The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Взлом инфраструктуры LineageOS через уязвимость в SaltStack

03.05.2020 20:45

Разработчики мобильной платформы LineageOS, пришедшего на смену CyanogenMod, предупредили о выявлении следов взлома инфраструктуры проекта. Отмечается, что в 6 часов утра (MSK) 3 мая атакующему удалось получить доступ к основному серверу системы централизованного управления конфигурацией SaltStack через эксплуатацию неисправленной уязвимости. В настоящий момент идёт разбор инцидента и подробности пока недоступны.

Сообщается только, что атака не затронула ключи для формирования цифровых подписей, систему сборки и исходные тексты платформы - ключи размещались на хостах, полностью отделённых от основной инфраструктуры, управляемой через SaltStack, а сборки были остановлены по техническим причинам 30 апреля. Судя по данным на странице status.lineageos.org разработчики уже восстановили сервер с системой рецензирования кода Gerrit, сайт и wiki. Отключёнными остаются сервер со сборками (builds.lineageos.org), портал для загрузки файлов (download.lineageos.org), почтовые серверы и система координации проброса на зеркала.

Атака стала возможна благодаря тому, что сетевой порт (4506) для доступа к SaltStack не был блокирован для внешних запросов межсетевым экраном - атакующему оставалось дождаться появления критической уязвимости в SaltStack и эксплуатаровать её до того, как администраторы установят обновление с исправлением. Всем пользователям SaltStack рекомендуется срочно обновить свои системы и проверить на наличие следов взлома.

Судя по всему, атаки через SaltStack не ограничилась взломом LineageOS и приняли массовый характер - в течение дня различные пользователи, которые не успели обновить SaltStack, отмечают выявление компрометации своих инфраструктур с размещением на серверах кода для майнинга или бэкдоров. В том числе сообщается об аналогичном взломе инфраструктуры системы управления контентом Ghost, который затронул сайты Ghost(Pro) и биллинг (утверждается, что номера кредитный карт не пострадали, но хэши паролей пользователей Ghost могли попасть в руки атакующих).

29 апреля были выпущены обновления платформы SaltStack 3000.2 и 2019.2.4, в которых были устранены две уязвимости (сведения об уязвимостях были опубликованы 30 апреля), которым присвоен высший уровень опасности, так как они без прохождения аутентификации допускают удалённое выполнение кода как на управляющем хосте (salt-master), так и всех управляемых через него серверах.

  • Первая уязвимость (CVE-2020-11651) вызвана отсутствием должных проверок при вызове методов класса ClearFuncs в процессе salt-master. Уязвимость позволяет удалённому пользователю получить доступ к некоторым методам без аутентификации. В том числе через проблемные методы атакующий может получить токен для доступа с правами root к master-серверу и запустить любые команды на обслуживаемых хостах, на которых запущен демон salt-minion. Патч с устранением данной уязвимости был опубликован 20 дней назад, но после его применения всплывали регрессивные изменения, приводящие к сбоям и нарушению синхронизации файлов.
  • Вторая уязвимость (CVE-2020-11652) позволяет через манипуляции с классом ClearFuncs получить доступ к методам через передачу определённым образом оформленных путей, что может использоваться для полного доступа к произвольным каталогам в ФС mastеr-сервера с правами root, но требует наличия аутентифицированного доступа (подобный доступ можно получить при помощи первой уязвимости и использовать вторую уязвимость для полной компрометации всей инфраструктуры).

Дополнение: Зафиксированы аналогичные взломы инфраструктур Vates (Xen Orchestra), Algolia и DigiCert (взлом коснулся одного из серверов для ведения лога Certificate Transparency (CT)). В Сети опубликовано несколько рабочих прототипов эксплоитов: 1, 2, 3.

