Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2015-04-04 01:22:46

  GuruPL - Członek DUG

GuruPL
Członek DUG
Zarejestrowany: 2006-03-13
Serwis

OpenPKW / OPW królestwo za doświadczonych adminów

Siema!

Krótko i na temat:
1) od połowy lutego rozkręcamy inicjatywę OpenPKW https://github.com/openpkw/openpkw/blob/master/Protokoly%20spotkan.md#20150211-1800
Aktualnie OpenPKW pracuje nad Kalkulatorem Wyborczym (https://github.com/openpkw/PocKalkulatorWyborczyHtml) a ja nad OPW (https://github.com/adamkowalewski/OtwartaPlatformaWyborcza).

2) od 2 tygodni mamy działający serwer CI na Ubuntu 14.4 (CPU 2x, 8GB, 300GB) - aktualnie mamy tutaj apache2, MySQL, GlassFish 4.1, cacti, Jenkins na GlassFish
3) mamy listę ToDo dla owego serwera na trello  https://trello.com/b/IjbXJ0yp/infrastruktura
4) od wczoraj mamy drugi serwer w Azure opcja A3 CentOS 6.6 (CPU 4x, 8GB, 300GB) (na 99% będzie migracja na Ubuntu)

Bardzo, ale to bardzo, by nam się przydał doświadczony administrator w ekipie. Są chętni?


Pozdrawiam
Adam

Offline

 

#2  2015-04-04 02:12:25

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: OpenPKW / OPW królestwo za doświadczonych adminów

OpenPKW?

Nie róbcie tych błędów, które zrobili wszyscy wcześniej.

Na etapie okręgowych komisji powinno być tylko sumowanie głosów, i bezpieczne wysyłanie do serwerów PKW.
Tu można  wykorzystać każdy protokół sieciowy obsługujący TLS, i autoryzację pkcs12,
np SMTP, XMPP  czy podobny.

Ustalanie wyników wyborów powinno się odbywać dopiero, jak liczby oddanych głosów
są podane do publicznej wiadomości na stronach PKW, żeby nie było takiego poprawiania wyników, jak ostatnio w Katowicach.

I nie radzę Ubuntu ani CentOS, racze jakiś możliwie najtwardszy z istniejących systemów operacyjnych, np OpenBSD (z gotowjych) się nada, a jak chcecie totalne bezpieczeństwo, to mogę pomóc w konfiguracji  mojego ulubionego systemu - Gentoo + Grsec + Pax + Apparmor.

Żaden gotowy system poza OpenBSD nie oferuje naprawdę pancernych mechanizmów obronnych, które są włączone i poprawnie skonfigurowane na wszystkich poziomach,
od biblioteki libC po  firewalla.

CentOS jest stabilny, ale jest binarną kopią RHEL, więc jak coś spartolą w RHEL (polecam ichniejszą bugzillę), to CentOS dziedziczy te błędy w imię "binarnej zgodności", natomiast Ubuntu bazuje zazwyczaj na mocno niestabilnych pakietach z testowych wersji Debiana, i chociaż tam kiedyś ostro szaleli z bezpieczeństwem, to jednak Ubuntu zaliczyło kilka
wpadek nieznanych w normalnych Linuxach.

Najsławniejsze przypadki "twórczości" buntowców:
http://niebezpiecznik.pl/post/ubuntu-root-w-3-poleceniach/
http://niebezpiecznik.pl/post/blad-w-sudo-czyli-jak-zostac-rootem-bez-znajomosci-hasla/
czyli błędy, których nikt nigdy w Debianie na oczy nie widział. :D


PS.
Jeżeli chcecie ten projekt pakować w Javy, Jbossy i JS, to bardzo szybko zakończy żywot z bardzo prostego powodu, nikt nie wie, ile błędów, dziur a nawet backdoorów jest w tych technologiach ukrytych, jakbym ja chciał osiągnąć odporny na błędy program, to bym celował w czysty C/C++ z minimalną ilością obcych bibliotek, i praktycznie wykluczeniem takich, gdzie nie ma wglądu do kodu danej biblioteki, co praktycznie wyklucza Javę od Oracle, NET i podobne wynalazki różnych korpo.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-04-04 02:31:20)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2015-04-04 08:33:27

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Ubuntu na wrażliwy serwer, to od razu lepiej sobie w kolano strzelić.


[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#4  2015-04-04 10:37:45

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Taaaa może  od razu netBSD... czy ktokolwiek tutaj ma doświadczenie w infrastrukturze krytycznej? Tak porady tutaj są dobre, ale dla transmisji siecią jawną publiczną. Takie coś albo może korzystać z sieci MSWIA ale wtedy urządzenia końcowe potrzebne ... trochę kosztowne. Albo po pierwsze naprawdę silny VPN w sumie też dobrze gdyby poprzez końcówkę a nie instalacje na stacji końcowej. Wtedy na serwerze może być UberBugOS jeśli tylko pracuje w tym zadaniu stabilnie. Bo w sieci izolowanej połączy się tylko z tym na co mu pozwoli router oraz FW. Aplikacja końcowa może być w JAVA wtedy, a autoryzacja, uwierzytelnianie i szyfrowanie transmisji juz z samej aplikacji z użyciem certyfikatu wystawionego na SmartCard (większość czytników ma sterownik i pod Windowsa i pod linuxa i pod osx wiec obojętne na czym będzie końcówka). Wiec zanim cokolwiek się napisze kodu zrobić przyzwoity projekt sieci komunikacyjnej izolowanej (słowo klucz). Bo inaczej to będzie od dupy strony i wtedy obawy oraz sugestie Jacka są jaknajbardziej zasadne.

