The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Утечка параметров аутентификации через незащищённые серверы etcd

25.03.2018 22:07

Исследователь безопасности Giovanni Collazo опубликовал результат анализа некорректно настроенных распределённых хранилищ etcd, принимающих запросы из внешней сети без аутентификации. При помощи поисковой системы Shodan было выявлено 2284 общедоступных сервера etcd, отправив запросы на 1485 из которых удалось загрузить около 750 Мб данных.

Для получения данных использовался рекурсивный запрос всех ключей ("GET http://host:2379/v2/keys/?recursive=true"). в ходе изучения извлечённых данных было выявлено 8781 паролей, 650 ключей доступа к окружениям Amazon AWS, 23 секретных ключа и 8 закрытых ключей. Etcd обычно используется как хранилище конфигурации для групп серверов, изолированных контейнеров с типовой начинкой и как хранилище параметров в кластерах Kubernetes. Судя по связанным с полученными параметрами аутентификации ключам они применялись для доступа к различным серверам, системам управления контентом, СУБД MySQL и PostgreSQL.

Администраторам etcd рекомендуется проверить свои системы на предмет должной изоляции межсетевым экраном и включения доступа с применением аутентификации (до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена). Общедоступные серверы etcd представляют угрозу не только как источник утечки паролей к другим серверам и сервисам, но и как объект для вандализма и применения вредоносных шифровальщиков, которые в своё время активно атаковали незащищённые MongoDB, CouchDB, Hadoop и ElasticSearch.

  1. Главная ссылка к новости (https://elweb.co/the-security-...)
  2. OpenNews: Выпуск распределенной системы хранения конфигурации etcd 3.3
  3. OpenNews: Следом за MongoDB начались атаки на CouchDB, Hadoop и ElasticSearch
  4. OpenNews: Незащищённые Hadoop-серверы отдают более 5 Пб данных без аутентификации
  5. OpenNews: Зафиксировано использование Memcached в качестве усилителя трафика для DDoS-атак
  6. OpenNews: Число серверов MongoDB, поражённых шифровальщиком, увеличилось до 28 тысяч
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: etcd, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (74) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, AntonAlekseevich (ok), 22:25, 25/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Мораль такова, надо нормально настраивать конфиги демонов.
    А ещё лучше обкатывать каждый .+ конфиг через каждый эксплоит-тест.
    А ЕЩЁ лучше не использовать etcd на критических объектах.
     
     
  • 2.19, Аноним (-), 00:48, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А ЕЩЁ лучше не использовать etcd на критических объектах.

    Внезапный вывод. Может поделишься с менее смышлёными, чем же так плох etcd на «критических объектах»?

     
     
  • 3.22, Аноним (-), 01:55, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > чем же так плох etcd на «критических объектах»?

    Тем, что до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена.

    Практически наверняка есть ещё какие-то проблемы, не с безопасностью, так с надёжностью.

    Теперь вы попросите ткнуть вас носом в эти проблемы, чтобы убедиться, что я не пустомеля.

    В ответ я пробормочу что-то невнятное. Возможно, честно признаюсь, что об etcd слышу исключительно из новостей типа этой. Возможно, скажу, что всё современное хипстерское, коим является и etcd, вообще не ориентировано ни на стабильность, ни на безопасность, а рассчитано лишь на пересоздание с нуля виртуалки в случае любых проблем.

    Объясню, что по финансовым/политическим/маркетинговым причинам авторам надо быстрее и больше, а потому в таком софте априори отсутствуют особенности систем (безопасность, надёжность, отлаженность), требующие при разработке длительного погружения в какой-то аспект (анализ, продумывание, изучение вариантов, хотя бы минимальное изучение предметной области) без достижения видимого для инвестора результата (функционала, который можно потыкать).

    Вы, конечно, на эти оправдания не поведётесь и будете правы: ведь раз на ошибку вам не могу указать я, значит её и вовсе нет.

    Через какое-то время (от нескольких месяцев до пары лет) появится похожая новость об уязвимости.

    Вы опять напишите традиционное "не бывает софта без глупых ошибок" и пойдёте пересоздавать образы виртуалок.

