Как вы делаете очевидным, что вы находитесь в производственной системе?

У некоторых из нас в моей компании есть root-доступ на производственных серверах. Мы ищем хороший способ сделать это чрезвычайно ясным , когда мы ssh'd в.

У нас было несколько идей:

• Ярко-красная подсказка
• Ответьте на загадку, прежде чем получить оболочку
• Введите случайное слово, прежде чем получить оболочку

Какие методы вы используете, ребята, чтобы дифференцировать производственные системы?

Красная подсказка - хорошая идея, которую я тоже использую.

Еще один трюк - поместить в /etc/motdфайл большое предупреждение в стиле ASCII .
Когда вы входите в систему, вас приветствует нечто подобное:

 _______ _ _ _____ _____ _____ _____            
| __ __ | | | | _ _ | / ____ | | _ _ | / ____ | / \    
   | | | | __ | | | | | (___ | | | (___ / \   
   | | | __ | | | \ ___ \ | | \ ___ \ / / \ \  
   | | | | | | _ | | _ ____) | _ | | _ ____) | / ____ \
   | _ | | _ | | _ | _____ | _____ / | _____ | _____ / / _ / \ _ \


 _____ _____ ____ _____ _ _ _____ _______ _____ ____ _ _ 
| __ \ | __ \ / __ \ | __ \ | | | | / ____ | __ __ | _ _ / __ \ | \ | |
| | __) | | __) | | | | | | | | | | | | | | || | | | \ | |
| ___ / | _ / | | | | | | | | | | | | | | || | | | , `|
| | | | \ \ | | __ | | | __ | | | __ | | | ____ | | _ | || | __ | | | \ |
| _ | | _ | \ _ \\ ____ / | _____ / \ ____ / \ _____ | | _ | | _____ \ ____ / | _ | \ _ |


 __ __ _____ _ _ _____ _ _ ______ 
| \ / | / \ / ____ | | | | _ _ | \ | | ____ |
| \ / | / \ | | | | __ | | | | | \ | | | __   
| | \ / | | / / \ \ | | | __ | | | | , `| __ |  
| | | | / ____ \ | ____ | | | | _ | | _ | | \ | | ____
| _ | | _ / _ / \ _ \ _____ | _ | | _ | _____ | _ | \ _ | ______ |

Вы можете создать такое предупреждение на этом сайте или использовать figlet команду.

Как предложил Николас Смит в комментариях, вы можете оживить ситуацию с помощью некоторых драконов или других животных, используя cowsayкоманду.

Вместо использования файла / etc / motd вы также можете вызвать cowsayили figletв .profileфайл.

Не совсем то же самое, но этот веб-сайт рекомендует, чтобы ваши разработчики носили розовое сомбреро при внесении изменений в производственные системы. Возможно, вы могли бы иметь подобное правило для sshing в них.

Самым большим, что я использовал, является дискретная схема именования, в которой prod-системы названы явно не так, как экземпляры test / dev. Это делает подсказку стиля «Имя пользователя @ Имя хоста:» заметно другой. Под очевидным я подразумеваю не только разные слова, но и разные форматы:

пример: PRD-WEB001 против DEVEL-BOB-WEB001

Для этого есть несколько вещей:

• Дополнительный гипеназированный блок делает его набором из трех, а не набором из двух.
• Первый из набора другой длины.
• Общая длина имен заметно отличается, что делает интервал командной строки разным относительно друг друга и другого текста в окне.

И что самое приятное, он не требует специальных терминальных настроек для производства, чтобы избежать ошибок Oops.

По моему опыту, вы хотите что-то, что является постоянным напоминанием о том, где вы находитесь. Методы входа в систему, такие как загадки, хороши в течение 10 секунд, пока вы не забудете, какое окно какое. Все, что нужно, это сделать lsв неправильном каталоге, чтобы прокрутить зловещий баннер входа в систему, скрыть окно терминала под окном браузера, одновременно что-то погугливая, alt-tab вернуться в неправильное окно, и может возникнуть хаос. Лучше всего иметь некоторую постоянную визуальную подсказку, например значительно отличающуюся командную строку.

