| 1.1, AntonAlekseevich (ok), 22:25, 25/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
 Мораль такова, надо нормально настраивать конфиги демонов.
А ещё лучше обкатывать каждый .+ конфиг через каждый эксплоит-тест.
А ЕЩЁ лучше не использовать etcd на критических объектах.
| | |
| |
| 2.19, Аноним (-), 00:48, 26/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> А ЕЩЁ лучше не использовать etcd на критических объектах.
Внезапный вывод. Может поделишься с менее смышлёными, чем же так плох etcd на «критических объектах»?
| | |
| |
| 3.22, Аноним (-), 01:55, 26/03/2018 [^] [^^] [^^^] [ответить]
| +12 +/– | |
> чем же так плох etcd на «критических объектах»?
Тем, что до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена.
Практически наверняка есть ещё какие-то проблемы, не с безопасностью, так с надёжностью.
Теперь вы попросите ткнуть вас носом в эти проблемы, чтобы убедиться, что я не пустомеля.
В ответ я пробормочу что-то невнятное. Возможно, честно признаюсь, что об etcd слышу исключительно из новостей типа этой. Возможно, скажу, что всё современное хипстерское, коим является и etcd, вообще не ориентировано ни на стабильность, ни на безопасность, а рассчитано лишь на пересоздание с нуля виртуалки в случае любых проблем.
Объясню, что по финансовым/политическим/маркетинговым причинам авторам надо быстрее и больше, а потому в таком софте априори отсутствуют особенности систем (безопасность, надёжность, отлаженность), требующие при разработке длительного погружения в какой-то аспект (анализ, продумывание, изучение вариантов, хотя бы минимальное изучение предметной области) без достижения видимого для инвестора результата (функционала, который можно потыкать).
Вы, конечно, на эти оправдания не поведётесь и будете правы: ведь раз на ошибку вам не могу указать я, значит её и вовсе нет.
Через какое-то время (от нескольких месяцев до пары лет) появится похожая новость об уязвимости.
Вы опять напишите традиционное "не бывает софта без глупых ошибок" и пойдёте пересоздавать образы виртуалок.
Кто-то на форуме вам напишет, что ЭТО не предназначено для использования в продакшне и делать этого не стоит.
И всё повторится заново.
| | |
| |
| 4.25, Аноним (-), 04:23, 26/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Полно протаколов не поддерживающих аудантифирацию и шифрование и что?
Если очень надо из интернета соединяться можно ssh тунель делать
| | |
| |
| 5.58, XoRe (ok), 16:04, 26/03/2018 [^] [^^] [^^^] [ответить]
| +9 +/– |
 > Полно протаколов не поддерживающих аудантифирацию и шифрование и что?
Вы заставляете мои глаза кровоточить.
| | |
|
| 4.27, Аноним (-), 05:03, 26/03/2018 [^] [^^] [^^^] [ответить] | +1 +/– | etcd 8212 специализированное хранилище Его в основном используют для взаимод... большой текст свёрнут, показать | | |
| |
| 5.37, Moomintroll (ok), 10:56, 26/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > будет никогда не меняемый пароль, который будут руками забивать в каждый образ
Puppet/Ansible/Chef/Saltstack...
| | |
| |
| |
| 7.68, angra (ok), 21:14, 26/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
 “Vault” is a feature of ansible that allows keeping sensitive data such as passwords or keys in encrypted files, rather than as plaintext in your playbooks or roles. These vault files can then be distributed or placed in source control.
| | |
|
|
| 5.47, пох (?), 14:17, 26/03/2018 [^] [^^] [^^^] [ответить] | +1 +/– | в этом месте обычно поднимают табличку BULLSHIT три слова совпали,ага посколь... большой текст свёрнут, показать | | |
|
| 4.85, Аноним (-), 14:43, 27/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ничего этого не будет. Я просто посмеюсь с очередного дурачка, списавшего удобный инструмент потому, что ему там жупел в виде каких-то хипстеров померещился.
| | |
|
| 3.90, AntonAlekseevich (ok), 14:02, 05/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Внезапный вывод.
Это не внезапный выход, а перенос "Театра безопасности" в компьютерную сферу.
На фоне недавних событий определение "Театр безопасности" так и остается театром. То что я написал это вредно для действия, а не как руководство сделать себе инфраструктуру безопаснее в угоду юзабильности.