Offline

 

#5  2015-04-04 10:44:30

  GuruPL - Członek DUG

GuruPL
Członek DUG
Zarejestrowany: 2006-03-13
Serwis

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Witam,

wielkie dzięki za feedback! Zacznę od odpowiedzi procesowych 

Na etapie okręgowych komisji powinno być tylko sumowanie głosów, i bezpieczne wysyłanie do serwerów PKW.[/quote]
Podstawową jednostką podczas wyborów jest komisja obwodowa - to w niej głosy są od zawsze (i niech tak zostanie) liczone ręcznie. Takie obwody powstają w wyniku tzw. wirtualnego podziału Państwa. Jedna komisja obwodowa obsługuje od 500 do max 3000 uprawnionych do głosowania. Kolejne szczeble (gmina, okręg, powiat) jedynie dodają liczby które to otrzymali w protokołach z komisji obwodowych. Przy czym dodaje, że są różnice w zależności od rodzaju wyborów. Jeżeli ktoś chciałby się doinformować to polecam nasze diagramy w draw.io https://github.com/openpkw/openpkw/tree/master/dokumentacja/procesy

Ustalanie wyników wyborów powinno się odbywać dopiero, jak liczby oddanych głosów są podane do publicznej wiadomości na stronach PKW[/quote]
W momencie kiedy komisja obwodowa zakończyła liczenie, wykonała upload protokołu do centralnego serwera PKW to wywieszana jest kopia protokołu (w gablocie, na szybie, na drzwiach itp.) do informacji publicznej. Czyli wymaganie jest spełnione. Kowalski może sobie 'obskoczyć' te 25 000+ komisji obwodowych i się o wynikach poinformować :D
Właśnie w tym momencie wchodzi do gry projekt OPW, którego celem jest umożliwienie komitetom wyborczym, fundacjom i Kowalskim niezależnej weryfikacji wyników wyborów.

, żeby nie było takiego poprawiania wyników, jak ostatnio w Katowicach.[/quote]
Historii z Katowic nie znam, będę wdzięczny za linki.

[b]A teraz odpowiedzi techniczne [/b]

CentOS i Ubuntu[/quote]
To są serwery na developerke i CI (Continuous Integration). To nie są i nigdy nie będą systemy produkcyjne. Podstawowe zadanie tych maszyn do reagować na hook'i z github'a, budować projekty, odpalać testy, generować protokoły, rozpraszać aplikacje i udostępniać je na odpowiednim stage. Preferuje Ubuntu ponieważ są aktualne paczki w repozytorium - niewielkim nakładem czasu mam solidny serwer na developerke.

Javy, Jbossy i JS, (...) to bym celował w czysty C/C++ z minimalną ilością obcych bibliotek[/quote]
Aktualnie nie mamy programistów C/C++ którzy byliby gotowi podjąć się tego zadania. Dodam również, że nowy system PKW idzie bardzo intensywnie w WWW na bazie Ruby.

[b]A teraz konkretnie[/b]
Tablica trello jest dostępna tutaj https://trello.com/b/IjbXJ0yp/infrastruktura
Czy ktoś ma wiedzę i czas by omówić konkretne zadanie na Skype/tox/teamspeak i od razu skonfigurować konkretny serwis na serwerze Ubuntu?

Pozdrawiam
Adam

Ostatnio edytowany przez GuruPL (2015-04-04 10:46:07)

Offline

 

#6  2015-04-04 11:35:27

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Historii z Katowic nie znam, będę wdzięczny za linki.[/quote]
Nie znasz?

Po wydaniu  pierwszego protokołu, WKW wydała na drugi dzień następny, w którym zniknęło 130 tys głosów względem pierwszego, i dwa krzesła w sejmiku wojewódzkim zmieniły lokatorów.
W telewizorze o tym cicho w tej chwili, ale zarówno sam fakt jak i oddalenie przez Sąd protestu wyborczego Doroty Stańczyk, członka komisji, były dosyć głośno komentowane.

