| 1.1, A.Stahl (ok), 21:36, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
 Ну это, всё-таки, скорее камень в огород админов, а не разработчиков.
| | |
| |
| 2.3, Аноним (-), 21:52, 12/02/2015 [^] [^^] [^^^] [ответить]
| +10 +/– | |
там кривой пример файла конфигурации.
указано
# bind_ip=127.0.0.1
поэтому создаётся впечатление, что по дефолту привязывается к 127.0.0.1. Но чтобы привязать к 127.0.0.1 нужно раскомментировать строку.
| | |
| |
| 3.18, Аноним (-), 06:01, 13/02/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> там кривой пример файла конфигурации.
> указано
> # bind_ip=127.0.0.1
> поэтому создаётся впечатление, что по дефолту привязывается к 127.0.0.1. Но чтобы привязать
> к 127.0.0.1 нужно раскомментировать строку.
firewall - не, не слышали!
"netstat -l -p" - не, не слышали!
| | |
| |
| |
| 5.30, PnDx (ok), 10:48, 13/02/2015 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Вот только Кузнецов - учёный, а не инженер/админ. И на удобочитаемость вывода положил изначально. А желающих помочь сделать съедобный CLI - что-то не наблюдаю. Ну, наверное, админы нынче через web мышью рулят (забыл, как там это решето зовут). </sarcasm>
| | |
| |
| 6.57, Аноним (-), 18:55, 15/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Тогда уже:
> ss -lpn
А там есть ключик "сделать вывод читабельным"?
| | |
|
| 5.56, Аноним (-), 18:54, 15/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Нужно привыкать писать:
> ss -lp
А почему вывод этой команды напоминает не таблицу, а кашу с запчастями?
| | |
|
| 4.33, SunXE (ok), 11:27, 13/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Это конечно верно. И то что мога из коробки стартует на всех интерфейсах и то, что админу было лень проверить, но какого художника в ней такая кривая система идентификации/авторизации?
Пользователя нужно создавать с паролем а не под админом сидеть.
Например постгрес вынуждает разбираться с безопастностью и я считаю это правильный подход.
| | |
|
| 3.52, torvn77 (ok), 21:15, 14/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Нет,камень в огород админов,так как то,что часть строки после # является комментарием и не обрабатывается является классикой и известно даже такому простому пользователю,как я.
При этом у меня вызывают затруднение случаи когда это символ не срабатывает или имеет другое значение.
Хотя соглашусь,авторам БД лучше бы делать конфиг по умолчанию только для работы с локалхостом.
| | |
| |
| 4.59, Аноним (-), 19:00, 15/02/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Нет,камень в огород админов,так как то,что часть строки после # является комментарием
> и не обрабатывается является классикой и известно даже такому простому пользователю,как я.
У нормальных людей, в комментариях указываются значения настроек по умолчанию.
| | |
|
|
| 2.5, fi (ok), 22:08, 12/02/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
 И всё же эта ошибка компании разработчиков, а точнее релиз инженера, выпустил в продакшин с детской ошибкой.
А еще админы локолхоста дропают iptable и selinux для серверов с первых минут работы.
| | |
| |
| |
| 4.20, Ph0zzy (ok), 07:29, 13/02/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 С чего это заслужено? Ваше неумение пользоваться инструментом, не повод обвинять его в негодности.
| | |
| |
| 5.22, Аноним (-), 07:56, 13/02/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
есть дофига мест где это не приемлимо. К слову любимый Шигориным OpenVZ, там это выключено на уровне конфига ядра.
| | |
| |
| 6.34, продавец_кирпичей (?), 11:47, 13/02/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
> есть дофига мест где это не приемлимо. К слову любимый Шигориным OpenVZ,
> там это выключено на уровне конфига ядра.
Ну а нахрена вешать хост систему в инет ?
И да, селинукс не виртуализируется до сих пор и никак ( немспейса селинукс по что не наблюдается ), господин заслуженнный аналитег опеннета.
| | |
| |
| 7.37, Аноним (-), 12:31, 13/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
А контейнеры тоже не вешать? в них тоже selinux не работает :)
А что namespace для селинукса нету - так что ж - parallels мог бы и дописать, чай не 1 человек работает в этом проекте.
Хотя что там о дописывании. им бы свои баги by design починить :-)
| | |
| |
| 8.64, Аноним (-), 19:10, 15/02/2015 [^] [^^] [^^^] [ответить] | +/– | Лучше не стоит По крайней мере, если безопасность более-менее важна В в реализ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.7, all_glory_to_the_hypnotoad (ok), 22:22, 12/02/2015 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Это камень в огород всего сообщества монги. Одни олигофрены совершенно не думают об эскплуатационной части, а другие вообще не озадачиваются чтением документации. Дураки нашли друг друга.
| | |
| |
| 3.31, YetAnotherOnanym (ok), 11:16, 13/02/2015 [^] [^^] [^^^] [ответить]
| –3 +/– |
 А ты попробуй на работе просто сидеть и что-то читать. Начальство (особенно мелкое, которому выслужиться надо) сразу объявит тебя бездельником, которому зря деньги платят.
| | |
| |
| 4.50, all_glory_to_the_hypnotoad (ok), 03:15, 14/02/2015 [^] [^^] [^^^] [ответить]
| +/– | |
Такого практически нигде нет. В какой-нибудь гнилой конторе начальству пофиг чем занимается сотрудник, он обычно нанимается для галочки и получает гроши. Не в гнилой читают все сколько хотят, если конечно предполагается что сотрудник лютый джуниор и может много чего не знать.
Но пусть даже и так. Занимайся, млять, самообразованием в свободное от работы время - в конце концов это твоя личная проблема.
| | |
|
|
|
| 1.2, SubGun (ok), 21:44, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Да фиг с ним, что монга слушает 0.0.0.0. Как можно было ее наружу выставить?!
| | |
| |
| |
| 3.63, Аноним (-), 19:08, 15/02/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> миллиарды виртуалок на копеешных впс-хостингах
Внешние IP-адреса нынче не по копеечке, вообще-то.
| | |
| |
| 4.65, grec (?), 16:46, 16/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
За 15 баксов в год можно найти впс с реальником и кучей ipv6 . Реальники нынче дороги для клиентов isp.
| | |
|
|
|
| 1.8, Stax (ok), 22:23, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > 39890 никак не защищённых публично доступных экземпляров MongoDB
И после этого нам говорят, что не хватает IP-адресов. Как-то их плохо не хватает, если столько народу не парится и дает внешний адрес даже Mongo-серверу...
| | |
| |
| 2.11, Ан (??), 23:52, 12/02/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Как будто Mongo-сервер может один стоять на железке.
| | |
| |
| 3.36, Stax (ok), 12:29, 13/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
Если нагрузка не такая, чтобы нужна была отдельная железка, зачем вообще мог понадобиться монго?
Ну ладно, предположим "на вырост". Все равно будет на отдельной виртуалке как минимум, даже если на железке еще что-то есть. И зачем туда внешний IP?
| | |
|
| 2.28, Аноним (-), 10:47, 13/02/2015 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>И после этого нам говорят, что не хватает IP-адресов. Как-то их плохо не хватает, если столько народу не парится и дает внешний адрес даже Mongo-серверу...
Вы либо жирный троль, либо полный идиот. Верно?
| | |
| 2.55, ZiNk (ok), 14:53, 15/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Как одно мешает другому? Где-то не хватает, где-то хватает и люди пользуются. Почитайте что-ли про распределение адресного пространства. А перед тем как перепрыгивать к любимому: "давайте раскулачим большие корпорации, а IP раздадим нуждающимся" - посмотрим на то что это поломает и каких усилий потребует. А IPv6 - он уже готов, стандарт есть, много где реализован, ждут как правило только мелкие провайдеры последней мили и китай-роутеры, ОСи готовы, серьёзная инфрастуктура - через пень колоду, но двигается туда, сервисы конечные тоже врубают поддержку и не страдают особо.
| | |
|
| 1.9, Аноним (-), 23:34, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Тот редкий момент, когда чувствуешь себя не таким дураком...
С внешнего интерфейса закрыть все кроме конкретно нужного - это же азы.
| | |
| 1.16, anthonio (ok), 04:09, 13/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Администраторы необдуманно применяют настройки по умолчанию
Боюсь, не совсем верно называть таких людей администраторами. Скорее localhost-админ. :)
| | |
| |
| 2.25, an (??), 09:15, 13/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
вы думаете на локалхосте у них все иначе, и таких позорных дыр нет? сомневаюсь :)
| | |
| |
| 3.58, Аноним (-), 18:58, 15/02/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> вы думаете на локалхосте у них все иначе, и таких позорных дыр нет? сомневаюсь :)
Есть, просто их локалхост - неуловимый Джо. Если поломают - то чем-то более массовым, типа ssh root:12345.
| | |
|
|
| 1.21, badmilkman (ok), 07:53, 13/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 И правда, только локалхостеры могут не знать 1 правило админа: никогда не никому не доверять, особенно начинающим программерам.
| | |
| 1.29, edwin3d (ok), 10:48, 13/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Ну главная прелесть Монги вообще-то как раз в том, что можно развернуть кластер ... а там loopback'ом не обойдешься
А в целом - админов нет, на них экономят, кодеры фигарят код по принципу "х..к,х..к в продакшен" и потому архитектурой не заморачиваются ... нет бы выделить internal сервисы в отдельную сеть, или там брандмауэр настроить и т.д.
| | |
| 1.32, EuPhobos (ok), 11:21, 13/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
 Всё верно, разработчики отсеивают горе-недо-админов, каким нужно быть дебилом, что бы в такой крупной компании не удосужиться и не настроить iptables на машине, которая имеет публичный адрес...
