[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Konfigurationsmanagement (was: Infrastruktur - Konkrete Schritte + Adminsuche)
[Thread Prev] | [Thread Next]
- Subject: Re: Konfigurationsmanagement (was: Infrastruktur - Konkrete Schritte + Adminsuche)
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Mon, 9 Dec 2019 15:05:57 +0100
- To: uugrn@xxxxxxxxxxxxxxx
On Thu, Nov 14, 2019 at 02:55:44PM +0100, Stefan Hagen wrote: > Marc Haber wrote: > > sdk, wir braeuchten dann noch eine mehrheitsfaehige Loesung, wie man > > Notfallcredentials interlegt, falls der Admin des Systems unerwartet > > ausfaellt. Auf den VMs wuerde vermutlich "reboot to rescue und dann > > einbrechen" ausreichend sein, aber schoen ist anders. > > Ich habe bei einer gewissen Detail-Ebene auf der ML Schluss gemacht, weil es > keinen Sinn macht diese Dinge in der aktuellen Phase zu diskutieren. > > Mein Idee waere eine Vorstands VM, die der Vorstand selbst betreut und > die als Jumphost dient. Dort bekommt der Vorstand Zugriff und dort > werden auch Mitgliederdaten, Kasse usw. liegen. So weit d'accord, wobei es einen Weg geben sollte, Mitglieder zu authentifizieren, auch wenn man kein Vorstand ist. z.B. wenn jemand fuer shell einen Account haben will, sollte ich als shell-Admin irgendwie feststellen koennen "ja, ist Mitglied, und derjenige, der mir da gerade einen ssh-Key zuwirft ist wirklich derjenige der er behauptet zu sein2. > Und dort soll auch ein > SSH key liegen dem die VMs Root Zugriff geben sollen. Tatsaechlich nur > fuer Notfaelle. Beim Vorstandwechsel wird der Key rotiert. Da wuerde ich einen User "notfalladmin", der sudo machen darf, und auf dem die Keys der aktuellen Vorstaende + Notfalladmins hinterlegt sind, vorziehen. Am besten mit automatischer Verteilung (ich wuerde das auf meinen Maschine ansibilisieren). Keys rotieren braucht's nicht an dieser Stelle. > Ich bin dafuer den Leuten die sich als Admin melden zu vertrauen und > lieber mit weniger Verwaltung und mehr Rechten zu arbeiten und ggf. mal > jemand auf die Finger zu klopfen oder was reparieren als von Anfang an > Szenarien zu diskutieren, die vermutlich nie eintreffen. Ein Minimum an Prozessen kann heute die Arbeit vereinfachen. > Lasst uns Freunde sein und zusammen coole Dinge tun. So einfach. Da habe ich kein Problem mit. Dinge richtig zu machen ist aber auch cool. Gruesse Marc -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Leimen, Germany | lose things." Winona Ryder | Fon: *49 6224 1600402 Nordisch by Nature | How to make an American Quilt | Fax: *49 6224 1600421 -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/