Шкідливі звички сисадміна

15

Я думаю, що було б цікаво скласти список шкідливих звичок, які ви спостерігаєте, пов’язані з адмініструванням системи. Наприклад:

  • Завжди rootна серверах
  • Обмін паролями облікового запису
  • Вставка паролів у код
  • Ще використовую telnet
  • ...

Хоча мене найбільше цікавить безпека, у вас шкідлива звичка не повинна стосуватися безпеки. Історії шкідливих звичок також вітаються.

security 
chmeee
джерело
4
Ще використовуєте telnet? Дійсно?
Чашки
2
Хочете побачити якийсь некриптовий пристрій Cisco? : - /
Массімо
2
Увімкнув telnet на сервері у п’ятницю ... Близько години. Перебіг через тунель. Якщо ви працюєте з достатньою давниною лайна, вона все ще потребує кожного разу.
Satanicpuppy
1
Найгірше те, що ... вам взагалі не потрібні старі лайки. Просто придбайте (недавно!) Прилади Cisco VOIP, і слухайте консультантів Cisco, які з гордістю говорять: "Ми не підтримуємо функції криптовалюти на цих маршрутизаторах" IOS, тому що вона не потрібна і сповільнить роботу ". Тому що так, за словами Cisco, доступ до консолі SSH та повна підтримка IPSEC - це саме те саме. А для використання SSH замість Telnet вам потрібен повний IOS з крипто-підтримкою.
Массімо
@Coops Перевірте самі shodanhq.com/?q=port%3A23
chmeee

Відповіді:

23

Я думаю, що більшість поганих поведінок сисадмінів пов'язані з тим, що вони забувають золоте правило:

Sysadmin є для підтримки користувачів, а не навпаки.

Я вже перемагав цей урок у безлічі новобранців, але багато нових в цій галузі не зовсім розуміють, наскільки це важливо. З цього простого правила випливає філосфія при роботі сисадміна:

  • Ніколи, ніколи, не робіть ризикованих змін у виробничій системі поза вікнами технічного обслуговування
  • Якщо він новий і блискучий, він не виходить на виробництво.
  • Якщо він старий і зламаний, він не йде у виробництво.
  • Якщо це не задокументовано, ви не платите за це.
  • Зміни, які переносять робоче навантаження на користувачів, не варті.
  • Ви несете відповідальність за збереження його роботи, незалежно від того, чим користувач займається.

І звідси можна простежити типові погані поведінки некваліфікованих сисадмінів

  • Виправлення живих виробничих систем ...
  • Останні речі, випущені у виробництво без ретельного тестування
  • Використання очищеного обладнання у виробництві
  • Плівчаста, обмежена або (що ще гірше!) Неправильна документація
  • "Просто скопіюйте адресу вручну, коли ми переключимо поштовий сервер!"
  • "Вина, ви не створили резервну копію ..."

Я думаю, що XKCD підсумував це досить добре

pehrs
джерело
+1 для дивовижного релевантного xkcd
Джошуа Енфілд,
8
Власне, золотим правилом є те, що сисадмін є для підтримки компанії. Зазвичай це означає підтримку користувачів, але також іноді заохочує користувачів припиняти менш продуктивну поведінку.
Девід Макінтош
@David Я б хотів погодитися з вами, але компанія часто не визначена і закінчується середнім керівництвом. А сисадміну часто доводиться битися з середнім керівництвом, щоб зробити те, що краще для всіх. Тому я віддаю перевагу фразуванню, що вони є там, щоб підтримувати користувачів. Очевидно, що підтримка користувачів може означати показати їм кращий спосіб робити речі ...;)
pehrs
12

Чи погана звичка поступатися на запити (вимоги?) Користувачів, які знижують безпеку заради власної зручності?

Барт Сільверстрім
джерело
3
Це ... і дуже поширене, якщо ви запитаєте мене.
chmeee
1
Ось чому потрібно мати політику безпеки. Зробіть усе це обговорення та розуміння ланцюгів управління наперед. Тоді, якщо це буде скасовано, ви принаймні отримаєте це в письмовій формі.
mpez0
1
У більшості середовищ безпека повинна бути збалансована із зручністю. Це помилка завжди ставитись до користувачів так, як вони намагаються зламати вашу систему ... Вони мають законні потреби.
Satanicpuppy
1
так, чортові користувачі. Вони хочуть, щоб мережевий кабель був підключений до наступного… хіба вони не розуміють, як по-справжньому захистити сервер!? !!!
gbjbaanb
2
Я працюю в шкільному окрузі. Ви б не повірили програмному забезпеченню, яке перетинає наш шлях, і запитам "змусити його працювати", і часто це передбачає порушення дозволів або інші способи вирішення. Підлітки жорстоко поводяться з обладнанням у багатьох дивних та загадкових способах.
Барт Сільверстрім
10

Написання сценарію, який не є добре задокументованим або написаним у простому для читання стилі, щоб люди, які приходять після вас, могли легко читати та змінювати сценарій.

Скриптери Perl Я дивлюсь на ВАС!

Зіфер
джерело
У нас є своя частка тих, хто тут. Я намагаюся змусити всіх перейти на Python. Принаймні тоді ви отримуєте послідовний стиль і не потрібно шукати стільки модулів, щоб щось робити.
3вплив
Я почув, як розробник каже: "важко було писати, тому МАЄ бути важко підтримувати!" Потрібно сказати, що незабаром він писав важко підтримувати код в іншому місці!
BillN
3
Бідні кодери можуть погано кодувати будь-якою мовою.
toppledwagon
8

"Я задокументую це пізніше" Ні, ви не будете.

Звичайно, хтось перешкоджає такій ситуації: "Документація?"

Веслі
джерело
6

У мене погана звичка отримувати досить розчарування при "виправленнях" безпеки в Windows, що я сліпо додаю сайти до списку надійних сайтів або знижую достатню безпеку, що IE8 / XP / Vista / тощо. перестає дошкуляти мені, коли я намагаюся щось зробити, і я впевнений, що їду в потрібне місце і завантажую потрібний файл. Я знаю, що це повинно зробити вас більш захищеними, щоб переосмислити свої дії, але, чесно кажучи, натискання клацання клацанням мишиці робить мене горіхами горіхів і, врешті-решт, попередження все розмиваються, поки я не зверну увагу на помилки сертифікатів сайту (це наше власне я -підписано, правда? ... ну, напевно ...) та інший раз запитує у мене дурні речі, які повинні були бути включені за замовчуванням (так, я дійсно мав на увазі перейти до оновлення Windows, і я хочу, щоб налаштування безпеки дозволити Microsoft '

Барт Сільверстрім
джерело
2
+1, саме так відчуваєшся :-)
Кайл Брандт,
Зазвичай я просто встановлюю firefox.
рекобат
Firefox є приємним, його часто використовують, але він не запускає оновлення Windows у тих випадках, коли сервер WSUS не дає відгуку про те, що @ # $ робить у фоновому режимі, або він діє так, як у ньому встановлені всі оновлення і я спробую посібники WinUpdates від IE та HEY ANOTHER Round of UPDATES! І мій улюблений, він знаходить оновлення з сервера WSUS під час завантаження їх з оновлень Windows! Хто б не спроектував цю систему, має алергію на ідею дати відгуки користувача або, якщо необхідно, ручне управління ... @ #% # @ !!
Барт Сільверстрім
6

Політика без оновлення, оскільки "вона працює, тож чому ми її торкаємось?".

І тоді Слэммер ляскає тобі в голову ...

Массімо
джерело
4
Це мій улюблений. "Оновлення колись щось зламало, тому зараз ми боїмося." Дійсно?
Кара Марфія
Мені доводиться боротися проти цього менталітету, де я теж є.
3вплив
Або навпаки: ми застосуємо кожен патч, який є, незалежно від того, потрібен він чи ні. Тоді в кінцевому підсумку з'являється більше вразливостей та нестабільності в результаті цих патчів.
Джон Гарденєр
5

Застосування оновлень постачальника одразу, коли вони стають доступними . Зачекайте кілька годин і гугл ім'я патча, щоб не бути тим, хто надсилає страшилки .

