Enrico Pesce

Vmware da diversi anni utilizza un sistema contraddistinto di deduplicazione delle stesse aree di memoria e della condivisione di alcune aree di memoria tra piu sistemi operativi emulati. Sono tecniche tutelate da brevetti ma che il mondo dell’open source vuole comunque implementare nei propri sistemi, ci sono già delle voci di possibili azioni da parte di Vmware ma non è quello di cui voglio parlare.

Kernel Samepage Mergin, aka KSM (conosciuto prima come Kernel Shared Memory) è una tecnologia recentemente introdotta dal kernel 2.6.32

KSM kernel daemon, ksmd, periodicamente scansiona le aree della memoria in cerca di pagine identiche che possono essere riposizionate in una singola pagina protetta in scrittura, non tutta la memoria viene scansionata, l’area in questione deve essere specificata dal software (funziona quindi nell’area delle userspace apps) attraverso l’utilizzo di funzioni specifiche (madvise)

Già ora per KVM (come non sempre è vero per Vmware) in alcuni test si parlano di situazioni del tipo “52 Windows Xp con 1GB di RAM emulati consumano 16GB di RAM“, presto spero di poter fare delle verifiche a riguardo.

KSM era stato sviluppato inizialmente per l’utilizzo con KVM, ma visto l’utilità di tale tecnologia ora è possibile usarla con ogni altro sistema di virutalizzazione in user space o anche in sistemi non virtualizzati, per esempio semplici applicazioni che utilizzano gli stessi processi o spazi di memoria che possono essere condivisi (piu Firefox aperti ad esempio)

Il KSM daemon è controllato dai sysfs files in /sys/kernel/mm/ksm/, la documentazione può essere trovata in Documentation/vm/ksm.txt del kernel .

Per approfondire: http://www.kernel.org/doc/ols/2009/ols2009-pages-19-28.pdf

Quanto spazio dovremmo usare per salvare tutti i nostri dati? Aumenterà nei prossimi anni?

Con l’aumentare della banda internet, con l’avvento dei contenuti sempre piu di alta qualità sopratutto in questi ultimi anni molte società hanno dovuto rivalutare i propri sistemi di storage e per archiviare i propri dati si sono orientati a costosissimi storage con capacità di deduplicazione dei dati.

Molte aziende piangeranno alla notizia, chi di felicità e chi di rabbia (per chi ha gia preso un storage con tecnologie closed) perchè dallo scorso mese ZFS nativamente esegue la deduplica dei pool contraddistinti come dedupe!

Un’altra funzionalità che rende per ora questo filesystem irraggiungibile.

Ecco la notizia ufficiale

Ho sempre seguito con curiosità questo interessante progetto di SUN, infatti a mio avviso Solaris è sempre stato un ottimo sistema operativo, per certi aspetti storicamente ha avuto  grosse lacune, come una cluster suite non eccezzionale o un gestore dei volumi logici un pò confusionale e non paragonabile ad altri sistemi operativi UNIX come per esempio AIX di IBM.

Oggi Open Solaris è semplicemente la preview di quello che potrà implementare Solaris e di miglioramenti se ne notano molti!

Da anni AIX fornisce un suo toolbox per i pacchetti open source che fornisce un grande aiuto nel compilare i sempre piu richiesti progetti open source, volutamente chiamati dalle grosse multinazionali come pacchetti FREEWARE (fa molto sorridere)!

Ma avere un sistema Solaris Like basato su un gestore di pacchetti orientato alla semplicità di Ubuntu è davvero un grande segnale!

Da ricordare che Open Solaris è disponibile a diffrenza di AIX anche per architetture x86, sicuramente ruberà molto mercato alle distribuzioni Linux come Red Hat o Suse nei prossi anni!

Dopo queste considerazioni come faccio a non cominciare a studiarmi questo sistema opeativo che ormai ha raggiunto la stabilità e l’armonia per entrare in produzione?

Nei ultimi anni ho sentito uscire dalla bocca di molte persone paroloni come “copper speed”, “deep inspection”, “pattern matching”, “intrusion detection and prevention” e cosi via..

