Журнал Витуса. Голосов: 2 Адрес блога: http://vitus-wagner.livejournal.com/ Добавлен: 2008-02-19 12:48:41 блограйдером Lurk

PostgresPro EE 1.5

2016-12-20 19:16:51 (читать в оригинале)

Выкатили наконец, "закрытую" версию нашего продукта.

С 64-битными transaction id, автономными транзакциями (это такая субтранзакция, которую можно закоммитить раньше объемлющей), встроенным планировщиком и хинтами. Ну и еще с пачкой менее значительных фич. (ну и со всеми фичами Pgpro standard - pathman, arman pg_probackup, covering indexes и прочая, и прочая).

Еще там есть scram authentication - этот не наша фича, патч к 10-ке by Michael Paquier лежит на коммитфесте.
Для параноиков, которых md5 и sha1 в качестве метода хэширвоания паролей не устраивают.

В общем читайте и облизывайтесь.

Впрочем, в стандартной версии тоже уже много чего хорошего. В частности, 1С-патчи уже там. Чтобы не искать - ссылка на страничку даунлоада.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1239272.html. Please comment there using OpenID. Now there are comments

---

Топонимическое

2016-12-20 11:39:07 (читать в оригинале)

Задумался над тем, что в Москве нет ни одного топонима (улицы, площади, парка в конце концов), названного именем Грибоедова. В Питере хоть канал есть. А ведь действие "Горя от ума" происходит ни разу не в Питере.

И вообще до вчерашнего дня Грибоедов был единственным в истории российским послом, убитым при исполнении служебных обязанностей. Войков с Воровским не в счет, они были убиты не как представители Советской России/СССР, а как деятели русской революции много чего совершившие лично.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1238862.html. Please comment there using OpenID. Now there are comments

---

Про key rollover

2016-12-19 10:24:31 (читать в оригинале)

Продолжаю разбираться с letsencrypt. Понятно что это гадость. вроде systemd, но деваться некуда. Все альтернативные бесплатые CA за этот год были успешно уничтожены.

Обнаружил, что автор acme-tiny рекомендует по крону повторно выписывать сертификат на тот же самый ключ.

По-моему, в этом вопросе он глубоко неправ. Плтому что с точки зрения пользователя сайта смена сертификата и смена ключа полностью эквивалентны. Браузер не смотрит на ключ, браузер смотрит на то, что ключ соответствует указанному в сертификате.

И если уж мы напрягаемся на предмет того, чтобы менять сертификат раз в три месяца, или раз в месяц, то надо менять и ключ. Потому что это позволяет ограничить риски от утаскивания ключа. Ежели кто попятит закрытый ключ с вашего сервера, то черед весьма недолгое время вы его перегенерируете, а сертификат на старый перестанет действовать. Если же вы выпишите на старый ключ новый сертификат, то тем самым предоставите злоумышленнику возможность пользоваться старым ключом еще три месяца.

Правда, как обычно, идея перегенерации ключа по крону несет свои собственные риски.
В текущем виде acme-tiny требует доступа только к ключу аккаунта на letsencrypt и к CSR. То есть скрипт, активно работающий с сетью и теоретически могущий быть проэксплойченным через дырки в стандартной библиотеке питона, самом питоне и libc, не имеет доступа к вашему закрытому ключу.

Если же мы генерируем ключ, то какие-то части того задания, которое отвественно за перевыпуск сертификата, должны работать с повышенными правами.

То есть нужно аккуратно поделить задачу на три части

1. Сгенерировать новый закрытый ключ и CSR. В принципе, для этого никаких прав не нужно. Нужно только не пересекаться по правам с шагом 2, чтобы у того доступа к закрытому ключу не было. С другой стороны, поскольку эта операция ничего особо принципиального не делает, только пишет в файлики в формате pem, то не жалко и от рута запускать.

2. Посредством acme-tiny или еще какого auditable клиента к letsencrypt получить сертификат.

3. Убедиться в соответствии сертификата ключу и домену, и положить новый ключ и новый сертификат куда надо. Единственная операция, которая требует повышенных привилегий.

Обдумывал мысль, как бы запихнуть операцию 2 в chroot но решил что для acme-tiny это явно не вариант - в chroot придется тащить всю питоновскую инфраструктуру. Пожалуй, с dehydrated это бы лучше получилось.

Идея, естественно в том, чтобы создавать дерево с бинарниками для chroot непосредственно перед запуском скрипта, копируя бинарники из основной системы, а потом уничтожать, откопировав оттуда только полученный сертификат.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1238540.html. Please comment there using OpenID. Now there are comments

---

Лес

2016-12-17 12:40:06 (читать в оригинале)



Купили вчера ребенку новые лыжные ботинки (из старых он вырос), и сегодня сходили покататься в лес. От нас через МКАД начинается довольно неплохой лес, изредка перемежающийся коттеджными поселками аж до самого Пироговского водохранилища.

Так далеко мы, конечно, не пошли (а то как раз бы к наступлению темноты вернулись), но вообще в лесу хорошо.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1238485.html. Please comment there using OpenID. Now there are comments

---

За упущенную выгоду

2016-12-15 17:52:13 (читать в оригинале)

Феерично. В Чите энергетики подали в суд с требованием заплатить 40000 рублей за упущенную выгоду, на хозяина дома, который вообще не стал подключаться к электросети, а использует альтернативные источники энергии.

Сначала долго пытались доказать, что он электричество ворует, но независимая экспертиза подтвердила, что нет, дом действительно обладает только автономным энергоснабжением.

Теперь вот пытаются получить деньги за то что "при проектировании линии и расчете мощности, энергетики предполагали, что участок, где находится дом Сергея, планировался под подключение и потребление электроэнергии."

Via val_oper.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1238158.html. Please comment there using OpenID. Now there are comments