Tutaj też:
http://www.tvn24.pl/katowice,51/katowice-sad-oddalil-protest-wyborczy,515750.html
http://wpolityce.pl/polityka/233997-skandal-sad-odrzuca-protest-wyborczy-w-katowicach-zagubione-130-tys-glosow-bez-znaczenia

Ostatnio edytowany przez Jacekalex (2015-04-04 11:37:25)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2015-04-04 22:07:34

  debianus_userus - Członek DUG

debianus_userus
Członek DUG
Skąd: Warszawa
Zarejestrowany: 2005-08-29
Serwis

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Mialem okazje robic kilka projektow dla naszych ministerstw. Generalnie w znakomitej wiekszosci kroluje RHEL.
Szkoda, ze macie MySQLa bo przy PostgreSQL oraz Oracle chetnie bym pomogl :)

Offline

 

#8  2015-04-04 22:45:27

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: OpenPKW / OPW królestwo za doświadczonych adminów

[quote=debianus_userus]Mialem okazje robic kilka projektow dla naszych ministerstw. Generalnie w znakomitej wiekszosci kroluje RHEL.[/quote]
RHEL króluje z bardzo prostego powodu; przepisy o zamówieniach publicznych, wg których nie można używać produktu darmowego, bo nie ma na niego faktury, pisząc w wielkim skrócie.
Jest też inny, bardziej realny  powód, urzędnicy odpowiednich ministerstw stanowczo "za mało" zarabiają, żeby pozwolili na używanie darmowego softu w urzędach.

[quote=debianus_userus]Szkoda, ze macie MySQLa bo przy PostgreSQL oraz Oracle chetnie bym pomogl :)[/quote]
Dlaczego szkoda?

Mysql jest zbyt prosty, żeby w nim coś pomóc?
xD

Ostatnio edytowany przez Jacekalex (2015-04-04 22:47:27)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2015-04-04 22:52:02

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: OpenPKW / OPW królestwo za doświadczonych adminów

[quote=Jacekalex]przepisy o zamówieniach publicznych, wg których nie można używać produktu darmowego, bo nie ma na niego faktury, pisząc w wielkim skrócie.[/quote]
[potrzebne źródło]


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

#10  2015-04-04 22:53:31

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: OpenPKW / OPW królestwo za doświadczonych adminów

[quote=azhag][quote=Jacekalex]przepisy o zamówieniach publicznych, wg których nie można używać produktu darmowego, bo nie ma na niego faktury, pisząc w wielkim skrócie.[/quote]
[potrzebne źródło][/quote]
"Ustawa o Zamówieniach Publicznych", jednolity tekst znajdziesz na stronach Sejmu.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2015-04-04 23:08:38

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Który artykuł?

Pytanie poboczne: jest niby jakiś konkretny powód, dla którego nie da się wystawić faktury np. na Debiana, Centosa lub Gentoo?

Ostatnio edytowany przez azhag (2015-04-04 23:14:59)


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

#12  2015-04-04 23:25:20

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: OpenPKW / OPW królestwo za doświadczonych adminów

[quote=azhag]Który artykuł?

Pytanie poboczne: jest niby jakiś konkretny powód, dla którego nie da się wystawić faktury np. na Debiana, Centosa lub Gentoo?[/quote]
Powód oficjalny?
Nie można wystawić faktury na 0,00 zł (podobno).

Powód rzeczywisty jest taki sam, jak w każdej korpo:
się coś skicha? to RH winien, a skicha się Debian lub CentOS? darmowy system instalujesz na własną odpowiedzialność, a podstawowa zasada każdego korpiszona czy urzędnika jest taka, żeby za nic nigdy żadnej odpowiedzialności nie brać, dlatego możliwość zwalenia winy na korpo czy choćby jakieś "Nabino" jest warta więcej, niż cały budżet państwa.

Właśnie dlatego darmowy soft nie jest zbyt popularny w administracji.

Dodatkowo, ile można dostać w łapę za zakupienie darmowego Debiana czy CentOSa?
(żeby wspomnieć chociażby Monachium, i ostatnią szarpaninę związaną z informatyką).

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-04-04 23:25:35)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#13  2015-04-05 00:00:22

  debianus_userus - Członek DUG

debianus_userus
Członek DUG
Skąd: Warszawa
Zarejestrowany: 2005-08-29
Serwis

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Tutaj nie chodzi o zadne faktury. Powod jest smiesznie prosty chodzi o support a dokladniej o blache na dupe.
W razie sraki mozna pokazac palcem o Ci sa winni w przypadku Debiana, Gentoo czy *BSD brak takich osob do wskazania do odpowiedzialnosci.
Inna sprawa jest certyfikacja oprogramowania nikt nie postawi Oracle, WebLogic na Gentoo mimo, ze jest takie zaje**** :)
Tak wiec mamy do wyboru RHEL lub SLES. Jako, ze RHEL ma lepszy marketing wiec lider jest oczywisty.

Offline

 

#14  2015-04-05 00:27:02

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: OpenPKW / OPW królestwo za doświadczonych adminów

[quote=Jacekalex]RHEL króluje z bardzo prostego powodu; przepisy o zamówieniach publicznych, wg których nie można używać produktu darmowego, bo nie ma na niego faktury, pisząc w wielkim skrócie.
Jest też inny, bardziej realny  powód, urzędnicy odpowiednich ministerstw stanowczo "za mało" zarabiają, żeby pozwolili na używanie darmowego softu w urzędach.
xD[/quote]
Pierdolisz i posługujesz się zasłyszaną wiedzą a nie z praktyki!

[quote=Jacekalex]Właśnie dlatego darmowy soft nie jest zbyt popularny w administracji.

