Cattive abitudini del sysadmin

15

Penso che sarebbe interessante avere un elenco di cattive abitudini che osservi legate all'amministrazione del sistema. Per esempio:

  • Usando sempre rootsui server
  • Condivisione delle password degli account
  • Inserimento password sul codice
  • Usando ancora telnet
  • ...

Anche se sono principalmente interessato alla sicurezza, la tua cattiva abitudine non deve essere legata alla sicurezza. Le storie di cattive abitudini sono anche benvenute.

security 
chmeee
fonte
4
Stai ancora utilizzando telnet? Veramente?
Coops
2
Vuoi vedere alcuni dispositivi Cisco non abilitati per la crittografia? : - /
Massimo
2
Venerdì ho abilitato telnet su un server ... Per circa un'ora. Correre attraverso un tunnel. Se lavori con abbastanza schifezze legacy, ne hai ancora bisogno, ogni tanto.
Satanicpuppy,
1
Quel che è peggio è ... non hai bisogno di merda legacy. Basta acquistare (recenti!) Le apparecchiature Cisco VOIP e ascoltare i consulenti Cisco che affermano con orgoglio "non supportiamo le funzionalità di crittografia sull'IOS di questi router perché non è necessario e rallenterebbero le cose". Perché, sì, secondo Cisco, l'accesso alla console SSH e il supporto completo IPSEC sono esattamente la stessa cosa. E hai bisogno di un IOS completo abilitato alla crittografia per usare SSH invece di Telnet.
Massimo,
@Coops Guardalo
chmeee

Risposte:

23

Penso che la maggior parte dei cattivi comportamenti degli amministratori di sistema siano dovuti al fatto che dimenticano la regola d'oro:

Un amministratore di sistema è lì per supportare gli utenti, non viceversa.

Ormai ho battuto questa lezione in molte nuove reclute, ma molte nuove sul campo non capiscono quanto sia importante. Da questa semplice regola deriva la filosofia quando si lavora come amministratore di sistema:

  • Mai, mai, fare un cambiamento rischioso su un sistema di produzione al di fuori delle finestre di manutenzione
  • Se è nuovo e brillante, non entrerà in produzione.
  • Se è vecchio e rotto non entrerà in produzione.
  • Se non è documentato, non vieni pagato per questo.
  • Le modifiche che spostano il carico di lavoro per gli utenti non valgono la pena.
  • È responsabilità dell'utente mantenerlo in esecuzione, indipendentemente da ciò che l'utente sta facendo.

E da qui è possibile rintracciare i cattivi comportamenti tipici di amministratori di sistema non qualificati

  • Patch di sistemi di produzione live ...
  • Le ultime novità sono entrate in produzione senza test accurati
  • Utilizzo di attrezzature scavenged in produzione
  • Documentazione macchiata, limitata o (anche peggio!) Errata
  • "Basta copiare la rubrica a mano quando si cambia server di posta!"
  • "È colpa tua per non averne eseguito il backup ..."

Penso che XKCD lo abbia riassunto abbastanza bene

pehrs
fonte
+1 per un fantastico xkcd pertinente
Joshua Enfield,
8
In realtà, la regola d'oro è che l'amministratore di sistema è lì per supportare l'azienda. Di solito questo significa supportare gli utenti, ma occasionalmente incoraggiare gli utenti a bloccare comportamenti meno produttivi.
David Mackintosh,
@David Vorrei essere d'accordo con te, ma la società è spesso mal definita e finisce per essere una gestione intermedia. E un amministratore di sistema deve spesso lottare con i dirigenti intermedi per fare ciò che è meglio per tutti. Quindi preferisco il fraseggio che sono lì per supportare gli utenti. Ovviamente supportare gli utenti può significare mostrare loro un modo migliore per fare cose ...;)
pehrs
12

È una cattiva abitudine cedere alle richieste degli utenti (richieste?) Di sicurezza inferiore per motivi di convenienza?

