Złe nawyki administratora

15

Myślę, że interesująca byłaby lista zaobserwowanych złych nawyków związanych z administrowaniem systemem. Na przykład:

  • Zawsze używam rootna serwerach
  • Udostępnianie haseł do kont
  • Wstawianie haseł do kodu
  • Nadal korzystam z usługi Telnet
  • ...

Chociaż najbardziej interesuje mnie bezpieczeństwo, twój zły nawyk nie musi być związany z bezpieczeństwem. Mile widziane są także historie o złych nawykach.

chmeee
źródło
4
Nadal używasz telnetu? Naprawdę?
Coops
2
Chcesz zobaczyć urządzenie Cisco nieobsługujące szyfrowania? : - /
Massimo,
2
Włączyłem telnet na serwerze w piątek ... Na około godzinę. Bieg przez tunel. Jeśli pracujesz z wystarczającą ilością starych badziewów, nadal potrzebujesz go od czasu do czasu.
Satanicpuppy
1
Co gorsza, ... nie potrzebujesz w ogóle bzdur. Po prostu kup (najnowsze!) Urządzenia Cisco VOIP i słuchaj konsultantów Cisco z dumą mówiących: „nie obsługujemy funkcji kryptograficznych na IOS tych routerów, ponieważ nie są one potrzebne i spowolniłyby”. Ponieważ tak, według Cisco, dostęp do konsoli SSH i pełna obsługa IPSEC są dokładnie tym samym. Aby korzystać z SSH zamiast Telnet, potrzebujesz pełnego IOS z włączonym szyfrowaniem.
Massimo,
@Coops Zobacz to sam shodanhq.com/?q=port%3A23
chmeee

Odpowiedzi:

23

Myślę, że większość złych zachowań sysadminów wynika z faktu, że zapominają o złotej zasadzie:

Sysadmin jest po to, aby wspierać użytkowników, a nie na odwrót.

Przeszedłem tę lekcję do wielu nowych rekrutów, ale wielu nowych w tej dziedzinie nie do końca rozumie, jak ważna jest. Z tej prostej zasady wynika filozofia podczas pracy jako administrator systemu:

  • Nigdy nie dokonuj ryzykownej zmiany w systemie produkcyjnym poza oknami konserwacji
  • Jeśli jest nowy i błyszczący, nie wchodzi do produkcji.
  • Jeśli jest stary i zepsuty, nie wchodzi do produkcji.
  • Jeśli nie jest to udokumentowane, nie otrzymujesz za to zapłaty.
  • Zmiany, które przenoszą obciążenie na użytkowników, nie są tego warte.
  • Twoim obowiązkiem jest utrzymanie go bez względu na to, co robi użytkownik.

I stąd można prześledzić typowe złe zachowania niewykwalifikowanych administratorów

  • Patchowanie systemów produkcji na żywo ...
  • Najnowsze produkty zostały wprowadzone do produkcji bez dokładnych testów
  • Wykorzystanie oczyszczonego sprzętu w produkcji
  • Wyraźna, ograniczona lub (co gorsza!) Błędna dokumentacja
  • „Wystarczy skopiować książkę adresową ręcznie, gdy przełączamy serwer pocztowy!”
  • „To twoja wina, że ​​nie utworzyłeś kopii zapasowej ...”

Myślę, że XKCD podsumował to całkiem dobrze

pehrs
źródło
+1 za niesamowity odpowiedni xkcd
Joshua Enfield
8
W rzeczywistości złotą zasadą jest to, że sysadmin jest po to, aby wspierać firmę. Zwykle oznacza to wspieranie użytkowników, ale od czasu do czasu zachęca użytkowników do zaprzestania mniej produktywnych zachowań.
David Mackintosh
@David Chciałbym się z tobą zgodzić, ale firma jest często źle zdefiniowana i kończy się na kierownictwie średniego szczebla. A administrator systemu często musi walczyć ze średnim kierownictwem, aby robić to, co jest lepsze dla wszystkich. Wolę więc frazowanie, że są po to, aby wspierać użytkowników. Oczywiście wspieranie użytkowników może oznaczać pokazanie im lepszego sposobu robienia rzeczy ...;)
pehrs
12

Czy złym nawykiem jest poddawanie się żądaniom użytkowników (wymaganiom?), Które obniżają bezpieczeństwo dla własnej wygody?

