Сисадмин вредных привычек

15

Я думаю, что было бы интересно иметь список вредных привычек, которые вы наблюдаете, связанных с системным администрированием. Например:

  • Всегда использую rootна серверах
  • Совместное использование паролей аккаунта
  • Вставка паролей в код
  • Все еще использую telnet
  • ...

Хотя меня больше всего интересует безопасность, ваша плохая привычка не обязательно должна быть связана с безопасностью. Истории плохих привычек также приветствуются.

security чмии
источник
4
Все еще используете телнет? В самом деле?
Кооперативы
2
Хотите увидеть какое-нибудь устройство Cisco без поддержки шифрования? : - /
Массимо
2
Я включил telnet на сервере в пятницу ... Около часа. Бег по туннелю. Если вы работаете с достаточно старой чепухой, она вам все еще нужна, время от времени.
Satanicpuppy
1
Что еще хуже ... тебе вообще не нужна старая хрень. Просто купите (недавно!) Устройства Cisco VOIP и послушайте, как консультанты Cisco с гордостью говорят: «Мы не поддерживаем функции шифрования в IOS этих маршрутизаторов, потому что это не нужно и может замедлить работу». Потому что, да, в соответствии с Cisco, доступ к SSH консоли и полную поддержку IPSEC в точности то же самое. И вам нужен полный IOS с шифрованием, чтобы использовать SSH вместо Telnet.
Массимо
@Coops Убедитесь сами! Shodanhq.com/?q=port%3A23
chmeee

Ответы:

23

Я думаю, что большинство плохого поведения сисадминов связано с тем, что они забывают золотое правило:

Системный администратор поддерживает пользователей, а не наоборот.

Я уже разбил этот урок для множества новобранцев, но многие новички в этой области не совсем понимают, насколько это важно. Из этого простого правила вытекает философия работы сисадмина:

  • Никогда, никогда не вносите рискованные изменения в производственную систему за пределами окна обслуживания
  • Если он новый и блестящий, он не будет запущен в производство.
  • Если он старый и сломанный, он не будет запущен в производство.
  • Если это не задокументировано, вам не платят за это.
  • Изменения, которые переносят рабочую нагрузку на пользователей, не стоят того.
  • Вы несете ответственность за то, чтобы он работал независимо от того, что делает пользователь.

И отсюда вы можете проследить типичное плохое поведение неквалифицированных сисадминов

  • Исправление живых производственных систем ...
  • Последние материалы запущены в производство без тщательного тестирования
  • Использование убранного оборудования в производстве
  • Пятнистая, ограниченная или (что еще хуже!) Неверная документация
  • «Просто скопируйте адресную книгу вручную, когда мы переключаем почтовый сервер!»
  • "Это твоя вина, что ты не поддержал это ..."

Я думаю, что XKCD подвел итог довольно хорошо

pehrs
источник
+1 за потрясающий релевантный xkcd
Джошуа Энфилд
8
На самом деле, золотое правило заключается в том, что сисадмин должен поддержать компанию. Обычно это означает поддержку пользователей, но также иногда побуждает пользователей прекращать менее продуктивное поведение.
Дэвид Макинтош
@ Давид Я бы хотел с тобой согласиться, но компания часто плохо определена и в итоге становится менеджером среднего звена. А системный администратор часто должен бороться со средним руководством, чтобы сделать то, что лучше для всех. Поэтому я предпочитаю формулировку, что они там, чтобы поддержать пользователей. Очевидно, что поддержка пользователей может означать показать им лучший способ делать вещи ...;)
pehrs
12

Является ли плохой привычкой поддаваться запросам пользователей (требованиям?), Которые снижают безопасность ради их собственного удобства?

Барт Сильверстрим
источник
3
Это ... и очень распространенный, если вы спросите меня.
Chmeee
1
Вот почему вам нужно иметь политику безопасности. Получите все это обсуждение и понимание цепочки управления заранее. Тогда, если это будет отменено, вы по крайней мере получите это в письменном виде.
mpez0
1
В большинстве сред безопасность должна быть сбалансирована с удобством. Ошибочно всегда относиться к пользователям так, будто они пытаются сломать ваши системы ... У них действительно есть законные потребности.
Satanicpuppy
1
да, черт возьми. Они захотят, чтобы сетевой кабель был снова подключен ... неужели они не понимают, как по-настоящему защитить сервер!? !!!?
gbjbaanb
2
Я работаю в школьном округе. Вы не поверите программному обеспечению, которое пересекает наш путь, и запросам «заставить его работать», и часто оно связано с нарушением прав доступа или другими обходными путями. Подростки плохо обращаются со снаряжением многими странными и таинственными способами.
Барт Сильверстрим
10

Написание сценария, который плохо документирован или написан в удобном для чтения стиле, чтобы люди, которые приходят за вами, могли легко прочитать и изменить сценарий.

