я вот вообще единорога поставил на аву,не мне осуждать :)

я вот вообще единорога поставил на аву,не мне осуждать :)

еле разглядел где там единорог

ну там в данном конкретном случае рядом со мной пили какую-то хуету, а у меня просто нет другого фото, потому что я сыч, ок?

Вполне такой милый сыч

P.S. я бы вместо "секреты" писал "ключи"

это именно секреты

еле разглядел где там единорог

он так-то невидимый и \розовый

народ, а кто-нибудь может что-то рассказать про lttng ?

кто-то интересовался Hashicorp Vault-ом. Описал свой опыт, велком - https://habrahabr.ru/post/306812/

?

Есть какая-нибудь имплементация graphite api на C/Go ? использую https://github.com/brutasse/graphite-api - жрет cpu безбожно, graphite-web не предлагать )

народ, а почему в старом говне^Wзаббиксе 2.2.5 при сортировке триггеров вылезают триггеры вполне себе ОК?

даже если фильтруешь Problem only

WTF?!

Про 1.8 ещё спроси

ну гхм...

Про 1.8 ещё спроси

+много.

2.2 можно на 2.4 обновить весьма просто

это ж не тройка

Парни, как правильно работать с таким кейсом с точки зрения безопасности? Есть сервисный хост - там стоят разные обслуживающие сервисы, мониторинг, Kubernetes UI и т.д. Потенциально это может быть подвержено взлому и быть слабым местом в защите. Вижу несколько решений: 1. iptables и ограничение по IP, но тут проблема - у меня и части команды IP динамический. 2. поднять VPN до сервера через промежуточный сервер, но это долго.

SSH по ключам?

или, если нужен веб-интерфейс - https + авторизация по клиенстским сертификатам в nginx

например

VPN

Торчать ssh-м в мир - моветон

Парни, как правильно работать с таким кейсом с точки зрения безопасности? Есть сервисный хост - там стоят разные обслуживающие сервисы, мониторинг, Kubernetes UI и т.д. Потенциально это может быть подвержено взлому и быть слабым местом в защите. Вижу несколько решений: 1. iptables и ограничение по IP, но тут проблема - у меня и части команды IP динамический. 2. поднять VPN до сервера через промежуточный сервер, но это долго.

vpn, конечно же. и это минут 30-60 работы

Торчать ssh-м в мир - моветон

с чего вдруг?

эй

чистяков

мне тут сказали что ELK не для мониторинга

что за хуйня?

Парни, как правильно работать с таким кейсом с точки зрения безопасности? Есть сервисный хост - там стоят разные обслуживающие сервисы, мониторинг, Kubernetes UI и т.д. Потенциально это может быть подвержено взлому и быть слабым местом в защите. Вижу несколько решений: 1. iptables и ограничение по IP, но тут проблема - у меня и части команды IP динамический. 2. поднять VPN до сервера через промежуточный сервер, но это долго.

VPN и отдельные VM, или OpeVZ, не LXC/Docker (плохо подходит если делим для большей безопасности а не для удобства деплоя и разделения сервисов)

*OpenVZ

мне тут сказали что ELK не для мониторинга

ELK - для логов

я думал logstash для логов =(

logstash - это буква L в абревиатуре ELK

а две остальные? эластик и кибана?

д

Парни, как правильно работать с таким кейсом с точки зрения безопасности? Есть сервисный хост - там стоят разные обслуживающие сервисы, мониторинг, Kubernetes UI и т.д. Потенциально это может быть подвержено взлому и быть слабым местом в защите. Вижу несколько решений: 1. iptables и ограничение по IP, но тут проблема - у меня и части команды IP динамический. 2. поднять VPN до сервера через промежуточный сервер, но это долго.

Впн - полчаса-час делов

А чем VPN поднимать?

OpneVPN

Впн - полчаса-час делов

10 минут :) прочитать доку на модуль того же паппета, и выкатить :)

никакого опенвпн ))))

10 минут :) прочитать доку на модуль того же паппета, и выкатить :)

и полчаса разбираться почему оно не работает

гадость ))))

И как сделать так, чтобы VPN заработал при схеме, когда у нас доступ разрешен только с промежуточного сервера?

и полчаса разбираться почему оно не работает

?

И как сделать так, чтобы VPN заработал при схеме, когда у нас доступ разрешен только с промежуточного сервера?

нарисуй топологию сети

тогда и поговорим

Есть сервер А, к нему разрешен доступ только с нескольких адресов, включая сервер B. Сервер B не имеет ограничений и к нему можно подключиться по разрешенным SSH-ключам с любого IP.

На сервере A есть несколько веб-сервисов. Как получить к ним доступ через сервер В?

туннель до сервер В

полагаю, что даже роутинг не придется настраивать

для нищебродов есть ssh port forwarding

и полчаса разбираться почему оно не работает

Да ладно :) паппет модули чаще работают, чем нет. Особенно валидированые

как бы все зависит от того что вы хотите на server B держать

Сервер В - это что-то вроде гейта для доступа.

Торчать ssh-м в мир - моветон

Стотыщ китайцев расстроятся.

для нищебродов есть ssh port forwarding

И через него VPN прокинуть?

нет

гадость ))))

+++

это другая история

ssh port forwarding это типа туннелирование и есть

ERROR: S client not available

один из вариантов

я правда не уверен, что он хорошо работает при больших нагрузках

но для мелких задач подходит.

это раз

два - если у вас хомяков вагон и маленькая тележка - подымаешь любой впн сервер на сервере В

не важно

пптп, л2тп, сстп или что еще

Но доступ должен быть к HTTP и HTTPS

коннектишься к нему

если форвардинг на сервере В настроен

то у тебя пакет дальше прется через сервер В на сервер А

при этом по идее они даже не обязаны быть связаны линком напрямую

или через свитч

вообще могут быть в разных точках мира

но если есть паранойся

что кто-то может перехватить трафик между А и Б, то однозначно что-то мутить между ними

например айписек-ту-айписек

вот

поэтому.

нужно четкое описание того что хотите увидеть

vpn, конечно же. и это минут 30-60 работы

А есть какой-нибудь step-by-step manual?

полно

А есть какой-нибудь step-by-step manual?

вы там совсем уже штоле?

элсо обычно когда люди с такими вопросами начинают переживать о безопасности - получается сервант с дырявым пыхом, кучей sql-инжекций, шеллоком, но зато анально огороженый фаерволом, так что свои же разработчики не могут нормально работать

А есть какой-нибудь step-by-step manual?

google://openvpn quick start

2.2 можно на 2.4 обновить весьма просто

можно, никто не спорит. И даже хочется. Прокси еще обновлять придется, там посложнее. Ну и работы согласовывать

элсо обычно когда люди с такими вопросами начинают переживать о безопасности - получается сервант с дырявым пыхом, кучей sql-инжекций, шеллоком, но зато анально огороженый фаерволом, так что свои же разработчики не могут нормально работать

Что такое shell-lock?

он имел в виду шеллшок

Среднее между Шерлоком и шеллаком