DZ
в раене 2GB
Size: a a a
2020 April 17
ST
8-10гб из гитлаб репы спокойно тяну
DZ
ну вот у меня такая ошибка часто: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers) (Client.Timeout exceeded while awaiting headers)
NA
Selinux - это дополнительный уровень защиты от горе-программистов, которые пишут программы в мире единорогов. А эксплуатация происходит в реальном мире. Selinux позволяет строго задать некий контракт безопасности. Отписываешь куда приложение может, куда не может. И когда приложение взламывают, selinux не позволит приложению сканировать диск и сети, если это не разрешено.
Но обычно все не так. Психология людей не любит негатива. И все имеют эго. А значит приложения, которые пишут программисты являются безупречными априори.
Поэтому везде отключают selinux, потому что оно всем мешает. Почти также никто не делает планку 2 минуты в день. Бесплатно, куча плюсов, но всем некогда
Но обычно все не так. Психология людей не любит негатива. И все имеют эго. А значит приложения, которые пишут программисты являются безупречными априори.
Поэтому везде отключают selinux, потому что оно всем мешает. Почти также никто не делает планку 2 минуты в день. Бесплатно, куча плюсов, но всем некогда
NA
Там ещё больше проблем
NA
Докер от root работал, кое как отучили от этого в последний год.
NA
Внезапно выяснилось, что можно от рута запускать приложения, потому что в образах докера никто пароль root не установил
NA
Написали cri-o, там можно не от рута запускать.
NA
Тут дело такое, что многие на этот вопрос забивают, некому писать мануал для программистов как есть правильно selinux. А мы живем в мире, наполненным различными ботами.
Я дома пока не поставил suricata, не узнал как часто боты сканируют мой роутер.
Все считают, что вот нас то точно не взломают, а значит не нужно затрачивать усилия на разработку selinux политик.
Прилетает к тебе приложение от программистов, а ты сидишь потом изучаешь Его с помощью strings, tcpdump, куда оно ломится и зачем. И пишешь к нему политику. Выходит новый релиз - все по новой.
Идёшь к руководителю, объясняешь что к чему, а они как страусы головы прячут. Типа не каркай, нас не ломают, если мы об этом не будем думать
Я дома пока не поставил suricata, не узнал как часто боты сканируют мой роутер.
Все считают, что вот нас то точно не взломают, а значит не нужно затрачивать усилия на разработку selinux политик.
Прилетает к тебе приложение от программистов, а ты сидишь потом изучаешь Его с помощью strings, tcpdump, куда оно ломится и зачем. И пишешь к нему политику. Выходит новый релиз - все по новой.
Идёшь к руководителю, объясняешь что к чему, а они как страусы головы прячут. Типа не каркай, нас не ломают, если мы об этом не будем думать
NA
Мы же не в РПГ играем, где есть классы и мультиклассы. Типа был рыцарь и клеток отдельный класс, а теперь паладин - это мультикласс от рыцаря и клерика.
Сейчас, есть мода - в компании должен быть девопс. Потому, что если нет, значит компания не модная. А значит нет клиентов
Сейчас, есть мода - в компании должен быть девопс. Потому, что если нет, значит компания не модная. А значит нет клиентов
NA
Может тебе повезло? Типа как девушка вышла замуж за другого?
NA
На чем завалился?
NA
Я в этом не силен. Но обычно претенденты не могут ответить на вопрос - что такое ip-адрес
NA
Ну так хорошо же - изучи эту часть и иди в новую компанию.
AD
и как вам init.d будет перезапускать упавшее?
NA
Не знаю
NA
Alex Demidov
и как вам init.d будет перезапускать упавшее?
Никак
NA
Для этого есть upstart, supervisord, systems
NA
Ещё как умеет
NA
Да