Kebiasaan buruk sysadmin

15

Saya pikir akan menarik untuk memiliki daftar kebiasaan buruk yang Anda amati terkait dengan administrasi sistem. Sebagai contoh:

  • Selalu gunakan rootdi server
  • Berbagi kata sandi akun
  • Memasukkan kata sandi pada kode
  • Masih menggunakan telnet
  • ...

Meskipun saya sebagian besar tertarik pada keamanan, Anda kebiasaan buruk tidak harus terkait keamanan. Kisah kebiasaan buruk juga disambut.

security chmeee
sumber
4
Masih menggunakan telnet? Betulkah?
Coops
2
Ingin melihat beberapa perangkat Cisco yang non-crypto-enabled? : - /
Massimo
2
Saya mengaktifkan telnet di server pada hari Jumat ... Selama sekitar satu jam. Berlari melintasi terowongan. Jika Anda bekerja dengan sampah warisan yang cukup, Anda masih membutuhkannya, setiap sekarang dan lagi.
Satanicpuppy
1
Yang lebih parah adalah ... Anda sama sekali tidak membutuhkan sampah warisan. Beli saja (baru-baru ini!) Peralatan Cisco VOIP, dan dengarkan konsultan Cisco dengan bangga mengatakan "kami tidak mendukung fitur kripto pada IOS router ini karena itu tidak diperlukan dan akan memperlambat segalanya". Karena, ya, menurut Cisco, akses konsol SSH dan dukungan penuh IPSEC adalah hal yang persis sama. Dan Anda memerlukan iOS yang diaktifkan sepenuhnya crypto untuk menggunakan SSH, bukan Telnet.
Massimo
@Coops Lihat sendiri shodanhq.com/?q=port%3A23
chmeee

Jawaban:

23

Saya pikir sebagian besar perilaku buruk sysadmin adalah karena fakta bahwa mereka melupakan aturan emas:

Sysadmin ada untuk mendukung pengguna, bukan sebaliknya.

Saya telah mengalahkan pelajaran ini menjadi banyak rekrutan baru sekarang, tetapi banyak yang baru di lapangan tidak begitu mengerti betapa pentingnya itu. Dari aturan sederhana ini muncul filosofi ketika bekerja sebagai sysadmin:

  • Jangan sekali-kali, melakukan perubahan berisiko pada sistem produksi di luar jendela pemeliharaan
  • Jika baru dan berkilau tidak akan diproduksi.
  • Jika sudah tua dan rusak tidak akan diproduksi.
  • Jika tidak didokumentasikan Anda tidak dibayar untuk itu.
  • Perubahan yang mengalihkan beban kerja ke pengguna tidak layak dilakukan.
  • Adalah tanggung jawab Anda untuk membuatnya tetap berjalan, apa pun yang dilakukan pengguna.

Dan dari sini Anda dapat melacak perilaku buruk khas sysadmin yang tidak terampil

  • Menambal sistem produksi langsung ...
  • Barang-barang terbaru didorong ke produksi tanpa pengujian yang cermat
  • Menggunakan peralatan memulung dalam produksi
  • Dokumentasi yang buruk, terbatas atau (bahkan lebih buruk!)
  • "Cukup salin buku alamat dengan tangan ketika kita mengganti server surat!"
  • "Ini salahmu karena tidak mendukungnya ..."

Saya pikir XKCD menyimpulkannya dengan cukup baik

pehrs
sumber
+1 untuk xkcd relevan yang mengagumkan
Joshua Enfield
8
Sebenarnya, aturan utamanya adalah bahwa sysadmin ada di sana untuk mendukung perusahaan. Biasanya ini berarti mendukung pengguna, tetapi juga kadang-kadang mendorong pengguna untuk menghentikan perilaku yang kurang produktif.
David Mackintosh
@ David Saya ingin setuju dengan Anda, tetapi perusahaan sering kali tidak jelas dan akhirnya menjadi manajemen menengah. Dan sysadmin sering harus bertengkar dengan manajemen menengah untuk melakukan apa yang lebih baik untuk semua orang. Jadi saya lebih suka ungkapan bahwa mereka ada untuk mendukung pengguna. Jelas mendukung pengguna dapat berarti menunjukkan kepada mereka cara yang lebih baik untuk melakukan hal-hal ...;)
pehrs
12

Apakah kebiasaan buruk untuk menyerah pada permintaan pengguna (tuntutan?) Yang menurunkan keamanan demi kenyamanan mereka sendiri?

Bart Silverstrim
sumber
3
Itu ... dan sangat umum, jika Anda bertanya kepada saya.
chmeee
1
Itu sebabnya Anda perlu memiliki kebijakan keamanan. Selesaikan semua diskusi dan pemahaman rantai manajemen di muka. Kemudian jika ditolak, Anda setidaknya mendapatkannya secara tertulis.
mpez0
1
Di sebagian besar lingkungan, keamanan harus diimbangi dengan kenyamanan. Adalah kesalahan untuk selalu memperlakukan pengguna seperti mereka mencoba merusak sistem Anda ... Mereka memang memiliki kebutuhan yang sah.
Satanicpuppy
1
ya, pengguna sial. Mereka akan menginginkan kabel jaringan terhubung kembali di masa depan ... tidakkah mereka mengerti bagaimana cara benar-benar mengamankan server!? !!!?
gbjbaanb
2
Saya bekerja di distrik sekolah. Anda tidak akan percaya perangkat lunak yang melintasi jalan kami dan permintaan untuk "membuatnya berfungsi", dan seringkali itu melibatkan melanggar izin atau solusi lain. Remaja menganiaya peralatan dengan banyak cara aneh dan misterius.
Bart Silverstrim
10

Menulis skrip yang tidak didokumentasikan dengan baik atau ditulis dalam gaya yang mudah dibaca sehingga orang-orang yang datang setelah Anda dapat dengan mudah membaca dan memodifikasi skrip.

Script Perl Saya sedang melihat ANDA!

Zypher
sumber
Kami memiliki bagian kami di sekitar sini. Saya terus berusaha agar semua orang beralih ke Python. Setidaknya Anda mendapatkan gaya yang konsisten dan tidak perlu memburu banyak modul untuk melakukan apa pun.
3dinfluence
Saya mendengar seorang pengembang mengatakan "sulit untuk menulis, jadi HARUS sulit untuk mempertahankan!" Tak perlu dikatakan, dia segera menulis sulit untuk mempertahankan kode di tempat lain!
BillN
3
Coders yang buruk dapat mengkode dengan buruk dalam bahasa apa pun.
toppledwagon
8

"Aku akan mendokumentasikan ini nanti" Tidak, kamu tidak akan.

Tentu saja, beberapa mencegah situasi itu sebagai berikut: "Dokumentasi?"

Wesley
sumber
6

Saya memiliki kebiasaan buruk frustrasi cukup di "perbaikan" keamanan di Windows bahwa saya akan secara membabi buta menambahkan situs ke daftar situs tepercaya atau keamanan yang lebih rendah bahwa IE8 / XP / Vista / dll. berhenti mengganggu saya ketika saya sedang mencoba untuk menyelesaikan sesuatu dan saya cukup yakin saya akan pergi ke tempat yang tepat dan mengunduh file yang tepat. Saya tahu ini seharusnya membuat Anda lebih aman untuk memikirkan kembali tindakan Anda, tetapi sejujurnya, klik klik klik klik membuat saya gila dan akhirnya semua peringatan menjadi kabur sampai saya tidak memperhatikan kesalahan sertifikat situs (itu diri kami sendiri -ditandatangani, kan? ... yah, mungkin ...) dan di lain waktu itu meminta saya hal-hal bodoh yang seharusnya diaktifkan secara default (ya, saya benar-benar bermaksud untuk pergi ke Pembaruan Windows, dan saya ingin pengaturan keamanan untuk izinkan Microsoft

