Querido diario, hoy presentamos….
Me he encontrado toda la semana con problemas raros de falta de conocimiento técnicos de personas del trabajo.
- Certificados expirados en tres oficinas diferentes, incluyendo una en mi area porque yo no soy el que renueva los SSL. Uno de los de servicio social me vio levantar un servidor «en la nube» en 15 minutos instalando de cero LAMP y certificado. Solo dos minutos para eso. No fue imagen LAMP. FUe un debian y en seguida unas 15 ordenes de consola para apache, mariadb, php y certbot.
- ETC.
De ayer a hoy tuve un sueño extraño, aparecia una persona toxica que no veo desde hace un montón de años. Basicamente una persona me decia en una sala de juntas que le diera GRATIS mi diagnostico y propuesta de solución sobre un problema ya que yo era lider de proyecto y era un capitán muy conocido. Lo necesitaba el tipo para dar un curso de capacitación y yo iba pasando frente a donde estaba esta persona dando una presentación en powerpoint (que ne ese tema no se puede)de esas de cafe y galletas viejas.
Si.
Dije que el sueño era en inglés ?
En estados unidos se usa a veces el termino Docker captain (tecnología docker, de muelle, software de virtualizacion que he quitado mas veces que puesto por INUTIL y tardado de dar hardeiing en ciertos entornos), engineer captain, Team Captain (entorno con metodología de CISCO principalmente)
https://www.docker.com/blog/inside-look-docker-captains-program/
No tiene caso entrar en demasiados detalles, pero le estaba explicando al supuestos facilitador, que era imposible que esperara algo serio si consideraba la misma metodología de comerciantes de lo sagrado. No se trataba de , como le dije, conocer los paquetes de Sudo apt get update ni que gestores de paquetes corresponde a almalinux o rocky linux, sino poder levantar un servidor en medos de dos horas habiendo revisado los puntos de hardening reales. Los mismo que los comerciantes de lo sagrado. Me acuerdo de un experto en «Protocol Buffer» en españa que le dio por inventarse cursos con titulos estúpidos, para certificarse como «experto x, y o z», usando material de uno de mis sitios. Otro caso reciente fue lo del caso de la colisión de puertas de enlace que estoy viviendo en una dependencia publica.
No es simple y no es complicado. Por ejemplo, calculo a ojo que cursos basura de Hardening en ubuntu que cuestan 20 a 50}USD pero los dan a 5. Yo puedo dar un curso de Hardening de Debian, por ejemplo, por unos 200 USD pero solo doy por aprobados a los que pueden levantar el server o corregir un conflicto de puertos contra sockets , lo tipico en paquetes LAMP.
Llevo trabajando en servidores de internet desde 1998 los tiempos de MINIX. Y la verdad, el explicar que se use titulos como Docker Captain como algo psicológico. No digo que es igual de inútil que los títulos que les dan a los incautos que toman cursos de ODOO por ver videos propietarios y llevados de la mano.
Me vine a la mente las veces queme han llamado de emergencia por problemas de docker ya hechos. Y la cara de espanto cuando saco la guía del gobierno de USA para hardening Básico https://software.af.mil/wp-content/uploads/2021/03/2020_Oct_-Final-DevSecOps-Enterprise-Container-Hardening-Guide-1.1-Public-Release.pdf o la guia de hardening de Kubernetes de la misma fuente https://media.defense.gov/2022/Aug/29/2003066362/-1/-1/0/CTR_KUBERNETES_HARDENING_GUIDANCE_1.2_20220829.PDF
Por principio de cuentas no Debería tenerse que dar hardening de cosas no necesarias, pero hay un monton de idiotas que ponen Redis, cassandra, angular, docker y kubernetes porque suenan bonito para el curriculum cuando una instancia simple de AWS con redundancia o un debian sencillo instalado a mano es mas rápido y seguro., Ya de perdis un RHEL. Y lo peor es que para instalar programas basura. Y no es raro que incluso un woocomerce o sitios estaticos sean suficientes. Me recuerda cuando vui el sitio de una papelería / consumos internos en una depenncia publica con REDIS / AZURE / Java cuando un cpanel era suficiente (y además no funcionaba oara hacer lo que debía)