Computing power comparison: mainframe versus Intel Xeon

[zVlad]

Для тебя Flash-04:

WWW history:
History of the Internet and WWW: The Roads and Crossroads of Internet History
The Hypertext Editing System (1967) and FRESS (1968) first ran on the S/360:
The first working hypertext system was developed at Brown University, by a team led by Andries van Dam. The Hypertext Editing System ran in 128K memory on an IBM/360 mainframe and was funded by IBM, who later sold it to the Houston Manned Spacecraft Center, where it was used to produce documentation for the Apollo space program.
Hypertext is the foundation of the World Wide Web (WWW)

http://planetmvs.com/tcpipm/#vm

Why
My first exposure to the Internet was at my last job back in 1991 using an IBM Mainframe running good ole MVS. From TSO, we could PING, TELNET, and FTP to hosts on the Internet. This was (correct me if I'm wrong) a year or two before there were stacks for your average PC. [The idea for Windows sockets is presented at Interop Sept 1991 and the first specification for Windows Sockets Version 1.1 came in 1993.]

Вот это мне особенно нравится:

At my next (current) job when I heard we were bringing in TCP/IP (1993), I jumped at the chance to install it. We also got TCP/IP for VM so our Officevision clients could send Internet e-mail. On MVS, I ran the freeware Gopher (the predecessor to Web Servers and the World Wide Web) server to serve out MVS text data. I remember having a discussion with another guy about this new technology called the WWW that was looking to replace Gopher. A little bit later, we installed our company's first web server, the freeware VM HTTPd written by Rick Troth, on the good old dinosaur mainframe.

[zVlad]

Русскоговорящие ит-шники представленны одной из двух групп (я не отношусь ни к одной из этих групп).
Первая группа состоит из тех кто слегка коснулся легкой тени от IBM mainframe, называемой ЕС ЭВМ, будучи студентом или в лучшем случае программистом на Фортран, ПЛ/1. Программистов на Кобол в СССР практически не было, я знал не больше двух-трех.
Вторая группа вообще никак не касалась даже ЕС ЭВМ. Они знают об этом по наслышке, в виде вульгарных рассказов про то что носителями информации были перфокарты.
Англоговорящие и европейцы (не важно касались они мф или нет) знают про мэйнфрэйм по крайней мере что это высоконадежные, имеющие непробиваемую защиту компьютеры.
Пошлят из них про мф раз в десять меньше людей чем среди наших.

[Ion Tichy]

Русскоговорящие ит-шники представленны одной из двух групп...

Я Ленина работающую БЭСМ-6 видел!

[StrangerR]

У нас вот на х86 серверах если надавить то можно получить админ права (и давят и получают с одобрения наших секретчиков и секретчиков нашего клиента), или если есть друг в Wintel, то он тебе может дать эти права. Потом правда пробежит некий script и удалит твой аккоунт из "administrators" груп, но если что надо то все уже будет сделано. У вас есть такая дырочка?.

К моему величайшее сожалению наш server support отобрал у нас все админские права, и превратил жизнь в ад, так как любой траблшутинг приложений превращается в цирк. Так что на твой вопрос - нет, на серверах ни у кого "левого" админских прав нет. Но как показывает практика, урон можно нанести и без компроментации серверов.

Нда. У меня полиси на дев серверах проще. ЛЮБОЙ ПРОХОЖИЙ СЧИТАЕТСЯ ГАНГСТЕРОМ то бишь тьфу любой юзер может стать рутом, с нашей точки зрения. И защита делается через песочницы. Все одно с докерами и всеми этими спектрами защита на уровне ОС толком не работает и всегда можно считать что она сломана (она защищает от ошибок а не от врагов).

Поэтому хотят попугаи стать админами - да пожалуйста. Только потом не жалуйтесь что ваш сервер медленно работает. На инфра системы попугаев не допускают. И все.

[StrangerR]

Русскоговорящие ит-шники представленны одной из двух групп...

Я Ленина работающую БЭСМ-6 видел!

Что значит видел? Я на ней работал, больше 10 лет!

[zVlad]

Русскоговорящие ит-шники представленны одной из двух групп...

Я Ленина работающую БЭСМ-6 видел!

А я Минск-22, Минск-32, Наири, останки Урал, сумматора на перфокартах.

[zVlad]

.....
Нда. У меня полиси на дев серверах проще. ЛЮБОЙ ПРОХОЖИЙ СЧИТАЕТСЯ ГАНГСТЕРОМ то бишь тьфу любой юзер может стать рутом, с нашей точки зрения. И защита делается через песочницы. Все одно с докерами и всеми этими спектрами защита на уровне ОС толком не работает и всегда можно считать что она сломана (она защищает от ошибок а не от врагов).

Поэтому хотят попугаи стать админами - да пожалуйста. Только потом не жалуйтесь что ваш сервер медленно работает. На инфра системы попугаев не допускают. И все.

Это очень, очень порочная практика и парадигма построения security policies. Но я Вас понимаю - это от безисходности, Вы не виноваты, такие уж у Вас средства.
Причем такой политикой Вы провоцируете своих девелоперов не задумывать о том как их продукты будут работать в других организациях с другими политиками.
Когда приходят продукты, построенные в таких условиях (а ко мне такие не раз приходили), то в инструкциях по инсталяции пишется: дать рут аккаунт и чтобы DBA был. Но я никогда не удовлетворял таких требований, потому что в z/OS и в DB2 можно отделить мух от котлет.
Когда я начал работать с репликационной програмой под Windows она работала только если ты админ. Несколько раз мне удавалось так или иначе стать админ-ом, но у них script есть, который рано или поздно меня выхеривал. У меня было два пути: надавить и продавить чтобы не выхеривало, или разобраться чтобы работать без админ прав. Я выбрал второй путь.
В работе же с WebSphere на Linux я добился быть суперюзером.

[Dmitry67]

Я программировал на перфокартах, FORTRAN IV
Но RSX-11M на СМ была глотком свежего воздуха после ужаса JCL
Мне это сих пор в кошмарах снится PARM LKED=NOXREF

[zVlad]

...
Мне это сих пор в кошмарах снится PARM LKED=NOXREF

Ты, Дима, такой впечатлительный и нежный, но можешь, судя по всему, работать с таким уродом как Windows.
Обосную самым свежим, этой недели, примером уродства (их на самом деле много). Я использую два Wintel сервера по работе. Работаю через RDC, естественно, на обоих серверах, на десктопе я сделал иконки для запуска моего приложения. До недавних пор все было ок, но пару недель назад иконка на одном сервере перестала работать, говорит что не может найти программу. Оказалось что она указывает не на тот диск. Потом перестала работать иконка на другом серваке, и так по очереди то на одном перестанет, то на другом. Можешь объяснить что происходит?

[Flash-04]

Нда. У меня полиси на дев серверах проще. ЛЮБОЙ ПРОХОЖИЙ СЧИТАЕТСЯ ГАНГСТЕРОМ то бишь тьфу любой юзер может стать рутом, с нашей точки зрения. И защита делается через песочницы. Все одно с докерами и всеми этими спектрами защита на уровне ОС толком не работает и всегда можно считать что она сломана (она защищает от ошибок а не от врагов).

Поэтому хотят попугаи стать админами - да пожалуйста. Только потом не жалуйтесь что ваш сервер медленно работает. На инфра системы попугаев не допускают. И все.

э... разве я про DEV говорил? там у меня рут есть только толку от этого мало.

[zVlad]

Влад, я пытаюсь тебя привести к простому пониманию факта, что если у тебя несколько десятков тысяч рабочих мест, куча систем к которым они имеют доступ, Интернет, то обьем логов уже огромный, и уменьшить его нельзя. Далее только вопрос об их обработке.

Я естественно не против логов. Я сам ими постоянно пользуюсь и мы храним их разумно долго. Но мой поинт в том что вопросы безопасности и ограничения доступа к ресурсам (не только данным) должны решаться не панической обработкой перенасыщенных избыточной информацией логов, а созданием адекватной security structure (так это называется в RACF), которая допускает и преграждает доступ так как нам это надо, и мы это можем видеть и исправлять по необходимости анализируя саму security structure, а не результаты ее неполноценности.
Согласись первое, анализ структуры, гораздо проще второго обработки фактов из процессов где прорыв дырявой структуры может произойти сегодня, завтра, через год, никогда.
Я знаю что аналоги единой, централизованной RACF security structure, представленны достаточно хаотично распределенными Active Directories и секьюрити на каждом сервере и в каждом более менее значимом приложении, например, Оракл или каком нибудь веб сервере. Каждый фолдер файловой системы и каждый файл имеет свой набор параметров защиты. Обозреть это все не представляется возможным.
Я это знаю и понимаю, но я так же не понимаю почему этот опыт вас (не тебя лично) ничему не учит. Почему вы (не ты лично) смело бросаетесь вновь и вновь на абразуры вражеских дот-ов, создаете продукты для борьбы с этим плодящие океаны данных и продукты для работы с этими океанами в то время как давно уже изобретена и используется "атомная бомба", с которой спорить бесполезно. Почему?

[Flash-04]

Для тебя Flash-04:

Влад, httpd есть сейчас в любой коробке, в т.ч. и raspberry pi. я же вовсе не про это говорил.
Давай спрошу по другому: ты серьезно предлагаешь заменить всю добрую сотню тысяч рабочих мест (включая лептопы) на терминалы ЕС ЭВМ? Серьезно?
Кстати, как там с броузерами в z/OS, есть что-то эквивалентное Chrome/FireFox?

[Flash-04]

Я естественно не против логов. Я сам ими постоянно пользуюсь и мы храним их разумно долго. Но мой поинт в том что вопросы безопасности и ограничения доступа к ресурсам (не только данным) должны решаться не панической обработкой перенасыщенных избыточной информацией логов, а созданием адекватной security structure (так это называется в RACF), которая допускает и преграждает доступ так как нам это надо, и мы это можем видеть и исправлять по необходимости анализируя саму security structure, а не результаты ее неполноценности.
Согласись первое, анализ структуры, гораздо проще второго обработки фактов из процессов где прорыв дырявой структуры может произойти сегодня, завтра, через год, никогда.

это взаимодополняющие понятния. в information security есть очень простой принцип: предполагается что любая система будет взломана, это только вопрос времени. и когда это произойдет, как ты будешь анализировать что случилось? кстати первое что делает "правильный" взломщик - уничтожает логи. поэтому логи должны хранится в другом месте.

Вообще я смотрю что ты считаешь что есть идеальные невзламываемые системы. Это смешно IBM z/OS - это по сути "неуловимый Джо". Например в нашей организации очень ограниченный круг людей имеющий к ним доступ. Помню забавный момент: в какой-то момент мне сказали выбросить всю их подсеть из vulnerability scanning reports, чтобы не раздражать их тим правда как сейчас не знаю, так как с тех пор много поменялось.

[Flash-04]

Владу на поржать:
http://www.zdnet.com/article/hacking-ma ... -platform/

Ayoub Elaassal, a security auditor at consulting firm Wavestone, was one of the lucky few who were able to access a mainframe for an audit. It was running z/OS, a specialized operating system built by IBM for its z Series machines. It didn't take him too long to find a vulnerability that, if exploited, could have given him root access to a mainframe and its vital, sensitive data.
...
Elaassal wrote several scripts that can escalate a user's privileges to the highest "root" level. One of the scripts compiles a payload and places it into one of these sensitive directories, effectively becoming a trusted part of the system itself. The malicious payload then flips some bytes and grants the user "root" or "special" privileges on the mainframe.

занавес.
а вот и PoC:
https://github.com/ayoul3/Privesc

та дам!

[Flash-04]

для чтива Владу:
https://share.confex.com/share/120/webp ... esting.pdf