А ещё лучше не хранить код и конфиги в одной папке. Например, кладём файлики в папку /usr/local/etc/, ставим поменьше прав для всех и читаем оттуда. Если запускаем в контейнере - можно скопировать в образ (тоже плохо), а после запуска и чтения вообще удалить.
В этом случае можно спокойно удалять папку с кодом при обновлениях, у нас нет мусора в виде кучи конфигов, сертификатов и ключей в общей папке.
И никто не закоммитит случайно сертификат с именем "my_private_key.pem.beckap".
Что касается переменных окружения - то нелишним будет добавить что все порождаемые процессы тоже будут иметь к ним доступ (не всегда, зависит от параметов запуска). Запускает ваш питон-скрипт какой-нибудь бинарник tesseract, а тот получает все ваши пароли к базам и AWS-облаку..
Вдобавок, переменные окружения лежат в файликах в /run/ для процесса и, хотя и доступны не всем, но другой процесс, в принципе, может получить к ним доступ. Как и к конфигам в папке, впрочем.
Году в 1996 в компьютерном классе школы получили от спонсоров новейший Пентиум, на котором стояла 95 винда. У нас с другом был безлимитный доступ в класс, и дома тоже компы с DOS. Захотели себе такие же "окошки". На двоих было полтора десятка дискет. Заархивировали все папки и файлы, которые нам показались важными, архивы порезали на размер дискет и перетащили домой за несколько ходок. Потом ещё раз, поскольку пара дискет были битыми.. Самый большой (и самый, видимо, нужный) файл в корне диска с расширением .swp архивировался плохо.
Дома разархивировали. Надо ли говорить что ничего не заработало? "Разоча~1.bmp"
Уже потом я освоил переустановку Windows 95 по 4 раза за день (с первого не всегда вставала), на HDD размером 212Мб, плюс MSOffice и остальной важный софт.
Мне кажется, что у администраторов есть гораздо более простые способы всё сломать.
Что касается NTP - то там один поломавшийся сервер не должен ничего испортить - там сервера, вроде бы, согласованно работают и один, передающий неправильно, будет просто исключён.
Очевидно что где-то (и не в одном месте, скорее всего) ломается код, переводящий время в строку. Или из строки обратно. YYYY-MM-DD
Если вам на условном собесе предложат написать регулярку для проверки даты - какой паттерн вы возьмёте (представим, что вы еще не читали эту статью)? Ну вот и все берут.
Ну вот здесь уже я выступлю в защиту статьи.. Умные пылесосы можно купить и по желанию жильцов, после отделки квартиры. А вот централизованный контроллер и все коммуникации для управления вы можете заложить только при постройке. Иначе придётся заново штробить стены и проектировать всё для каждой квартиры отдельно.
Централизованное управление кроме минусов имеет ещё и плюсы. Нам рассказывают не про то как кто-то в деревне добавил мозгов даче, а что застройщики начинают закладывать все эти решения на этапе постройки.
Да, но вашим освещением теперь будет очень удобно управлять не только вам, но и охраннику вашего дома: "ну что, Петрович, кто первым выскочит щиток проверять - 213 или 214?".
А дверной глазок очень удобно сливает всё видео себе в облако по незащищённому каналу. И умные пылесосы чрезвычайно умно шлют всё видео с голыми хозяевами на свои сервера чтобы техподдержка могла делиться ими в своём чате. Слишком умная стиралка заливает 11Гб неизвестных данных в свое облако, а при попытке урезать это на роутере производитель блокирует вам её удалённо. И пара сотен умных лампочек в доме сразу превращается в обычные после того как производитель банкротится через год-два.
Простите, но в одном вашем комментарии сразу две теории заговора, не основанные ни на чем, и показывающие что вы совершенно не в курсе истории биткойна.
Да и фразу "Dr Wright's conduct is also deadly serious" стоило бы перевести тоже не буквально - хотя бы как "Поведение доктора Райта чрезвычайно серьёзно", а не "смертельно серьёзно".
Ха, таких-то "хакеров" у нас пол-страны. Еще в детстве, помню, в школе кто-то так же "протестировал" замок на двери в школу. Оказалось что он плохо устойчив к спичкам и клею!
Минут 20 вся школа толкалась на морозе (DDoS), но потом пришел физрук и с заклинанием "Алохомора" или похожим, гм, пенетрировал дверь, устранив bottleneck.
Что касается дверей в туалет - то даже в той же школе они были уже разтестированы на первой же неделе и не запирались никогда, с дырами на месте ручек. Тоже, наверное, хакеры..
Ну с текстом понятно.. А что вы будете делать когда, внезапно, узнаете, что цифры тоже надо переводить?
Помнится, я экспрессивно выразил легкое недоумение, когда у меня заказчик, неожиданно, попросил показывать цифры на арабском в уже полузаконченном проекте. А все страницы состояли из таблиц с числами, плюс экспорт в pdf.
Довольно часто бывает что после таких резких сокращений происходит резкое сокращение численности самих хищников, как раз по причине того, что жратвы меньше. И популяция восстанавливается. Это вполне происходит и в дикой природе, но здесь человечки решили порегулировать сами.
Вай, начальник, какой интеллект - просто текст на плёнке записан! И совсем не искусственный - мы с Мойшей позавчера записали сами!
Как раз ".backup" может встречаться в ".gitignore", но написанное с опечаткой пройдёт этот фильтр.
А ещё лучше не хранить код и конфиги в одной папке. Например, кладём файлики в папку
/usr/local/etc/
, ставим поменьше прав для всех и читаем оттуда. Если запускаем в контейнере - можно скопировать в образ (тоже плохо), а после запуска и чтения вообще удалить.В этом случае можно спокойно удалять папку с кодом при обновлениях, у нас нет мусора в виде кучи конфигов, сертификатов и ключей в общей папке.
И никто не закоммитит случайно сертификат с именем "my_private_key.pem.beckap".
Что касается переменных окружения - то нелишним будет добавить что все порождаемые процессы тоже будут иметь к ним доступ (не всегда, зависит от параметов запуска). Запускает ваш питон-скрипт какой-нибудь бинарник tesseract, а тот получает все ваши пароли к базам и AWS-облаку..
Вдобавок, переменные окружения лежат в файликах в
/run/
для процесса и, хотя и доступны не всем, но другой процесс, в принципе, может получить к ним доступ. Как и к конфигам в папке, впрочем.Году в 1996 в компьютерном классе школы получили от спонсоров новейший Пентиум, на котором стояла 95 винда. У нас с другом был безлимитный доступ в класс, и дома тоже компы с DOS. Захотели себе такие же "окошки". На двоих было полтора десятка дискет. Заархивировали все папки и файлы, которые нам показались важными, архивы порезали на размер дискет и перетащили домой за несколько ходок. Потом ещё раз, поскольку пара дискет были битыми.. Самый большой (и самый, видимо, нужный) файл в корне диска с расширением .swp архивировался плохо.
Дома разархивировали. Надо ли говорить что ничего не заработало? "Разоча~1.bmp"
Уже потом я освоил переустановку Windows 95 по 4 раза за день (с первого не всегда вставала), на HDD размером 212Мб, плюс MSOffice и остальной важный софт.
Мне кажется, что у администраторов есть гораздо более простые способы всё сломать.
Что касается NTP - то там один поломавшийся сервер не должен ничего испортить - там сервера, вроде бы, согласованно работают и один, передающий неправильно, будет просто исключён.
Так ведь sudo ?
ISO 8601: в принципе, валидный, но уже давно deprecated.
Очевидно что где-то (и не в одном месте, скорее всего) ломается код, переводящий время в строку. Или из строки обратно. YYYY-MM-DD
Если вам на условном собесе предложат написать регулярку для проверки даты - какой паттерн вы возьмёте (представим, что вы еще не читали эту статью)? Ну вот и все берут.
Старый анекдот
Купили как-то суровым сибирским лесорубам японскую бензопилу.
Собрались в кружок лесорубы, решили ее испытать.
Завели ее, подсунули ей деревце.
«Вжик» — сказала японская пила.
«У, мля...» — сказали лесорубы.
Подсунули ей деревце потолще. «Вж-ж-жик!» — сказала пила.
«Ух, мля!» — сказали лесорубы.
Подсунули ей толстенный кедр. «ВЖ-Ж-Ж-Ж-Ж-Ж-Ж-ЖИК!!!» — сказала пила.
«Ух ты, мля!!» — сказали лесорубы.
Подсунули ей железный лом. «КРЯК!» — сказала пила.
«Ага, мля!!!» — укоризненно сказали суровые сибирские лесорубы!
Ну вот здесь уже я выступлю в защиту статьи.. Умные пылесосы можно купить и по желанию жильцов, после отделки квартиры. А вот централизованный контроллер и все коммуникации для управления вы можете заложить только при постройке. Иначе придётся заново штробить стены и проектировать всё для каждой квартиры отдельно.
Централизованное управление кроме минусов имеет ещё и плюсы. Нам рассказывают не про то как кто-то в деревне добавил мозгов даче, а что застройщики начинают закладывать все эти решения на этапе постройки.
Да, но вашим освещением теперь будет очень удобно управлять не только вам, но и охраннику вашего дома: "ну что, Петрович, кто первым выскочит щиток проверять - 213 или 214?".
А дверной глазок очень удобно сливает всё видео себе в облако по незащищённому каналу. И умные пылесосы чрезвычайно умно шлют всё видео с голыми хозяевами на свои сервера чтобы техподдержка могла делиться ими в своём чате. Слишком умная стиралка заливает 11Гб неизвестных данных в свое облако, а при попытке урезать это на роутере производитель блокирует вам её удалённо. И пара сотен умных лампочек в доме сразу превращается в обычные после того как производитель банкротится через год-два.
Автоматизация!
А как работает открытие дверного замка голосом? То есть можно записать голос владельца, а потом для двери просто его проиграть и дверка откроется?
Простите, но в одном вашем комментарии сразу две теории заговора, не основанные ни на чем, и показывающие что вы совершенно не в курсе истории биткойна.
Да и фразу "Dr Wright's conduct is also deadly serious" стоило бы перевести тоже не буквально - хотя бы как "Поведение доктора Райта чрезвычайно серьёзно", а не "смертельно серьёзно".
Очередная статья-трэш ради контента и рекламы своего канала. После первой вашей статьи я сдержался, но сейчас вот вам минус в карму.
Просто тупой список случайно надерганных приложений, с одним абзацем описания. Совершенно бесполезно, таких "статей" - миллион по всему интернету.
top и nagios в одном списке. Странно что какой-нибудь Ansible не попал, вперемешку с
df
.Яснопонятно.
Даже и затягивать специально не надо. Наоборот - назначить на этот проект побольше сеньоров. И побольше менеджеров.
Они там будут полгода только спорить про архитектуру, потом рисовать презентации...
Ха, таких-то "хакеров" у нас пол-страны. Еще в детстве, помню, в школе кто-то так же "протестировал" замок на двери в школу. Оказалось что он плохо устойчив к спичкам и клею!
Минут 20 вся школа толкалась на морозе (DDoS), но потом пришел физрук и с заклинанием "Алохомора" или похожим, гм, пенетрировал дверь, устранив bottleneck.
Что касается дверей в туалет - то даже в той же школе они были уже разтестированы на первой же неделе и не запирались никогда, с дырами на месте ручек. Тоже, наверное, хакеры..
Ну с текстом понятно.. А что вы будете делать когда, внезапно, узнаете, что цифры тоже надо переводить?
Помнится, я экспрессивно выразил легкое недоумение, когда у меня заказчик, неожиданно, попросил показывать цифры на арабском в уже полузаконченном проекте. А все страницы состояли из таблиц с числами, плюс экспорт в pdf.
Довольно часто бывает что после таких резких сокращений происходит резкое сокращение численности самих хищников, как раз по причине того, что жратвы меньше. И популяция восстанавливается. Это вполне происходит и в дикой природе, но здесь человечки решили порегулировать сами.