добавить в ssh ключ -oStrictHostKeyChecking=no

- ssh -oStrictHostKeyChecking=no -T root@10.44.2.154 "mkdir /home/LALALA"

хм, сек

- ssh -oStrictHostKeyChecking=no -T root@10.44.2.154 "mkdir /home/LALALA"

ssh -oStrictHostKeyChecking=no -T root@10.44.2.154 "mkdir /home/LALALA" Permission denied, please try again. Permission denied, please try again. Permission denied (publickey,password).

тю, не пойму как могут быть подобное если по факту юзер может авторизироваться

ssh -oStrictHostKeyChecking=no -T root@10.44.2.154 "mkdir /home/LALALA" Permission denied, please try again. Permission denied, please try again. Permission denied (publickey,password).

вот это, похоже, не из под раннера выополняется

а разве джоба запускается по умолчанию не из-под юзера gitlab-runner?O_O

ssh -oStrictHostKeyChecking=no -T root@10.44.2.154 "mkdir /home/LALALA" Permission denied, please try again. Permission denied, please try again. Permission denied (publickey,password).

runner executor какой у тебя стоит и как настроен

runner executor какой у тебя стоит и как настроен

check_interval = 0 [[runners]] name = "ssh-server" url = "http://test-gitlab.com.ua/" token = "282605c849a60a0abd15096a953db0" executor = "ssh" [runners.ssh] user = "root" password = "11111" host = "10.44.2.154" port = "22" identity_file = "/home/gitlab-runner/.ssh/id_rsa" [runners.cache]

Permission denied, please try again. Permission denied, please try again. Permission denied (publickey,password). вот это говорит о том, что подключение выполняется с неверными/отсутствующими ключами

Permission denied, please try again. Permission denied, please try again. Permission denied (publickey,password). вот это говорит о том, что подключение выполняется с неверными/отсутствующими ключами

понимаю, только вот не понятно как это возможно чтоб оно не от дефолтного юзера запускалось?

runner executor какой у тебя стоит и как настроен

раннер 11.0.1

check_interval = 0 [[runners]] name = "ssh-server" url = "http://test-gitlab.com.ua/" token = "282605c849a60a0abd15096a953db0" executor = "ssh" [runners.ssh] user = "root" password = "11111" host = "10.44.2.154" port = "22" identity_file = "/home/gitlab-runner/.ssh/id_rsa" [runners.cache]

ssh

check_interval = 0 [[runners]] name = "ssh-server" url = "http://test-gitlab.com.ua/" token = "282605c849a60a0abd15096a953db0" executor = "ssh" [runners.ssh] user = "root" password = "11111" host = "10.44.2.154" port = "22" identity_file = "/home/gitlab-runner/.ssh/id_rsa" [runners.cache]

ты подключаешься к "10.44.2.154" и пытаешься покдлючится на самого себя?

ты подключаешься к "10.44.2.154" и пытаешься покдлючится на самого себя?

ну 10.44.2.154 это ип удаленного сервака, 10.44.2.153 это ип гитлаба

ты подключаешься к "10.44.2.154" и пытаешься покдлючится на самого себя?

а блин

ты подключаешься к "10.44.2.154" и пытаешься покдлючится на самого себя?

походу понял лол

ты подключаешься к "10.44.2.154" и пытаешься покдлючится на самого себя?

так а блин, там же просто когда регистрация идет раннера нужно ведь ип удаленки прописывать

походу понял лол

у тебя ssh executor настраивается так, что ты раннеру говоришь на какой тачке выполнять команды из .gitlab-ci.yml (очень сильно упростил)

The SSH executor is added for completeness. It's the least supported among all executors. It makes GitLab Runner to connect to some external server and run the builds there.

понял, сек, походу работает

убежусь

ДА!!!

елы палы

огромное вам спасибо!

убрал вот этот вот лишний коннект к серваку

в gitlab-ci

капец

убрал вот этот вот лишний коннект к серваку

на самом деле логичнее будет executor сменить и коннектится из .gitlab-ci.yml

на самом деле логичнее будет executor сменить и коннектится из .gitlab-ci.yml

в плане сменить?) на что?)