    Кто-то на форуме вам напишет, что ЭТО не предназначено для использования в продакшне и делать этого не стоит.

    И всё повторится заново.

     
     
  • 4.25, Аноним (-), 04:23, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Полно протаколов не поддерживающих аудантифирацию и шифрование и что?
    Если очень надо из интернета соединяться можно ssh тунель делать
     
     
  • 5.58, XoRe (ok), 16:04, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Полно протаколов не поддерживающих аудантифирацию и шифрование и что?

    Вы заставляете мои глаза кровоточить.

     
  • 4.27, Аноним (-), 05:03, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    etcd 8212 специализированное хранилище Его в основном используют для взаимод... текст свёрнут, показать
     
     
  • 5.37, Moomintroll (ok), 10:56, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > будет никогда не меняемый пароль, который будут руками забивать в каждый образ

    Puppet/Ansible/Chef/Saltstack...

     
     
  • 6.41, Аноним (-), 13:12, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А плейбуки с паролями будут на гитхабе лежать?
     
     
  • 7.42, kazh (?), 13:43, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А плейбуки умеют генерить пароли.
     
     
  • 8.44, Аноним (-), 14:05, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Пересобирать весь кластер ежемесячно ради смены пароля ... текст свёрнут, показать
     
     
  • 9.75, mogwai (ok), 07:16, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Или использовать лдап и цербера... текст свёрнут, показать
     
  • 7.68, angra (ok), 21:14, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    “Vault” is a feature of ansible that allows keeping sensitive data such as passwords or keys in encrypted files, rather than as plaintext in your playbooks or roles. These vault files can then be distributed or placed in source control.
     
  • 5.47, пох (?), 14:17, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в этом месте обычно поднимают табличку BULLSHIT три слова совпали,ага посколь... текст свёрнут, показать
     
  • 5.76, Аноним (-), 07:45, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В hashicorp эту проблему помешали, но красношляпа такая шляпа
     
  • 4.85, Аноним (-), 14:43, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего этого не будет. Я просто посмеюсь с очередного дурачка, списавшего удобный инструмент потому, что ему там жупел в виде каких-то хипстеров померещился.
     
  • 3.90, AntonAlekseevich (ok), 14:02, 05/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Внезапный вывод.

    Это не внезапный выход, а перенос "Театра безопасности" в компьютерную сферу.
    На фоне недавних событий определение "Театр безопасности" так и остается театром. То что я написал это вредно для действия, а не как руководство сделать себе инфраструктуру безопаснее в угоду юзабильности.

    А те негативные комментарии оставленные ниже это комментарии тех людей которые восприняли моё сообщение буквально плюсом люди поставившие минуса тоже восприняли сообщение буквально, а не как вредный совет.

     
  • 2.24, Аноним (-), 04:21, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    мораль такова. Нужно включить фаервол на блокирование всех входящих соединений кроме нескольких нужных.
     
     
  • 3.46, Crazy Alex (ok), 14:14, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Причём этой морали лет 20 уже как минимум. А дле некоторых оно до сих пор не очевидно почему-то
     
     
  • 4.62, anonymous (??), 17:07, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это понятно. Но куча серверного софта становится не нужна при таком раскладе. Тот же мускуль. Нафиг ему сервер, когда его уже никто в здравом уме наружу не выставляет?
     
  • 4.69, angra (ok), 21:20, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не знаю как 20, но 10 лет назад это было не особо нужно на линуксе, так как хипстеры еще не пришли в IT и не наделали всяких nosql БД без аутентификации.
     
     
  • 5.84, Аноним (-), 14:37, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нужно было всегда, и 10 лет тому, и 20, и 500. До идеи «кого надо пущать, остальных не пущать» додумались ещё задолго до этих наших интренетов. Но до админов локалхостов и ланчиков на 10 пользователей начало доходить только когда «хипстеры пришли в IT», а влияние эффекта неуловимого Джо сильно уменьшилось.
     
     
  • 6.86, angra (ok), 16:34, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Попробуй обосновать. Или ты привык следовать догмам, а не пользоваться мозгом?
    Практика показывает, что открытый фаервол можно даже сейчас использовать, если на серверах нет модно-молодежных сервисов. И оно работает без взломов, годами, на сотнях серверов по всему миру.
     