Необходимо помнить одну вещь: это должно быть постоянным напоминанием, а не просто индикатором во время входа в систему. Очень часто кто-то запускает несколько оболочек одновременно на разных вкладках и перемещается между ними. Некоторые будут разработки, некоторые производства. Поэтому, когда вы запускаете команду, у вас должен быть индикатор в этой точке. Поэтому, по моему опыту, наличие специального приглашения - лучший способ, с измененной панелью заголовка / вкладки, которая является хорошим дополнением к этому для легкого поиска нужного окна / вкладки.

Поэтому я бы рекомендовал иметь цветное приглашение (красный - очевидный выбор) и все заглавные буквы для имени хоста, с поведением пользователя (привилегированным или непривилегированным), аналогичным вашему приглашению. Некоторые примеры:

Обычно что-то вроде

set prompt =  "%{\033[1;44m%}`whoami`@`hostname -s`#%{\033[0m%} "` 

в вашем файле запуска оболочки. Это для синих. Заменить 44с 41еловой красным, и 42для зеленого. Также доступны другие цвета и дикие узоры .

Вот мои предложения:

1) Убедитесь, что большинству команд (rm, chown, chmod, /etc/init.d/*) в производственной среде требуется доступ sudo

2) Используйте PS1 / PS2, чтобы указать, что пользователь находится на сервере Prod

bash-3.2$  export PS1="[\u@\h \W]\$ "

Это покажет командную строку как

[sridhar@prodappserver901 conf]$

3) Если вы используете клиенты Putty / SSH, вы всегда можете настроить уникальный фоновый цвет / профиль, чтобы выделить производственные серверы.

Просто учтите, что ваши вторые и третьи идеи помогают во время первоначального подключения, но не имеют значения, когда у вас открыто несколько терминалов и вы переходите с одного на другой. Идея использования имен в sysadmin1138 хороша, когда ее можно применить, но есть множество случаев, когда это невозможно.

Единственное, что я нашел действительно стоящим, это цветная подсказка. Мне нравится зеленый для разработки / тестирования, красный для производства и синий для машин в DMZ. Таким образом, даже если у меня есть две машины с одинаковым именем (в разных сетях), например, при подготовке замены машины, я все равно могу легко определить, на какой машине я работаю.

Красная / специальная командная строка хороша. Другая вещь может быть более быстрым автоматическим выходом из системы на этих машинах, используя переменную TMOUT. Если вы открыли много окон, производственные окна уйдут быстрее.

Это должно привести к другому поведению:

1. развивать
2. Контрольная работа
3. Внесите свои изменения в промежуточный сервер
4. Только после этого можно быстро перейти к производству и развертыванию там (точно так же, как вы делали это на промежуточном сервере).

Работа на производственном компьютере с учетной записью простого root никогда не будет хорошей идеей.

Иметь учетную запись с полными разрешениями sudo. Не позволяет сохранить сессию sudo. Запретить sudo su. Используйте для этого отдельный пароль (не тот, который у вас есть для вашей машины). Вероятно, настроить sudo, чтобы уведомить о производственной идентичности оболочки перед выполнением команды (через псевдоним).

Это сделает случайные ошибки довольно трудными. И красная подсказка никогда не болит.

Я пошел с красной подсказкой и нашел довольно трудоемким найти рабочий код для .bashrc.

Итак, вот моя версия, готовая для включения в .bashrc- https://github.com/RichVel/nicer-bash-prompt . Он полностью зависит от имени хоста, поэтому, если у вас есть подходящий шаблон для рабочих имен хостов (скажем xyprod01, xyprod02и т. Д.), Он будет работать хорошо, и вы сможете использовать его .bashrcво всех средах.

Это выглядит так:

Это создает более приятное приглашение bash, включая красное приглашение на рабочих хостах, также показывает текущую ветку git и последние 2 каталога в $ PWD. Следует избегать путаницы с отображением подсказок при выполнении Ctrl / R (обратный поиск) в bash.

Также включает в себя дополнительную функцию для синхронизации вашей истории Bash по всем окнам терминала, в соответствии с этим ответом . Это хорошо, но не всем это нужно, поэтому по умолчанию оно отключено.

Хотя я не знаю, на что похожа ваша ИТ-установка, одним из эффективных решений может быть наличие специальной комнаты, в которой вы должны перейти на SSH на рабочие серверы с правами root. Если у вас есть центр обработки данных, это может быть сама серверная комната, но наличие отдельного физического местоположения, из которого «обычная» работа не выполняется, будет достаточно эффективно служить постоянным напоминанием о том, что вы получаете доступ к рабочим машинам.

Просто поправьте приведенные выше предложения. Я использую CDE в качестве рабочего стола Unix и все производственные системы, к которым у меня есть доступ через меню в .dt / dtwmrc. Во всех системах dev и UAT я придерживаюсь своей обычной цветовой схемы, но в системах prod я установил для терминала красный фон. Мне не нравится внешний вид, но в этом вся суть.

Эта - пропустил предложение Кароля в основном то же самое

Когда я вхожу в рабочую машину, я получаю параграф, предупреждающий меня о том, что это рабочая машина, а также краткий список рекомендаций. Я могу позвонить в службу поддержки UNIX, если не думаю, что смогу выполнить свою задачу в одиночку безопасно, напоминание о том, что взрыв производственного компьютера может стоить мне работы, и напоминание о том, что все, что я делаю, записывается в журнал.

редактировать: я работаю в транспортной отрасли.

В PuTTY вы можете изменить заголовок окна на значение, отличное от значения по умолчанию для определенного сохраненного сеанса. Это всегда остается на окне, независимо от того, что вы делаете внутри окна. Это также отображается в панели задач.

Разверните Окно, нажмите Поведение. Введите что-то в заголовок окна, например:

  * * * * * * * * * * * * PRODUCTION  * * * * * * * * * * * * PRODUCTION  * * * * * * * * * * * *

Простой ответ? Измените цвет вашей оболочки на красный в конфигурации оболочки. Это будет абсолютно очевидно и просто в настройке. Не только это, но в отличие от заголовков сервера, оно не исчезнет после того, как вы введете несколько команд.

Вот что я сделал на своем Mac. Для каждого сервера я добавляю запись для него в моем файле ~ / .ssh / config, например

Host app13
    HostName server.example.com
    User tom
    PermitLocalCommand yes
    LocalCommand osascript %d/bin/change_terminal_colours.scpt 12 35 35

Этот Applescript запускается после установления сеанса SSH. Он устанавливает цвет фона терминала в соответствии со значениями RGB (или возвращается к значению по умолчанию, если значения цвета не предоставлены). Потенциально сложная часть состоит в том, чтобы перехватить конец сеанса SSH, чтобы вернуть цвета по умолчанию. Для этого я создал следующий сценарий оболочки как ~ / bin / ssh, чтобы переопределить команду ssh по умолчанию. Это по существу перехватывает и оборачивает любые вызовы команды SSH. Я пытался использовать псевдонимы и функции, но это решение работало лучше всего:

#!/bin/bash
/usr/bin/ssh $@
osascript ~/bin/change_terminal_colours.scpt

Вот источник сценария change_terminal_colours.scpt . Поместите это также в каталог ~ / bin:

on run argv
    tell application "Terminal"
        # NOTE: Color values range from 0 to 65535.
        if (count of argv) > 0 then
            set backgroundColor to {(item 1 of argv) * 256, (item 2 of argv) * 256, (item 3 of argv) * 256}
        else
            set backgroundColor to background color of default settings
        end if

        try
            set background color of (selected tab of front window) to backgroundColor
        end try
    end tell
end run

Я написал это решение неделю назад и с тех пор использую его. Я надеюсь, что другие найдут это ценным. Я считаю, что это работает лучше, чем любое из решений, которые я нашел от Google.

Моя группа использует концепцию удаленного рабочего стола visionapp (редакция 2017 года: похоже, продукт был переименован, но я думаю, что он одинаков) для RDP на компьютерах с Windows и SSH на Linux. Наши соединения сгруппированы в папки по уровням и им назначен цвет вкладки.

Поэтому всякий раз, когда мы открываем производственную связь - БАМ! - мы получаем немного ярко-красного на нашем лице:

Это определенно стоит вложений, если вы большой магазин Windows и сильно полагаетесь на RDP. Бьюсь об заклад, есть и другие замечательные инструменты, если все, что вам нужно, это SSH.

