Search
【鎮館之寶逃走了】#週末分享外站文章
美國一間商場附設的動物園驚傳一條近 4 公尺長的黃金蟒逃跑,商場馬上緊急停止營業,聯繫消防局協助捕蛇。
所幸三天後,館方終於在一道防火牆後的小洞中,發現黃金蟒的身影。
動物園執行長受訪時表示,黃金蟒體型龐大,但不具毒性,也很溫馴,從未有傷人的紀錄。
#鏡週刊 #動物園 #蛇
本文延續前篇效能校正的經驗談,上篇文章探討了關於應用程式本身可以最佳化的部分,包含了應用程式以及框架兩個部分。本篇文章將繼續剩下最佳化步驟的探討。
Speculative Execution Mitigations
接下來探討這個最佳化步驟對於效能有顯著的提升,但是本身卻是一個非常具有爭議性的步驟,因為其涉及到整個系統的安全性問題。
如果大家對前幾年非常著名的安全性漏洞 Spectre/Meltdown 還有印象的話,本次這個最佳化要做的就是關閉這類型安全性漏洞的處理方法。
標題的名稱 Speculative Execution Migitations 主要跟這漏洞的執行概念與 Pipeline 有關,有興趣理解這兩種漏洞的可以自行研究。
作者提到,大部分情況下這類型的防護能力都應該打開,不應該關閉。不過作者認為開關與否應該是一個可以討論的空間,特別是如果已經確認某些特別情境下,關閉防護能力帶來的效能如果更好,其實也是一個可以考慮的方向。
舉例來說,假設今天你運行了基於 Linux 使用者權限控管與 namespaces 等機制來建立安全防護的多使用者系統,那這類型的防護能力就不能關閉,必須要打開來防護確保整體的 Security Boundary 是完整的。 但是如果今天透過 AWS EC2 運行一個單純的 API Server,假設整個機器不會運行任何不被信任的程式碼,同時使用 AWS Nitro Enclaves 來保護任何的機密資訊,那這種情況下是否有機會可以關閉這類型的檢查?
作者根據 AWS 對於安全性的一系列說明認為 AWS 本身針對記憶體的部分有很強烈的保護,包含使用者之間沒有辦法存取 Hyperviosr 或是彼此 instance 的 Memory。
總之針對這個議題,有很多的空間去討論是否要關閉,以下就單純針對關閉防護能力帶來的效能提升。
作者總共關閉針對四種攻擊相關的處理能力,分別是
Spectre V1 + SWAPGS
Spectre V2
Spectre V3/Meltdown
MDS/Zombieload, TSX Anynchronous Abort
與此同時也保留剩下四個,如 iTLB multihit, SRBDS 等
這種設定下,整體的運作效能再次提升了 28% 左右,從 347k req/s 提升到 446k req/s。
註: 任何安全性的問題都不要盲從亂遵循,都一定要評估判斷過
Syscall Auditing/Blocking
大部分的情況下,Linux/Docker 處理關於系統呼叫 Auditing/Blocking 兩方面所帶來的效能影響幾乎微乎其微,不過當系統每秒執行數百萬個系統呼叫時,這些額外的效能負擔則不能忽視,如果仔細觀看前述的火焰圖的話就會發線 audit/seccomp 等數量也不少。
Linux Kernel Audit 子系統提供了一個機制來收集與紀錄任何跟安全性有關的事件,譬如存取敏感的機密檔案或是呼叫系統呼叫。透過這些內容可以幫助使用者去除錯任何不被預期的行為。
Audit 子系統於 Amazon Linux2 的環境下預設是開啟,但是本身並沒有被設定會去紀錄系統呼叫的資訊。
即使 Audit 子系統沒有真的去紀錄系統呼叫的資訊,該子系統還是會對每次的系統呼叫產生一點點的額外處理,所以作者透過 auditctl -a never,task 這個方式來將整體關閉。
註: 根據 Redhat bugzilla issue #1117953, Fedora 預設是關閉這個行為的
Docker/Container 透過一連串 Linux Kernel 的機制來隔離與控管 Container 的執行權限,譬如 namespace, Linux capabilities., cgroups 以及 seccomp。
Seccomp 則是用來限制這些 Container 能夠執行的系統呼叫類型
大部分的容器化應用程式即使沒有開啟 Seccomp 都能夠順利的執行,執行 docker 的時候可以透過 --security-opt seccomp=unconfined 這些參數告訴系統運行 Container 的時候不要套用任何 seccomp 的 profile.
將這兩個機制關閉後,系統帶來的效能提升了 11%,從 446k req/s 提升到 495k req/s。
從火焰圖來看,關閉這兩個設定後,syscall_trace_enter 以及 syscall_slow_exit_work 這兩個系統呼叫也從火焰圖中消失,此外作者發現 Amazon Linux2 預設似乎沒有啟動 Apparmor 的防護,因為不論有沒有關閉效能都沒有特別影響。
Disabling iptables/netfilter
再來的最佳化則是跟網路有關,大名鼎鼎的 netfilter 子系統,其中非常著名的應用 iptables 可以提供如防火牆與 NAT 相關功能。根據前述的火焰圖可以觀察到,netfilter 的進入 function nf_hook_slow 佔據了大概 18% 的時間。
將 iptables 關閉相較於安全性來說比較沒有爭議,反而是功能面會不會有應用程式因為 iptables 關閉而不能使用。預設情況下 docker 會透過 iptables 來執行 SNAT與 DNAT(有-p的話)。
作者認為現在環境大部分都將 Firewall 的功能移到外部 Cloud 來處理,譬如 AWS Security Group 了,所以 Firewall 的需求已經減少,至於 SNAT/DNAT 這類型的處理可以讓容器與節點共享網路來處理,也就是運行的時候給予 “–network=host” 的模式來避免需要 SNAT/DNAT 的情境。
作者透過修改腳本讓開機不會去預設載入相關的 Kernel Module 來達到移除的效果,測試起來整體的效能提升了 22%,從 495k req/s 提升到 603k req/s
註: 這個議題需要想清楚是否真的不需要,否則可能很多應用都會壞掉
作者還特別測試了一下如果使用 iptables 的下一代框架 nftables 的效能,發現 nftables 的效能好非常多。載入 nftables 的kernel module 並且沒有規則的情況下,效能幾乎不被影響(iptables 則相反,沒有規則也是會影響速度)。作者認為採用 nftables 似乎是個更好的選擇,能夠有效能的提升同時也保有能力的處理。
不過 nftables 的支援相較於 iptables 來說還是比較差,不論是從 OS 本身的支援到相關第三方工具的支援都還沒有這麼完善。就作者目前的認知, Debian 10, Fedora 32 以及 RHEL 8 都已經轉換到使用 nftables 做為預設的處理機制,同時使用 iptables-nft 這一個中介層的轉換者,讓所有 user-space 的規則都會偷偷的轉換為底層的 nftables。
Ubuntu 似乎要到 20.04/20.10 的正式版本才有嘗試轉移到的動作,而 Amazon Linux 2 依然使用 iptables 來處理封包。
下篇文章會繼續從剩下的五個最佳化策略繼續介紹
https://talawah.io/blog/extreme-http-performance-tuning-one-point-two-million/
緊急雙北疫情今下午四點升三級!至5/28日!今天晚上17:45 三立新聞54頻道,齡予為大家播報最新疫情消息!#掌握疫情快速變動,#三立新聞團隊是您最好選擇!
齡予也提醒大家!因應疫情升高至第三級警戒目的是 #建立防火牆 阻斷傳播鏈!不是逃難!不要過度恐慌!!做好以下幾點保健康:
1. 外出時全程配戴口罩。
2. 非必要不要外出!避免不必要移動、活動或集會。不要去搶囤貨!不要聚集!