  1. Главная ссылка к новости (https://www.reddit.com/r/Linea...)
  2. OpenNews: Выпуск мобильной платформы LineageOS 17 на основе Android 10
  3. OpenNews: Взлом инфраструктуры Docker Hub с возможной компрометацией связанных репозиториев
  4. OpenNews: Взлом репозиториев Canonical на GitHub (дополнено)
  5. OpenNews: Взлом одного из серверов проекта Pale Moon с внедрением вредоносного ПО в архив старых выпусков
  6. OpenNews: Взлом сайта криптовалюты Мonero с подменой предлагаемого для загрузки кошелька
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52872-lineageos
Ключевые слова: lineageos, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (64) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, InuYasha (?), 20:47, 03/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Кто посмел!? >:(
     
     
  • 2.2, Аноним (2), 20:54, 03/05/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Видимо опять безжалостные кровожадные боевики корпорастов-проприетастов.
     
  • 2.3, A.Stahl (ok), 20:54, 03/05/2020 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Более правильный вопрос: нахрена кому-то понадобилось их ломать? Может просто бот, тупо перебирающий экспойты?
     
  • 2.4, Naraku (?), 20:59, 03/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://e.foundation/
     
  • 2.7, пмс у рмс (?), 21:35, 03/05/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Это дети тренируются. А кому ещё это нужно?
     
     
  • 3.56, тройной (?), 18:40, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это нужно майнерам чтобы майнить monero.
    И судя по коду того же kinsing - писали совсем не дети.

    Ранее такое уже неоднократно проиходило с кучей других RCE:

    https://www.zdnet.com/article/docker-servers-targeted-by-new-kinsing-malware-c
    https://habr.com/ru/post/485300/
    https://otx.alienvault.com/pulse/5c437e066b31ef12eb67bc2b
    https://www.lacework.com/blog-attacks-exploiting-confluence/
    https://latesthackingnews.com/2019/02/08/new-linux-backdoor-speakup-found-expl
    https://www.auscert.org.au/blog/2018-01-05-attackers-using-remote-coding-execu

     
  • 2.46, аегшнеа (?), 16:07, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это нормальная практика рулить хостами через интеренет через эти системы управления конфигурациями не овер ssh? Серьезно интересно. Просто я то на локалхосте очкую, но есть же смелые корпорации.
     
     
  • 3.57, тройной (?), 18:50, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вполне нормальная. При наличии авторизации и TLS ни чем не отличается от "over SSH" - в SSH точно так же могут в любой момент найти RCE. Даже VPN не дает 100% гарантий безопасности - в том же OpenVPN внезапно время от времени находят RCE.
     
     
  • 4.68, пох. (?), 09:40, 05/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    более того - и уже успешно находили, прям сразу рут в openssh и не рут но хороший шанс вытащить годный авторизационный серт в openvpn.

    Поэтому никакого явного смысла в оборачивании оберток - нет. Система централизованного управления ВСЕМ - лакомый кусочек для атакующего в любом случае. А уж тем более - плохо спроектированная. А они - упс, все. Как раз salt казалась мне сравнительно разумно придуманной (в реализации я не копался, время, когда мне надо было такое, давным-давно прошло - так что не исключено что на практике там ад, трэш и п-ц).

     
  • 4.71, ffh (?), 19:54, 06/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хз я только ссш и доверяю =) Сколько лет уже серьезных дыр не было.
     
  • 3.66, InuYasha (?), 23:29, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это нормальная практика рулить хостами через интеренет через эти системы управления конфигурациями
    > не овер ssh? Серьезно интересно. Просто я то на локалхосте очкую,

    Нет конечно, ни в коем случае. Через ssh over vpn only. Даже те серваки, что торчат в интернет.

     
     
  • 4.73, InuYasha (?), 17:03, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    О, заминусовали, девжопсы )
    У кого-то прогорело.
     
     
  • 5.74, пох. (?), 19:51, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    и вовсе необязательно девжопсы.

    тебя история с heartbleed в том числе во всемилюбимом openvpn не заставила ничего такого заподозрить-насторожиться?