Помимо уникального приглашения (которое кажется наиболее надежным решением), если вы входите в систему с одной и той же рабочей станции, вы можете использовать разные профили для сеансов SSH.

Например, у меня есть красный фон для производственных систем, зеленый для разработки, синий для инфраструктуры (маршрутизаторы и т. Д.) И белый для локальной рабочей станции.

Если вы используете GNOME, есть простой способ запустить SSH-соединение с нужным профилем:

gnome-terminal --window-with-profile=production -e 'ssh root@production.example.com'

Основной недостаток - это клиентская сторона, поэтому специальное приглашение все равно будет лучшим выбором, если вы обращаетесь к серверам из разных мест.

Еще один способ прояснить, что вы работаете в производственной системе - это установить функцию TMOUT (autologout) в производственной системе.

Из-за обширных нормативных требований при работе в конкретной отрасли, здесь деятельность каждого человека имеет ключевое значение для любых будущих споров. В связи с этим, доступ также ограничен, и вам нужно перепрыгнуть через несколько «меню», которые позволяют вам получить доступ к компьютеру как одному из нескольких доверенных пользователей. Установив эту систему, человек должен сознательно выбрать среду PRODUCTION или QA, а затем выбрать хост, к которому он хочет получить доступ, из списка. Это также имеет период ожидания, поэтому вы не можете войти в систему на хосте prod и забыть, в какой среде вы находитесь на следующий день.

Я использую быстрые изменения, как и другие здесь. Это быстро и противно, но отлично работает для моих целей. Это даст вам красный как обычный пользователь в производственной системе и красный верхний регистр как root в системе prod.

Это может быть написано в меньшем количестве строк, но я делаю это так, чтобы я мог настроить другие 2 случая (не root-non-prod), если я хочу.

Мы работаем в предположении, что производственный сервер не использует DHCP, но вы можете использовать любой другой метод для разработки, если это стандартная система. Все, что работает для вас.

productionSrv=1
grep -qi bootproto=dhcp /etc/sysconfig/network-scripts/ifcfg-*
if [ "$?" -eq 0 ]; then
    productionSrv=0
fi
hostName=`hostname`
userName=`whoami`
if [ $userName == "root" ]
then
    if [ "$productionSrv" == 1 ]
    then
        hostName=`echo $hostName | tr [:lower:] [:upper:]`
        PS1='[\e[0;31m]\u[\e[0m]@[\e[0;31m]$hostName[\e[0m][$?][\e[0;31m][\W][\e[0m][\e[0;31m]\$[\e[0m]: '
    else
        PS1='[\e[0;31m]\u[\e[0m]@[\e[0;35m]$hostName[\e[0m][$?][\e[0;31m][\W][\e[0m][\e[0;31m]\$[\e[0m]: '
    fi
    PATH=$PATH:/sbin/
else
    if [ "$productionSrv" == 1 ]
    then
        PS1='[\e[0;32m]\u[\e[0m]@[\e[0;31m]$hostName[\e[0m][$?][\e[0;31m][\W][\e[0m][\e[0;32m]\$[\e[0m]: '
    else
        PS1='[\e[0;32m]\u[\e[0m]@[\e[0;35m]$hostName[\e[0m][$?][\e[0;31m][\W][\e[0m][\e[0;32m]\$[\e[0m]: '
    fi
fi

Иметь другой (возможно, более длинный) пароль root на рабочих машинах.

Вы можете создать специальный sudo (или оболочку sudo), чтобы специальное сообщение выводилось для производственных машин.

Здесь у нас есть конфигурации замазки по умолчанию, чтобы сделать основной цвет всего экрана ярко-розовым.

• Продукт: ярко-розовый.
• Регрессия: бледно-зеленая
• Модель: бледно-голубая
• Dev: нормальный

Это работает довольно хорошо, но мне нравятся некоторые другие идеи здесь.

• Pro: если что-то не использует цвет переднего плана .., КАЖДЫЙ экран будет ярко-розовым.
• Con: Очевидно, что если вы используете ssh через конфигурацию putty по умолчанию, это ничего не делает.

в .bashrc / .bash_profile

echo " THIS IS THE PRODUCTION SYSTEM. BE RESPONSIBLE.. " ..