Sargieties no ievainojamībām, kas liek strādāt. 1. daļa: FragmentSmack/SegmentSmack

Sveiki visiem! Mani sauc Dmitrijs Samsonovs, es strādāju par vadošo sistēmas administratoru uzņēmumā Odnoklassniki. Mums ir vairāk nekā 7 tūkstoši fizisko serveru, 11 tūkstoši konteineru mākonī un 200 aplikācijas, kas dažādās konfigurācijās veido 700 dažādus klasterus. Lielākajā daļā serveru darbojas CentOS 7.
14. gada 2018. augustā tika publicēta informācija par FragmentSmack ievainojamību
(CVE-2018-5391) un SegmentSmack (CVE-2018-5390). Tās ir ievainojamības ar tīkla uzbrukuma vektoru un diezgan augstu punktu skaitu (7.5), kas apdraud pakalpojuma atteikumu (DoS) resursu izsmelšanas (CPU) dēļ. Kodola labojums FragmentSmack tobrīd netika piedāvāts, turklāt tas iznāca daudz vēlāk, nekā tika publicēta informācija par ievainojamību. Lai novērstu SegmentSmack, tika ierosināts atjaunināt kodolu. Pati atjaunināšanas pakotne tika izlaista tajā pašā dienā, atlika tikai to instalēt.
Nē, mēs vispār neesam pret kodola atjaunināšanu! Tomēr ir nianses...

Kā mēs atjauninām kodolu ražošanā

Kopumā nekas sarežģīts:

1. Lejupielādēt pakotnes;
2. Instalējiet tos vairākos serveros (tostarp serveros, kas mitina mūsu mākoni);
3. Pārliecinieties, ka nekas nav salauzts;
4. Pārliecinieties, vai visi standarta kodola iestatījumi tiek lietoti bez kļūdām;
5. Pagaidiet dažas dienas;
6. Pārbaudiet servera veiktspēju;
7. Pārslēgt jaunu serveru izvietošanu uz jauno kodolu;
8. Atjauniniet visus serverus pēc datu centra (vienā datu centrā, lai problēmu gadījumā samazinātu ietekmi uz lietotājiem);
9. Pārstartējiet visus serverus.

Atkārtojiet to visiem mūsu kodolu atzariem. Šobrīd tas ir:

• Stock CentOS 7 3.10 — lielākajai daļai parasto serveru;
• Vaniļa 4.19 - mūsējiem viena mākoņa mākoņi, jo mums vajag BFQ, BBR utt.;
• Elrepo kodols-ml 5.2 - par ļoti noslogoti izplatītāji, jo 4.19 agrāk izturējās nestabili, bet ir vajadzīgas tās pašas funkcijas.

Kā jau varēja uzminēt, tūkstošiem serveru pārstartēšana aizņem visilgāko laiku. Tā kā ne visas ievainojamības ir kritiskas visiem serveriem, mēs atsāknējam tikai tos, kas ir tieši pieejami no interneta. Mākonī, lai neierobežotu elastību, mēs nepiesaistām ārēji pieejamos konteinerus atsevišķiem serveriem ar jaunu kodolu, bet pārstartējam visus saimniekdatorus bez izņēmuma. Par laimi, procedūra tur ir vienkāršāka nekā ar parastajiem serveriem. Piemēram, atsāknēšanas laikā konteineri bez statusa var vienkārši pārvietoties uz citu serveri.

Tomēr darba joprojām ir daudz, un tas var ilgt vairākas nedēļas, un, ja rodas problēmas ar jauno versiju, līdz pat vairākiem mēnešiem. Uzbrucēji to ļoti labi saprot, tāpēc viņiem ir nepieciešams plāns B.

FragmentSmack/SegmentSmack. Apiet

Par laimi, dažām ievainojamībām pastāv šāds plāns B, un to sauc par risinājumu. Visbiežāk tās ir kodola/lietojumprogrammas iestatījumu izmaiņas, kas var samazināt iespējamo efektu vai pilnībā novērst ievainojamību izmantošanu.

