Amazon S3 (Simple Storage Service, сервис простого хранилища) — очень мощный онлайн сервис файлового хранилища, предоставляемого Amazon Web Services. Думайте о нем, как об удаленном диске, на котором вы можете хранить файлы в директориях, получать и удалять их. Компании, такие как DropBox, Netflix, Pinterest, Slideshare, Tumblr и многие другие, полагаются на него.

Хоть сервис и отличный, его код не открыт, поэтому вы должны доверять Amazon свои данные, и хоть они предоставляют доступ к бесплатному инстансу на год, вы все равно должны ввести информацию о кредитной карте для создания аккаунта. Т.к. S3 должен знать каждый инженер-программист, я хочу, чтобы мои студенты приобрели опыт работы с ним и использовали его в своих веб-приложениях, и еще я не хочу, чтобы они за это платили. Некоторые студенты также работают во время поездок, что означает медленное Интернет-соединение и дорогой трафик, либо вообще полное отсутствие Интернета.
Читать дальше →

Выкатили наконец, "закрытую" версию нашего продукта.

С 64-битными transaction id, автономными транзакциями (это такая субтранзакция, которую можно закоммитить раньше объемлющей), встроенным планировщиком и хинтами. Ну и еще с пачкой менее значительных фич. (ну и со всеми фичами Pgpro standard - pathman, arman pg_probackup, covering indexes и прочая, и прочая).

Еще там есть scram authentication - этот не наша фича, патч к 10-ке by Michael Paquier лежит на коммитфесте.
Для параноиков, которых md5 и sha1 в качестве метода хэширвоания паролей не устраивают.

В общем читайте и облизывайтесь.

Впрочем, в стандартной версии тоже уже много чего хорошего. В частности, 1С-патчи уже там. Чтобы не искать - ссылка на страничку даунлоада.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1239272.html. Please comment there using OpenID. Now there are comments

Продолжаю разбираться с letsencrypt. Понятно что это гадость. вроде systemd, но деваться некуда. Все альтернативные бесплатые CA за этот год были успешно уничтожены.

Обнаружил, что автор acme-tiny рекомендует по крону повторно выписывать сертификат на тот же самый ключ.

По-моему, в этом вопросе он глубоко неправ. Плтому что с точки зрения пользователя сайта смена сертификата и смена ключа полностью эквивалентны. Браузер не смотрит на ключ, браузер смотрит на то, что ключ соответствует указанному в сертификате.

И если уж мы напрягаемся на предмет того, чтобы менять сертификат раз в три месяца, или раз в месяц, то надо менять и ключ. Потому что это позволяет ограничить риски от утаскивания ключа. Ежели кто попятит закрытый ключ с вашего сервера, то черед весьма недолгое время вы его перегенерируете, а сертификат на старый перестанет действовать. Если же вы выпишите на старый ключ новый сертификат, то тем самым предоставите злоумышленнику возможность пользоваться старым ключом еще три месяца.

Правда, как обычно, идея перегенерации ключа по крону несет свои собственные риски.
В текущем виде acme-tiny требует доступа только к ключу аккаунта на letsencrypt и к CSR. То есть скрипт, активно работающий с сетью и теоретически могущий быть проэксплойченным через дырки в стандартной библиотеке питона, самом питоне и libc, не имеет доступа к вашему закрытому ключу.

Если же мы генерируем ключ, то какие-то части того задания, которое отвественно за перевыпуск сертификата, должны работать с повышенными правами.

То есть нужно аккуратно поделить задачу на три части

1. Сгенерировать новый закрытый ключ и CSR. В принципе, для этого никаких прав не нужно. Нужно только не пересекаться по правам с шагом 2, чтобы у того доступа к закрытому ключу не было. С другой стороны, поскольку эта операция ничего особо принципиального не делает, только пишет в файлики в формате pem, то не жалко и от рута запускать.

2. Посредством acme-tiny или еще какого auditable клиента к letsencrypt получить сертификат.

3. Убедиться в соответствии сертификата ключу и домену, и положить новый ключ и новый сертификат куда надо. Единственная операция, которая требует повышенных привилегий.

Обдумывал мысль, как бы запихнуть операцию 2 в chroot но решил что для acme-tiny это явно не вариант - в chroot придется тащить всю питоновскую инфраструктуру. Пожалуй, с dehydrated это бы лучше получилось.

Идея, естественно в том, чтобы создавать дерево с бинарниками для chroot непосредственно перед запуском скрипта, копируя бинарники из основной системы, а потом уничтожать, откопировав оттуда только полученный сертификат.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1238540.html. Please comment there using OpenID. Now there are comments

И снова здравствуйте! Почти пять лет уже не писал здесь новых статей, хотя, если честно, всегда знал, что рано или поздно начну это делать снова. Не знаю как вам, а мне все таки это дело всегда казалось довольно увлекательным.

Начинать написание нового материала после столь продолжительного отдыха от этого дела — труднее всего. Но раз цель поставлена — надо идти до конца. Начну немного издалека.

Всю свою сознательную жизнь основным родом моей деятельности была и остается по сей день веб-разработка. Именно поэтому, сознаюсь сразу, что данный материал стоит воспринимать именно как попытка построения Docker-кластера от системного администратора любителя, но никак не профессионала. В этой статье я не могу претендовать на экспертное мнение в кластеризации и даже, более того, сам же хочу проверить достоверность собственного опыта.

Под хабракатом вы найдете Quick Start по использованию Docker на уровне, необходимом для решения конкретных задач, обозначенных ниже, без углубления в "дебри" виртуализации и прочих сопутствующих тем. Если вы до сих пор хотите начать успешно использовать эту современную технологию, тем самым значительно упростив целый ряд процессов: от разработки веб-продуктов и до разворачивания и переноса оных под какое-либо современное оборудование — прошу под кат!

Читать дальше →

Товарищ Joel Spolsky, известный как один из основателей stackoverflow.com и блогер joelonsoftware, рекламирует новую интересную штуку для веб-разработчиков - gomix.com (в девичестве HyperDev) - "a developer playground for building full-stack web-apps fast", онлайн сервис, позволяющий быстро и бесплатно сваять веб приложение, без необходимости платить за его хостинг.

Вкратце, это возможность слепить свою несложную поделку на nodejs без необходимости все это администрировать/настраивать/платить за хостинг, причем и back-end и front-end создается в одном месте - во встроенной онлайн IDE. Сейчас это в находится в состоянии public beta, но они обещают, что и после релиза возможность бесплатного его использования останется - "We expect to always have some sort of free plan, but we may charge for premium services or capabilities down the line".

Проектики при этом будут open-source. Что еще интересно - есть возможность взять чужую поделку и на ее основе делать свою. При этом некоторые папки/файлы не доступны для свободного доступа (ну то есть можно запихать туда какие-нибудь БД/API key и их никто не увидит, кроме авторизованных разработчиков).
НЕ НАДО: