Re: deploy приложений написанных (например ruby) best practic

2013-09-22 Пенетрантность Vladimir Skubriev 

On 09/20/2013 04:31 PM, Artem Chuprina wrote:

  VS> Один сервер - один админ )

Как страшно жить...  У меня все же есть пара-тройка знакомых, с которыми
мы друг другу спокойно даем рута на своих серверах.
Ну что сказать? Могу только порадоваться за то, что у вас есть такие 
хорошия друзья.



--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/523fc1c5.9040...@skubriev.ru

Re: deploy приложений написанных (например ruby) best practic

2013-09-20 Пенетрантность Bogdan 
Одна из основных бесящих меня в руби вещей - тяжело автоматически
установить секьюрити-фиксы так, чтобы ничего нигде не отгнило.
А по сабжу - у меня на LAMP-продакшене программисты могут почитать логи
приложений и выполнить svn info (да, я устанаваливаю приложения посредством
переключения тэгов и прячу .svn) Обновления из debian-security приезжают
каждую ночь и за 5 лет такой практики заметных факапов не было. Исключение
из правил - БД, которым греться надо.


2013/9/20 Artem Chuprina 

> Vladimir Skubriev -> debian-russian@lists.debian.org  @ Fri, 20 Sep 2013
> 14:46:40 +0400:
>
>  >>   VS> Вопрос в связи с этим:
>  >>
>  >>   VS> Это относиться только к приложениям которые рассчитаны на работу
> из
>  >>   VS> userspace или это в принципе best practic у опытных админов ?
>  >>
>  >> Не давать приложению рута - это best practice.  Не давать его
>  >> разработчику - зависит от разработчика.  Если у разработчика нет
> скиллов
>  >> хорошего админа, то лучше не давать, а то такого наворотит, потом не
>  >> разворотишь.
>  VS> Это хороше подмечено. Вообще лучше не кому ни каких прав не давать.
>
>  VS> Один сервер - один админ )
>
> Как страшно жить...  У меня все же есть пара-тройка знакомых, с которыми
> мы друг другу спокойно даем рута на своих серверах.
>
>  >>   VS> apt-get только для установки сервера, остальное "ручками" - т.е.
> не из
>  >>   VS> стандартных репозиториев принято собирать в серьезных проектах ?
>  >>
>  >> А это зависит от того, что именно нужно.  Как показывает практика, с
>  >> ruby лучше иметь конструкцию, в которой у каждого сайта свой набор
>  >> гемов, конкретных версий (и иногда свой бинарник ruby).  Если на одной
>  >> физической машине хостится несколько сайтов, это критично.
>  VS> Судя по количеству всяких rake, bundler, gem и версий ruby я это уже
> начинаю
>  VS> впитывать.
>  >> Потому как сайт на ruby, даже если сейчас все необходимые пакеты вдруг
> в
>  >> стандартном репозитории есть, может не пережить апгрейда системы, если
>  >> он пользуется системными пакетами.
>  VS> Да пожалуй ruby он такой. Но ведь это же большой плюс. Тем более что
> есть
>  VS> rvm. И даже chef-rvm )
>
> То, что он может не пережить апгрейда системы, это скорее минус.
> Особенно - если он не переживет апгрейда не своих модулей, а, допустим,
> СУБД.  Которую rvm уже не умеет складывать в тихий уголок.
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/87ioxvad3d@wizzle.ran.pp.ru
>
>


-- 
WBR,  Bogdan B. Rudas

Re: deploy приложений написанных (например ruby) best practic

2013-09-20 Пенетрантность Artem Chuprina 
Vladimir Skubriev -> debian-russian@lists.debian.org  @ Fri, 20 Sep 2013 
14:46:40 +0400:

 >>   VS> Вопрос в связи с этим:
 >>
 >>   VS> Это относиться только к приложениям которые рассчитаны на работу из
 >>   VS> userspace или это в принципе best practic у опытных админов ?
 >>
 >> Не давать приложению рута - это best practice.  Не давать его
 >> разработчику - зависит от разработчика.  Если у разработчика нет скиллов
 >> хорошего админа, то лучше не давать, а то такого наворотит, потом не
 >> разворотишь.
 VS> Это хороше подмечено. Вообще лучше не кому ни каких прав не давать.

 VS> Один сервер - один админ )

Как страшно жить...  У меня все же есть пара-тройка знакомых, с которыми
мы друг другу спокойно даем рута на своих серверах.

 >>   VS> apt-get только для установки сервера, остальное "ручками" - т.е. не из
 >>   VS> стандартных репозиториев принято собирать в серьезных проектах ?
 >>
 >> А это зависит от того, что именно нужно.  Как показывает практика, с
 >> ruby лучше иметь конструкцию, в которой у каждого сайта свой набор
 >> гемов, конкретных версий (и иногда свой бинарник ruby).  Если на одной
 >> физической машине хостится несколько сайтов, это критично.
 VS> Судя по количеству всяких rake, bundler, gem и версий ruby я это уже 
начинаю
 VS> впитывать.
 >> Потому как сайт на ruby, даже если сейчас все необходимые пакеты вдруг в
 >> стандартном репозитории есть, может не пережить апгрейда системы, если
 >> он пользуется системными пакетами.
 VS> Да пожалуй ruby он такой. Но ведь это же большой плюс. Тем более что есть
 VS> rvm. И даже chef-rvm )

То, что он может не пережить апгрейда системы, это скорее минус.
Особенно - если он не переживет апгрейда не своих модулей, а, допустим,
СУБД.  Которую rvm уже не умеет складывать в тихий уголок.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/87ioxvad3d@wizzle.ran.pp.ru

Re: deploy приложений написанных (например ruby) best practic

2013-09-20 Пенетрантность Vladimir Skubriev 

On 09/20/2013 01:12 PM, Dmitrii Kashin wrote:

Vladimir Skubriev  writes:


Нашел на странице:


https://groups.google.com/forum/#!topic/ruby-bundler/rZbdcfsg-UY



Joining the list and resurrecting this thread to add my vehement
objection to this design decision.  Many admins and developers believe
it's very bad practice for application deployments to _ever_ touch
root.  Capistrano and Vlad recipes are often crafted to ensure that
everything happens in userspace -- and it's common to set environments
up so that developers can push deployments without knowing the root
password.


Вопрос в связи с этим:

Это относиться только к приложениям которые рассчитаны на работу из
userspace или это в принципе best practic у опытных админов ?

Root-привилегии нужны только при установке, чтобы разложить свои файлы
по системным директориям. Если вы разворачиваете ПО не из репозитория Debian,
возможно стоит сделать это вручную, если у Вас нет стопроцентного
доверия источнику, или же осуществить установку в chroot-окружении.

Смысл цитаты в том, полагаю, что если установка кода требует
root-привилегий, вполне закономерно, что прользователю хочется, чтобы
прежде этот код прошел аудит у кого-нибудь, кому он может более-менее
доверять, и был этим человеком подписан.

А теперь понятно в каком смысле. В смысле аудита (доверия к) кода(у).

Ну ву целом понятно - любой cgi скрипт да вообще программа - 
потенциальная проблема для администратора. )

apt-get только для установки сервера, остальное "ручками" - т.е. не из
стандартных репозиториев принято собирать в серьезных проектах ?
Собирать что?
Ну например rvm + свое приложение + необходимые вещи, ставить  их куда 
нибудь в /home/user | /srv/service и держать все отдельно.


Приложение отдельно / система отдельно.

Понятно, что это для рубистов очевидные вещи.

Что то я и сам уже начинаю отвечать на свой вопрос. Вроде бы очевидная 
вещь - но хотелось уточнить.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/523c2885.7040...@skubriev.ru

Re: deploy приложений написанных (например ruby) best practic

2013-09-20 Пенетрантность Vladimir Skubriev 

On 09/20/2013 01:03 PM, Artem Chuprina wrote:

Vladimir Skubriev -> Debian-russian@lists.debian.org  @ Fri, 20 Sep 2013 
12:47:08 +0400:

  VS> Вопрос в связи с этим:

  VS> Это относиться только к приложениям которые рассчитаны на работу из
  VS> userspace или это в принципе best practic у опытных админов ?

Не давать приложению рута - это best practice.  Не давать его
разработчику - зависит от разработчика.  Если у разработчика нет скиллов
хорошего админа, то лучше не давать, а то такого наворотит, потом не
разворотишь.

Это хороше подмечено. Вообще лучше не кому ни каких прав не давать.

Один сервер - один админ )

  VS> apt-get только для установки сервера, остальное "ручками" - т.е. не из
  VS> стандартных репозиториев принято собирать в серьезных проектах ?

А это зависит от того, что именно нужно.  Как показывает практика, с
ruby лучше иметь конструкцию, в которой у каждого сайта свой набор
гемов, конкретных версий (и иногда свой бинарник ruby).  Если на одной
физической машине хостится несколько сайтов, это критично.
Судя по количеству всяких rake, bundler, gem и версий ruby я это уже 
начинаю впитывать.

Потому как сайт на ruby, даже если сейчас все необходимые пакеты вдруг в
стандартном репозитории есть, может не пережить апгрейда системы, если
он пользуется системными пакетами.
Да пожалуй ruby он такой. Но ведь это же большой плюс. Тем более что 
есть rvm. И даже chef-rvm )

Надо сказать, я в wheezy видел пакет rubygems-integration, который по
описанию позволяет bundler'у видеть установленные в системе пакеты, и не
ставить то, что уже есть.  Но что-то у меня он в какой-то момент,
кажется, не сработал...





--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/523c2790.4020...@skubriev.ru

Re: deploy приложений написанных (например ruby) best practic

2013-09-20 Пенетрантность Артем Васильев 
В руби большой зоопарк разных версий одного и того же  gem-а, и достаточно
часто нужды разработчиков не совпадают с мнением мэнтейнеров дистрибутива,
поэтому последние 2-3 года считается хорошим тоном изолировать подобные
окружение либо в контейнеры, либо с помощью rvm. В питоне примерно такая же
ситуация.


20 сентября 2013 г., 13:03 пользователь Artem Chuprina написал:

> Vladimir Skubriev -> Debian-russian@lists.debian.org  @ Fri, 20 Sep 2013
> 12:47:08 +0400:
>
>  VS> Вопрос в связи с этим:
>
>  VS> Это относиться только к приложениям которые рассчитаны на работу из
>  VS> userspace или это в принципе best practic у опытных админов ?
>
> Не давать приложению рута - это best practice.  Не давать его
> разработчику - зависит от разработчика.  Если у разработчика нет скиллов
> хорошего админа, то лучше не давать, а то такого наворотит, потом не
> разворотишь.
>
>  VS> apt-get только для установки сервера, остальное "ручками" - т.е. не из
>  VS> стандартных репозиториев принято собирать в серьезных проектах ?
>
> А это зависит от того, что именно нужно.  Как показывает практика, с
> ruby лучше иметь конструкцию, в которой у каждого сайта свой набор
> гемов, конкретных версий (и иногда свой бинарник ruby).  Если на одной
> физической машине хостится несколько сайтов, это критично.
>
> Потому как сайт на ruby, даже если сейчас все необходимые пакеты вдруг в
> стандартном репозитории есть, может не пережить апгрейда системы, если
> он пользуется системными пакетами.
>
> Надо сказать, я в wheezy видел пакет rubygems-integration, который по
> описанию позволяет bundler'у видеть установленные в системе пакеты, и не
> ставить то, что уже есть.  Но что-то у меня он в какой-то момент,
> кажется, не сработал...
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/87r4cjamr6@wizzle.ran.pp.ru
>
>


-- 
WBR
Artem V. Vasiliev

Re: deploy приложений написанных (например ruby) best practic

2013-09-20 Пенетрантность Dmitrii Kashin 
Vladimir Skubriev  writes:

> Нашел на странице:
>
>
> https://groups.google.com/forum/#!topic/ruby-bundler/rZbdcfsg-UY
> 
>
>
> Joining the list and resurrecting this thread to add my vehement
> objection to this design decision.  Many admins and developers believe
> it's very bad practice for application deployments to _ever_ touch
> root.  Capistrano and Vlad recipes are often crafted to ensure that
> everything happens in userspace -- and it's common to set environments
> up so that developers can push deployments without knowing the root
> password.
>
>
> Вопрос в связи с этим:
>
> Это относиться только к приложениям которые рассчитаны на работу из
> userspace или это в принципе best practic у опытных админов ?

Root-привилегии нужны только при установке, чтобы разложить свои файлы
по системным директориям. Если вы разворачиваете ПО не из репозитория Debian,
возможно стоит сделать это вручную, если у Вас нет стопроцентного
доверия источнику, или же осуществить установку в chroot-окружении.

Смысл цитаты в том, полагаю, что если установка кода требует
root-привилегий, вполне закономерно, что прользователю хочется, чтобы
прежде этот код прошел аудит у кого-нибудь, кому он может более-менее
доверять, и был этим человеком подписан.

> apt-get только для установки сервера, остальное "ручками" - т.е. не из
> стандартных репозиториев принято собирать в серьезных проектах ?

Собирать что?


pgpnOuzb0c_2q.pgp
Description: PGP signature

Re: deploy приложений написанных (например ruby) best practic

2013-09-20 Пенетрантность Artem Chuprina 
Vladimir Skubriev -> Debian-russian@lists.debian.org  @ Fri, 20 Sep 2013 
12:47:08 +0400:

 VS> Вопрос в связи с этим:

 VS> Это относиться только к приложениям которые рассчитаны на работу из
 VS> userspace или это в принципе best practic у опытных админов ?

Не давать приложению рута - это best practice.  Не давать его
разработчику - зависит от разработчика.  Если у разработчика нет скиллов
хорошего админа, то лучше не давать, а то такого наворотит, потом не
разворотишь.

 VS> apt-get только для установки сервера, остальное "ручками" - т.е. не из
 VS> стандартных репозиториев принято собирать в серьезных проектах ?

А это зависит от того, что именно нужно.  Как показывает практика, с
ruby лучше иметь конструкцию, в которой у каждого сайта свой набор
гемов, конкретных версий (и иногда свой бинарник ruby).  Если на одной
физической машине хостится несколько сайтов, это критично.

Потому как сайт на ruby, даже если сейчас все необходимые пакеты вдруг в
стандартном репозитории есть, может не пережить апгрейда системы, если
он пользуется системными пакетами.

Надо сказать, я в wheezy видел пакет rubygems-integration, который по
описанию позволяет bundler'у видеть установленные в системе пакеты, и не
ставить то, что уже есть.  Но что-то у меня он в какой-то момент,
кажется, не сработал...


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/87r4cjamr6@wizzle.ran.pp.ru

deploy приложений написанных (например ruby) best practic

2013-09-20 Пенетрантность Vladimir Skubriev 

Нашел на странице:


https://groups.google.com/forum/#!topic/ruby-bundler/rZbdcfsg-UY 




Joining the list and resurrecting this thread to add my vehement
objection to this design decision.  Many admins and developers believe
it's very bad practice for application deployments to _ever_ touch
root.  Capistrano and Vlad recipes are often crafted to ensure that
everything happens in userspace -- and it's common to set environments
up so that developers can push deployments without knowing the root
password.


Вопрос в связи с этим:

Это относиться только к приложениям которые рассчитаны на работу из 
userspace или это в принципе best practic у опытных админов ?


apt-get только для установки сервера, остальное "ручками" - т.е. не из 
стандартных репозиториев принято собирать в серьезных проектах ?




--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru