Комментарии 11
Почему присоединяете к root, а не создаете нового пользователя?
… И даём этому пользователю sudo? А sudo c паролем или без? Если без пароля, то в чём «повышенная безопасность»? Если с паролем, то удобство от ключей, мягко говоря, спорное, потому что придётся идти и копипастить пароль как и раньше.
Никто не мешает на созданной машине добавить пользователя, дать ему нужные права и отключить рута или ограничить его только консолью.
Никто не мешает на созданной машине добавить пользователя, дать ему нужные права и отключить рута или ограничить его только консолью.
Я совсем не в тему повешенной безопасности. Я про удобство.
Вот именно избавиться от этого.
Никто не мешает на созданной машине добавить пользователя, дать ему нужные права и отключить рута или ограничить его только консолью.
Вот именно избавиться от этого.
Но какого пользователя мы должны создавать? И должны ли мы доставлять sudo в дистрибутивы, где этого пакета нет по умолчанию? И должен ли sudo спрашивать пароль?
Я предпочитаю либо делать целиком managed сервис, либо не трогать эти вопросы вообще. Полу-решения в этих вопросах хуже, чем полностью отданное на откуп пользователю.
Я предпочитаю либо делать целиком managed сервис, либо не трогать эти вопросы вообще. Полу-решения в этих вопросах хуже, чем полностью отданное на откуп пользователю.
Помнится, за подобный ответ меня жестко заминусовали. Потому что я спросил у кого-то: в чем сакральная безопасность четырех букв и пробела. С тех пор у меня нет прав на хабре, кроме коммента раз в 15 минут :-) Так что я стараюсь больше умного ничего не писать. Вдруг не поймут. Тупое писать не хочу. Приходится не писать ничего. :-)
Если вы про sudo, то у sudo без пароля при запрещённом логине пользователя есть одна простая польза — подбирать нужно будет ещё и username.
А в многопользовательской среде sudo даёт понимание, кто что сломал. Не защиту, но кооперативное сотрудничество, разумеется.
Нормально sudo спасает только при доп.авторизации. Например, у меня на ноутбуке sudo требует отпечаток пальца. При этом для логин в систему нужно вводить пароль (им зашифрован home), а пальчик используется для sudo и разлочивания экрана.
(и разумеется, отдельный пароль на ssh-ключ).
А в многопользовательской среде sudo даёт понимание, кто что сломал. Не защиту, но кооперативное сотрудничество, разумеется.
Нормально sudo спасает только при доп.авторизации. Например, у меня на ноутбуке sudo требует отпечаток пальца. При этом для логин в систему нужно вводить пароль (им зашифрован home), а пальчик используется для sudo и разлочивания экрана.
(и разумеется, отдельный пароль на ssh-ключ).
> Наш сервер API написан на Haskell — хотелось бы почитать про ваш опыт. Использовали ли Yesod, так ли плох cabal как кажется, как организован деплой, и т.д.
Насколько я знаю, мы никогда не использовали Yesod, в тех случаях, когда был нужен веб-сервер, использовался snap, например в качестве вебсокет-сервера для консолей, исользуется websockets-snap.
Что вы имеете ввиду? Субъективно cabal, cabal-install, cabal-dev кажутся мне наиболее удобной системой сборки из используемых.
В данный момент мы собираем пакеты deb/rpm для всех х-ль программ.
Что вы имеете ввиду? Субъективно cabal, cabal-install, cabal-dev кажутся мне наиболее удобной системой сборки из используемых.
В данный момент мы собираем пакеты deb/rpm для всех х-ль программ.
В Windows Azure такое есть уже давно, но там используется публичный ключ в формате DER, инструкция по его созданию немного кривовата.
Оффтопик.
В админ-панели, в разделе «Облачное хранилище», в подразделе «Настройка доступа» пункты «Показать пароль» и «Сгенерировать новый пароль» стоят рядом. Проблема в том, что команда «Сгенерировать новый пароль» выполняется по клику сразу без подтверждения.
Случайный клик ломает процедуру бэкапов на множестве серверов. Очень досадно. :(
Куда бы пожаловаться, чтобы добавили подтверждение?
В админ-панели, в разделе «Облачное хранилище», в подразделе «Настройка доступа» пункты «Показать пароль» и «Сгенерировать новый пароль» стоят рядом. Проблема в том, что команда «Сгенерировать новый пароль» выполняется по клику сразу без подтверждения.
Случайный клик ломает процедуру бэкапов на множестве серверов. Очень досадно. :(
Куда бы пожаловаться, чтобы добавили подтверждение?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Поддержка ssh-ключей пользователя в облаке