| 1.1, asdasd (?), 10:02, 08/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +15 +/– |
В MySQL / Mariadb открыть такой доступ геморой, а в MongoDB видимо закрыть такой доступ геморой -_-"
| | |
| |
| |
| 3.4, Аноним (4), 10:27, 08/03/2019 [^] [^^] [^^^] [ответить]
| +41 +/– |
Плевать на то что база жопой в интернет торчит, за то у нас куберннтис и микросервисы!
| | |
| |
| 4.19, Аноним (19), 17:06, 08/03/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Докерки, кубернетисы и прочие графаны - уже давно синоним голого зада, торчащего в паблик.
| | |
| |
| |
| 6.22, annual slayer (?), 19:48, 08/03/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
он перечислил технологии за незнание которых его развернули на прошлом собеседовании на работу
| | |
| |
| 7.37, Q2W (?), 09:48, 09/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
А конкретика есть?
А то я как раз думал рассмотреть эту графану.
| | |
| |
| 8.43, Аноним (43), 13:44, 09/03/2019 [^] [^^] [^^^] [ответить] | +2 +/– | Так рассматривай, чего ты слушаешь всяких И зперечимсленного я щкпал только док... текст свёрнут, показать | | |
| 8.45, Аноним (45), 16:07, 09/03/2019 [^] [^^] [^^^] [ответить] | +/– | Графана это вообще не про хранение данных, а их визуализацию Докер - отличная н... текст свёрнут, показать | | |
| 8.52, пох (?), 22:22, 09/03/2019 [^] [^^] [^^^] [ответить] | +2 +/– | ну, короче, добрый совет - рассматривай ее в виде виртуалки благо, ресурсов нуж... текст свёрнут, показать | | |
|
|
|
|
| 4.27, Anonim (??), 21:13, 08/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ненавидимый вами кубернетес как раз-таки требует явной конфигурации сервиса, который должен торчать наружу, к сведению. По умолчанию такого произойти не может by design.
| | |
| |
| 5.33, Аноним (4), 00:06, 09/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Видимо комментарий был о том, что акцент делается не на архитектуру, при которой база не доступна снаружи. А на мусли-тренды, которые уделяют больше внимание не тому что нужно, а то что модно
| | |
| |
| 6.40, Лапчатый девляпс бубунтёнак (?), 10:47, 09/03/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> не тому что нужно, а то что модно
Тему раскрой. Просто в кубернетесе по умолчанию ничего не доступно снаружи. Ну, архитектура такая. Так это модно, или нужно?
| | |
| |
| 7.53, замзибор (?), 06:26, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Очевидно что вэб-мартишки думают, что кубернетис сделает все за них. Отсюда дефолтные настройки mongodb, отсюда база, торчащая в интернет, что легко сделать разворачивая кубернетис на голом железе
| | |
| 7.55, Онаним (?), 10:16, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Раскрываю: взяли докерок, взяли кубернетю, взяли либо со стора либо вообще с какого-нибудь говнофорума имаж монги с шаблоном дефолтового конфига без пароля, задеплоили, профит. И даже думать не пришлось по пути.
| | |
|
|
|
|
| |
| 4.23, annual slayer (?), 19:50, 08/03/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
из личного опыта:
видел бы баш скрипты или конфиги, написанные С-гуру вместо хотя бы миддла-сисадмина, который должен подобные писать
| | |
| |
| 5.32, Аноним (32), 23:54, 08/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Видел как ужасные так и вполне нормальные, от знание СИ корреляции не заметил, но выборка < 50 сишников.
| | |
| |
| 6.79, annual slayer (?), 14:12, 11/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Видел как ужасные так и вполне нормальные, от знание СИ корреляции не
> заметил, но выборка < 50 сишников.
зато есть корреляция качества скриптов к тому, является их писатель админом или нет
это как обсуждать С код написанный админами, у кого-то энжинкс выходит, а у кого-то совсем не то
| | |
|
|
|
|
| 2.3, пох (?), 10:27, 08/03/2019 [^] [^^] [^^^] [ответить] | –2 +/– | ну в целом так и есть - с поправкой что если бы ты манд монгу использовал так ... большой текст свёрнут, показать | | |
| |
| |
| 4.57, Онаним (?), 10:18, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
В чём проблема хранить и даже успешно ворочать несколько терабайт в мускуле? Знаю, девляпсы его приготовить для этого не смогут, но в целом - вполне себе применение. Главное при этом - не просить от движка невозможного.
| | |
| 4.61, пох (?), 11:04, 10/03/2019 [^] [^^] [^^^] [ответить] | +1 +/– | это все очень здорово в эпоху одноразовых инстансов с плавающими айпишниками, ра... большой текст свёрнут, показать | | |
| |
| 5.76, Лапчатый девляпс бубунтёнак (?), 11:11, 11/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Смысл сего воя - раньше трава была зеленее, они не такие как мы, и потому - виноваты.
> дефолтное состояние свежепоставленного
Ну... С тобой всё понятно. Держи нас в курске.
| | |
| 5.89, Анонимус2 (?), 22:08, 13/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>это все очень здорово в эпоху одноразовых инстансов с плавающими айпишниками, размещенных где-то хз где, "зато дешево".
Вы админку Амазона хоть раз видели? По умолчанию в ней доступ ко всем сервисам закрыт и чтобы открыть монгу наружу - надо специально это сделать. Но виноваты конечно облака и контейнеры.
| | |
|
|
| 3.56, Онаним (?), 10:17, 10/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это да. Уже лет 10 как понятно, что сервисный софт с низким порогом вхождения пора бы прикопать уже, но нет, тренд в обратную сторону.
| | |
| 3.84, Аноним (84), 14:18, 12/03/2019 [^] [^^] [^^^] [ответить] | +/– | Знаешь пох, я таки понял почему ты пишешь во всех подряд новостях - это потому ... большой текст свёрнут, показать | | |
| |
| 4.85, анонн (?), 16:49, 12/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Знаешь пох, я таки понял почему ты пишешь во всех подряд
> новостях - это потому что ты НИХРЕНА ни о чем не знаешь.
«Здесь так принято!».
> я таки понял
На третий день Зоркий Глаз заметил, что у сарая нет одной стены ))
| | |
| 4.86, пох (?), 17:13, 12/03/2019 [^] [^^] [^^^] [ответить] | +/– | у нее есть мануал Ну посмешили У нее есть невразумительная гуановика с неочев... большой текст свёрнут, показать | | |
|
|
| |
| 3.46, пох (?), 18:49, 09/03/2019 [^] [^^] [^^^] [ответить] | +1 +/– | так уже ж полгода как - правда, пока объявили deprecated еще учти что у тру-дев... большой текст свёрнут, показать | | |
| 3.65, КО (?), 19:33, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Вы будете смеяться, но он уже "не молодежно". :)
| | |
| |
| 4.72, microcoder (ok), 20:50, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
 > Вы будете смеяться, но он уже "не молодежно". :)
Наверное я отстал от жизни. Что сегодня модно вместо iptables?
| | |
| |
| 5.73, пох (?), 22:10, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
вместо - nft. Но nft приличные люди давно уже не носют, нам нужно больше трэша и угара - поэтому теперь мы переписываем все через байткод для bpf!
| | |
|
|
|
| |
| 3.47, пох (?), 18:54, 09/03/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
на каждом амазонском инстансе у тебя по vpn'у? И как там монга - не тормозит?
P.S. у меня 15 лет mysql принимал соединения снаружи (пока таки не был выкинут и заменен sqlite плюс самодельная репликация - это оказалось проще чем нормальная работа его внутренних уродливых костылей, да и sqlite нынче совсем другой пошел) - что я делал не так?
Вот авторы - они да, многое делали не так, как сейчас принято. Начиная от почти нормальной (да великолепной, на самом деле, по меркам того 99го года) аутентификации без гнилых openssl оберток, и заканчивая встроенной поддержкой libwrap'а.
| | |
| |
| |
| 5.78, пох (?), 11:29, 11/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
а, ну тогда просто подожди - придет тимлид разработчиков и прикажет немедля перенести все в облачко мэйлcpy, пятнадцать минут на разобраться и доложить об успешном выполнении, все давно уже так работают, он уже доложил начальству о существенной экономии ресурсов - кстати, ставку админа сокращают.
У меня-то еще много чего не как у тебя, ну так - я устаревший ненужный мамонт, ненавистник современных технологий и бревно на пути прогресса, меня еще несколько лет ничего из этих радостей не коснется. Девляпсы - они в соседнем отделе, их поломают - я вроде и ни при чем.
| | |
| |
| 6.81, Лапчатый девляпс бубунтёнак (?), 20:03, 11/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ты просто не на месте, вот и истекаешь жёлчью. Бросай эти линуксы, иди на мсдн(и/или нaфиг) и делай то, что тебе нравится. А тем временем девляпсы продолжат развиваться своим, интересным им путём.
Например я девляпсил ещё задолго до появления данного термина, паковал корни гент с приложениями в squashfs и раскидывал скриптами по сервакам. Когда появился доцкер и начал работать, то я вздохнул с облегчением и выкинул свои скрипты.
Экономить ресурсы, кстати, тоже надо. И админа заменить на сотню ансибиль-прейбуков - тоже надо. И перейти с бензина на аккумуляторы, с вантузомакакоси на любой линукс. С виртуалок - на контейнеры(хотя были у меня юзкейсы, связаные с конкретными версиями ведра, там виртуалки незаменимы).
В общем - nox лает, караван ползёт. Не так быстро, как хотелось бы, но ползёт.
| | |
| |
| 7.82, пох (?), 13:20, 12/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты просто не на месте, вот и истекаешь жёлчью.
я-то как раз на своем месте, оно к девляпсам с гентами и лепке костылей на squashfs отношения не имеет. (кстати, девляпса найти не можем - а он тут тоже нужен. Унылятина одна приходит, вообще ничего не умеющая - а я за них горшок выносить не планирую.)
> Бросай эти линуксы, иди на мсдн(и/или нaфиг) и делай то, что тебе нравится.
мне людей убивать нравится, но профессия палача нынче, увы, плохо востребованна в цивилизованном мире (незаслуженно плохо, я бы сказал). https://rtvi.com/news/na-shri-lanke-otkrylas-vakansiya-palacha/ - сюда подаваться бестолку, они говорят - нужен native, иначе карма сильно портится.
Кстати, у них вакансия уже пять лет не закрыта, все привередничают, от хороших кандидатов нос воротят.
> доцкер и начал работать, то я вздохнул с облегчением и выкинул
> свои скрипты.
а когда он тебе первый раз разнес файловую систему через чудесный aufs - просто пошел искать новую работу, да?
> Экономить ресурсы, кстати, тоже надо. И админа заменить на сотню ансибиль-прейбуков -
тогда новую работу пойдет искать вся контора, начиная с CTO. Скорее рано чем поздно.
> тоже надо. И перейти с бензина на аккумуляторы
о да, о да. Вот тут ты в тренде, явно не понимая, каком.
> В общем - nox лает, караван ползёт. Не так быстро, как хотелось
> бы, но ползёт.
да, увы, до прекрасного дня массового переползания через край пропасти еще далеко, а отдельные торопыги не так смешны. Подумаешь, 800000000 адресов, какая такая приватность в эпоху интернета (c)Блинн.
| | |
|
|
|
|
|
| 2.42, SubGun (ok), 11:56, 09/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Судя по всему - это облако. У нормальных людей БД наружу не торчит, только API.
| | |
| |
| 3.58, Онаним (?), 10:21, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ну вот у них API самой монги и торчало, муахаха. Видимо, решили, что DB API - тоже API.
| | |
| |
| 4.62, пох (?), 11:06, 10/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ну вот у них API самой монги и торчало, муахаха. Видимо, решили,
> что DB API - тоже API.
mongo as a service, чо не так-то? ;-)
| | |
|
|
| 2.63, Michael Shigorin (ok), 15:12, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
 И когда особо одарённая вендурь научится поставлять своё поделие сконфигурированным на localhost по умолчанию (да, с внятно документированной ручкой, но чтоб её ручкой надо было повернуть)...
Недаром у нас сервисы массово закручивались именно в такое изкоробочное положение ещё в начале века.
PS: комментарии про незавидное состояние белогриволошадных прочитал позже -- ну ой, этим остаётся страдать.
| | |
| |
| 3.66, КО (?), 19:36, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>сконфигурированным на localhost по умолчанию
Михаил, но ведь за это объявят "админом локалхоста". :)
| | |
| |
| 4.67, Michael Shigorin (ok), 20:09, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> сконфигурированным на localhost по умолчанию
> Михаил, но ведь за это объявят "админом локалхоста". :)
Придётся объяснить, какое значение изначально вложил в этот термин. :)
(о применимости к причине новости сложно говорить с учётом неизвестности мне того, так что там с инстансами было в данном разе, ну и полного отсутствия личного опыта работы с монгой)
| | |
| |
| 5.69, пох (?), 20:17, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
с инстансами в этом разе, очевидно, все было, потому что 150g ценных для перепродажи данных никто не хранит в одном экземпляре, даже если чисто технически и возможно.
потому что даже просто развернуть их из бэкапа займет очень даже продолжительное время, в течении которого вся система полежит.
| | |
|
|
| 3.68, пох (?), 20:14, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Миша, оно так не работаит - в смысле, ее не для того ставят, чтобы она локалхвостом виляла. Это для redis еще туда-сюда применение, и то если его совсем не жалко (а то появляется slave, и понеслась)
Поэтому первое, что сделают с подобной хренью - это перекрутят ручку на 0.0.0.0, чтоб ей вообще можно было как-то пользоваться.
А потом будут думать, а что ж блин бы с ней такое придумать, чтобы оно еще и не весь интернет пускало к себе в гости. Про банальный tcpd - афтары не, не слышали.
А на локалхвостовых установках пофигу, что оно там слушает и слушает ли вообще, там все одно ничего ценного быть не может.
| | |
| |
| 4.71, Michael Shigorin (ok), 20:21, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Миша, оно так не работаить - в смысле, ее не для того
> ставят, чтобы она локалхвостом виляла.
Я про изкоробку, ну и #61 затем прочитал -- сочувствую.
| | |
|
|
| 2.83, Аноним (84), 14:07, 12/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
> В MySQL / Mariadb открыть такой доступ геморой, а в MongoDB видимо
> закрыть такой доступ геморой -_-"
Ононим такой ононим. Если не знаешь как настраивается доступ в Монге - не открывай свою пасть. Ведь она тебе нужна только что бы есть.
И нет, никакого геморроя нет: всего одна строчка в конфиге в разделе безопасности.
security:
authorization: enabled
Ну, параноики еще могут настроить строгую привязку к сетевым интерфейсам и отключение обхода авторизации при локальном (127.0.0.1) доступе.
Это тоже по одной строчке.
net:
bindIp: "тут оставить только нужный интерфейс"
setParameter:
enableLocalhostAuthBypass: false
Собственно все - теперь вы кроме как с логином\паролем никак к БД не подключитесь.
| | |
| |
| 3.87, пох (?), 17:28, 12/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
> security:
> authorization: enabled
молодец, заявление по собственному желанию сам напишешь, или на тебя компании подать в суд, для получения компенсаций за потерянную выгоду, поскольку ты вот сейчас сломал нахрен доступ (и себе заодно, поскольку про bypass вспомнил уже потом, да и есть ли там локальный клиент или доступ к репо для его установки - не факт, так что починить уже ничего не сможешь) ?
вот так оно у любителей простых решений всегда и бывает.
| | |
|
|
| |
| |
| |
| 4.28, У (?), 21:22, 08/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
150 Гб за 2 часа? ..жырненькый у вас интернетик.
| | |
| |
| 5.31, DiabloPC (ok), 22:39, 08/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Ыы
При 1Gbps - ~850gb за 2 часа через канал пролетает...
Taк шо можем считать что у человека канал ниже среднего
| | |
| |
| 6.34, Аноним (32), 00:44, 09/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ну хз плачу 200р за месяц через канал пролазит 5тб но шибко что то не качаю, так повседневное пользование. Ценник с белым IP
| | |
| |
| 7.35, Аноним (35), 05:52, 09/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
То ли нолик забыл, то ли виртуалку арендуете где эти 150 гб и не разместить, то ли вы из волшебной страеы, скажите где купить билет в дивный интернет?
| | |
|
|
| 5.59, Онаним (?), 10:22, 10/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так чтоб это, 150 гиг за два часа, всего примерно 200 Mbps и надо-то. Это разве жырненький?
| | |
|
|
|
| 2.36, Нанобот (ok), 09:42, 09/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
 если я правильно понял, чувак просто нашёл, написал владедьцу и те закрыли. даже если он и выкачал всю базу, то расшаривать её не собирается. так что утечка сильно преувеличена
| | |
| |
| 3.48, пох (?), 18:56, 09/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
эх... я бы вот в такое зашел - не поленился бы заплатить $5, и стереть всю базу нахрен с какого-нибудь антикитайского vpn.
что и надо делать каждый раз с такими уродцами.
> даже если он и не выкачал всю базу
нашлись другие, которые никому об этом рассказывать не будут. Поправил, не благодари.
| | |
|
|
| 1.8, Вадик (??), 11:20, 08/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Ну что сказать, надо технически грамотных специалистов нанимать и тех долг закрывать вовремя. Проблема в том, что просто не настроили нормально сервера, вот в принципе и все. Если бы доступ был бы через какой-нибудь vpn такой проблемы бы автоматически не возникло бы. А они скорее всего тяп ляп, на голое железо/облако, без контейнеров херак и запустились. Т.е. в данном случае, если бы они всю инфраструктуру одного сервиса развесили бы на контейнере и пробросили бы доступ через какой-нибудь nginx, то спали бы спокойно с любой базой.
| | |
| |
| 2.10, Xasd5 (?), 11:47, 08/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Если бы доступ был бы через какой-нибудь vpn
а если бы пароль прставить на все СУБЛ?
или требование -- обязательно всё нужно делать через одно (Ж) место?
| | |
| |
| 3.49, пох (?), 19:02, 09/03/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> а если бы пароль прставить на все СУБЛ?
а вот ты нам сейчас и расскажешь, как в монге 2.4 это делается. Инстансах так на 101м ("следи же, чтобы число их было нечетно").
А потом отдельно про 3.6 и отдельно - про особенности миграции кластеров с первой на вторую без остановки прода. 4.0 оставим на сладкое (про нее я сам, к счастью, пока не очень в курсе)
и не забыть описать что нужно делать программистам, причем вчера. Чтобы сегодня у них работало и до момента включения тобой ауфа, и после.
и себе смотри доступ не отруби, это типовая ошибка начинающих монговодов ;-)
| | |
|
| 2.30, arisu (ok), 22:38, 08/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
 вот примерно такой хипстор как ты там и занимался безопасностью.
| | |
| |
| 3.50, пох (?), 19:06, 09/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
такой там ниасилил, иначе бы оно, наверное, все же бы сработало, даже если "vpn" какой-нибудь совсем игрушечный - вполне достаточно невозможности коннекта снаружи к адресам, которых ты еще и не знаешь. Проблема что в 800терабайтовом монгокластере довольно непросто такой vpn построить.
еще и лекарство может оказаться хуже самой болезни, обернувшись каким-нибудь heartbleed'ом
| | |
|
|
| |
| 2.64, Michael Shigorin (ok), 15:22, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Магнит на дамп есть у кого?
> Друг спрашивает.
До "друга" не дошла судьба того чувырлы из центра американского английского?
| | |
| |
| 3.70, пох (?), 20:18, 10/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
так пристрелили ж директора, а админ, поди, вон, новую работу нашел, с солидным увеличением оклада и охвата клиентов ;-)
| | |
|
|
| 1.14, Аноним (14), 14:23, 08/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Данные были собраны компанией Verifications.io, предоставляющей для предприятий сервис по подтверждению email-адресов перед отправкой массовых рассылок
Зачем сервису для подтверждения email-ов их хранить? Или они деньги с продажи налево имели?
| | |
| |
| 2.24, annual slayer (?), 20:00, 08/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Each one of the users on the list gets their own spam message saying “hi”. Then the threat actor gets a cleaned, verified, and valid list of users at these companies.
и так скомненько опустили часть между "hi" и "Then"
| | |
|
|
