Тут еще очень важен ворос внутренних полиси и процессез

А вот их я в контекст принести не могу

то есть внутренние полиси вам разрешают ходить между девом и продом?

Поэтому обоснование необходимости прям риалтайм дырок остается за кадром.

а о каком-то внешнем банковском аудите вообще речь идет?

то есть внутренние полиси вам разрешают ходить между девом и продом?

В определенных условиях да :(

ну "чисто тест окружение" - это идиллия :)

секьюрити нашим это расскажи

Не, чуваки, я все понимаю. Да, я тоже за жесткое отделение дева и прода

Но в наших реалиях и обозримом будущем этого не будет

Девы хотят дырку -- значит бизнес хочет дырку.

в идеале еще и корп от них тоже надо отделять, а посередке ставить какой-нибудь jumpnet

Поиб должны создавать боль, их для того и нанимают

девы всегда хотят все и отовсюду

наша работа - примирить их мечты с суровой реальностью

В общем Фрося хочет странного, но объяснить свои желания не может

Которая говорит, что компрометация одного сервера не должна означать компрометацию всего окружения

Я бы посоветовал тоннели на уровне сетевого оборудования

в идеале еще и корп от них тоже надо отделять, а посередке ставить какой-нибудь jumpnet

Да, jumpnet это как сейчас. Но коряво, есть машины, на которых и дев, и прод сети

А это неприемлимо

Роутинг и аксесслисты

Ну, да, это одно из решений.

Власть портит людей и превращает в вахтёров, ИМХО.

Власть портит людей и превращает в вахтёров, ИМХО.

With Great Power Comes Great Responsibility

With no power - no responsibility?

Ксенолюбов подвезли

https://habrahabr.ru/post/219295/

Власть портит людей и превращает в вахтёров, ИМХО.

В вахтеров людей превращает не власть, а сочетание комплексов неполноценности с небольшой властью Ну и что, что ты глава группы исследователей мирового уровня, я в гардеробе работаю? Не дам тебе пальто без номерка!

Иногда так бывает, что

даешь ты людям пальто без номерка, даешь

А тебя взяли и наказали за это

?

:D

всем привет, кто умеет nginx + letsencrypt?

или это к сисадминами?

Все уметь

девопс новый сисадмин.

ок

Не работает?

всем привет, кто умеет nginx + letsencrypt?

Я умею. 2000 сделаю

всем привет, кто умеет nginx + letsencrypt?

стопицот хаутушек в гугле.

бля

умею, настроил

более тонкий вопрос

Я умею. 2000 сделаю

Полехче, в очередь

более тонкий вопрос

М?

стопицот хаутушек в гугле.

Он достаточно кривой, там шаг в сторону и хаутушками зад можно вытереть

ну так сразу и задавай конкретные вопросы.

Полехче, в очередь

Так, Ксению позову!!!!

Так, Ксению позову!!!!

Это удар ниже пояса(

Дано: работающий letsencrypt под отдельным юзером certonly nginx Необходимо: автообновлять сертификаты по крону без требования пароль юзера и выключения nginx

Это удар ниже пояса(

Но выше колена?

Дано: работающий letsencrypt под отдельным юзером certonly nginx Необходимо: автообновлять сертификаты по крону без требования пароль юзера и выключения nginx

Это наверное вопрос по certbot?

Это наверное вопрос по certbot?

ну да у мну бунта 16 установил через apt install letsencrypt

nginx reload там же

nginx reload там же

он говорит, что кто-то захавал 443 порт и не обновляет

ну так посмотри, кто захавал: ss -tlnp 'sport == :443'

nginx

ну так посмотри, кто захавал: ss -tlnp 'sport == :443'

это аналог netstat -tulpan?

ты релоад от какого юзера делаешь?

ERROR: S client not available

а чего не через systemctl reload nginx.service или как-то так?

это аналог netstat -tulpan?

да. ss - socket stat.

ты релоад от какого юзера делаешь?

я релоад не делаю

я пытаюсь сначала сделать letsencrypt renew

он пытается занять 443 порт, который занят nginx'ом, и падает

вот поэтому сюда и спрашиваю

документацию почитать надобно

можно носом ткнуть в конкретный раздел доки?

well known url надобно узнать что такое

certbot-auto certonly -a webroot —webroot-path=/usr/share/nginx/html -d example.com -d www.example.com

при первой генерации укажи

и location ~ /.well-known { allow all; }

а если уже есть много сертификатов?

в конфиг nginx

certbot-auto certonly -a webroot —webroot-path=/usr/share/nginx/html -d example.com -d www.example.com

а зачем webroot? можно указать —nginx

справедливо

@sergeysova ты еще и девопс?)

а зачем webroot? можно указать —nginx

я не хочу чтобы он генерил конфиги для нжинкса

@sergeysova ты еще и девопс?)

я девелопер вообще

я не хочу чтобы он генерил конфиги для нжинкса

Пусть генерит что хочет, у меня nginx берёт мой конфиг и с него читает

и ему похуй, что там генерит lets

пойду мучать субдомены

я так понимаю, юзер из которого всё происходит должен иметь права на запись /usr/share/nginx

У меня nginx из каропки, так что хз,.. возможно да

сейчас проверю

Я хз честно говоря куда он пишет при указании —nginx

Надо в доке глянуть

так при генерации у меня есть конфиг для домена я запускаю certonly с параметром —webroot для /usr/share/nginx/html и он сгенерит нормально всё?

А с какой целью интересуетесь?

?