Хотя. Посмотрите, пожалуйста, на моё решение. Может подскажите как лучше

делать?

"Старшие" решили, что надо бы за безопасность взяться. Ну решили и решили. Выдвинули мне задачу.

Имеется:
- Пачка серверов (количество может изменяться. Убираться, добавляться)
- HashiCorp Vault

Что надо:
- Отключать логин рута
- Изменить порт SSH
- Создать sudo пользователя, под которым будут выполняться дальнейшие действия

Что думаю:
Получаю креды серверов с vault, в которых есть что-то вроде 'root_password', 'super_password', 'super_username'. Дальше (пока не знаю как, но что-то придумаю), проверяю, есть ли super креды. Если нету - создать пользователя и внести в vault.
Ну, а дальше уже делать свою магию

Это лишь 'первая мысль'. Если есть советы / подзатыльники / предложения / критика - буду очень рад, если поделитесь

Ну, я могу попытаться возразить. Но, авторитета в компании пока маловато, поэтому 'делай и ниипёт'

Безопасность через неясность - огонь, да.

Яб начал с выпиливания любого хашикопровского гуано из инфры. Ну это личная рекомендация

Чего так?

1) юзер модулем создаешь нужных тебе судо пользователей 2) грузиш темлейт sshd 3) хандлером рестартишь sshd. момент с проверять не очень догнал

психологическая травма после консула (бэкенд столона), видевшего 5 сек таймауты там, где их не было

+

Ты специалист, инженер или кто?

Я пэхэпэшник...

Так получилось, что моё основное направление - пыха. Но изначально я попал в стартап и делал всё. Вообще всё. Потом продукт перешёл на другую контору и теперь я серваками занимаюсь.

Вот это карьерный рост))

Лучше бы зарплату повышали :D

Жизнь заставит и не так раскорячишься)

Ну, и погромированием я до сих пор занимаюсь. Правда уже поменьше.

Вот, лови момент :)

По идее, это временно. Нужно до конца года довести продукт, а там уже закрываем продукт и уже двигаемся на базе этого в другой. И там опять и сервера и погромирование и всё что хош