Vladivostok Linux User Group

Значит на одной машине будут висеть сервера:
Интернет-шлюз
Учет интернет-трафика по пользователям/компьютерам/ус-вам (trafpro сели не ошибаюсь)
DHCP-сервер (dhcp3-server)
Прием факсов
FTP-сервер (vsftp)
Файрволл
Web - сервер (lighttpd)
VPN - сервер (pptpd скорее всего)
DNS - сервер
Файловый сервер (sabma & nfs)
Ну и корее BACUPc (для резевного копирования)
КАК ЛУЧШЕ ВСЕГО РАЗБИТЬ ВИНТ НА ЭТО ДЕЛО?

antichrist писал(а):Значит на одной машине будут висеть сервера:
Интернет-шлюз
Учет интернет-трафика по пользователям/компьютерам/ус-вам (trafpro сели не ошибаюсь)
DHCP-сервер (dhcp3-server)
Прием факсов
FTP-сервер (vsftp)
Файрволл
Web - сервер (lighttpd)
VPN - сервер (pptpd скорее всего)
DNS - сервер
Файловый сервер (sabma & nfs)
Ну и корее BACUPc (для резевного копирования)
КАК ЛУЧШЕ ВСЕГО РАЗБИТЬ ВИНТ НА ЭТО ДЕЛО?

Ну как... Чтобы в /var было много места.

А может разделить: отдельную машину для внешки, и вторую для внутренней сети?

antichrist: Твои вопросы из разряда: "Какие туфли мне надеть на улицу, чёрные или коричневые?" Можно на отдельную, можно на ту же самую, - это же не винда...

Если не знаешь как разбить винт - делай 1 раздел под корень и не мучайся.

за фразу "это не винда" можно смело в шею из админов гнать. файловые сервисы внутренних нужд сети должны быть разнесены с роутерами и веб сервисами, ну и роутер и веб-сервер это тоже разные роли. По скудоумию некоторых админов и/или жадности ночальнегов часто всё это вешают на одну машинку, а когда приходит опа - йо майо.

Более дешевый вариант, заюзать виртуализацию, выбор широк, например xen, openvz и т.п.

ну и бекап сервер в ЛЮБОМ случае ОБЯЗАН быть отдельной машиной.

за фразу "это не винда" можно смело в шею из админов гнать.

ну-ну...

файловые сервисы внутренних нужд сети должны быть разнесены с роутерами и веб сервисами, ну и роутер и веб-сервер это тоже разные роли.

ага-ага, для компании из 5 компов щас тебе разбегутся и купят 10 серваков ради 5 обращений в сутки к каждому...

По скудоумию некоторых админов и/или жадности ночальнегов часто всё это вешают на одну машинку, а когда приходит опа - йо майо.

какая опа, откуда? За 10 лет никаких оп небыло. По крайней мере таких, которые бы оправдали покупку лишних серверов.

Более дешевый вариант, заюзать виртуализацию, выбор широк, например xen, openvz и т.п.

а это и есть одна машина. И chroot тоже никто не отменял.

ну и бекап сервер в ЛЮБОМ случае ОБЯЗАН быть отдельной машиной.

ну это как бы без вариантов.

loooser, читаешь ответы как-то странно. твой комментарий по по поводу виртуализации вот нихрена не понял, да, делаешь на одном серваке несколько виртуальных машин каждый со своей задачей, а не запускаешь всё в одном окружении. Я потому и сказал более дешевый вариан, почему более: время разобраться как запустить тот же хен тоже чего-то стоит. chroot не панацея.

по поводу твоего "ну-ну", ну без каментов. дыры не только в операционке бывают, в ядре, но и в демонах, ёкнут тебе какой нить сервис и дальше по ниточке, нужно? нет? за десять лет ничего не было? сетка из 5 компов? ну и хочешь всю жизнь заниматься сетками в 5 компов?

и про 10 серваков ты погорячился, но сервер должен выполнять задачу, определённую. и нефиг задачи мешать. нехватает железа или дорого - виртуализация.

эмм... а равзе в убунту авторазбиения не? (в мандраке было вродь...)

пока не клюнит жаренный, правильно разнести сервисы и разбить диски не удастся никак, хоть сотню всяких монографий прочитай...

чё-как ни разнёс, однозначно: /boot, /var и /swap - в отдельные(филиалов то у вас до кучи, ну и как понимаю, писиков тожа) разделы.
остальное/ые пожеланию. либ в силу извращенских настроек, либ просто чёб помучаться: / - (корень т.е.), /usr, /home/user1, /home/user2... гыгы, чё тама в туксах ещё есть/моно придумать.
а еси по пути наименьшего сопротивления то: /boot, /swap и /(корень)

скок каждому разделу лупить место - глянь на своей рабочей машинке. а моно не глядеть, а от балды, но чоб хватало:
/boot - например от 200 метров до 1.5Гига(агу, агу, всяко меньше выходить, но бывает инсталлятор орёть как недорезанный: неть места - пасисЪ) у некоторых оригиналов треба - так что делай два гига.

