etckeeper is a must

У нас он в базовый набор утилит входит

То есть - обязан стоять на каждой машине

etckeeper хорошая штука

но у нас обычно проще передеплоить сервер целиком, чем разбираться в истории изменений

но у нас обычно проще передеплоить сервер целиком, чем разбираться в истории изменений

а если после редеплооя повторится смешная ситуация?

и так раз за разом?

ну я в общем плане говорю :)

я думаю это другая ситуация «если»

а если после редеплооя повторится смешная ситуация?

Тогда ты в армии или во сне внутри сна

я уже кидал сегодня в какойто чат ролик про безумие из фар края

https://imgs.xkcd.com/comics/datacenter_scale.png

тут есть кто шарит в XFS?

и sparse files

root@kvm04 /data/images/106 # du -sh ./* 1.4G ./vm-106-disk-1.qcow2 771M ./vm-106-disk-2.qcow2 150M ./vm-106-disk-3.qcow2 724M ./vm-106-state-cleanvm.raw root@kvm04 /data/images/106 # du -sh ./* —apparent-size 35G ./vm-106-disk-1.qcow2 502G ./vm-106-disk-2.qcow2 502G ./vm-106-disk-3.qcow2 724M ./vm-106-state-cleanvm.raw

как узнать, сколько "честного" свободного места на диске?

root@kvm04 /data/images/106 # ls -lskh total 3.0G 1.4G -rw-r---— 1 root root 35G Sep 23 14:38 vm-106-disk-1.qcow2 771M -rw-r---— 1 root root 502G Sep 23 13:59 vm-106-disk-2.qcow2 150M -rw-r---— 1 root root 502G Sep 23 14:06 vm-106-disk-3.qcow2 724M -rw-r---— 1 root root 724M Sep 23 14:05 vm-106-state-cleanvm.raw

https://online.mirea.ru/ - кто-нибудь получал вышку там ?)

Я получал, не советую.

https://life.ru/t/life78/907363/v_pietierburghie_rabotnik_v_svoi_piervyi_dien_sobral_vsie_noutbuki_v_ofisie_i_ushiol

ну если такой умный -расскажи!

root@kvm04 /data/images/106 # du -sh ../../* 91G ../../dump 53G ../../images 0 ../../private 3.8G ../../template root@kvm04 /data/images/106 # du -sh ../../* —apparent-size 91G ../../dump 6.7T ../../images 6 ../../private 3.8G ../../template

вот так

Лек

ну если такой умный -расскажи!

stat жи

?

?

man 1 stat

root@kvm04 /data/images/106 # stat vm-106-disk-2.qcow2 File: ‘vm-106-disk-2.qcow2’ Size: 538028081152 Blocks: 1578984 IO Block: 4096 regular file Device: fb03h/64259d Inode: 31138513603 Links: 1 Access: (0640/-rw-r-----) Uid: ( 0/ root) Gid: ( 0/ root) Access: 2016-09-23 14:10:07.462758462 +0200 Modify: 2016-09-23 13:59:10.368269851 +0200 Change: 2016-09-23 13:59:10.368269851 +0200 Birth: - root@kvm04 /data/images/106 # stat -f vm-106-disk-2.qcow2 File: "vm-106-disk-2.qcow2" ID: fb0300000000 Namelen: 255 Type: xfs Block size: 4096 Fundamental block size: 4096 Blocks: Total: 1864500736 Free: 1825690487 Available: 1825690487 Inodes: Total: 1492017920 Free: 1492017804

это конечно очень полезно и наглядно

это конечно очень полезно и наглядно

ну 770мб же.

это куда проще выяснить при помощи du как я описал выше

это куда проще выяснить при помощи du как я описал выше

ну, можно и так, да.

$ df -kh вроде тоже работает Filesystem Size Used Avail Use% Mounted on /dev/xvda1 30G 24G 4.2G 86% / none 4.0K 0 4.0K 0% /sys/fs/cgroup udev 492M 12K 492M 1% /dev tmpfs 100M 492K 99M 1% /run none 5.0M 0 5.0M 0% /run/lock none 497M 0 497M 0% /run/shm none 100M 0 100M 0% /run/user

$ df -kh вроде тоже работает Filesystem Size Used Avail Use% Mounted on /dev/xvda1 30G 24G 4.2G 86% / none 4.0K 0 4.0K 0% /sys/fs/cgroup udev 492M 12K 492M 1% /dev tmpfs 100M 492K 99M 1% /run none 5.0M 0 5.0M 0% /run/lock none 497M 0 497M 0% /run/shm none 100M 0 100M 0% /run/user

не, одинаковый вывод

#whois ★ Работаю в Яндексе, администрирую интранет-сервисы ★ Всего понемногу: nginx, haproxy, Load Balancing, MySQL, PostgreSQL, иногда пишу на Go, Python и Javascript, хорошо умею собирать всякое фуфло в deb-пакеты, потихоньку осваиваю Docker, люблю и ненавижу systemd ★ полезен могу быть всем, о чём написано пунктом выше ★ сообщество может быть интересно всем, о чём написано двумя пунктами выше, а также быть ещё одним источником лулзов ★ Тамбовская обл., пос. Хоботово -> Москва -> Киев ★ про группу узнал от пользователей https://bnw.im

Источник лулзов это сюда.

#whois ★ Работаю в Яндексе, администрирую интранет-сервисы ★ Всего понемногу: nginx, haproxy, Load Balancing, MySQL, PostgreSQL, иногда пишу на Go, Python и Javascript, хорошо умею собирать всякое фуфло в deb-пакеты, потихоньку осваиваю Docker, люблю и ненавижу systemd ★ полезен могу быть всем, о чём написано пунктом выше ★ сообщество может быть интересно всем, о чём написано двумя пунктами выше, а также быть ещё одним источником лулзов ★ Тамбовская обл., пос. Хоботово -> Москва -> Киев ★ про группу узнал от пользователей https://bnw.im

вас там палкой на работе не бьют?

проходил собеседование пару лет назад, показалось, тчо все там какие-то угрюмые

не бьют

проходил собеседование пару лет назад, показалось, тчо все там какие-то угрюмые

сейчас пишут ещё хуже

люблю и ненавижу systemd ++

то правда было в питерский1 офис

знаешь такого человека? Крыгин Михаил

#whois ★ Работаю в Яндексе, администрирую интранет-сервисы ★ Всего понемногу: nginx, haproxy, Load Balancing, MySQL, PostgreSQL, иногда пишу на Go, Python и Javascript, хорошо умею собирать всякое фуфло в deb-пакеты, потихоньку осваиваю Docker, люблю и ненавижу systemd ★ полезен могу быть всем, о чём написано пунктом выше ★ сообщество может быть интересно всем, о чём написано двумя пунктами выше, а также быть ещё одним источником лулзов ★ Тамбовская обл., пос. Хоботово -> Москва -> Киев ★ про группу узнал от пользователей https://bnw.im

Братве с бнвача привет

devops а можно вас спросить как вы заботитесь о безопасности ваших боевых серверов? snort? rkhunter? ldap-keys? или есть еще какие-то механизмы?

у меня регулярные nessus сканы извне, внутри selinux

само собой регулярные апдейты от RedHat и third parties

само собой регулярные апдейты от RedHat и third parties

правильный человек

redhat лучший выбор

из мира Linux я считаю, что да)

у меня регулярные nessus сканы извне, внутри selinux

ну этоже тебя не спасет, если человек закинул свой ключ домашний и пришел и забрал все данные себе домой...

куда он закинул ключ? Как?

ничего не понял)

куда он закинул ключ? Как?

у тебя есть сотрудник у него доступ на бой по ключу, он взял и домашний свой зафигачил в рут или в своего юзера и все спер

SELinux не даст

у тебя есть сотрудник у него доступ на бой по ключу, он взял и домашний свой зафигачил в рут или в своего юзера и все спер

selinux такого не даст

да и апдейты всякого рода эксплоиты закрывают

у тебя есть сотрудник у него доступ на бой по ключу, он взял и домашний свой зафигачил в рут или в своего юзера и все спер

selinux оч крутая штука, ты можешь запретить пользователю даже от рута и самому руту запускать софт, мне определённого pid

а кто юзает ssh-ldap-keys? у всех же бой по ключам 100%

pam_au...+/pam_usb

/pam_usb

SELinux не даст

спасибо за знакомство с этим чудом,

но тут есть 1 проблема

ERROR: S client not available

в бубунтах selinux ущербен

потому что убунта говно, и не умеет нормальные пакеты и ядра делать

в бубунтах selinux ущербен

его там просто нет, умник

/pam_usb

pam_pkcs11

его там просто нет, умник

можно поставить, в репах есть

но кривой....

кривые у тебя знания

зачем в убунте селинукс, если там дл того же самого есть apparmor

redhat лучший выбор

У тебя нет никакого выбора

зачем в убунте селинукс, если там дл того же самого есть apparmor

вот это мне подходит, хотел бы услышать ваши советы еще @onokonem @demeliorator

У тебя нет никакого выбора

? ну на эти ноды например я вообще fedora поставлю

советы по какому поводу?

советы по какому поводу?

безопасности ubuntu и прав доступа

вот это мне подходит, хотел бы услышать ваши советы еще @onokonem @demeliorator

Вообще - я не пользовался AppArmor никогда в жизни Я пользовался GrSecurity

Ну и надо садиться составлять модель угроз

Вообще - я не пользовался AppArmor никогда в жизни Я пользовался GrSecurity

а как-же snort,rkhunter?

Может так оказаться, что вся эта убунта убирается внутрь периметра

советы по какому поводу?

а в вашем apparmor можно запретить руту запускать процессы без указания pid?

а как-же snort,rkhunter?

rkhunter - полная лабуда

Ну и надо садиться составлять модель угроз

этим и занимаюсь :(

То есть, настолько бесполезная туловина, что просто вот ноль раз в жизни она помогла

Я слышал название maldet, но это же тоже сигнатурный анализатор

А сигнатурные анализаторы сосут у поведенческих

То есть, настолько бесполезная туловина, что просто вот ноль раз в жизни она помогла

я понял спасибо, мне пока главное это внутренние угрозы (т.к одно из самых тяжелых)

То есть, настолько бесполезная туловина, что просто вот ноль раз в жизни она помогла

настроить запуск программ ток с определённым pid, любой левый пид, сразу запрет на запуск

А много ли мы знаем опенсорсных поведенческих анализаторов? Да ни одного

хрыч, ты не умеешь читать

Зато мы знаем rule enforcing фреймворки

настроить запуск программ ток с определённым pid, любой левый пид, сразу запрет на запуск

Ну, не с PID, а с другим ID

И, если ты говоришь о SELinux, то там речь будет идти о совпадении security contexts субъекта и объекта

Ровно так же работает и вышеупомянутая GrSecurity