в плане сменить?) на что?)

если нужна изоляция то docker, если нет (плохо) то shell

если нужна изоляция то docker, если нет (плохо) то shell

ааа) ну докер у нас пока не юзается во всю, до 10 контейнеров всего лишь, и то не знаю как они появились до моего прихода в компанию, в основном всё на вебхуках(shell комманды) в jenkins

но вот стало интересно запилить в gitlab

раз уж нтивная штука есть для таких вещей

С праздником!

добавить в ssh ключ -oStrictHostKeyChecking=no

За такие советы по рукм бить! Ключ хоста добавь или в днс с dnssec держи отпечатки ключей хостов.

За такие советы по рукм бить! Ключ хоста добавь или в днс с dnssec держи отпечатки ключей хостов.

А у тебя DNS Sec внедрен?:)

Я ключи хостов добавляю. Чтобы внедрить воюю с другим отделом.

ааа) ну докер у нас пока не юзается во всю, до 10 контейнеров всего лишь, и то не знаю как они появились до моего прихода в компанию, в основном всё на вебхуках(shell комманды) в jenkins

если делать shell то внимательнее с парвами, можно такого наворотить из gitalb ci...

А на прошлой работе я начал внедрение и для пары регионов оно работало

если делать shell то внимательнее с парвами, можно такого наворотить из gitalb ci...

права которые будут применяться на удаленном серваке файлам?

А на прошлой работе я начал внедрение и для пары регионов оно работало

если да, то это учитываем, само собой

А на прошлой работе я начал внедрение и для пары регионов оно работало

ой, мисклик

Надо на хабр статью запилить, а то бесят такие советы, про отключение проверок для снижения безопасности из-за криворукости.

Посоны, въебал желаемую зп 140 и поперли звонки от тех кто проебал все сроки, стоит ли рыпаться? Какие зп средние по отрасли?

За такие советы по рукм бить! Ключ хоста добавь или в днс с dnssec держи отпечатки ключей хостов.

Тогда ещё и под рутом не ходить и ip на имена заменить

Да это уже паталогическая параноя

~170 грос она же ~140 на руки. Vjcrdf

~170 грос она же ~140 на руки. Vjcrdf

Ну а что тогда торопыги на мя клюют?

Тогда ещё и под рутом не ходить и ip на имена заменить

Так вот ведь знаете же как делать. Что мешает?

Тогда ещё и под рутом не ходить и ip на имена заменить

Я вот так и делаю.

Полагаю, у тебя серверов не более сотни

Салтом/ансимблом пуляй ключи

За такие советы по рукм бить! Ключ хоста добавь или в днс с dnssec держи отпечатки ключей хостов.

спорно

Полагаю, у тебя серверов не более сотни

https://i.imgur.com/WNcBDCi.png Вот переезжаю с зен на овирт. Осталось 600 виртуалок и 20 гипервизоров. Это дев и тест стенды. В проде куда обильнее.

https://i.imgur.com/WNcBDCi.png Вот переезжаю с зен на овирт. Осталось 600 виртуалок и 20 гипервизоров. Это дев и тест стенды. В проде куда обильнее.

а в чем соль ovirt? а то редко встречаю эту технологию в вакансиях, или чем лучше допустим proxmox?

Полагаю, у тебя серверов не более сотни

Полагаю ты просто ленивый или глупый.

а в чем соль ovirt? а то редко встречаю эту технологию в вакансиях, или чем лучше допустим proxmox?

редхатовское и ближе к облакам чем проксмокс

Полагаю ты просто ленивый или глупый.

Переход на личности? Нее - я ленивый И глупый:)

редхатовское и ближе к облакам чем проксмокс

а, понял, спасиб

Так вот ведь знаете же как делать. Что мешает?

Автору вопроса бы врядли помогло, если бы его отправили читать про безопасность и вообще по всем смежных темам рассказали "как надо".

