Na co se často ptáme: Organizácia disku (diskuse)

Rekl bych, ze nezanedbatelnym duvodem pro rozdeleni disku je zabraneni DoS utokum. Zminka o tom mi ale v clanku chybi. Cekal jsem od nej vic.

Autor: zkuste si jen tak cvicne vytvorit jednu partition pro / a druhou pro swap, nasledne zaplnte /tmp. Podobne nebezpecnym adresarem muze byt /var a pochopitelne /home.

Redakce: ve firefoxu 0.8 cs (win) se presahuje text z bileho "sloupce" do toho ... modrosedeho, nebo jaka to je barva, vpravo.

5.4.2004 09:12 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: dalsi disk. oddily

ad přesah textu: Pomůže reload stránky?

5.4.2004 09:29 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: dalsi disk. oddily - presah textu

Nedokazu rict, jak na firefoxu, ale na Mozille 1.6 (Mozilla/5.0 (Windows; U; Windows NT 5.1; cs-CZ; rv:1.6) Gecko/20040113) to prave zacalo presahovat (az dole posledni a predposledni odstavec). Predtim to (na 90%) nedelalo.

Dejv.

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

5.4.2004 09:30 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: dalsi disk. oddily - presah textu

Tak sorry, prred prispevkem to po reloadu presahovalo, po prispevku to po reloadu uz nepresahuje.

Dejv

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

5.4.2004 09:46 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: dalsi disk. oddily - presah textu

Vypadá to bohužel na bug v Gecko... už jsme se s tím setkali i u linuxové verze, ale po znovunačtení to vždy zmizí. Není tam použito žádné nestandardní html.

5.4.2004 15:11 rastos | skóre: 62 | blog: rastos
Rozbalit Rozbalit vše Re: dalsi disk. oddily

Eagle - nemam iny kontakt, tak sa musim opytat tu:

Mohol by si mi objasnit svoje pripomienky? Nie je mi jasne ako moze suvisiet rozdelenie disku s DoS? Nie je mi ani jasne, preco by mal plny /tmp byt zaujimavy niecim inym nez, ze mas plne /tmp ;-) ? (Nemam zdroje na to aby som si to len tak niekde skusal).

5.4.2004 19:55 Honza Houštěk | skóre: 18
Rozbalit Rozbalit vše Re: dalsi disk. oddily

Sice nejsem Eagle, ale pokusim se odpovedet. Ten DoS spociva v tom, ze je mozne zpusobit zaplneni disku. Na plny disk neni mozne zapisovat, coz muze vyradit z provozu radu sluzeb, nebo alespon zpusobit, ze se ty sluzby budou chovat divne.

Typicke zpusoby, jak zaplnit disk

Jsem uzivatel, ktery muze vytvaret soubory. Reseni -- quota a/nebo vymezeni partici, na ktere muze uzivatel zapisovat (krajni pripad je napr. AFS, kde je bezne delat stovky volumes, napr. pro kazdeho uzivatele jeho vlastni).
Budu posilat hory velkych mailu na adresy, jejichz MX neodpovidaji nebo odpovidaji docasnou chybou. Takove maily je relay nucen skladovat ve fronte, ktera ma omezenou velikost. Reseni - omezit velikost mailu, omezit pocet poslanych mailu na IP a casovou jednotku a monitorovat mailovy provoz.
Budu drazdit nejakou sluzbu, ktera zacne generovat tuny logu. Tim casem dojde k zaplneni partice s logy a kdyz uz nic jineho, znemoznim tim dalsi logovani, coz muze presne byt muj cil. Reseni - mit logovani nastavene tak, aby se logovaly opravdu jen zajimave veci, a logy monitorovat.

Typicke veci, kterym plny disk vadi:

Neloguje se (nektere aplikace to muzou povazovat za dostatecny duvod proto, aby prestaly fungovat).
Nechodi posta (lokalne, ani relay).
Neni mozne vytvorit soubor, coz dost programu povazuje za duvod se vubec nespustit.
U nekterych metod autentizace a autorizace muze dokonce dojit k nemoznosti loginu.