Кріс Нава
джерело
Це визначення AV. Не можу з цим погодитися. Вони встановлюються без затвердження вручну та є критичними за часом. Найсумніше, що випливає з недавнього невдачі McAfee - це те, що ряд організацій, ймовірно, вживатиме абсурдні заходи, такі як попереднє тестування кожного оновлення визначення AV, яке вони випускають. Болісне коліна.
Кріс Торп
Я посилаюся на зручний приклад, але я маю на увазі будь-які зміни у виробничих машинах, які не перевірені. На жаль, постачальник антивірусів цього разу спричинив проблеми, але це не вперше. Якщо у вас є належний випробувальний комплекс, то спочатку слід переконатися, що зміна застосована там, і запуститься простий тест на дим. За шану ваших угод про надання послуг у зв'язку з оплатою послуг у зв'язку з невеликою ціною потрібно платити.
Кріс Нава
Це також проста проблема, щоб затримати встановлення лише на кілька годин, щоб ви могли натиснути на перемикач kill, якщо переплетення повідомляє про проблеми.
Кріс Нава
4

Кажучи "ЩО !?" щоразу, коли користувач наближається до вашого столу.

Кайл Брандт
джерело
2
Дивіться, я вважаю за краще просто почати грати моїм ножем ... Більшість із них отримує ідею :-D
Zypher
1
Zypher: Іронія полягала в тому, що я просто грав ножем :-) (Лише колись відкривав ящики і мав це на своєму столі)
Kyle Brandt
2
Також добре спрацьовує погляд і тяжкий зітхання.
шквал
1
Я думаю, що поганий хабіт не хоче допомагати своїм користувачам. Я помічаю, що мені так буває іноді, і я мушу нагадувати собі, що це моя робота, і я не повинен це зловживати.
рекобат
1
Я не проти допомагати користувачам. Це просто розмовляє з ними, що дратує. Деякі дні я хочу, щоб я міг зробити так, як "Як задавати питання розумним шляхом" обов'язкове читання.
Зоредаче
3

Використання одного і того ж пароля в декількох системах або додатках (a la Apache Foundation ).

грайфайс
джерело
Мене завжди хвилювало це, я працював, ймовірно, понад 70 серверів Linux, у яких є мій обліковий запис користувача, але чи є реальна альтернатива спробі запам'ятати відсталу кількість паролів?
grufftech
Використовуйте certs для автентифікації з SSH, але так, це біль. Я використовую парольні фрази, які мені легко запам’ятати для серверів, на яких часто логін, і використовую KeyPass для тих, яких я не знаю, і тому не буду запам’ятовувати.
gravyface
3

Безглузді записи журналу роботи. тобто:

$ rm *

Чудово, ви щось видалили, десь, як якийсь користувач, в якійсь системі. У мене таке ж оповіщення, і я хотів би знати, як ви це виправили минулого разу.

Ось підказка, яка вирішує більшість цих питань автоматично.

PS1 = "\ h \ d \ t \ w \ n \ u>"

myserver пн 26 квітня 16:20:44 / var / log
root>

Ім'я хоста змінилося :-) Тепер я знаю все, крім того, що ви видалили, але принаймні я знаю, де шукати.

Рональд Поттол
джерело
3

щодо коментаря

Написання сценарію, який не є добре задокументованим або написаним у простому для читання стилі, щоб люди, які приходять після вас, могли легко читати та змінювати сценарій. Скриптери Perl Я дивлюсь на ВАС!

Код спагетті пишеться всіма мовами програмування (так само і в Python, Ruby або будь-якому іншому). Не звинувачуйте лангажу, звинувачуйте кодер.

Кілька кумедних коментарів програміста python про поточний стан коду Python, який там написано. Цей хлопець заробляє на проживанні налагоджуючий хитрий код Python, написаний кимось ще:

http://artificialcode.blogspot.com/2010/04/professionalism-in-python-or-how-to-not.html

http://artificialcode.blogspot.com/2010/04/my-midlife-python-quality-crisis.html

Мораль історії: коли Perl була єдиною інтерпретованою мовою в місті, всі писали Perl, і багато людей, які не були програмістами, писали шалено Perl. Зараз все більше і більше людей збирають Python, тому все більше і більше хитріших програм Python пишеться. Або Powershell, або ..., або ...

Тому, будь ласка, перестаньте розповсюджувати FUD про Perl, це не мова, це кодер.

natxo asenjo
джерело
3

Можливо, це не справжня звичка, але як щодо звичного очікування, що старші менеджери матимуть та / або використовувати мозок? Або вірячі програмісти мають базове розуміння машини та ОС, для якої вони програмують?

Джон Гарденєр
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.