Per non parlare dei confronti tra uno o altri podotti, che cercano in ogni modo di differenziarsi tra l’uno e l’altro proponendo le solite cose con nomi diversi e con una confusione tale da far credere di avere sempre qualcosa di piu innovativo.

Parlare quindi di “deep inspection” per chi non vuole vendervi niente si intende semplicemente di un sistema che in tempo reale decodifica i pacchetti in transito con lo scopo di identificare anomalie secondo delle regole di confronto.

E’ importante capire questo semplice concetto perchè molti produttori vendono il proprio apparato come “copper speed”, avere un sistema di analisi IDS di certo non vuol dire leggere i dati a velocità rame.. (come si definisce la velocità del rame??)

Sorvolando sulla polemica di come vengono vendute certe funzionalità, solitamente un firewall per fare il “deep inspection” deve avvalersi di una scheda di calcolo ulteriore perchè logicamente il firewall non è nato per fare IDS, quindi se non acquistato, o se comunque non sufficiente, potenzialmente si può ridurre le potenzialità e la stabilità del vostro apparato.

Tutti gli IDS inclusi nei firewall hanno un insieme di firme (essenziali per definire le anomalie) inferiore ai veri IDS software dedicati come uno dei più famosi: SNORT. Questo fa già capire quindi come l’aggiunta di queste funzionalià di IDS (ma anche di ANTI SPAM e ANTI VIRUS) siano semplicemente degli optionals per far rendere il proprio sistema Firewall commercialmente piu appetible e utile ai piu creduloni e\o inesperti.

Un sistema Firewall\IDS “all in one” fa drasticamente diminuire la scalabilità dell’infrastruttura di rete. Immaginate di comprare una soluzione firewall con IDS e di voler sfruttare tale funzionalità aggiungendo molte regole di matching. Ci accorgeremo che piu regole inseriamo piu il carico di calcolo aumenta rubando risorse anche alla semplice funzione di firewalling.

Ha quindi senso investire su un firewall che probabilmente un giorno non potrà soddisfare le nostre esigenze di analisi IDS (o viceversa)? Sinceramente se implemento una soluzione IDS vorrei sfruttarla il piu possibile e vorrei che fosse scalabile. Preferirei un giorno sostiturie o il Firewall o l’IDS, ma non tutti e due.

Molto spesso le soluzioni piu complete e piu costose sono le meno produttive, ho molti esempi di soluzioni firewall vendute come “con questo sei apposto, fa tutto!”, alla fine va sempre a finire che metà delle funzioni non vengono abilitate perchè il prodotto non è in grado di gestirle tutte assieme!

Quindi, se volete proteggere la vostra rete con dei sistemi di analisi anti intrusione lasciate perdere gli appliance che fanno tutto e passate a qualcosa di professionale.

Ad ogni apparato il suo compito!! Un router deve fare routing, un firewall, firewalling, un IDS da IDS! Sennò tutti pontenzilmente si dovrebbero chiamare con lo stesso nome! ;)

Alla prossima con un bel articolo su SNORT!

Devo dire che finalmente Canonical ha lavorato per questa distribuzione, con la precedente versione almeno a livello utente non si vedevano queste grandi novità!

Sto provando da 15 giorni la versione aplha6 e devo dire che le novità ci sono.

Finalmente è stato implementato un sistema di segnalazione di errori, quindi in caso di crash di un applicativo possiamo inviare a Canonical i dettagli del caso.

E’ presente una nuova interfaccia davvero ben fatta per la gestione dei pacchetti chiamata Ubuntu Software Center

E’ stato tolto Pidgin e inserito un nuovo software IM chiamato Empathy.

Per il resto è stata sistemata la grafica e aggiunti degli effetti grafici e il boot sembra essere piu veloce.

Diciamo che le cose da fare sono davvero molte però ora almeno ho potuto riconoscere un percorso giusto da parte di Canonical che porterà sicuramente dei ottimi frutti nel futuro.

Provatelo, il mio computer di 3 anni fa con Unbuntu è piu veloce di qualsiasi MacBook Pro ultima generazione con OS X :P!