Критическая уязвимость пакета OpenVPN

Wednesday, 03 Dec 2014

В самом конце ноября в свободно распространяемом пакете OpenVPN обнаружили критическую уязвимость, приводящую к отказу в обслуживании сервиса (CVE-2014-8104). Уязвимость затрагивает все версии продукта OpenVPN 2.x, кроме пофиксенного релиза от 1 декабря OpenVPN 2.3.6.

(more…)

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Какой VPS сервер выбрать: OpenVZ или Xen

Tuesday, 16 Aug 2011

VPS серверВ процессе рысканья по инету, обнаружил еще одного интересного хостера, который в том числе реселлит дедики от Burst.NET. Хостинг именуется Inferno Solutions и помимо русской поддержки имеет неоспоримое преимущество среди многих русскоязычных хостингов- это реселлер зарубежных площадок, то есть они берут в аренду гарантированно рабочее оборудование, накидывают небольшую маржу и толкают их со своей поддержкой, которая является так называемым тир1 суппортом. То есть все что могут делают сами, если сталкиваются с какими то проблемами, то эскалируют уже хостеру. И судя по отличным отзывам в рунете, справляются со своими обязанностями на твердую пятерку. И на этом можно было бы закончить это пост, снабдив его ссылкой перехода на хостинг VPS и выделенных серверов (которые у них, кстати, предлагаются по очень и очень приемлемым ценам); если бы не одно но.

В своей рекламе, хостинг Inferno Solutions пользует старинную формулу “це не бага, це фича”, порождающую нормальную холивару, которую я и хочу разобрать в том посте.

В своих рекламных слоганах, хостинг упирается в то, что их клиенты защищены от так называемого оверселлинга (overselling), или избыточного использования мощности VPS сервера, когда администратор сервера закладывает в совокупную мощность виртуальных серверов хоста, больше чем имеется ресурсов в системе, то есть при 4 GB оперативы (оверселить можно также и полосу пропускания канала, дисковое пространство), она распределяется по 512Mb не между 6 машинами, по 512Gb на гестов и 1Gb на хостовую часть, а между 20 машинами, которые дергают мощности друг у друга. На этом собственно и базируется технология Burst RAM, когда у VPS сервера имеется гарантированная память и burst, которая может кратковременно увеличиваться раза в полтора, при кратковременных нагрузках. Собственно гарантией того, что Inferno Solutions не использует в своих VSP серверах функционал overselling, является использование продукта вируализации Xen, который по заверению хостера невозможно настроить на оверселлинг, как например конкурентный продукт OpenVZ.

По большому счету соперничество OpenVZ и Xen собственно и порождает всю холивару, поскольку и у той и у другой системы имеются сторонники и противники, утверждающие что OpenVZ  более изолирована, более безопасна, в то время как Xen быстрее и надежнее, имеет возможность использования swap раздела, ну и всякое и прочее. Помимо этого обе системы, наравне в платным аналогом от VMware (также имеются бесплатные версии с урезанным функционалом), представляют собой разные технологии виртуализации: OpenVZ это модифицированное ядро Linux системы, позволяющее запускать виртуальные среды (то есть ничего кроме линуха); тогда как Xen базируется на перестройке ядра системы, для адаптации работы системы (запускаем что угодно). Скажу откровенно- Xen меня не возбудил, ибо я его ставил пару раз, но мне более импонирует VMware, как в плане настройки, так и в плане идеологии. Кстати, со слов “рекламного слогана”, многие хостеры как раз и выбирают OpenVZ в связи с простотой настройки системы.

Но основным  камнем преткновения всегда оставался функционал overselling или burst ram, который отсутствовал в Xen и присутствовал в OpenVZ, и который считался, многими сторонниками Xen, как недостаток продукта OpenVZ. Но видимо команда Xen, ко многим не относится, так как они полагая от обратного, начиная с версии Xen 3.3 внедрили функционал, позволяющий забирать оперативную память гестами и хостовой станции. Называется этот функционал Memory Overcommit, и именно он позволяет забирать память у работающих гестов (или доменов пользуясь терминологией Xen), в случае если эта память ими в данный момент не используется. Механизм использующийся при этом, зовется ballooning, который представляет собой специфический драйвер инсталяющийся в систему и предоставляющий доступную память домена, при запросе от гипервизора Xen.

При этом память, выделенная другому домену, будет числиться в системе, но в виде занятой, что можно проверить соответствием команд # free # ps aux и  # top.
Ну и само наличие механизма ballooning в системе, можно увидеть по листингу следующей команды:
# cat /proc/xen/balloon
При этом также имеется дополнительный демон xenballoond, написанный на баше, который поддерживается два механизма: selfballooning  и direct ballooning, в которых назначение доступной памяти осуществляется из самого домена (но полагаю, что хостеры данные механизм навряд ли буду использовать).

Так что использование или не использование overselling в случае использования любой среды виртуализации, остается на совести хостера, и этот момент желательно выяснять еще на уровне приобретения того или иного тарифного плана. Надо полагать, что Inferno Solutions следуют своей рекламе и не занимаются накруткой статсов VPS серверов, тогда как хостер и регистратор GoDaddy особенно даже и не скрывает данного функционала.

Напоследок надо отметить, что overselling у нормального хостера должен отражаться на цене, в сторону её уменьшения.

VN:F [1.9.21_1169]
Rating: 5.7/10 (7 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 5 votes)