|
|
@ tmlinhkct
He he , đúng như bạn nói. Chuyện active/active thì có thể giải quyết được bằng vài lệnh cấu hình trên. Tuy nhiên chuyển sang bài toán active active thì thuật toán load balancing , hay nói đúng hơn là kĩ thuật phân tải của application phải đảm bảo không bị nghẽn cổ chai.
Đối với việc split brain thì mình cũng có 2 giải pháp đang áp dụng. Bên mình 1 số hệ thống cũ vẫn đang dùng drbd cho failover.
1. Using a dedicated interconnect between cluster nodes (do not need the switch)
Đối với cách này , mình tạo 1 địa chỉ ảo cho card mạng sử dụng 1 lớp IP riêng, và cắm dây mạng trực tiếp giữa 2 con server, không thông qua switch . Như vậy hạn chế được rủi do corrupt connection giữa 2 server. Làm tính cluster hiểu nhầm đưa con slave lên master, trong khi bản chất thật sự con master vẫn đang hoạt động
2. Using the fence device such as iLO, smart PDU,...
Sử dụng 1 số thiết chuyên dụng thông qua console. Fence để ngắt kết nối giữa 2 con, từ đó truyền tín hiệu đến PDU để tự shutdown luôn 1 trong 2 node.
Theo mình giải pháp thứ 1 sẽ không mất nhiều tiền mà giải quyết được khoảng 70% chuyện này. Tất nhiên nếu có tiền thì giải pháp 2 cũng sẽ mang lại kết quả không tệ
|
|
|
Em hay dùng thằng này. Có cái features khá hay là gõ sai quá n lần thì bị disconnect ra luôn :-D
Áp dụng innotify nữa thì đẩy ngay những "biến chứng" về cho administrator . Hè hè
http://lshell.ghantoos.org/Overview
|
|
|
Hi ngtrongtri
Bạn có thể dùng openais và crm_mon để add resource IP cho 2 nodes kia. Nếu 1 trong 2 bị fail thì node còn lại sẽ sử dụng Resource IP để thay thế. Ngoài ra áp dụng DRBD cho việc đồng bộ dữ liệu trong case này cũng khả thi.
Tuy nhiên có 2 điều bạn cần chú ý là .
1.Nếu sử dụng chức năng có sẵn của MySQL để syncreplication thì có nhanh hơn, sử dụng DRBD
2. Trong trường hợp việc connect giữa 2 máy MySQL có vấn đề, 2 con không nhận được tín hiệu của nhau trong 1 khoảng thời gian nhất định. Bạn sẽ bị Split Brain. Đối với trường hợp này bạn phải giải quyết ra sao ? :-D
Cheers,
|
|
|
TÌm tài liệu nghiên cứu về CAS
|
|
|
http://www.zytrax.com/books/ldap/
Đọc ở đây, dễ hiểu hơn so với document của openldap
|
|
|
Hi mọi người
Đúng là khi con người "lầm lẫn về ngữ nghĩa" thì rất khó để mọi người hiểu được. Bản thân mình khi nghĩ đến ý tưởng này cũng có vài định nghĩa sai lầm trong việc muốn áp dụng RDBMS hình thành giải pháp.
CHân thành cám ơn mọi người thêm một lần nữa. Mình sẽ viết tiếp case này khi hoàn thành xong
Many Thanks
|
|
|
Cám ơn bạn tarzan.
Mình cũng nghĩ tới việc thực hiện các thao tác thủ công và đẩy tới 1 cái đích để có thể truy xuất.
Tuy nhiên, điều mình đang muốn ở đây không phải chỉ phục vụ cho những nhu cầu giản đơn như thế. Chính xác hơn là mình muốn 1 giải pháp core, audit tổng thể trên 1 hoặc nhiều hệ thống. Sau đó kết xuất ra 1 Data Permission Center.
Mọi người ?
|
|
|
Nói ra thì hơi ngại, nhưng cách cái ngày này 2 năm về trước, em từng cóp nhặt đọc hiểu, phân tích từng dòng câu lệnh trong quyển LAB LPI của vnlamp rồi tự biên ra 1 quyển khác cho 1 trung tâm mình đứng dạy. Đầy xập xệ và tạm bợ
Nói là trung tâm chứ thực ra là cái phòng với hơn 7 cái máy tính. Cũng là chiêu sinh, cũng là học bổng các kiểu. Hahaha. Nghĩ lại bây giờ nghĩ mình hồi đấy tầm phào và "phiêu" quá :-D
|
|
|
Hi mọi người
Mình đang tìm giải pháp nào đó có khả năng log lại toàn bộ các quyền hạn của 1 user trên hệ thống.
Chẳng hạn bên mình file server có tầm 3000 account. Mỗi account được tương tác vào các folder / files khác nhau. Vậy câu hỏi đặt ra bây giờ là nếu mình kiểm tra tất cả quyền hạn của 1 user nào đó thì làm sao, hoặc kiểm tra quyền hạn trên 1 folder có những ai được write hay access vào thì sẽ như thế nào.
Tất nhiên về bản chất, việc này chỉ có mất vài lệnh trên Linux. Tuy nhiên cái mình muốn ở đây tương tự như 1 cơ sở dữ liệu, cập nhật status về các vấn đề này. Khi cần chỉ việc login vào web, thực hiện các thao tác query là sẽ có
Mời mọi người đóng góp ý kiến (giải pháp tính phí, hay miễn phí) đều khả thi hết nhé
Many Thanks
|
|
|
Có lần nhớ anh Mrro đại loại nói
Mình không bao giờ tin mấy cái sách dạy làm giàu, hay viết về hồi kí của bản thân của những tay tỉ phú như BillGates v.v.... Bởi vì thực ra dễ nhất của việc viết lách, là viết về một cuộc đời thành công.
Em không biết anh Mrro thành công đến mức nào, nhưng đọc qua thì em thấy hay tương tự như khi đọc về cuộc đời của các tỉ phú vậy. Tuy nhiên cái hay ở các sách dạng tỉ phú "kể" là ở chỗ nó đưa ra những câu chuyện, những bài học mà họ là nhân vận chính, hoặc là người chứng kiến. Trong bài trên của anh Mrro không có, nhưng em nghĩ nếu thêm 1 vài mẩu vào chắc chắn sẽ còn thu hút rất nhiều
@Bolzano_1989 : bạn ni bớt cái CMC InfoSec lại tí tí nha. Hữu xạ tự nhiên hương mà
|
|
|
con nhỏ
Cho cái hình, được nhận ngay
|
|
|
Cập nhật thêm thông tin vụ này
Lỗ hổng flashback trên kia tạm thời người dùng có thể yên tâm sử dụng công cụ Flashback removal cho những máy nào bị nhiễm. Download tại
http://www.f-secure.com/weblog/archives/FlashbackRemoval.zip
Tuy nhiên vừa mới đây đã có thêm 1 dòng Malware khác cũng lợi dụng vào lỗ hổng JAVA (CVE-2012-0507) để mở cổng port các services trên MAC, cho phép attacker tấn công vào hệ thống thông qua đây.
Reports of new Mac malware variants exploiting CVE-2012-0507 surfaced last week. The Java vulnerability is the same one used by Flashback to infect more than 600 thousand Macs.
The first new threat was analyzed by the folks at Trend Micro. The Java applet for Mac actually exploits CVE-2012-0507, and if successful, the payload is the same malware that AlienVault Labs discovered last month (being used in targeted attacks against human rights NGOs).
The second threat seems to be a completely new piece of malware at first. However, succeeding samples that have been collected reveal that the malware is also being dropped by the same word documents exploiting MS09-027/CVE-2009-0563, used to drop Backdoor:OSX/Olyx.C and Backdoor:OSX/MacKontrol.A. Which was also reported by AlienVault last month.
Both malware seem to be active at the moment and are controlled manually as observed by ESET and Kaspersky respectively. Both use the same malicious Java class dropper component. MD5: 5a7bafcf8f0f5289d079a9ce25459b4b
F-Secure antivirus detects these threats as Backdoor:OSX/Olyx.B and Backdoor:OSX/Sabpab.A.
MD5: 78f9bc441727544ebdc8374da4a48d3f – Backdoor:OSX/Olyx.B (also known as Lamadai.A)
MD5: 40c8786a4887a763d8f3e5243724d1c9 – Backdoor:OSX/Sabpab.A (also known as Lamadai.B)
MD5: 3aacd24db6804515b992147924ed3811 – Backdoor:OSX/Sabpab.A
These malware variants are being used in targeted attacks against Tibetan focused NGOs and are therefore very unlikely to be encountered "in-the-wild" by day to day Mac users. If you're a Mac using human rights lawyer however… your odds of exposure are another matter entirely. If you don't it already, now is the time to install antivirus on your Mac.
Backdoor osx olyx
http://www.f-secure.com/v-descs/backdoor_osx_olyx_c.shtml
|
|
|
hello anh Ky0
Vụ này anh triển khai sao rồi ? kết quả mỹ mãn không ?
|
|
|
Hiện tại người dùng có thể sử dụng chức năng Sofware Update từ Apple để cập nhật bản vá lỗi này
Java for OS X 2012-002 delivers improved compatibility, security, and reliability by updating Java SE 6 to 1.6.0_31.
|
|
|
Mấy hôm nay cũng đọc tin này , nhưng search trên mạng thì chưa thấy 1 vector attack rõ ràng nào cả :-D. không biết có phải vì tinh thần "bất lộ tướng" của apple không.
Cách đây không lâu, cháu nhớ có lần chú conmale đã nói, cho dù là dùng MAC hay Linux hay gì gì đi nữa, có security đến đâu nhưng không có sự nhận thức rõ ràng từ người dùng thì vẫn bị dính mailware , virus , trojan như thường. Flashback này chính là 1 bằng chứng cho những điều đó
|
|
|
nhưng bạn whitehats cũng vẫn có thể dựa trên Windows OS system , tuy MS system có chi phí về license nhưng điểm mạnh là khả năng quen thuộc, thân thiện, bạn dễ dàng kiểm soát hệ thống hơn, và tìm hỗ trợ dễ dàng hơn.
Mình tính im rồi, nhưng mà vẫn muốn nói thêm đoạn này. Theo mình chuyện quen thuộc hay không, không phải ở góc độ người dùng mà là người quản lí. Đúng hơn đây là tính dễ quản lí. Ở đây mình có 1 giải pháp thuận tiện cho việc quản lí (phân chia quyền, theo dõi việc kết nối) là sử dụng giao diện web interface như webmin hay usermin chẳng hạn
Trên webmin cho phép mình cấu hình mọi thứ đơn giản hơn thông qua những cú click chuột. Thậm chí 1 số trường hợp cá biệt bên mình, Project Manager của một dự án, họ muốn tạo thư mục riêng, phân chia các quyền theo ý riêng của họ cho các member trong đội thì cũng đáp ứng được luôn. Những ai được approve, mình đều cho họ vào webmin để quản lí hết. Cái thuận tiện ở đây là mình có thể giới hạn được rất chi tiết những gì mình cho họ làm, và những gì mình không cho.
Điểm thuận lợi là : Mọi thứ được thực hiện thông qua Web interface, và việc educate user sẽ không mất nhiều thời gian, các module như SAMBA - ACL hay Full Audit đều được tích hợp sẵn trên này
Điểm bất lợi là : Thêm một dịch vụ như Webmin để tăng tính tiện dụng là chấp nhận với 1 cái risk mà có thể sẽ là hole lớn trong mạng. Việc quan trọng là người làm hệ thống nên cân nhắc giữa cái Risk mà Webmin mang lại và cái tiện của Windows mang lại
|
|
|
Series của con Server này là bao nhiêu
Kiểm tra xem trong BIOS nó có hỗ trợ phần virtualization không
Thân
|
|
|
Tương tự như 1 case mình đang làm. Mình cho bạn 1 số topology và keywords nhé
LDAP - SAMBA - Access Control List - Full Audit Samba
LDAP làm chữ A đầu tiên
Samba + ACL làm chữ A thứ 2
Full Audit Samba làm chữ A thứ 3
|
|
|
cám ơn chú conmale
@.lht. : tất nhiên là mình muốn cân bằng giữa hiệu năng xử lí để đảm bảo performance cho doanh nghiệp song song với tính an toàn rồi
@vd_ : cám ơn lão nhưng thực ra SSL trong nội bộ của mình chủ yếu là Self signed. Mà với môi trường "nhiều cao thủ ẩn giật" như ở đây, chuyện đưa các module mới vào có thể là 1 nguyên nhân để gậy ông đập lưng :-D. Cứ nghĩ đến chuyện 1 tay nào đó cố tình flood login để làm hao tổn tài nguyên của LDAP dựa trên việc encryt data là thấy "ngại" rồi.
