Мне кажется, тут фундаментальная поблема root can do anything

мне с трудом представляется кейс

в котором это актуально

Админ уволился, забрал с собой ключ и серт, творит хуйню

синглмод

вытираем все за негодником

Перегенерировать все ключи, когда уволился человек, неприкольно

но вариантов нет

если у вас нет централизованного решения, то приходится вот так

Не, это теоретический вопрос. Вот у нас есть n+1 админов, которые теоретически имеют на руках все ключи

тогда надо смоттреть куда то в сторону freeipa

Потому что у них был root на севрерах

чтобы избежать такого

Да, я уже думал, что подход к вопросу неверный

на будущее, хорошо в трудовом договоре прописать отвественнность за всякое такое

посоветовавшись с юристами

сдается мне, что такая ситуация - нарушение закона

я думаю даже без прописанной ответственности в договоре это нарушение закона

да

просто сейчас это сложно доказать более или менее

чойта ? ну вот есть у вас курсор с документами, вы хотите их отсортироват ьпо какому то филду.

Понял да. И понял почему сначала мне это показалось неведомо - потому что документ в отличие вот реляционных строк имеет древовидную структуру, и там меньше смысла в сортировке - иначе тогда придется сортировать все поддеревья. Мы это делаем на уровне кода а не БД.

Потому что у них был root на севрерах

так вот где проблема, а не в ключах

Всегда есть люди, которым нужно *админить машины*

так вот где проблема, а не в ключах

ну на самом деле кому-то рута все равно давать прийдется

Всегда есть люди, которым нужно *админить машины*

Значит там не должно быть ключей, которые ты не можешь перегенерировать

ну для этого и нужнац централизованность, в любом случае говорить как надо было уже бесполезно

факап уже есть

перегенерить все прийдется - разлить можно pssh или ansible тем же

https://github.com/gozdal/accessl/

Вот такое есть

vault от хашикорп ?

и добывалка этих ключей от туда

replace only архитектура ?

ну короче, надо что-то мутить да

на будущее

а вообще, это конечно верх мудачества - срать бывшему работодателю

http://emercoin.com/EMCSSH :E

пусть даже если он и уволил не по делу и хуями на прощание обложил и даже на бабки кинул

есть поговорка что при увольнении админа гендир должен ему пальто подать и до двери проводить.

в мелких котнторах увы только так

расставаться должны очень по хорошему

да срать как расстались

там мудачество с обоих сторон стоит дорого для бизнеса

это непрофсиионально

в любом случае

кинули на бабки - иди в органы

> хуями на прощание обложил и даже на бабки кинул а это не верх мудачества? :)

Да ладно. Легче просто застрелить

а не сри на сервере

разные былваю люди

> хуями на прощание обложил и даже на бабки кинул а это не верх мудачества? :)

если ты поступаешь как мудак в ответ мудакам, то ты тоже мудак

все просто же

разные былваю люди

Правильно. Поэтому на всякий случай застрелить. Никогда не замечали, что нет отзывов о том, как со мной работали? Прально

есть...

Правильно. Поэтому на всякий случай застрелить. Никогда не замечали, что нет отзывов о том, как со мной работали? Прально

хороший админ - мертвый админ

если ты поступаешь как мудак в ответ мудакам, то ты тоже мудак

Ну да, но ведь мстя сладка же :)

Но.

On the other hand the decrypted payload is transmitted in clear text over UDP between OpenSSL client and AcceSSL worker

да фигня все, со мстей

еще проблема "насрать бывшему работодателю" в том что когда срет он страдаешь только ты, а когда гадишь ты, то под удар попадают непричастные люди

валять инфрастуктуру которую поддерживал и обслуживал - должны быть у админа инстинкты, которые не дадут это сделать )

да фигня все, со мстей

Не фигня на самом деле, если работодатель будет знать что админ максимум сможет - это пойти поплакаться органам, то тогда всех админов начнут кидать.

Не фигня на самом деле, если работодатель будет знать что админ максимум сможет - это пойти поплакаться органам, то тогда всех админов начнут кидать.

а не админы как работают?

и ничего

не кидают

и органам это не просто поплакаться

Да ты что :) IT это чуть ли не единственная отрасль где более-менее по честному жить можно. В остальных областях сплошь кидки и наедалово.

поверьте, это будет реально урон в большинстве случаев

Да ты что :) IT это чуть ли не единственная отрасль где более-менее по честному жить можно. В остальных областях сплошь кидки и наедалово.

по мне так кидают и там и там

если работодатель кидает всех вокруг меня, я пожалуй уволюсь

пускай я и в безопасности

если работодатель кидает всех вокруг меня, я пожалуй уволюсь

А он тебя застрелит

Да, только в случае если ты работаешь простым менеджером, то защититься тебе нечем по сути. В органах пошлют, работодатель тоже пошлет на 3 буквы 3 раза.

А он тебя застрелит

на каждый пистолет найдется доброе слово

а иногда и дело

Еще и в багажнике вывезут в лес :)

Еще и в багажнике вывезут в лес :)

Вот

страсти какие у вас тут

Да, только в случае если ты работаешь простым менеджером, то защититься тебе нечем по сути. В органах пошлют, работодатель тоже пошлет на 3 буквы 3 раза.

ребят, ну масса кейсов есть, когда все норм работает

москва/питер да ?