Dodatkowo, ile można dostać w łapę za zakupienie darmowego Debiana czy CentOSa?
(żeby wspomnieć chociażby Monachium, i ostatnią szarpaninę związaną z informatyką).

Pozdro
;-)[/quote]
I kolejne pierdolenie o Chopenie. A za drugi tekst powinieneś wylecieć. Kilka przetargów rozpisałem i prowadziłem i wiele tego typu historii z zewnątrz było słychać ile to się nie nakradło przy okazji. Więc dla dobra swojego zamilcz.

W ogóle to koniec schodzenia z tematu.

Offline

 

#15  2015-04-05 00:32:44

  GuruPL - Członek DUG

GuruPL
Członek DUG
Zarejestrowany: 2006-03-13
Serwis

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Ale popadliście w dygresje! Ucinam dyskusje i wracamy do tematu!

2) od 2 tygodni mamy działający serwer CI na Ubuntu 14.4 (CPU 2x, 8GB, 300GB) - aktualnie mamy tutaj apache2, MySQL, GlassFish 4.1, cacti, Jenkins na GlassFish
3) mamy listę ToDo dla owego serwera na trello  https://trello.com/b/IjbXJ0yp/infrastruktura
4) od wczoraj mamy drugi serwer w Azure opcja A3 CentOS 6.6 (CPU 4x, 8GB, 300GB) (na 99% będzie migracja na Ubuntu)

:D

Offline

 

#16  2015-04-05 01:06:25

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Przed Apachem jakieś rev-proxy, to macie do zrobienia na przedwczoraj, chyba, ze chcecie czekać, aż jakiś dzieciak wam to wyjaśni [url=http://pl.wikipedia.org/wiki/Slowloris]organoleptycznie[/url].

Najlepszy będzie Varnish albo Nginx (dobra, radziecka technologia).

Po drugie, przydałby się chociaż Apparmor, w Ubuntu jest, ale czy umiecie chronić nim najbardziej krytyczne usługi, to już inna sprawa, jak widziałem tam gdzieś dyskusję o logach Apacha po WWW, to myślałem, że umrę ze śmiechu.

Swoją drogą, jak istnieje jakiś programista webowy, który nawet Winampa ani Krasnala zainstalować nie che bądź nie umie, to mogę za Wasz projekt świeczkę 1 listopada zapalić.

Ja bym ten projekt widział tak:
Maksymalnie prosta aplikacja działająca na wszyskich wersjach  Windows, która potrafi zsumować głosy (i sprawdzić, czy zgadza się liczba oddanych głosów i wydanych kart do głosowania), zestawić połączenie szyfrowane z serwerem przy użyciu kluczy kryptograficznych, i "wysłać|załadować" plik XML z wynikiem wyborów na serwer, przy użyciu dowolnego szyfrowanego protokołu komunikacyjnego.
Mile widziane byłoby podwójne szyfrowanie i podpis kryptograficzny każdego wysłanego raportu, można to zrobić przy pomocy biblioteki OpenSSL (czy GnuTLS,  Libressl, PolarSSL) albo/oraz  GPG, a potem przesłanie szyfrowanym i uwierzytelnionym kanałem komunikacyjnym.

I średnio kupuję argument, że są komisje wyborcze bez internetu, bo może kabla czy światłowody nie ma, 3G czy LTE też nie ma, ale ciekaw jestem, w ilu miejscach w Polsce nie ma możliwości odpalenia komórki z [url=http://pl.wikipedia.org/wiki/General_Packet_Radio_Service]GPRS[/url], który też wystarczy do takiej komunikacji.
Chyba, że komuś zależy, żeby te komisje nie miały łączności ze światem, praktyka uczy, że nic na świecie nie dzieje się bez przyczyny.

Taki raport komisji w pliku XML, to po spakowaniu będzie może z 10-15 kB, także przesłać się to da praktycznie każdą technologią, nawet tepsiany numer 0202122 dałby radę, gdyby jeszcze istniał.

Ktoś tu wspomniał o "infrastrukturze krytycznej MSW", uwagi słuszne, ale nie słyszałem, żeby ta "infrastruktura krytyczna" chciała i mogła coś pomóc, a wiele wskazuje na to, że ta "infrastruktura krytyczna" wygląda niewiele lepiej, niż  najsławniejszy  TU 154, dlatego proponuję się skupić na dostępnych środkach, czyli internecie.

Programiści C/C++ - sam nie programuję, ale mamy tu na forum kilku specjalistów, którzy w ten sposób zarabiają na życie (może ktoś się włączy),  mogę dozbroić troszkę serwery, żeby znacznie więcej wytrzymały w razie czego, ale programistom się to na pewno nie spodoba. ;)

Pozdro
;)

Ostatnio edytowany przez Jacekalex (2015-04-05 01:27:59)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#17  2015-04-05 13:04:00

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: OpenPKW / OPW królestwo za doświadczonych adminów

O wiele lepiej się to czyta niż poprzednie choć nie każdą technologie bym widział w czymś takim. Po pierwsze należy założyć izolacje środowiska. Jak nie fizyczna to logiczną. Stąd pary kluczy szyfrujace są wystarczające. A można się pokusić o klucze symetryczne. Co do samej aplikacji to coś takiego w technologii web to właśnie proszeni się o podobne problemy jak ostatnio PKW miało. I zgadzam się jak najprostszy "klient" który może sobie nawet offline pracować. A czy to musi być c lub c++ to już bym się nie upierał. Dla mnie i Java tutaj może być (założenie izolacji) co ułatwia dystrybucję i teoretycznie oddziela warstwę komputera (hardware i software) od aplikacji o ile używamy standardowego API.
Jacku naprawdę zapewniam że kanałów transmisji z MSW jest sporo i tak np. Zupełnie niezależna sieć policyjna (ma własna infrastrukturę w dużej mierze, w niektórych miejscach jest dzierżawa studni), czy sieć dla IRP które działają na węzłach Orange ale osobnych niż np Neostrada czy inne usługi. Inne resorty tez maja osobne sieci izolowane czy kanały transmisji wykorzystujące infrastrukturę "komercyjna". Ot takie WCPRy (wojewódzkie centra powiadamiania ratunkowego) funkcjonują w izolowanej sieci 112 (taka robocza nazwa).
Wracając do tematu to chętnie bym zobaczył jakiś schemat ideaowy funkcjonowania tego rozwiązania.

Offline

 

#18  2015-04-05 15:27:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: OpenPKW / OPW królestwo za doświadczonych adminów

[quote="qluk"]Jacku naprawdę zapewniam że kanałów transmisji z MSW jest sporo i tak np. Zupełnie niezależna sieć policyjna (ma własna infrastrukturę w dużej mierze, w niektórych miejscach jest dzierżawa studni), czy sieć dla IRP które działają na węzłach Orange ale osobnych niż np Neostrada czy inne usługi. Inne resorty tez maja osobne sieci izolowane czy kanały transmisji wykorzystujące infrastrukturę "komercyjna". Ot takie WCPRy (wojewódzkie centra powiadamiania ratunkowego) funkcjonują w izolowanej sieci 112 (taka robocza nazwa).[/quote]
Ja wiem, że takich kanałów jest sporo, jeden nawet kiedyś słuchałem przez stary telewizor, na Polsacie miałem Komendę Miejską gratis, inny kanał miałem w robocie na telefonie pod nazwą "Sieć Węglowa Katowice", i moglem sobie dzwonić gratis też po sieci kolejowej i sieci MSW i Wojskowej, bo były połączone ze sobą (taki spadek po Jarozelskim). ;P

Wiem również, jak działały te "wydzielone kanały" przy ostatnich wyborach samorządowych, które robiła PKW, czy choćby przy wyborach samorządowych roku 2002.

Tutaj natomiast powstał projekt, OpenPKW, który Państwowej Komisji Wyborczej do niczego potrzebny nie jest, a wręcz przeciwnie, odbiera Komisji Wyborczej wyłączne prawo do ustalania ostatecznych wyników wyborów, co jest wystarczającym powodem, żeby w każdym demokratycznym Państwie na wschód od Wisły poważnie zajęło się takim projektem MSW, a nie udostępniało jakieś formy kanałów komunikacji specjalnej, o ile jakieś jeszcze działają na szczeblu krajowym, bo ze sławnym numerem 112 to co miasto, to troszkę inna filozofia, i troszkę inaczej się udało, chociaż w końcu mamy XXI wiek. :D

Niedawno z resztą Min Obrony zostało bez internetu, bo od jakichś desek spalił się most, którym do tego ministerstwa wędrowały światłowody.......

Także, poza tym, że w teorii jakaś "łączność specjalna"  istnieje bo istnieć musi, wolę się nie zastanawiać nawet, czy i jak naprawdę działa.
Nawiasem pisząc, Państwowa Komisja Wyborcza też nigdy z takowych sieci izolowanych nie korzystała, dlatego co wybory, wiecznie jest problem z liczeniem głosów i wysyłaniem protokołów, po wiosennych wyborach do Parlamentu Europejskiego też był cyrk z liczeniem głosów, dlatego wyniki były dopiero po trzech dniach.
Po wyborach prezydenckich 2010 też głosy były liczone prawie dwa dni (ostateczne wyniki były we wtorek), podczas gdy np na Ukrainie w warunkach wojennych, liczenie szło dwa razy szybciej i wyniki były w południe następnego dnia, a Rumunii głosy można było policzyć w 8 godzin.....


PS.

W kliencie Online/Offline upieram się przy C/C++ i w miarę autonomicznej aplikacji dlatego, że nawet, jak to będzie w Javie, która teoretycznie jest przenośna, to jak będzie wyglądało uruchamianie tego na 27000 komputerów z systemami od Windows XP do Windows 8.1
i najróżniejszymi wirusami i problemami?
Wolałbym jakiś program, który jest zbudowany do jednej paczki ze wszystkimi potrzebnymi do życia  bibliotekami, coś jak kiedyś Skype-static czy Opera-static.
Im mniej taki program wymaga ze strony systemu operacyjnego, tym mniejsze ryzyko awarii spowodowanej potencjalnymi wadami systemu operacyjnego.

Natomiast też uważam projekt webowy za szaleństwo, bo po prostu nie ma dwóch jednakowych przeglądarek internetowych, dosyć powszechne są Addblocki, czasem Flashblockery i inne cuda na kiju, do tego  trzy najpopularniejsze przeglądarki w aktualnej wersji mają zarazem 3 różne silniki JS, co dodatkowo komplikuje sprawę, a trzeba brać  pod uwagę różne nieaktualizowane systemy, w niejednej komisji pojawi się pewnie np IE6, bo system do wyborów zainstalowali np na czystym XP zainstalowanym 20 minut wcześniej.
Dlatego za projekt oparty na technologii webowej można moim zdaniem do razu "świeczkę zapalić".

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-04-05 15:48:42)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#19  2015-04-06 13:58:41

  GuruPL - Członek DUG

GuruPL
Członek DUG
Zarejestrowany: 2006-03-13
Serwis

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Przed Apachem jakieś rev-proxy, to macie do zrobienia na przedwczoraj[/quote]
Koniecznie. Mamy jeszcze wolne zasoby w chmurze M$, jesteśmy więc w stanie wystawić kilka maszyny których zadaniem będzie czysta ochrona infrastruktury.

Po drugie, przydałby się chociaż Apparmor,[/quote]
Jestem absolutnie na tak! Proponuje omówić temat - jakie serwisy są na serwerze, jak je chronić Apparmor'rem.

jak widziałem tam gdzieś dyskusję o logach Apacha po WWW[/quote]
Jest taki Task na tablicy w trello, ale odnosi się do logów serwerów Java EE.  [i]"Jako kontrybutor/programista chcę mieć dostęp do logów serwera aplikacji (np. GlassFisch, WildFly) bez konieczności logowania się po SSH. Preferowanym rozwiązaniem jest przeglądarka."[/i]

[b]Konkretnie[/b]
Jako pierwszy temat widzę rev-proxy. Jestem dostępny na skype, tox jak i teamspeak - podaj proszę namiary na PM to porozmawiamy na spokojnie.

Offline

 

#20  2015-04-06 16:02:04

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Konfiguracja Nginxa albo Varnisha, zeby chronił Apacha, to nie jest żadna magia.

Nginx:
https://help.ubuntu.com/community/Nginx/ReverseProxy
Nginxa mogę postawić w kwadrans.

Varnish:
https://www.varnish-cache.org/installation/ubuntu
http://www.servermom.org/install-varnish-3-to-run-with-apache-2-on-ubuntu-server/380/

I to nie w żadnej chmurze, tylko na serwerze, wywalasz Apacha na jakiś niestandardowy port (żeby słuchał np na 127.0.0.1:6082), na porcie 80 wystawiasz Nginxa, w którym puszczasz proxy na nowy port adres i port Apacha.

Do tego można dołożyć na poziomie Apacha albo Nginxa autoryzację PKCS12, ale nie wiem, czy programiści Webowi potrafią zainstalować certyfikat p12 w przeglądarce.
Z generowaniem certyfikatów SSL jest troszkę zabawy, ale wykonalne.

Ostatnio edytowany przez Jacekalex (2015-04-06 16:05:57)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#21  2015-04-13 02:21:11

  GuruPL - Członek DUG

GuruPL
Członek DUG
Zarejestrowany: 2006-03-13
Serwis

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Siema,

dzięki Jacekalex za info, z tego co napisałeś to mam nawet kilka kont jabbera ale do czatowania używam tylko GoogleTalk.

To był kolejny, bardzo napięty tydzień. Postępy można zobaczyć tutaj:
1) https://github.com/OtwartaPlatformaWyborcza
2) https://github.com/OtwartaPlatformaWyborcza/OPW-backend-JavaEE#linki
3) https://github.com/OtwartaPlatformaWyborcza/OPW-backend-JavaEE#roadmap
4) https://github.com/openpkw

Otwarta Platforma Wyborcza ma od dzisiaj własną domene http://www.otwpw.pl na dniach zostaną zdefiniowane subdomeny dla poszczególnych projektów jak i stages.

O ile w temacie analizy jak i implementacji idziemy do przodu, o tyle administracja IT leży i kwiczy niczym domena http://openpkw.pl/  :(

Jeżeli ktoś z was, miałby ochotę dołączyć do zespołu to serdecznie zapraszam na telekonferencje na skypa w środę o 20.

Pozdrawiam
Adam

Offline

 

#22  2015-04-13 02:53:31

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: OpenPKW / OPW królestwo za doświadczonych adminów

O ile w temacie analizy jak i implementacji idziemy do przodu, o tyle administracja IT leży i kwiczy niczym domena http://openpkw.pl/  :([/quote]
Jeżeli macie taki poziom informatyczny, że jest problem, żeby komuś wyjaśnić, co to jest [url=http://www.xmpp.org/extensions/xep-0060.html]XEP-0060[/url], to ja się dziwię, że tylko "leży i kwiczy",
bo mogło być dużo gorzej. :D

Miedzy innymi dlatego, że pakujecie się  w jakieś wypociny w Javie i Javascriptach, które zawsze oznaczają kłopot ze stabilnością i dostępnością,
do tego  jest najłatwiejsza do przeprowadzenia ataku DDOS, i praktycznie wyłączenia takiego systemu nawet na kilka dni.

Dla porównania, jeśli znalazłby się programista, który może naskrobać aplikację w QT/Gtk czy choćby nawet NET Framework, która by pozwalała wpisać, i sprawdziła sumy głosów  na komputerze w komisji wyborczej, to do przesłania danych do centrali protokół XMPP  się nadaje doskonale, bo wspiera zarówno TLS w połączeniu TCP, jak i szyfrowanie i uwierzytelnienie samej wiadomości przy pomocy klucza GPG wg specyfikacji [url=http://www.xmpp.org/extensions/xep-0027.html]XEP-0027[/url],
albo [url=http://wiki.xmpp.org/web/OTR]OTR[/url], do czego są praktycznie gotowe biblioteki programistyczne i gotowe moduły w różnych językach programowania.

Jeśli do tego mamy np stabilny serwer XMPP - EJabberd (który przy odpowiednim sprzęcie bez większych kłopotów potrafi obrabiać połączenia real-time dla 30 tys użytkowników), to po drugiej stronie można sobie rzeźbić dowolną aplikację, która odbierze te dane i wpisze do bazy danych.
A kiedy te dane będą już zapisane w bazie danych, to wyliczenie z tego wyników wyborów, to już drobiazg, który może zostać "na deser" zwłaszcza w wyborach prezydenckich, gdzie największym problemem będzie prawdopodobnie 3-5 milionów nieważnych głosów. :P

W dodatku XMPP może chodzić nawet przez połączenie telefoniczne modemem 33,6 kbps albo połączenie komórkowe GPRS 57,6 kbps, czyli odpada problem braku szybkich łącz w Pcimiu Wielkim, czy we wsi Niebo koło Piekła.
A spróbujcie na takim połączeniu odpalić jakąś aplikację webową na js, albo chociaż wysłać maila.

Reasumując, widzę w tym projekcie PKW kiepskie podejście na poziomie samej koncepcji od strony technologicznej.

Jeśli nie można liczyć na pomoc MSW i Wojsko  z ich kanałami łączności specjalnej, to zostaje tylko TLS i GPG, i te technologie muszą zapewnić nie tylko poufność, ale także integralność korespondencji.
I do tego trzeba się przygotować.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-04-13 03:28:25)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#23  2015-04-13 19:44:04

  gindek - Zubr, bydle na etacie.

gindek
Zubr, bydle na etacie.
Skąd: Z puszczy.
Zarejestrowany: 2008-12-08

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Nie ma co mondrusiować i krytykowac projekt od założeń. Idea jest, więc jeżeli masz wiedzę (ogólnie do wszystkich, bez odpowiedzi do konkretnej osoby) którą możesz sie podzielić oraz pomysł na realizację projektu to wystarczy się przyłączyć do projektu i wesprzeć go.


Ja ze swojej strony mogę tylko dodać że jestem pozytywnie zaskoczony rozmachem projektu. Przyznam że nie przyłączyłem się do projektu ponieważ:
1. faktycznie nie bardzo mam czas.
2. nie sądziłem że projekt wyjdzie poza stadium rozmowy w pokoju i grafu na tablicy :-), no a tu prosze coś się dzieje :-).

Ostatnio edytowany przez gindek (2015-04-13 19:44:22)


" Wojny przychodzą i odchodzą, a moi żołnierze są wieczni"


"Zbuduj mały, dziarski router z udostępnionych przez prowadzącego części od Kamaza?"

Offline

 

#24  2015-04-14 08:35:47

  kamikaze - Administrator

kamikaze
Administrator
Zarejestrowany: 2004-04-16

Re: OpenPKW / OPW królestwo za doświadczonych adminów

Mi się koncepcja technologiczna bardzo podoba. Nie rozumiem co złego w Java i JavaScript. Chyba niektórzy ciągle żyją stereotypami o Javie. Na problemy z wydajnością są sposoby. Przy podejściu REST + JS client nie powinno być ogromnych wymagań wydajnościowych. Aż z ciekawości popatrzę w kod, może by się udało coś podłubać, ale chyba programistów jest już wystarczająco.

Offline

 

#25  2015-04-14 10:04:19

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: OpenPKW / OPW królestwo za doświadczonych adminów

@up

Nie rozumiesz? spróbuję krótko wyjaśnić.
Ile jest przeglądarek internetowych, ich wersji, i różnych dodatków w tych przeglądarkach?

Znam sporo bardzo "postępowych" stron, które inaczej chodzą w Operze, inaczej w FF a inaczej w Chrome.
Choćby, żeby daleko nie szukać, w aktualnym FF mi się FB otwiera bez CSSów, dwie wersje temu komputronik był bez styli.

Praktycznie na 27 tys komputerów w komisjach wyborczych, taki formularz niech 3-5 tys się tak czy inaczej rozkraczy, i gotowe.

Jeśli to ma być stabilne, to musi być jednolity program z jednolitą sumą kontrolną, podpisany podpisem elektronicznym, a nie jakieś przeglądarki.

Druga sprawa, to komunikacja, protokół musi być podpisany cyfrowo,
i najlepiej byłoby używać dwóch standardów szyfrowania, np GnuPG do pliku XML z wynikami + tls z pkcs12/x509 do transmisji.
W ten sposób każdy protokół byłby weryfikowany przy użyciu  osobnego standardu kryptograficznego, co zmniejsza ryzyko związane ze skompromitowaniem jednego z tych dwóch protokołów szyfrowania.
W ten sposób nawet, jak się pojawi nowa dziura typu [b]heartbleed[/b] kompromituje projekt webowy na całej linii,  w przypadku mojej propozycji  takie ryzyko jest zredukowane  do absolutnego minimum.

Zwłaszcza XMPP i SMTP się do tego nadają, bo każdy potrafi  szyfrować i podpisywać kluczem GPG wiadomość, która sobie potem leci TLSem przez nawet najlichsze łącze rzędu 30kbit/s.

Dodatkowo usługa webowa jest najbardziej podatna na atak DDOS,
i trudniej taki atak opanować, niż przy prywatnym XMPP lub SMTP, które mogą wisieć na dowolnych adresach i portach, byleby była forma powiadomienia programu klienckiego, gdzie ma się zgłosić z wynikiem.
wyborów, i o wiele łatwiej zakodzić w programie klienckim pewne procedury bezpiezeństwa, niż szkolić armię ludzi do używanie tych procedur.

Tutaj potrzebny jest pancerny system, który będzie naprawdę odporny na różne formy sabotażu, usługa webowa na js się najgorzej moim zdaniem do tego nadaje.

Tyle na temat programu klienckiego i transmisji.

Potem program do pakowania wyników do baz danych, który może odbierać wyniki z serwera SMTP lub XMPP czy podobnego, tu może być Java, czy Perl, czy Python, do wyboru, do koloru, byle to było szybkie,  stabilne i niezawodne.

Największy problem jest tutaj z komunikacją w przypadku braku łącz MSW,
ta musi być super bezpieczna i ultra stabilna, a serwery muszą musi odebrać wyniki z 27 tys komisji wyborczych w ciągu godziny/dwóch.
I paradoksalnie nie jest to żadna magia, jeśli z każdej komisji wpływa XML z wynikami, to nawet jedna silna maszyna z 4 jajowym Xeonem to obrobi, 27 tys plików XML wrzucić do bazy to nie magia, szyfrowanie też nie,jak się ma 4x4Ghz albo i 8x3 Ghz i np 16 GB ram.

SMTP i XMPP mają też tą zaletę, że mają wbudowane kolejkowanie wiadomości, i da się jakoś ten ruch ogarnąć, i zwłaszcza serwery SMTP tych wiadomości nie gubią bez powodu.

27 tys protokołów w 3 godziny to brzmi strasznie, ale 27 tys maili na Posfixie już niekoniecznie, a 27 tys wiadomości na Ejabberd, to już drobiazg.
Na stronie WWW możesz zobaczyć jakichś dowcipnisiów z 200k wejść,
i zablokować stronę.

Dla porównania w swojej aplikacji, możesz zapakować  i SSL z certami P12 i GPGP z kluczmami, i zautomatyzować cale działanie podpisywania, szyfrowania  i wymianę kluczy publicznych z serwerem.
A spróbuj szkolić 27 tys ludzi w dziedzinie używania we wszystkich IE czy
Chromach i Firefoxach certów P12, kiedy ja znam jednego dr inż z infy (pracuje na Polibudzie), który nie umiał certu klienta do przeglądarki zainstalować.

Jeśli natomiast chcesz aplikację webową, i chcesz dystrybuować hasła do systemu, a te hasła mają być jedynym zabezpieczeniem, to już jesteś w wielkiej ciemnej dooopie na "dzień dobry".

Pamiętać też radzę, że specjaliści od "25% nieważnych głosów" sami doskonale  umieją ustalać wyniki każdych wyborów, i żaden OpenPKW
nie jest im do niczego potrzebny, co też przyszłości systemu  i jego  wdrożenia  nie ułatwia.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-04-28 10:49:43)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.023 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00015 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00143 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.81.97.37' WHERE u.id=1
0.00124 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.81.97.37', 1711660955)
0.00099 SELECT * FROM punbb_online WHERE logged<1711660655
0.00155 DELETE FROM punbb_online WHERE ident='47.128.126.158'
0.00089 SELECT topic_id FROM punbb_posts WHERE id=285425
0.00005 SELECT id FROM punbb_posts WHERE topic_id=27241 ORDER BY posted
0.00098 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27241 AND t.moved_to IS NULL
0.00008 SELECT search_for, replace_with FROM punbb_censoring
0.00515 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27241 ORDER BY p.id LIMIT 0,25
0.00115 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27241
Total query time: 0.01371 s