Одна из основных бесящих меня в руби вещей - тяжело автоматически установить секьюрити-фиксы так, чтобы ничего нигде не отгнило. А по сабжу - у меня на LAMP-продакшене программисты могут почитать логи приложений и выполнить svn info (да, я устанаваливаю приложения посредством переключения тэгов и прячу .svn) Обновления из debian-security приезжают каждую ночь и за 5 лет такой практики заметных факапов не было. Исключение из правил - БД, которым греться надо.
2013/9/20 Artem Chuprina <r...@ran.pp.ru> > Vladimir Skubriev -> debian-russian@lists.debian.org @ Fri, 20 Sep 2013 > 14:46:40 +0400: > > >> VS> Вопрос в связи с этим: > >> > >> VS> Это относиться только к приложениям которые рассчитаны на работу > из > >> VS> userspace или это в принципе best practic у опытных админов ? > >> > >> Не давать приложению рута - это best practice. Не давать его > >> разработчику - зависит от разработчика. Если у разработчика нет > скиллов > >> хорошего админа, то лучше не давать, а то такого наворотит, потом не > >> разворотишь. > VS> Это хороше подмечено. Вообще лучше не кому ни каких прав не давать. > > VS> Один сервер - один админ ) > > Как страшно жить... У меня все же есть пара-тройка знакомых, с которыми > мы друг другу спокойно даем рута на своих серверах. > > >> VS> apt-get только для установки сервера, остальное "ручками" - т.е. > не из > >> VS> стандартных репозиториев принято собирать в серьезных проектах ? > >> > >> А это зависит от того, что именно нужно. Как показывает практика, с > >> ruby лучше иметь конструкцию, в которой у каждого сайта свой набор > >> гемов, конкретных версий (и иногда свой бинарник ruby). Если на одной > >> физической машине хостится несколько сайтов, это критично. > VS> Судя по количеству всяких rake, bundler, gem и версий ruby я это уже > начинаю > VS> впитывать. > >> Потому как сайт на ruby, даже если сейчас все необходимые пакеты вдруг > в > >> стандартном репозитории есть, может не пережить апгрейда системы, если > >> он пользуется системными пакетами. > VS> Да пожалуй ruby он такой. Но ведь это же большой плюс. Тем более что > есть > VS> rvm. И даже chef-rvm ) > > То, что он может не пережить апгрейда системы, это скорее минус. > Особенно - если он не переживет апгрейда не своих модулей, а, допустим, > СУБД. Которую rvm уже не умеет складывать в тихий уголок. > > > -- > To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: http://lists.debian.org/87ioxvad3d....@wizzle.ran.pp.ru > > -- WBR, Bogdan B. Rudas