Я уже не говорю о невнимательности к конфигу самой BD и игнорирование аутентификации..
| | |
| |
| 2.60, Аноним (-), 19:03, 15/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Всё верно, разработчики отсеивают горе-недо-админов, каким нужно быть дeбилом, что бы в
> такой крупной компании не удосужиться и не настроить iptables на машине,
> которая имеет публичный адрес...
Ага. И ssh-сервер тоже должен по умолчанию пускать под root с пустым паролем. Кто не отключил в настройках - ССЗБ.
| | |
|
| 1.35, Xasd (ok), 11:59, 13/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Администраторы необдуманно применяют настройки
> по умолчанию, не разобравшись в модели
> ограничения доступа
ну а "умные" разработчики программ -- не догадались сделать поумолчанию настройки -- безапасными..
| | |
| |
| 2.45, Аноним (-), 22:20, 13/02/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
Защита - это не состояние, а процесс.
Грамотность, кстати, тоже.
| | |
| |
| 3.49, Xasd (ok), 00:34, 14/02/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Защита - это не состояние, а процесс.
создание безопасных настроек *уже* поумолчанию -- часть этого процесса. :-)
> Грамотность, кстати, тоже.
про грамотность -- иди пиши на гуманитарных форумах. здесь не интересно об этом болтать.
(можешь даже там [на гуманитарных форумах] выложить скан своего дневника с пятёрками по Русскому Языку :-))
| | |
| |
| 4.61, Аноним (-), 19:04, 15/02/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> создание безопасных настроек *уже* поумолчанию -- часть этого процесса. :-)
Не пытайтесь аппелировать к логике кричалки лозунгов. Он умеет только баззворды заучивать, а потом декламировать. В смысл вникать - не обучен.
| | |
|
|
|
| 1.39, Аноним (-), 16:36, 13/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> никак не защищённых публично доступных экземпляров ...
> не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний, без надлежащего ограничения доступа. Администраторы необдуманно применяют настройки по умолчанию
Следует ли эти утверждения понимать как доступ с localhost без аутенфикации?
| | |
| 1.43, Прохожий (??), 19:48, 13/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Разработчик != Администратор. Если вы не знаете что делать с отверткой - это не проблема завода-изготовителя инструмента.
| | |
| |
| 2.48, mickvav (?), 23:11, 13/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Разработчик != Администратор. Если вы не знаете что делать с отверткой -
> это не проблема завода-изготовителя инструмента.
А если завод поставляет пассатижи и изоляционные ручки отдельно?
| | |
|
| 1.44, Прохожий (??), 19:54, 13/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Более правильное решение - предоставить чистые конфигурационные файлы. Типичная защита от дурака.
| | |
| |
| 2.62, Аноним (-), 19:06, 15/02/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Более правильное решение - предоставить чистые конфигурационные файлы. Типичная защита от дурака.
Поттеринг-вей. Он как раз всем втирает, что софт должен нормально запускаться с пустым /etc.
| | |
|
| 1.54, Аноним (-), 08:05, 15/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Конфигурационные файлы по умолчанию должны обеспечивать достаточный уровень безопасности, так что со стороны разработчиков это косяк. Админы тоже виноваты конечно
| | |
| 1.66, charon (ok), 15:11, 19/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 буду оригинален - обвиню разрабов Монги.
Я бывший админ, перешёл в девелоперы. Пытался перейти на Монгу в своих проектах - за 15 минут не вышло, потому что удалённо подключаться не выходит, ругается на ошибку доступа. Я повесил Монгу на 0.0.0.0, фаервол настроил - какого хрена еще надо?
Никакой понятной доки нет. Как и в экзиме, есть толстый мануал размером с Новый Завет, и никакого быстрого гайда.
Есть где-то гайд по быстрой настройке Монги, минут за 15, для простого удалённого доступа? Или местная публика неприемлет настройки за 15 минут.
| | |
| |
| 2.67, edwin3d (ok), 15:24, 19/02/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Я бывший админ, перешёл в девелоперы. Пытался перейти на Монгу в своих
> проектах - за 15 минут не вышло, потому что удалённо подключаться
> не выходит, ругается на ошибку доступа.
Страшно представить, начни Вы разбираться с Oracle ...
> Никакой понятной доки нет.
Есть:
http://docs.mongodb.org/manual/
Есть литература, причем на русском:
http://www.ozon.ru/context/detail/id/8688130/
> Как и в экзиме, есть толстый мануал размером
> с Новый Завет, и никакого быстрого гайда.
Вы спутали свою профессию.
Вы простите за грубость - кодер невысокого пошива
> Есть где-то гайд по быстрой настройке Монги, минут за 15, для простого
> удалённого доступа? Или местная публика неприемлет настройки за 15 минут.
Берем стандартный Гуид, читаем quiq install - 10 мин.
Создание ssh туннеля - 2 минуты.
Если Вы администрировали сервера как разбирались в Mongo ...
| | |
| |
| 3.68, charon (ok), 16:20, 19/02/2015 [^] [^^] [^^^] [ответить]
| –2 +/– | |
а вы полностью оправдываете стереотипы о профессии админа - сплошное быкование и тупые ответы.
>> Я бывший админ, перешёл в девелоперы. Пытался перейти на Монгу в своих
>> проектах - за 15 минут не вышло, потому что удалённо подключаться
>> не выходит, ругается на ошибку доступа.
> Страшно представить, начни Вы разбираться с Oracle ...
И причём здесь Оракл? Вы полагаете, что веб-девелоперы часто стаявт Оракл? Если не разбираетесь в моей профессии, то зачем пытаетесь тупо наезжать?
>> Никакой понятной доки нет.
> Есть:
> http://docs.mongodb.org/manual/
Это понятная дока? По 4 доки в 4 категориях, всего 16 документов. Ну очень полезный ответ, достойный классического админа.
> Есть литература, причем на русском:
> http://www.ozon.ru/context/detail/id/8688130/
394 страницы. Скажите, что именно вам объяснить во фразе "быстрая дока за 15 минут"? Может, вы какую-то букву не можете прочитать?
>> Есть где-то гайд по быстрой настройке Монги, минут за 15, для простого
>> удалённого доступа? Или местная публика неприемлет настройки за 15 минут.
> Берем стандартный Гуид, читаем quiq install - 10 мин.
Что такое стандартный Гуид?
| | |
| |
| 4.69, edwin3d (ok), 08:33, 20/02/2015 [^] [^^] [^^^] [ответить] | –2 +/– | Я не админ с 2011 Я проф разработчик, в т ч у меня есть проекты как раз с Mon... большой текст свёрнут, показать | | |
| |
| 5.70, charon (ok), 17:06, 20/02/2015 [^] [^^] [^^^] [ответить] | –1 +/– | И тут внезапно выясняется, что я прочитал Getting Started Да, уже давно Я уже ... большой текст свёрнут, показать | | |
| |
| 6.71, edwin3d (ok), 17:54, 20/02/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
> который в Getting Started не раскрыт. После прочтения этого стартеда Монгу
> можно использовать только локально.
Вы продолжаете показывать свою низкую квалификацию.
Пробросить порт mongo'и через ssh туннель - 2 минуты, чтобы локальное соединение стало удаленным, НЕ разбираясь.
Существуют также tcp wrapper'ы, - никаких проблем
Я Вам про ssh туннель говорил сообщение назад, Вы проигнорировали, видимо никогда не пользовались таким инструментом.
Все, можно использовать удаленно - не выставляя в паблик, для разработки, параллельно выясняя нюансы.
Факт непонимания фразы о ssh туннеле говорит о том, что администрированием серьезно не занимались. никогда.
> что ваше хамство весьма неуместно на опеннет - это бесспорно.
Оно станет неуместно, когда Вы перестанете раз за разом показывать смесь дилетантства и высоким самомнением.
Приведете себя в порядок гражданин якобы бывший админ и якобы разработчик, начнете задавать вопросы, а не поливать грязью в сочетании с неявным мычанием - никто и хамить не будет.
> и я спросил тут.
Вы не спросили, Вы начали брызгать слюной, поливая все грязью, при этом описывая проблему совсем никак - описания ошибки нету и т.д.
Если Вы задачи вопрос как человек, Вы бы получили ответ в вежливой форме.
> И что же мы видим? Вместо ответа на вопрос, как на stackoverflow,
Какой вопрос - такой и ответ.
Вы получили несколько вариантов. Где искать, что делать.
Видеть их не желаете. Что касается формы - так вопрос задавайте как на stackoverflow, а не в стиле который Вы приписываете другим
> а мне надоело и я заканчиваю.
Я тоже. Воспитывать неквалифицированное тело, да еще и вавкой майданизма () нет никакого желания.
| | |
| |
| 7.72, Admin (??), 08:56, 11/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Пробросить порт mongo'и через ssh туннель - 2 минуты, чтобы локальное соединение
> стало удаленным, НЕ разбираясь.
А нафига!? Косяк 100 процентов разрабов. Если случилась такая ситуевина, значит подход разрабов кривой by design. По теме - кривые админы. кто в здравом уме БД выставляет голой жопой наружу?! Или я что то пропустил и теперь пользователь сам делает выборку в БД?!
| | |
|
|
|
|
|
|
|