FragmentSmack/SegmentSmack gadījumā tika ierosināts Šāds risinājums:

«Varat mainīt noklusējuma vērtības 4MB un 3MB failos net.ipv4.ipfrag_high_thresh un net.ipv4.ipfrag_low_thresh (un to ekvivalentos ipv6 net.ipv6.ipfrag_high_thresh un net.ipv6.ipfrag_low_thresh) uz attiecīgi 256 vai kB un kB. zemāks. Testi uzrāda nelielu līdz ievērojamu CPU lietojuma kritumu uzbrukuma laikā atkarībā no aparatūras, iestatījumiem un apstākļiem. Tomēr ipfrag_high_thresh=192 baiti var ietekmēt veiktspēju, jo montāžas rindā vienlaikus var ietilpt tikai divi 262144 64 fragmenti. Piemēram, pastāv risks, ka lietojumprogrammas, kas strādā ar lielām UDP paketēm, sabojāsies'.

Paši parametri kodola dokumentācijā aprakstīts šādi:

ipfrag_high_thresh - LONG INTEGER
    Maximum memory used to reassemble IP fragments.

ipfrag_low_thresh - LONG INTEGER
    Maximum memory used to reassemble IP fragments before the kernel
    begins to remove incomplete fragment queues to free up resources.
    The kernel still accepts new fragments for defragmentation.

Mums nav lielu UDP ražošanas pakalpojumiem. Vietējā tīklā nav sadrumstalotas trafika; WAN ir sadrumstalota trafika, taču tā nav nozīmīga. Nav nekādu pazīmju — varat ieviest risinājumu!

FragmentSmack/SegmentSmack. Pirmās asinis

Pirmā problēma, ar ko mēs saskārāmies, bija tā, ka mākoņa konteineri dažreiz lietoja jaunos iestatījumus tikai daļēji (tikai ipfrag_low_thresh), un dažreiz tos neizmantoja vispār — tie vienkārši avarēja sākumā. Problēmu nebija iespējams stabili reproducēt (visi iestatījumi tika lietoti manuāli bez jebkādām grūtībām). Saprast, kāpēc konteiners avarē sākumā, arī nav tik vienkārši: kļūdas netika atrastas. Viena lieta bija droša: iestatījumu atgriešana atrisina konteinera avāriju problēmu.

Kāpēc nepietiek ar Sysctl lietošanu resursdatorā? Konteiners atrodas savā īpašā tīklā Namespace, tāpēc vismaz daļa no tīkla Sysctl parametriem konteinerā var atšķirties no saimniekdatora.

Kā tieši Sysctl iestatījumi tiek lietoti konteinerā? Tā kā mūsu konteineri nav priviliģēti, jūs nevarēsit mainīt nevienu Sysctl iestatījumu, ieejot pašā konteinerā — jums vienkārši nav pietiekami daudz tiesību. Lai darbinātu konteinerus, mūsu mākonis tajā laikā izmantoja Docker (tagad Podmans). Jaunā konteinera parametri tika nodoti Docker, izmantojot API, ieskaitot nepieciešamos Sysctl iestatījumus.
Pārmeklējot versijas, izrādījās, ka Docker API neatgrieza visas kļūdas (vismaz versijā 1.10). Kad mēģinājām iedarbināt konteineru, izmantojot “docker run”, mēs beidzot redzējām vismaz kaut ko:

write /proc/sys/net/ipv4/ipfrag_high_thresh: invalid argument docker: Error response from daemon: Cannot start container <...>: [9] System error: could not synchronise with container process.

Parametra vērtība nav derīga. Bet kāpēc? Un kāpēc tas nav derīgs tikai dažreiz? Izrādījās, ka Docker negarantē secību, kādā tiek lietoti Sysctl parametri (jaunākā pārbaudītā versija ir 1.13.1), tāpēc dažreiz ipfrag_high_thresh mēģināja iestatīt uz 256K, kad ipfrag_low_thresh vēl bija 3M, tas ir, augšējā robeža bija zemāka. nekā apakšējā robeža, kas izraisīja kļūdu.

Tajā laikā mēs jau izmantojām savu mehānismu konteinera pārkonfigurēšanai pēc palaišanas (konteinera iesaldēšana pēc grupas saldētava un komandu izpilde konteinera nosaukumvietā, izmantojot ip netns), un šai daļai pievienojām arī Sysctl parametru rakstīšanu. Problēma tika atrisināta.

FragmentSmack/SegmentSmack. Pirmās asinis 2

Pirms mums bija laiks izprast Workaround izmantošanu mākonī, sāka saņemt pirmās retās lietotāju sūdzības. Tobrīd bija pagājušas vairākas nedēļas kopš Workaround lietošanas sākuma pirmajos serveros. Sākotnējā izmeklēšana parādīja, ka sūdzības saņemtas par atsevišķiem pakalpojumiem, nevis visiem šo pakalpojumu serveriem. Problēma atkal ir kļuvusi ārkārtīgi neskaidra.

