Привет, извините что возможный оффтопик, но это думаю ближе к

девопсу. Как правильно в компании ограничивать доступ к серверам/инфрасткуртуре? Кто должен иметь к ним доступ и используются ли какие-то дополнительные тулзы для этого? Спасибо.

Начни с формулировок политик безопасности, тулзы потом найдёшь

можно подробнее про политики безопасности? или пример, или че гуглить на этот счет, а то вообще +- первый раз это слышу есть просто руководство которое утверждает что пароли и ключи к инфраструктуре должны быть у всех, я им говорю что вы потом если кто то что то натыкает или rm -rf / напишет - то никто не найдет виновного

пишешь докладную, регистрируешь в журнале вместе с копией, с чистым сердцем раздаёшь всем пароли, держишь в ящике стола заявление на увольнение =)

а если не нанятый сотрудник?

ну тогда всё поломай на пару часов, но чтоб тебя не нашли. возможно снизойдёт просветление. Ну или ждать пока само поломается

честно - не понял идеи. под не нанятым сотрудником я имею ввиду cofounder (так уж получилось по стечении обстоятельств), у меня нет заинтересованности все ложить и ломать

ну так дрючь всех, раз ты руководство. никому ничего нельзя, но если очень надо, то выдавать перс доступы с логированием входов\действий и только с определённых ипов. И с возможностью эти доступы быстро забрать\заблочить. А дальше оно уже само придумается, когда придётся доступы кучами выдавать или группы заводить

понял спасибо, а вообще как должно быть, какая практика в реальности? типа есть же там большая тима сисадмином/девопсов, они только имеют доступ ко всему этому или как?

начни изучать с active directory, потом придёшь к пониманию политик безопасности и прав доступа

это же вроде чисто windows технология, разве нет?

начни с них, потом придёшь и к сиско и всему остальному, что бы понимание было

а есть линуксовый аналог, а то не очень понимаю смысла работать с windows server когда на практике один линукс?

freeIPA

тогда поставь cisco и админь оттуда

спасибо, но я так понимаю если я не девопс то лучше пока остановиться на ручном контроле а потом нанять норм человека который это все корректно настроит?

учи, там нет rocket science

хах

изивняюсь за вопрос, но cisco разве подходит для облака? а то че не найду по нем то требуется ихнее сетевое железо

политики безопасности - просто на одном листке бумаге напиши: * какие ресурсы есть * какие ресурсы нужно беречь (от утечки данных или от поломки) * кому доступ точно нужен

Если совсем первый раз - лучше в википедии посмотреть. Тебе вообще, или конкретно про линуксовые сервера?

возможно не правильно выразился, есть сервера в облаке, к ним есть пароли и ключи, соседнее руководство/партнеры просят предоставить им доступ "чтобы было все прозрачно, и чтобы если вдруг там отвественного за сервера нет на связи / умер / уехал, то можно было что то сделать", а я им говорю что вам нафиг не сдались эти доступы, чем меньше людей их имеет - тем надежнее, и сейчас хочу найти компромис. сверху предложили просто по запросу выдавать их и строго контролировать - это вариант, теперь хотелось бы узнать как это решается по нормальному (best pratice) в бОльших компаниях. даже если мы хостмися на амазоне и у них тот же cisco, разве есть к нему доступ и как он вообще поможет в этой ситуации?

Ну тут как сказать. Представь вместо сервера - газель на которой ты развозишь пиво по точкам. И на одной точке тебе говорят: «а давай ты нам вторые ключи отдашь от газели? Вдруг вы там все заболеете - тогда мы сами пиво привезём». Это нормально разве?

нет, однако ключи от газели в моем слуаче просят не те кто пиво само пьет, а те кто тоже его развозят

Если доступ нужен для работы, но хочется знать кто-что делал - нужен bastion host или что-то вроде cyberark

дело в том что с вероятностью 99.9% они никогда не зайдут туда потому что им то не нужно, разве посмортеть как выглядит интерфейс облака но тогда идет аргумент о "внезапном кирпиче который упал на голову тому кто владеет ключами и паролями"

Придумал! А сделай им фейковый отдельный акк с маленьким дешёвым сервером. Поставь туда копию сервиса. И пусть заходят ))

и сделать частю реплики бд)