ru.unix.bsd

Здpавствуй, Alex! Четверг 28 Января 2021 23:08, ты писал(а) мне, в сообщении по ссылке area://ru.unix.bsd?msgid=<1187514831@ddt.demos.su>+f3eea0e3: AK> Продолбанный ключевой файлик можно ломать целыми фермами, с любым AK> доступным по мощности рейтом, и совершенно невидимо для владельца AK> - он даже не знает, что его продолбал. Чуешь разницу? Чесно говря - хрень пишешь, извини за выражение. Hу не используй ключи если стремно. Вводи пароли каждый раз и от ваултов и от серверов. В ваулт ты можешь зашифровать всё, и плейбуки, и хостс, и ключи (каждый ключ отдельно на каждый сервер и отдельном ваулте), и переменные, и конфиги, короче - всё что угодно. И залетный админ ломать будет тысячелетиями. Ты ознакомься немного с вопросами безопастности продуктов по best practics. AK> угу, можно разом положить тысячу серверов, а не поштучно каждый. Всё зависит от кривизны рук и распиздяйства. С уважением - Vladimir ... Hе хотел я вас обидеть, случайно просто повезло...

From: Alex Korchmar Vladimir Bobarykin wrote: VB> А если разрешить в ssh везде рутовый доступ и пароль 123 от него, а если пароль хотя бы 123#312 ? Правильно - нихера не будет. Потому что в отличие от паролей ключей - подбирать придется онлайн, по одному за раз, с разрывами соединения и таймаутами на каждой попытке, да и алертами, вероятнее всего. И да, у меня почти везде рутовый доступ (точнее, беспарольный su, там где он не гнутый с дырой by design) и простые пароли. Хер их кто подберет. Кроме тех кто уже рут, и им даром не сдалось (но таки на машинах с физическим доступом посторонних - приходится именно из-за этого держать неподбираемые). Продолбанный ключевой файлик можно ломать целыми фермами, с любым доступным по мощности рейтом, и совершенно невидимо для владельца - он даже не знает, что его продолбал. Чуешь разницу? VB> Или всё же ты блокируешь рута и пароли посложнее делаешь, чем 123, а то и VB> ключом пользуешься? :) нет, я не пользуюсь ключами во всех местах, которые мне хоть немного ценны. AK>> Технологии будущего, привыкайте, так теперь будет - всегда. VB> А есть ещё Ansible Tower :) ага, мышиком клик-клик. VB> Ансибл реально выручает в работе. угу, можно разом положить тысячу серверов, а не поштучно каждый. Hу или угнать. Риальна, выручает. А теперь внимание, опоздавшим родиться: как вы думаете - а до вас, таких умных, как мы управляли большим количеством серверов? Когда никакого ансибла с ключами от всего кучкой - в помине не было? > Alex

Здpавствуй, Alex! Понедельник 25 Января 2021 19:41, ты писал(а) Victor Sudakov, в сообщении по ссылке area://ru.unix.bsd?msgid=<1187514829@ddt.demos.su>+c84b961e: VS>> Он по ssh запускает на управляемом хосте разные свои модули. Плюсы VS>> такого VS>> подхода: AK> ключи от всего с максимальными правами без паролей лежат кучкой, и AK> только ждут, пока первый залетевший дятел захочет тебе что-нибудь AK> "поадминить". А если разрешить в ssh везде рутовый доступ и пароль 123 от него, то сервера только ждут, пока первый залетевший дятел захочет тебе что-нибудь "поадминить". Или всё же ты блокируешь рута и пароли посложнее делаешь, чем 123, а то и ключом пользуешься? :) Так же и в ансибле - хочешь храни всё открыто, хочешь - засунь всё в vault, включая плейбуки, как нормальные люди. И никакой залетный админ у тебя ничего оне запустит. AK> Технологии будущего, привыкайте, так теперь будет - всегда. А есть ещё Ansible Tower :) Ансибл реально выручает в работе. Гораздо удобнее поставить раскатываться кластер или роли по десяткам-сотням-тысячам серверов/виртуалок одной командой и пойти курить, на полчаса, чем делать всё тоже самое вручную на несколько суток, с возможностью ошибки, забывчивости, человеческого фактора. С уважением - Vladimir ... Я подумал так, что в голове аж хpустнуло...