Сценаристы Perl Я смотрю на вас!

Zypher
источник
У нас есть доля тех, кто здесь. Я продолжаю пытаться заставить всех переключиться на Python. По крайней мере, тогда вы получите последовательный стиль и вам не придется выслеживать как можно больше модулей, чтобы что-то делать.
3dinfluence
Я слышал, как разработчик сказал: «это было трудно писать, поэтому его ДОЛЖНО быть сложно поддерживать!» Само собой разумеется, он скоро писал трудный для поддержки кода в другом месте!
BillN
3
Бедные кодеры могут плохо кодировать на любом языке.
toppledwagon
8

«Я запишу это позже». Нет, вы не будете.

Конечно, некоторые упреждают эту ситуацию таким образом: «Документация?»

Wesley
источник
6

У меня плохая привычка разочаровываться в «исправлениях» безопасности в Windows, когда я буду вслепую добавлять сайты в список доверенных сайтов или снижать уровень безопасности до IE8 / XP / Vista / и т. Д. перестает приставать ко мне, пока я пытаюсь что-то сделать, и я почти уверен, что иду в нужное место и скачиваю нужный файл. Я знаю, что это должно сделать вас более безопасным, чтобы переосмыслить свои действия, но, откровенно говоря, щелчок щелчок щелчок щелчок щелкает мышкой, и в конечном итоге все предупреждения размываются, пока я не обращаю внимания на ошибки сертификата сайта (это наша собственная личность -подписал, верно? ... ну, наверное ...) и иногда он спрашивает меня о глупостях, которые должны были быть включены по умолчанию (да, я действительно хотел пойти в Центр обновления Windows, и я хочу, чтобы настройки безопасности разрешить Microsoft

Барт Сильверстрим
источник
2
+1, ваш подход к предложению - именно то, что он чувствует :-)
Кайл Брандт,
Я обычно просто устанавливаю Firefox.
перепроверять
Firefox хорош, часто его используют, но он не запускает обновления Windows в тех случаях, когда сервер WSUS не дает обратной связи о том, что @ # $ делает в фоновом режиме, или действует так, как будто установлены все обновления и я пробую руководство WinUpdates от IE и ЭЙ ДРУГОЙ ТУР ОБНОВЛЕНИЙ! И мой любимый, он находит обновления с сервера WSUS, так как он загружает их из Windows Updates! Любой, кто разработал эту систему, страдает аллергией на идею предоставления обратной связи с пользователем или, при необходимости, ручного управления ... @ #% # @ !!
Барт Сильверстрим
6

Политика отсутствия обновлений, потому что «это работает, так почему мы должны касаться этого?».

И тогда Slammer хлопает тебя по голове ...

Massimo
источник
4
Это мое любимое. «Когда-то обновление сломало что-то, так что теперь мы боимся». В самом деле?
Кара Марфия
Я должен бороться с этим менталитетом, где я тоже.
3dinfluence
Или обратное: мы применим каждый патч, независимо от того, требуется он или нет. Затем в результате этих исправлений появляется больше уязвимостей и нестабильности.
Джон Гарденье
5

Применение обновлений поставщика, как только они становятся доступными . Подождите несколько часов и назовите название патча, чтобы избежать того, чтобы отправлять страшные истории .

