И главное помните "Если надо объяснять, то не надо объяснять". Зинаида Гиппиус (С)

"Интересно то, что программисты уверены, что именно с ними ничего подобного не случится, что они уж точно все настроят и будет все на высшем уровне" (С) S0ER

Я таки не понял, это было оскорбление? Если да, то сильно толсто для меня.

Я уже много раз доказывал свою профпригодность в разных ситуациях, но почему-то каждый раз одни и те же тупые набросы, типа как в комментарии.

Еще раз для тех кто в танке, проблемы возникают после того как на postgres вешают пароль такой же как имя. С этого момента вас начинают пускать по ssh без проблем, по ssh пускают, потому что вы поставили пароль, но не убрали логин, делаете nologin и пускать перестает, чтобы попасть в своего горячолюбимого postgres нужно делать su —shell /bin/bash postgres или настраивать sudo

Правильно в данном случае не ставить пароль и нормально настроить файрвол, если хотите пароль (ну вот захотелось аж не могу), то ставите nologin (или настраиваете sshd)

Про systemd надо конкретнее, может чего не знаю, но postgresql стартанет и будет работать, может какие-то "глубокие" ошибки есть

С позиции информационной безопасности, в корпоративной архитектуре, как правило, применяются следующие ограничения (или их вариации):
- запрет суперпользователя;
- разделение на администраторов и администраторов информационной безопасности (АИБ)
- запрет на вход под служебными пользователями (если нельзя технически, то разделяют пароль между админом и АИБом, так что войти можно только вместе)
- принцип наименьших привилегий (как правило, это значит, что все работает должно работать без вмешательства или использования учетной записи суперадминистратора)

В некоторых организациях делают интересный ход, АИБ ничего не настраивает, а только контролирует и выносит "предписания", а администратор отвечает за реализацию требований. Администраторы очень не любят такое разграничение, но на практике, если объединить функции контроля и выполнения, то качество резко падает. Администраторы начинают ослаблять безопасность системы, мотивируя это тем, что "реализовать требование невозможно", в системе постоянно нарушается принцип наименьших привилегий, для администраторских задач используется суперпользователь и т.д.

Архитекторам решений, тоже прилетает от АИБов, когда я согласовывал проекты с управлениями безопасности и потом взаимодействовал с АИБами при опытной эксплуатации, то постоянно сталкивался с требованиями, которые мне казались нереализуемыми. Первое что хочется сделать в такой ситуации, это доказать, что ничего сделать нельзя, но когда начинаешь искать аргументы, то оказывается, что многие вещи можно реализовать, просто решение лежит не на поверхности.

Сейчас мне часто помогает этот опыт, я как-то привык думать о решении, а не о том почему это невозможно, в итоге это позволяет гораздо эффективнее строить свою работу. Не устаю утверждать, что в условиях жестких ограничений специалист получается более гармоничным и глубоким.

Отличный видос от Максима Горшенина про конфу в Норильске. Мне очень зашло, рекомендую посмотреть. https://rutube.ru/video/1fb42c8cc877a94a58e677d2f6a17191/

Для справки, в postgresql параметры окружения лежат в юните с конфигурацией. Их легко найти в /usr/lib/systemd/system/postgresql.service (в разных ОС могут быть косметические отличия в пути). По дефолту там указывается только один параметр:

Environment=PGROOT=/var/lib/postgres

В env пользователя в режиме nologin различие будет только в том, что в PATH не будет пути к ~/.local/bin, остальное будет точно таким же как с /bin/bash

Проверял на Ubuntu и Manjaro.

Systemd, естественно, работает нормально и так, и так.

#postgresql #tip

Меня спрашивают чего я комменты не открываю? Вот из-за таких хамов и не открываю.
Со своей стороны я потратил время, проверил все безумные утверждения этого товарища, показал конкретно с командами и конфигами что он ошибается, а в ответ хамство. Причем за весь разговор ни имен переменных, ни названия дистров, ни другой конкретики.
И таких очень много. Для меня это впустую потраченное время.

P.S> поэтому хоть контент для канала сделаю, может кому пригодится для расширения кругозора.

#обида #яодинхороший

Было много споров по поводу того, что вешать на служебных пользователей шел - это плохая практика. Эта проблема переодически обсуждается и сегодня очень мало приложений, которые используют такой вариант работы.
Процесс не быстрый, вот например Bug report в Debian от 2004 - https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=274229 исправлен он был только в 2010, потому что исправлять такие баги очень сложно, на них уже завязано куча всего, и просто так выпилить не получается.

В то время как разработчики дистров признают наличие шела на служебных учетках багом, находятся люди, которые искренне уверены, что это фича.

Теперь про ошибку RHEL 7 о которой так таинственно намекнул мой таинственный визави (извините за тавтологию). Вот здесь можно почитать подробнее - https://bugzilla.redhat.com/show_bug.cgi?id=1122118
Но если коротко:
- есть такая штука SCAP (Security Content Automation Protocol) в ней рекомендуется, как вы догадались, не использовать шелов на служебных пользователей и ребята хотели выполнить эти рекомендации
- оказалось, что на RedHat 7 действительно нельзя инициализировать базу без шела
- в RedHat 6 после инициализации проблема с запуском и работы в nologin режиме нет, надо просто:

Fix, add '-s /bin/bash' to runuser command lines in the
> /etc/init.d/postgresql script.

Чувак, правда, перепутал init.d с systemd, но мы же не будем поправлять такого блестящего оратора, который еще ничего не начинал.

В мой проект Naris пришло уже почти 100 заявок, взять столько человек я не могу физически. Отберу 30-50 человек, всем отпишу в любом случае. До 1 февраля еще можно прислать заявки. Обрабатывать текущие буду на этих выходных. Спасибо за проявленный интерес!

Запустил субботний стрим, залетайте!
https://youtu.be/NzxhUsIN0x8

Тех кому интересна современная архитектура, посмотрите на книгу "Practical Process Automation" Bernd Ruecker, это довольно свежее издание, поэтому отражает современный подход к оркестрации и хореографии в современных распределенных архитектурах. В книге показана связь кода и архитектуры, есть примеры на BPMN и процессный взгляд на решение.

#книга

Ответил всем по Naris. Отобрал 37 человек из 109. Если не получили от меня ответ, то проверьте спам, и если ничего нет, то напишите еще раз, так как ответил всем и тем кого взял, и тем кого не взял, но мог кого-то пропустить.

На platform.soer.pro вышло 31-е архитектурное видео - это четвертая часть из серии видео по "Чистой архитектуре". Так как это видео относится к трем предыдущим частям, которые выпустил в прошлом году, то опубликовал его в разделе "2022".

Канал по архитектуре на ютуб

https://youtube.com/@mezhdu_skobok

Решил поделиться ссылкой на канал по архитектуре. Такие каналы теряются на фоне информационного мусора, поэтому не реклама, а распространение полезного контента.

Как выглядит архитектура 2.0?

Чем больше я обдумываю различия в архитектурных подходах к построению программного обеспечения, тем больше мне нравится разделение архитектуры на этапы развития. Например, есть хороший доклад от Олега Сметанина - https://www.youtube.com/watch?v=tF3iNp5YFYk про организацию микросервисов. Этот доклад охватывает типовые кейсы построения микросервисной архитектуры. Попытаться делать эту архитектуру как-то иначе невозможно, воткнуть туда что-то из старых подходов тоже нереально. Это самостоятельный кусок теории, именно так выглядит архитектура 2.0 в моем понимании.
#микросервисы #мысли

С помощью тега #itubeteam на рутубе нашел канал Виктора Левина. Хочу поддержать автора лайком и рекомендацией. Мне понравился видос по графане, весьма толково и по делу https://rutube.ru/video/5361cffbbeac6ca83ee07ff54037df00/