Computing power comparison: mainframe versus Intel Xeon

[zVlad]

Для тебя Flash-04:

WWW history:
History of the Internet and WWW: The Roads and Crossroads of Internet History
The Hypertext Editing System (1967) and FRESS (1968) first ran on the S/360:
The first working hypertext system was developed at Brown University, by a team led by Andries van Dam. The Hypertext Editing System ran in 128K memory on an IBM/360 mainframe and was funded by IBM, who later sold it to the Houston Manned Spacecraft Center, where it was used to produce documentation for the Apollo space program.
Hypertext is the foundation of the World Wide Web (WWW)

http://planetmvs.com/tcpipm/#vm

Why
My first exposure to the Internet was at my last job back in 1991 using an IBM Mainframe running good ole MVS. From TSO, we could PING, TELNET, and FTP to hosts on the Internet. This was (correct me if I'm wrong) a year or two before there were stacks for your average PC. [The idea for Windows sockets is presented at Interop Sept 1991 and the first specification for Windows Sockets Version 1.1 came in 1993.]

Вот это мне особенно нравится:

At my next (current) job when I heard we were bringing in TCP/IP (1993), I jumped at the chance to install it. We also got TCP/IP for VM so our Officevision clients could send Internet e-mail. On MVS, I ran the freeware Gopher (the predecessor to Web Servers and the World Wide Web) server to serve out MVS text data. I remember having a discussion with another guy about this new technology called the WWW that was looking to replace Gopher. A little bit later, we installed our company's first web server, the freeware VM HTTPd written by Rick Troth, on the good old dinosaur mainframe.

[zVlad]

Русскоговорящие ит-шники представленны одной из двух групп (я не отношусь ни к одной из этих групп).
Первая группа состоит из тех кто слегка коснулся легкой тени от IBM mainframe, называемой ЕС ЭВМ, будучи студентом или в лучшем случае программистом на Фортран, ПЛ/1. Программистов на Кобол в СССР практически не было, я знал не больше двух-трех.
Вторая группа вообще никак не касалась даже ЕС ЭВМ. Они знают об этом по наслышке, в виде вульгарных рассказов про то что носителями информации были перфокарты.
Англоговорящие и европейцы (не важно касались они мф или нет) знают про мэйнфрэйм по крайней мере что это высоконадежные, имеющие непробиваемую защиту компьютеры.
Пошлят из них про мф раз в десять меньше людей чем среди наших.

[Ion Tichy]

Русскоговорящие ит-шники представленны одной из двух групп...

Я Ленина работающую БЭСМ-6 видел!

[StrangerR]

У нас вот на х86 серверах если надавить то можно получить админ права (и давят и получают с одобрения наших секретчиков и секретчиков нашего клиента), или если есть друг в Wintel, то он тебе может дать эти права. Потом правда пробежит некий script и удалит твой аккоунт из "administrators" груп, но если что надо то все уже будет сделано. У вас есть такая дырочка?.

К моему величайшее сожалению наш server support отобрал у нас все админские права, и превратил жизнь в ад, так как любой траблшутинг приложений превращается в цирк. Так что на твой вопрос - нет, на серверах ни у кого "левого" админских прав нет. Но как показывает практика, урон можно нанести и без компроментации серверов.

Нда. У меня полиси на дев серверах проще. ЛЮБОЙ ПРОХОЖИЙ СЧИТАЕТСЯ ГАНГСТЕРОМ то бишь тьфу любой юзер может стать рутом, с нашей точки зрения. И защита делается через песочницы. Все одно с докерами и всеми этими спектрами защита на уровне ОС толком не работает и всегда можно считать что она сломана (она защищает от ошибок а не от врагов).

Поэтому хотят попугаи стать админами - да пожалуйста. Только потом не жалуйтесь что ваш сервер медленно работает. На инфра системы попугаев не допускают. И все.

[StrangerR]

Русскоговорящие ит-шники представленны одной из двух групп...

