Разработчики - это люди. Админы - это обезъяны. Человека заставляют делать обезъянью работу. Человек не хочет тыкать палкой капалкой и пишет программу, которая начинает копать сама.

Неутешительный вывод состоит в том, что для Админа, т.е. Обезъяны, путь в ДевОпс лежит через полный цикл эволюции - палка-копалка, бронзовый век - computer science.

Горькая ирония состоит в том, что Обезъяна, пройдя ступени эволюции, став Человеком и познав новое состояние разума может совсем не захотеть писать автоматизированные палки копалки, столь близкие к ее нечеловеческому прошлому.

забавная история - люди из saltstack пару лет считали что 1 - это простое число. благодаря этому они генерили RSA ключи с публичной экспонентой == 1. Софту этих людей вы хотите доверять рут? https://github.com/saltstack/salt/commit/5dd304276ba5745ec21fc1e6686a0b28da29e6fc

ну, хорошо, не 0)

а вообще да, нужен аудит безопасности таким продуктам

но среднестатистический программист на питоне не знает ничего о том, что такое публичная экспонента

то есть такое могло случиться с любым проектом, где нет безопасника

ну, хорошо, не 0)

0 был бы лучше — оно бы не работало

но среднестатистический программист на питоне не знает ничего о том, что такое публичная экспонента

в этом и отличие криворукого программиста от хорошего - хороший бы не писал RSA.gen_key в коде если б не понимал как оно работает. Даже обычный программист в отличее от криворукого бы просто взял фреймворк который бы не позволил ему такую хуйню сотворить.

Разработчики - это люди. Админы - это обезъяны. Человека заставляют делать обезъянью работу. Человек не хочет тыкать палкой капалкой и пишет программу, которая начинает копать сама.

каждый сам решает кто он. Я видел админов которые были отличными системными инженерами и писали драйверы (привет wawa и его мультипоточный e1000 для FreeBSD которыми пользовалось половина подвал- и чердак-телекомов), патчили ядро для Netflix (привет Глеб Смирнов); Админ — это не обезьяна. Как бы то нибыло парадоксально, но обезьяна — это обезьяна. Обезьяной можно быть и программируя.

но среднестатистический программист на питоне не знает ничего о том, что такое публичная экспонента

я не верб в то что человек может компитентно писать код по одной тематике, но абсолютно не думаю писать код на другие темы.

вообще, вот эта ситуация с https://github.com/saltstack/salt/commit/5dd304276ba5745ec21fc1e6686a0b28da29e6fc меня сильно насторожила, не видел это ранее

но какие там варианты тогда остаются? Ansible?

Ansible — я, каюсь, не пробовал. Пробовал всё остальное от cfengine2/3 до chef. Chef (serverless) скейлится до масштабов facebook'а.

Всем привет!)

Допустим

вообще, вот эта ситуация с https://github.com/saltstack/salt/commit/5dd304276ba5745ec21fc1e6686a0b28da29e6fc меня сильно насторожила, не видел это ранее

коммит 2013 года

да, но это показывает уровень организации процессов контроля качества кода

правда я не уверен, что в Ansible лучше

да, но это показывает уровень организации процессов контроля качества кода

конкретно этот коммит показывает, что баг исправлен а уровень процессов контроля - это всегда две крайности в опенсорс-проектах: более осторожная разработка - это больше контроля и аудита, дольше мерж реквесты, месяцы перед появлением твоего кода в проекте, крайне редкие релизы, демотивация контрибьютеров (открывают свои более скородевящиеся форки, имеющих б0льший успех и имидж более активно развивающегося проекта; куча примеров таких историй)

конкретно этот коммит показывает, что баг исправлен а уровень процессов контроля - это всегда две крайности в опенсорс-проектах: более осторожная разработка - это больше контроля и аудита, дольше мерж реквесты, месяцы перед появлением твоего кода в проекте, крайне редкие релизы, демотивация контрибьютеров (открывают свои более скородевящиеся форки, имеющих б0льший успех и имидж более активно развивающегося проекта; куча примеров таких историй)

а о чём говорит этот коммит? https://github.com/saltstack/salt/commit/6b861108fa42b962beb979da5c1663b2f2560f78

и то что разница между ними больше года?