свопу пять, а вару моно один-два десятка гиг выделить(чоб хватило ыыы, в любом случае). а остальное, что останется, как обычно - под корень

ну и как поставишь всё, ессно не забуть, что всё нуно настроить аль проверить... хрень всякую, навроде ro для бута; /вар/лог чоб подчищался не раз в год - а несколько чаще и прочее-прочая-прочии - брррр, бяка это всё жуткая...

loooser, читаешь ответы как-то странно. твой комментарий по по поводу виртуализации вот нихрена не понял, да, делаешь на одном серваке несколько виртуальных машин каждый со своей задачей, а не запускаешь всё в одном окружении.

Чего тут непонятного? Физическая машина всё-равно одна.

chroot не панацея.

Дык, и виртаулизация не панацея, и разнесене по разным физическим тачкам тоже. Панацей вообще не бывает.

по поводу твоего "ну-ну", ну без каментов.

и без каких-то серьезных аргументов тоже, как я погляжу...

дыры не только в операционке бывают, в ядре, но и в демонах, ёкнут тебе какой нить сервис и дальше по ниточке, нужно? нет? за десять лет ничего не было?

Было. По глупости включил анонимный вход на proftpd и обновлений не ставил (зеленый тогда совсем был, даже про чрут наверное ничего не знал, а логи только-только научился читать).
А что в итоге? - День простоя сервера, пока переустанавливал систему и восстанавливал данные из бэкапа, и 0 руб 0 коп потерь для компании. Стоил ли лишний сервак + упс таких денег? Даже лишняя планка памяти для гостевой ОС обошлась бы дороже. Ядро тогда, кстати, было 2.4, а виртуализация если уже и была опенсорсная, то я о ней даже не слышал.

Чем ещё напугаешь? Резко сдохшим винчестером? - тоже было :)

сетка из 5 компов? ну и хочешь всю жизнь заниматься сетками в 5 компов?

Чего хочу я, и какие решения строить в конкретных ситуациях - вещи никак не связанные.

и про 10 серваков ты погорячился, но сервер должен выполнять задачу, определённую. и нефиг задачи мешать.

Всего-лишь немного утрировал. А железо должно, прежде всего, отрабатывать вложенные в него средства. И только при выполнении этого условия директор предприятия будет слушать про смешение задачь. Да и то ещё подумает.

нехватает железа или дорого - виртуализация.

Ну с этим я, вроде бы, и не спорил.

Ну что - оставишь меня в админах? ;)

день простоя - это очень много. повезло что в этой ситуации потери 0 руб. 0 коп.

а по поводу машин, я кажется понял... а ты не не разобрался :-D для меня машина это и виртуальная в т.ч. У меня кластер под управлением был, я его в глаза не видел, а по сети что, а по сети - 24 машины разные, не считая сетевых интерфейсов коммутаторов, сториджей, шасси и терминального сервера, и только у уме держу: 2 шасси, по 4 лезвия в кажом (1 выключено), по 4 зоны (солярка) на каждой, не считая корневой.

Так что отправной точкой было: "Можно на отдельную, можно на ту же самую, - это же не винда..."
1. можно, на одну физическую машину, но виртуально разделить. Нельзя - в одном окружении.
2. аргумент: "это же не винда", не может быть аргументом администратора в плане безопасности. Уязвимо всё, не только винда.

кстати, к п.1 пример, как одну компанию оставил без интернета, по молодости, админ был знакомый, ему потом рассказал, хорошо что жил в питере - моську не набил

Исходные данные: одна машина - веб сервер компании и он же шлюз в интернет, прозрачный прокси.
Смысл: с сервачка подручного по хорошему (2002 год) каналу тупо скриптом делаю запросы к веб-серверу. Кончается место на логи сквиду становится плохо, аварийный оставнов, компания без нета сидил, пока админ пытается что-то понять.

Потом случай, опять с кончившимся местом, dhcp и отсутствием интернета, уже случился со мной: роутер, чисто раздача интернета: iptables, прозрачный прокси, учет траффика (для сих нужнд ещё mysql там же), монтируя сеть техник соввершает ошибку и делает токовую петлю, сиречь, кабелем соединяет два порта неуправляемого свича. После чего dhcp начинает со страшной силой генерировать логи, за 10-15 минут он съедает 10 гигов места, оваливается сквид, отваливается мускуль. Отваливается сеть, ессесно, т.е. тут каскад уже. Во втором случае был простой в работе программистов около 2х часов.

Ну и таких примеров можно, наверное, найти море. И про ботинки лучше бы не огрызался, а то нервный я :-D

день простоя - это очень много. повезло что в этой ситуации потери 0 руб. 0 коп.

Не повезло, а компании бывают разные. Интернет, конечно, нужен был, но он и заработал через час примерно - просто установка сервера как роутера c NAT-ом. Остальное уже донастраивал без спешки, это вообще была моя первая установка линукс-сервера :)

а по поводу машин, я кажется понял... а ты не не разобрался :-D для меня машина это и виртуальная в т.ч.

А для меня одна машина - это одна машина. Навернётся одна железка и весь твой кластер ляжет как один :)

Так что отправной точкой было: "Можно на отдельную, можно на ту же самую, - это же не винда..."
1. можно, на одну физическую машину, но виртуально разделить. Нельзя - в одном окружении.
2. аргумент: "это же не винда", не может быть аргументом администратора в плане безопасности. Уязвимо всё, не только винда.

Согласен, уязвимо всё - и ядро, и сервисы, и виртуальные машины, и даже процессоры. Так что я не вижу большого смысла баррикадироваться по самые гланды, ибо точно так же взломают - и пойдут по той же самой ниточке. Гораздо эффективнее ставить вовремя секурити-апдейты и предусмотреть быстрое развёртывание работающей системы в случае чего (не только взлома).
И чрут - очень хорошее решение на самом деле, уж насколько бинд уязвим а я всё-равно спокоен за сервер, т.к. даже если сломают - из чрута не выйдут. Больше чрута мне нравится только опенвз, т.к. даже если рута как-нибудь получат - модули ядра загружать не смогут; плюс контроль за ресурсами. Но и внутри опенвз всё-равно надо делать чрут :)

А про винду - я имел ввиду скорее тот факт, что в случае винды вообще никакого выбора нет. Т.е. винду разносить надо обязательно. Причём даже разнесение виндов на виртуалки ИМХО имеет мало смысла, хотя настаивать не буду.
А с линуксом - ну, за 10 лет кроме того случая по глупости, больше не ломали...

Ну и таких примеров можно, наверное, найти море.

Заметь, все случаи относятся не к безопасности, а к более житейским вещам. И стоит ли так городить огород ради безопасности в ущерб удобству админа и легкости обнаружения проблем? Чем сложнее - тем дороже (во всех смыслах).

И про ботинки лучше бы не огрызался, а то нервный я :-D

Про ботинки не понял.

Безопасность, не безопасность, но был простой. Это потери, когда ещё спирают какие-то материалы, вот тут хуже.

По поводу бахнут один комп - переносил систему на другое лезвие с бекапа (полный раз в неделю + инкременты) - за 30 минут полностью рабочая конфигурация со всеми ВМами. Просто с вм-мами как раз проще использовать железо на сто, использовать лимиты ресурсов, чего не позволит цшрут, но что его не нужно использовать - боже упаси, нужно и ещё как, но как ты верно подметил - внутри своего окружения. Будет кто-то невпроворот кушать - будет только он медленно отвечать, не особо влияя на другие.

Так, что примеры были скорее для того, что бы показать, как одно может мешать всему остальному, и почему системное и ресурсное окружение у него должно быть своё.

Безопасность по самые гланды... ну опять, не повод что бы изначально делать не правильно. Дурные привычки имеют одну неприятную особенность: к ним быстро и легко привыкаешь, отвыкание происходит болезненно.

Безопасность, не безопасность, но был простой. Это потери, когда ещё спирают какие-то материалы, вот тут хуже.

Я же объясняю - простой был, а потерь небыло :) Точно такой же простой был бы и от сгоревшего винта. У тебя вон простои по 30 минут, кому-то это многомиллионные убытки, а кому-то - нулевые. Секретов тоже нет, спирайте наздоровье.

Безопасность по самые гланды... ну опять, не повод что бы изначально делать не правильно. Дурные привычки имеют одну неприятную особенность: к ним быстро и легко привыкаешь, отвыкание происходит болезненно.

Нет в бизнесе четкого понятия правильно/неправильно. Есть понятие целесообразности. Правильно - нанять хорошего админа, купить несколько серверов и выбрать провайдера с защитой от ДДОС. А целесообразно в большинстве случаев - приходящий админ и старый комп под сервер.

Про привычки - мне сложно представить админа, который будет мучительно отвыкать от ручных отключений/запусков сервера после покупки смарт-упса :)