@pro_ansible - страница 134

Denis 災 nobody

ок, работай от юзера work

а ты часто работаешь от одного юзера, а музон от другого?

Denis 災 nobody

у меня даже музон так не послушать

Max

я начнём с того что не лазию по порносайтам и вообще не видел что бы ШИФРОВАЛЬЩИКОМ заражили ноут на линуксе

Albert

а ты часто работаешь от одного юзера, а музон от другого?

Хотя я так не работаю. Но mpd на помощь

Max

а на случай говна у меня в шкафу стоит неттоп со своим ключом и копией конфига, так что иф чо ssh В домик и погнали

Denis 災 nobody

я начнём с того что не лазию по порносайтам и вообще не видел что бы ШИФРОВАЛЬЩИКОМ заражили ноут на линуксе

не хочу пугать, но некоторые админы лазают. А у некоторых на ноуте вообще ВИНДА

Max

тогда зачем они админят линукс?

Denis 災 nobody

а есть целая каста вин-админов..

Denis 災 nobody

тогда зачем они админят линукс?

универсалы

Max

это понятно

Max

ужас

Alf 🙀

я ворвусь, возможно, в середине темы, но чем гит не подходит для хранения ключей? ну а помимо шифровальшика может диск грохнуться, например

Max

не ломай мне мир

Denis 災 nobody

у меня дома например винда )) Но потому, что игры таки под винду точат

Denis 災 nobody

а на работе минт

Max

я ворвусь, возможно, в середине темы, но чем гит не подходит для хранения ключей? ну а помимо шифровальшика может диск грохнуться, например

ок, IPMI У сервера всегда есть

Denis 災 nobody

я ворвусь, возможно, в середине темы, но чем гит не подходит для хранения ключей? ну а помимо шифровальшика может диск грохнуться, например

тычооо.. &quot;тру админы так не делают, вдруг что!&quot; ))

Alf 🙀

ок, IPMI У сервера всегда есть

на админском лаптопе?

Alf 🙀

тычооо.. &quot;тру админы так не делают, вдруг что!&quot; ))

не делают шифрованный киипасс? и не хранят это в гите?

Max

при чём тут админский лептоп?

Denis 災 nobody

не делают шифрованный киипасс? и не хранят это в гите?

в гите?

Max

вы чо сервера без доступа к самим серверам кроме ssh держите?

Denis 災 nobody

а, хранить блоб?

Andrey

я ворвусь, возможно, в середине темы, но чем гит не подходит для хранения ключей? ну а помимо шифровальшика может диск грохнуться, например

тем что надо где-то хранить ключ на доступ в гит

Denis 災 nobody

security by obscurity?

Alf 🙀

тем что надо где-то хранить ключ на доступ в гит

selhosted git?

Denis 災 nobody

но кому-то вполне вариант

Andrey

а чем это отличается от просто ключа на файловой системе?

Denis 災 nobody

selhosted git?

...и потерять всё

Albert

selhosted git?

И на этот же гит, своим же ключем, которого может вдруг не быть?

Alf 🙀

в гите?

а почему нет?

Denis 災 nobody

Со временем приходит понимание, что хранить в 1 месте - плохая идея. Ключи, бэкапы, ценные данные...

Alf 🙀

хм окей. принято.

Alf 🙀

спасибо

Denis 災 nobody

кража, пожар, наводнение, &quot;упс уронил&quot; и нет данных

R

не делают шифрованный киипасс? и не хранят это в гите?

Зачем хранить кипас в гите? Он сам историю правок ведёт. Нужны только бекапы

Max

Ух

Alf 🙀

Зачем хранить кипас в гите? Он сам историю правок ведёт. Нужны только бекапы

базу кипаса

R

он в базе своей хранит все правки

R

по умолчанию

Alf 🙀

да

Max

Интересно, какова вероятность, что у меня одновременно спиздят все 3 компа

R

так нафига эту базу в гит совать?

Denis 災 nobody

Интересно, какова вероятность, что у меня одновременно спиздят все 3 компа

в 1 помещении это может замечательно сделать пожар например

Max

Я вот больше за гит боюсь который локально на них есть чем за ssh ключи

Alf 🙀

так нафига эту базу в гит совать?

чтобы можно было забрать с другой машины, например

Max

в 1 помещении это может замечательно сделать пожар например

Ок, пропишем с другой учётки мне новый ключ

Alf 🙀

если у вас на этой диск неожиданно того

Denis 災 nobody

в любом случае, только дурак будет думать что &quot;у меня есть ключ, поэтому его никто не получит&quot;. Всегда надо предполагать утерю и компроментацию, в том числе не зная этого. Поэтому 2-факторка даже с ключом - параноикам обязательна. А можно 3+ факторка

R

так дропбокс и ownCloud же есть?

Max

Бля XD

Denis 災 nobody

Ок, пропишем с другой учётки мне новый ключ

а все учетки тю-тю.

Max

Да не может этого быть

Denis 災 nobody

и надо ехать к консольке и логиниться локально )

Denis 災 nobody

а она залочена..

Max

Ipmi мне в помощь

Denis 災 nobody

консолька залочена

Max

Как

Max

Чём

Max

Почему

Max

Ааааа

Denis 災 nobody

все без паролей )

Denis 災 nobody

с залоченными паролями

Denis 災 nobody

да, есть сингл мод

Max

Я кажется писал про пароль для судо, нет?

Denis 災 nobody

в общем, тут уже непонятный флейм.

Max

Или вы разницы не видите между паролем пользователя и sudo

Max

Есть такая йоба /etc/sudoers.d/

Max

Шо бы не вводить этот клятый пароль при каждом походе на сервер

R

если уведут ключ - уведут сервер. А так надо и ключ и пароль увести, а они в разных местах торчат

Max

Ну я бы посмотрел

Alex Sharov

Просто предположу, что sudo выполняется не непосредственно при вызове systemctl, а при вызове сформированного ансиблом скрипта sudo /tmp/.... А на это дело sudo не настроен. Как быстрый хак я бы использовал shell: 'sudo systemctl docker restart', но это заведомо хреновое решение.

хреновое, к тому же не работающее

Alex Sharov

выводит ровно тоже самое

Denis 災 nobody

выводит ровно тоже самое

полные пути пиши

Denis 災 nobody

в судоерс и при запуске

Denis 災 nobody

из консоли такая же команда должна отрабатывать без запроса

Denis 災 nobody

а, еще надо requiretty убирать или наоборот возвращать

Denis 災 nobody

https://alexeyantonov.wordpress.com/2010/10/12/sudo-%D0%B1%D0%B5%D0%B7-%D1%82%D0%B5%D1%80%D0%BC%D0%B8%D0%BD%D0%B0%D0%BB%D0%B0/

Yuri

requiretty - оно, по большому счету, для pipeline критично. Если pipeline выключен - можно не делать requiretty. Вроде так

Yuri

Хотя, может быть и на ansible_become_pass влияет