Bart Silverstrim
źródło
3
To jest ... i bardzo powszechne, jeśli mnie pytasz.
chmeee
1
Dlatego potrzebujesz polityki bezpieczeństwa. Zyskaj zrozumienie łańcucha dyskusji i zarządzania. Następnie, jeśli zostanie unieważniony, przynajmniej dostaniesz go na piśmie.
mpez0
1
W większości środowisk bezpieczeństwo musi być równoważone z wygodą. Błędem jest zawsze traktować użytkowników, jakby próbowali złamać twój system ... Mają uzasadnione potrzeby.
Satanicpuppy
1
tak, cholerni użytkownicy. Będą chcieli ponownie podłączyć kabel sieciowy ... nie rozumieją, jak naprawdę zabezpieczyć serwer!? !!!?
gbjbaanb
2
Pracuję w okręgu szkolnym. Nie uwierzyłbyś oprogramowaniu, które przecina naszą ścieżkę i prośbom o „sprawienie, aby działało”, a często wymaga to złamania uprawnień lub innych obejść. Nastolatki znęcają się nad sprzętem na wiele dziwnych i tajemniczych sposobów.
Bart Silverstrim
10

Pisanie skryptu, który nie jest dobrze udokumentowany lub napisany w łatwym do odczytania stylu, aby osoby, które przyjdą po tobie, mogły łatwo czytać i modyfikować skrypt.

Skrypty Perla Patrzę na Ciebie!

Zypher
źródło
Mamy tutaj swój udział. Próbuję przekonać wszystkich do przejścia na Python. Przynajmniej wtedy uzyskasz spójny styl i nie musisz tropić tylu modułów, aby cokolwiek zrobić.
3dinfluence
Podsłuchałem, jak deweloper powiedział „trudno było pisać, więc POWINNO być trudne do utrzymania!” Nie trzeba dodawać, że wkrótce zaczął pisać trudny do utrzymania kod w innym miejscu!
BillN
3
Słabe kodery mogą źle kodować w dowolnym języku.
toppledwagon
8

„Dokumentuję to później” Nie, nie zrobisz tego.

Oczywiście niektórzy w ten sposób uprzedzają tę sytuację: „Dokumentacja?”

Wesley
źródło
6

Mam zły nawyk denerwowania się na tyle „poprawkami” zabezpieczeń w systemie Windows, że ślepo dodam witryny do listy zaufanych witryn lub obniżam poziom zabezpieczeń na tyle, że IE8 / XP / Vista / itp. przestaje mnie męczyć, gdy próbuję coś zrobić, i jestem prawie pewien, że idę w odpowiednie miejsce i pobieram właściwy plik. Wiem, że ma to zwiększyć bezpieczeństwo ponownego przemyślenia swoich działań, ale szczerze mówiąc, kliknięcie kliknięcie kliknięcie sprawia, że ​​jestem szalony i ostatecznie ostrzeżenia się rozmywają, dopóki nie zwrócę uwagi na błędy certyfikatu witryny (to nasze własne -podpisano, prawda? ... cóż, prawdopodobnie ...) a innym razem zadaje mi głupie rzeczy, które powinny być domyślnie włączone (tak, naprawdę chciałem przejść do Windows Update i chcę, aby ustawienia zabezpieczeń były zezwól Microsoft ”

Bart Silverstrim
źródło
2
+1, Twój bieg po zdaniu jest dokładnie taki, jak się czujesz :-)
Kyle Brandt
Zwykle po prostu instaluję Firefoksa.
recbot
Firefox jest fajny, często go używa, ale nie uruchamia aktualizacji systemu Windows w przypadkach, gdy serwer WSUS nie udziela opinii na temat tego, co robi @ # $ w tle, lub działa tak, jakby miał zainstalowane wszystkie aktualizacje i próbuję ręczne WinUpdates z IE i HEJ KOLEJNEGO OKRESU AKTUALIZACJI! I mój ulubiony, znajduje aktualizacje z serwera WSUS, ponieważ pobiera je z aktualizacji systemu Windows! Ktokolwiek zaprojektował ten system, jest uczulony na pomysł przekazania opinii użytkownika lub, w razie potrzeby, sterowania ręcznego ... @ #% # @ !!
Bart Silverstrim
6

Polityka braku aktualizacji, ponieważ „działa, więc dlaczego powinniśmy ją dotykać?”.

A potem Slammer uderza cię w głowę ...

Massimo
źródło
4
To jest mój ulubiony. „Aktualizacja coś raz złamała, więc teraz się boimy”. Naprawdę?
Kara Marfia
Muszę walczyć z tą mentalnością, w której też jestem.
3dinfluence
Lub odwrotnie: zastosujemy każdą łatę, niezależnie od tego, czy jest wymagana, czy nie. W rezultacie powstają kolejne luki w zabezpieczeniach i niestabilność w wyniku tych poprawek.
John Gardeniers,
5

Zastosowanie dostawcy aktualizuje, gdy tylko będą dostępne . Poczekaj kilka godzin i wyszukaj w Google nazwę łatki, aby uniknąć przesłania horrorów .