Pirmkārt, mēs, protams, mēģinājām atsaukt Sysctl iestatījumus, taču tam nebija nekādas ietekmes. Nelīdzēja arī dažādas manipulācijas ar servera un aplikācijas iestatījumiem. Atsāknēšana palīdzēja. Linux atsāknēšana ir tikpat nedabiska, kā tas bija normāli operētājsistēmai Windows vecos laikos. Tomēr tas palīdzēja, un, piemērojot jaunos Sysctl iestatījumus, mēs to izraisījām līdz “kodola kļūmei”. Cik tas bija vieglprātīgi...

Pēc trim nedēļām problēma atkārtojās. Šo serveru konfigurācija bija diezgan vienkārša: Nginx starpniekservera/balansētāja režīmā. Nav daudz satiksmes. Jauna ievada piezīme: 504 kļūdu skaits klientiem pieaug katru dienu (Gateway Timeout). Diagrammā parādīts 504 kļūdu skaits dienā šim pakalpojumam:

Visas kļūdas ir par vienu un to pašu aizmuguri — par to, kas atrodas mākonī. Atmiņas patēriņa grafiks pakotņu fragmentiem šajā aizmugursistēmā izskatījās šādi:

Šī ir viena no acīmredzamākajām problēmas izpausmēm operētājsistēmas grafikos. Mākonī tajā pašā laikā tika novērsta cita tīkla problēma ar QoS (Traffic Control) iestatījumiem. Pakešu fragmentu atmiņas patēriņa grafikā tas izskatījās tieši tāpat:

Pieņēmums bija vienkāršs: ja tie grafikos izskatās vienādi, tad tiem ir viens un tas pats iemesls. Turklāt jebkādas problēmas ar šāda veida atmiņu ir ārkārtīgi reti.

Fiksētās problēmas būtība bija tāda, ka mēs izmantojām fq pakešu plānotāju ar noklusējuma iestatījumiem QoS. Pēc noklusējuma vienam savienojumam tas ļauj rindai pievienot 100 paketes, un daži savienojumi kanāla trūkuma situācijās sāka aizsprostot rindu līdz ietilpībai. Šajā gadījumā paketes tiek nomestas. Tc statistikā (tc -s qdisc) to var redzēt šādi:

qdisc fq 2c6c: parent 1:2c6c limit 10000p flow_limit 100p buckets 1024 orphan_mask 1023 quantum 3028 initial_quantum 15140 refill_delay 40.0ms
 Sent 454701676345 bytes 491683359 pkt (dropped 464545, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
  1024 flows (1021 inactive, 0 throttled)
  0 gc, 0 highprio, 0 throttled, 464545 flows_plimit

“464545 flows_plimit” ir paketes, kas tika izmestas, jo ir pārsniegts viena savienojuma rindas ierobežojums, un “nokrita 464545” ir visu šī plānotāja atmesto pakešu summa. Pēc rindas garuma palielināšanas līdz 1 tūkstotim un konteineru restartēšanas problēma pārstāja rasties. Jūs varat sēdēt un iedzert smūtiju.

FragmentSmack/SegmentSmack. Pēdējās asinis

Pirmkārt, vairākus mēnešus pēc paziņojuma par ievainojamību kodolā, beidzot parādījās FragmentSmack labojums (atgādināšu, ka līdz ar paziņojumu augustā tika izlaists tikai SegmentSmack labojums), kas deva mums iespēju atteikties no Workaround, kas mums sagādāja diezgan daudz nepatikšanas. Šajā laikā mēs jau bijām paspējuši pārsūtīt dažus serverus uz jauno kodolu, un tagad mums bija jāsāk no sākuma. Kāpēc mēs atjauninājām kodolu, negaidot FragmentSmack labojumu? Fakts ir tāds, ka aizsardzības process pret šīm ievainojamībām sakrita (un apvienojās) ar paša CentOS atjaunināšanas procesu (kas aizņem pat vairāk laika nekā tikai kodola atjaunināšana). Turklāt SegmentSmack ir bīstamāka ievainojamība, un tās labojums parādījās nekavējoties, tāpēc tam bija jēga. Tomēr mēs nevarējām vienkārši atjaunināt CentOS kodolu, jo FragmentSmack ievainojamība, kas parādījās CentOS 7.5 laikā, tika novērsta tikai 7.6 versijā, tāpēc mums bija jāpārtrauc atjaunināšana uz 7.5 un jāsāk no jauna ar atjaunināšanu uz 7.6. Un tas arī notiek.

