![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
В одной маленькой, но гордой стране было, как водится, правительство. А у правительства были сайты. И у разных других государственных органов тоже. А чтобы за ними всеми ухаживать, был специальный датацентр. И все там было сделано по науке. Снаружи файрволлы очень умные, внутри фейковые IP с NAT'ом, и такое разграничение доступа, что иногда даже на соседнюю машину в той же подсети не попадешь, пока дырочку специльно не проделают. И мониторинг всякий, чтоб если враги как-нибудь пролезут, то их бы сразу видно было. И инженеров тьма. Обслуживают это всё, патчи, производителями рекомендуемые, ставят, и всё такое. Правда, пока они там разберутся, кто за что отвечает, недели три-четыре пройти может, ну да речь не о том.
А только однажды пришла беда, откуда не ждали. Просочилась на машинки нехорошая программа. Прямо по HTTP, который, понятное дело, открыт был наружу. Обосновалась там и стала спам рассылать. А машинки мощные, и каналы толстые - правительство ж не поскупилось. Выключать машины нельзя - правительственные же сайты, конфуз будет. Почту блокировать тоже никак нельзя - там и полезная тоже рассылаается. И программу эту нехорошую даже видно, если приглядеться, а только как ее удалишь - она сразу обратно приползает, а патча против нее производитель еще не прислал..
Домашнее задание: как обычно, определить, что делать, и кто виноват.
Upd: производятеля я сознательно не называл, хотя это былслонёнок MS. Но если немножко подумать, с таким же успехом там мог стоять какой-нибудь Солярис или Линукс. В них тоже бывают дырки, представьте себе.
И если это, скажем, какое-нибудь переполнение буфера в ядреном вызове из-за неправильной обработки какой-нибудь совершенно корректной строки, то результат будет одниковый - ждать, пока производитель выпустит патч. Будь то MS, Sun или open-source сообщество. Найти специалиста, который сможет найти и пофиксить баг в ядре линукса, может оказаться дольше и дороже, чем достучаться до коммерческого производителя.
Поэтому вопрос совершенно не в конкретной операционной системе, а в организации производственного процесса.
А только однажды пришла беда, откуда не ждали. Просочилась на машинки нехорошая программа. Прямо по HTTP, который, понятное дело, открыт был наружу. Обосновалась там и стала спам рассылать. А машинки мощные, и каналы толстые - правительство ж не поскупилось. Выключать машины нельзя - правительственные же сайты, конфуз будет. Почту блокировать тоже никак нельзя - там и полезная тоже рассылаается. И программу эту нехорошую даже видно, если приглядеться, а только как ее удалишь - она сразу обратно приползает, а патча против нее производитель еще не прислал..
Домашнее задание: как обычно, определить, что делать, и кто виноват.
Upd: производятеля я сознательно не называл, хотя это был
И если это, скажем, какое-нибудь переполнение буфера в ядреном вызове из-за неправильной обработки какой-нибудь совершенно корректной строки, то результат будет одниковый - ждать, пока производитель выпустит патч. Будь то MS, Sun или open-source сообщество. Найти специалиста, который сможет найти и пофиксить баг в ядре линукса, может оказаться дольше и дороже, чем достучаться до коммерческого производителя.
Поэтому вопрос совершенно не в конкретной операционной системе, а в организации производственного процесса.
Tags:
no subject
no subject
no subject
Найти специалиста, который быстро пропатчит сервис в open-source решении не дешевле, чем специалиста, который найдёт решение для win*
на этом уровне, разница уже не в платформе, а в способностях управляющих.
Для open-source решении, нужно знать людей, кто на такое вообще способны, и иметь к ним подход
для фирменого - иметь рычаги для давления на фирму.
В общем случае правительства, на фирму надавить может быть проще. Если, конечно, фирме интересен рынок этой страны.
no subject
no subject
Помнится, когда-то давно, контора в котрой я работал, решила таки протянуть выделенку, и поставить хороший сервер под всяческие интернет-сервисы. Сервер купили HP. Потмоу что под словами "хороший сервер", те, кто покупал железо, понимали "брендовый сервер". Тогда это было HP NetServer LC-какой-то там. EISA шина, SCSI диски, и всякое такое.
Конечно ставить и настраивать систему отдали провайдеру. Они же специалисты. Я тогда ваще про юниксы только слышал краем уха.
Думаю, можно найти во FreeBSD sourcebase тот патч, который делал ovod@dipt, на ядро, чтоб фря увидела толи контроллер SCSI, толи еще что-то на EISA шине этого сервера. Несколько лет позже, я находил этот патчик в /usr/src лежащий отдельно, и даже не поленился глянул в ChangeLog - они в следующей ревизии систему этот патч включили в основную ветку.
Windows NT, кстати, ставилась "из коробки". К серверу прилагался диск настроек и подробные инсрукции, как на наго ставить Win*, OS/2, NetWare, SCO Unix, итд.
Абстрактная "возможность самостоятельного поиска решения" - это хорошо. Но людям нужно готовое решение. Отсутсвие "под рукой" людей, которые способны разобраться в сырцах, может
1. оочень высоко поднять цену решения
2. и увеличить время
На тот момент, людей, которые могли такое сделать, в городе было, ну пара-тройка человек. На сегодня, думаю тоже. Это не Москва.
Есть еще одна история, когда в том же городе, ни один "юниксоид", ни на одной платформе не смог решить задачу хитрой раздачи потокового Video. Заказчик за ценой не стоял (в пределах разумного, конечно). Microsoft Support через несколько дней после обращения, выдал пошаговые инструкции, что из компонент добавлять, и как их настраивать, чтоб получить результат. Кроме цены лицензии, заказчик не заплатил ни копейки. Заказчику всёравно было, кому отдавать деньги. Чесслово. Им нужно было решить задачу. Юниксоиды, кстати, потратили больше времени суммарно. И так сходу, просили больше денег. Потому как специалистов, способных на такие извраты, опять-же, в городе было всего человек пять. И цену они себе знают.
Так вот, повторюсь - ключевой момент - управление.
Еще есть такой хороший показатель, для простых людей "цена владения". Очень часто, Microsoft Solutions, получаются дешевле. За счет массовости.
no subject
no subject
Но каким-бы это внутренее убеждение не было, люди часто хотят тривиально экономить деньги и время.
no subject
no subject
Опять-же, у разных людей разные пути экономии, даже при одинаковых внутрених убеждениях.
no subject
no subject
Решение уже принято. Даже если этого человека убрать, а поставить другого, ситуация будет... Другая. Но не факт, что лучше. С прикладной-практической стороны.
Да и лучшесть идейной стоороны, тоже не доказана.
Сложно аргументировать "личные внутрение убеждения". Да и не нужно, если вдуматься.
no subject
no subject
no subject
no subject
перефразирую:
Кто виноват: человек, который организовывал работу на MS Solution, и не организовал поддержку от MS с достаточным уровнем оперативности.
Что делать: по возможности решать своими силами, искать специалистов которые смогут залезть во внутрености IIS, и отловить эту заразу на этапе как она пролезает, парралельно, таки озаботиться сервисом MS для таких случаев.
no subject