Thật ra chi tiết hơn trong việc này là . Bên mình có 1 site quản lí tiền lương của riêng từng nhân viên đang được chứng thực qua LDAP
Server WEB chạy LAMP , authentication qua LDAP. Việc mất account của nhân viên sẽ có thể xảy ra nếu như Attacker cố tình "sniff".
Tất nhiên để làm được việc này mình muốn Attacker đó trước hết phải vượt qua những rules policy về network đã, tức là switch có chức năng chống arp posioning, máy client được kiểm soát chặt chẽ. Và cuối cùng là về phía Server phải có SSL trong việc transfer dữ liệu với người dùng.
Thanks
|
|
|
Hi mọi người
Mình đang có 1 case khá thú vị trong sở.
Bên mình sử dụng LDAP để authentication cho 1 số dịch vụ cơ bản như
File Server (Samba v3)
Mail Server
Web (Apache + PHP + Postgres)
Hiện tại dịch vụ LDAP đã làm khá tốt chức năng của mình, tuy nhiên mình muốn thực hiện LDAPS cho dịch vụ này cho thêm phần bảo mật. Tuy nhiên mình băn khoăn 2 điểm như sau
- Việc LDAPS sẽ kéo theo việc truy xuất từ các dịch vụ qua trở nên chậm đi. (Lượng user bên mình tầm 4000)
- Đối với các dịch vụ như WEB hay Mail, mình muốn tích hợp SSL từ phía Client -> Web hơn là Web -> LDAP.
Theo ý mọi người mình nên áp dụng SSL ở phía Services -> LDAP, hay từ phía Client -> Services.
Chú ý là ở giữa Serivces & LDAP của mình có 1 firewall.
Chân thành cám ơn
|
|
|
Nhanh là nhanh thế nào
Và chậm là thế nào ra chậm
Người làm kĩ thuật thì không nói chuyện cảm tỉnh nhiều. Cái gì cũng phải có bằng chứng rõ ràng. Nên thực hiện những test case như
1. Thực hiện các truy vấn tương tự nhau trên cả 2 server. Đo time cho mỗi truy vấn
2. Thực hiện việc ghi các dữ liệu lớn có size cùng nhau trên 2 server. Đo time cho mỗi lần ghi
...
Việc hardening & optimize từ các Services & Core chính của Hệ điều hành cũng rất quan trọng. Theo mình, muốn tối ưu cái gì thì phải hiểu rất rõ cái đó. Không phải chuyện tắt mở các dịch vụ giống nhau sẽ đạt được performance như nhau đâu
|
|
|
Em chưa áp dụng cái này bao giờ
Tuy nhiên em nghĩ có thể áp dụng vụ server console (management). Cấu hình router chỉ accept việc login từ 1 client với địa chỉ IP + Mac Address nhất định. Tức là ngoài server management đó ra thì tất cả việc connect từ phía các client hay từ các IP khác đều bị router hoặc *nix deny.
Lợi điểm của dùng server console : là mình có thể take care được nhiều hơn, như việc quay màn hình, ghi log connection v.v...
Nhược điểm là sẽ tốn thêm 1 tài nguyên phần cứng để làm việc này
Có gì mọi người góp ý thêm :-D
|
|
|
Tìm được nhưng rất là dễ
|
|
|
tôi không nghĩ sinh viên mới ra trường thì sẽ được gọi là kĩ sư.theo tôi kĩ sư không chỉ là một học hàm đổi bằng 4 năm đại học.mà kĩ sư là giá trị là sự đúc rút kinh nghiệm nhiều năm giữa chuyện thực hành chuyên sâu và am hiểu toàn cục cho đến chi tiết giá trị kiến thức của một lĩnh vực nhất định
thế nên theo tôi đừng quan trọng là cử nhân hay kĩ sư làm gì.nếu cần bổ sung kiến thức cho những chỗ khuyết thì học thôi. chỉ có thời gian mới có thể trả lời giá trị thực của bạn chứ 2 thứ kia thì không thể đâu
thanks
|
|