InnoDB+UFS+SSD

Alex Korchmar написал(а) к Victor Sudakov в Jan 21 09:17:43 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:

AK>> ключи от всего с максимальными правами без паролей лежат кучкой, и
AK>> только ждут, пока первый залетевший дятел захочет тебе что-нибудь
AK>> "поадминить".
VS> 1. Кто мешает тебе защитить кучку (vault) на управляющей машине паролем или еще
VS> как?
и как после этого будет работать автоматика? Пароль рядышком клиртекстом
положим?

VS> 2. Дятел должен залететь на управляющую машину, которую можно
VS> и получше защитить.
наоборот. Управляющая машина - это помойка, за которой либо никто не следит,
потому что на ней ничего и не работает, и что у нее нечаянно со времен деплоя
остался торчать в интернет ssh, не замечают, либо на ней наоборот
проходной двор "чтоб не простаивала зря", от мониторинга до учета.

И тут такой опа - баг в sudo, Тодди из 2011го года прислал потомкам привет.

Причем ты не узнаешь ни что ключи утекли, ни что ими кто-то не тот стал
пользоваться, логов-то ведь - никаких и нигде.

VS> А не на любую управляемую, на которой постоянно работает всевластный
VS> агент.
А агент во-первых не настроен слушаться кого попало, во-вторых,
вовсе не является шеллом. Дать тебе вотпрямщас доступ только к агенту - ты
ничего вообще сделать не сможешь, побежишь гуглить его апи.
Во-вторых, даже если нагуглишь - ничего кроме конкретной машины
тебе не достанется, а там, вероятнее всего, прод, и на ней крутиться
гораздо более палевно, да еще на ощупь, без консоли. Наш-то друг с
ключами там вообще не засветится и не наследит раньше времени, так,
разок заглянет.

До кучи, агенту вовсе необязательно быть всевластным, это не рутовый шелл,
вполне можно ограничить его возможности до минимально необходимых. Что снова
создаст барьер для забредших на огонек, и новые шансы вляпаться в логи раньше,
чем нанесут ущерб (аудит лог от агента повод для красных лампочек везде и повсюду)

И даже если зохватят не агент, а сервер - у зохватившего снова нет прямого
доступа ни к чему - он снова идет изучать апи, а потом пытается рулить другими
на ощупь, не зная что там и не имея возможности аккуратно осмотреться на месте,
непосредственно с сервера, агенты больше никого слушать не будут, это тебе не
ssh, где сбоку-костылик, здесь это дефолтная настройка, никакого доверия только
ключам по умолчанию.

AK>> Технологии будущего, привыкайте, так теперь будет - всегда.
VS> "Уж коли зло пресечь, собрать все сети бы да сжечь" (почти Скалозуб).
девляпсов, continious desintegration без стабильных релизов по большим
праздникам, облачка с белогривыми лошарами и инфраструктуру аз а кокококоде
(когда эти самые ключи от всего еще и в гит удобно сложены) - безусловно.
Но, к сожалению, уже поздно - убивайте всех, Г-дь разберет своих.


> Alex

--- ifmail v.2.15dev5.4