http://pcipolicyportal.com/blog/pci-compliance-password-requirements-best-practices-know/
Если доступ к сервисам снаружи невозможен, то зачем эти сервисы нужны? :)
Правильный ответ в том что доступ возможен и контролируется.
Если вы проходили PCI DSS, а не "один парень рассказывал", то знаете что там бумаг с инструкциями over1005000.
Понятно же, что я рассмотрел два разных вектора: или вы храните в кипасе или в голове :)
Если в голове, то будете переиспользовать.
Про libssh - это ещё найти надо где ЭТО используется для ssh-сервера.
Вообще говоря, пока мы тут PCI DSS проходили, много общались со всякими безопасниками и в том числе о паролях.
Предложенные вами пароли также плохи, потому что хранятся во всяких кейпассах или используются повторно в разных сервисах.
Про утечки из кейпассов говорить не буду - тут всё понятно.
Задача - формировать сложные и уникальные пароли... Предложили нам решение - найти в интернете или где угодно в оффлайне дурацкий стишок на ~20 строф и придумать правило, по которому из строф и слов формируется парольная фраза.
Парольная фраза - 3-5 слов с разделителем.
Ломать - не переломать.
Пробивается только терморектальным криптоанализом.
А SSH надо закрывать вторым фактором через токенайзеры, ага. (Ключ с паролем не является двухфакторкой, а усиленным одним фактором, если что)
На TCP мы гоняли по 200 мегабит сутками внутри впна и не испытывали никаких проблем.
На UDP ловили бан на примерно 120pps с источника, но там есть ещё какая-то хитрость с портами. Не на всех портах это было.
Это не чистое облако.
Один физический сервер = 1 гипервизор с пачкой виртуалок разноролевых
У каждой виртуалки есть функциональный дубль (в реплике, например) на другом рядом расположенном гипервизоре + для стейтфул виртуалок дубли в удалённых ДЦ.
Нагрузка разбросана по гипервизорам, так что их утилизация держится на уровне 70-75% ; при отказе гипервизора весь кластер ребалансируется в состояние "stateless на рядом стоящее облако" + "stateful на живых гиперах".
При пиковых нагрузках стейтлессы поднимаются в рядом лежащем облаке (у online.net - scaleway), освобождая нужные ресурсы гиперов.
Online.net говорит про диски enterprice-class.
На деле у нас в новой Core- серии стояли 860 EVO, что какбе ни разу не энтерпрайз. Но работают неплохо (главное журналы ceph туда не пихать и не писать широченным потоком в qdepth=1)
И, да, мы не делаем рейды в рамках одной машины на ссд и считаем точкой отказа ВЕСЬ сервер.
Расскажите мне что я неправ.
у Redstation в 2017, кажется, году было повышение, мотивированное тем, что Brexit и падение фунта
Online.net предупредили за ~1.5 месяца (новые цены применяются с 1 ноября), мотивировав это ростом цен на память и ssd (о чем не пишет только ленивый).
Интересно ещё что будет с запуском нового железа из-за проблем у интела...
У нас рост - чуть больше 13% составил.
Что, конечно, неприятно, но не смертельно.
Даже с таким ростом ребята дают предложение, которое чуть ли не самое дешевое на рынке.
Плюс сейчас выложили кучу Core-* и Pro-* серверов, которые вполне делают рынок.
Предложения больше не принимаются - взял хецнер.
Тему можно удалить/закрыть.
У тех же OVH открытая пиринговая политика и присутствуют они на огромной куче точек обмена трафиком. Понятно что из-за 30ТБ/месяц никто не почешется всё это настраивать - это совершенные копейки.
Не буду говорить своих мыслей по поводу развития пиринговых соглашений для датацентов - это не наш бизнес и я в этом недостаточно компетентен.
Мы обычно работаем с крупными ДЦ и я поглядываю на то как ходит трафик между ними. Почти всегда наш server-2-server трафик ходит через точки обмена трафиком. Почти везде. Поэтому я хз что тут сказать про 99.99%. Видимо оставшиеся 0.01% делают рынок :)
А на скриншоте из хецнера, кстати, 4 диска по 3TB, что даёт 12TB JBOD (там ниже даже написано про 4x HDD SATA 3,0 TB Enterprise)
Вообще говоря нет. Для хостера (реального хостера, а не реселлера) не всё равно.
Есть такая волшебная штука как пиринг (спросите ребят из ua-hosting, они про это на хабрах даже писали).
Цена тоже может быть ниже - сам по себе трафик и нагрузка на сетевое и серверное оборудование возникает в часы наименьшей нагрузки (когда и каналы мало загружены и электричество дешевле и все остальное оборудование греется меньше и охлаждать дешевле) - по-сути для хостера это продажа малоиспользуемых ресурсов (за исключением стоимости портов и места в стойке).
Плюс бывают истории, когда надо заполнить стойки и это лучше, чем стоять вхолостую.
У хецнера цена заметно ниже, если что:
