוט, בין השאר) – לפני כמה ימים נשא ראש ממשלת אנגליה נאום בועידה. אחרי הועידה מצאו העיתונאים דף עם קישקושים. מלאי רצון לנגח, הם שכרו שירותי גרפולוגים לבצע ניתוח של הכתב.

בין הממצאים: נאבק להתרכז, לא מנהיג טבעי, נאבק לשמור על שליטה בעולם מבלבל.

רק בעיה אחת קטנה יש. הקישקושים לא שייכים לטוני בלייר. הם שייכים לאחד, ביל גייטס.

דובר דאונינג 10 לא ניסה אפילו להסתיר את הציפיה שלו לדעת איך יגיבו העיתונים לאור העובדה שהם כיוונו את החיצים שלהם למקום הלא נכון. דוברי ביל גייטס אישרו שכתב היד הוא שלו.

אני יודע שגרפולוגיה אינה אסטרלוגיה, ושיש סימוכים מדעיים מאחורי ניתוחים גרפולוגיים. עדיין, כל עוסק במלאכה מתפתה להשליך ממה שהוא יודע מידע כללי על המקרה שלפניו. זה בגלל שבעוד שגרפולוגיה עשויה להיות מדעית, אנשים ישארו בני אדם. אני תוהה עד כמה ישתנה הניתוח לאור שינוי הזהות העומדת מאחוריו.

שחר

ואנדליזם בשרת הבאגזילה לא של מוזילה

פורסם פה לראשונה (בעיקר כי סלאשדוט החליטו לא לפרסם, ראוי לציין).

מישהו (מישהי?) עברה על כל הבאגים הפתוחים (ואולי כולם בכלל) בבאגזילה הבוקר, וסגרה את כולם כ”פתורים”, תוך הוספת ההערה הבאה:

these bugs are not from me they where on there when i bought the computer.



נכון לרגע כתיבת שורות אילו, כל מערכת הבאגזילה של מוזילה נעולה לגישה מבחוץ. כנראה שהם מנסים לתקן את הנזק.

שחר

תיקון (באדיבות צחי) – הואנדליזם הוא ב-mozdev, שהוא אתר חיצוני למוזילה.

ועכשיו באנגלית, לטובת קוראינו מחו”ל.

Vandalizm in Mozdev’s Bugzilla server


(For some reason, Slashdot did not find this news worthy).

Someone went over all the open bugs (or maybe all bugs altogether) in Mozilla’s Bugzilla server, and marked them all “Fixed Resolved”, adding the following comment:
these bugs are not from me they where on there when i bought the computer.

As of right now, trying to access bugzilla result in “access denied”. Presumeably, someone is trying to fix the damage.

Shachar

Correction (curtesy of Zahi) – the vandalizm is in mozdev, which is not the actual mozilla site.

וירוסים זה לא מה שהיה פעם

הוירוסים של פעם היו פסגת הטכנולוגיה והיעילות. הם הדביקו קבצים בחורים שהיו בקבצים ממילא, בלי להגדיל את הקובץ. הם הדביקו מאחורי גבך, בלי ששמת לב או עשית באמת משהו. הם תפסו את עצמם על המערכת שלך בציפורניים כדי שלא תוכל להוריד אותם. הם היו קטנים, ממזריים ומושקעים.

הסתובבה פעם ברשת בדיחה ששואלת למה חלונות אינה וירוס. הבדיחה מנתה רשימה של תכונות רעות שהיו לוירוסים, וחלונות (זה היה 95, אם זכרוני אינו מטעה אותי) הכיל את כולן. ואז מגיעה שורת המחץ – וירוסים הם קטנים ויעילים, וכך תדע שחלונות 95 אינה וירוס.

בנסיון להקטין את כמות הג’אנק שנכנסת לי לתיבת הדואר, אני מנטרל כתובות שרק וירוסים שולחים אליהם. בנסיון לקבל רשימה ממצה את הכתובות, פתחתי את אחד הוירוסים שקיבלתי. הממזר שוקל כמעט 60K! לכל מי שלא חושב שזה הרבה, שייקח בחשבון שהיו כבר וירוסים של כמה בייטים בודדים. Slammer, שהפיל את האינטרנט, היה כולו 130 בייטים בערך. מסתבר שגם רמת כותבי הוירוסים ירדה.

שחר

נ.ב.
האם זה אומר שחלונות היא כבר כן וירוס?
ש.

וירוס חלונות חדש

יש וירוס חדש שמתפשט באמייל. אני יודע את זה כי הוא מפציץ אותי בכתובות דוא”ל שלא קיימות בדומיין שלי. למרבה הצער, clamav טרם למד אותו, אז אני ממש מקבל אותו.

אני מניח שיכל היה להיות יותר גרוע. אם הייתי משתמש חלונות, הוא יכול היה להדביק אותי.

שחר

על מצלמות ציבוריות ופרטיות

בעיקבות פוסט של האחת, עולה בליבי תהייה. זאת לא תהייה מקורית במיוחד. אפשר לראות את אותה התהייה, בשינויים קלים, מועלית ע”י גל מור ב-YNet.

השאלה היא, מדוע ויכוחים, מריבות, ותצלומים שונים, שאמורים להיות משהו פרטי או אינטימי, יכולים פתאום לזכות לחשיפה כל כך רחבה באופן כל כך חד צדדי. במקרה של ההורים מ-YNet, מדובר במשהו מאוד מובן – יש פה נושא שנוגע בעצבים חשופים של כל הורה, שפורסם בפורום שבו העצבים האילו רגישים במיוחד. אין באמת מה לעשות נגד דברים כאילו למעט לגלות קצת אחריות אישית לפני שלוחצים על FWD, ואולי משפטית אחרי המקרה.

המקרה השני הוא המטריד יותר. לא בגלל הנזק שהוא עשה. יכול להיות שהוא עשה נזק, אבל את זה אנחנו לא יודעים. המקרה הזה מטריד יותר בגלל המצלמה שצילמה אותו. הזוג שאנחנו רואים שם צולם ע”י מצלמה על עמוד, כזו שהותקנה שם ע”י רשות זו או אחרת. העובדה שהתמונה הזו הגיעה לבלוג אקראי בארץ שלא משחקת כדורגל אמריקאי אומרת שמישהו, שמקבל משכורת מהממשלה בצורה ישירה או עקיפה, לקח את התמונה הזו והפיץ אותה. השאלה שאנחנו צריכים לשאול עכשיו היא “מה עוד הם יפיצו”, ומה שאולי יותר גרוע, “למי”?

על ימין ועל שמאל מספרים לנו שאמצעי המעקב האילו נחוצים כדי לשמור על בטחונינו. לא מתעקבים כמעט כדי לשאול “ומה עם הפרטיות שלנו?”. מיקרים שבהם פקידים של מס הכנסה חילקו מידע על נישומים, חלקם תמורת כסף, וחלקם ללא כל תמורה, מתפרסמים מדי פעם. מה יקרה כאשר הרשויות ידעו עלי ועליך יותר מאשר כמה אנחנו מרוויחים? מי יעקוב מה קורה עם המידע אז?

וכל מי שחושב שאין לו מה להסתיר, ולכן אין לא סיבה להתנגד, צריך לקחת בחשבון משהו חשוב. בהיסטוריה שלנו, המהפיכות החברתיות, האידיאולוגיות וכל שאר השינויים החשובים שקרו בחברה נבעו מאותם אנשים שלא היו בתוך הנורמה, שלא התנהגו כמו כולם, ועל כן, שכן היה להם מה להסתיר. הרבה מאותם אנשים היו אנשים שלא היו אהובים במיוחד ע”י רשויות השלטון.

ע”י כך שאנחנו מגדילים את השקיפות של האזרח הקטן בפני המדינה אנחנו מקטינים את היכולת של כולנו, בתור חברה, להתפתח. אחידות לא מביאה להמצאות. גם אם אתם, בצורה שבה אתם מנהלים את חייכם, לא תושפעו במיוחד באופן אישי מאובדן פרטיות כלפי המדינה ורשויותיה, הרי שזה יפגע בכם באותם דברים שלא יקרו כתוצאה מכך.

הפעם הדוגמא היתה קטנה, אולי אפילו מצחיקה. מישהו שהוא כנראה דיי אנונימי, נתפס עם המכנסיים למטה (מילולית) במצלמת רחוב. ההשפעות העקיפות של זה, אבל, הן כאילו שעלולות להשפיע עלינו ממש.

שחר

Bear