https://www.opennet.ru/openforum/vsluhforumID3/132754.html Компания Apple открыла реализацию языка программирования Pkl, предназначенного для определения конфигурации и продвигающего модель "конфигурация как код". Связанный с Pkl инструментарий написан на Kotlin и опубликован под лицензией Apache. Плагины для работы с кодом на языке Pkl подготовлены для сред разработки IntelliJ, Visual Studio Code и Neovim. В ближайшее время ожидается публикация обработчика LSP (Language Server Protocol)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60549<br> https://www.opennet.ru/openforum/vsluhforumID3/132754.html#175 Wed, 07 Feb 2024 08:13:49 GMT &gt;&gt; А какое отношение lua в конфиге или его отсутствие имеет к тому <br>&gt;&gt; один сервер или нет?<br>&gt; Если сервер один и админ один - задач по автоматизации конфигурирования не <br>&gt; возникает - и сопутствующих проблем логичным образом тоже. Берешь и пердолишься, <br>&gt; как дiды завещали - делов-то...<br><br>Да и если не один, то тоже. При чём здесь автоматизация конфигурирования и lua в конфиге?<br><br>&gt;&gt; Именно так. Хочешь зубри, не хочешь - держи открытой доку. Какие проблемы?<br>&gt;&gt; То, что чаще используется, само по себе запомнится.<br>&gt; Ну вот идея стандартизированного интероперабельного формата конфигурации - в голову не <br>&gt; влезла, вместо этого зубрим по мульёну заклинаний на каждую систему.<br><br>Хм :-). Вы уж определитесь :-). Выше про lua писали. А ведь lua сам по себе ничего не значит, как любой встраиваемый ЯП. Вместе с ним надо ботать для каждого приложения _отдельно_ какие там функции оно добавляет в ЯП, что бы с можно было с помощью ЯП потрогать кишки программы и как-то с ней взаимодействовать. И так-то без разницы - что https://www.opennet.ru/openforum/vsluhforumID3/132754.html#174 Tue, 06 Feb 2024 19:36:45 GMT &gt; Разве кто-то запускает демонов от имени реального юзера, у которого есть логин (который для сервисов должен(!!!) быть /usr/sbin/nologin) ?<br><br>Да, примерно как раз мой случай - админы sudo-ятся в юзера приложения и там работают с его привилегиями. Чего они там шалят - на то аудит есть. Если скриптам какие-то пароли нужны - используются зашифрованные из БД, они вроде даже в core не попадают случись что, чего-то мудрили с зашифрованной памятью. Да и, вообще говоря, данные из /proc нужны для поддержки, особенно этот environ.<br><br>А в общем случае - аудит софта тупо завернет тебя с паролями в переменных окружения, не вникая ни во что. Пароль не должен появляться там.<br> https://www.opennet.ru/openforum/vsluhforumID3/132754.html#173 Tue, 06 Feb 2024 17:08:10 GMT &gt; А какое отношение lua в конфиге или его отсутствие имеет к тому <br>&gt; один сервер или нет?<br><br>Если сервер один и админ один - задач по автоматизации конфигурирования не возникает - и сопутствующих проблем логичным образом тоже. Берешь и пердолишься, как дiды завещали - делов-то...<br><br>&gt; Именно так. Хочешь зубри, не хочешь - держи открытой доку. Какие проблемы? <br>&gt; То, что чаще используется, само по себе запомнится.<br><br>Ну вот идея стандартизированного интероперабельного формата конфигурации - в голову не влезла, вместо этого зубрим по мульёну заклинаний на каждую систему. <br><br>&gt; Ну а при чём тут автогенерация конфигов? Речь, вроде, про yaml в <br>&gt; качестве конфига шла. А если нужна автогенерация, то бери да генерируй. <br>&gt; Только для генерилки тоже конфиг нужен :-). Зациклились.<br><br>При том, что yaml для этой цели подходит - а конфиг нжинкса весьма и весьма условно. <br><br>&gt; А я, вот, немного.<br><br>Ну поработаете немного - поймете, что в ямлепредставлении конфига нжинкса нифига не yaml виноват. Ну, или не поймете...<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/132754.html#172 Tue, 06 Feb 2024 13:00:22 GMT &gt; Если любовно на...глаживать единственный сервер методом рукоблудия - то таки да, "Нинужна!!!" <br><br>А какое отношение lua в конфиге или его отсутствие имеет к тому один сервер или нет?<br><br>&gt; Угу, угу. Чего тут думать? Зубрить 100500 заклинаний надо, ЗУБРИТЬ!!! Для каждой <br>&gt; системы - свои.<br><br>Именно так. Хочешь зубри, не хочешь - держи открытой доку. Какие проблемы? То, что чаще используется, само по себе запомнится.<br><br>&gt; А автогенерацию конфигов лентяи с плохой памятью придумали, да. Что делать, когда <br>&gt; серверов станет - ну вот хотя бы ДВА - эксперт опеннет <br>&gt; подумает после, эдак глядишь - да и не придется думать-то...<br><br>Ну а при чём тут автогенерация конфигов? Речь, вроде, про yaml в качестве конфига шла. А если нужна автогенерация, то бери да генерируй. Только для генерилки тоже конфиг нужен :-). Зациклились.<br><br>&gt;&gt; Не понял этот пассаж.<br>&gt; Ну, я не удивлен, да.<br><br>А я, вот, немного.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/132754.html#171 Tue, 06 Feb 2024 12:43:29 GMT &gt; Ну зачем придумывать, пишите как есть - не для "чего-нибудь полезного", а <br>&gt; для наворотов и излишеств. А так и без lua всё прекрасно <br>&gt; работает. Но тем не менее, спасибо разрабам что и <br>&gt; это учли и дали такую возможность.<br><br>Если любовно на...глаживать единственный сервер методом рукоблудия - то таки да, "Нинужна!!!"<br><br>&gt;&gt; куча неочевидностей в конфигурации <br>&gt; Ну а это всё что ниже по тексту, вообще, не по делу. <br>&gt; Это вкусовщина уже пошла. У каждого индивидуальное понятие неочевидностей. Конфиг настраивается <br>&gt; либо по памяти, либо по открытым докам (где пояснено что означает <br>&gt; каждый key и какой формат value - и если там проглядывается <br>&gt; логика, то уже хорошо; но и это не обязательно). А в <br>&gt; чём-нибудь вроде squid умолчальный конфиг содержит комментарии в себе и можно <br>&gt; без доков обойтись. Ожидать, что различное ПО будет одинаково соответствовать именно <br>&gt; вашему понятию очевидного, нелепо. Если в рамках одного конфига конструкции не <br>&gt; нарушают единый стиль, то уже спасибо.<br><br>Угу, угу. https://www.opennet.ru/openforum/vsluhforumID3/132754.html#170 Tue, 06 Feb 2024 12:13:16 GMT &gt; Ну, пацаны прям старались - но ниасилили, да. Но старались прям хорошо. <br>&gt; Куча способов выстрелить себе в ногу - при этом для чего-нибудь <br>&gt; полезного сплошь и рядом надо lua тащить<br><br>Ну зачем придумывать, пишите как есть - не для "чего-нибудь полезного", а для наворотов и излишеств. А так и без lua всё прекрасно работает. Но тем не менее, спасибо разрабам что и<br>это учли и дали такую возможность.<br><br>&gt; куча неочевидностей в конфигурации<br><br>Ну а это всё что ниже по тексту, вообще, не по делу. Это вкусовщина уже пошла. У каждого индивидуальное понятие неочевидностей. Конфиг настраивается либо по памяти, либо по открытым докам (где пояснено что означает каждый key и какой формат value - и если там проглядывается логика, то уже хорошо; но и это не обязательно). А в чём-нибудь вроде squid умолчальный конфиг содержит комментарии в себе и можно без доков обойтись. Ожидать, что различное ПО будет одинаково соответствовать именно вашему понятию очевидного, нелепо. Если в рамках одного конфига конструкции не наруша https://www.opennet.ru/openforum/vsluhforumID3/132754.html#169 Tue, 06 Feb 2024 11:29:49 GMT &gt; Пароль вообще не должен храниться. Нигде. Даже на сервере. Или в оперативной памяти. Хранится может лишь результат криптографической функции от него.