Я Ленина работающую БЭСМ-6 видел!

Что значит видел? Я на ней работал, больше 10 лет!

[zVlad]

Русскоговорящие ит-шники представленны одной из двух групп...

Я Ленина работающую БЭСМ-6 видел!

А я Минск-22, Минск-32, Наири, останки Урал, сумматора на перфокартах.

[zVlad]

.....
Нда. У меня полиси на дев серверах проще. ЛЮБОЙ ПРОХОЖИЙ СЧИТАЕТСЯ ГАНГСТЕРОМ то бишь тьфу любой юзер может стать рутом, с нашей точки зрения. И защита делается через песочницы. Все одно с докерами и всеми этими спектрами защита на уровне ОС толком не работает и всегда можно считать что она сломана (она защищает от ошибок а не от врагов).

Поэтому хотят попугаи стать админами - да пожалуйста. Только потом не жалуйтесь что ваш сервер медленно работает. На инфра системы попугаев не допускают. И все.

Это очень, очень порочная практика и парадигма построения security policies. Но я Вас понимаю - это от безисходности, Вы не виноваты, такие уж у Вас средства.
Причем такой политикой Вы провоцируете своих девелоперов не задумывать о том как их продукты будут работать в других организациях с другими политиками.
Когда приходят продукты, построенные в таких условиях (а ко мне такие не раз приходили), то в инструкциях по инсталяции пишется: дать рут аккаунт и чтобы DBA был. Но я никогда не удовлетворял таких требований, потому что в z/OS и в DB2 можно отделить мух от котлет.
Когда я начал работать с репликационной програмой под Windows она работала только если ты админ. Несколько раз мне удавалось так или иначе стать админ-ом, но у них script есть, который рано или поздно меня выхеривал. У меня было два пути: надавить и продавить чтобы не выхеривало, или разобраться чтобы работать без админ прав. Я выбрал второй путь.
В работе же с WebSphere на Linux я добился быть суперюзером.

[Dmitry67]

Я программировал на перфокартах, FORTRAN IV
Но RSX-11M на СМ была глотком свежего воздуха после ужаса JCL
Мне это сих пор в кошмарах снится PARM LKED=NOXREF

[zVlad]

...
Мне это сих пор в кошмарах снится PARM LKED=NOXREF

Ты, Дима, такой впечатлительный и нежный, но можешь, судя по всему, работать с таким уродом как Windows.
Обосную самым свежим, этой недели, примером уродства (их на самом деле много). Я использую два Wintel сервера по работе. Работаю через RDC, естественно, на обоих серверах, на десктопе я сделал иконки для запуска моего приложения. До недавних пор все было ок, но пару недель назад иконка на одном сервере перестала работать, говорит что не может найти программу. Оказалось что она указывает не на тот диск. Потом перестала работать иконка на другом серваке, и так по очереди то на одном перестанет, то на другом. Можешь объяснить что происходит?

[Flash-04]

Нда. У меня полиси на дев серверах проще. ЛЮБОЙ ПРОХОЖИЙ СЧИТАЕТСЯ ГАНГСТЕРОМ то бишь тьфу любой юзер может стать рутом, с нашей точки зрения. И защита делается через песочницы. Все одно с докерами и всеми этими спектрами защита на уровне ОС толком не работает и всегда можно считать что она сломана (она защищает от ошибок а не от врагов).

Поэтому хотят попугаи стать админами - да пожалуйста. Только потом не жалуйтесь что ваш сервер медленно работает. На инфра системы попугаев не допускают. И все.

э... разве я про DEV говорил? там у меня рут есть только толку от этого мало.

[zVlad]

Влад, я пытаюсь тебя привести к простому пониманию факта, что если у тебя несколько десятков тысяч рабочих мест, куча систем к которым они имеют доступ, Интернет, то обьем логов уже огромный, и уменьшить его нельзя. Далее только вопрос об их обработке.

Я естественно не против логов. Я сам ими постоянно пользуюсь и мы храним их разумно долго. Но мой поинт в том что вопросы безопасности и ограничения доступа к ресурсам (не только данным) должны решаться не панической обработкой перенасыщенных избыточной информацией логов, а созданием адекватной security structure (так это называется в RACF), которая допускает и преграждает доступ так как нам это надо, и мы это можем видеть и исправлять по необходимости анализируя саму security structure, а не результаты ее неполноценности.
Согласись первое, анализ структуры, гораздо проще второго обработки фактов из процессов где прорыв дырявой структуры может произойти сегодня, завтра, через год, никогда.
Я знаю что аналоги единой, централизованной RACF security structure, представленны достаточно хаотично распределенными Active Directories и секьюрити на каждом сервере и в каждом более менее значимом приложении, например, Оракл или каком нибудь веб сервере. Каждый фолдер файловой системы и каждый файл имеет свой набор параметров защиты. Обозреть это все не представляется возможным.
Я это знаю и понимаю, но я так же не понимаю почему этот опыт вас (не тебя лично) ничему не учит. Почему вы (не ты лично) смело бросаетесь вновь и вновь на абразуры вражеских дот-ов, создаете продукты для борьбы с этим плодящие океаны данных и продукты для работы с этими океанами в то время как давно уже изобретена и используется "атомная бомба", с которой спорить бесполезно. Почему?

[Flash-04]

Для тебя Flash-04:

Влад, httpd есть сейчас в любой коробке, в т.ч. и raspberry pi. я же вовсе не про это говорил.
Давай спрошу по другому: ты серьезно предлагаешь заменить всю добрую сотню тысяч рабочих мест (включая лептопы) на терминалы ЕС ЭВМ? Серьезно?
Кстати, как там с броузерами в z/OS, есть что-то эквивалентное Chrome/FireFox?

[Flash-04]

Я естественно не против логов. Я сам ими постоянно пользуюсь и мы храним их разумно долго. Но мой поинт в том что вопросы безопасности и ограничения доступа к ресурсам (не только данным) должны решаться не панической обработкой перенасыщенных избыточной информацией логов, а созданием адекватной security structure (так это называется в RACF), которая допускает и преграждает доступ так как нам это надо, и мы это можем видеть и исправлять по необходимости анализируя саму security structure, а не результаты ее неполноценности.
Согласись первое, анализ структуры, гораздо проще второго обработки фактов из процессов где прорыв дырявой структуры может произойти сегодня, завтра, через год, никогда.

это взаимодополняющие понятния. в information security есть очень простой принцип: предполагается что любая система будет взломана, это только вопрос времени. и когда это произойдет, как ты будешь анализировать что случилось? кстати первое что делает "правильный" взломщик - уничтожает логи. поэтому логи должны хранится в другом месте.

Вообще я смотрю что ты считаешь что есть идеальные невзламываемые системы. Это смешно IBM z/OS - это по сути "неуловимый Джо". Например в нашей организации очень ограниченный круг людей имеющий к ним доступ. Помню забавный момент: в какой-то момент мне сказали выбросить всю их подсеть из vulnerability scanning reports, чтобы не раздражать их тим правда как сейчас не знаю, так как с тех пор много поменялось.

[Flash-04]

Владу на поржать:
http://www.zdnet.com/article/hacking-ma ... -platform/

Ayoub Elaassal, a security auditor at consulting firm Wavestone, was one of the lucky few who were able to access a mainframe for an audit. It was running z/OS, a specialized operating system built by IBM for its z Series machines. It didn't take him too long to find a vulnerability that, if exploited, could have given him root access to a mainframe and its vital, sensitive data.
...
Elaassal wrote several scripts that can escalate a user's privileges to the highest "root" level. One of the scripts compiles a payload and places it into one of these sensitive directories, effectively becoming a trusted part of the system itself. The malicious payload then flips some bytes and grants the user "root" or "special" privileges on the mainframe.

занавес.
а вот и PoC:
https://github.com/ayoul3/Privesc

та дам!

[Flash-04]

для чтива Владу:
https://share.confex.com/share/120/webp ... esting.pdf

[Flash-04]

Я это знаю и понимаю, но я так же не понимаю почему этот опыт вас (не тебя лично) ничему не учит.

вот-вот, это и к тебе относится. пора выйти из клозета в чудесный и ужасный мир вокруг. Если представить что эволюция пошла бы по пути MF IBM, то сейчас было бы полно хакеров использующих их "дыры". Люди умные, нельзя их недооценивать.

[zVlad]

Я естественно не против логов. Я сам ими постоянно пользуюсь и мы храним их разумно долго. Но мой поинт в том что вопросы безопасности и ограничения доступа к ресурсам (не только данным) должны решаться не панической обработкой перенасыщенных избыточной информацией логов, а созданием адекватной security structure (так это называется в RACF), которая допускает и преграждает доступ так как нам это надо, и мы это можем видеть и исправлять по необходимости анализируя саму security structure, а не результаты ее неполноценности.
Согласись первое, анализ структуры, гораздо проще второго обработки фактов из процессов где прорыв дырявой структуры может произойти сегодня, завтра, через год, никогда.

это взаимодополняющие понятния. в information security есть очень простой принцип: предполагается что любая система будет взломана, это только вопрос времени. и когда это произойдет, как ты будешь анализировать что случилось? кстати первое что делает "правильный" взломщик - уничтожает логи. поэтому логи должны хранится в другом месте.

Вообще я смотрю что ты считаешь что есть идеальные невзламываемые системы. Это смешно IBM z/OS - это по сути "неуловимый Джо". Например в нашей организации очень ограниченный круг людей имеющий к ним доступ. Помню забавный момент: в какой-то момент мне сказали выбросить всю их подсеть из vulnerability scanning reports, чтобы не раздражать их тим правда как сейчас не знаю, так как с тех пор много поменялось.

Секьюрити на мф лишь одна из многих задач которые я решаю по работе и мне смешно слышать от человека специализирующегося на секьюрити дилетанские присказки о неловимом Джо.
Идея что любые системы защиты взламываемы/преодолимы происходит от бессилия, от признания того что из средств которыми вы (на ты лично) располагаете непреодолимую защиту не построить и надо имитировать бурную деятельность иммитируя что вы (не ты лично) как-то контролируете ситуацию.
Я уже говорил, повторю, на мф, под z/OS хранятся самые-самые топ сикретс доступ к которым хотели бы иметь такие силы и деньги что любого неуловимого Джо поймают и выпотрошат. Облака с фотками, личными страничками и прочим мусором как раз таки никому всерьез не нужны и что там за защита никому по большому счету не интересна. А вот фактов добычи настоящих секретов не было и нет. Они хранятся надежно.
Твоя контора, как я понимаю, не веники вяжет, возможно выполняет некую канадскую госфункцию, не знаю, но то что это защищено анализом логов меня, как гражданина Канады, напрягает.
Мы (наша контора) тоже как бы не веники вяжет и тоже секьюрити не на последнем месте стоит, но я вижу что как раз наши системы не на мф предоставляют прекрасные возможности для воровства информации и оно вполне возможно существует на самом деле. И для этого не надо утюгами пароли добывать. Начал было писать а как, но вовремя остановился.

[Dmitry67]

Влад не понимает как происходит типичное взламывание систем. Действительно, исключая пример meltdown (в общем, совершенно исключительный), взламывание происходит не грубой силой, когда ломается система в узком смысле этого слова (kernel). Опять таки, исключая meltdown, kernel изолирован аппаратно. Поэтому user process можеть биться и делать все что угодно - kernel ему не взломать. На этом строится наивная уверенность Влада что МФ не взламываема.

[mskmel]

Но мой поинт в том что вопросы безопасности и ограничения доступа к ресурсам (не только данным) должны решаться не панической обработкой перенасыщенных избыточной информацией логов, а созданием адекватной security structure (так это называется в RACF), которая допускает и преграждает доступ так как нам это надо

Одно совсем не исключает другое. Т.е. это два параллельных процесса, которые должны быть.
В бухгалтерии это называется "двойная запись" , в простонародье "Доверяй, но проверяй".

Ты фундаментально не понимаешь роль ИТ в конторе. Её цель не создавать идеально защищенные и оптимальные системы, а системы позволяющие бизнесу иметь максимальную цифру "ИТОГО". Если клиент хочет Мазератти, то роль механика не убеждать что "Кэмри дешевле, надёжнее и почти не пользуется спросом у угонщиков. И вообще это гениальное творения автопрома", а сделать так чтобы Мазератти ездила всегда и её никто не свистнул. Клиенту плевать на технологии, ДВС или электрический, ему хочется Мазератти.

Нагромаждение систем делает их эксплуатацию очень сложной, создаёт в т.ч. и массу проблем с безопасностью, но позволяет компании иметь те инструменты, которые ей нужны для максимизации ИТОГО.

[Palych]

Нагромаждение систем делает их эксплуатацию очень сложной, создаёт в т.ч. и массу проблем с безопасностью, но позволяет компании иметь те инструменты, которые ей нужны для максимизации ИТОГО.

Что может понимать менеджмент в женских оркестрах информационных технологиях?
Они должны молчать и слушать что им говорят бородатые гении в белых халатах, читающие большие распечатки на перфорированной бумаге...

[zVlad]

......
Нагромаждение систем делает их эксплуатацию очень сложной, создаёт в т.ч. и массу проблем с безопасностью, но позволяет компании иметь те инструменты, которые ей нужны для максимизации ИТОГО.

А без нагромаждения систем никак нельзя позволить "иметь те инструменты, которые ей нужны для максимизации ИТОГО."

Прежде чем ответить "нет" подумайте хорошенько не является ли это мнение (или даже убежденность) лишь результатом упорного игнорирования всех имеющихся на рынке ИТ решение и зацикливания на одном.

То что Вы говорите максимизирует ИТОГО ит компаниям и департментам ит в бизнесах. Про бизнесс и его интересы "современное ит" знает только то что с них они получают шерсть и молоко.

[Flash-04]

Секьюрити на мф лишь одна из многих задач которые я решаю по работе и мне смешно слышать от человека специализирующегося на секьюрити дилетанские присказки о неловимом Джо.

Пока дилетанством разит от тебя. Ничего личного

[mskmel]

Прежде чем ответить "нет" подумайте хорошенько не является ли это мнение (или даже убежденность) лишь результатом упорного игнорирования всех имеющихся на рынке ИТ решение и зацикливания на одном.

Это не сисадмину решать какой функционал лучше. Если бизнес решил что ставим Skype for Bussines и он работает только под Windows, то МФ остаётся не у кассы.
Если бизнесу нужна новая версия приложения, на разработку которого под МФ вендор забил, то МФ не у кассы.
Если приложение под Oracle, а он лучше всего работает на Exadata, то МФ не у кассы.
Если приложению надо много вычислительных ресурсов и\или памяти, и нет экономии на лицензиях (бесплатный софт), то МФ не у кассы.
Если нужен SAP и он только Hanna, то ...
список можно продолжить.
Таким образом формируется зоопарк технологий, которые надо между собой интегрировать, мониторить, защищать и т.п. И именно это задача ИТ.

[Flash-04]

Ага. Нам же предлагают все выкинуть и поставить MF, а потом придёт довольное как не знаю что IBM и все напишет к нему за $$$$
Ну или не напишет.

[mskmel]

IBM и все напишет к нему за $$$$

Посмотреть на Lotus Notes и забыть о заказе софта у IBM. Если не вышло - поработать на нём до просветления!