Új hozzászólás Aktív témák
-
sh4d0w
félisten
Az uzemeltetesi biztonsagot nem ezzel fogod megoldani, hanem az LB/HA rendes letrehozasaval, rendes rendszeres backuppal, a backup setek rendes, folyamatos ellenorzesevel, a monitoring rendes beallitasaval es figyelesevel, valamint rendes dokumentaciojaval. UPS, ami rendesen le van tesztelve legalabb havonta.
LB/HA: minimum 3 lab, 3 kulonbozo foldrajzi helyen - ha egyet frissitesz, egy meg megdoglik, meg mindig legyen hol futnia az alkalmazasodnak.
Backup: legalabb 3 peldany, 3 kulonbozo foldrajzi helyen.
Backup ellenorzes: igenis minden backup utan legyen megnezve a logban, hogy rendesen lefutott-e.
Monitoring: legyen beallitva, mit monitorozol es csak az.
Monitoring dokumentacio: mi es miert kerult hozzaadasra, mi es miert kerult ki belole.Ez az alap, de ekkor meg csak availability-d van a CIA triangle-bol, a tobbinek ezutan kell nekiallni.
ui.: olyan erzesem van, hogy Magad sem tudod, hogy egy ilyen immutable rendszer hova lenne jo a Linux vilagaban, de nem okollak erte, mert szerintem azok sem tudjak, akiknek a fejeben megfogant az otlet. Az irasodban, vagy utana vmelyik hozzaszolasban megemlitetted, hogy szerinted ennek szerveren lenne letjogosultsaga, de mindekozben olyan dolgokrol disputazunk, aminek nincs keresnivaloja szerveren, pl.: GNOME, network-manager es hasonszoru dolgok.
-
sh4d0w
félisten
Valoban, a felhasznalonak nincs keresnivaloja a rendszeren, de altalaban veve nem is csinal ott semmit. Arrol viszont nem a felhasznalo tehet, hogy ha telepit egy openssh-server-t, akkor a megfelelo lib-eknek oda kell kerulniuk, ahova, vagy eppen a binarisoknak. A konfiguracio elvegzese utan a usernek tenyleg semmi dolga nincs a sajat szemetdobjan kivul.
Az egy tevedes, hogy minden ellen vagyok, ami uj, sot, talaltam olyat is mondani egy magas szintu meetingen, aminek hallatan mindenki levegoert kapkodott legalabb 1 percig. (olyan otlet volt, amire addig nem gondolt senki). En az oncelu es a corporate Linux fele vezeto ujdonsagok ellen vagyok, meg azok ellen, amik security-t hirdetnek, majd olyan megoldasokat kinalnak ezen belul, ami gyengiti azt, felrevezeti a felhasznalokat es hamis biztonsagerzetbe ringatja oket.
Csak ugy poenkeppen beirtam G keresobe, hogy immutable Linux, elso talalat ZDNet. Mit ir? Increases safety and security, majd kb. 20 sorral lejjeb flatpak, snap es appimage...
"Azt írod, hogy a virtuális gépet csak kikapcsolod, ha nekiáll rendetlenkedni - de hát a konténerizált szoftverrel is pontosan ugyanezt meg tudod csinálni... és ugyanúgy el tudod szeparálni a konténerizált szoftvert, mint a virtualizáltat."
A virtualis gepen ujabb vedelmi megoldasokat tudok huzni a VM kore alkalmazasretegben, halozati retegben. Ha egy kontenerizalt alkalmazast futtatok (es akkor egyertelmusitsuk: a kontenerizalt alkalmazas alatt en azokat ertem, amelyek dockerben vagy vele egyenerteku kontenarizalt kornyezetben futnak), akkor kifejezetten csak az adott kornyezetre keszitett vedelmi eszkozeim vannak (pl. Palo Alto Prisma), a sokkal szelesebb koru OS oldali vedelmek nem allnak rendelkezesemre. Ha feltesszuk, hogy a kontenerizalt alkalmazas LB/HA konfiguracioban fut, maris sokkal nehezebb fejbecsapni, plane, ha nehany instance egy olyan remote rendszeren fut, amivel elvesztetted a kapcsolatot.
Application image-ek alatt pont ezeket az ujhullamos vackokat ertem, mint a snap, a flatpak, meg az appimage.
Meg egyszer: ha sikerul ugy megcsinalni egy immutable rendszert, hogy nem rugja fel az akar tobb evtizedes konvenciokat es megmarad a valasztas szabadsaga is, hajra, en is szivesen fogok ilyet hasznalni (noha egyebkent nincs ra szuksegem), ha nem lesz mas.
-
sh4d0w
félisten
No, akkor kerdezem meg egyszer: minek felrugni az eddigi konvenciokat, ha nem a security-ert csinalod? Kontenerezni pont ugyanugy lehet normalis Linux rendszereken, mint a nemnormalis immutable disztribuciokon, tehat a nehezebb hasznalhatosagon kivul nem kapsz semmit. Ebbol kifolyolag egyertelmu, hogy a security miatt lenne erdekes az immutable rendszer, de azt meg ugy probalja megvalositani, ami nem tekintheto biztonsagosnak.
"Kb. a világ rendszergazdáinak nagy többsége"
Kb. a vilag egyik rendszergazdaja sem telepit semmilyen alkalmazast application image-bol - amint azzal nyilvan tisztaban is vagy, csak megint kellett lovagolni a szavakon.
-
sh4d0w
félisten
"Annyi előnye van, hogy az ember nem tölt le minden szirt-szart csak azért, mert le lehet. Amit letölt, azt is konténerbe vagy flatpakba tölti le. Nem olyan rossz dolog ez, csak néha elég macerás."
Mint mar irtam, nem kezdek bele megint, miert false az image-ek altal kinalt "security". Nem mellesleg leteznek hypervisorok, a Linuxnak kernel szinten van ilyenje, tehat egy virtualis gepet letrehozni es ott baromkodni akarmivel csak percek kerdese es ott akkor tenyleg van kikapcsologombod, ha vmi nekiall rendetlenkedni, plusz meg egyeb vedelmi retegeket tudsz felhuzni, amirol sem a kontener, sem a flatpak meg csak nem is hallott. Mindezeken felul ki az a komoly, felelossegteljes rendszergazda, aki a szerverere barmit telepit image-bol? Csak mert ha van ilyen, akkor vagy surgosen tanuljon alapveto security-t, vagy inkabb keressen mas foglalkozast, mielott valakinek baja esik emiatt.
"Állítólag a Gnome-mal van a legkevesebb probléma. Könnyű fordítani, patchelni, stb."
Hja, user szempontbol meg a lexarabb. El kellene akkor vegul is donteni, hogy a usernek szeretnenk kedvezni, vagy a disztribucio keszitoinek, valahogy disszonansnak erzem az elozo ponttal.
"Nyilván nem teljesen független, de olyan értelemben igen, hogy az alkalmazás saját csomagjai nem keverednek a rendszer csomagjaival."
Ezt kifejthetned kicsit bovebben is, mert eleg sokaig kulon voltak valasztva (/bin, /sbin), aztan valaki osszerakta oket, most meg megint szurja vkinek a szemet, vagy csak indokolni akarja, miert fogott bele egy ekkora okorsegbe.
-
sh4d0w
félisten
Koszi a reszletes leirast, a bemutatast, jar erte a respekt.
Viszont ez az otlet az immutable disztribuciokkal nagyon sok ponton szembe megy a Linux filozofiaval. A /usr-ben nincs keresnivaloja konfiguracios allomanynak, annak a /etc-ben van. Nem veletlenul talaltak ki ezt a felosztast. A masik, hogy korlatozza a usert a dolgaban. A *nix rendszerek filozofiaja pont az, hogy a user tudja, mit csinal es nem akarja korlatok koze szoritani, vagy okosabb lenni nala. Snap es flatpak - nem mondom ujra el, akit erdekel, vegignyalazhatja a Linux kezdoknek topicot. Az meg, hogy valaki onkenyesen a GNOME-ot valasztotta, mint tamogatando asztali kornyezetet, a hulyeseg netovabbja.
Maga az Aeon prezentaciojanak elso sora is rossz: hogy a fenebe lehetne fuggetlen egy alkalmazas az alaprendszertol? Vagy Aeont hasznalva nem is kell OS? Nyilvanvaloan okorseg.Ez olyan systemd-szintu marhasagnak tunik egyelore, semmint hasznalhato koncepcionak, pontosan az a fajta automatizalas, aminek semmi keresnivaloja Linuxon. Remelem, nem terjed el ugy, mint a systemd.
Új hozzászólás Aktív témák
Hirdetés
- Intel Core i7 6700K / GTX 1660TI / 16GB DDR4 RAM / 500 GB SSD konfig eladó
- Samsung Galaxy S23 128GB, Kártyafüggetlen, 1 Év Garanciával
- Samsung Galaxy A53 5G 128GB, Kártyafüggetlen, 1 Év Garanciával
- Megkímélt állapotú Xbox Series X 1TB eladó. Kitisztítva és újrapasztázva!
- Gamer PC - i5 13400F, GTX 1080ti és 16gb DDR5
- Telefon felvásárlás!! Samsung Galaxy A70/Samsung Galaxy A71/Samsung Galaxy A72
- ÁRGARANCIA! Épített KomPhone Ryzen 7 9700X 32/64GB RTX 5070 12GB GAMER PC termékbeszámítással
- Apple iPhone 7 128GB, Yettel függő, 1 Év Garanciával
- Bomba ár! Dell Latitude E5570 Touch - i5-6300U I 8GB I 256SSD I 15,6" FHD I HDMI I CAM I W10 I Gari
- AKCIÓ! Apple MacBook PRO 15" 2018 i9 32GB 500GB 560X 4GB notebook garanciával hibátlan működéssel
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest