Файлові системи

[Praporshic]

Мене забанили не тому, що я фігню написав, а тому, що ви всі є затятими лінуксистами!!!

Кого забанили? Тоді як Ви, шановний сюди пишите?

Хай я і не є крутий адмін, але все ж щось знаю!!! Може дарма я тут написав, адже тільки назва форуму про щось говорить !!!

Я теж не крутий адмін (з учасників я таке можу сказати лише про pal`а, бо з іншими не мав честі спілкуватись особисто у реальному світі), але "щось знаю". Більш того, я на роботі адмініструю FreeBSD (можете перевірити хоча б тут), Linux-сервер поки що у експлуатацію не вводили і знаю достатьно про UFS2 про її недоліки та переваги.

Я не говорю з повітря, я констатую факт!!!

Ми також, лише констатуємо факти. У багатьох ситуаціях в мене виходили досить надійні системи навіть на клятій мастдайці.

Лінукс в мене стояв на Ext2/3 до тижня!!! Виключили світло і по Лінуксі!!!
FreeBSD ж працював стабільно, як ніяка інша система!!!

Перший лінукс прожив у мене менше доби - через незнання я (тоді ще школяр) "вбив" його за пару годин.
У порівнянні FreeBSD vs Linux у мені ситуація протилежна - фрю я ставив як додаткову систему на напівживий хард. Ось воно й не витримало.

Хтось там був правий, що коли руки криві, то нічого добре працювати не буде!!! Але я намагався довести наступне: коли крутий адмін заадмінить Фрю і Лінукс, то в Фрі набагато більші можливості і працюватиме стабільніше!!!

Що то Unix-like, що то Unix-like. Окрім ядра між цими системами немає жодної різниці (хіба що декілька дрібниць).

Далі: fsck в Фрі завдяки файловій системі UFS відновляє класно, багато і деже швидко + фс має оптимізацію впорядкування даних, тобто фрагментування тут наднизьке, що забезпечує швидкість і більшу стійкість HDD!!!

Якщо залізо ніяке (див. вище) то від системи мало що залежить.

Я чомусь дуже впевнений, що ніхто тут не має досвідо роботи і з Пінгвіном і з Демоном, тому хвалите тільки Пінгвіна!!!
Ще хтось приколювався, що UFS класне тим, що на нього не можна поставити Лінукс, до чого тут це, я взагалі не зрозумів, то виглядає, так як би Лінукс ставити на NTFS !?!

Я маю, miwa має, є декілька шанувальників FreeBSD які власне під нею і живуть. Досвід є, і його достатньо. У UFS достатньо недоліків. Спробуйте зайти через mc кудись, де кілька тисяч дрібних файлів (накшталт /tmp на хостинг-сервері). Як довго ви чекатимете (і не треба казати про async та інше - воно досить небезпечне)? Лінуксові системи показали себе достатньо надійними на протязі багатьох років. Так само як і UFS. До речі, як мені відомо, проблеми лише з UFS2 а з першою - жодних. Лише тому, що Лінус та інші розробники не вважають за потрібне видирати з ядра FreeBSD код що відповідає за ФС.
Про NTFS: має достатньо велику перевагу перед більшістю (може навіть перед усіма) ФС що є у Unix-like системах - містить у собі ACL. Для UFS1/2, Ext2/3, ReiserFS та інших це можливо, але не є стандартною функцією.

Тому повторюю ще раз:

Holly, Holly war

Holy
We are fighting,figthing a Holy War
Holy War

(c) Manowar
Друге китайське попередження. Тобто +.

PS:
Почитайте ще це і це. Для загального розвитку. Мені цікаво, чому у "крутій" UFS журналювання треба задіювати таким, перепрошую, геморойним способом, а сучасні ФС що використовуються у Linux одразу мають журналювання.

[Володимир Лісівка]

Про NTFS: має достатньо велику перевагу перед більшістю (може навіть перед усіма) ФС що є у Unix-like системах - містить у собі ACL. Для UFS1/2, Ext2/3, ReiserFS та інших це можливо, але не є стандартною функцією.

Шановний, ще два роки тому було написано ЯКЦЕ як заборонити ACL (SELinux) в Лінуксі (у Федорі), тому що вони приносять більше шкоди ніж користі. ACL реально потрібні в дуже небагатьох випадках (мені такі не зустрічалися за більше ніж сім років практики). ACL допомагають зробити систему більш захищеною але співвідношення корисний_ефект/затрачений_час настільки мале, що значно вигідніше потрати свій час на якусь принципово іншу систему захисту - значно ефективніше не давати хакеру взаламати систему взагалі ніж сподіватися що ACL захистить поламану систему якщо вже стандартні права доступу не допомогли.

Розкажіть будь-ласка, які переваги особисто ви отримуєте від використання ACL?

Я, зі свого досвіду, знаю, що якщо стандартних прав доступу не досить, значить десь перетнулася логіка програми і дві сутності наклалися, а отже її потрібно переписати.

Крім того, ACL - це серйозна дірка в безпеці - я можу легко зробити висновок чи достатньо добре захищений файл лише кинувши оком на права (а цих файлів - десятки тисяч), а от з ACL таке значно важче (хоча сучасний SELinux значно полегшує роботу з ACL). Мій час коштує значно дорожче від машинного тому малоймовірно що я буду робити додаткові руху для перевірки ACL - це економічно невиправдано у більшості випадків.

[Володимир Лісівка]

Я не говорю з повітря, я констатую факт!!! Лінукс в мене стояв на Ext2/3 до тижня!!! Виключили світло і по Лінуксі!!!

А що сталося то? Можете описати помилку, через яку лінукс помер? А яка ФС у вас стояла - ext2 чи ext3? А fsck допоміг відновити систему чи ви втратили суперблок?

Я якось провів експеримент - поставив компілюватися мозілу й поставив завдання щоб кожні 15-ть хвилин система робила hardware reset без збереження буферів, вантажилася й продовжувала компіляцію. За 3 дні система зробила більше 300-т ресетів.

PS.
Як поживає клавіша "1" - ще не зламалася?  

[Praporshic]

Стосовно того, чого більше - не буду сперечатись. Не перевіряв.
Ситуація була наступна: для нормальної роботи клієнтських сайтів користувач www має мати доступ на r-x до користувацьких домівок. Для цього потрібно обрати один з наступних варіантів:
а. Робити групою користувачів www, тоді кожен може читати вміст будь-якої теки іншого користувача.
б. Додавати www в кожну групу що створюється (через веб-інтерфейс з частково закритим кодом).
в. Задіяти ACL.

Досвіду (реального а не "домашнього") в мене трохи менше року. Тому сперечатись з Вами не можу - різні вагові.
Переписувати апач - не має часу та можливості. До того ж, як я вже казав у іншій гілці, найбільша моя програма на С++ - лабораторна з програмування, а засобами bash цю проблему не вирішити.
Вдома я ACL не користуюсь - зайве коли лише 3 користувачі. А коли їх кілька тисяч?

[Cthulhu]

Вставлю свої 0.05 у.о. Для тих, хтоі не читає повідомлення в треді: я десь тут вже писав (лінк не дам, ліньки шукати), що в мене в повний зріст стояла Слака з reiser в / і ext3 в інших розділах; що світло вирубалось щовечора (часом по кілька разів) і ніякій фс нічого робилось. Більше того, в тому ж гуртожитку жила людина, у якої всюди xfs (цю фс пан Володимир Лісівка, здається, ненавидить:)), нічого злого не робилось і там. Висновок - або в когось надзвичайно криві руки, або хтось це все навидумував і займається провокаціями флейму. Небезуспішно.

ЗІ А misha_m часом не вши^Wлузер? Щось дуже вже схоже...

[Yaroslav Fedevych]

В принципі, косячити може будь-яка файлова система.

До прикладу, двічі, причому один раз із фатальними наслідками, злетіла Ext3 на моїх очах. Ніяких перебоїв у живленні, нічого такого, але факт залишається фактом.

З іншого боку, я краще вдавлюсь, ніж поставлю собі чи комусь Reiser якої завгодно версії. В мене нема бажання купувати до неї UPS, бо достатньо й чуток про чудеса, які вона творить, коли sync не встигнеш зробити.

В принципі, треба буде на coLinux зробити такий експеримент, який Володя вже провадив, але на райзері.

XFS так само не маю бажання використовувати через згадані казуси з нулями.

[misha_m]

Cthulhu: щось я недозрозумі що означає  "вши^Wлузер" !!!
В мене злітали як Ext2 так ы 3, я тоды ще не розумывся на стыльки, а пам'ятаю, як вже система не грузилась, то Partition Magic казав, що суперблок накрився!!!


Зробивши висновок я зрозумів, що всі фс мають недоліки та переваги, нема чогось надзвичайного і кожен залишився покладатись на свій досвід!!! Але що коли початківець зайде на форум гляне і скажу ну вас з вашим Лінуксом, коли отака беліберда буде!!!
Я надаю перевагу Reiser, бо після того, як поставив, то не маю проблем!!! На Лінуксі я звичайний користувач, може не advanced user, але все ж досвід вже є!
А на щодо Фрі щодо фс, то виботу і не має

Хтось там казав, що NTFS класна, так от щоб Ви знали, що всі Малософтівські фс були започатковані і розроблені 20 і більше років тому!!! Коли ще про мережі в голос не говорили!!! Про те, що вона непогана для хати, то без сумніву та й Фат така нічого!!!

[Praporshic]

Хтось там казав, що NTFS класна, так от щоб Ви знали, що всі Малософтівські фс були започатковані і розроблені 20 і більше років тому!!! Коли ще про мережі в голос не говорили!!! Про те, що вона непогана для хати, то без сумніву та й Фат така нічого!!!

Ніхто не казав що вона класна. У ній є лише одна функція якої немає у юніксових ФС. Але немає багатьох інших  .

[Cthulhu]

Cthulhu: щось я недозрозумі що означає  "вши^Wлузер" !!!

Ну, значить Ви - не він, просто тут є один флудер, його банять, а він реєструється. Просто пишете ну один в один:)

Хтось там казав, що NTFS класна, так от щоб Ви знали, що всі Малософтівські фс були започатковані і розроблені 20 і більше років тому!!! Коли ще про мережі в голос не говорили!!! Про те, що вона непогана для хати, то без сумніву та й Фат така нічого!!!

Фат краще й не згадуйте, IMHO це кака навіть порівняно з NTFS.
До речі, M$ WinFS більше не робить. Не осилили reiser4 злямзити

[Володимир Лісівка]

Стосовно того, чого більше - не буду сперечатись. Не перевіряв.
Ситуація була наступна: для нормальної роботи клієнтських сайтів користувач www має мати доступ на r-x до користувацьких домівок. Для цього потрібно обрати один з наступних варіантів:
а. Робити групою користувачів www, тоді кожен може читати вміст будь-якої теки іншого користувача.
б. Додавати www в кожну групу що створюється (через веб-інтерфейс з частково закритим кодом).
в. Задіяти ACL.

Досвіду (реального а не "домашнього") в мене трохи менше року. Тому сперечатись з Вами не можу - різні вагові.
Переписувати апач - не має часу та можливості.

Це якраз та ситуація, про яку я казав - дві сутності наклалися. Ви хочете використовувати один каталог для двох принципово різних цілей - для того що тримати приватні дані користувачів у таємниці й для того, щоб роздавати приватні дані користувачів через веб. Для кожного з цих режимів потрібні свої права доступу (700 та 755 відповідно), які не можна виставити одночасно. Рішення, яке пропоную я, - рознести ці дані у два різних каталоги. Переписувати Апач для цього не потрібно - потрібно лише змінити шаблон по якому він шукає каталог.

Вдома я ACL не користуюсь - зайве коли лише 3 користувачі. А коли їх кілька тисяч?

А коли їх десятків тисяч? Ви будете руками виставляти ACL для кожного спеціального випадку?

[Praporshic]

Це якраз та ситуація, про яку я казав - дві сутності наклалися. Ви хочете використовувати один каталог для двох принципово різних цілей - для того що тримати приватні дані користувачів у таємниці й для того, щоб роздавати приватні дані користувачів через веб. Для кожного з цих режимів потрібні свої права доступу (700 та 755 відповідно), які не можна виставити одночасно. Рішення, яке пропоную я, - рознести ці дані у два різних каталоги. Переписувати Апач для цього не потрібно - потрібно лише змінити шаблон по якому він шукає каталог.

Проблема в тому, що це одні й ті самі данні - потрібно тримати в таємніці код php-сценаріїв. Тобто ми МУСИМО використовувати ці каталоги таким чином.
Як я вже казав, для адміністрування використовується пропрієтарна система, і в ній не все можна налаштувати. окрім того, а як тоді користувач для якого робиться chroot буде вливати по ftp вміст свого сайту?

А коли їх десятків тисяч? Ви будете руками виставляти ACL для кожного спеціального випадку?

Вони наслідуються з батьківського каталогу і однакові для всіх випадків (це у описаній мною ситцуації)

[Yaroslav Fedevych]

Cthulhu: щось я недозрозумі що означає  "вши^Wлузер" !!!

Читаю вашу маячню, я роблю висновок, що ви, прошу якнайласкавше, взагалі в перманентному недозрозумі перебуваєте...

[misha_m]

Yaroslav Fedevych: Вибачте, але утримаюся від відповіді!..

[miwa]

> misha_m

Не вибачайтесь, цілком вірне рішення. Якщо б ви його застососували ще у 90% випадків - ціни б вам не було.

[Володимир Лісівка]

Це якраз та ситуація, про яку я казав - дві сутності наклалися. Ви хочете використовувати один каталог для двох принципово різних цілей - для того що тримати приватні дані користувачів у таємниці й для того, щоб роздавати приватні дані користувачів через веб. Для кожного з цих режимів потрібні свої права доступу (700 та 755 відповідно), які не можна виставити одночасно. Рішення, яке пропоную я, - рознести ці дані у два різних каталоги. Переписувати Апач для цього не потрібно - потрібно лише змінити шаблон по якому він шукає каталог.

Проблема в тому, що це одні й ті самі данні - потрібно тримати в таємніці код php-сценаріїв. Тобто ми МУСИМО використовувати ці каталоги таким чином.
Як я вже казав, для адміністрування використовується пропрієтарна система, і в ній не все можна налаштувати.

Давайте розберемося.

Потрібно зберігати в таємниці дані але до всіх цих даних повинен мати доступ єдиний сервер. Крім того, запущені скрипти (php чи cgi) не повинні мати доступ до даних інших клієнтів.

Я розумію, що з ACL вам вдалося зробити так, що на всіх домашніх каталогах стоїть 700, але користувач www (чи як там його у вас) має доступ до всіх цих каталогів. АЛЕ як вам вдалося зробити так, що запущені під www скрипти не мають доступу до всіх даних у всіх каталогах? Вони ж мають ті ж самі права (якщо я не помиляюся в знанні ACL) що і батьківський процес, інакше вони просто не зможуть прочитати дані в своєму каталозі. :-/

Тепер давайте розберемося, як реалізувати те саме не використовуючи ACL.

Є такі можливості:
  - використовувати один апач (чи lighttpd) під www але запускати скрипти в chroot-і через FastCGI;
  - запускати окремий екземпляр апача (чи lighttpd) для кожного віртуального сервера під потрібним користувачем (можна в chroot) і роздавати трафік на потрібний апач якимось акселератором сайтів на 80-му порту;

Якщо використовувати hardlink-и чи mount --bind, то необхідні для chroot файли не займатимуть додаткового місця. Lighttpd з FastCGI показує кращі результати ніж Apache з mod_php.

окрім того, а як тоді користувач для якого робиться chroot буде вливати по ftp вміст свого сайту?

Можливих варіантів занадто багато щоб їх усіх перечисляти тут.