Bart Silverstrim
fonte
3
È ... e molto comune, se me lo chiedi.
Chmeee,
1
Ecco perché è necessario disporre di una politica di sicurezza. Ottieni in anticipo tutta la discussione e la comprensione della catena di gestione. Quindi se viene annullato, almeno lo ottieni per iscritto.
mpez0,
1
Nella maggior parte degli ambienti, la sicurezza deve essere bilanciata con la praticità. È un errore trattare sempre gli utenti come se stessero cercando di rompere i sistemi ... Hanno esigenze legittime.
Satanicpuppy,
1
sì, dannati utenti. Avranno bisogno di ricollegare il cavo di rete nel prossimo ... non capiscono come proteggere veramente un server!? !!!?
gbjbaanb,
2
Lavoro in un distretto scolastico. Non crederesti al software che attraversa il nostro percorso e alle richieste di "farlo funzionare", e spesso comporta la rottura di permessi o altre soluzioni alternative. Gli adolescenti maltrattano l'attrezzatura in molti modi strani e misteriosi.
Bart Silverstrim,
10

Scrivere una sceneggiatura non ben documentata o scritta in uno stile di facile lettura in modo che le persone che ti seguono possano facilmente leggere e modificare la sceneggiatura.

Scrittori Perl ti sto guardando!

Zypher
fonte
Abbiamo la nostra parte di quelli qui intorno. Continuo a cercare di convincere tutti a passare a Python. Almeno allora ottieni uno stile coerente e non devi dare la caccia a tanti moduli per fare qualcosa.
3dinfluence,
Ho sentito per caso uno sviluppatore dire "era difficile scrivere, quindi DOVREBBE essere difficile da mantenere!" Inutile dire che presto scriverà codice difficile da mantenere altrove!
BillN,
3
I programmatori scadenti possono codificare male in qualsiasi lingua.
toppledwagon,
8

"Lo documenterò più tardi" No, non lo farai.

Certo, alcuni anticipano così quella situazione: "Documentazione?"

Wesley
fonte
6

Ho una cattiva abitudine di sentirmi abbastanza frustrato dalle "correzioni" di sicurezza di Windows che aggiungerò ciecamente siti a un elenco di siti attendibili o con una sicurezza inferiore rispetto a IE8 / XP / Vista / ecc. smette di infastidirmi mentre sto cercando di fare qualcosa e sono abbastanza sicuro di andare nel posto giusto e scaricare il file giusto. So che dovrebbe renderti più sicuro per ripensare le tue azioni, ma francamente, fare clic fare clic fare clic fare clic mi fa impazzire e alla fine gli avvisi si confondono fino a quando non prendo attenzione agli errori del certificato del sito (è il nostro stesso -signed, right? ... beh, probabilmente ...) e altre volte mi chiede cose stupide che avrebbero dovuto essere abilitate di default (sì, volevo davvero andare su Windows Update e voglio che le impostazioni di sicurezza consentire a Microsoft "

Bart Silverstrim
fonte
2
+1, la tua corsa a frase è esattamente come ti senti :-)
Kyle Brandt,
Di solito installo Firefox.
riconnettere il
Firefox è carino, spesso lo usa, ma non eseguirà gli aggiornamenti di Windows in quelle occasioni in cui il server WSUS non sta dando feedback su ciò che sta facendo @ # $ in background, o si comporta come se avesse tutti gli aggiornamenti installati e provo il manuale WinUpdates di IE e HEY UN ALTRO ROUND DI AGGIORNAMENTI! E il mio preferito, trova gli aggiornamenti dal server WSUS mentre li sta scaricando da Aggiornamenti di Windows! Chiunque abbia progettato quel sistema è allergico all'idea di dare un feedback all'utente o, se necessario, controllo manuale ... @ #% # @ !!
Bart Silverstrim,
6

Una politica senza aggiornamento perché "funziona, quindi perché dovremmo toccarla?".

E poi Slammer ti sbatte in testa ...

Massimo
fonte
4
Questo è il mio preferito. "Un aggiornamento ha rotto qualcosa una volta, quindi ora abbiamo paura." Veramente?
Kara Marfia,
Devo combattere contro questa mentalità dove sono anche io.
3dinfluence,
O viceversa: applicheremo ogni patch presente, sia che sia richiesta o meno. Quindi si finiscono con più vulnerabilità e instabilità a seguito di quelle patch.
John Gardeniers,
5

L'applicazione del fornitore aggiorna nel momento in cui diventa disponibile . Aspetta qualche ora e google il nome della patch per evitare di essere quello che presenta le storie dell'orrore .

