Ако отворените портове ползват http можеш да тестваш с

ab

http://httpd.apache.org/docs/2.4/programs/ab.html

Пфу, сега ще трябва да изтрия Линукс-а, да инсталирам Уиндоус. Трябва и U: драйв да скалъпя, че примерите са с него.

няма такова нещо...

Код:

$ mkdir "u:"

Явно да - всеки слой трябва да поддържа TRIM и да предава на следващите слоеве. Всъщност се окава, че TRIM е доста полезна и за тънко провизираните дялове, защото може да оптимизира размера на sparse файла или да намали размера, който заема дяла при използването на direct attached storage.

Доколкото четох при RAID5,6 и производните им mdadm не поддържа TRIM.

Доколкото видях fstrim връща веднага размера на секторите, които ще бъдат освободени и това е препоръчителния начин на работа (не се препоръчва да се изполва възможността във fstab, защото амортизира диска напразно и извиква TRIM при всяко изтриване на файл). Дали фирмуера на диска ще се съобрази с това - не било много сигурно, защото част от дисковете отлагали изпълняването на TRIM при ниско натоварване.

И просто за инфо, ако някой търси - LVM конфигурацията отнасяща се за TRIM е само при изтриване на дял, а не при текущото му ползване.

Също така, ако се вдигат виртуалки на Windows, които поддържат TRIM, това май значи win7 и по-нови и windows 2008r2 и по-нови - TRIM се прави с defrag, но задължително трябва диска е в режим virtio scsi.

Ако диска имал много свободно място не се налагало използването на TRIM, въпреки че не съм много сигурен.

И като обобщение, за всяка инсталирана ОС трябва да се вика програма, която прави TRIM поотделно - както на хипервайзора, така и на виртуалките. За дебиан 10 всичко идва out of the box.

Здравейте,
имам следната схема - домашната ми машина - debian 10 има 2 SSD диска, върху които на 95% от мястото има създадени софтуерни раид дялове. Тези два дяла са в софтуерен RAID1 (btw скоростта на ребилд стигна малко над 350мб/сек, доволен съм). Върху софтуерния раид има инсталиран LVM (трябва ми да мога да си вдигам виртуалки, а не искам тъпия qcow2). На него пък е root дяла, който е EXT4.

Логичния въпрос е, къде точно да тримвам дафак...?

не мисля, че само redhat махат iptables...
в debian testing в момента ситуацията е подобна за съжаление:

https://wiki.debian.org/nftables

[Only HBA that are flashed to IT firmware or MegaRAID drives that are set to JBOD support TRIM]

за коя опция в биос говориш и този сата 3 контролер нее ли за райд? тоест ако го  ползвам райд нали няма да имам трим? аз затова не го пускам до сега.. или има начин да имам трим и  да ползвам контролера?

LSI контролерите имат по 2 фирмуера - IT и IR. В единия всъщност нямаш RAID леър, ако мога така да го нарека в БИОС-а, това ти позволява една идея по-бърза работа директно с диска. Често се ползва за системи, които ползват дисковете в JBOD режим, например, ако ползваш ZFS.

От уикито на LSI може да попаднеш на следната информация:

Only HBA that are flashed to IT firmware or MegaRAID drives that are set to JBOD support TRIM

Ти само дъното ли имаш или цял сървър със SAS кабелите? Че в спецификацията пише че sas портовете са 6Gb/s.

цяла конфигурация  съм сглобил. имах само дъното. кабели лесно се намират, ама нямам сас контролер. в дъното има мини сас два порта ама нз те дали биха ми свършили работа..  Проблема е, е съм невеж и не разбирам. помогни ми

SAS портовете са обратно съвместими със SATA устройства, така че няма проблем да включиш SATA дискове на SAS портове. Обратното не е възможно.

Също така няма проблем да заредиш от SAS/SATA Контролер, стига самия контролер да има БИОС. При условие, че ти работи на дъното, за какъв ти е да купуваш допълнително хардуер, и без това събираш нещо бюджетно доколкото разбирам.

Yves-Alexis Perez corsac@debian.org
   
00:25 (9 hours ago)
   
to debian-securit.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

- -------------------------------------------------------------------------
Debian Security Advisory DSA-4078-1                   security@debian.org
https://www.debian.org/security/                        Yves-Alexis Perez
January 04, 2018                      https://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : linux
CVE ID         : CVE-2017-5754

Multiple researchers have discovered a vulnerability in Intel processors,
enabling an attacker controlling an unprivileged process to read memory from
arbitrary addresses, including from the kernel and all other processes running
on the system.

This specific attack has been named Meltdown and is addressed in the Linux
kernel for the Intel x86-64 architecture by a patch set named Kernel Page Table
Isolation, enforcing a near complete separation of the kernel and userspace
address maps and preventing the attack. This solution might have a performance
impact, and can be disabled at boot time by passing `pti=off' to the kernel
command line.

We also identified a regression for ancient userspaces using the vsyscall
interface, for example chroot and containers using (e)glibc 2.13 and older,
including those based on Debian 7 or RHEL/CentOS 6. This regression will be
fixed in a later update.

The other vulnerabilities (named Spectre) published at the same time are not
addressed in this update and will be fixed in a later update.

For the oldstable distribution (jessie), this problem will be fixed in a
separate update.

For the stable distribution (stretch), this problem has been fixed in
version 4.9.65-3+deb9u2.

We recommend that you upgrade your linux packages.

For the detailed security status of linux please refer to
its security tracker page at:
https://security-tracker.debian.org/tracker/linux

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: https://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org

Това е официалното съобщение. Копирам го, защото има подсказки как може да се спре пач-а по време на зареждане и че кръпката решава само единия от двата проблема.

за изтриване..

малко нова информация по темата:

https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html

и разширена информация по втория пост:

https://googleprojectzero.blogspot.bg/2018/01/reading-privileged-memory-with-side.html

Проблема вече става не-само-интел...

При Дебиан работата не е красива:

https://security-tracker.debian.org/tracker/source-package/linux

Код:

Bug	wheezy	jessie	stretch	buster	sid	Description
CVE-2017-5753	vulnerable	vulnerable	vulnerable	vulnerable	vulnerable	
CVE-2017-5715	vulnerable	vulnerable	vulnerable	vulnerable	vulnerable	

Вие се чудите за микро код в процесора, а какво ще кажете за цяла операционна система в интелските чипсети (на Андрю Таненбаум Миникс-а) - от Декемврийския скандал.

http://www.zdnet.com/article/minix-intels-hidden-in-chip-operating-system/

Слава Богу, че и и за там не са намерили някой remote exploit, че доколкото четох преди си имал и напълно работещ network stack.

cPanel и подобните си ресват сървъра като добавиш домейн (vhost). Но както всеки сървис на линукс това става за секунда така, че не е проблем.

cPanel влачи един уеб сървър, стартиран с root. Не ми се прекомпилира apache за тая работа, не ми се занимава с CGI + SUID, а и не съм го правил и шанса да го напиша не както трябва е голям Опитвам се да имам сравнително чиста среда - само пакети от текущия дебиан и малко код. Е, вече има rabbitmq в системата, но го ползвам и за други неща. Идеален е за RPC (надявам се).

Искаше ми се да не рестартирам уеб сървъра при добавянето на нов домейн, но явно няма да стане. Вече си написах малък скрипт, през който изпращам съобщения на message broker, който пък ги доставя на един скрипт, стартиран като root, така ще мога да си добавям сайтове през една страничка, т.е. през процес с правата на уеб сървъра.

Че това през BIOS-а ли го прави операционната система ?

Не. Инсталирания допълнително  микрокод подменя оригиналния при зареждане на ядрото. Официално, този микрокод коригира грешки в първоначално зададения и добавя нови възможности за работата на процесора, но в дейтвителност не се знае, какво точно включва.

https://wiki.debian.org/Microcode

Доколкото разбирам и БИОС-а може да съдържа ъпдейт на микрокода.

Тук е доста добре обяснено, няма общо с микрокода, правят Kernel Page Table Isolation (KPTI) и вече въпросната таблица с адреси не е достъпна от потребителските процеси:

https://arstechnica.com/gadgets/2018/01/whats-behind-the-intel-design-flaw-forcing-numerous-patches/