A
работала встала
Size: a a a
2020 May 20
АМ
не знаю. Я не доказываю что куб лучше шифта. Мне просто были итересны фичи. Вдруг мне чего-то не хватает, а это есть в шифте
Ну да да, можно сказать, что можно на ванильный куб навесить 100500 обвязок с agent policy и вот вам б - безопасность.
Но .... молодой человек ... а отзовите ка мне в ванильном кубе Cluster Admin сертификат, который утек к разрабам. При условии, что куб нельзя реинсталить.
Но .... молодой человек ... а отзовите ка мне в ванильном кубе Cluster Admin сертификат, который утек к разрабам. При условии, что куб нельзя реинсталить.
NA
зачем ты закрываешь дверь в квартиру? ты от кого защищаешься? от фашистов?
A
Ну да да, можно сказать, что можно на ванильный куб навесить 100500 обвязок с agent policy и вот вам б - безопасность.
Но .... молодой человек ... а отзовите ка мне в ванильном кубе Cluster Admin сертификат, который утек к разрабам. При условии, что куб нельзя реинсталить.
Но .... молодой человек ... а отзовите ка мне в ванильном кубе Cluster Admin сертификат, который утек к разрабам. При условии, что куб нельзя реинсталить.
DS
Ну да да, можно сказать, что можно на ванильный куб навесить 100500 обвязок с agent policy и вот вам б - безопасность.
Но .... молодой человек ... а отзовите ка мне в ванильном кубе Cluster Admin сертификат, который утек к разрабам. При условии, что куб нельзя реинсталить.
Но .... молодой человек ... а отзовите ка мне в ванильном кубе Cluster Admin сертификат, который утек к разрабам. При условии, что куб нельзя реинсталить.
все основные фичи покрываются psp и RBAC.
Смысл безопасности, сделать так, чтобы как раз не утек. А тут придется перегенеривать все ключи
Смысл безопасности, сделать так, чтобы как раз не утек. А тут придется перегенеривать все ключи
M
Ну да да, можно сказать, что можно на ванильный куб навесить 100500 обвязок с agent policy и вот вам б - безопасность.
Но .... молодой человек ... а отзовите ка мне в ванильном кубе Cluster Admin сертификат, который утек к разрабам. При условии, что куб нельзя реинсталить.
Но .... молодой человек ... а отзовите ка мне в ванильном кубе Cluster Admin сертификат, который утек к разрабам. При условии, что куб нельзя реинсталить.
Можно просто выпустить приказ с запретом его использовать и бить по рукам ))))
АМ
Можно просто выпустить приказ с запретом его использовать и бить по рукам ))))
Некоторым руководителям пофиг
АМ
все основные фичи покрываются psp и RBAC.
Смысл безопасности, сделать так, чтобы как раз не утек. А тут придется перегенеривать все ключи
Смысл безопасности, сделать так, чтобы как раз не утек. А тут придется перегенеривать все ключи
Спасибо, мы вам перезвоним. Кстати кейс совсем не редкость
M
Некоторым руководителям пофиг
если руководителям пофиг - это вообще не проблема. Нельзя запретить развести хаос и дерьмо, можно просто в нем не работать
DS
Спасибо, мы вам перезвоним. Кстати кейс совсем не редкость
так себе аргумент. А в шифте как с этим? Перегенеривать ключи и сертификаты не надо? Или там нормальный pki с отзывом сертификатов?
АМ
так себе аргумент. А в шифте как с этим? Перегенеривать ключи и сертификаты не надо? Или там нормальный pki с отзывом сертификатов?
Не надо. Тебя не пустит без авторизации, а Cluster admin накидывается как роль к твоему пользователю
АМ
Хочешь дал, хочешь убрал
АМ
Одна команда
DS
Не надо. Тебя не пустит без авторизации, а Cluster admin накидывается как роль к твоему пользователю
ну то есть просто свое решение для аутентификации и авторизации. А если утек cluster admin то как бы тоже самое
АМ
ну то есть просто свое решение для аутентификации и авторизации. А если утек cluster admin то как бы тоже самое
Насколько я помню даже имея контекст ты ничего не сделаешь
АМ
oc тебя не пустит пока ты не авторизуешься
DS
oc тебя не пустит пока ты не авторизуешься
Ну дык так и скажи, что просто есть из коробки свое решение для аутентификации и авторизации, а в кубе тоже самое чтобы сделать, придется притаскивать это, делаешь роль с полным доступом, даешь ее юзеру, который аутентифицируется через какой-либо oauth, openId. Зачем эти "мы вам перезвоним" и прочее?
Хорошая штука из коробки, кто спорит то?
Хорошая штука из коробки, кто спорит то?
АМ
Ну дык так и скажи, что просто есть из коробки свое решение для аутентификации и авторизации, а в кубе тоже самое чтобы сделать, придется притаскивать это, делаешь роль с полным доступом, даешь ее юзеру, который аутентифицируется через какой-либо oauth, openId. Зачем эти "мы вам перезвоним" и прочее?
Хорошая штука из коробки, кто спорит то?
Хорошая штука из коробки, кто спорит то?
Да я же рофлю просто. Опять же, в кубе вроде это не спасает, ты можешь просто сделать авторизацию через oauth, да, а тут ты даже на хост зайдешь - тебе openshift не даст даже kubectl apply сделать. Ну если правильно настроен офк
DS
Да я же рофлю просто. Опять же, в кубе вроде это не спасает, ты можешь просто сделать авторизацию через oauth, да, а тут ты даже на хост зайдешь - тебе openshift не даст даже kubectl apply сделать. Ну если правильно настроен офк
kubectl аутентифицируется как и любой запрос в API. То есть видимо отключили вообще возможность аутентификации по сертификатам. Там же он вроде тупо по порядку идет, пытается аутентифицировать запрос по нескольким плагинам. Некоторые можно просто отключить