[hpc-devel] HPC-CD.ISO

Alexander A. Naumov =?iso-8859-1?q?alexander=2Enaumov_=CE=C1_t-platforms=2Eru?=
Чт Авг 16 15:21:20 MSD 2007 

Позволю себе еще раз прокомментировать с позиции человека, 
занимающегося информационной безопасностью.

Прошу добавить также в список рассылки Алексея Галатенко <agalat на msu.ru>

-- 
С уважением,
Александр Наумов
ООО "Т-Платформы"
Тел.: (495)744-0995
http://www.t-platforms.ru
On Wed, Aug 15, 2007 at 02:33:37PM +0300, Serge Ryabchun wrote:
> 15.08.07, Alexander A. Naumov<alexander.naumov на t-platforms.ru> написал(а):
> > Позволю себе изложить комментарии.
> >
> > --
> > С уважением,
> > Александр Наумов
> > ООО "Т-Платформы"
> > Тел.: (495)744-0995
> > http://www.t-platforms.ru
> > On Wed, Aug 15, 2007 at 01:20:03PM +0300, Serge Ryabchun wrote:
> 
> Хм, вообще-то они и так выделяются эксклюзивно под одну задачу.
> Виртуальность подразумевает наличие одного вируального управляющего узла и
> набор виртуальных вычислительных узлов, не имеющих доступа никуда дальше этого
> набора. Внутри него задаче хоть рута отдавай.

А часто задача хочет именно рута? 

> 
> > Решение задачи про "любителя рискнуть" лежит _ИМЕННО_ в административной
> > плоскости.
> 
> К сожалению, нет. Из-за потока этих задач, из-за доступности компилятора по
> определению, из-за умения читать сообщения о свеженайденных дырах,
> из-за задач, которые нельзя остановить ближайшие три месяца для затыкания
> этих дыр (да дыры там в общем-то и не стараются затыкать - кластер с RedHat 7.1
> я знаю где стоит), etc.


Сереж, это ситуация (Redhat 7.1) не говорит о том, что надо ориентироваться на
такие установки. Это - скорее пример, как делать _НЕ_НАДО_!

> 
> > Не совспем понятно, как виртуальный кластер поможет решить задачу разграничения
> > доступа. Есть более доступные средства и механизмы для этого.
> 
> К сожалению, нет. Ошибку в конфигурации легко сделать и на локалхосте, а когда
> этих хостов сотни, то она гарантирована.

Если конфигурации узлов "стандартные", то достаточно проверить одну,
а остальные генерировать не ее основе.

Вообще говоря, прежде чем обсуждать механизмы надо представлять модель
системы, угрозы и политику безопасности системы.

> 
> В любом случае - виртуальный кластер на сегодня не применим на практике.
> Поэтому сейчас это сводится только к нужен ovz в ядре или нет для управляющего
> узла.
> _______________________________________________
> Hpc-devel mailing list
> Hpc-devel на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/hpc-devel

Подробная информация о списке рассылки HPC-devel