пасс

поэтому только ручками на хосте

passwordless sudo же для привелегированных животных

Я говорю что если у тебя украли ключ от пользователя с судо он не сможет сильно все сломать

ваще есть vault

но я его не использую

Ваулт тут вообще про другое

сегодня от нехер делать покрутил шиндовс с ансибл ом

нууу

я тоже его крутил

норма

все рекомендую

=)

ну прикольно, ну серваки/десктопы

там есть чоколат

только я не понял как он через прокси работает

точнее не работает

угу и повершелл

повершелл

оно такое

я его не понимаю

Еще раз, если ты ходишь на сервер рутом потеря ключа = потеря всех твоих хостов, ибо он рутом сможет ходить по этому сертификату, а потеря ключа от пользователя с правами судо, ничего ему не даст сильно сломать. Ибо он не будет знать пароль от юзера который запрашивает sudo\passwd

nuget встроенный в 10/2016

А плейбуки использовать с опцией -K

Еще раз, если ты ходишь на сервер рутом потеря ключа = потеря всех твоих хостов, ибо он рутом сможет ходить по этому сертификату, а потеря ключа от пользователя с правами судо, ничего ему не даст сильно сломать. Ибо он не будет знать пароль от юзера который запрашивает sudo\passwd

параноидальная параноя

а, ну это да

все верно

но, я в awx его прописал

как нить буду нормально уже делать

Ну просто зачем так делать самому, это как бы не очень хорошо

параноидальная параноя

если потерял ключ от рута, то даже не узнаешь кто накосячил. А так хотя бы будешь знать имя юзера

отдельный юзер, все хорошо

есть хосты где я хочу под рутом, есть где под юзером через sudo

пофиг

Да это то понятно, сервера твои и дело по сути тоже твое, но другие админы будут на тебя смотреть косо :) Просто нет мотивации делать хуже когда можно сделать все правильно

вы же не здороваетесь друг с другом в хирургических перчатках

А это тут причем ? :)

ну как

безопасность =)

вдруг человек за углом теребонькал

Ну закрывать доступ руту это прям начало в безопасности

нууу

Ну не сравнивай

ключи потерять это уже прям fail

можно зайти под пользователем и спереть всё что можно

а если есть эксплоит

Да но в там случае он не сломает тебе весь прод к чертям

то что тогда ?

пиши пропало

не уверен

ок

я спер ключи юзера

запустил майнер и класть я хотел на всё

и удалил все файлы в home ? :)

мне данные тырить не надо

Мониторингом это легко увидить

нууу, увидеть не увидеть, а взлом уже произошел

придет оповещение убрал юзера и все, а так он взял твой рутовый ключ и стырил данные все

Но вред мелкий

Да пусть он загрузит на все, все процессы убить и все, а востанавливать базы данных уже другое

надо комплексный подход тогда. белый список ip

ну смотри, я глянул конфиг сайта, слил базу, и что ?

Это перебор, отдельный vlan

а еще и дропнул базу

вариантом море

но я прописываю ключи

и не всегда от рута

ERROR: S client not available

А как ты глянул конфиг сайта ?)

У тебя обычный пользователь ничего смотреть не должен

ну для остальных как правило он read

Правильные права ставь на свои приложения

как правило

Не как правило а как ты сделаешь при деплое

Ну и если у тебя там 777 то ты сам себе страшный буратино

У меня кстати был случай, один хостер дал мне логин и пасс что бы я сайтик с него забрал, ssh , так там можно было посмотреть и слить все сайтики которые там лежат, но это чисто проблема хостера

а точнее квалификации

Подводя итог, не используйте рута, создавайте пользователья отдельно с судо и паролем, и запускайте плейбуки с ключем -K все :)

@mvairss в контролируемом окружении вполне себе можно работать от рута, su/sudo это не догмат

а есть еще jump (bastion) хосты итд итп

Это больше не про контроллируемое окружение, а про здравый смысл

ну здравый смысл подсказывает, что это сильно зависит от окружения/обстоятельств и иногда су судо и куча юзеров это лишний никому не нужный головняк

Да почти всегда это просто, если не придумывать как это усложнить и где это реально будет оправдано это меньше процента

головняк это дефолты менять где рут запрещен из коробки

и придумывать кейсы что бы использование рута было оправдано

Кейс простой, отсутствие оверхеда на менеджмент этого всего

простите а в чем оверхед?

Если в этом нет необходимости, а огорожение выполнено как то ещё

А не приходила такая мысль, что логин рута не от хорошей жизни начали блокировать в sshd?

Ну ясен перец не от хорошей

Порог вхождения упал так сказать

Да нет тут оверхеда это просто и безопасно

Вот и заблокировали, чтобы не ныли потом

и мало требует усилий

да просто в мир торчали сервера с открытым рутом и все

как и другие приложения

но мы же не говорим про людей которые далекие от ит и в принципе его бложек на 2 человека в принципе пофик на безопасность

ему удобно рутом ходить и копипастить что то из интернета

не ходить рутом это прям дефолт и не усложняет он ничего но дает безопасность

я просто не понимаю где тут оверхед