Sergey Cherepanov: В идеале - нужно опираться на текущие потребности (с прикидкой на будущее, угу). Всё и сразу - очень очень много. И не столько с технической стороны, сколько с организационной. Дорогого стоит перестроить кучу процессов на конкретную систему.
1. Так биндинги к облакам и либа для ссх есть почти для всех языков.
2. В openQRM так-то много разномастных фич написано:) Надо бы пощупать.
Посмотрите на theforeman.org/. А по поводу orchestration - да хоть rundeck, mcollective или ansible - всё удобнее чем самому реализовывать.
3. Получается вы вопрос немного некорректно поставили :) Одно дело - просто выполнять команды на одном/нескольких серверах, другое - монструозная система все в одном + еще и для плохо обучаемых клиентов :)
Я думаю вам лучше сначала хм выделить то, что именно вы хотите от будущей системы.
Это управление облаками, управление машинами, провижионинг/деплой, мониторинг, управление конфигурацией, оркестрейшен...?
Если речь идет только о выполнении команд - лучше возьмите любую понравившуюся orchestration-тулзу (mcollective, например) и напишите над ней обертку для интеграции в ваш интерфейс.
XpeH Петрович: Для вашей текущей системы подойдет что-угодно. Хоть деплойте с помощью ansible или шеллскрипта - всё лучше чем руками.
Но даже на небольшом проекте удобнее сразу видеть кто сделал коммит, какие тесты провалены, чью ревизию задеплоили. Увеличивается прозрачность и управляемость на порядок.
GitLab CI не использовал - но как интегрированный продукт выглядит неплохо.
Обычно встает вопрос о доработках - кастомные отчеты, хитрые зависимости билдов, интеграция со всякими системами.
Виталий Слюсар: Я же написал - есть katello/pulp - управление подписками. Да и ядро поновее чем в центосе...
Так-то дебиан и сюся тоже отличные варианты :) Но я как-то с redhat-based чаще )
При работающей инфраструктуре правда почти не важно, какой дистрибутив :)
Всё равно будете ставить какую-нибудь легковесную DE а-ля lxde/xfce и стандартный офисный софт, который одинаково мэинтейнят подо все дистры.
Собственно и при не работающей инфраструктуре сопровождение любого дистра может превратиться в ад.
Dreamject: Вы меня окончательно потеряли :)
Очевидно, что ваш вариант с 6 байтами немного безопаснее, чем crc32 с 4 байтами %) Но он все равно на порядки хуже, чем sha-1 с 20 байтами)
Нагугливается по ключевому слову за 5 минут же. Не нужно каких-то особых хороших методик. У вас есть пары зависимых значений - в вашем случае ip, кол-во запросов, размер окна, время и т.д. Вы собираете статистику и пытаетесь обнаружить корреляцию между ними - для того, чтобы успешно определять аномальные пары значений.
Понятно, что вы не хотите пропускать запросы ботнетов. Но рейтлимит не сильно подходит под корректную реализацию контроля - абсолютно не контролируемые false-positive. Или у вас клиенты-физики и вам всё равно?)
Dreamject:
Удобный процесс - подпись кода.
Все правильно - при изменении исходного текста даже на 1 бит - нужно пересчитывать хэш.
Процесс будет идти быстро из-за того, что вы уменьшаете необходимое (в среднем) кол-во попыток.
Dreamject:
Используйте лучшие практики - публикуйте хэши и публичные ключи у себя на сайте.
Да не нужно это даже не обычному пользователю.
Если человеку важно соответствие и безопасность - он сможет прочитать инструкцию и проверить нормальный sha + md5.
А если там домохозяйка, которой все равно - то и ваш способ собственно вызовет недоумение полное. Какие хэши, какое визуальное сравнение crc, о чем вы..
Также как и не нужно это любому злоумышленнику. Ну не будут заморачиваться с подбором коллизий:) Смысла нет - не выгодно это. Проще добавить слово Portable Edition..
Еще раз по поводу крипты - не даст ваш вариант относительно хорошую защищенность. Абсолютно не важно, что вы используете разные хэши. Математически - вы просто создаете новую хэш-функцию в виде композиции готовых.
Да, ваша функция считается в два раза медленнее чем sha. Но, вероятность коллизии на порядки больше чем в sha.
Не нужно лезть в крипту и пытаться придумывать свои хитрые новые штуки. Это слишком чувствительная и сложная область :)
Так не понятно, в чем простота вашего способа для пользователя?
Злоумышленнику так только наоборот проще обмануть подменой имени файла и версии программы, чем париться с поиском коллизий, даже для crc32. Нужно же трезво оценивать риски)
Охота простоты и секьюрности - покупайте сертификат и подписывайте код. Но даже это не остановит от запуска Portable MegaPuper Enterprise Edition.
По поводу крипты:
Ваш способ очень сильно снижает устойчивость хэшей к атакам на коллизии. Смысл коллизий в том, что два одинаковых текста дают один и тот же хэш. В вашем случае коллизия осуществиться при совпадении первых нескольких байт. Очевидно, что таких сильно текстов больше - соответственно вариантов перебора - сильно меньше )
Ну да - но есть апстрим в виде spacewalk и foremant/katello/..
в 5 версии (spacewalk) используется как раз cobbler, но он там старый очень)
очень рекомендую посмотреть на foreman - прям сплошное удовольствие деплоя
Нет. Еще раз:
1. Имя файла не задействуется в чексумме - только содержимое
2. Ничто не запрещает поменять имя файла и поставить ту чексумму, которую надо:)
Пользователю в любом случае необходимо скачать вашу софтину, самому у себя локально получить его чексумму, зайти к вам на сайт и проверить её - байтик к байтику.
Сергей: Нет.
PPTP работает поверх GRE.
Отдельная tcp-сессия - это только control connection, который отвечает за управление сессиями. На стабильность туннеля оно влияет достаточно опосредовано.
Секьюрность от этого не хуже. Хуже она от херовой реализации аутентификации в ms-**ap и слабого шифрования.
Сложно сказать, пока не видно конфига:)
Может быть имя неработающего успело закэшироваться нормально.
Может быть в конфиге неработающего стоит конкретный ойпи.