А те негативные комментарии оставленные ниже это комментарии тех людей которые восприняли моё сообщение буквально плюсом люди поставившие минуса тоже восприняли сообщение буквально, а не как вредный совет.
| | |
|
| 2.24, Аноним (-), 04:21, 26/03/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
мораль такова. Нужно включить фаервол на блокирование всех входящих соединений кроме нескольких нужных.
| | |
| |
| 3.46, Crazy Alex (ok), 14:14, 26/03/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Причём этой морали лет 20 уже как минимум. А дле некоторых оно до сих пор не очевидно почему-то
| | |
| |
| 4.62, anonymous (??), 17:07, 26/03/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Это понятно. Но куча серверного софта становится не нужна при таком раскладе. Тот же мускуль. Нафиг ему сервер, когда его уже никто в здравом уме наружу не выставляет?
| | |
| 4.69, angra (ok), 21:20, 26/03/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не знаю как 20, но 10 лет назад это было не особо нужно на линуксе, так как хипстеры еще не пришли в IT и не наделали всяких nosql БД без аутентификации.
| | |
| |
| 5.84, Аноним (-), 14:37, 27/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Нужно было всегда, и 10 лет тому, и 20, и 500. До идеи «кого надо пущать, остальных не пущать» додумались ещё задолго до этих наших интренетов. Но до админов локалхостов и ланчиков на 10 пользователей начало доходить только когда «хипстеры пришли в IT», а влияние эффекта неуловимого Джо сильно уменьшилось.
| | |
| |
| 6.86, angra (ok), 16:34, 27/03/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Попробуй обосновать. Или ты привык следовать догмам, а не пользоваться мозгом?
Практика показывает, что открытый фаервол можно даже сейчас использовать, если на серверах нет модно-молодежных сервисов. И оно работает без взломов, годами, на сотнях серверов по всему миру.
| | |
|
|
|
| 3.49, пох (?), 14:17, 26/03/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> мораль такова. Нужно включить фаервол на блокирование всех входящих соединений
еще лет через двадцать ты поймешь, что и исходящих тоже.
| | |
|
| 2.88, Легион (?), 23:05, 28/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
etcd supports SSL/TLS as well as authentication through client certificates, both for clients to server as well as peer (server to server / cluster) communication.
| | |
|
| |
| 2.3, Crazy Alex (ok), 22:32, 25/03/2018 [^] [^^] [^^^] [ответить]
| +21 +/– |
Кхм, какой коллекционный экземпляр. И что ж такое админишь, родимый, что взбеленился? Обидно, что носом ткнули в твою же дурость?
| | |
| |
| |
| 4.21, vantoo (ok), 01:21, 26/03/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Тогда нечего удивляться. Новомодные хипстеры-девопсы это такие мартышки, которые только и умеют, что плодить виртуалки-клоны, управляя ими через оркестровки. А в случае проблемы у них одно решение, удалить и накатать по-новой образ.
| | |
| |
| 5.39, Аноним (-), 12:25, 26/03/2018 [^] [^^] [^^^] [ответить]
| –3 +/– |
удалить и накатать образ стоит 15 минут и 2 бакса на админа,
разобраться что же не так - потребует 2 часа и дорогого админа.
Сами же понимаете что лучше для бизнеса ?
| | |
| |
| 6.50, пох (?), 14:19, 26/03/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Сами же понимаете что лучше для бизнеса ?
угу, а когда залетевший дятел все это разрушит - бизнес объявляет банкротство. двухбаксовые девопы немедленно находят новый такой же, инвестор "фиксирует убытки" (и не платит налогов, так что он в общем ничего и не потерял), эффективные менеджеры улетают на золотом парашутике, вернуться не обещают, но обязательно где-нибудь приземляются.
| | |
| |
| 7.63, anonymous (??), 17:09, 26/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Через пару месяцев про этот "бизнес" никто не вспомнит. А банкротство - это часть рабочего процесса. И никакие 5-10 килобаксовые девопсы это не изменят.
| | |
|
|
|
|
| 3.7, anonymous (??), 23:24, 25/03/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это он намекает на то, что исследователь безопасности у нас рискует присесть. Поэтому и чесаться, будучи админом, не имеет смысла.
| | |
| |
| 4.13, pavlinux (ok), 00:28, 26/03/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
 >... исследователь безопасности у нас рискует присесть.