<br><br>Сурово. Правильно. Но... Главное ведь результат и имея доступ к keytab, любознательный с успехом может попросить Керберос авторизацию и получить ее, что есть то же самое что и иметь в наличии пароль.<br><br>&gt; А keytab это будет или какой-то токен - уже не столь важно.<br><br>Для того, чтобы контролировать пермишины, ОСЬ сервера сервирующая что либо, должна хранить где-то флажок, "можно/не можно" и как он взведется - пофиг, напрямую паролем или обмазыванием в керберос - не важно. Тоже самое и с сервисами нуждающимися в авторизации. Керберос (или что то другое) просто защищает содержимое оригинального пароля от запущеного сервиса, не более, но сервис то получил в итоге то, что ему нужно - разрешение. С токенами/керберосом удобно управлять кластерами, базара нет, централизованно, - можно/нельзя, но если взять на рассмотрение одинокий сервак, а не всю ферму, то все своди https://www.opennet.ru/openforum/vsluhforumID3/132754.html#168 Tue, 06 Feb 2024 10:38:55 GMT &gt;&gt; А разве руты не на то чтоб видеть, знать и менять все?<br>&gt; А разве рут имеет возможность увидеть пароль пользователе в системе? <br><br>Я напомню, что разговор о паролях в среде для сервисов, а не о /etc/shadow<br><br>&gt; И зачем бы ему? :) <br><br>А кому еще? Разговор то о пароле, который берется из переменной среды, для того чтобы изпользовать его с каким-то сервисом. Разве кто-то запускает демонов от имени реального юзера, у которого есть логин (который для сервисов должен(!!!) быть /usr/sbin/nologin) ?<br><br>&gt;&gt; Загонять в отдельные namespace <br>&gt; Это понятно из `man unshare(1)` - для чего он. Непонятно как конкретно вы предлагаете его использовать в данном случае.<br><br>Наоборот, - не давать использовать, загнать апликуху в свой нэймспэйс в котором ограничены системные вызовы (включая unshare calls) с seccomp filters чтоб отвадить от фэйк рутов подглядывающих в /proc<br> https://www.opennet.ru/openforum/vsluhforumID3/132754.html#167 Tue, 06 Feb 2024 10:30:10 GMT &gt;&gt; Воу. Апач в качестве примера "человеческого конфига" - НАСТОЛЬКО упорото, что я <br>&gt;&gt; прям замолкаю, да и nginx, мягко говоря, не блещет.<br>&gt; Да, nginx получше apache будет. <br><br>Ну, пацаны прям старались - но ниасилили, да. Но старались прям хорошо. Куча способов выстрелить себе в ногу - при этом для чего-нибудь полезного сплошь и рядом надо lua тащить, куча неочевидностей в конфигурации (Вот что должно быть в директиве directio? Число или "off", это же очевидно! Или число - или строка, но при этом не всякая, а вот такая из трех букАв. Легко парсить, удобно генерировать, замечательно читать и править! А в keepalive_disable что? Тоже наверное on\off\value? Авотхрен, или none или имя браузера!) - и такого там примерно всё, m и M идентичны в контексте размера (Кто знает наизусть, где применяется суффикс G\g, а где в контекте размера он недопустим - тот знатный жинксовод), но различны в контексте времени - при этом M-месяц это 30 дней, приколоченных гвоздями, а чтобы стало еще веселее - оно "1M 1m" понимает, а "