/var/blog/messages

For 7-8 siden var dual-bundkort noget af det mest hippe. For eksempel Asus P2B-D/DS og ikke mindst det revolutionerende ABIT BP-6 bundkort, med plads til 2 styk Intel Celeron-processorer – som Intel vel at mærke hårdnakket påstod ikke kunne bruges i dual-installationer. I dag ser man det ikke så ofte mere og stort set kun til professionel serverbrug. CPU’erne er simpelthen så hurtige, at der ikke er behov for mere end end processor.

Et stadig relevant spørgsmål er dog, om dual-cpu-systemer rent faktisk yder væsentligt bedre, end single-cpu. I øjeblikket har jeg to computere til rådighed:

1. Asus P2B-D, 2 x 450 MHz Pentium II, 512MB RAM, 8 GB SCSI-2 harddisk
2. Shuttle MV41, 1 x 1,7 GHz Celeron, 1024MB RAM, 29 GB UDMA-100 harddisk

Celeron-processoren er, så vidt jeg ved, grundlæggende en Pentium-processor med begrænset internt cache. Man kan altså ikke direkte sammenligne Celeronens 1700 MHz med Pentium II’erens 450 MHz, men Celeronen er dog klart hurtigere. Spørgsmålet er så – hvor meget hurtigere?

Begge maskiner er installeret med FreeBSD 6.1-RELEASE-p2. Jeg lavede så et forsøg, hvor jeg kompilerede “world” og kernel på begge maskiner og tog tid. Resultatet ses på grafikken og det er faktisk lidt overraskende! Den præcise fremgangsmåde var:

1. make -j4 buildworld
2. make buildkernel KERNCONF=MYCONF
3. make installkernel KERNCONF=MYCONF
4. make installworld

Bemærk -j4-parameteren i første kommando. Den betyder, at make splitter op i 4 samtidige processer, hvilket skulle forøge kompileringshastigheden. Den dur dog kun til den første del, da buildkernel, installkernel og installworld ikke kan splittes op.

!@(uploads/2006/06/buildtimings.gif:R250 popimg: “Build timings for buildworld and buildkernel – klik for større billede”)Kig så på grafikken – de 3 første sæt søjler viser tiderne for buildworld og de 3 sidste for buildkernel. “Real” er den faktiske forløbne tid, “user” er den (cpu) tid kompileringen har brugt og “sys” er tid anvendt til systemkald (skrive på disk o. lign.). Det forbløffende er, at dual-maskinen faktisk er hurtigst til buildworld! Single-cpu-maskinen vinder dog i buildkernel og de to resterende build-processer (som ikke er afbildet på grafiken). Den anden forbløffende ting er, at “user”-tiden er større end den reelle tid – det skyldes naturligvis, at make -j4 kan splitte op i 2 x 2 proceser, dvs. to til hver cpu!

Reelt har dual-maskinen brugt mere end dobbelt så meget cpu-tid, som single-maskinen (11641 sekunder, i mod 5733 ), men de to processorer har åbenbart mindre spildtid tilsammen og bliver derfor først færdig. Den anden kompilering kunne ikke deles op, så den har kun kunne udnytte én processor i dual-maskinen og her ses, at Celeronen er ca. dobbelt så hurtig, som Pentium II’eren.

Min konklusion er, at dual-cpu-systemer i høj grad stadig har sin berettigelse, men at der mangler programmer, der kan udnytte dem. Imidlertid har man jo ofte flere forskellige programmer i gang – mailprogram, webbrowser og måske Photoshop. De ville så fordele sig processorerne og udnytte ressourcerne bedre. Udviklingen går da også i den retning, i det de moderne cpu’er er såkaldte dual-core-cpu’er, dvs. man har bygget to cpu’er sammen.

Mon ikke min næste computer skal være noget 64 bit dual dualcore cpu, med 16GB RAM ?

!@(uploads/2006/06/bp1400_front.jpg:R150 popimg: “APC © Back-UPS Pro 1400 – klik for større billede”)Jeg har tidligere efterlyst en UPS og nu har jeg sandelig fået en. En venlig læser af min blog tilbød mig en, efter at have læst om mine genvordigheder med svigtende elforsyning. Jeg vil snarest lave en liste over andre ting jeg mangler, såsom en Ducati 900 Mike Hailwood Replica, en hvid Lamborghini Countach og en gartner…

Tilbage til UPS’en, som Johannes venligt overlod mig. Det er en APC Back-UPS Pro 1400, som kan levere ca. 950W. Ved fuld belastning rækker batterikapaciteten til ca. 7 minutter og det skulle være nok til, at man både kan vente lidt, for at se om strømmen kommer igen, og nå at lukke serveren ned, gracefully.

Desværre har UPS’en vist sig at være dum. Ikke sådan at den driller eller noget, men i den forstand, at den ikke understøtter “Smart Signaling”. Smart Signaling muliggør aflæsning af vigtige parametre som forsyningsspænding (normalt 240V, men den kan svinge meget), batteriniveau og belastning.

Den kan imidlertid det der skal til – nemlig give serveren tid til at lukke pænt ned, så der ikke sker skader på harddiskene eller tabes uskrevne data.

Giv en stor hånd til Johannes, for hans uselviske gavmildhed .

De fleste af os har nok oplevet, at en harddisk stod af. Det er på alle måder irriterende. Tabet af data er oftest det værste, men selv med en god backup skal man til at bruge timer, ofte flere hele aftener, på at genskabe computeren.

Hvis man så bare havde fået et kort varsel! Det kan man faktisk godt få, for siden ATA-3 standarden kom frem i 1996^[1], har alle harddiske været udstyret med S.M.A.R.T.-systemet. Og det er smart! Systemet overvåger en lang række mere eller mindre kritiske parametre i disken. Det foregår helt uafhængigt af computeren, inde i selve harddisken.

Her knækker filmen imidlertid, for der er ikke nogen harddisk-fabrikanter der leverer et interface til S.M.A.R.T., ligesom det heller ikke findes i Windows™, på trods af at basiskommandoerne er veldokumenterede og frit tilgængelige (der findes ikke en egentlig S.M.A.R.T.-standard).

Heldigvis er andre mere service-mindede. Derfor har de lavet smartmontools, som også fås til Windows. Det er to programmer – et der konstant kører i baggrunden og holder øje med disken og et man selv kan køre, hvis man ønsker information her og nu.

Her er et output fra min Windows XP:

C:\Program Files\smartmontools\bin>smartctl.exe -a /dev/scsi00
smartctl version 5.36 [i686-mingw32-xp-sp2] Copyright (C) 2002-6 Bruce Allen
Home page is http://smartmontools.sourceforge.net/

Device: QUANTUM ATLAS_V_18_WLS Version: 0230
Serial number: 141014450327
Device type: disk
Local Time is: Wed May 31 22:09:55 2006 RST
Device supports SMART and is Enabled
Temperature Warning Enabled
SMART Health Status: OK

Current Drive Temperature: 39 C
Drive Trip Temperature: 90 C
Elements in grown defect list: 0

Error counter log:
           Errors Corrected by           Total   Correction     Gigabytes    Total
               ECC          rereads/    errors   algorithm      processed    uncorrected
           fast | delayed   rewrites  corrected  invocations   [10^9 bytes]  errors
read:        274        0         0         0          0          2.823           0
write:         0        0         0         0          0          2.308           0

Non-medium error count: 8

Last n error events log page

SMART Self-test log
Num  Test              Status                 segment  LifeTime  LBA_first_err [SK ASC ASQ]
     Description                              number   (hours)
# 1  Background long   Completed                   -    9277                 - [-   -    -]
# 2  Background short  Completed                   -    9276                 - [-   -    -]

Long (extended) Self Test duration: 2048 seconds [34.1 minutes]

Det ses blandt andet, at min disk er 39°C varm, den har lavet 274 fejl og været tændt i 9277 timer (det er godt 386 døgn). I dens foreløbige levetid har den læst 2,8 terrabytes og skrevet 2,3 terrabytes! Det svarer til, at alle 18 gigabytes på disken er skrevet og læst mellem 125 og 156 gange! Alt i alt må disken siges at være i god stand og have ydet en pletfri indsats!
Hvorfor sørger Microsoft og Quantum (opkøbt af Maxtor, der nu er opkøbt af Seagate) ikke for, at vi helt rutinemæssigt får helbredsinformationer fra disken, når den får det dårligt? Det er ikke så svært og det kunne spare os forbrugere for megen ærgelse!

^[1] SCSI-diske fik angiveligt S.M.A.R.T. med SCSI-3 standarden i 1992.

!@(uploads/2006/05/xerox.internt.twe.net.3-day.gif:R300 popimg: “MRTG – klik for større billede”)Min webserver er ret sløv i øjeblikket . Jeg lagde mærke til det, da jeg tjekkede post via min webmail og tog derfor et kig på min serverstatistik. Som vedstående billede viser, så har der været usædvanlig meget trafik, det sidste døgns tid. Hmm…..

Et tcpdump -i eth1 not port 22 viste en masse http trafik fra IP-adressen 65.55.246.95, som kan slås op til msnbot.msn.com. Kunne MSN virkelig tænkes at være synderen? En traceroute 65.55.246.95 viste sig at ende hos po15.blu-6nf-srch-1b.ntwk.msn.net (65.55.226.14), så den var altså god nok.

Min webserver er simpelthen udsat for et DoS-angreb fra MS – et MS-DoS .

Heldigvis har vi andre metoder! Så fra dags dato er MSNbot udelukket fra min webserver og senere vil jeg sætte en regel på min firewall, der helt stopper trafikken. Så kan de lære det.

!@(uploads/2006/01/wrt54g.jpg:R150 popimg: “Linksys WRT54G © Linksys – klik for større billede”)I januar skrev jeg et kort indlæg om min Linksys WRT54G router. Det blev kort, fordi jeg kunne henvise til Kurts weblog og hans gennemgang af routerens mange muligheder. Nu har jeg imidlertid selv rodet lidt med routeren og de muligheder man får, hvis man lægger en tredieparts firmware på den og som Kurt har jeg valgt den firmware, der hedder dd-wrt.

Projektet indeholder en web- og mailserver til min storesøster og en sikrere, WPA-baseret, WLAN-løsning til hendes hjemmenetværk. Imidlertid mangler WRT54G-routeren nogen ønskelige faciliteter fra fabrikken, såsom SNMP, ssh og ikke mindst en stateful firewall-funktion med gode konfigurationsmuligheder. Installation af dd-wrt løser alle problemerne og det er fantastisk let at gøre – man følger bare vejledningen.

Nu står man med en router, der i alle praktiske henseender er en mini-linux. Dermed kan man installere en kompliceret firewall-politik, baseret på Linux’ firewall-software, iptables. Opsætning af iptables er ret langhåret og fejl er ikke en acceptabel mulighed, når routeren står 300 kilometer væk.

!@(uploads/2006/05/fwbuilder.jpg:R200 popimg: “fwbuilder GUI screenshot – klik for større billede”)Her kommer næste produkt ind i billedet – fwbuilder. Firewall Builder er et GUI til konstruktion af firewall-regler til en samlet firewall-politik. Firewall Builder understøtter en lang række forskellige operativ systemer og firewall-produkter, blandt andet også Linux og iptables – endog med en template for netop WRT54G! GUI’en minder meget om Check Points SmartDashboard, som jeg allerede bekendt med fra mit arbejde, og den er faktisk rimelig intuitivt bygget op. I korte træk vælger man en source, en destination, en service (f. eks. web eller e-mail) og en handling – tillad, afvis eller drop. Firewall Builder kan ligefrem logge på Linksys-routeren og installere den definerede politik – så kan det ikke blive lettere.

En god sikkerhedspolitik tillader kun kendt trafik, både ind- og udgående. Ofte tillader små hjemmefirewalls al udgående trafik og det er noget skidt! Det betyder nemlig, at får man en trojansk hest indenfor firewall’en, så kan den kommunikere frit med sin skaber og sprede sig videre til andre computere.

En god løsning er at have en proxy-server og så kun tillade den at kommunikere med internettet. Kombineret med en lokal mailserver betyder det, at der ikke normalt vil være behov for, at computere på lokalnettet kan gå direkte på internettet. Undtagelsen er selvfølgelig VPN-forbindelser i forbindelse med hjemmearbejdspladser, men disse er normalt veldefinerede og dermed lette at tillade eksplicit.

Installationen af dd-wrt muliggør endvidere overvågning af routeren/firewallen, i en grad der ikke fandtes i den originale stand. Med snmp kan se interessante data på routeren, som f. eks. båndbreddeforbruget på internetforbindelsen og dermed vurdere, om man har brug for en større forbindelse.

Man kan også få logfilerne gemt på en ekstern server og dermed få mulighed for at auditere logfilerne. En meget almindelig fejl, begået af firewall-ansvarlige, er tillid til ens firewall – det dur ikke. Tillid er godt, men kontrol er bedre, som Vladimir Ilich Lenin så rigtigt sagde og det gælder i særdeleshed for firewall-logfiler.

Jeg er ikke helt færdig med projektet, men min foreløbige vurdering er, at kombinationen af Linksys WRT54G med dd-wrt-firmware og Firewall Builder, gør det muligt at producere en sikkerhedsløsning af professionel kvalitet, til en pris af omkring DKK 500,-.