Крис Нава
источник
Это определения AV. Не могу с вами согласиться. Они устанавливаются без одобрения вручную и являются критичными по времени. Самое печальное из недавнего выступления McAfee gaf состоит в том, что ряд организаций, вероятно, предпримут абсурдные меры, такие как предварительное тестирование каждого обновления определения AV, которое они выпускают. Колено-безумие.
Крис Торп
Я ссылался на удобный пример, но я имею в виду любые изменения в производственных машинах, которые не были проверены. К сожалению, на этот раз поставщик антивирусных программ вызвал проблему, но это происходит не впервые. Если у вас есть надлежащая испытательная база, просто убедиться, что изменения будут применены там в первую очередь, и будет запущен простой дымовой тест. Это небольшая цена, которую нужно заплатить, чтобы соблюдать ваши SLA.
Крис Нава
Также очень просто отложить установку всего на несколько часов, чтобы вы могли нажать кнопку отключения, если веб-сайты сообщают о проблемах.
Крис Нава
4

Говоря "ЧТО !?" всякий раз, когда пользователь приближается к вашему столу.

Кайл Брандт
источник
2
Видите ли, я предпочитаю просто начать играть со своим ножом ... большинство из них понимают :-D
Zypher
1
Zypher: Ирония заключалась в том, что я просто играл с моим ножом :-) (Просто открывал несколько коробок некоторое время назад и держал его на своем столе)
Кайл Брандт
2
Также хорошо работает закатывание глаз и тяжелый вздох.
squillman
1
Я думаю, что плохой привычка не хочет помогать своим пользователям. Я замечаю, что иногда так получаю, и я должен напомнить себе, что это моя работа, и я не должен этого жалеть.
перепроверять
1
Я не против помочь пользователям. Просто разговаривать с ними раздражает. Иногда я хотел бы сделать обязательным чтение «Как задавать вопросы умным путем».
Зоредаче
3

Использование одного и того же пароля в нескольких системах или приложениях (а-ля Apache Foundation ).

gravyface
источник
Я всегда был обеспокоен этим, я использую, вероятно, более 70 серверов Linux, и все они имеют мою учетную запись пользователя, но есть ли реальная альтернатива попытке запоминать запаздывающее количество паролей?
grufftech
Используйте сертификаты для аутентификации по SSH, но да, это боль. Я использую парольные фразы, которые я легко запоминаю для серверов, на которые я часто захожу, и использую KeyPass для тех, которые я не делаю и поэтому не запомню.
gravyface
3

Бессмысленные записи в журнале работы. то есть:

$ rm *

Отлично, вы удалили что-то, где-то, как пользователь, в какой-то системе. У меня такое же предупреждение, и я хотел бы знать, как вы исправили это в прошлый раз.

Вот подсказка, которая автоматически решает большинство из этих проблем.

PS1 = "\ h \ d \ t \ w \ n \ u>"

myserver Пн 26 апреля 16:20:44 / var / log
root>

Имя хоста изменилось :-) Теперь я знаю все, кроме того, что вы удалили, но, по крайней мере, я знаю, где искать.

Рональд Поттол
источник
3

относительно комментария

Написание сценария, который плохо документирован или написан в удобном для чтения стиле, чтобы люди, которые приходят за вами, могли легко прочитать и изменить сценарий. Сценаристы Perl Я смотрю на вас!

Спагетти-код пишется на всех языках программирования (также на Python, Ruby или любых других). Не вините язык, вините кодера.

Пара забавных комментариев программиста на Python о текущем состоянии написанного там кода. Этот парень зарабатывает на жизнь отладкой дерьмового кода Python, написанного кем-то другим:

http://artificialcode.blogspot.com/2010/04/professionalism-in-python-or-how-to-not.html

http://artificialcode.blogspot.com/2010/04/my-midlife-python-quality-crisis.html

Мораль истории: когда Perl был единственным интерпретируемым языком в городе, все писали на Perl, и многие люди, которые не были программистами, писали дерьмовый Perl. Сейчас все больше и больше людей выбирают Python, поэтому пишется все больше и больше дрянных программ на Python. Или Powershell, или ..., или ...

Поэтому, пожалуйста, прекратите распространять FUD о Perl, это не язык, а кодер.

natxo asenjo
источник
3

Возможно, это не настоящая привычка, но как насчет того, чтобы ожидать от старших менеджеров наличия и / или использования мозга? Или верящие программисты имеют базовое понимание машины и ОС, для которой они программируют?

Джон Гарденье
источник
1

Проводить время на форумах или - еще хуже! :) - Q & A сайты, когда вы должны работать.

Уорд - Восстановить Монику
источник
1

Вход в интернет-кафе для работы в дороге без использования одноразовых паролей.

Проф. Мориарти
источник