Bart Silverstrim
sumber
2
+1, Anda menjalankan kalimat persis seperti yang dirasakan :-)
Kyle Brandt
Saya biasanya hanya menginstal firefox.
Mengulang kembali
Firefox itu bagus, sering menggunakannya, tetapi itu tidak akan menjalankan Pembaruan Windows pada kesempatan-kesempatan di mana server WSUS tidak memberikan umpan balik tentang apa yang dilakukan @ # $ di latar belakangnya, atau ia bertindak seperti memiliki semua pembaruan yang diinstal dan saya mencoba manual WinUpdates dari IE dan HEY ANOTHER ROUND OF UPDATES! Dan favorit saya, ia menemukan pembaruan dari server WSUS karena sedang mengunduhnya dari Pembaruan Windows! Siapa pun yang merancang sistem itu alergi terhadap gagasan untuk memberikan umpan balik kepada pengguna atau, bila perlu, kontrol manual ... @ #% # @ !!
Bart Silverstrim
6

Kebijakan tanpa pembaruan karena "berfungsi, jadi mengapa kita harus menyentuhnya?".

Dan kemudian Slammer membanting kepala Anda ...

Massimo
sumber
4
Ini adalah favorit saya. "Suatu pembaruan merusak sesuatu sekali, jadi sekarang kita takut." Betulkah?
Kara Marfia
Saya harus berjuang melawan mentalitas ini di mana saya berada juga.
3dinfluence
Atau sebaliknya: Kami akan menerapkan setiap tambalan yang ada, apakah itu diperlukan atau tidak. Kemudian berakhir dengan lebih banyak kerentanan dan ketidakstabilan sebagai akibat dari tambalan itu.
John Gardeniers
5

Menerapkan pembaruan vendor saat mereka tersedia . Tunggu beberapa jam dan google nama tambalan untuk menghindari menjadi orang yang mengirimkan cerita-cerita horor .

Chris Nava
sumber
Itu definisi AV. Tidak setuju dengan Anda dalam hal ini. Mereka dipasang dengan mereka tanpa persetujuan manual, dan sangat kritis terhadap waktu. Hal paling menyedihkan yang datang dari gaf McAfee baru-baru ini adalah bahwa sejumlah organisasi mungkin akan melakukan langkah-langkah yang tidak masuk akal seperti pra-pengujian setiap pembaruan definisi AV yang mereka dorong keluar. Kegilaan luar biasa.
Chris Thorpe
Saya ditautkan ke contoh yang mudah tetapi saya merujuk pada setiap perubahan pada mesin produksi yang belum teruji. Sangat disayangkan bahwa vendor anti-virus menyebabkan masalah saat ini tetapi ini bukan pertama kalinya ini terjadi. Jika Anda memiliki fasilitas pengujian yang tepat, masalah sederhana untuk memastikan perubahan diterapkan terlebih dahulu dan tes asap sederhana dijalankan. Ini adalah harga kecil untuk membayar untuk menghormati SLA Anda.
Chris Nava
Ini juga masalah sederhana untuk menunda instalasi hanya dengan beberapa jam sehingga Anda dapat menekan tombol kill jika jalinan jalinan masalah.
Chris Nava
4

Mengatakan "APA !?" setiap kali pengguna mendekati meja Anda.

Kyle Brandt
sumber
2
Lihat saya lebih suka mulai bermain dengan pisau saya ... sebagian besar dari mereka mendapatkan ide :-D
Zypher
1
Zypher: Ironisnya saya hanya bermain dengan pisau saya :-) (Baru saja membuka beberapa kotak beberapa saat yang lalu dan meletakkannya di meja saya)
Kyle Brandt
2
Menggerakkan matamu dan menghela nafas panjang juga bisa digunakan.
squillman
1
Saya pikir kebiasaan buruknya tidak ingin membantu pengguna Anda. Saya perhatikan saya kadang-kadang seperti ini, dan saya harus mengingatkan diri sendiri bahwa itu adalah pekerjaan saya dan saya tidak boleh menyesalinya.
Mengulang kembali
1
Saya tidak keberatan membantu pengguna. Hanya berbicara kepada mereka yang mengganggu. Beberapa hari saya berharap bisa membaca 'Cara Mengajukan Pertanyaan dengan Cara Pintar'.
Zoredache
3

Menggunakan kata sandi yang sama pada banyak sistem atau aplikasi (ala Apache Foundation ).

gravyface
sumber
Saya selalu khawatir dengan ini, saya mengoperasikan mungkin 70+ server Linux, semua yang saya punya akun pengguna saya, tetapi apakah ada alternatif yang sebenarnya untuk mencoba menghafal jumlah kata sandi yang terbelakang?
grufftech
Gunakan sertifikat untuk mengotentikasi dengan SSH, tapi ya, itu menyebalkan. Saya menggunakan frasa sandi yang mudah saya ingat untuk server yang sering saya masuki, dan menggunakan KeyPass untuk yang tidak saya ingat dan karenanya tidak akan ingat.
gravyface
3

Entri log kerja yang tidak berarti. yaitu:

$ rm *

Hebat, Anda menghapus sesuatu, di suatu tempat, seperti beberapa pengguna, pada beberapa sistem. Saya memiliki peringatan yang sama, dan saya ingin tahu bagaimana Anda memperbaikinya terakhir kali.

Berikut adalah prompt yang memecahkan sebagian besar masalah tersebut secara otomatis.

PS1 = "\ h \ d \ t \ w \ n \ u>"

myserver Sen 26 Apr 16:20:44 / var / log
root>

Hostname berubah :-) Sekarang saya tahu segalanya kecuali apa yang Anda hapus, tapi setidaknya saya tahu ke mana harus mencari.

Ronald Pottol
sumber
3

tentang komentar

Menulis skrip yang tidak didokumentasikan dengan baik atau ditulis dalam gaya yang mudah dibaca sehingga orang-orang yang datang setelah Anda dapat dengan mudah membaca dan memodifikasi skrip. Script Perl Saya sedang melihat ANDA!

kode spaghetti ditulis dalam semua bahasa pemrograman (demikian juga dengan Python, Ruby atau apa pun). Jangan salahkan langauge, salahkan pembuat kode.

Beberapa komentar lucu oleh programmer python tentang keadaan kode Python saat ini sedang ditulis di sana. Orang ini mendapatkan debugging kode Python jelek yang ditulis oleh orang lain:

http://artificialcode.blogspot.com/2010/04/professionalism-in-python-or-how-to-not.html

http://artificialcode.blogspot.com/2010/04/my-midlife-python-quality-crisis.html

Moral dari cerita: ketika Perl adalah satu-satunya bahasa yang ditafsirkan di kota, semua orang menulis Perl, dan banyak orang yang bukan pemrogram sedang menulis Perl jelek. Sekarang semakin banyak orang yang mengambil Python, jadi semakin banyak program Python yang jelek sedang ditulis. Atau Powershell, atau ..., atau ...

Jadi tolong berhenti menyebarkan FUD tentang Perl, itu bukan bahasa, itu koder.

natxo asenjo
sumber
3

Mungkin bukan kebiasaan yang benar, tetapi bagaimana dengan kebiasaan mengharapkan manajer senior untuk memiliki dan / atau menggunakan otak? Atau percaya pemrogram memiliki pemahaman dasar tentang mesin dan OS yang mereka pemrograman?

John Gardeniers
sumber
1

Menghabiskan waktu di forum atau - lebih buruk! :) - T&J situs saat Anda seharusnya bekerja.

Ward - Pasang kembali Monica
sumber
1

Masuk dari kafe internet untuk bekerja di jalan tanpa menggunakan kata sandi satu kali.

Prof. Moriarty
sumber