А в etc много паролей?

А в etc много паролей?

Дохрена, вообще-то)

хз, я не в курсе )

Ок. Локальную базу пользователей?

Отдельный юзер под это у нас для AWX и админы под своей учеткой + sudo

так этож тоже самое что и дать root учетку)

вы о какой модели вообще говорите, мы же о кластерах щас? Зачем там пароли? )

и юзера

так этож тоже самое что и дать root учетку)

Многим просто так спокойнее))

В смысле?

каждый пользователь имеет пользователя своего

и юзера

Не нужны? Ок

каждый пользователь имеет пользователя своего

Ну, это само собой. Но кроме этого, управляющие тачки бегают через root.

Многим просто так спокойнее))

так вопрос не в спокойствии а в реальной необходимости так делать) Театр безопасности нам не нужен

каждый пользователь имеет пользователя своего

рекурсия пользователей?))

рекурсия пользователей?))

Свою учетку

рекурсия пользователей?))

есть разраб oleg, создаю пользователя на машине oleg и кидаю туда его публичный ключ

типа один человек, один пользователь в системе

иии

во первых для чего Олегу нужен доступ в /bin/bash?

типа один человек, один пользователь в системе

вопрос только зачем это надо, какой профит от этого, если везде sudo разрешен)

так вопрос не в спокойствии а в реальной необходимости так делать) Театр безопасности нам не нужен

Да у меня вообще уже больше 10 лет постоянно открыта рутовая консоль))) Ну, вот не вижу я проблем. Все проблемы надуманы. Вроде "защита от дурака" (чтобы нечаянно не дернуть какую-то команду в рутовом окне). Ну так и на автобан можно выбежать)

вопрос только зачем это надо, какой профит от этого, если везде sudo разрешен)

Нет. У тех пользователей либо нет судо, либо он очень ограничен.

во первых для чего Олегу нужен доступ в /bin/bash?

Чтобы на сервер зайти

зачем )

нет никакой UNIX философии, реализовывай все что считаешь приемлемым )

С вами создатели юникс не согласны

зачем )

За тем за чем и все это делают

С вами создатели юникс не согласны

+

Alexander (1) увеличил репутацию Iurii Medvedev (1)

физических серверов может быть 1000, с 20-30 нодами внутри, чо Олегу нужно в каждый заходить?

физических серверов может быть 1000, с 20-30 нодами внутри, чо Олегу нужно в каждый заходить?

Да хоть 1000000 может и зайти

Олегу не нужен ssh и /bin/bash

если Олег не админ

Олегу не нужен ssh и /bin/bash

Это не так

его работа - коммиттить в локальный NFS ) а там уже code review и тд

если Олег не админ

Олег DevOps ?))

если Олег не админ

??

Олегу не нужен ssh и /bin/bash

В некоторых случаях нужен в некоторых нет

Олег может быть кем угодно

Хоть оператором. Хоть разрабом

всем разрабам и операторам - по SSH хосту!

Олегу может привычнее работать с консолью

во первых для чего Олегу нужен доступ в /bin/bash?

чтоб логи читать и приложение дебажить например

чтоб логи читать и приложение дебажить например

+

это точно девопс чат? ))))

syslog?

Я уже реально переживаю за Олега :)

Олега уже не спасти

это точно девопс чат? ))))

А это запрещает логиниться на сервер?

syslog?

можно итак, но дебажить приложение как ты будешь?

Alexander (1) увеличил репутацию Alexandr Vladimirovich (1)

А это запрещает логиниться на сервер?

зачем )

смысл

чтоб логи читать и приложение дебажить например

ELK для такого

Выше написали

можно итак, но дебажить приложение как ты будешь?

в девелопмент ветке?

ELK для такого

Это как один из вариантов

вернее в девелопмент кластере?

А если Олегу хватает 1 сервера?

syslog?

не все сразу, если стартап , то не все компании сразу и логирование настраивают с метриками бизнесовыми наперевес

ну с этого и надо было начинать )

а вы все "нельзя", "только так" и тд

ELK для такого

ну почитал ты логи, что дальше? Дебаг заключается не только в чтении логов

ну с этого и надо было начинать )

С чего? Что не 10000 серверов и не Гугл?

я думал тут народец то больше по оркестрации ))))

руками на инте поработать тоже приходится

можно итак, но дебажить приложение как ты будешь?

Блин, ну тут туча проблем. Почему логи размазаны по системе, что только от рута их нужно доставать, чтобы прочитать. Почему они не пишутся в какой-нибудь ELK. Кто такой Олег, что он вообще лазит на серваки? Советую нагуглить hashicorp vault

руками на инте поработать тоже приходится

Это зло

я думал тут народец то больше по оркестрации ))))

Ну оркестрация. Пришел Алерт место закончилось

если совсем нужно дебажить - так поставить локально

у Олега

я думал тут народец то больше по оркестрации ))))

Зависит строго от проекта и иногда прогерам нужен доступ на серверы

Зависит строго от проекта и иногда прогерам нужен доступ на серверы

не припомню ни одного кейса чтобы я давал какому то прогеру шелльный доступ вообще куда либо

Зависит строго от проекта и иногда прогерам нужен доступ на серверы

У нас на дев есть разрабы

Блин, ну тут туча проблем. Почему логи размазаны по системе, что только от рута их нужно доставать, чтобы прочитать. Почему они не пишутся в какой-нибудь ELK. Кто такой Олег, что он вообще лазит на серваки? Советую нагуглить hashicorp vault

не только от рута. можно конечно в sudoers прописать доступ до логов или с acl заморочиться

На куа есть куа

не припомню ни одного кейса чтобы я давал какому то прогеру шелльный доступ вообще куда либо

Дебаг андроид или айос эмулятора

Блин, ну тут туча проблем. Почему логи размазаны по системе, что только от рута их нужно доставать, чтобы прочитать. Почему они не пишутся в какой-нибудь ELK. Кто такой Олег, что он вообще лазит на серваки? Советую нагуглить hashicorp vault

а vault тут вообще причем?

Это зло

зло, но мир не идеален

не припомню ни одного кейса чтобы я давал какому то прогеру шелльный доступ вообще куда либо

Это из вредности

Дебаг андроид или айос эмулятора

ну андроид не знаю, в ios прямо в xcode в одном месте

Это из вредности

это им не нужно

У нас на дев есть разрабы

На некоторых проектах так же есть у моих разрабов доступ

это им не нужно

Это твое мнение

Имеешь право

ну андроид не знаю, в ios прямо в xcode в одном месте

А если у тебя ферма слейвов

Имеешь право

угу, я типа главный типа архитектор )

На некоторых проектах так же есть у моих разрабов доступ

если разрабы нормальные компетентные специалисты, то не вижу проблем давать доступ до серверов с ИХ приложением

угу, я типа главный типа архитектор )

Архитектор не должен доступы в ссш раздавать

А если у тебя ферма слейвов

хз, не занимаемся

Или запрещать

если разрабы нормальные компетентные специалисты, то не вижу проблем давать доступ до серверов с ИХ приложением

так и даю на те на которые нужны доступы, в группу добавить и все у людей доступ

Архитектор не должен доступы в ссш раздавать

конечно ничего раздавать не нужно, но нужно определять модель информационной безопасности

один хрен разраб больше понимает как работает его приложение и сможет помочь решить проблему

конечно ничего раздавать не нужно, но нужно определять модель информационной безопасности

Архитектор?

Про ссш?

На дев серверы?

/stat@combot

combot.org/c/-1001030317489

не только