    И это пока ты один - а когда тебя станет человек десять из разных отделов - ты изумишься, если каким-то образом узнаешь, сколько они себе понаделали джампхостов и вебшеллов в обход твоего чудовепене.

    "у одного моего друга" (там не сто, а, наверное, под полтысячи если не больше человек могущих порулить теми или иными частями энтерпрайзной помойки, как впрямую, так и косвенно, выкатив какие-нибудь изменения в обход стандартных процедур) вот слуцилась - так до сих пор понять не можем, кто и откуда. Понятно что кто-то то ли свой, то ли бывший свой, слишком много знал - но совершенно непонятно ни как попал, ни что делал, ни кто это был.

    Правильная система управления (правильно) торчащая наружу - имеет _меньшую_ attack surface.
    Потому что прикольно, наверное, продолбать доступ, позволяющий добавить или поменять роли десятку коробок, или, даже, в модных современных реалиях, потратить кучу денег на ненужные инстансы aws - но последствия от этого чинить гораздо легче, чем последствия неведомокого залезшего к тебе в ssh и сделавшего там неведомочто.
    И взламывать ее бесполезно - она не хранит ssh-ключи от всего, она просто база хост-значения.

     
     
  • 6.76, InuYasha (?), 21:00, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, хреновая организация конторы - это другая проблема.
    И я сказал что нужно И то И другое, а всякие ансиблы и папиды, лезущие в ссш от рута, в интернете ну никак не нуждаются, а узел, который их контролирует, тоже не в другом государстве находится. Ну, если вы вместо ансибла 200 индусов из аутсосинга не наняли, конечно )
     
     
  • 7.77, пох. (?), 17:17, 08/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, хреновая организация конторы - это другая проблема.

    ну ты продолжай, продолжай мантру - что это все конторы хреново организованные, вот у тебя-то - и что тебя не поломали именно потому что ты охрененно организованный, а не потому что неуловимый джо.

    > И я сказал что нужно И то И другое, а всякие ансиблы и папиды, лезущие в ссш от рута, в
    > интернете ну никак не нуждаются,

    ну то есть продолжаешь накручивать костыли на подпорки, потому что слаще морковки не едал, и надеяться что чудо-вепеэн и сесехе тебя спасет?

    Какое слово тебе непонятно в описанной мной схеме, когда в системе НЕТ вообще никакого места с ключами-от-всего - и она в нем совершенно не нуждается?
    (теоретически ансибл так умеет, а для салт это основной рабочий вариант, но оба переусложнены и умеют много фатально-лишнего из-за необходимости угодить одновременно всем)

     

  • 1.11, Аноним (11), 22:19, 03/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Разломали очередное недоразумение на питоне.

    Никогда такого не было и вот опять.

     
     
  • 2.12, Аноним (11), 22:21, 03/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "Control and secure your digital infrastructure

    Infrastructure automation
    Control and optimize any cloud-native or on-premises infrastructure at scale

    Security automation
    Find and fix vulnerabilities and enforce continuous compliance

    Network automation
    Audit, configure, and secure your entire network from a unified platform"


    Такое вот secure your entire network случилось.

     
     
  • 3.15, Аноним (15), 22:56, 03/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Всё правильно, любое secure увеличивает attack surface.
     
  • 3.23, Sw00p aka Jerom (?), 00:38, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    About SaltStack

    SaltStack develops award-winning software used by IT and security operations teams to help modern business more efficiently secure and maintain all aspects of their digital infrastructure.

     
     
  • 4.24, Страдивариус (?), 00:53, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот и вин налицо!
     
     
  • 5.33, Адмирал ЯсенБуй (?), 08:59, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Выставить CMS голой #опой в интернет? Эпик вин, чо. Безотносительно уязвимостей.
     

  • 1.13, Аноним (13), 22:28, 03/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Слышал немного неприятного о salt насчёт криворукости разрабов, что пакеты ломают, не тестируют и катят в репозиторий. Была проблема с бубунтой 18 (чз кто дров наломал - мейнтейнеры убунты или каноникл). Теперь вот уязвимость.
    Из альтернатив (папет, ансибл) солт казался самым здравым и простым.
     
     
  • 2.31, лютый жабби__ (?), 08:19, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Из альтернатив (папет, ансибл) солт казался самым здравым и простым.

    Немного ковырял ansible, там никакие порты не должны торчать, всё через ssh.

     
     
  • 3.37, InuYasha (?), 11:12, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>Из альтернатив (папет, ансибл) солт казался самым здравым и простым.
    > Немного ковырял ansible, там никакие порты не должны торчать, всё через ssh.

    Юзали питонсибл корпоративно. Жизнеспособно. Папид в другом месте был, тоже юзабельно, но более требователен к серверам (на больших ЛА могут быть проблемы). Это что навскидку вспомнил.
    Я бы лично для себя хотел шефа завести, но тоже надо время на изучение (

     
  • 2.79, Всем Анонимам Аноним (?), 23:33, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вам он может и не нужен, он в основном важен для больших количествах серверов в тысячах.
     

  • 1.14, Anonim (??), 22:41, 03/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Фух, главное исходники не скомпрометированы, собираем сами себе.
     
     
  • 2.17, Аноним (17), 23:37, 03/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты уверен?
     
     
  • 3.27, Аноним (-), 03:51, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Легко же проверить
     
     
  • 4.39, дохтурЛол (?), 13:03, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    как?
     
     
  • 5.67, Аноним (67), 00:20, 05/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    #тысячикрасныхглас, же. Не?
     

  • 1.16, э2 (?), 23:27, 03/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    На главной странице saltstack слова security/secure встречаются 21 раз
    На странице ansible - 5
    chef - 4
    puppet - 2
     
     
  • 2.22, б.б. (?), 00:33, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    oversecured :)
     
  • 2.28, КО (?), 06:07, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Где-то я это уже видел
     
  • 2.36, Fyjy (?), 10:58, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как на Тео де Раадта похоже, блин :-D
     

  • 1.18, Аноним (17), 23:38, 03/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Просто шикарная стратегия: дождаться появления критической уязвимости в SaltStack и эксплуатаровать её
     
  • 1.19, Аноним (19), 23:46, 03/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    У них там прошивок сущий мизер, в большинстве для давно устаревших устройств. Т.ч. исходники не скомпрометированы, а остальное не важно.
     
  • 1.21, Аноним (21), 00:30, 04/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    чем только не жертвуют, чтобы не юзать pf там, где он нужен...
     
  • 1.25, Consta (?), 01:27, 04/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    О пользе стандартов ГОСТ 58412, ISO 2700x и регулярном тестировании на проникновение.
     
  • 1.29, Аноним (29), 06:30, 04/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вот, о критических уязвимостях объявили, а залатать забыли, ну никогда такого не было, и вот опять!
     
  • 1.32, Онаним (?), 08:56, 04/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Девляпсики опять нарвались на оборотную сторону "удобства".
    "Системы управления конфигурацией" нельзя внедрять так, как это делается каждым вторым девляпсом. Доступ таковой к инфраструктуре должен быть строго ограничен, причём с разделением прав.
     
     
  • 2.34, Аноним (34), 09:32, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Со всей инфраструктурой LineageOS справится один DevOps, не представляю, что там нужно разграничивать
     
     
  • 3.35, Онаним (?), 10:13, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот он и "справился", как девляпсы обычно и делают.
     
     
  • 4.38, InuYasha (?), 11:14, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вот он и "справился", как девляпсы обычно и делают.

    Девляпсов для начала надо нанять. Когда дрочка в одиночку - это вообще другая история.

     
     
  • 5.40, пох. (?), 13:08, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    то есть если бы их было двое - они бы не нах...евертили вдвое больше дыр, are you serious?

