Re: Konfigurationsmanagement (was: Infrastruktur - Konkrete Schritte + Adminsuche)

From: Marc Haber <mh+uugrn_at_zugschlus.de>
Date: Mon, 9 Dec 2019 15:05:57 +0100
On Thu, Nov 14, 2019 at 02:55:44PM +0100, Stefan Hagen wrote:
> Marc Haber wrote:
> > sdk, wir bräuchten dann noch eine mehrheitsfähige Lösung, wie man
> > Notfallcredentials interlegt, falls der Admin des Systems unerwartet
> > ausfällt. Auf den VMs würde vermutlich "reboot to rescue und dann
> > einbrechen" ausreichend sein, aber schön ist anders.
> 
> Ich habe bei einer gewissen Detail-Ebene auf der ML Schluss gemacht, weil es
> keinen Sinn macht diese Dinge in der aktuellen Phase zu diskutieren.
> 
> Mein Idee wäre eine Vorstands VM, die der Vorstand selbst betreut und
> die als Jumphost dient. Dort bekommt der Vorstand Zugriff und dort
> werden auch Mitgliederdaten, Kasse usw. liegen.

So weit d'accord, wobei es einen Weg geben sollte, Mitglieder zu
authentifizieren, auch wenn man kein Vorstand ist. z.B. wenn jemand für
shell einen Account haben will, sollte ich als shell-Admin irgendwie
feststellen können "ja, ist Mitglied, und derjenige, der mir da gerade
einen ssh-Key zuwirft ist wirklich derjenige der er behauptet zu sein2.

> Und dort soll auch ein
> SSH key liegen dem die VMs Root Zugriff geben sollen. Tatsächlich nur
> für Notfälle. Beim Vorstandwechsel wird der Key rotiert.

Da würde ich einen User "notfalladmin", der sudo machen darf, und auf
dem die Keys der aktuellen Vorstände + Notfalladmins hinterlegt sind,
vorziehen. Am besten mit automatischer Verteilung (ich würde das auf
meinen Maschine ansibilisieren). Keys rotieren braucht's nicht an dieser
Stelle.

> Ich bin dafür den Leuten die sich als Admin melden zu vertrauen und
> lieber mit weniger Verwaltung und mehr Rechten zu arbeiten und ggf. mal
> jemand auf die Finger zu klopfen oder was reparieren als von Anfang an
> Szenarien zu diskutieren, die vermutlich nie eintreffen.

Ein Minimum an Prozessen kann heute die Arbeit vereinfachen.

> Lasst uns Freunde sein und zusammen coole Dinge tun. So einfach.

Da habe ich kein Problem mit. Dinge richtig zu machen ist aber auch
cool.

Grüße
Marc

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Leimen, Germany    |  lose things."    Winona Ryder | Fon: *49 6224 1600402
Nordisch by Nature |  How to make an American Quilt | Fax: *49 6224 1600421
-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Received on 09.12.2019

This archive was generated by hypermail 2.3.0 : 09.12.2019 CET