вот и я тебе о том твержу, но ты подтупливаешь что-то

итак, ты подходишь (в век ip kvm удивительно, но ладно). чтобы войти. нужен пароль. что дальше?

или давай я все усложню. ты админ. ответственность за какой-то сервер по акту возложена на тебя и по тому же акту тобой принята, ты даже расписался. ты уходишь в отпуск. ломаешь ногу или температура от малярии и ты в горячечном бреду или ваще утонул нах, не дай бог. и? что дальше?

что дальше? прям интересно стало..

что дальше? прям интересно стало..

ну как что. во втором случае (горячечный бред), техдиректор (или кто вместо него) вскрывает сейф, достает запечатанный конверт и выдает пароль

в первом - сейф, конверт, но без техдира

а если физического доступа нет к серверу?

то с rescue cd север грузишь и восстанавливаешь доступ через chroot или подкладыванием ключа юзеру. но это всё вообще не об ansible, давай об ansible, отвлекает реально.

то с rescue cd север грузишь и восстанавливаешь доступ через chroot или подкладыванием ключа юзеру. но это всё вообще не об ansible, давай об ansible, отвлекает реально.

А если в каком нибудь амазоне сервер? Это все как раз об ансибл. Стоит ли им рулить учётками или лучше LDAP

или давай я все усложню. ты админ. ответственность за какой-то сервер по акту возложена на тебя и по тому же акту тобой принята, ты даже расписался. ты уходишь в отпуск. ломаешь ногу или температура от малярии и ты в горячечном бреду или ваще утонул нах, не дай бог. и? что дальше?

х-вая фирма, где техдир никогда не при делах, ничего не знает и его хата с краю. И где аварийный вход ровно у 1 сотрудника, который также может уволиться и всё-равно всё менять. И сброс через установочный диск, с шансом что корень еще и зашифрован, а ключ зашифрован паролем ушедшего сотрудника, и теперь только полный формат и восстановление из бэкапа. Который так же может быть зашифрован. Может у военных, где всё под запись, сов секр и все дела, такое и реально, но в обычном мире так делают только ебланы, не предусмотревшие ЧП. Техдир - ключевая фигура, и он всегда должен иметь возмодность взять всё в свои руки и как минимум зайти в систему, чтобы в личном присутствии пустить кого-то еще для восстановления. А несколько таких человек - в том числе чтобы было понятно, КТО входил, когда и как. А не просто некий emergency, который сделал rm -rf /

х-вая фирма, где техдир никогда не при делах, ничего не знает и его хата с краю. И где аварийный вход ровно у 1 сотрудника, который также может уволиться и всё-равно всё менять. И сброс через установочный диск, с шансом что корень еще и зашифрован, а ключ зашифрован паролем ушедшего сотрудника, и теперь только полный формат и восстановление из бэкапа. Который так же может быть зашифрован. Может у военных, где всё под запись, сов секр и все дела, такое и реально, но в обычном мире так делают только ебланы, не предусмотревшие ЧП. Техдир - ключевая фигура, и он всегда должен иметь возмодность взять всё в свои руки и как минимум зайти в систему, чтобы в личном присутствии пустить кого-то еще для восстановления. А несколько таких человек - в том числе чтобы было понятно, КТО входил, когда и как. А не просто некий emergency, который сделал rm -rf /

ты так ничего и не понял. ну ладно

ну и забей тогда

"Техдир - ключевая фигура, и он всегда должен иметь возмодность взять всё в свои руки и как минимум зайти в систему, чтобы в личном присутствии пустить кого-то еще для восстановления." открыл сейф, вскрыл конверт, в конверте пароль. хоть сам зашел, хоть кому-то дал. кто входил? в журнале записано. если вскрыли конверт и не расписались, значит бордель, а не лавка, сорян

более того, в такой процедуре конверт можно вскрыть вообще без техдира.

или вскрыть без него, но с его ведома (по телефону разрешил и продиктовал код сейфа)

ок. Дальше что? Пароль уже "засвечен"

засветили, сменили. новый конверт

строго в рамках стандартного процесса расследования инцидента, награждения непричастных и наказания невиновных :)

если пароль понадобился, значит толковище в любом случае будет и вообще надо запускать процесс, в котором генерация нового пароля и запечатывание нового конверта будет самым малоебущим пунктом

cпасибо за предложение но нам ldap не подходит

это почему?

Эт точно, заколебешься отписываться, почему и как довел все до ручки.

согласен что ldap. но иногда есть требование что ходить только ключами и никакими не паролями.

ldap+pki+sssd

Эт точно, заколебешься отписываться, почему и как довел все до ручки.

шаришь. а вот кстати когда emergency паролей будет десять, и они не в сейфах, а в голове у десяти людей, то потом обычно и ищут, кто "по-быстренькому вошел и все починил". из десятерых, ну. пытаясь скрыть этот факт :)

цм не даст такое сделать.

но это мы все про большие...

где тех дир вообще знает что такое сервер.

