bc
"Зажирели", если вкратце
Size: a a a
2018 December 05
bc
потом ручеек бабла кончился и дальше по наклонной. У них еще далеко не все потеряно - жирка с запасом
M
Баблом утечку мозгов надолго не остановишь. Имхо у них проблемы с кадрами. Из-за этого страдает качество продуктов.
bc
Не найти кадров на Российском раздолье... это надо знатно упороться. Там гораздо глубже проблемы.
N
Ну дык по моим ощущениям Каспер может быть чуть выше в говнорейтинге чем всякие банки
AA
У нас тут в чате есть как минимум один сотрудник Касперского)
AD
может тут в чате есть еще лукацкий. подозрительно, что как поругали амбрелу, так сразу в бложеке пост про днс и малвари https://lukatsky.blogspot.com/2018/12/dns.html совпадение? не думаю
AA
Хороший доклад и графики интересные.
AA
У нас типа тоже ДНС-ы ИИ анализирует, такой же могу рассказать.
KS
У нас типа тоже ДНС-ы ИИ анализирует, такой же могу рассказать.
эффективно?
AA
При чём есть другой ИИ от этого же дата сатаниста, который анализирует какие-то бизнесовые события и там всё вроде как гораздо лучше работает.
KS
А что там на входе у этого ии, кроме названия домена? geoIP, whois, ...?
AA
Я не помню точно, но там были какие-то интересные идеи заложены по поводу анализа DNS. Надо отрыть этот код, может его можно на гитхаб выложить.
AA
На входе у него то, что bro логгирует.
V
результаты опроса на текущий момент: в 100% компаний для ssh key management используются самописные костыли 🙂
А вот у @Renyare , знаю, AD-шечка в миксе с cms(puppet) :)
С
для ssh-ключей пока просто puppet, но возможно будет LDAP или даже Vault для всех, кроме админов (и да, в реальном мире на сервера ходят и админы и ещё куча народу)
KS
Я тоже гуглил этот вопрос где-то год назад. Универсального хорошего решения нету.
Всякие фейсбуки и нетфликсы используют схему с CA и подписью ключей.
https://code.fb.com/production-engineering/scalable-and-secure-access-with-ssh/
Из минусов — это не решает проблему хранения и доставки этих ключей и не работает со всякими PuTTY.
Можно прикрутить домен и хранить ключик где-то в поле AD. Тут основной минус в том, что эта интеграция будет единственной точкой отказа и ты не сможешь попасть на тачку во время проблем с сетью или доменом. Прикрутить можно тоже несколькими способами: через sssd - но это требует что-бы тачка была, в домене либо через параметр AuthorizedKeysCommand - можно написать скрипт который будет дёргать домен но тогда нужно будет хранить пароль от служебной учётки.
Всякие фейсбуки и нетфликсы используют схему с CA и подписью ключей.
https://code.fb.com/production-engineering/scalable-and-secure-access-with-ssh/
Из минусов — это не решает проблему хранения и доставки этих ключей и не работает со всякими PuTTY.
Можно прикрутить домен и хранить ключик где-то в поле AD. Тут основной минус в том, что эта интеграция будет единственной точкой отказа и ты не сможешь попасть на тачку во время проблем с сетью или доменом. Прикрутить можно тоже несколькими способами: через sssd - но это требует что-бы тачка была, в домене либо через параметр AuthorizedKeysCommand - можно написать скрипт который будет дёргать домен но тогда нужно будет хранить пароль от служебной учётки.
Цитата (https://blog.it-kb.ru/2017/11/18/recommendations-for-configuring-sssd-in-debian-gnu-linux-about-dns-kerberos-and-active-directory-dc-search/) : Мы используем SSSD на боевых серверах уже без малого два года, ровно с того момента, как пакет SSSD появился в stable репозиториях Debian. За все это время SSSD показал себя, как замечательный инструмент для интеграции существующей Linux инфраструктуры в Active Directory. В статье выше перечислено несколько, мягко говоря, не очевидных, но важных моментов при настройке SSSD, которые, зачастую, не описаны в стандартных инструкциях по настройке авторизации.
KS
Другими словами, можно скрестить ежа и ужа и может быть это действительно здравая мысль, чтобы почти полностью избавиться от головной боли с ключами