3. 停止室內5人、室外10人以上的家庭聚會(同住者不計)和社交聚會。全面禁止進香繞境。
4. 上班上課照常,自我健康監測(有症狀應就醫,勿搭乘大眾運輸,請打1922電話連絡採檢)。
5. 營業場所及洽公機關:落實人流管制、戴口罩、保持室內1.5公尺室外1公尺社交距離
6. 休閒娛樂場所關閉。餐飲場所應遵守實聯制、社交距離、隔板等防疫措施,無法落實則採外帶。
7. 全國中、小學校園停止對外開放 會考繼續考
8. 公共場域、大眾運輸加強清消。
現在雙北全程戴口罩,沒有配戴口罩可依《傳染病防治法》處3千至1.5萬元!
家庭、社交聚會違反室內5人、室外10人的規定,可處6萬元以上30萬元以下!
違反舉辦宗教活動、社團交接規則或針對應關閉而未關閉的營業場所,同樣也可開罰6萬元30萬元以下!
#主播 #女主播 #張齡予 #三立 #疫情 #指揮中心 #確診 #第三級警戒 #防疫措施
#密碼 #password #資訊安全
密碼就是你的資安破口 介紹幾個資訊安全的小技巧 - Wilson說給你聽
1. 密碼不要貼在任何通訊軟體跟email
2. 強化路由器密碼
3. 強化wifi密碼 且不要跟管理者帳號一樣
4. 隨時更新最新firmware
5. 關閉沒有必要的proxy
6. 打開路由器防火牆以及防毒
7. 下載任何軟體請到官方路徑 不要下載來源不明的第三方
8. 養成定時更改密碼的習慣
9. 不同網站使用不同密碼
2B2T據說防火牆被攻陷了,所以暫時關閉,目前好像修好囉~
🔰【訂閱鬼鬼】https://goo.gl/KhBmC1
🔰【更多2B2T】https://onityan.pros.si/2B2T
▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂
⭐【加入頻道】https://goo.gl/TnH2zy
▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂
👻【鬼鬼FB】https://fb.me/RelaxOnityan
👻【鬼鬼IG】https://www.instagram.com/onityan_
📝【CC字幕感謝募集中】http://www.youtube.com/timedtext_video?ref=share&v=2U9i9LKoTdk
🕹【遊戲版本】1.12.2
▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂
#2B2T
今早蘋果又給人攻擊到關閉,到現在都未能恢復。後來肥佬黎和大口玲便去了D100做節目。我想講的是,佔中的投票POPVOTE已經相當穩定,其服務提供者是Amazon,若Amazon都能夠攻擊,那真的是很厲害,蘋果用的akamai,世界最大的服務供應商之一。他們已經有很嚴密的防火牆。聽說一小時可以攻擊一百億次。這些攻擊用了很多木馬和殭屍電腦作同時攻擊,這要儲很長時間,要安裝了它們的程式在那裏,一發號令,便一齊攻擊,由多點作攻擊。這次會暴露了這些攻擊的手法,之後用不了。因為別人會提防這些攻擊來源。這不惜暴露儲下多年的能量作這個攻擊,可見他們對622投票有多重視。進一步可以見到他們對佔中有多重視。既然他們這麼重視,我們唯有投票。如果網上票站去不到,那也請大家去實體票站投票。
即時聊天室:http://goo.gl/ToDqof
謎米香港 www.memehk.com
Facebook:www.facebook.com/memehkdotcom
關閉防火牆 在 #問題win10如何關閉防火牆 - 3C板 | Dcard 的推薦與評價
問題win10如何關閉防火牆. 3C. 2020年9月5日12:38. 跟著官網的步驟走. 進行到第一步完成但就是找不到第二步的選取網路設定檔??? 防火墻的畫面是長這樣. ... <看更多>