Vladimir
А зачем ? :)
Vladimir
Ну открыть доступ к пользователю рут пускай там и даже если только по серту, потеря твоего ключа это беда же
Vladimir
Про что я и написал
Vladimir
Ну вижу смысла оставлять еще 1 потенциальную опасность
Vladimir
Ну он сможет зайти как пользователь, а пароль sudo он знать не будет
Vladimir
И будет он там как пользователь
Vladimir
А ваулт тут причем ?
manefesto
поэтому только ручками на хосте
Vadim
passwordless sudo же для привелегированных животных
Vladimir
Я говорю что если у тебя украли ключ от пользователя с судо он не сможет сильно все сломать
manefesto
ваще есть vault
manefesto
но я его не использую
Vladimir
Ваулт тут вообще про другое
manefesto
нууу
manefesto
я тоже его крутил
manefesto
норма
manefesto
все рекомендую
manefesto
=)
manefesto
там есть чоколат
manefesto
только я не понял как он через прокси работает
manefesto
точнее не работает
manefesto
повершелл
manefesto
оно такое
manefesto
я его не понимаю
Vladimir
Еще раз, если ты ходишь на сервер рутом потеря ключа = потеря всех твоих хостов, ибо он рутом сможет ходить по этому сертификату, а потеря ключа от пользователя с правами судо, ничего ему не даст сильно сломать. Ибо он не будет знать пароль от юзера который запрашивает sudo\passwd
Vladimir
А плейбуки использовать с опцией -K
manefesto
manefesto
а, ну это да
manefesto
но, я в awx его прописал
Vladimir
Ну просто зачем так делать самому, это как бы не очень хорошо
Vadim
параноидальная параноя
если потерял ключ от рута, то даже не узнаешь кто накосячил. А так хотя бы будешь знать имя юзера
manefesto
есть хосты где я хочу под рутом, есть где под юзером через sudo
manefesto
пофиг
Vladimir
Да это то понятно, сервера твои и дело по сути тоже твое, но другие админы будут на тебя смотреть косо :) Просто нет мотивации делать хуже когда можно сделать все правильно
manefesto
вы же не здороваетесь друг с другом в хирургических перчатках
Vladimir
А это тут причем ? :)
manefesto
ну как
manefesto
безопасность =)
manefesto
вдруг человек за углом теребонькал
Vladimir
Ну закрывать доступ руту это прям начало в безопасности
manefesto
нууу
Vladimir
Ну не сравнивай
manefesto
ключи потерять это уже прям fail
manefesto
можно зайти под пользователем и спереть всё что можно
manefesto
а если есть эксплоит
Vladimir
Да но в там случае он не сломает тебе весь прод к чертям
manefesto
то что тогда ?
manefesto
пиши пропало
manefesto
не уверен
manefesto
ок
manefesto
я спер ключи юзера
manefesto
запустил майнер и класть я хотел на всё
Vladimir
и удалил все файлы в home ? :)
manefesto
мне данные тырить не надо
Vladimir
Мониторингом это легко увидить
manefesto
нууу, увидеть не увидеть, а взлом уже произошел
Vladimir
придет оповещение убрал юзера и все, а так он взял твой рутовый ключ и стырил данные все
Vladimir
Но вред мелкий
Vladimir
Да пусть он загрузит на все, все процессы убить и все, а востанавливать базы данных уже другое
manefesto
надо комплексный подход тогда. белый список ip
manefesto
ну смотри, я глянул конфиг сайта, слил базу, и что ?
Vladimir
Это перебор, отдельный vlan
manefesto
а еще и дропнул базу
manefesto
вариантом море
manefesto
но я прописываю ключи
manefesto
и не всегда от рута
Vladimir
А как ты глянул конфиг сайта ?)
Vladimir
У тебя обычный пользователь ничего смотреть не должен
manefesto
ну для остальных как правило он read
Vladimir
Правильные права ставь на свои приложения
manefesto
как правило
Vladimir
Не как правило а как ты сделаешь при деплое
Vladimir
Ну и если у тебя там 777 то ты сам себе страшный буратино
Vladimir
У меня кстати был случай, один хостер дал мне логин и пасс что бы я сайтик с него забрал, ssh , так там можно было посмотреть и слить все сайтики которые там лежат, но это чисто проблема хостера
Vladimir
а точнее квалификации
Vladimir
Подводя итог, не используйте рута, создавайте пользователья отдельно с судо и паролем, и запускайте плейбуки с ключем -K все :)
Ievgen
@mvairss в контролируемом окружении вполне себе можно работать от рута, su/sudo это не догмат
Ievgen
а есть еще jump (bastion) хосты итд итп
Nklya
Это больше не про контроллируемое окружение, а про здравый смысл
Ievgen
ну здравый смысл подсказывает, что это сильно зависит от окружения/обстоятельств и иногда су судо и куча юзеров это лишний никому не нужный головняк