Автору вопроса бы врядли помогло, если бы его отправили читать про безопасность и вообще по всем смежных темам рассказали "как надо".

Так надо было сказать добавь ключ хоста, а не отключи проверку.

И то и другое делается одинаково по сложности

Как мне надо было, так я и посоветовал.

Мне искренне интересно, вот какой кейс в случае сменившегося отпечатка ключа?

Автору вопроса бы врядли помогло, если бы его отправили читать про безопасность и вообще по всем смежных темам рассказали "как надо".

Да ну, получили софт серт под динукс фсб фстэк - половина функций не работает, фигня эта безопасность и как они получают серты

Так надо было сказать добавь ключ хоста, а не отключи проверку.

в закрытом окружении или если саппорт то почему нет?

Мне искренне интересно, вот какой кейс в случае сменившегося отпечатка ключа?

Поиск митм или ошибки в задаче при столкновении с этим. Но главное остановка задачи, для предотвращения компрометации.

И? Вот реально сценарий, где ты такой ssh lalala.ru, а там злой хакер тебе подменет ответ DNS и ты попадаешь на его сервак и спасает только то, что ты видишь алярм про фингерпринт

в закрытом окружении или если саппорт то почему нет?

Всегда и везде поведение одинаковое должно быть. И в закрытых и в открытых и в сапорте и в проде. Как только добавляешь изменение, на эти изменения найдётся своя хитровывернутая ошибка.

Всегда и везде поведение одинаковое должно быть. И в закрытых и в открытых и в сапорте и в проде. Как только добавляешь изменение, на эти изменения найдётся своя хитровывернутая ошибка.

кто и кому должен?

И? Вот реально сценарий, где ты такой ssh lalala.ru, а там злой хакер тебе подменет ответ DNS и ты попадаешь на его сервак и спасает только то, что ты видишь алярм про фингерпринт

Это вам на defcon за таким.

сидит саппорт. клиент ему тикет открывает и ключ саппорта вкидывает

какой тут митм какое поведение?

а прод стоит и доступ туда через впн или за бастионом или кт там еще сколько ногтей курит

а дев вапще открыт для всех и по кнопке редеплоится

сидит саппорт. клиент ему тикет открывает и ключ саппорта вкидывает

Не вижу здесь в противоречии добавлять ключ хоста или использовать днссек

да добавляй или используй

но это не "должно быть"

Как мне надо было, так я и посоветовал.

Вот и я как решил так и сказал.

да добавляй или используй

сапорт не отвечает за днссек, это добавил админ. Сапорт при первом подключении получит вопрос, добавлять ключ или нет. Но совсем проверку отключать, это моветон.

Ребята а можно в хероку задеплоить node.js скрипт, который будет запускаться только через крон?

сапорт не отвечает за днссек, это добавил админ. Сапорт при первом подключении получит вопрос, добавлять ключ или нет. Но совсем проверку отключать, это моветон.

а саппорту насрать на ключ и он не крутит хосты и днс заказчика

с менеджмент станции зашел шеллом и все

какой там моветон

Ну и зашёл сапорт не туда, сделал не то. Вот тебе и простой в работе, трата средств впустую.

как не туда?

хостней и ип проверил и гут

как не туда?

Руками? А если 1000 хостов?

Ощущение что тут у большинства машин 10 и им на такое пофигу.

Руками? А если 1000 хостов?

Спрашивали на собесе в мастерхосте написать шелл скрипт такой!

На разделе с lxc контейнером куда может место пропасть? df кажет 100G всего, 90 занято, в процентах занято 100%. df -i - только 1% инодов занят. lsof ничего подозрительного не показывает.

Спрашивали на собесе в мастерхосте написать шелл скрипт такой!

Мне кто то говорил что мастерхост отстой. Теперь есть первый аргумент почему.

На разделе с lxc контейнером куда может место пропасть? df кажет 100G всего, 90 занято, в процентах занято 100%. df -i - только 1% инодов занят. lsof ничего подозрительного не показывает.

резерв 5% под рута у ехт фс