Otrkārt, pie mums ir atgriezušās retas lietotāju sūdzības par problēmām. Tagad mēs jau droši zinām, ka tie visi ir saistīti ar failu augšupielādi no klientiem uz dažiem mūsu serveriem. Turklāt caur šiem serveriem tika veikts ļoti neliels augšupielādes skaits no kopējās masas.

Kā mēs atceramies no iepriekš minētā stāsta, Sysctl atgriešana nepalīdzēja. Atsāknēšana palīdzēja, bet īslaicīgi.
Aizdomas par Sysctl netika noņemtas, taču šoreiz bija nepieciešams savākt pēc iespējas vairāk informācijas. Tāpat ļoti trūka spējas reproducēt augšupielādes problēmu klientam, lai precīzāk izpētītu notiekošo.

Visas pieejamās statistikas un žurnālu analīze neļāva mums tuvāk saprast, kas notiek. Bija akūts nespēja atveidot problēmu, lai “sajustu” konkrētu saikni. Visbeidzot, izstrādātājiem, izmantojot īpašu lietojumprogrammas versiju, izdevās panākt stabilu problēmu reproducēšanu testa ierīcē, kad tika izveidots savienojums, izmantojot Wi-Fi. Tas bija izrāviens izmeklēšanā. Klients izveidoja savienojumu ar Nginx, kas bija starpniekserveris ar aizmugursistēmu, kas bija mūsu Java lietojumprogramma.

Dialogs par problēmām bija šāds (fiksēts Nginx starpniekservera pusē):

1. Klients: pieprasīt informāciju par faila lejupielādi.
2. Java serveris: atbilde.
3. Klients: POST ar failu.
4. Java serveris: kļūda.

Tajā pašā laikā Java serveris ieraksta žurnālā, ka no klienta tika saņemti 0 baiti datu, un Nginx starpniekserveris raksta, ka pieprasījums aizņēma vairāk nekā 30 sekundes (30 sekundes ir klienta lietojumprogrammas taimauts). Kāpēc noildze un kāpēc 0 baiti? No HTTP viedokļa viss darbojas kā nākas, taču šķiet, ka POST ar failu pazūd no tīkla. Turklāt tas pazūd starp klientu un Nginx. Ir pienācis laiks bruņoties ar Tcpdump! Bet vispirms jums ir jāsaprot tīkla konfigurācija. Nginx starpniekserveris atrodas aiz L3 balansētāja NFware. Tunelēšana tiek izmantota, lai piegādātu paketes no L3 balansētāja uz serveri, kas pievieno paketēm savas galvenes:

Šajā gadījumā tīkls šajā serverī nonāk Vlan marķētas trafika veidā, kas arī pievieno savus laukus paketēm:

Un šī trafika var būt arī sadrumstalota (tā pati neliela daļa no ienākošās sadrumstalotās trafika, par kuru mēs runājām, novērtējot riskus, ko rada risinājums), kas arī maina galveņu saturu:

Vēlreiz: paketes ir iekapsulētas ar Vlan tagu, iekapsulētas ar tuneli, sadrumstalotas. Lai labāk izprastu, kā tas notiek, izsekosim pakešu maršrutu no klienta uz Nginx starpniekserveri.

1. Pakete sasniedz L3 balansētāju. Pareizai maršrutēšanai datu centrā pakete tiek iekapsulēta tunelī un nosūtīta uz tīkla karti.
2. Tā kā pakete + tuneļa galvenes neietilpst MTU, pakete tiek sagriezta fragmentos un nosūtīta uz tīklu.
3. Slēdzis aiz L3 balansētāja, saņemot paketi, pievieno tai Vlan tagu un nosūta to.
4. Slēdzis Nginx starpniekservera priekšā redz (pamatojoties uz porta iestatījumiem), ka serveris gaida Vlan iekapsulētu paketi, tāpēc tas nosūta to tādu, kāds tas ir, nenoņemot Vlan tagu.
5. Linux ņem atsevišķu pakotņu fragmentus un apvieno tos vienā lielā pakotnē.
6. Tālāk pakete sasniedz Vlan saskarni, kur no tās tiek noņemts pirmais slānis - Vlan iekapsulēšana.
7. Pēc tam Linux to nosūta uz tuneļa interfeisu, kur no tā tiek noņemts vēl viens slānis - tuneļa iekapsulēšana.