Chris Nava
fonte
Queste sono definizioni AV. Non posso essere d'accordo con te su questo. Sono installati senza approvazione manuale e sono critici in termini di tempo. La cosa più triste a venire dal recente McAfee gaf è che un certo numero di organizzazioni probabilmente prenderà misure assurde come il pre-test di ogni aggiornamento delle definizioni AV che pubblicano. Follia istintiva.
Chris Thorpe,
Ho collegato un esempio conveniente ma mi riferisco a eventuali modifiche alle macchine di produzione non testate. È un peccato che questa volta un fornitore di antivirus abbia causato un problema, ma non è la prima volta che succede. Se si dispone di un'adeguata struttura di prova, è semplice assicurarsi che la modifica venga applicata prima lì e venga eseguito un semplice test del fumo. È un piccolo prezzo da pagare per onorare i tuoi SLA.
Chris Nava,
È anche semplice ritardare l'installazione di poche ore in modo da poter premere l'interruttore di interruzione se gli interwebs segnalano problemi.
Chris Nava,
4

Dicendo "COSA !?" ogni volta che un utente si avvicina alla tua scrivania.

Kyle Brandt
fonte
2
Vedi, preferisco iniziare a giocare con il mio coltello ... la maggior parte di loro ha avuto l'idea
MrGreen
1
Zypher: L'ironia era che stavo solo giocando con il mio coltello :-) (Stavo aprendo alcune scatole un po 'di tempo fa e ce l'avevo sulla mia scrivania)
Kyle Brandt,
2
Ruotare gli occhi e tirare un sospiro massiccio funziona bene.
squillman,
1
Penso che il cattivo habbit non voglia aiutare i tuoi utenti. Ho notato che a volte mi comporto così e devo ricordare a me stesso che è il mio lavoro e non dovrei lamentarmene.
riconnettere il
1
Non mi interessa aiutare gli utenti. È solo parlare con loro che diventa fastidioso. Alcuni giorni vorrei poter rendere obbligatoria la lettura di "Come porre domande in modo intelligente".
Zoredache,
3

Utilizzo della stessa password su più sistemi o applicazioni (a la Apache Foundation ).

gravyface
fonte
Mi sono sempre preoccupato di questo, gestisco probabilmente più di 70 server Linux, tutto quello che ho il mio account utente, ma esiste una vera alternativa al tentativo di memorizzare un numero ritardato di password?
grufftech,
Usa certs per autenticarti con SSH, ma sì, è una seccatura. Uso passphrase che posso facilmente ricordare per i server a cui accedo spesso e utilizzo KeyPass per quelli che non conosco e pertanto non ricorderò.
gravyface,
3

Voci di registro di lavoro senza significato. vale a dire:

$ rm *

Fantastico, hai eliminato qualcosa, da qualche parte, come un utente, su un sistema. Ho lo stesso avviso e vorrei sapere come è stato risolto l'ultima volta.

Ecco un prompt che risolve automaticamente la maggior parte di questi problemi.

PS1 = "\ h \ d \ t \ w \ n \ u>"

myserver lun 26 apr 16:20:44 / var / log
root>

Il nome host è cambiato :-) Ora so tutto tranne quello che hai eliminato, ma almeno so dove cercare.

Ronald Pottol
fonte
3

per quanto riguarda il commento

Scrivere una sceneggiatura non ben documentata o scritta in uno stile di facile lettura in modo che le persone che ti seguono possano facilmente leggere e modificare la sceneggiatura. Scrittori Perl ti sto guardando!

il codice spaghetti viene scritto in tutti i linguaggi di programmazione (quindi anche in Python, Ruby o altro). Non incolpare la lingua, incolpare il programmatore.

Un paio di commenti divertenti di un programmatore di Python sullo stato attuale del codice Python che viene scritto lì. Questo ragazzo si guadagna da vivere eseguendo il debug del pessimo codice Python scritto da qualcun altro:

http://artificialcode.blogspot.com/2010/04/professionalism-in-python-or-how-to-not.html

http://artificialcode.blogspot.com/2010/04/my-midlife-python-quality-crisis.html

Morale della storia: quando Perl era l'unica lingua interpretata in città, tutti scrivevano Perl e molte persone che non erano programmatori scrivevano Perl. Ora sempre più persone raccolgono Python, quindi vengono sempre più scritti programmi Python scadenti. O Powershell, o ..., o ...

Quindi, per favore, smetti di diffondere FUD su Perl, non è la lingua, è il programmatore.

natxo asenjo
fonte
3

Forse non è una vera abitudine, ma che ne dici di aspettarti abitualmente i senior manager che hanno e / o usano un cervello? O credendo che i programmatori abbiano una conoscenza di base della macchina e del sistema operativo per cui stanno programmando?

John Gardeniers
fonte
1

Effettuare il login dagli Internet café per lavorare sulla strada senza usare una sola password.

Prof. Moriarty
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.