  • 3.49, пох (?), 14:17, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > мораль такова. Нужно включить фаервол на блокирование всех входящих соединений

    еще лет через двадцать ты поймешь, что и исходящих тоже.

     
  • 2.88, Легион (?), 23:05, 28/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    etcd supports SSL/TLS as well as authentication through client certificates, both for clients to server as well as peer (server to server / cluster) communication.
     

  • 1.2, Анотоним (?), 22:29, 25/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –22 +/
    Он русские сервра проанализировал Давайте пригласим на семинар Статья 272 УК Р... текст свёрнут, показать
     
     
  • 2.3, Crazy Alex (ok), 22:32, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +21 +/
    Кхм, какой коллекционный экземпляр. И что ж такое админишь, родимый, что взбеленился? Обидно, что носом ткнули в твою же дурость?
     
     
  • 3.5, ага (?), 22:52, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Таков типичный девопс
     
     
  • 4.21, vantoo (ok), 01:21, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Тогда нечего удивляться. Новомодные хипстеры-девопсы это такие мартышки, которые только и умеют, что плодить виртуалки-клоны, управляя ими через оркестровки. А в случае проблемы у них одно решение, удалить и накатать по-новой образ.
     
     
  • 5.39, Аноним (-), 12:25, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    удалить и накатать образ стоит 15 минут и 2 бакса на админа,
    разобраться что же не так - потребует 2 часа и дорогого админа.

    Сами же понимаете что лучше для бизнеса ?

     
     
  • 6.50, пох (?), 14:19, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Сами же понимаете что лучше для бизнеса ?

    угу, а когда залетевший дятел все это разрушит - бизнес объявляет банкротство. двухбаксовые девопы немедленно находят новый такой же, инвестор "фиксирует убытки" (и не платит налогов, так что он в общем ничего и не потерял), эффективные менеджеры улетают на золотом парашутике, вернуться не обещают, но обязательно где-нибудь приземляются.

     
     
  • 7.63, anonymous (??), 17:09, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Через пару месяцев про этот "бизнес" никто не вспомнит. А банкротство - это часть рабочего процесса. И никакие 5-10 килобаксовые девопсы это не изменят.

     
  • 5.45, Crazy Alex (ok), 14:12, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я вот более вменяемых вижу. А здесь карикатура какая-то
     
  • 3.7, anonymous (??), 23:24, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это он намекает на то, что исследователь безопасности у нас рискует присесть. Поэтому и чесаться, будучи админом, не имеет смысла.
     
     
  • 4.13, pavlinux (ok), 00:28, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >... исследователь безопасности у нас рискует присесть.

    Ну не присесть, но объяснительную напишешь :)

     
     
  • 5.28, anonymous (??), 08:56, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лет 10 назад может быть. Сейчас уже не уверен.
     
  • 4.71, Анотоним (?), 21:46, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Есть разница, исследовать безопасность по заказу владельца инфраструктуры ИЛИ по... текст свёрнут, показать
     
  • 2.6, Аноним (-), 23:18, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >>Исследователь безопасности Giovanni Collazo опубликовал результат
    > Он русские сервра проанализировал? Давайте пригласим на семинар.

    Поэтому надо оставаться анонимом. Слишком много сброда всякого кругом.

     
     
  • 3.26, YetAnotherOnanym (ok), 04:37, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > копирования не было

    Кагбэ, именно что было: "рекурсивный запрос всех ключей ("GET http://..."

     
     
  • 4.43, Аноним (-), 13:48, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Запрос ключей чтобы посчитать статистику.
     
  • 2.9, IRASoldier (?), 23:27, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лучшая защита хранилища данных - запрет начальства доступаться к хранилищу не имеющим нарочитого предписания, за неисполнение коего запрета долженствует быть применена к неисполнившему кара уголовная.

    А мы-то тут, простаки, файерволы налаживаем, шифрование поднимаем... Где ж ты раньше был? Это ж революция в IT!

     
     
  • 3.11, anonymous (??), 23:56, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Лучшая защита хранилища данных - запрет начальства доступаться к хранилищу не имеющим
    > нарочитого предписания, за неисполнение коего запрета долженствует быть применена к неисполнившему
    > кара уголовная.

    Ты прям Америку переоткрыл. Статей уголовных вагон. Поэтому любая деятельность, связанная с исследованием безопасности, чревата рисками. И не только в этой стране. Новость пробегала несколько лет назад https://habrahabr.ru/post/166459/ Я фигею, какая у людей короткая память.

     
     
  • 4.17, Аноним (-), 00:38, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А можно как-нибиудь на тянуть в наш инженерно-технический мир все это гуманитарное дерьмо под названием закон и власть? Это же наиотвратительнейшая сущность созданная человеком для регулирования процессов. Нормально это не функционирует и в таком виде работать это нормально не будет никогда.

    > "Студент получил 2,5 года колонии за экстремизм в дипломной работе об экстремизме"
    > https://echo.msk.ru/news/2146678-echo.html

     
     
  • 5.23, anon66 (?), 03:30, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    если хотите разобраться ищите "яхве против баала". как осилите копайте дальше. всё не так просто как малюют уже 6 тыс. лет.
     
     
  • 6.38, IRASoldier (?), 11:19, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ...когда вместо мануалов по сетевым протоколам курил протоколы сионских мудрецов facepalm.jpg
     
  • 5.29, anonymous (??), 08:59, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Какая есть. Никто же не виноват, что людишки не могут без регулирования.


     
     
  • 6.33, anonymous (??), 10:13, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    да да да
     
     
  • 7.34, anonymous (??), 10:14, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я  так думаю!
     
  • 3.12, Аноним (-), 00:06, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    может, появились какие-то надежные средства у "крыши"? не может же быть человеку всё равно ушли данные или нет.
     
  • 3.36, amonymous (?), 10:15, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А мы-то тут, простаки, файерволы налаживаем, шифрование поднимаем... Где ж ты раньше был? Это ж революция в IT!

    Тычо. Это щаз не модно, и без смузи. Контейнерчик в докере запилил - и хорошо.

     
  • 2.32, Sindzicat (?), 09:37, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Простите, вы когда уходите, дом не запираете? Если запираете, то почему?
     
     
  • 3.51, Аноним (-), 14:22, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Простите, вы когда уходите, дом не запираете? Если запираете, то почему?

    иначе ты можешь нечаянно зайти, исключительно в целях сбора статистики о моих вещах и нычках, и тебя съест моя собачка. А вот это - в нашей дурацкой стране уголовно наказуемо, даже если на двери висит табличка.

     
  • 3.64, anonymous (??), 17:34, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Простите, вы когда уходите, дом не запираете? Если запираете, то почему?

    Начнём, с того, что домушники стимулируют людишек хранить деньги в банках. Поэтому вполне может случиться, что сферический домушник, зашедший в открытую дверь, рискует гораздо меньше мамкиного хакера, который залез в админку по дефолтному паролю.

     

  • 1.30, рыба ест людей (?), 09:25, 26/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    а майнить через etcd можно? говорят, сейчас только ради этого и ломают сервера.
     
     
  • 2.52, пох (?), 14:24, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а майнить через etcd можно? говорят, сейчас только ради этого и ломают
    > сервера.

    вы никуда не годный хипстер, не видать вам халявных монерок. Через etcd нужно раздать задания на майнинг по всей ферме.
    (уж что-нибудь, умеющее exec, среди мусорных конфигов найдется)


     

  • 1.31, Нанобот (ok), 09:34, 26/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    имхо, если придумать любую ошибку конфигурации, а потом просканировать 0.0.0.0/0 на её наличие, всегда можно найти тысячи хостов, где эта ошибка имеет место.
     
  • 1.35, amonymous (?), 10:15, 26/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Жесть блин. Все вот эти вот монго-редисы-этцды - это ж стильно-модный-молодёжный девопс. Таки лучше переесть, чем недоспать.
     