Ну не присесть, но объяснительную напишешь :)
| | |
| 4.71, Анотоним (?), 21:46, 26/03/2018 [^] [^^] [^^^] [ответить] | +/– | Есть разница, исследовать безопасность по заказу владельца инфраструктуры ИЛИ по... большой текст свёрнут, показать | | |
|
|
| 2.6, Аноним (-), 23:18, 25/03/2018 [^] [^^] [^^^] [ответить]
| +5 +/– |
>>Исследователь безопасности Giovanni Collazo опубликовал результат
> Он русские сервра проанализировал? Давайте пригласим на семинар.
Поэтому надо оставаться анонимом. Слишком много сброда всякого кругом.
| | |
| 2.9, IRASoldier (?), 23:27, 25/03/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Лучшая защита хранилища данных - запрет начальства доступаться к хранилищу не имеющим нарочитого предписания, за неисполнение коего запрета долженствует быть применена к неисполнившему кара уголовная.
А мы-то тут, простаки, файерволы налаживаем, шифрование поднимаем... Где ж ты раньше был? Это ж революция в IT!
| | |
| |
| 3.11, anonymous (??), 23:56, 25/03/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Лучшая защита хранилища данных - запрет начальства доступаться к хранилищу не имеющим
> нарочитого предписания, за неисполнение коего запрета долженствует быть применена к неисполнившему
> кара уголовная.
Ты прям Америку переоткрыл. Статей уголовных вагон. Поэтому любая деятельность, связанная с исследованием безопасности, чревата рисками. И не только в этой стране. Новость пробегала несколько лет назад https://habrahabr.ru/post/166459/ Я фигею, какая у людей короткая память.
| | |
| |
| 4.17, Аноним (-), 00:38, 26/03/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А можно как-нибиудь на тянуть в наш инженерно-технический мир все это гуманитарное дерьмо под названием закон и власть? Это же наиотвратительнейшая сущность созданная человеком для регулирования процессов. Нормально это не функционирует и в таком виде работать это нормально не будет никогда.
> "Студент получил 2,5 года колонии за экстремизм в дипломной работе об экстремизме"
> https://echo.msk.ru/news/2146678-echo.html | | |
| |
| 5.23, anon66 (?), 03:30, 26/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
если хотите разобраться ищите "яхве против баала". как осилите копайте дальше. всё не так просто как малюют уже 6 тыс. лет.
| | |
| |
| 6.38, IRASoldier (?), 11:19, 26/03/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
...когда вместо мануалов по сетевым протоколам курил протоколы сионских мудрецов facepalm.jpg
| | |
|
| 5.29, anonymous (??), 08:59, 26/03/2018 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Какая есть. Никто же не виноват, что людишки не могут без регулирования.
| | |
|
|
| 3.12, Аноним (-), 00:06, 26/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
может, появились какие-то надежные средства у "крыши"? не может же быть человеку всё равно ушли данные или нет.
| | |
| 3.36, amonymous (?), 10:15, 26/03/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> А мы-то тут, простаки, файерволы налаживаем, шифрование поднимаем... Где ж ты раньше был? Это ж революция в IT!
Тычо. Это щаз не модно, и без смузи. Контейнерчик в докере запилил - и хорошо.
| | |
|
| |
| 3.51, Аноним (-), 14:22, 26/03/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Простите, вы когда уходите, дом не запираете? Если запираете, то почему?
иначе ты можешь нечаянно зайти, исключительно в целях сбора статистики о моих вещах и нычках, и тебя съест моя собачка. А вот это - в нашей дурацкой стране уголовно наказуемо, даже если на двери висит табличка.
| | |
| 3.64, anonymous (??), 17:34, 26/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Простите, вы когда уходите, дом не запираете? Если запираете, то почему?
Начнём, с того, что домушники стимулируют людишек хранить деньги в банках. Поэтому вполне может случиться, что сферический домушник, зашедший в открытую дверь, рискует гораздо меньше мамкиного хакера, который залез в админку по дефолтному паролю.
| | |
|
|
| |
| 2.52, пох (?), 14:24, 26/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> а майнить через etcd можно? говорят, сейчас только ради этого и ломают
> сервера.
вы никуда не годный хипстер, не видать вам халявных монерок. Через etcd нужно раздать задания на майнинг по всей ферме.
(уж что-нибудь, умеющее exec, среди мусорных конфигов найдется)
| | |
|
| 1.31, Нанобот (ok), 09:34, 26/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 имхо, если придумать любую ошибку конфигурации, а потом просканировать 0.0.0.0/0 на её наличие, всегда можно найти тысячи хостов, где эта ошибка имеет место.
| | |
| 1.35, amonymous (?), 10:15, 26/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Жесть блин. Все вот эти вот монго-редисы-этцды - это ж стильно-модный-молодёжный девопс. Таки лучше переесть, чем недоспать.
| | |
| 1.40, Аноним (-), 12:34, 26/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Новость! срочно в номер! Если приехать на парковку у супермаркета и оставить машину с незакрытым окном и пойти часа на 3 за покупками, то по возвращению скорее всего из салона пропадет барсетка и все остальное ценное... а то и сама машина.
Если выставить сервис без авторизации голой жопой в интернет, то его найдут и так или иначе попользуют.. Если там лежат деньги^W логины пароли, то их сможет прочитать любой желающий..
И да, процентов 80 народу чтото творящего в интернетах этого не понимает, а еще и обижается, что "работать мешают", на попытку обрезать доступы.. Это ни новость ни разу..
| | |
| |
| 2.48, Crazy Alex (ok), 14:17, 26/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
В основном ругаются потому что доступы режут совершенно невменяемо и не предоставляют при этом каких-то осмысленных способов решать текущие задачи. Админ или security officer, пытающийся закрыть всё и пофиг, как дальше работать ничем не лучше идиота, открывающего всё в мир.
| | |
| |
| 3.59, пох (?), 16:26, 26/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
угу, в результате - по джампхосту на каждой кастрюле, имеющей внешний интерфейс (потому что работать-то надо), половина - осталась на память от давно уволившихся сотрудников, и о них вообще никто не знает. (обновления, что характерно, ставились пять лет назад)
А когда того уберсекьюрити админа спрашивают "что за херня вот прямо сейчас происходит" - выясняется, что у него ни логов, ни умения.
ничем не лучше девопа, у которого все настежь, потому что "я контейнер развернул" (а контейнера с файрволлом ему почему-то не завозят)
| | |
|
| 2.53, Аноним (-), 14:30, 26/03/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Новость! срочно в номер!
дружище, новость-то не об этом.
> Если приехать на парковку у супермаркета и оставить
> машину с незакрытым окном и пойти часа на 3 за покупками,
если бы все так делали, я бы давно на работу не ходил.
> Это ни новость ни разу..
тут новость ровно в том, что "а вон у того супермаркета- полная парковка таких лохов".
P.S. на самом деле в какой-нибудь Норвегии вполне народ и ключи в замке оставляет. Но ты если там будешь, сперва по сторонам оглядись - если рядом стоит еще одна грязная тачка с русскими или польскими номерами, или вокруг бродят ниггеры - то не будь таким лохом.
(их ловят, и отправляют коленом под зад обратно в родные бантустаны, но помогает плохо)
| | |
|
| |
| |
| 3.61, MoronDude (?), 16:50, 26/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
То что каждый сервер должен быть конфигурирован вручную, и пропущен через цыпочку валидаций и проверок безопасности.
| | |
| |
| 4.70, angra (ok), 21:35, 26/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ansible это инструмент, как нож или топор. Если его использует умный человек, то сплошная польза. Но в руках дурака он опасен для него самого и окружающих.
Дураки используют чужие плейбуки и докерфайлы, получая неизвестно что. Умные создают свои. И в этом случае один сервер настраивается тщательно и вручную, может быть даже на протяжении нескольких дней, а вот потом его копии создаются быстро в любом количестве. И это куда лучше, чем вручную создать за то же время десять однотипных серверов, в половине из них упустив какие-то важные действия и не доведя до нужной кондиции ни один.
| | |
| |
| 5.72, нах (?), 22:24, 26/03/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Дураки используют чужие плейбуки и докерфайлы, получая неизвестно что. Умные создают свои.
умным не нужен ansible - они создают свой. Заточенный строго под их задачи.
И это быстрее, чем разбираться в существующих нагромождениях на уровне, большем, чем чтобы использовать чужие/наспех поправленные конфиги (а потом больно стукнуться об ограничения модели и все равно начать колхозить).
> И это куда лучше, чем вручную создать за то же время десять однотипных серверов
> в половине из них упустив какие-то важные действия
ansible позволяет растиражировать упущенные действия на все десять, а то и все пять тысяч, ага. Быстро, очень быстро.
для того и брали.
P.S. к тому же для цели растиражировать просто свежеустановленный сервер никакой ansible даром не нужен - все вменяемые дистрибутивы умеют автоустановку с заданными параметрами. Он или что-то другое становится нужным, когда серверов уже сотни, и на них что-то надо _поменять_.
Причем без гарантии, что поменять надо одинаково.
| | |
| |
| 6.73, MoronDude (?), 02:10, 27/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Согласен. Если нужно настроить новые сервера с одинаковой конфигурацие можно воспользоваться автоустановкой, для существующих нужно все менять в ручную с полной проверкой на каждом сервере.
Если твой ansible хост скомпрометирован, можно смело сжигать сервера. Если ты конечно не «я у мамы хакер localhost’а».
(Тоже с puppet, и cheff и salt и т.п и т.д)
| | |
| |
| 7.77, foobar (??), 07:55, 27/03/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
 "Как заданием об изменении одной строки на тысяче серверов обеспечить мамкиному админу работу на год".
Кроме мартышкиного ручного "труда" и создания видимости работы наши бородатые админы ничего и не умеют. За что и были закономерно выброшены на обочину рынка.
| | |
| |
| |
| 9.81, ыы (?), 09:32, 27/03/2018 [^] [^^] [^^^] [ответить] | –1 +/– | не, этих не зовут нафиг они нужны если ansible не знают пусть продолжают лок... текст свёрнут, показать | | |
|
|
| 7.79, ыы (?), 09:25, 27/03/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
ansible -это такой, своеобразный (ну.. какой есть) аналог групповых политик от домена активдиректори.
вы не понимаете зачем нужен ансибл? зачем нужны групповые политики? рассуждаете о компрометации контроллера домена?
Претензии которые вы высказываете - смехотворны.
Я еще раз повторю ранее высказанную кем -то мысль:
"сначала я думал что это троли, но потом понял [с ужасом] что они всерьез."
| | |
| |
| |
| 9.89, Легион (?), 23:21, 28/03/2018 [^] [^^] [^^^] [ответить] | +/– | Ежели юзать конфигманагер, то ВСЕ изменения должны выполняться плейбуками манифе... текст свёрнут, показать | | |
|
|
| 7.83, angra (ok), 13:00, 27/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> для существующих нужно все менять в ручную с полной проверкой на каждом сервере.
Разве что если тебе платят почасово, совести не хватает, чтобы отказаться от развода заказчика на бабки, а ума на применение эффективного решения с последующим указанием времени неэффективного.
> Если твой ansible хост скомпрометирован, можно смело сжигать сервера.
Даю хинт, ansible можно юзать с любой машины. Он не требует выделенного сервера как "puppet, и cheff и salt и т.п и т.д)"
Ну и при компрометации гейта или машины админа придется это делать в любом случае, даже если там не было ansible. Вот только с ansible переустановка займет значительно меньше времени.
| | |
|
| 6.82, angra (ok), 12:56, 27/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> умным не нужен ansible - они создают свой. Заточенный строго под их задачи.
И это тоже. Но только если задачу действительно неудобно решать имеющимися инструментами.
> ansible позволяет растиражировать упущенные действия на все десять, а то и все пять тысяч, ага. Быстро, очень быстро.
И точно также быстро их исправить. Причем исправлять надо будет везде одинаково и найти проблемное место легко, а при ручной работе на каждом сервере могут быть разные ошибки и их поиск будет тем еще квестом.
> к тому же для цели растиражировать просто свежеустановленный сервер никакой ansible даром не нужен - все вменяемые дистрибутивы умеют автоустановку с заданными параметрами.
Во-первых, это больше возни. Во-вторых, значительная часть хостеров дает выбор из имеющихся у них образов, а не возможность проинсталлить свой.
> Он или что-то другое становится нужным, когда серверов уже сотни, и на них что-то надо _поменять_.
Или применить композицию. Или разбиение задач на "кубики" и сборка из них это слишком по-программерски для тру админов?
Как раз для регулярных изменений лучше использовать не ansible, а свой инструмент.
| | |
|
|
|
|
|
|