Grūtības ir nodot to visu kā parametrus tcpdump.
Sāksim no beigām: vai ir tīras (bez nevajadzīgām galvenēm) IP paketes no klientiem, ar noņemtu vlan un tuneļa iekapsulāciju?

tcpdump host <ip клиента>

Nē, serverī šādu pakotņu nebija. Tātad problēmai jābūt jau agrāk. Vai ir kādas paketes, kurām ir noņemta tikai Vlan iekapsulēšana?

tcpdump ip[32:4]=0xx390x2xx

0xx390x2xx ir klienta IP adrese hex formātā.
32:4 — tā lauka adrese un garums, kurā tuneļa paketē ierakstīts SCR IP.

Lauka adrese bija jāizvēlas ar brutālu spēku, jo internetā viņi raksta par 40, 44, 50, 54, bet tur nebija IP adreses. Varat arī apskatīt vienu no paketēm hex formātā (parametrs -xx vai -XX tcpdump) un aprēķināt jums zināmo IP adresi.

Vai ir pakešu fragmenti, kuriem nav noņemta Vlan un tuneļa iekapsulēšana?

tcpdump ((ip[6:2] > 0) and (not ip[6] = 64))

Šī maģija mums parādīs visus fragmentus, ieskaitot pēdējo. Droši vien to pašu var filtrēt pēc IP, bet es nemēģināju, jo šādu pakešu nav ļoti daudz, un vajadzīgās man bija viegli atrast vispārējā plūsmā. Šeit tie ir:

14:02:58.471063 In 00:de:ff:1a:94:11 ethertype IPv4 (0x0800), length 1516: (tos 0x0, ttl 63, id 53652, offset 0, flags [+], proto IPIP (4), length 1500)
    11.11.11.11 > 22.22.22.22: truncated-ip - 20 bytes missing! (tos 0x0, ttl 50, id 57750, offset 0, flags [DF], proto TCP (6), length 1500)
    33.33.33.33.33333 > 44.44.44.44.80: Flags [.], seq 0:1448, ack 1, win 343, options [nop,nop,TS val 11660691 ecr 2998165860], length 1448
        0x0000: 0000 0001 0006 00de fb1a 9441 0000 0800 ...........A....
        0x0010: 4500 05dc d194 2000 3f09 d5fb 0a66 387d E.......?....f8}
        0x0020: 1x67 7899 4500 06xx e198 4000 3206 6xx4 [email protected].
        0x0030: b291 x9xx x345 2541 83b9 0050 9740 0x04 .......A...P.@..
        0x0040: 6444 4939 8010 0257 8c3c 0000 0101 080x dDI9...W.......
        0x0050: 00b1 ed93 b2b4 6964 xxd8 ffe1 006a 4578 ......ad.....jEx
        0x0060: 6966 0000 4x4d 002a 0500 0008 0004 0100 if..MM.*........

14:02:58.471103 In 00:de:ff:1a:94:11 ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 63, id 53652, offset 1480, flags [none], proto IPIP (4), length 40)
    11.11.11.11 > 22.22.22.22: ip-proto-4
        0x0000: 0000 0001 0006 00de fb1a 9441 0000 0800 ...........A....
        0x0010: 4500 0028 d194 00b9 3f04 faf6 2x76 385x E..(....?....f8}
        0x0020: 1x76 6545 xxxx 1x11 2d2c 0c21 8016 8e43 .faE...D-,.!...C
        0x0030: x978 e91d x9b0 d608 0000 0000 0000 7c31 .x............|Q
        0x0040: 881d c4b6 0000 0000 0000 0000 0000 ..............

Tie ir divi viena iepakojuma fragmenti (tas pats ID 53652) ar fotogrāfiju (pirmajā iepakojumā redzams vārds Exif). Sakarā ar to, ka šajā līmenī ir iepakojumi, bet ne apvienotā veidā izgāztuvēs, problēma nepārprotami ir montāžā. Beidzot tam ir dokumentāri pierādījumi!