  • 1.40, Аноним (-), 12:34, 26/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Новость! срочно в номер! Если приехать на парковку у супермаркета и оставить машину с незакрытым окном и пойти часа на 3 за покупками, то по возвращению скорее всего из салона пропадет барсетка и все остальное ценное... а то и сама машина.
    Если выставить сервис без авторизации голой жопой в интернет, то его найдут и так или иначе попользуют.. Если там лежат деньги^W логины пароли, то их сможет прочитать любой желающий..

    И да, процентов 80 народу чтото творящего в интернетах этого не понимает, а еще и обижается, что "работать мешают", на попытку обрезать доступы.. Это ни новость ни разу..

     
     
  • 2.48, Crazy Alex (ok), 14:17, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В основном ругаются потому что доступы режут совершенно невменяемо и не предоставляют при этом каких-то осмысленных способов решать текущие задачи. Админ или security officer, пытающийся закрыть всё и пофиг, как дальше работать ничем не лучше идиота, открывающего всё в мир.
     
     
  • 3.59, пох (?), 16:26, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    угу, в результате - по джампхосту на каждой кастрюле, имеющей внешний интерфейс (потому что работать-то надо), половина - осталась на память от давно уволившихся сотрудников, и о них вообще никто не знает. (обновления, что характерно, ставились пять лет назад)

    А когда того уберсекьюрити админа спрашивают "что за херня вот прямо сейчас происходит" - выясняется, что у него ни логов, ни умения.

    ничем не лучше девопа, у которого все настежь, потому что "я контейнер развернул" (а контейнера с файрволлом ему почему-то не завозят)

     
  • 2.53, Аноним (-), 14:30, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Новость! срочно в номер!

    дружище, новость-то не об этом.

    > Если приехать на парковку у супермаркета и оставить
    > машину с незакрытым окном и пойти часа на 3 за покупками,

    если бы все так делали, я бы давно на работу не ходил.

    > Это ни новость ни разу..

    тут новость ровно в том, что "а вон у того супермаркета-  полная парковка таких лохов".

    P.S. на самом деле в какой-нибудь Норвегии вполне народ и ключи в замке оставляет. Но ты если там будешь, сперва по сторонам оглядись - если рядом стоит еще одна грязная тачка с русскими или польскими номерами, или вокруг бродят ниггеры - то не будь таким лохом.
    (их ловят, и отправляют коленом под зад обратно в родные бантустаны, но помогает плохо)

     

  • 1.57, anonymouse (?), 15:40, 26/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оо, жаркий спор ansible-docker хомячков. Лол.
     
     
  • 2.60, freehck (ok), 16:32, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А что не так с ansible?
     
     
  • 3.61, MoronDude (?), 16:50, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То что каждый сервер должен быть конфигурирован вручную, и пропущен через цыпочку валидаций и проверок безопасности.
     
     
  • 4.70, angra (ok), 21:35, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ansible это инструмент, как нож или топор. Если его использует умный человек, то сплошная польза. Но в руках дурака  он опасен для него самого и окружающих.
    Дураки используют чужие плейбуки и докерфайлы, получая неизвестно что. Умные создают свои. И в этом случае один сервер настраивается тщательно и вручную, может быть даже на протяжении нескольких дней, а вот потом его копии создаются быстро в любом количестве. И это куда лучше, чем вручную создать за то же время десять однотипных серверов, в половине из них упустив какие-то важные действия и не доведя до нужной кондиции ни один.
     
     
  • 5.72, нах (?), 22:24, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Дураки используют чужие плейбуки и докерфайлы, получая неизвестно что. Умные создают свои.

    умным не нужен ansible - они создают свой. Заточенный строго под их задачи.

    И это быстрее, чем разбираться в существующих нагромождениях на уровне, большем, чем чтобы использовать чужие/наспех поправленные конфиги (а потом больно стукнуться об ограничения модели и все равно начать колхозить).

    > И это куда лучше, чем вручную создать за то же время десять однотипных серверов
    > в половине из них упустив какие-то важные действия

    ansible позволяет растиражировать упущенные действия на все десять, а то и все пять тысяч, ага. Быстро, очень быстро.

    для того и брали.

