Маша и Медведь – До весны не будить

[dil]

“про девочку Машу, которая никому не дает покоя, и в первую очередь – своему другу Медведю”

Это я один такой испорченный, что неправильно понимаю название и описание третьей серии нового российского мультфильма?

Оригинал этой записи в личном блоге.

Comments

[dil.livejournal.com]

готовый код на production-сервера раскладывают админы. и ограничения доступа в веб-серврах тоже настраивают они. быдлокодеры в данном случае ни при чём

[e1am0.livejournal.com]

ну я к тому, что админ может не знать о метаданных системы контроля версий и вообще не разбираться, что там такое лежит то. он должен сделать, чтоб это было доступно. с моей точки зрения
но косяк конечно чрезвычайно забавный в любом случае

[dil.livejournal.com]

админ может не разбираться, как работают выкладываемые файлы, но про систему контроля версий из которой он берёт эти файлы для выкладки, он не знать не может

[e1am0.livejournal.com]

для меня просто было не очевидно, что именно так всё устроено. если это устроенно именно так, то...
ну не знают они, что там за каталоги )))

[samuel-smith.livejournal.com]

админ должен не быть тупым мудаком и смотреть что лежит в вебруте. Да и эта "уязвимость" известна еще с времен цвс. Кстати, я вот даже в одном из своих проектов это обнаружил, причина - миграция с apache на nginx, а лимит был прописан на уровне .htaccess. От осознания того, что кто-то мог посмотреть локальную модификацию magento & phpbb становится страшно.

[dil.livejournal.com]

админ должен не быть тупым мудаком
о чём, собственно, и речь :)
я однажды сильно накололся на использовании .htaccess, который кто-то кривыми ручками подправил на тестовом сервере, закоммитил вместе с основными изменениями, и оттуда оно выползло на production.
с тех пор всё существенное пишу только в основном конфиге сервера

+1

[dinozavr.livejournal.com]

"админ должен не быть тупым мудаком"

К сожалению, понимание этого простого факта ныне почти утрачено.
Мои соображения (ничего конкретного, скорей средняя картина по отрасли, в масштабах города): http://dinozavr.livejournal.com/1708795.html

Re: +1

[samuel-smith.livejournal.com]

ну, не стоит драматизировать, но в целом тенденция есть. Мне приходили заявки на security audit linux серверов (LAMP), на которых я обнаруживал запущенный firefox, kde и vnc server через который это говно и админилось. Еще пару раз видел на админских форумах скриншоты (!) консоли для воспроизведения сообщений об ошибках, тоже доставляет, да.

Re: +1

[dil.livejournal.com]

одно слово LAMP навевает нехорошие мысли ещё до начала аудита ;)

[awind.livejournal.com]

готовый код себе, как админу, я, как нормальный быдлокодер, отдаю в .deb ибо нефиг.

[dil.livejournal.com]

и так по 10 раз в день на сотни серверов?

[awind.livejournal.com]

по 10 раз в день на продакшене? и чем на этих сотнях серверов apt-get install отличается от svn up?

[dil.livejournal.com]

объёмами. apt-get install и svn export будут раскладывать все файлы, а svn up и rsync - только изменившиеся.

[awind.livejournal.com]

аргумент. но я как-то затрудняюсь предстаивть себе ТАКИЕ объёмы, при том что не пользовательские данные. у меня, опять же, идёт не одним пакетом а несколькими -- там есть слабозависимые куски. соответственно всё сразу апдэйтить надо редко.

[dil.livejournal.com]

в моём понимании пакет - это что-то относительно редко меняющееся и потенциально требующее остановки сервиса в процессе установки/апгрейда.

а сайт, особенно во время активной разработки, меняется часто. ну не перепаковывать же всё целиком из-за одной исправленной ошибки в каком-нибудь CSS-файле. хотя, может, это у меня религиозное

[awind.livejournal.com]

свои недостатки тоже есть, и с ними, опять же, можно побороться ;) и свои плюсы.
а по месту править, так у программиста прав нет. ну на тестовом сервере ему sudo можно разрешить, но он же тоже взвоет ;)

или, например, если кроме набора perl/php, шаблонов и css есть что-нибудь компилируемое, то тут svn up не обойдёшься.

[dil.livejournal.com]

не-не, разработчику на production-сервере делать нечего. никаких правок по месту. правка на девелоперских машинах, потом commit в репозиторий, потом выкладка.

svn, в отличие от cvs, хорошо поддерживает бинарные файлы

[awind.livejournal.com]

это понятно, но если ты svn'ом расставляешь права, то они у тебя на девелоперской машине так же расставятся.

это я тоже знаю, но собрать бинарник всё равно надо.

[samuel-smith.livejournal.com]

Дада, деб невероятно удобен, особенно когда локальные машины разработчиков на винде, сервера web - часть на фре, часть на RHEL, сервер баз данный - на оракле, а у заказчика вообще может AIX стоять. Ну и каждый раз гонять многомегобайтный пакет при изменении двух файлов - тоже достойное Админа решение.

[awind.livejournal.com]

проходите, товарищ, проходите...