Castecne je toto jisteno rezervaci urciteho mista na fs (typicky 5%) pro roota, nektere popsane metody utoku ovsem generuji data primo pod rootem (napr. vetsina logu) a u nekterych veci to zase nepomuze (napr. fronta MTA byva casto spravovana nerootovskym procesem).

Dalsi vec je, ze uzivatele by nemeli byt schopni zapisovat na partition, na ktere jsou funkcni suid binarky. To se da nekolika zpusoby zneuzit (zly uzivatel si muze napr. udelat hardlinky na ty suid binarky, pokud se v nich pozdeji objevi dira a admin provede zaplatu, zustane uzivateli puvodni binarka stale se suid pravy).

Na viceuzivatelskych systemech je vhodne oddelit systemova a uzivatelska data (dedikovany /home), na serverech zase read-only data a menici se data (/var, /tmp).

6.4.2004 07:34 rastos | skóre: 62 | blog: rastos
Rozbalit Rozbalit vše Re: dalsi disk. oddily

Chapem. Dik za vysvetlenie. (Uvidime ci bude mozne doplnit clanok, ked uz bol raz vydany ;-)

)

LBA nebylo zavedene jen kvuli nejakym omezenim v biosu nebo v OS, ktere se pokuselo resit i jinak, ale hlavne kvuli univerzalnosti a zjednoduseni prislusnych rutin. Je jednodussi a na konkretnim disku zcela nezavisle adresovat sektor poradovym cislem jak to rozumne systemy resily davno (viz. SCSI) nez nejakym uchylnym voodoo (nehlede na to, ze v realu zadna geometrie disku neexistuje viz. dale). Je to proste neco jako abstrakce...
Geometrie disku je blbost, nic takoveho neexistuje a spekulace o tom ze je nejaka geometrie optimalnejsi nez jina se nezaklada na pravde. Od pomerne davnych dob nezabiraji sektory ve vsech stopach stejny uhel, jsou tedy ruzne dlouhe. Jak si pak chces hrat na nejakou geometrii kdyz je to stopu od stopu ruzne ? Ze se disk vubec nejakou geometrii hlasi je pouze kvuli spetne kompatibilite. Ale interne ji ten disk pouzivat nemuze, musi si ji prekopat do rozumnejsi podoby.
Ruzne geometrie vetsinou byvaji zpusobene chybami v BIOSovych rutinach, typickym exotem je award zvlaste ve verzi 4, ktery je chyba na chybu.
Dulezitym detailem je fakt, ze pro MBR je rezervovan ne jen 0. sektor ale cely 0. cilindr. Do MBR by se zadny loader typu LILO/GRUB nemel sanci vejit, je tedy umisten prave v dalsich sektorech (coz v pripade grubu je dobre pochopit a navic na grubu je dobre videt jak funguje tim, ze je rozdelen na stage).
pokud BIOS disk vidi a je s nim schopen komunikovat tak samozrejme je schopen pristupovat za 1024 cylindr prave pres LBA. 1024 cylindr bylo omezeni lila (pripadne je to stale omezeni pokud je disk nastaven v setupu jako 8GB kvuli chybe biosu na starsich deskach s neohackovanym BIOSem) a diky distribuci redhat je dodnes tato povera rozsirena spolu s pohadkou o /boot oddilu. Grub napriklad pracuje s diskem pouze komunikaci pres BIOS (coz je ostatne spravne) a za 1024 cylindr vidi.
Jeden docela dulezity fakt: pokud chceme mit boot loader v particii a ne v MBR musi s tim pocitat souborovy system a musi mit nejaky bootsektor, nesmi tedy zacinat rovnou superblockem. Proto NELZE zapsat lilo/grub do particie napr. s XFS.

-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein

5.4.2004 12:37 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: Par oprav

Geometrie disku je blbost

Řekl bych, že v tomto případě ses nechal trochu unést. Každý disk samozřejmě má svoji geometrii. Jenže je v dnešních dobách trošku komplikovanější než obyčejné CHS čísla. Je třeba rozlišit mezi fyzickou a logickou geometrií. Logická je pochopitelně pouze prostředkem, který umožňuje BIOSu s diskem pracovat. Fyzická geometrie je skryta, protože pomocí CHS by šlo ZBR těžko vyjádřit.

