Выкатили наконец, "закрытую" версию нашего продукта.

С 64-битными transaction id, автономными транзакциями (это такая субтранзакция, которую можно закоммитить раньше объемлющей), встроенным планировщиком и хинтами. Ну и еще с пачкой менее значительных фич. (ну и со всеми фичами Pgpro standard - pathman, arman pg_probackup, covering indexes и прочая, и прочая).

Еще там есть scram authentication - этот не наша фича, патч к 10-ке by Michael Paquier лежит на коммитфесте.
Для параноиков, которых md5 и sha1 в качестве метода хэширвоания паролей не устраивают.

В общем читайте и облизывайтесь.

Впрочем, в стандартной версии тоже уже много чего хорошего. В частности, 1С-патчи уже там. Чтобы не искать - ссылка на страничку даунлоада.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1239272.html. Please comment there using OpenID. Now there are comments

Продолжаю разбираться с letsencrypt. Понятно что это гадость. вроде systemd, но деваться некуда. Все альтернативные бесплатые CA за этот год были успешно уничтожены.

Обнаружил, что автор acme-tiny рекомендует по крону повторно выписывать сертификат на тот же самый ключ.

По-моему, в этом вопросе он глубоко неправ. Плтому что с точки зрения пользователя сайта смена сертификата и смена ключа полностью эквивалентны. Браузер не смотрит на ключ, браузер смотрит на то, что ключ соответствует указанному в сертификате.

И если уж мы напрягаемся на предмет того, чтобы менять сертификат раз в три месяца, или раз в месяц, то надо менять и ключ. Потому что это позволяет ограничить риски от утаскивания ключа. Ежели кто попятит закрытый ключ с вашего сервера, то черед весьма недолгое время вы его перегенерируете, а сертификат на старый перестанет действовать. Если же вы выпишите на старый ключ новый сертификат, то тем самым предоставите злоумышленнику возможность пользоваться старым ключом еще три месяца.

Правда, как обычно, идея перегенерации ключа по крону несет свои собственные риски.
В текущем виде acme-tiny требует доступа только к ключу аккаунта на letsencrypt и к CSR. То есть скрипт, активно работающий с сетью и теоретически могущий быть проэксплойченным через дырки в стандартной библиотеке питона, самом питоне и libc, не имеет доступа к вашему закрытому ключу.

Если же мы генерируем ключ, то какие-то части того задания, которое отвественно за перевыпуск сертификата, должны работать с повышенными правами.

То есть нужно аккуратно поделить задачу на три части

1. Сгенерировать новый закрытый ключ и CSR. В принципе, для этого никаких прав не нужно. Нужно только не пересекаться по правам с шагом 2, чтобы у того доступа к закрытому ключу не было. С другой стороны, поскольку эта операция ничего особо принципиального не делает, только пишет в файлики в формате pem, то не жалко и от рута запускать.

2. Посредством acme-tiny или еще какого auditable клиента к letsencrypt получить сертификат.

3. Убедиться в соответствии сертификата ключу и домену, и положить новый ключ и новый сертификат куда надо. Единственная операция, которая требует повышенных привилегий.

Обдумывал мысль, как бы запихнуть операцию 2 в chroot но решил что для acme-tiny это явно не вариант - в chroot придется тащить всю питоновскую инфраструктуру. Пожалуй, с dehydrated это бы лучше получилось.

Идея, естественно в том, чтобы создавать дерево с бинарниками для chroot непосредственно перед запуском скрипта, копируя бинарники из основной системы, а потом уничтожать, откопировав оттуда только полученный сертификат.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1238540.html. Please comment there using OpenID. Now there are comments

32-х битная операционная система Windows® 7™ максимальная (x86) с интегрированными обновлениями, оформлением в темно-голубом стиле и полуавтоматической установкой на 1 DVD. Содержит удобное предзагрузочное меню для проверки компьютера. Сборка предназначена для тех, кто хочет оформить систему на свой вкус, для этого в сборке имеется почти всё.Сборка основана на официальном образе MICROSOFT MSDN:ru_windows_7_ultimate_with_sp1_x86_dvd_u_677463.isoИнтегрированы:- Internet Explorer 11 […]

При активной эксплуатации ноутбуков, особенно в жаркую пору года, пользователи нередко сталкиваются с их сильным нагреванием. Систематический перегрев приводит не только к подтормаживанию ОС и периодическому самовыключению ПК, но и к преждевременному выходу из строя процессора, материнки или других конструктивных элементов. Для снижения температуры лэптопа можно принудительно включить вентилятор, входящий в систему охлаждения ноутбука, с […]

BIOS представляет собой целый набор небольших программ, необходимых для работы с основной аппаратурой персонального компьютера. Стоит обратить внимание на тот факт, что устанавливать и восстанавливать операционную систему Windows 10 можно различными путями, некоторые из них достаточно простые, а при использовании других потребуется немало внимания и усидчивости. Создатели Windows 10, как сообщают СМИ, сделали все возможное, […]