шаришь. а вот кстати когда emergency паролей будет десять, и они не в сейфах, а в голове у десяти людей, то потом обычно и ищут, кто "по-быстренькому вошел и все починил". из десятерых, ну. пытаясь скрыть этот факт :)

Вася, который уволился 3 года назад, понятно. =)

ведь бывает что тех дир даже сервера не видел уже лет 10. он уравляет "по показателям"

но это мы все про большие...

что значит большие? у нас например в ISP было сорок человек штата, включая бухгалтерию и кабельных монтеров. а бюрократия была вот такая

это значит у кого то в голове это все было

и была _причина_ так делать

ведь бывает что тех дир даже сервера не видел уже лет 10. он уравляет "по показателям"

Хоть техдир, хоть дир, хоть безопасник... Задача выдать пасс в случае пиздеца, не требует знания серверов.

если настолько большая, что техдир "управляет по показателям", значит вскрывать сейф и выдавать emerg пароль будет не техдир, а кто-то другой. вот и всё

это да...

непосредственный начальник админов, скажем так

ну я понял. роль такая

конкретно у нас конвертов было два. лежали в двух сейфах. у "главного инженера" (ну считай CTO) и у самого гендира.

ну опять же.... это комы то было нужно.

начальник админов доступа к конвертам не имел. скрыть аварию, потребовавшую такого вмешательства не мог.

и кто то решил тем самым какую то проблему

решать проблему аварии конвертами - оверкил.

публичная отчетность от центра мониторинга - лучшее решение.

не ну так это известная фигня. люди и конторы ведь делятся на две категории. те кто бэкапы не делают, и те, кто уже делают

конверты решают не проблему сокрытия :)

более того, сразу видно, что ты не руководил :))))

:) нее. я вообще не руководитель... и резюме мое не смотри :)

потому что даже в этом случае все может быть и просто и сложно. представим, что доступ к конвертам есть у начальника админов. случился факап, обосрались, начальнику получать пиздюлей не хочется, в особо тяжелом случае "и пацанов подставлять тоже".

он дает пароль, все чинят. в понедельник гендир или главный инженер задают ему вопрос "а чо там в мониторинге даунтайм был?", а он такой "а, да там мы ядро накатывали, все по плану"

:) публичность лучшая политика.

утрирую

лучшая политика в данном случае - гора объяснительных :) вон люди выше шарят :))))

гора объяснительных это само собой.

только это не конвертами решается же...

с публичностью тоже все не так просто

а плановыми изменениями. и монитоингом. который отвечает на вопрос был ли ппр или нет

например, загрузка core оверселленым трафиком - это точно то, что должна знать каждая собака в лавке?

включая пресс-секретаря, ну :)))

средняя загрузка аплинка - публичная информация внтури конторы.

вот нет

вот да. много раз спорили.

телематике (в отличие от каналий) этого знать не только незачем, но и вредно

прозрачность и резервирование ведет к соблюдению sla

но всегда есть альтернативы у прозрачности да.

ведь когда кто то хочет мутить воду - он будет. и найдет для этого пути.

все эти конверты могут решать вопрос не скрытия косяков а действительно вопрос безопасности. и его он решает с большим гемороем - честно вот.

я бы постарался избежать такой бюрократии...

а ну то есть все знают пароли от всех серверов :) никакого бюрократии, все очень удобно :)

пароль qqq

Дим, ты утрируешь.

быть может vault с его токенами на доступ к ключам выход.

но я только краем глаза видел что оно такое есть

токены - могут быть аналогом конвертов

у нас была придумана схема самоограничений. когда по умолчанию доступ предоставляется на show. при необходимости делается запрос на изенения. он тащит за собой выдачу одного из двух уровней доступа на железяке. либо работа с клиентами либо с железом. на мремя работа + немного времени после. если нужен аварийный доступ он запрашивается через веб формочку.

но это для активки...

для серверов наверное тоже можно что то такое намутить...

видимо тут тоже ldap. ибо там эт было завязано на radius

да просто все: для штатного входа LDAP. для нештатного и без сети - одна учетка, "пароль от которой кто-то знает". кто и как знает - по большому счета не важно. для этого чатика неважно уж точно :)

да, лучше скиньте рецепты на заведение и изменение лдап и системного юзера.. )

freeipa выглядит хорошо

@cadmi ты им про бункер ещё расскажи

для полноты жирноты )

для полноты жирноты )

так а где по-твоему репетировали ежемесячное проворачивание генератора и всего такого :-P

Я имею в виду, к чему дело шло и как крыша текла ;)

Я, кстати, следующий вопрос имею: группень по Salt'у где? @cadmi ты там есть уже? )

нет, меня там точно нет.

Ппр дгу/бгу обязателен

Так что тут нет жира

Сашок, ты типичный пример женского мышления

Ты детали знаешь? — Нет. Димас и не рассказывал ещё. Какие могут быть умозаключения? )

да и не буду рассказывать. к работе не относится, а полосканий в публичных чатах личных заёбов например того же Морозова из Утренника я что-то не припомню :)))

Как токо узнаю за бункер — обязательно %-))

А можно как-то узнать из плейбука, в какой группе или группах находится в инвентори текущий хост?

По-моему, да

Но хостик может быть в нескольких

ну дак вернуть массив, делов-то

Ну одно дело массив

Другое дело сказать true/false

В общем, можно, вроде