    P.S. а расскажите кто-нить, вот лет пятнадцать назад, до всей этой девляпсьей муры - были у нас, помнится, такие аналоги screen+ssh - я успел начисто забыть названия всех х-ни, и, к своему удивлению, не сумел быстро найти что-то похожее поиском - ничего такого в модную-современную эпоху в живых не осталось?
    То есть идея - ssh {список из сотни хостов} - открывается сотня обычных консольных сессий, с дублированием клавиатурных символов во все сразу. И возможностью видеть фидбэк (хрен с ним, вручную переключая все сто). Та хрень, что была у нас, умела при этом разные авторизации (где ключи, где не получается - переспросить не знаешь ли ты универсальный пароль от всего), но это опционально.

     
     
  • 6.44, двойной (?), 15:51, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >то есть если бы их было двое - они бы не нах...евертили вдвое больше дыр

    Представь себе - нет. Возможно один из них увидел бы недостатки в коде и архитектурных предложениях другого. Это называется code review.

    >То есть идея - ssh {список из сотни хостов} - открывается сотня обычных консольных сессий

    Не забудь предсказать полный список комманд, засунуть в VCS, пройти review и аппрув на изменения (у тебя ведь серьезный Production, ты работаешь в команде и не хочешь его положить одной опечаткой в вызове rm, да?). Ну и не забудь что на сотне хостов могут быть разные ОС с разным окружением. И желаю удачи перепечатывать одно и то же по 100 раз (модулей у тебя ведь нет).

     
     
  • 7.51, Аноним (11), 17:15, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Возможно один из них увидел бы недостатки в коде и архитектурных предложениях другого.

    Для этого опыт и знания нужны, а не петоны с докерами.

     
     
  • 8.54, двойной (?), 18:21, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вот только упоротое ретроградство наличие знаний И по суперстейбл энтерпрайз ... текст свёрнут, показать
     
  • 8.64, пох. (?), 22:03, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    все что не пихон и докер - в глазах этих новоделанных - дремучее ретроградство ... текст свёрнут, показать
     
  • 7.59, пох. (?), 19:53, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Представь себе - нет. Возможно один из них увидел бы недостатки в коде и архитектурных

    или не только не увидел, но и своего дерьма добавил. Это вот как раз и называется "работа в команде".

    > у тебя ведь серьезный Production

    нет, у меня несерьезный - не оправдывающий самостоятельное написание скриптов централизованной раздачи конфигураций (чем мы занимались еще в 2009м, когда ваших пихоноподелок еще в помине не было - кстати, взломав (как?) эту штуку - не удалось бы просто так получить ровно ничего, разьве что уронить управление - админы, не девляпсы делали).

    Я вполне конкретный вопрос задал - остался ли такой софт в принципе, и как называется.
    Поскольку напрочь забыл, чем мы там пользовались 15 лет назад.

    Твои девляпсовые страдания с опечатками в вызове rm - оставь себе, мне они неинтересны.


     
     
  • 8.62, я (?), 21:34, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    До 15 лет назад пользовались uucp в режиме execute, где секурностью не пахло Се... текст свёрнут, показать
     
     
  • 9.63, пох. (?), 22:01, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну мне не очень интересно чем вы там пользовались - я вроде достаточно внятно оп... текст свёрнут, показать
     
     
  • 10.70, Михрютка (ok), 18:18, 06/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    clusterssh, pconsole попробуйте ... текст свёрнут, показать
     
     
  • 11.72, пох. (?), 16:17, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    спасиб похоже, второе и есть примерно то чем мы пользовались пятнадцать лет наз... текст свёрнут, показать
     
     
  • 12.75, Михрютка (ok), 19:52, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в смысле удалил автор все на гитхаб вынес, там оно и киснет ... текст свёрнут, показать
     
     
  • 13.78, пох. (?), 17:27, 08/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а, и правда, киснет неудачное название дало пачку false positives и даже внутри... текст свёрнут, показать
     
  • 2.45, двойной (?), 15:59, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "Системы управления конфигурацией" нельзя внедрять так, как это делается каждым вторым девляпсом.
    У вас есть статистика для таких утверждений? Или это личные влажные фантазии?
    >Доступ таковой к инфраструктуре должен быть строго ограничен, причём с разделением прав.

    Ясное дело. И это все даже описано в официальной документации https://docs.saltstack.com/en/master/topics/hardening.html
    В любом ПО бывают уязвимости и то что данный индивид не настроил firewall - это его личный факап к девопс-методологии не имеющий никакого отношения.

     
     
  • 3.52, Аноним (11), 17:24, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В очередной раз облажались, но методология хорошая, даа.
     
     
  • 4.55, тройной (?), 18:24, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В очередной раз облажались

    Кто "облажались"?
    Какое отношение имеет данный конкретный индивид и то что он забил на firewall к devops-методологии?

     
     
  • 5.61, www2 (??), 21:26, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как автоматизировать развёртывание конфигурации, так молодец, девопс. А как сервисы ставить, торчащие голой жопой в интернет - так девопс тут не виноват. Нет уж, давайте разберёмся.

    Во-первых, всем кто решил податься в девопс, неплохо было бы поработать для начала просто опс - поадминить ручками. А то развелось программистов, которые считают, что раз они быдлокод научились писать, то с админством справятся на раз-два. Админство - это не про автоматизацию, по большому счёту, а про ответственность. Админ может быть и тратит много времени на первоначальную настройку системы, но время и нервы бережёт  за счёт того, что заблаговременно подготовился ко многим возможным проблемам - отсутствию электричества (поставил ИБП), поломкам жёстких дисков (настроил RAID-массив с избыточностью, хот-свапом и резервом в ЗиПе), настроил кластер высокой готовности, зарезервировал внешние каналы, заготовил резервные копии и инструкции по восстановлению, закрыл всё фаерволами, SELinux'ами, держит минимум программ с suid-битом, своевременно обновляет пакеты в системе и т.д. и т.п. Народная мудрость говорит, что спешка бывает нужна лишь в трёх случаях: при ловле блох, при поносе и при сношении с чужой женой.

    При этом админам неплохо разбираться во внутреннем устройстве администрируемых ими сервисов, чтобы выбрать наиболее надёжные и аккуратно написанные, и при необходимости ткнуть разработчиков сервиса носом в их же фекалии, указав, как надо делать правильно (прислав по возможности готовый патч). А не тащить в свои системы всё подряд и жаловаться потом на проблемы разработчиками.

    Ну и во-вторых, девопс-подход в данном случае позволяет справиться с одной сомнительной проблемой автоматизации, но позволяет себе отодвинуть на второй план множество других не иллюзорных проблем, в том числе проблему безопасности системы.

     

  • 1.42, vitalif (ok), 15:15, 04/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот в ансибле всё-таки гораздо разумнее - просто доступ через ssh, а не какой-то ещё доп.демон...
     
     
  • 2.43, двойной (?), 15:45, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://docs.saltstack.com/en/latest/topics/ssh/
    https://docs.saltstack.com/en/latest/topics/tutorials/quickstart.html#salt-mas
     
  • 2.49, Fyjy (?), 16:48, 04/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да в принципе дополнительные демоны это, даже если их голой дупой в инет не ставить, дополнительная точка отказа, а потому Ansible это правильно и хорошо, для своих целей, а Salt не нужен в принципе.
     
     
  • 3.69, пох. (?), 10:28, 05/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    если "своя цель" - предоставить плохому парню сразу все ключи от всего и сразу с максимальными правами - то безусловно.
    Уровни доступа, разграничение полномочий для разных частей конфигурирующего софта - нее, девляпс не слышал.


     

  • 1.65, Аноним (65), 22:30, 04/05/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру