Я уже много раз доказывал свою профпригодность в разных ситуациях, но почему-то каждый раз одни и те же тупые набросы, типа как в комментарии.

Еще раз для тех кто в танке, проблемы возникают после того как на postgres вешают пароль такой же как имя. С этого момента вас начинают пускать по ssh без проблем, по ssh пускают, потому что вы поставили пароль, но не убрали логин, делаете nologin и пускать перестает, чтобы попасть в своего горячолюбимого postgres нужно делать su —shell /bin/bash postgres или настраивать sudo

Правильно в данном случае не ставить пароль и нормально настроить файрвол, если хотите пароль (ну вот захотелось аж не могу), то ставите nologin (или настраиваете sshd)

Про systemd надо конкретнее, может чего не знаю, но postgresql стартанет и будет работать, может какие-то "глубокие" ошибки есть

С позиции информационной безопасности, в корпоративной архитектуре, как правило, применяются следующие ограничения (или их вариации):
- запрет суперпользователя;
- разделение на администраторов и администраторов информационной безопасности (АИБ)
- запрет на вход под служебными пользователями (если нельзя технически, то разделяют пароль между админом и АИБом, так что войти можно только вместе)
- принцип наименьших привилегий (как правило, это значит, что все работает должно работать без вмешательства или использования учетной записи суперадминистратора)

В некоторых организациях делают интересный ход, АИБ ничего не настраивает, а только контролирует и выносит "предписания", а администратор отвечает за реализацию требований. Администраторы очень не любят такое разграничение, но на практике, если объединить функции контроля и выполнения, то качество резко падает. Администраторы начинают ослаблять безопасность системы, мотивируя это тем, что "реализовать требование невозможно", в системе постоянно нарушается принцип наименьших привилегий, для администраторских задач используется суперпользователь и т.д.

Архитекторам решений, тоже прилетает от АИБов, когда я согласовывал проекты с управлениями безопасности и потом взаимодействовал с АИБами при опытной эксплуатации, то постоянно сталкивался с требованиями, которые мне казались нереализуемыми. Первое что хочется сделать в такой ситуации, это доказать, что ничего сделать нельзя, но когда начинаешь искать аргументы, то оказывается, что многие вещи можно реализовать, просто решение лежит не на поверхности.

Сейчас мне часто помогает этот опыт, я как-то привык думать о решении, а не о том почему это невозможно, в итоге это позволяет гораздо эффективнее строить свою работу. Не устаю утверждать, что в условиях жестких ограничений специалист получается более гармоничным и глубоким.

Отличный видос от Максима Горшенина про конфу в Норильске. Мне очень зашло, рекомендую посмотреть. https://rutube.ru/video/1fb42c8cc877a94a58e677d2f6a17191/

Для справки, в postgresql параметры окружения лежат в юните с конфигурацией. Их легко найти в /usr/lib/systemd/system/postgresql.service (в разных ОС могут быть косметические отличия в пути). По дефолту там указывается только один параметр:

Environment=PGROOT=/var/lib/postgres

В env пользователя в режиме nologin различие будет только в том, что в PATH не будет пути к ~/.local/bin, остальное будет точно таким же как с /bin/bash

Проверял на Ubuntu и Manjaro.

Systemd, естественно, работает нормально и так, и так.

#postgresql #tip

Меня спрашивают чего я комменты не открываю? Вот из-за таких хамов и не открываю.
Со своей стороны я потратил время, проверил все безумные утверждения этого товарища, показал конкретно с командами и конфигами что он ошибается, а в ответ хамство. Причем за весь разговор ни имен переменных, ни названия дистров, ни другой конкретики.
И таких очень много. Для меня это впустую потраченное время.

P.S> поэтому хоть контент для канала сделаю, может кому пригодится для расширения кругозора.

#обида #яодинхороший

Было много споров по поводу того, что вешать на служебных пользователей шел - это плохая практика. Эта проблема переодически обсуждается и сегодня очень мало приложений, которые используют такой вариант работы.
Процесс не быстрый, вот например Bug report в Debian от 2004 - https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=274229 исправлен он был только в 2010, потому что исправлять такие баги очень сложно, на них уже завязано куча всего, и просто так выпилить не получается.

В то время как разработчики дистров признают наличие шела на служебных учетках багом, находятся люди, которые искренне уверены, что это фича.

Теперь про ошибку RHEL 7 о которой так таинственно намекнул мой таинственный визави (извините за тавтологию). Вот здесь можно почитать подробнее - https://bugzilla.redhat.com/show_bug.cgi?id=1122118
Но если коротко:
- есть такая штука SCAP (Security Content Automation Protocol) в ней рекомендуется, как вы догадались, не использовать шелов на служебных пользователей и ребята хотели выполнить эти рекомендации
- оказалось, что на RedHat 7 действительно нельзя инициализировать базу без шела
- в RedHat 6 после инициализации проблема с запуском и работы в nologin режиме нет, надо просто:

Fix, add '-s /bin/bash' to runuser command lines in the
> /etc/init.d/postgresql noscript.

Чувак, правда, перепутал init.d с systemd, но мы же не будем поправлять такого блестящего оратора, который еще ничего не начинал.

Запустил субботний стрим, залетайте!
https://youtu.be/NzxhUsIN0x8

Тех кому интересна современная архитектура, посмотрите на книгу "Practical Process Automation" Bernd Ruecker, это довольно свежее издание, поэтому отражает современный подход к оркестрации и хореографии в современных распределенных архитектурах. В книге показана связь кода и архитектуры, есть примеры на BPMN и процессный взгляд на решение.

#книга

На platform.soer.pro вышло 31-е архитектурное видео - это четвертая часть из серии видео по "Чистой архитектуре". Так как это видео относится к трем предыдущим частям, которые выпустил в прошлом году, то опубликовал его в разделе "2022".

Канал по архитектуре на ютуб

https://youtube.com/@mezhdu_skobok

Решил поделиться ссылкой на канал по архитектуре. Такие каналы теряются на фоне информационного мусора, поэтому не реклама, а распространение полезного контента.

Как выглядит архитектура 2.0?

Чем больше я обдумываю различия в архитектурных подходах к построению программного обеспечения, тем больше мне нравится разделение архитектуры на этапы развития. Например, есть хороший доклад от Олега Сметанина - https://www.youtube.com/watch?v=tF3iNp5YFYk про организацию микросервисов. Этот доклад охватывает типовые кейсы построения микросервисной архитектуры. Попытаться делать эту архитектуру как-то иначе невозможно, воткнуть туда что-то из старых подходов тоже нереально. Это самостоятельный кусок теории, именно так выглядит архитектура 2.0 в моем понимании.
#микросервисы #мысли

С помощью тега #itubeteam на рутубе нашел канал Виктора Левина. Хочу поддержать автора лайком и рекомендацией. Мне понравился видос по графане, весьма толково и по делу https://rutube.ru/video/5361cffbbeac6ca83ee07ff54037df00/

The entity trap

В архитектуре так называется анти-паттерн, когда архитектор уходит от бизнес-абстракций, и начинает фокусироваться на бизнес-данных. В итоге получается, что структура и сущности БД напрямую влияют на дизайн компонентов и отражают обычное CRUD взаимодействие. Если задача сводится к простому CRUD, то смысла что-то "проектировать" нет, можно взять подходящий фреймворк и работать в рамках его возможностей.

Проектировать имеет смысл тогда, когда есть бизнес-логика, абстракции уровня бизнес-логики и другие признаки "сложности" задачи.

#мысли #антипаттерн

Не репрезентативная выборка, конечно, так как 173 ответа - это ни о чем. Но результат, безусловно, интересный.

Источник: https://proglib.io/p/kak-izmenilas-zhizn-russkoyazychnyh-aytishnikov-za-poslednie-polgoda-rezultaty-oprosa-biblioteki-programmista-2022-09-08

Кстати, я до сих пор веду Now. Похоже там остались только я и tk_knopka

Многие воспринимают мои архитектурные стримы как "курс по архитектуре", это не так, даже близко не так, совсем. Это как сравнивать книгу и методичку. В своих архитектурных стримах я собираю весь доступный мне опыт и знания по архитектуре, структурирую их по темам, с целью дать людям информацию, которая позволяет воспринимать задачи с архитектурной точки зрения. В дальнейшем на основе этих знаний можно решать практические задачи. Поэтому цель стримов - это формирование базы.

Курсы же ставят перед собой цель научить вас пользоваться каким-то конкретным инструментарием, в конкретных условиях. При этом одно другому не мешает, просто служит для разных целей.

Как водится по субботам, был стрим, по нашей традиции, если за время стрима на ютубе не набирается 200 лайков, то стрим отправляется на RuTube в записи - https://rutube.ru/video/572527ecf674c65d8aba36fcd72b578c/