Sysadmin mauvaises habitudes

15

Je pense qu'il serait intéressant d'avoir une liste des mauvaises habitudes que vous observez concernant l'administration du système. Par exemple:

  • Toujours utiliser rootsur les serveurs
  • Partager les mots de passe des comptes
  • Insertion de mots de passe sur le code
  • Toujours en utilisant telnet
  • ...

Bien que je m'intéresse principalement à la sécurité, votre mauvaise habitude n'a pas à être liée à la sécurité. Les histoires de mauvaises habitudes sont également les bienvenues.

chmeee
la source
4
Vous utilisez toujours telnet? Vraiment?
Coops
2
Vous voulez voir un appareil Cisco non compatible avec la cryptographie? : - /
Massimo
2
Vendredi, j'ai activé telnet sur un serveur ... Pendant environ une heure. Traversant un tunnel. Si vous travaillez avec suffisamment de merde héritée, vous en avez toujours besoin, de temps en temps.
Satanicpuppy
1
Le pire, c'est que vous n'avez pas du tout besoin de merde héritée. Il suffit d'acheter (récent!) Des appliances Cisco VOIP et d'écouter les consultants Cisco dire fièrement "nous ne prenons pas en charge les fonctionnalités de cryptage sur l'IOS de ces routeurs car ce n'est pas nécessaire et cela ralentirait les choses". Parce que, oui, selon Cisco, l'accès à la console SSH et la prise en charge complète IPSEC sont exactement la même chose. Et vous avez besoin d'un IOS entièrement crypté pour utiliser SSH au lieu de Telnet.
Massimo
@Coops Voyez par vous-même shodanhq.com/?q=port%3A23
chmeee

Réponses:

23

Je pense que la plupart des mauvais comportements des administrateurs système sont dus au fait qu'ils oublient la règle d'or:

Un administrateur système est là pour soutenir les utilisateurs, et non l'inverse.

J'ai réussi à faire passer cette leçon à de nombreuses nouvelles recrues, mais beaucoup de nouveaux dans le domaine ne comprennent pas à quel point c'est important. De cette règle simple vient la philosophie lorsque l'on travaille en tant qu'administrateur système:

  • N'effectuez jamais de changement risqué sur un système de production en dehors des fenêtres de maintenance
  • S'il est nouveau et brillant, il ne sera pas mis en production.
  • S'il est vieux et cassé, il ne sera pas mis en production.
  • Si ce n'est pas documenté, vous n'êtes pas payé pour cela.
  • Les changements qui transfèrent la charge de travail aux utilisateurs n'en valent pas la peine.
  • Il est de votre responsabilité de le faire fonctionner, quoi que fasse l'utilisateur.

Et à partir d'ici, vous pouvez retracer les mauvais comportements typiques des administrateurs système non qualifiés

  • Patcher les systèmes de production en direct ...
  • Dernières nouveautés mises en production sans tests minutieux
  • Utilisation d'équipements récupérés dans la production
  • Documentation inégale, limitée ou (pire encore!) Erronée
  • "Copiez simplement le carnet d'adresses à la main lorsque nous changeons de serveur de messagerie!"
  • "C'est ta faute de ne pas l'avoir sauvegardé ..."

Je pense que XKCD l'a assez bien résumé

pehrs
la source
+1 pour un génial xkcd pertinent
Joshua Enfield
8
En fait, la règle d'or est que l'administrateur système est là pour soutenir l'entreprise. Habituellement, cela signifie soutenir les utilisateurs, mais cela encourage également occasionnellement les utilisateurs à arrêter les comportements moins productifs.
David Mackintosh
@David Je voudrais être d'accord avec vous, mais l'entreprise est souvent mal définie et finit par être un cadre moyen. Et un administrateur système doit souvent se battre avec les cadres intermédiaires pour faire ce qui est mieux pour tout le monde. Je préfère donc la formulation qu'ils sont là pour soutenir les utilisateurs. De toute évidence, soutenir les utilisateurs peut signifier leur montrer une meilleure façon de faire des choses ...;)
pehrs
12

Est-ce une mauvaise habitude de céder aux demandes (demandes?) Des utilisateurs qui réduisent la sécurité pour leur propre confort?

Bart Silverstrim
la source
3
C'est ... et très courant, si vous me demandez.
chmeee
1
C'est pourquoi vous devez avoir une politique de sécurité. Obtenez toute cette discussion et la compréhension de la chaîne de gestion à l'avance. Ensuite, si elle est annulée, vous l'obtenez au moins par écrit.
mpez0
1
Dans la plupart des environnements, la sécurité doit être équilibrée avec la commodité. C'est une erreur de toujours traiter les utilisateurs comme s'ils essayaient de casser vos systèmes ... Ils ont des besoins légitimes.
Satanicpuppy
1
ouais, foutus utilisateurs. Ils voudront que le câble réseau soit rebranché ensuite ... ne comprennent-ils pas comment vraiment sécuriser un serveur!? !!!?
gbjbaanb
2
Je travaille dans un district scolaire. Vous ne croiriez pas le logiciel qui croise notre chemin et les demandes de "faire fonctionner", et souvent cela implique de briser les autorisations ou d'autres solutions. Les adolescents maltraitent l'équipement de nombreuses façons étranges et mystérieuses.
Bart Silverstrim
10

Écrire un script qui n'est pas bien documenté ou écrit dans un style facile à lire afin que les personnes qui vous suivent puissent facilement lire et modifier le script.

Scripteurs Perl Je vous regarde!

Zypher
la source
Nous avons notre part de ceux qui sont ici. J'essaie toujours d'amener tout le monde à passer à Python. Au moins, vous obtenez un style cohérent et vous n'avez pas à rechercher autant de modules pour faire quoi que ce soit.
3dinfluence
J'ai entendu un développeur dire "c'était difficile à écrire, donc ça DEVRAIT être difficile à maintenir!" Inutile de dire qu'il écrivit bientôt difficile de maintenir le code ailleurs!
BillN
3
Les mauvais codeurs peuvent mal coder dans n'importe quelle langue.
toppledwagon
8

"Je documenterai cela plus tard" Non, vous ne le ferez pas.

Bien sûr, certains anticipent ainsi cette situation: "Documentation?"

Wesley
la source
6

J'ai la mauvaise habitude d'être suffisamment frustré par les «correctifs» de sécurité dans Windows que j'ajouterai aveuglément des sites à une liste de sites de confiance ou une sécurité suffisamment faible qu'IE8 / XP / Vista / etc. arrête de me harceler pendant que j'essaie de faire quelque chose et je suis assez sûr que je vais au bon endroit et télécharger le bon fichier. Je sais que cela est censé vous rendre plus sûr de repenser vos actions, mais franchement, cliquer, cliquer, cliquer, ça me rend fou, et finalement les avertissements se confondent jusqu'à ce que je ne fasse pas attention aux erreurs de certificat de site (c'est notre propre auto -signé, non? ... enfin, probablement ...) et d'autres fois, cela me demande des choses stupides qui auraient dû être activées par défaut (oui, je voulais vraiment aller à Windows Update, et je veux que les paramètres de sécurité autoriser Microsoft "

Bart Silverstrim
la source
2
+1, Votre run on phrase est exactement ce que ça fait :-)
Kyle Brandt
J'installe habituellement juste Firefox.
reconbot
Firefox est agréable, l'utilise souvent, mais il n'exécutera pas les mises à jour Windows dans les cas où le serveur WSUS ne donne pas de commentaires sur ce que le @ # $ fait en arrière-plan, ou il agit comme s'il avait toutes les mises à jour installées et j'essaie le manuel WinUpdates d'IE et HEY UN AUTRE TOUR DE MISES À JOUR! Et mon préféré, il trouve les mises à jour depuis le serveur WSUS car il les télécharge depuis les mises à jour Windows! Celui qui a conçu ce système est allergique à l'idée de donner des commentaires à l'utilisateur ou, si nécessaire, un contrôle manuel ... @ #% # @ !!
Bart Silverstrim
6

Une politique de non-mise à jour car "ça marche, alors pourquoi devrions-nous y toucher?".

Et puis Slammer vous claque la tête ...

Massimo
la source
4
C'est mon préféré. "Une mise à jour a cassé quelque chose une fois, alors maintenant nous avons peur." Vraiment?
Kara Marfia
Je dois aussi lutter contre cette mentalité où j'en suis.
3dinfluence
Ou l'inverse: nous appliquerons chaque patch existant, qu'il soit requis ou non. Ensuite, vous vous retrouvez avec plus de vulnérabilités et d'instabilité en raison de ces correctifs.
John Gardeniers
5

L'application des mises à jour des fournisseurs dès qu'elles deviennent disponibles . Attendez quelques heures et recherchez le nom du patch sur Google pour éviter d'être celui qui soumet les histoires d'horreur .

Chris Nava
la source
Voilà les définitions AV. Je ne peux pas être d'accord avec vous là-dessus. Ils sont installés par eux sans approbation manuelle et sont urgents. La chose la plus triste à venir du récent gaf de McAfee est qu'un certain nombre d'organisations prendront probablement des mesures absurdes comme le pré-test de chaque mise à jour de définition AV qu'elles diffusent. Folie de genou.
Chris Thorpe
J'ai lié à un exemple pratique mais je fais référence à toutes les modifications apportées aux machines de production qui n'ont pas été testées. Il est regrettable qu'un fournisseur d'antivirus ait causé un problème cette fois, mais ce n'est pas la première fois que cela se produit. Si vous disposez d'une installation de test appropriée, il est simple de vous assurer que le changement y est appliqué en premier et qu'un test de fumée simple est exécuté. C'est un petit prix à payer pour honorer vos SLA.
Chris Nava
Il est également simple de retarder l'installation de quelques heures seulement afin que vous puissiez appuyer sur le bouton d'arrêt si les interwebs signalent des problèmes.
Chris Nava
4

Dire "QUOI!?" chaque fois qu'un utilisateur s'approche de votre bureau.

Kyle Brandt
la source
2
Tu
1
Zypher: L'ironie était que je jouais juste avec mon couteau :-) (J'ouvrais juste quelques boîtes il y a quelque temps et je l'avais sur mon bureau)
Kyle Brandt
2
Rouler des yeux et pousser un soupir massif fonctionne bien aussi.
squillman
1
Je pense que le mauvais habbit ne veut pas aider vos utilisateurs. Je remarque que j'arrive parfois ainsi, et je dois me rappeler que c'est mon travail et je ne devrais pas m'en vouloir.
reconbot
1
Cela ne me dérange pas d'aider les utilisateurs. C'est juste de leur parler qui devient ennuyeux. Certains jours, je souhaiterais pouvoir rendre obligatoire la lecture de «Comment poser des questions de manière intelligente».
Zoredache
3

Utiliser le même mot de passe sur plusieurs systèmes ou applications (à la Fondation Apache ).

gravyface
la source
J'ai toujours été préoccupé par cela, j'exploitant probablement plus de 70 serveurs Linux, dont j'ai mon compte utilisateur, mais existe-t-il une alternative réelle à la tentative de mémoriser une quantité retardée de mots de passe?
grufftech
Utilisez des certificats pour vous authentifier avec SSH, mais oui, c'est pénible. J'utilise des mots de passe dont je me souviens facilement pour les serveurs auxquels je me connecte souvent, et j'utilise KeyPass pour ceux dont je ne me souviens pas et donc je ne m'en souviens pas.
gravyface
3

Entrées de journal de travail vides de sens. c'est à dire:

$ rm *

Très bien, vous avez supprimé quelque chose, quelque part, en tant qu'utilisateur, sur un système. J'ai la même alerte, et j'aimerais savoir comment vous l'avez corrigée la dernière fois.

Voici une invite qui résout la plupart de ces problèmes automatiquement.

PS1 = "\ h \ d \ t \ w \ n \ u>"

myserver lun 26 avr 16:20:44 / var / log
root>

Le nom d'hôte a changé :-) Maintenant, je sais tout sauf ce que vous avez supprimé, mais au moins je sais où chercher.

Ronald Pottol
la source
3

concernant le commentaire

Écrire un script qui n'est pas bien documenté ou écrit dans un style facile à lire afin que les personnes qui vous suivent puissent facilement lire et modifier le script. Scripteurs Perl Je vous regarde!

le code spaghetti est écrit dans tous les langages de programmation (donc aussi en Python, Ruby ou autre). Ne blâmez pas la langue, blâmez le codeur.

Quelques commentaires amusants d'un programmeur python sur l'état actuel du code Python en cours d'écriture. Ce gars gagne sa vie en déboguant du code Python merdique écrit par quelqu'un d'autre:

http://artificialcode.blogspot.com/2010/04/professionalism-in-python-or-how-to-not.html

http://artificialcode.blogspot.com/2010/04/my-midlife-python-quality-crisis.html

Morale de l'histoire: quand Perl était le seul langage interprété en ville, tout le monde écrivait Perl, et beaucoup de gens qui n'étaient pas programmeurs écrivaient Perl merdique. Maintenant, de plus en plus de gens choisissent Python, de plus en plus de programmes Python sont en train d'être écrits. Ou Powershell, ou ..., ou ...

Alors s'il vous plaît, arrêtez de diffuser du FUD sur Perl, ce n'est pas la langue, c'est le codeur.

natxo asenjo
la source
3

Peut-être pas une vraie habitude, mais que diriez-vous de vous attendre habituellement à ce que les cadres supérieurs aient et / ou utilisent un cerveau? Ou croire que les programmeurs ont une compréhension de base de la machine et du système d'exploitation pour lesquels ils programment?

John Gardeniers
la source
1

Passer du temps sur les forums ou - pire! :) - Sites Q&R quand vous devriez travailler.

Ward - Rétablir Monica
la source
1

Se connecter à partir de cybercafés pour travailler sur la route sans utiliser de mots de passe à usage unique.

Prof. Moriarty
la source