5.4.2004 13:07 Jiří Svoboda | skóre: 37 | blog: cat /dev/mind | Prostějov
Rozbalit Rozbalit vše Re: Par oprav

Nikdy jsem neslysel o tom, ze by byla pro MBR rezervovana cela nulta stopa. A kdyz se v fdisku podivam na seznam partitons, prvni vzdy zacina v prvnim sektoru nulte stopy:

Nr AF  Hd Sec  Cyl  Hd Sec  Cyl     Start      Size ID
 1 00   1   1    0 254  63  511         63    8225217 0b
.
.
.

IMHO, bootloadery zabiraji vzdy jen 512 bytes (jeden sektor) a zbytek si pripadne dotahuji ze sektoru, ktere uz jsou soucasti filesystemu, ale rozhodne ne z nulte stopy.

5.4.2004 13:25 SB
Rozbalit Rozbalit vše Re: Par oprav

Hm. HD se cisluje od 0. Sektory od 1. Cylindry od 0. Vim, ze to mate, ale co se da delat - uz je to tak. Kdyz se s timto faktem podivas na svuj priklad, razem je videt ze nemas pravdu.

5.4.2004 16:04 Jiří Svoboda | skóre: 37 | blog: cat /dev/mind | Prostějov
Rozbalit Rozbalit vše Re: Par oprav

Vim jak se cisluje, ale to s tim prilis nesouvisi.
Ja tim chtel jen dokazat, ze neni pravda tvrzeni: "...pro MBR je rezervovan ne jen 0. sektor ale cely 0. cylindr." Kdyby to totiz byla pravda, tak by prvni partition musela zacinat na stope 1.
Vzhledem k bootloaderu z toho take vyplyva, ze prvni partition zacina na hlave 1 (tj. druhe), sektoru 1 (tj. prvnim) a stope 0 (tj. prvni), tzn. presne jeden sektor (512 bytes) od zacatku disku (ten uplne prvni sektor je pod hlavou 0). Do MBR se tudiz nemuze vejit vice kodu.

5.4.2004 20:10 watslaw | skóre: 18 | Praha
Rozbalit Rozbalit vše Re: Par oprav

A co podle Vás dělá Smart Boot Manager (SBM)?

Sektory se bohužel číslují tak, že nejrychleji se mění sektory, pak hlavy, a pak valce. Takze ve Vasem prikladu je rezervovana 1 stopa (Obvykle 63 sektoru).

Vetsina fdisku to tak dela kvuli kompatibilite s MS-DOSem, ale u nekterych je mozno toto chovani nejak zmenit a pro MBR skutecne nechat jen 512B.

5.4.2004 22:52 Jiří Svoboda | skóre: 37 | blog: cat /dev/mind | Prostějov
Rozbalit Rozbalit vše Re: Par oprav

Aha, no jo, napred sektory, pak hlavy. Tak pak je to jasne...
Diky za vysvetleni.

6.4.2004 17:51 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše Re: Par oprav

Hm, to ze je rezervovana cela stopa je znamy fakt ktery je krome boot loaderu tez vyuzivan (a videt) v bootovacich virech :-)

-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein

5.4.2004 15:05 Radko Gecik
Rozbalit Rozbalit vše Re: Par oprav

Na particiu s XFS mozeme zapisat lilo/grub pokial na tuto particiu pristupujeme cez loopback zariadenie, ktore vytvorime s parametrom (loosetup) -o 512. Bolo o tom pisane v clanku http://www.penguin.cz/novinky-view.php3?id=977 v suvislosti s cryptoloop.

5.4.2004 19:39 Honza Houštěk | skóre: 18
Rozbalit Rozbalit vše Re: Par oprav

To sice ano, ale bez cryptoloop by to byl dost opruz pouzivat to pres loopback jen kvuli 512B pro zavadec, ktere klidne muzou byt jinde (napr. ve swapu, nebo na zacatku nejake male nepouzivane partition). Loopback ma dost velky overhead.