Pull to refresh

Comments 22

Ну мы в одном офисе сделали так:
Локальный сервер с OwnCloud/NextCloud в качестве файлопомойки, альтернативы GoogleDocs, планировщик задач и куча других ништяков.
Всё под пароли, с доступом через OpenVPN для удаленщиков.
И Discord в качестве общего чата/звонилки и прочего. Сделали отдельные комнаты для разных команд (Дизайнеры, Прогеры, Финансы, Директор и т.д.). Даже для Zabbix'а (Написали бота) была отдельная комната, в которую он слал алерты и выдавал всякую статистику по запросу.
Достойный набор! А пароли храните где-нибудь?
Что значит «хранить пароли»? Зачем? Конечно нет. Есть условные креденшлсы и токены в условном дженкинсе, доступные как $SERVICE_TOKEN, но сам токен обычным пользователям не виден.
Нет. Новые пароли печатаются на съедобной бумаге и передаются юзеру с условием — «Запомнить и съесть»!

В целях оптимизации дорогую съедобную бумагу заменили на дешевую офисную.

Что насчет Fleep.IO? Мы его несколько лет используем — хватает бесплатного функционала. И мобильный клиент достаточно стабилен.
Спасибо за наводку! Каталог обновляется, Fleep.IO тоже добавим)
Как прибили Hipchat, то пришлось перейти на Рокет в облаке на собственном сервере, но примерно через год работы, рокет сам по себе «ушел в себя» — похоже ушел в вечное какое-то внутреннее обновление, причем восстановление из бекапа давало возможность несколько часов работы, а затем тоже сам по себе «уходил в себя». Вразумительных ответов не нашел на форумах поддержки из-за чего такое поведение (были разные гипотезы в том числе что ресурсов не хватало — проверены) — прибил после нескольких дней мытарств и ушли на zoom в итоге.
Рокет — глючная и весьма недружелюбная софтина. И да, регулярно выпускают глючный клиент под Андроид.
У нас были проблемы с обновлением чатов и уведомлениями, половина сообщений просто терялась. Рокет хоть и бесплатный, но пользовательский опыт был ужасен — за такие неудобства неплохо бы приплачивать :)

А мы обмениваемся доступами в чатах. Иногда даже в публичных. Иногда можем даже в issue на github. И нам за это ничего не будет.


Почему? Потому, что если кому-то надо, он может добавить ключик


ssh-rsa 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 amarao@home

на любой из компьютеров. Мне не жалко.


Мораль: не используйте пароли, используйте ключи и сертификаты.

и потом вы увольняете этого админа (или глав админа)
и развлекаетесь вытиранием 100500 пабликеев

П.С. мои пабключи до сих пор есть на оборудовании 2007-2015 годов настройки, а вы говорите

На самом деле не развлекаемся, потому что автоматизация, в течение суток само потрёт.

А для тех, кто не дружит с ключиками, можете объяснить, что это такое?
Публичный ssh-ключ — это часть механизма безопасного удаленного подключения.
Вы создаете пару секретный ключ — публичный ключ.
Даете свой публичный ключ владельцу сервера, куда вам нужен доступ, а он его вносит в список авторизованных ключей.
Набираете в консоли ssh mylogin@remote-server ( ну или в Putty настраиваете подключение).
Если на секретном ключе установлен пароль — вводите его ( но пароль никуда не передается с вашей машины — он лишь расшифровывает сам секретный ключ)
Отправляемые на сервер данные подписываются вашим секректным ключом, который так же вашего компьютера не покидает, а сервер проверяет цифровую подпись с помощью вашего публичного ключа.
Криптографическая магия заключается в том, что невозможно (очень сложно) подделать вашу цифровую подпись, не имея вашего секретного ключа.

В кратком пересказе. Вы генерируете 2 ключа private и public. С помощью private вы можете подписать что-либо, с помощью public кто угодно может проверить, что подпись ваша. В примере показывается ssh.
Общая логика такая.


  1. На сервер кладется публичный ключ клиента
  2. Когда клиент подключается он подписывает свой запрос
  3. Сервер проверяет, что знает такого клиента и запускает к себе.

Одна из тысяч инструкций по настройке ssh https://firstvds.ru/technology/dobavit-ssh-klyuch

не используйте пароли, используйте ключи и сертификаты.

А если надо не на сервер сходить, а в панель управления DNS или хостинга? Или в pagerduty? Или получить токен для AWS?
Сидим на BigBlueButton, если смысл переходить на что-то другое?
А какие-то проблемы испытываете? Если приложение не раздражает, то можно ничего не менять. Не факт, что с первого раза удастся выбрать удачный вариант, а переход — это всегда стресс и случайные факторы.
Странно, не вижу попыток использования систем контроля версий и связанных с этим граблей.
Да, эти проблемы нас миновали. Директор сам в прошлом разраб, так что в плане организации разработки мы с самого начала правильным курсом шли.
Rocket.Chat баговал, уведомления не приходили вовремя

Года два-три назад ставил rocket.chat и с тех пор пользуемся. И особенно никаких багов не замечал, правда я с тех пор ничего не обновлял его.


Геморно было получать у Google/Apple токены для отправки сообщений и пересобирать приложения чтобы они работали с этими токенами, плюс у некоторых пользователей с не чистым Android были всякие спец. настройки по блокированию уведомлений и приходилось
им объяснять как включить оповещения rocket.chat. Но с тех пор никаких проблем не было.

Ошибка <...>: менеджеры контролируются, как исполнители
<...>
Используя тот же инструмент для менеджеров <что и для разработчиков>, мы быстро столкнулись с проблемами — задачи оценивались от балды, сроки постоянно срывались<...>


Это волшебно, спасибо. Сохранил в цитатник. Изумительно показательный кейс из реального опыта.
Sign up to leave a comment.

Articles