или о чём говорят os.umask вызовы в первом коммите если учесть что salt мультитредовый?

а о чём говорит этот коммит? https://github.com/saltstack/salt/commit/6b861108fa42b962beb979da5c1663b2f2560f78

о том, что self made encryption is not easy

о том, что self made encryption is not easy

так может быть не надо было делать то что not easy но при этом ты не хочешь в этом разбираться?

я чесно пытался людям обьяснить что и как нужно делать: https://github.com/saltstack/salt/commit/cf0f1c981c551ad3d0c0b17a9313c255f3a49a28

или о чём говорят os.umask вызовы в первом коммите если учесть что salt мультитредовый?

предположу, что gen_keys происходит разово при установке связи

предположу, что gen_keys происходит разово при установке связи

а вот это тогда? https://github.com/saltstack/salt/commit/2166c118030272e9fd6ec1e06f2186e025f3d476

так может быть не надо было делать то что not easy но при этом ты не хочешь в этом разбираться?

может и не надо, но есть то, что есть, и оно становится лучше, что и отражают коммиты; подходит ли это или нет, каждая команда решает для себя сама, учитывая не только придирки к таким деталям, но и остальные фичи

да там пиздец повсюду - люди пишут вообще не думая, а пулреквесты принимаю не ревьювя: https://github.com/saltstack/salt/commit/62464b237fe0d754abc93bce44213ef919b19daf

и так по всему коду =)

как и во многих опенсорс проектах; и их же ревьювят другие желающие, и тоже шлют пулреквесты с исправлениями, демократия ёма

какая нахуй демократия? у них контора! они деньги берут! https://saltstack.com/infrastructure-security-compliance/

но у нас странный выстроился диалог, словно я представляю салт и принимаю решения в его архитектуре

как и во многих опенсорс проектах; и их же ревьювят другие желающие, и тоже шлют пулреквесты с исправлениями, демократия ёма

Демократия и опенсурс — это nginx core, вот теперь попробуй любой патчи протащить через Максима Дунина - там когоугодно и в хвост и в гриву выебут

но у нас странный выстроился диалог, словно я представляю салт и принимаю решения в его архитектуре

не, я о том что сложно защищать чужую некомпетентность, особенно если оно там повсюду, строчка за строчкой

априори в любом продукте так или иначе есть проблемы, и все они стремятся к светлому будущему; если задаться, накопать такого можно в любой репе похожего масштаба

вот поэтому было бы интересно сравнить между собой Ansible и Salt

может, там ещё хуже

что именно в них сравнить? сесурность?

ну да

там тоже компания делает деньги на поддержке

если сесурность и повышенный код ревью стоят выше feature-rich, есть проприетарные конфигурейшн менеджеры со своими недостатками но, вообще, мы говорим о транспорте с агентом, обычно происходящим внутри сети даже наличие race cond и слабинок в шифровании - атакующий как минимум должен быть внутри

Друзья, не помню кто мне посоветовал в качестве облачного хранилища ownCloud, но вам больше спасибо. Поднял, все настроил, апликухи даже есть за смешные деньги для нее на все платформы. :)

Друзья, не помню кто мне посоветовал в качестве облачного хранилища ownCloud, но вам больше спасибо. Поднял, все настроил, апликухи даже есть за смешные деньги для нее на все платформы. :)

Есть еще syncthing

Друзья, не помню кто мне посоветовал в качестве облачного хранилища ownCloud, но вам больше спасибо. Поднял, все настроил, апликухи даже есть за смешные деньги для нее на все платформы. :)

есть ещё nextcloud

Друзья, не помню кто мне посоветовал в качестве облачного хранилища ownCloud, но вам больше спасибо. Поднял, все настроил, апликухи даже есть за смешные деньги для нее на все платформы. :)

Есть ещё openmediavault

если сесурность и повышенный код ревью стоят выше feature-rich, есть проприетарные конфигурейшн менеджеры со своими недостатками но, вообще, мы говорим о транспорте с агентом, обычно происходящим внутри сети даже наличие race cond и слабинок в шифровании - атакующий как минимум должен быть внутри

с такой аргументацией можно и яро линукса не патчить от локальных privilege escalation - атакующий же внутри должен быть =)

с такой аргументацией можно и яро линукса не патчить от локальных privilege escalation - атакующий же внутри должен быть =)

я не оправдываю баги, я предлагаю выход, если он нужен здесь и сейчас

с тезисом о том, что в салт время от времени попадают фекальки, я согласен полностью, но благодаря движухе, сообщество само же их после находит и фиксит

есть процент коммитеров, кому любо фичи фичить, а есть те, кому нравится аудитить и критиковать, исправлять ошибки других; оба типа коммитеров получают моральное удовлетворение от своей деятельности, одни от открываемых возможностей для пользователей, другие от менторства над разработчиками и обезопасивания продукта; чем ниже порог вхождения в такие проекты (т.е. нет многомесячных ревью пулреквестов), тем выше процент и тех и тех

на самом деле интересно посмотреть в масштабе, что лучше: когда коммитеров мало, много аудита, код чище, хоть и развивается медленнее или когда народу много, квалификация у всех разная, но все друг за другом исправляют своё же быстропушнутое говно

есть в мире разработки одна простая истина - скорость разработки завтра обратна пропорциональна кол-ву говна написанного сегодня. Не бывает такого что ты постоянно хуяришь фитчи не думая и двигаешься быстро — оно так не работатет. Технический долг он на то и долг, что его надо будет платить, иначе сдохнешь

с такой аргументацией можно и яро линукса не патчить от локальных privilege escalation - атакующий же внутри должен быть =)

всё-таки есть разница, даются ли сервера кому-то, кто может (и будет пробовать) потенциально эксплуатировать такие эксалейшены, или используются для внутренних нужд речь не о том, что баг - это ок, речь о том, что масштаб катастрофы разнится от кейса к кейсу, и у большинства он не так уж и велик

есть в мире разработки одна простая истина - скорость разработки завтра обратна пропорциональна кол-ву говна написанного сегодня. Не бывает такого что ты постоянно хуяришь фитчи не думая и двигаешься быстро — оно так не работатет. Технический долг он на то и долг, что его надо будет платить, иначе сдохнешь

это так

всё-таки есть разница, даются ли сервера кому-то, кто может (и будет пробовать) потенциально эксплуатировать такие эксалейшены, или используются для внутренних нужд речь не о том, что баг - это ок, речь о том, что масштаб катастрофы разнится от кейса к кейсу, и у большинства он не так уж и велик

не бывает полностью закрытих систем подключённых к интернету — если у тебя внутрений мейл сервер который та давно не обновлял, то найдут багу в твоём devcot'е, запустят shellcode, и получат доступ ко всей твоей внутренней сети вместе с её сервисами "для внутринних нужд"

вот вам всем на ночь (или утро у вас там) hooror story от людей которые хуярили фитчи, а софтина межтем крашилась. Людям это почти стоило бизнеса. Я не говорю что нужно как Максим Дунин ебать без вазилина за каждый патч, я просто говрю что нужен базовый уровень компетенции, и пока его нет у разработчиков софта — этот софт в продакшн лучше не стаить: https://www.cockroachlabs.com/blog/cockroachdb-stability-from-1-node-to-100-nodes/

сяп

не бывает полностью закрытих систем подключённых к интернету — если у тебя внутрений мейл сервер который та давно не обновлял, то найдут багу в твоём devcot'е, запустят shellcode, и получат доступ ко всей твоей внутренней сети вместе с её сервисами "для внутринних нужд"

наличию shellcode, торчащего наружу, никакой аудит конфигурейшн менеджера не поможет

я среагировал на ссылку @lorddaedra по единственной причине: для меня багфикс трёхгодичной давности - это не причина дропать продукт полностью, поскольку подобный позорный коммит в истории можно найти у большинства проектов, смотрят же не только на них

наличию shellcode, торчащего наружу, никакой аудит конфигурейшн менеджера не поможет

аудит он поможет потом не получить мгновенно локального рута после взлома любого торчащего наружу сервиса

аудит он поможет потом не получить мгновенно локального рута после взлома любого торчащего наружу сервиса

да, но в описанном кейсе первым рубежом оказался openssh

я среагировал на ссылку @lorddaedra по единственной причине: для меня багфикс трёхгодичной давности - это не причина дропать продукт полностью, поскольку подобный позорный коммит в истории можно найти у большинства проектов, смотрят же не только на них

я там как минимум 4 ссылки привёл, все характиризующие качество кода проекта (кода ЯДРА проекта если быть точным, что там в модклях творится — боже упаси узнать)

который, слову, не безгрешен: https://www.openssh.com/security.html (говоря о сравнении транспортов с ансиблом)

который, слову, не безгрешен: https://www.openssh.com/security.html (говоря о сравнении транспортов с ансиблом)

все грешны, вопрос только в уровне компетенции, openssh я на сервера ставить не боюсь, nginx тоже, а вот salt почему-то не очень охото

я там как минимум 4 ссылки привёл, все характиризующие качество кода проекта (кода ЯДРА проекта если быть точным, что там в модклях творится — боже упаси узнать)

2012 года - про поднятую тему, на которую @lorddaedra показал коммит с фиксом остальные три от 2014, и, я так понял, в итоге получили исправление, в т.ч. благодаря тебе

тут ещё такой момент: в 2012-2013, проект, очевидно, был меньше и ревьювило его гораздо меньшее кол-во людей сейчас даже в модулях хорошо критикуются неудачные решения

все грешны, вопрос только в уровне компетенции, openssh я на сервера ставить не боюсь, nginx тоже, а вот salt почему-то не очень охото

и в личном доверии

2012 года - про поднятую тему, на которую @lorddaedra показал коммит с фиксом остальные три от 2014, и, я так понял, в итоге получили исправление, в т.ч. благодаря тебе

там полтора миллиона строк питоновского кода(ПОТОРА МИЛЛИОНА КАРЛ! в линуксе всего в 10 раз больше со всеми драйверами). Я же поправил 10 =)

so? это же не значит, что он весь говно, потому что ты встретил несколько говняных уже исправленных коммитов

это говно шредингера там может быть говно, а может говна и не быть

надеемся, что сообщество его заметит и пофиксит, чем регулярно и занимается, если находит

лол - админ оптимист =)))

"hope is the best strategy" (c)

ок, личностные поехали =)

"hope is the best strategy" (c)

ну, я такого не говорил

надеемся, что сообщество его заметит и пофиксит, чем регулярно и занимается, если находит

"надеемся, что сообщество его заметит и пофиксит"

ну кмон, ты же не бежишь аудитить весь openssh прежде чем им пользоваться

ты руководствуешься кучей факторов при принятии решения, которые формируют твоё субъективное доверие, в т.ч. на основе чужого субъективного доверия

не идёт речи о том, какой тул зе бест, говна везде навалом

если архитектура такова, что в твой салт можно зайти с порога, то да, можно поразмыслить, как снизить импакт в случае катастрофы

Айпад на 1.5 ггц быстрее более чем в 2 раза чем квалком на 2 ггц

Как так то

вяло набросил

Ну так ответь по сучеству

скорость уже не только частотой определяется же

Капитан? Вы с нами ? Отлично.

У обоих арм64. И что там эппл накрутили....

а что ты еще хотел в таком вопросе ?

Подробностей што конкретно накрутили в эппл чтобы быстро было

ага в девопс чате, самое-то место

норм

А в каком чяте надо ?

у сяоми, как я помню режим энергосбережения стоит

по умолчанию

у сяоми, как я помню режим энергосбережения стоит

Как проверить/отключить ?