Chris Nava
źródło
To są definicje AV. Nie mogę się z tym zgodzić. Są instalowane bez ręcznego zatwierdzania i mają krytyczny czas. Najsmutniejszą rzeczą wynikającą z ostatniego gafa McAfee jest to, że wiele organizacji prawdopodobnie podejmie absurdalne środki, takie jak wstępne testowanie każdej aktualizacji definicji AV, którą wypuszczają. Szaleństwo kolana.
Chris Thorpe,
Podłączyłem do wygodnego przykładu, ale mam na myśli wszelkie zmiany w maszynach produkcyjnych, które nie zostały przetestowane. Szkoda, że ​​tym razem problem spowodował dostawca oprogramowania antywirusowego, ale nie pierwszy raz tak się stało. Jeśli masz odpowiednią placówkę testową, łatwo jest upewnić się, że zmiana zostanie zastosowana jako pierwsza i zostanie przeprowadzony prosty test dymu. To niewielka cena, aby uhonorować Twoje umowy SLA.
Chris Nava
Prostą sprawą jest opóźnienie instalacji o kilka godzin, abyś mógł przełączyć przełącznik zabijania, jeśli interweby zgłaszają problemy.
Chris Nava
4

Mówiąc „CO !?” za każdym razem, gdy użytkownik zbliża się do Twojego biurka.

Kyle Brandt
źródło
2
Widzę, że wolę po prostu zacząć bawić się nożem ... większość z nich ma pomysł :-D
Zypher
1
Zypher: Ironią było to, że bawiłem się nożem :-) (Niedawno otwierałem kilka pudeł i miałem je na biurku)
Kyle Brandt
2
Dobrze działa również przewracanie oczami i ciężkie westchnienie.
squillman
1
Myślę, że zły nawyk nie chce pomagać użytkownikom. Zauważyłem, że czasami tak się dzieje i muszę sobie przypomnieć, że to moja praca i nie powinienem tego żałować.
recbot
1
Nie mam nic przeciwko pomaganiu użytkownikom. Po prostu rozmowa z nimi staje się denerwująca. W niektóre dni chciałbym wprowadzić obowiązkową lekturę „Jak zadawać pytania w inteligentny sposób”.
Zoredache
3

Używanie tego samego hasła w wielu systemach lub aplikacjach (a la Apache Foundation ).

gravyface
źródło
Zawsze się tym przejmowałem, działam prawdopodobnie z ponad 70 serwerami Linux, na których mam moje konto użytkownika, ale czy istnieje rzeczywista alternatywa dla próby zapamiętania opóźnionej liczby haseł?
grufftech
Użyj certyfikatów do uwierzytelnienia w SSH, ale tak, to jest ból. Używam haseł, które mogę łatwo zapamiętać dla serwerów, na których często się loguję, i używam KeyPass dla tych, których nie pamiętam i dlatego nie będę pamiętać.
gravyface
3

Bezsensowne wpisy w dzienniku pracy. to znaczy:

$ rm *

Świetnie, skasowałeś coś gdzieś, jako jakiś użytkownik, w jakimś systemie. Mam ten sam alert i chciałbym wiedzieć, jak to naprawiłeś ostatnim razem.

Oto monit, który automatycznie rozwiązuje większość tych problemów.

PS1 = "\ h \ d \ t \ w \ n \ u>"

myserver Pn 26 kwietnia 16:20:44 / var / log
root>

Nazwa hosta zmieniona :-) Teraz wiem wszystko oprócz tego, co usunąłeś, ale przynajmniej wiem, gdzie szukać.

Ronald Pottol
źródło
3

odnośnie komentarza

Pisanie skryptu, który nie jest dobrze udokumentowany lub napisany w łatwym do odczytania stylu, aby osoby, które przyjdą po tobie, mogły łatwo czytać i modyfikować skrypt. Skrypty Perla Patrzę na Ciebie!

kod spaghetti jest zapisywany we wszystkich językach programowania (a więc także w Pythonie, Ruby lub czymkolwiek). Nie obwiniaj języka, obwiniaj programistę.

Kilka śmiesznych komentarzy napisanych przez programistę Pythona na temat obecnego stanu kodu Pythona. Ten facet zarabia na życie debugującym gównianym kodem Pythona napisanym przez kogoś innego:

http://artificialcode.blogspot.com/2010/04/professionalism-in-python-or-how-to-not.html

http://artificialcode.blogspot.com/2010/04/my-midlife-python-quality-crisis.html

Morał tej historii: kiedy Perl był jedynym tłumaczonym językiem w mieście, wszyscy pisali Perl, a wiele osób, które nie były programistami, pisało kiepskie Perl. Teraz coraz więcej osób wybiera Pythona, więc powstaje coraz więcej gównianych programów w języku Python. Lub PowerShell, lub ... lub ...

Więc proszę, przestańcie rozpowszechniać FUD o Perlu, to nie jest język, to koder.

natxo asenjo
źródło
3

Być może nie jest to prawdziwy nawyk, ale co powiesz na zwykłe oczekiwanie, że menedżerowie wyższego szczebla będą mieli i / lub będą używać mózgu? A może wierzący programiści mają podstawową wiedzę na temat komputera i systemu operacyjnego, dla którego programują?

John Gardeniers
źródło
1

Czas spędzany na forach lub - co gorsza! :) - Strony z pytaniami i odpowiedziami, kiedy powinieneś pracować.

Totem - Przywróć Monikę
źródło
1

Logowanie się w kafejkach internetowych w celu wykonywania pracy w drodze bez użycia jednorazowych haseł.

Prof. Moriarty
źródło