Woodgnome's questions

Gostaria de permitir que usuários padrão instalem meu aplicativo que requer permissões elevadas, por exemplo, instalando "Por máquina" que grava em C:\Arquivos de Programas.

Há várias maneiras de fazer isso, mas a menos intrusiva (comparada à publicidade/publicação/SCCM) parece ser habilitar a política de grupo "Sempre instalar com privilégios elevados".

Isso obviamente é um risco de segurança, mas pode ser adequadamente mitigado configurando o AppLocker para executar apenas MSIs assinados por um ou mais editores específicos ou há alguma solução alternativa para abusar disso?

Estou executando alguns fiotestes em um novo servidor com a seguinte configuração:

• 1 unidade Samsung PM981a de 512 GB M.2 NVMe.
  • Proxmox instalado com ZFS na raiz.
  • 1x VM com 30 GB de espaço criado e Debian 10 instalado.
• 6x unidades Intel P4510 2TB U.2 NVMe conectadas a 6x pistas PCIe 4.0 x4 dedicadas com OCuLink.
  • Anexado diretamente à VM única.
  • Configurado como RAID10 na VM (3x espelhos distribuídos).
• Placa-mãe / CPU / memória: ASUS KRPA-U16 / EPYC 7302P / 8x32GB DDR4-3200

Os discos são classificados para leituras sequenciais de até 3.200 MB/s . Do ponto de vista teórico, isso deve fornecer uma largura de banda máxima de 19,2 GB/s.

Executando fiocom numjobs=1o ZFS RAID estou obtendo resultados na faixa de ~2.000 - 3.000 MB/s (os discos são capazes de 3.200 MB/s completos ao testar sem ZFS ou qualquer outra sobrecarga, por exemplo, durante a execução do Crystal Disk Mark no Windows instalado diretamente em um dos discos):

fio --name=Test --size=100G --bs=1M --iodepth=8 --numjobs=1 --rw=read --filename=fio.test
=>
Run status group 0 (all jobs):
   READ: bw=2939MiB/s (3082MB/s), 2939MiB/s-2939MiB/s (3082MB/s-3082MB/s), io=100GiB (107GB), run=34840-34840msec

Parece razoável tudo considerado. Também pode ser limitado à CPU, pois um dos núcleos estará com 100% de carga (com parte disso gasta em processos ZFS).

Quando eu aumento numjobspara 8-10 as coisas ficam um pouco estranhas:

fio --name=Test --size=100G --bs=1M --iodepth=8 --numjobs=10 --rw=read --filename=fio.test
=>
Run status group 0 (all jobs):
   READ: bw=35.5GiB/s (38.1GB/s), 3631MiB/s-3631MiB/s (3808MB/s-3808MB/s), io=1000GiB (1074GB), run=28198-28199msec

38,1 GB/s - bem acima da largura de banda máxima teórica.

Qual é exatamente a explicação aqui?

Adições para comentários:

Configuração da VM:

iotopdurante o teste:

Estou usando o UltraEdit (Windows) para editar arquivos em servidores SFTP remotos. Por algum motivo, não consigo mais me conectar a um desses servidores.

Veja o que foi alterado:

1. O servidor foi movido (e atualizado) de uma VM para outra - geralmente isso apenas solicita a alteração da impressão digital rsa e funciona sem a necessidade de outras alterações.
2. Eu tenho experimentado diferentes softwares para mapear SSH/SFTP como unidades do Windows.

A conexão pareceu quebrar depois de mapear o servidor no ExpanDrive (tenho quase certeza de que continuei trabalhando no servidor depois que ele foi movido e atualizado).

Alguns pontos dignos de nota:

• O problema existe apenas para este servidor específico, pois ainda consigo me conectar às outras VMs (que estão na mesma rede e têm os mesmos requisitos para fazer login).
• Ainda consigo me conectar ao servidor com o PuTTY (depois de atualizar a impressão digital rsa)
• FileZilla SFTP também funciona bem
• Alguns mapeadores de driver funcionam (SFTP Net Drive, sshfs), outros não (ExpanDrive, WebDrive)
• Eu removi todas as entradas contendo o nome do servidor no registro.

Informações do servidor com falha

• Linux titan 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt11-1+deb8u3 (2015-08-04) - x86_64 GNU/Linux
• ID do Distribuidor: Debian
• Descrição: Debian GNU/Linux 8.1 (jessie)
• Lançamento: 8.1
• Codinome: jessie

Informações do servidor de trabalho

• Linux ymer 3.2.0-4-amd64 #1 SMP Debian 3.2.68-1+deb7u1 x86_64 GNU/Linux
• ID do Distribuidor: Debian
• Descrição: Debian GNU/Linux 7.8 (chiado)
• Lançamento: 7.8
• Codinome: wheezy

Alguma ideia do que poderia estar causando o problema de conexão nos mapeadores UltraEdit/drive?