    P.S. к тому же для цели растиражировать просто свежеустановленный сервер никакой ansible даром не нужен - все вменяемые дистрибутивы умеют автоустановку с заданными параметрами. Он или что-то другое становится нужным, когда серверов уже сотни, и на них что-то надо _поменять_.
    Причем без гарантии, что поменять надо одинаково.

     
     
  • 6.73, MoronDude (?), 02:10, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен. Если нужно настроить новые сервера с одинаковой конфигурацие можно воспользоваться автоустановкой, для существующих нужно все менять в ручную с полной проверкой на каждом сервере.

    Если твой ansible хост скомпрометирован, можно смело сжигать сервера. Если ты конечно не «я у мамы хакер localhost’а».
    (Тоже с puppet, и cheff и salt и т.п и т.д)

     
     
  • 7.77, foobar (??), 07:55, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    "Как заданием об изменении одной строки на тысяче серверов обеспечить мамкиному админу работу на год".

    Кроме мартышкиного ручного "труда" и создания видимости работы наши бородатые админы ничего и не умеют. За что и были закономерно выброшены на обочину рынка.

     
     
  • 8.80, забыл_пароль_от_тигар (?), 09:29, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    только почему-то зовут именно их оттуда, когда девопсики обосpались и щас конте... текст свёрнут, показать
     
     
  • 9.81, ыы (?), 09:32, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не, этих не зовут нафиг они нужны если ansible не знают пусть продолжают лок... текст свёрнут, показать
     
  • 7.79, ыы (?), 09:25, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ansible  -это такой, своеобразный (ну.. какой есть) аналог групповых политик от домена активдиректори.
    вы не понимаете зачем нужен ансибл? зачем нужны групповые политики? рассуждаете о компрометации контроллера домена?

    Претензии которые вы высказываете - смехотворны.

    Я еще раз повторю ранее высказанную кем -то мысль:

    "сначала я думал что это троли, но потом понял [с ужасом] что они всерьез."

     
     
  • 8.87, MoronDude (?), 17:00, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я по большей части троил Но если серьезно то автомацией не все проблемы решаютс... текст свёрнут, показать
     
     
  • 9.89, Легион (?), 23:21, 28/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ежели юзать конфигманагер, то ВСЕ изменения должны выполняться плейбуками манифе... текст свёрнут, показать
     
  • 7.83, angra (ok), 13:00, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > для существующих нужно все менять в ручную с полной проверкой на каждом сервере.

    Разве что если тебе платят почасово, совести не хватает, чтобы отказаться от развода заказчика на бабки, а ума на применение эффективного решения с последующим указанием времени неэффективного.

    > Если твой ansible хост скомпрометирован, можно смело сжигать сервера.

    Даю хинт, ansible можно юзать с любой машины. Он не требует выделенного сервера как "puppet, и cheff и salt и т.п и т.д)"
    Ну и при компрометации гейта или машины админа придется это делать в любом случае, даже если там не было ansible. Вот только с ansible переустановка займет значительно меньше времени.

     
  • 6.82, angra (ok), 12:56, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > умным не нужен ansible - они создают свой. Заточенный строго под их задачи.

    И это тоже. Но только если задачу действительно неудобно решать имеющимися инструментами.

    > ansible позволяет растиражировать упущенные действия на все десять, а то и все пять тысяч, ага. Быстро, очень быстро.

    И точно также быстро их исправить. Причем исправлять надо будет везде одинаково и найти проблемное место легко, а при ручной работе на каждом сервере могут быть разные ошибки и их поиск будет тем еще квестом.

    > к тому же для цели растиражировать просто свежеустановленный сервер никакой ansible даром не нужен - все вменяемые дистрибутивы умеют автоустановку с заданными параметрами.

    Во-первых, это больше возни. Во-вторых, значительная часть хостеров дает выбор из имеющихся у них образов, а не возможность проинсталлить свой.

    > Он или что-то другое становится нужным, когда серверов уже сотни, и на них что-то надо _поменять_.

    Или применить композицию. Или разбиение задач на "кубики" и сборка из них это слишком по-программерски для тру админов?
    Как раз для регулярных изменений лучше использовать не ansible, а свой инструмент.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру