Konstantin
issuer + serial number
Konstantin
Это по стандартам
Konstantin
Но есть еще вариант с отпечатком
G72K
openssl x509 -in credentials/apiserver.pem -fingerprint -noout
SHA1 Fingerprint=3E:4E:7E:2B:D2:C4:69:32:39:EC:66:4A:9D:9C:AD:C1:76:C0:8B:0E
вот, это удобно . спасибо
🏳️ Phil
кто-нибудь знает какое поле в x509 сертификате однозначно идентифицирует его? могу конечно взять sha1 от .pem файла, но это ненаучно как-то )
фингерпринт в теории. есть ещё sid, но это если он есть
Konstantin
Ну в теории могут пересекаться отпечатки. Но на практике мы сами используем отпечатки.
🏳️ Phil
Ну только в теории.
🏳️ Phil
Я использую вот это:
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:90:AF:6A:3A:94:5A:0B:D8:90:EA:12:56:73:DF:43:B4:3A:28:DA:E7
X509v3 Subject Key Identifier:
9A:7B:BF:60:B1:02:CE:1E:A7:7F:B7:1D:AB:E4:FB:68:39:F0:62:CE
G72K
ключ же могут переиспользовать
🏳️ Phil
Могут. Но тут надо понимать нахрен тебе вообще идентифицировать это
🏳️ Phil
В процессе-то ключ используется
G72K
не только, разные сертификаты с одним ключем могут иметь разные CN и прочие extensions, так ведь?
🏳️ Phil
не только, разные сертификаты с одним ключем могут иметь разные CN и прочие extensions, так ведь?
Да. Согласен. Да, как уникальный ID только фингерпринт
Pavel
ктонить может подсказать какойнить ресурс где бенчмарки осей позырить можно?
🏳️ Phil
Чьих осей? Вело? Передних, задних?
Pavel
Pavel
Операционок
Aleserche
в драповых костюмах
🏳️ Phil
Операционок
А что такое "бенчмарки операционок" ? Тем более в свете devops. У нас какой-то очень широкий и реально отличающийся нутром друг от друга выбор?
🏳️ Phil
GNU libc vs Alpine libc? :)
Pavel
чет типа такого ищу: http://www.phoronix.com/scan.php?page=article&item=ubuntu1404_rhel7b_test&num=3
Anonymous
А что такое "бенчмарки операционок" ? Тем более в свете devops. У нас какой-то очень широкий и реально отличающийся нутром друг от друга выбор?
Бенчмарки операционок в драповых костюмах
🏳️ Phil
Magistr
Pavel
руководству показать що нахер центос в красивых картинках
Aleksey
боюсь в красивых картиночках будут применены "особые методы подсчета и визуализации" ибо реальные цифры будут колебаться в районе одного процента и скорее всего будут объяснены стат погрешностью
Pavel
ну у ядер то перфоманс разнится, при прочих равных
🏳️ Phil
руководству показать що нахер центос в красивых картинках
Центос нахер далеко не поэтому. По-моему нет никакой ОС кроме Ubuntu.
Pavel
Центос нахер далеко не поэтому. По-моему нет никакой ОС кроме Ubuntu.
расскажи это операторам связи :)
Aleksey
ты про то что они фряхой обвешались ?
Pavel
не, ораклами и редхатами
Pavel
ось без поддержки - не ось и т.п.
Pavel
ну лады, попер искать бенчи кернылов
Aleksey
это какие то другие операторы.
Pavel
при слове убунта у их безопасников нервный тик начинался
🏳️ Phil
ось без поддержки - не ось и т.п.
Ну так вот пусть свою centos и поддерживают. Она тоже без поддержки кстати, а основная её проблема - её усраться поддерживать самому
Pavel
в том случае пришлось работать c rhel6.5, само собой не центосом, от слова центос у них тик поменьше был. К сожелению заказчик вправе диктовать условия :)
Pavel
или 6.6 не помню точно, помню половину софта пришлось пилить
🏳️ Phil
Собственно проблема не в бенчах, а именно в трудности поддержки.
🏳️ Phil
Просто можно ставить условия "мечом дороже" и всё
Vladimir
@freeseacher нам тут дали потестировать внешнее хранилище по iSCSI. Ядро 3.10 из CentOS 7 - все плохо
Vladimir
ставишь mainline 4.12 - все сносно
Pavel
так так
Pavel
@Civiloid А можно на цифры глянуть?
Vladimir
@Civiloid А можно на цифры глянуть?
там под нашей нагрузкой (графит) выход go-carbon'а на рабочий режим на старом ядре занимал 2-3 часа, а на новом 15 минут
Vladimir
про цифры пока не знаю ) надо подумать можно ли графики в паблик вытащить
Pavel
Если можно, буду оч благодарен
Aleksey
там под нашей нагрузкой (графит) выход go-carbon'а на рабочий режим на старом ядре занимал 2-3 часа, а на новом 15 минут
дак с тобой то понятно всё. когда есть чего то много появляются отличия
🏳️ Phil
Гхм, можно отвлеку коллег? Мне надо зарубить на входе в машину кучу IP. У меня виртуалки KVM за NAT. Хочу сделать ipset таблицу, чтобы рубило ещё до NAT, чтобы оно сцуко conntrack не гоняло
Aleksey
Aleksey
видимо так нельзя
🏳️ Phil
Ну может есть варианты. Ну просто это дешевый ддос совсем
Aleksey
конечно есть варианты
Aleksey
но они на шлюзе
🏳️ Phil
Глупость какая-то
Aleksey
ну вообще существует поверие что фаервол на ноде должен быть выключен. позже это поверие трансформировалось с появлением докера. но в целом фильтрацией трафика нода заниматься не должна.
🏳️ Phil
Слушай, это какаято кислая теория. Есть сто случаев, когда надо. Тем более банальнфй вход в сеть. Я и хочу фильтрануть на баре метал, и чегото херово выходит
Sergei
ну вообще существует поверие что фаервол на ноде должен быть выключен. позже это поверие трансформировалось с появлением докера. но в целом фильтрацией трафика нода заниматься не должна.
а кто должна? и та кто должна - не нода разве?
Aleksey
тот которая должна она сеть.
Aleksey
роутер
Sergei
Sergei
ты знаешь source ip злодеев и их много?
Sergei
кейс непонятен
Sergei
ipset должен работать в raw таблице по идее
🏳️ Phil
ipset должен работать в raw таблице по идее
Это наверное мой вопрос. Как? Я не вижу разрешенного метода