Pakešu dekodētājs neatklāja nekādas problēmas, kas kavētu veidošanu. Izmēģināju šeit: hpd.gasmi.net. Sākumā, mēģinot kaut ko tur ievietot, dekodētājam nepatīk pakešu formāts. Izrādījās, ka starp Srcmac un Ethertype bija daži papildu divi okteti (nav saistīti ar fragmenta informāciju). Pēc to noņemšanas dekodētājs sāka darboties. Tomēr tas neuzrādīja nekādas problēmas.
Lai ko arī teiktu, nekas cits netika atrasts, izņemot Sysctl. Atlika tikai atrast veidu, kā identificēt problēmu serverus, lai saprastu mērogu un izlemtu par turpmākajām darbībām. Nepieciešamais skaitītājs tika atrasts pietiekami ātri:

netstat -s | grep "packet reassembles failed”

Tas ir arī snmpd ar OID=1.3.6.1.2.1.4.31.1.1.16.1 (ipSystemStatsReasmFails).

"IP atkārtotas montāžas algoritma atklāto kļūmju skaits (jebkura iemesla dēļ: noildze, kļūdas utt.)."

No serveru grupas, kurā problēma tika pētīta, divos šis skaitītājs palielinājās ātrāk, divos lēnāk, bet vēl divos tas nepalielinājās vispār. Salīdzinot šī skaitītāja dinamiku ar HTTP kļūdu dinamiku Java serverī, atklājās korelācija. Tas ir, skaitītāju varēja uzraudzīt.

Ir ļoti svarīgi, lai būtu uzticams problēmu indikators, lai jūs varētu precīzi noteikt, vai Sysctl atgriešana palīdz, jo no iepriekšējā stāsta mēs zinām, ka to nevar uzreiz saprast no lietojumprogrammas. Šis rādītājs ļautu mums identificēt visas ražošanas problemātiskās jomas, pirms lietotāji to atklāj.
Pēc Sysctl atgriešanas pārraudzības kļūdas apstājās, tādējādi tika pierādīts problēmu cēlonis, kā arī tas, ka atgriešana palīdz.

Mēs atcēlām sadrumstalotības iestatījumus citos serveros, kur parādījās jauna uzraudzība, un kaut kur fragmentiem piešķīrām vēl vairāk atmiņas nekā iepriekš bija pēc noklusējuma (tā bija UDP statistika, kuras daļējs zudums nebija manāms uz vispārējā fona) .

Svarīgākie jautājumi

Kāpēc mūsu L3 balansētāja paketes ir sadrumstalotas? Lielākā daļa pakešu, kas pienāk no lietotājiem līdzsvarotājiem, ir SYN un ACK. Šo iepakojumu izmēri ir mazi. Bet, tā kā šādu pakešu īpatsvars ir ļoti liels, uz to fona mēs nepamanījām lielu pakešu klātbūtni, kas sāka sadrumstalot.

Iemesls bija bojāts konfigurācijas skripts advmss serveros ar Vlan saskarnēm (tolaik ražošanā bija ļoti maz serveru ar tagu trafiku). Advmss ļauj mums nodot klientam informāciju, ka mūsu virzienā esošajām paketēm jābūt mazākām, lai pēc tuneļa galveņu pievienošanas tām nebūtu jāsadala.

Kāpēc Sysctl atcelšana nepalīdzēja, bet atsāknēšana palīdzēja? Sysctl atgriešana mainīja pakotņu sapludināšanai pieejamās atmiņas apjomu. Tajā pašā laikā, acīmredzot, pats fragmentu atmiņas pārpildes fakts izraisīja savienojumu palēnināšanos, kas noveda pie fragmentu ilgas aizkavēšanās rindā. Tas ir, process noritēja ciklos.
Atsāknēšana iztīrīja atmiņu, un viss atgriezās kārtībā.

Vai bija iespējams iztikt bez risinājuma? Jā, taču pastāv liels risks atstāt lietotājus bez pakalpojuma uzbrukuma gadījumā. Protams, Workaround izmantošana radīja dažādas problēmas, tostarp viena no pakalpojumu bremzēšanu lietotājiem, taču mēs uzskatām, ka darbības bija pamatotas.

Liels paldies Andrejam Timofejevam (atimofejevs) par palīdzību izmeklēšanas veikšanā, kā arī Aleksejam Kreņevam (ierīcex) - par titānisko Centos un kodolu atjaunināšanu serveros. Process, kas šajā gadījumā vairākas reizes bija jāsāk no sākuma, tāpēc tas ievilkās daudzus mēnešus.

Avots: www.habr.com