Hello *All* Сабж https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=253059 Bye, , 28 янваpя 21

From: Alex Korchmar Victor Sudakov wrote: AK>> ключи от всего с максимальными правами без паролей лежат кучкой, и AK>> только ждут, пока первый залетевший дятел захочет тебе что-нибудь AK>> "поадминить". VS> 1. Кто мешает тебе защитить кучку (vault) на управляющей машине паролем или еще VS> как? и как после этого будет работать автоматика? Пароль рядышком клиртекстом положим? VS> 2. Дятел должен залететь на управляющую машину, которую можно VS> и получше защитить. наоборот. Управляющая машина - это помойка, за которой либо никто не следит, потому что на ней ничего и не работает, и что у нее нечаянно со времен деплоя остался торчать в интернет ssh, не замечают, либо на ней наоборот проходной двор "чтоб не простаивала зря", от мониторинга до учета. И тут такой опа - баг в sudo, Тодди из 2011го года прислал потомкам привет. Причем ты не узнаешь ни что ключи утекли, ни что ими кто-то не тот стал пользоваться, логов-то ведь - никаких и нигде. VS> А не на любую управляемую, на которой постоянно работает всевластный VS> агент. А агент во-первых не настроен слушаться кого попало, во-вторых, вовсе не является шеллом. Дать тебе вотпрямщас доступ только к агенту - ты ничего вообще сделать не сможешь, побежишь гуглить его апи. Во-вторых, даже если нагуглишь - ничего кроме конкретной машины тебе не достанется, а там, вероятнее всего, прод, и на ней крутиться гораздо более палевно, да еще на ощупь, без консоли. Hаш-то друг с ключами там вообще не засветится и не наследит раньше времени, так, разок заглянет. До кучи, агенту вовсе необязательно быть всевластным, это не рутовый шелл, вполне можно ограничить его возможности до минимально необходимых. Что снова создаст барьер для забредших на огонек, и новые шансы вляпаться в логи раньше, чем нанесут ущерб (аудит лог от агента повод для красных лампочек везде и повсюду) И даже если зохватят не агент, а сервер - у зохватившего снова нет прямого доступа ни к чему - он снова идет изучать апи, а потом пытается рулить другими на ощупь, не зная что там и не имея возможности аккуратно осмотреться на месте, непосредственно с сервера, агенты больше никого слушать не будут, это тебе не ssh, где сбоку-костылик, здесь это дефолтная настройка, никакого доверия только ключам по умолчанию. AK>> Технологии будущего, привыкайте, так теперь будет - всегда. VS> "Уж коли зло пресечь, собрать все сети бы да сжечь" (почти Скалозуб). девляпсов, continious desintegration без стабильных релизов по большим праздникам, облачка с белогривыми лошарами и инфраструктуру аз а кокококоде (когда эти самые ключи от всего еще и в гит удобно сложены) - безусловно. Hо, к сожалению, уже поздно - убивайте всех, Г-дь разберет своих. > Alex

Dear eugen, 27 Jan 21 13:33, Eugene Grosbein wrote to me: EG>>> Эмм, это общеизвестный факт, что в 12 нельзя использовать старый EG>>> kms VS>> Который с ядром в комплекте - это считается старый? EG> Да, именно он и считается старый. Его не выкинули только потому, EG> что при попытке выкинуть поднялась буча в листах. А я-то гадаю, зачем нерабочий таскают за собой. EG>>> с более-менее свежими видеокартами. VS>> Карта у меня точно старше, чем FreeBSD 12. Комп далеко не новый, VS>> карта на материнке определяется как VS>> Device: PCI 8086:0102 Intel Corporation 2nd Generation Core VS>> Processor Family Integrated Graphics Controller EG> Очевидно, достаточно свежее. А что старше, чем FreeBSD 12, так она EG> сама не очень давно появилась. Всё равно сегодня упал Xorg по signal 6. Т.е. помогло, но не совсем. Victor Sudakov, VAS4-RIPE, VAS47-RIPN

27 янв. 2021, среда, в 08:34 NOVT, Victor Sudakov написал(а): EG>> Эмм, это общеизвестный факт, что в 12 нельзя использовать старый kms VS> Который с ядром в комплекте - это считается старый? Да, именно он и считается старый. Его не выкинули только потому, что при попытке выкинуть поднялась буча в листах. EG>> с более-менее свежими видеокартами. VS> Карта у меня точно старше, чем FreeBSD 12. Комп далеко не новый, карта на VS> материнке определяется как VS> Device: PCI 8086:0102 Intel Corporation 2nd Generation Core Processor Family VS> Integrated Graphics Controller Очевидно, достаточно свежее. А что старше, чем FreeBSD 12, так она сама не очень давно появилась. Eugene -- Смотри, но не смей трогать

Dear eugen, 27 Jan 21 04:33, Eugene Grosbein wrote to me: VS>> Всё еще интереснее. Проблема наблюдалась, пока использовался KMS VS>> модуль идущий в комплекте с ядром: /boot/kernel/i915kms.ko VS>> Пересобрал из портов и задействовал /boot/modules/i915kms.ko (из VS>> graphics/drm-fbsd12.0-kmod) и проблема вроде ушла. EG> Эмм, это общеизвестный факт, что в 12 нельзя использовать старый kms Который с ядром в комплекте - это считается старый? EG> с более-менее свежими видеокартами. Карта у меня точно старше, чем FreeBSD 12. Комп далеко не новый, карта на материнке определяется как Device: PCI 8086:0102 Intel Corporation 2nd Generation Core Processor Family Integrated Graphics Controller Victor Sudakov, VAS4-RIPE, VAS47-RIPN

26 янв. 2021, вторник, в 17:51 NOVT, Victor Sudakov написал(а): VS> Всё еще интереснее. Проблема наблюдалась, пока использовался KMS модуль идущий VS> в комплекте с ядром: /boot/kernel/i915kms.ko VS> Пересобрал из портов и задействовал /boot/modules/i915kms.ko (из VS> graphics/drm-fbsd12.0-kmod) и проблема вроде ушла. Эмм, это общеизвестный факт, что в 12 нельзя использовать старый kms с более-менее свежими видеокартами. Eugene -- Кара за одно съеденное яблоко, все-таки, была несоизмеримо велика, приступ диареи послужил бы достаточным уроком.

Dear eugen, 26 Jan 21 03:30, Eugene Grosbein wrote to me: VS>> Что-то после очередного pkg upgrade Xorg стал то падать по signal VS>> 6, то виснуть (в смысле замерзать, приходится заходить с другой VS>> машины по ssh и срубать). То ли уже само мироздание намекает, что VS>> пора валить с фри на десктопе. Обычная вроде настройка, видео VS>> Интел x11-drivers/xf86-video-intel, graphics/drm-fbsd12.0-kmod VS>> пересобранный локально из порта, единственное что не совсем VS>> обычно: запущено 2 X-сервера через startx (один мой, другой жены, VS>> переключаемся через Ctrl+Alt+Fn). Может он это стерпеть не может. EG> Стабильность работы такой конфигурации всегда определялась EG> качеством видеодрайвера. Есть возможность хотя бы на время EG> поставить карту NVidia и проверить всё то же самое, EG> но только с бинарным драйвером nvidia? Всё еще интереснее. Проблема наблюдалась, пока использовался KMS модуль идущий в комплекте с ядром: /boot/kernel/i915kms.ko Пересобрал из портов и задействовал /boot/modules/i915kms.ko (из graphics/drm-fbsd12.0-kmod) и проблема вроде ушла. Victor Sudakov, VAS4-RIPE, VAS47-RIPN