о да ну, зачем мне это все. Забот хватает.

Я про то что купят

ок

Организация доступа через ssh может оказаться не такой тривиально задачей, особенно в большой компании. Facebook опубликовал статью о том, как они решают проблему доступов у себя без использования LDAP авторизации. https://code.facebook.com/posts/365787980419535/scalable-and-secure-access-with-ssh/

Организация доступа через ssh может оказаться не такой тривиально задачей, особенно в большой компании. Facebook опубликовал статью о том, как они решают проблему доступов у себя без использования LDAP авторизации. https://code.facebook.com/posts/365787980419535/scalable-and-secure-access-with-ssh/

чет скучно как то )

Организация доступа через ssh может оказаться не такой тривиально задачей, особенно в большой компании. Facebook опубликовал статью о том, как они решают проблему доступов у себя без использования LDAP авторизации. https://code.facebook.com/posts/365787980419535/scalable-and-secure-access-with-ssh/

ДОСТИЖЕНИЕ БЛЯТь! Медаль им выдать надо

А сам то что такую статью не написал в корпоротивном блоге своей компании тогда? :)

Вот да

Я например догадывался, что ssh так умеет, но руки не доходили попробовать

А теперь вот хочется ВНЕДРИТЬ

а что там вкратце?

а что там вкратце?

давайте всем дадим ссш ключи подписанные нашим центром

и разложим только паблик ключ центра в authorized_keys

и еще в ключе закодируем права доступа

итого нет SPOTF в виде LDAP :)

давайте всем дадим ссш ключи подписанные нашим центром

а. это. угу. только там отзыва нет

есть

они говорят что есть

нет

ну или за год чтото поменялось

есть

ман что?

они unique id и revokation листы используют

читай статью

там сказано как

точнее в некоторых местах просто указание что можно и направление в гугл за деталями

Товарищи, извиняюсь за столь бесцеремонный вопрос. Кто подскажет самый быстрый способ актуализировать 25 копий db (Mysql 5.6 percona)? Рассматриваю варианты mysql триггеры или варианты типа INSERT INTO ${DBSNAME1}.${TABLE} SELECT * FROM ${DBSNAME2}.${TABLE}, или варианты реплики внутри одной машины.

/usr/sbin/invoke-rc.d: /sbin/runlevel: not found что с этим можно сделать?

зачем с этим что-то делать?

find -name “runlevel” ?

а. это. угу. только там отзыва нет

https://ef.gy/hardening-ssh

Вот здесь рассказано про ревокейшн

Нашлось гуглом моментально

Непонятно почему ты можешь распространять KRL, но не можешь ключи

Потому что pubkey и krl можно засунуть в паппет и забыть, пока не нужно будет отозвать ключ

/usr/sbin/invoke-rc.d: /sbin/runlevel: not found что с этим можно сделать?

Можно попробовать перенакатить пакетным менеджером.

я починил

Но в общем принципиальной разницы нет, просто еще один подход

sudo apt-get dist-upgrade

apt-get install —reinstall upstart можно было.

да один хуй он как-то странно себя вел, это хоть починило все сразу

Потому что pubkey и krl можно засунуть в паппет и забыть, пока не нужно будет отозвать ключ

ключ тоже

2016 год, какой в жопу апстарт

Есть он еще у людей. Да.

2016 год, какой в жопу апстарт

Обычный из Ubuntu Lts и centos6 :)

ключ тоже

Ключи придется добавлять для каждого юзера

Уволился — убрать из паппета, нанялся — добавить.

А тут подписал ему и забыл

Подписал по собственному и забыл

Уволился — убрать из паппета, нанялся — добавить.

Убрать недостаточно. Нужно абсент

А, да. Забыл. Мы просто паппетом не рулим юзерами особо :)

Обычный из Ubuntu Lts и centos6 :)

centos6 в 2016 году?

Да, а чо? Поддержка там до 2018 что ли

А тут подписал ему и забыл

Нет. Уволился - раскидывай по серверам KRL. Ну раскидывай просто ключи сразу пользователю

Да, а чо? Поддержка там до 2018 что ли

Я не понимаю даже как centos7 использовать можно

Я не понимаю даже как centos7 использовать можно

Я тоже

К слову о центе, не понимаю как его вообще использовать

Есть ещё сертификаты, которые используются подобно ключам, но отличающиеся тем, что сотрудника можно ограничить сроком действия и списком машин, где ему рады.

Никогда не пользовался, но в общих чертах, понимаю принципы работы

krl все портит. ключи надо раскладывать по всем машинам. это несколько уюивает саму иде.

К слову о центе, не понимаю как его вообще использовать

Ставишь центось, разворачивает свою репу где постепенно пересобираешь 90% того чем пользуешься

Ставишь центось, разворачивает свою репу где постепенно пересобираешь 90% того чем пользуешься

Ставишь Debian или Ubuntu...

И опять пересобираешь большую часть нужного тебе

И опять пересобираешь большую часть нужного тебе

Такое себе решение, а если nginx 10 видов..

Такое себе решение, а если nginx 10 видов..

надо было ставить докер!

надо было ставить докер!

? тут не продокер же

ERROR: S client not available

ну блеать, тут сам Бог велел

Ставишь центось, разворачивает свою репу где постепенно пересобираешь 90% того чем пользуешься

вот развернуть свою репу на пицуксе вобщем и на centos в частности - это отдельное развлечение

если тебе надо 10 разных энжинксов

Я, кстати, должен совершить каминг-аут

я очень люблю CentOS

да, пакеты тухлые

да, апдейты редко

импринтинг наверное

у меня первый линукс в жизни был Red Hat Linux 6.2E

Видимо с тех пор

На четырёх CD, кажется

вот развернуть свою репу на пицуксе вобщем и на centos в частности - это отдельное развлечение

Дык чтоб ты ни выбрал тебе придется держать репу с пакетами нужными

Дык чтоб ты ни выбрал тебе придется держать репу с пакетами нужными

но у птицукса совсем всё плохо

собсюоркой

с репой

да камон, Фил, чо там плохо-то?

У кого?

Я не парсю "птицукс" слово

У любого птицукса всё плохо со "сделать свою репу". Я вот ни в центоси, ни в дебиане не знаю более-менее простого способа это сделать

У Центоса в вики статья на полторы страницы

как сделать свою репу

У Центоса в вики статья на полторы страницы

расскажи мне об этой статье

Спеки такой же отстой как и дебы а общем

как сделать свою репу

покажи

покажи

https://wiki.centos.org/HowTos/CreateLocalRepos

У любого птицукса всё плохо со "сделать свою репу". Я вот ни в центоси, ни в дебиане не знаю более-менее простого способа это сделать

А чем имеющиеся на просты?

А потом этот createrepo хорошо дохнет если пакеты паралельно в репу класть

В центоси с нуля не поднимал, но в дебе репа делалась за минут 5

https://wiki.centos.org/HowTos/CreateLocalRepos

это не то. поддерживать-то это как?

В центоси с нуля не поднимал, но в дебе репа делалась за минут 5

расскажи мне об этом

расскажи мне об этом

Дык тоже на вики статья.

Дык тоже на вики статья.

и что, сборка и все такое?