Sysadmin schlechte Gewohnheiten

15

Ich denke, es wäre interessant, eine Liste der schlechten Gewohnheiten zu haben, die Sie im Zusammenhang mit der Systemadministration beobachten. Beispielsweise:

  • Immer rootauf Servern verwenden
  • Freigeben von Kontokennwörtern
  • Einfügen von Passwörtern in den Code
  • Ich benutze immer noch Telnet
  • ...

Obwohl ich mich hauptsächlich für Sicherheit interessiere, muss Ihre schlechte Angewohnheit nicht sicherheitsrelevant sein. Geschichten über schlechte Gewohnheiten sind ebenfalls willkommen.

security chmeee
quelle
4
Verwenden Sie immer noch Telnet? "Ja wirklich?"
Coops
2
Möchten Sie ein nicht kryptofähiges Cisco-Gerät sehen? : - /
Massimo
2
Ich habe am Freitag Telnet auf einem Server aktiviert ... Für ungefähr eine Stunde. Laufen durch einen Tunnel. Wenn Sie mit genügend altem Mist arbeiten, brauchen Sie ihn immer noch hin und wieder.
Satanicpuppy
1
Was noch schlimmer ist ... du brauchst überhaupt keinen alten Mist. Kaufen Sie einfach (kürzlich!) Cisco VOIP-Appliances und hören Sie den Cisco-Beratern zu, die stolz sagen: "Wir unterstützen keine Kryptofunktionen auf dem IOS dieser Router, da dies nicht erforderlich ist und die Leistung verlangsamen würde." Denn laut Cisco sind SSH-Konsolenzugriff und volle IPSEC-Unterstützung genau dasselbe. Und Sie benötigen ein voll verschlüsseltes IOS, um SSH anstelle von Telnet zu verwenden.
Massimo
@ Coops Überzeugen Sie sich selbst shodanhq.com/?q=port%3A23
chmeee

Antworten:

23

Ich denke, die meisten schlechten Verhaltensweisen von Sysadmins beruhen auf der Tatsache, dass sie die goldene Regel vergessen:

Ein Sysadmin soll die Benutzer unterstützen, nicht umgekehrt.

Ich habe diese Lektion bereits in vielen neuen Rekruten durchgearbeitet, aber viele Neueinsteiger verstehen nicht so recht, wie wichtig es ist. Aus dieser einfachen Regel ergibt sich die Philosophie bei der Arbeit als Sysadmin:

  • Führen Sie niemals eine riskante Änderung an einem Produktionssystem außerhalb der Wartungsfenster durch
  • Wenn es neu und glänzend ist, geht es nicht in Produktion.
  • Wenn es alt und kaputt ist, geht es nicht in Produktion.
  • Wenn es nicht dokumentiert ist, werden Sie nicht dafür bezahlt.
  • Änderungen, die die Arbeitslast auf die Benutzer verlagern, sind es nicht wert.
  • Es liegt in Ihrer Verantwortung, es am Laufen zu halten, egal was der Benutzer tut.

Und von hier aus können Sie das typische schlechte Verhalten ungelernter Sysadmins nachvollziehen

  • Patchen von Live-Produktionssystemen ...
  • Neueste Produkte wurden ohne sorgfältige Tests in die Produktion gebracht
  • Verwendung von gespülten Geräten in der Produktion
  • Fleckige, eingeschränkte oder (noch schlimmer!) Falsche Dokumentation
  • "Kopieren Sie einfach das Adressbuch von Hand, wenn wir den Mail-Server wechseln!"
  • "Es ist deine Schuld, dass du es nicht gesichert hast ..."

Ich denke, XKCD hat es ziemlich gut zusammengefasst

pehrs
quelle
+1 für eine tolle relevante xkcd
Joshua Enfield
8
Eigentlich lautet die goldene Regel, dass der Sysadmin da ist, um das Unternehmen zu unterstützen. In der Regel bedeutet dies, die Benutzer zu unterstützen, gelegentlich aber auch zu ermutigen, weniger produktive Verhaltensweisen einzustellen.
David Mackintosh
@David Ich würde Ihnen gerne zustimmen, aber das Unternehmen ist oft schlecht definiert und wird letztendlich zum mittleren Management. Und ein Sysadmin muss sich oft mit dem mittleren Management streiten, um das zu tun, was für alle besser ist. Deshalb bevorzuge ich die Formulierung, dass sie da sind, um die Benutzer zu unterstützen. Offensichtlich unterstützen Benutzer kann bedeuten, ihnen einen besseren Weg zu zeigen, um
Dinge
12

Ist es eine schlechte Angewohnheit, Benutzeranforderungen nachzugeben, die die Sicherheit aus Gründen der eigenen Bequemlichkeit verringern?

Bart Silverstrim
quelle
3
Es ist ... und sehr verbreitet, wenn Sie mich fragen.
Chmeee
1
Aus diesem Grund benötigen Sie eine Sicherheitsrichtlinie. Lassen Sie die gesamte Diskussion und das Verständnis der Managementkette im Voraus erledigen. Wenn es dann außer Kraft gesetzt wird, erhalten Sie es zumindest schriftlich.
Mpez0
1
In den meisten Umgebungen muss Sicherheit mit Komfort in Einklang gebracht werden. Es ist ein Fehler, Benutzer immer so zu behandeln, als würden sie versuchen, Ihre Systeme zu beschädigen ... Sie haben legitime Bedürfnisse.
Satanicpuppy
1
Ja, verdammte Benutzer. Sie wollen, dass das Netzwerkkabel als nächstes wieder eingesteckt wird ... verstehen sie nicht, wie man einen Server wirklich schützt!? !!!?
Gbjbaanb
2
Ich arbeite in einem Schulbezirk. Sie würden nicht glauben, dass die Software, die unseren Weg kreuzt, und die Anforderungen, "es funktionieren zu lassen", häufig das Brechen von Berechtigungen oder andere Problemumgehungen beinhalten. Jugendliche misshandeln die Ausrüstung auf viele seltsame und mysteriöse Arten.
Bart Silverstrim
10

Schreiben eines Skripts, das nicht gut dokumentiert oder in einem einfach zu lesenden Stil geschrieben ist, damit die nachfolgenden Personen das Skript problemlos lesen und ändern können.

Perl-Skripter Ich sehe DICH an!

Zypher
quelle
Wir haben unseren Anteil an denen hier. Ich versuche immer wieder, alle dazu zu bringen, zu Python zu wechseln. Zumindest erhalten Sie dann einen konsistenten Stil und müssen nicht so viele Module suchen, um etwas zu tun.
3dinfluence
Ich hörte einen Entwickler sagen "Es war schwierig zu schreiben, also sollte es schwierig sein, es zu pflegen!" Unnötig zu erwähnen, dass er bald schwer zu pflegenden Code an anderer Stelle schrieb!
BillN
3
Schlechte Codierer können schlecht in jeder Sprache codieren.
Sturzwagen
8

"Ich werde das später dokumentieren." Nein, wirst du nicht.

Natürlich machen einige dieser Situation vorweg: "Dokumentation?"

Wesley
quelle
6

Ich habe die schlechte Angewohnheit, frustriert genug zu werden, wenn ich in Windows Sicherheitskorrekturen vornehme, die dazu führen, dass Websites blind einer Liste vertrauenswürdiger Sites hinzugefügt werden, oder wenn die Sicherheit von IE8 / XP / Vista / etc. hört auf, mich zu belästigen, während ich versuche, etwas zu erledigen, und ich bin mir ziemlich sicher, dass ich an den richtigen Ort gehe und die richtige Datei herunterlade. Ich weiß, dass es Sie sicherer machen soll, Ihre Handlungen zu überdenken, aber ehrlich gesagt, macht Klick Klick Klick mich verrückt verrückt und schließlich verschwimmen alle Warnungen, bis ich die Fehler der Site-Zertifikate nicht mehr beachte (es ist unser eigenes Selbst) -signiert, richtig? ... naja, wahrscheinlich ...) und manchmal fragt es mich dumme Dinge, die standardmäßig aktiviert sein sollten (ja, ich wollte eigentlich zu Windows Update gehen, und ich möchte Sicherheitseinstellungen haben Microsoft erlauben

Bart Silverstrim
quelle
2
+1, Ihr Lauf auf Satz ist genau, wie sich das anfühlt :-)
Kyle Brandt
Ich installiere normalerweise nur Firefox.
Reconbot
Firefox ist nett, wird häufig verwendet, aber Windows-Updates werden nicht ausgeführt, wenn der WSUS-Server keine Rückmeldung zu der Aktion des @ # $ im Hintergrund gibt oder wenn alle Updates installiert sind und ich versuche das Handbuch WinUpdates von IE und HEY eine weitere Runde von Updates! Und mein Favorit, es findet Updates vom WSUS-Server, während es sie von Windows Updates herunterlädt ! Wer auch immer dieses System entworfen hat, ist allergisch gegen die Idee, dem Benutzer Feedback oder, falls erforderlich, manuelle Kontrolle zu geben ... @ #% # @ !!
Bart Silverstrim
6

Eine No-Update-Richtlinie, weil "es funktioniert, warum sollten wir es also anfassen?".

Und dann knallt dich Slammer in den Kopf ...

Massimo
quelle
4
Das ist mein Lieblings. "Ein Update hat einmal etwas kaputtgemacht, also haben wir jetzt Angst." "Ja wirklich?"
Kara Marfia
Ich muss gegen diese Mentalität ankämpfen, wo ich auch bin.
3dinfluence
Oder umgekehrt: Wir werden jeden Patch anwenden, den es gibt, ob er benötigt wird oder nicht. Infolge dieser Patches kommt es dann zu mehr Sicherheitslücken und Instabilität.
John Gardeniers
5

Das Anwenden von Herstellerupdates, sobald diese verfügbar sind . Warten Sie ein paar Stunden und googeln Sie den Namen des Patches, um zu vermeiden, dass die Horrorgeschichten gesendet werden .

Chris Nava
quelle
Das sind AV-Definitionen. Darin kann ich Ihnen nicht zustimmen. Sie werden von Ihnen ohne manuelle Genehmigung installiert und sind zeitkritisch. Das Traurigste an der jüngsten McAfee-Veröffentlichung ist, dass eine Reihe von Organisationen wahrscheinlich absurde Maßnahmen ergreifen werden, wie etwa das Testen jedes von ihnen herausgegebenen AV-Definitionsupdates. Wahnsinn.
Chris Thorpe
I in Verbindung mit einem praktischen Beispiel , aber ich bin auf irgendwelche Änderungen an Produktionsmaschinen , die nicht getestet sind. Es ist bedauerlich, dass diesmal ein Hersteller von Antivirenprogrammen ein Problem verursacht hat, aber dies ist nicht das erste Mal, dass dies passiert ist. Wenn Sie über eine ordnungsgemäße Testeinrichtung verfügen, können Sie ganz einfach sicherstellen, dass die Änderung zuerst dort angewendet wird, und einen einfachen Rauchtest durchführen. Es ist ein geringer Preis, um Ihre SLAs einzuhalten.
Chris Nava
Es ist auch eine einfache Sache, die Installation um einige Stunden zu verzögern, damit Sie den Kill-Schalter betätigen können, wenn die Interwebs Probleme melden.
Chris Nava
4

Was willst du damit sagen!?" wenn sich ein Benutzer Ihrem Schreibtisch nähert.

Kyle Brandt
quelle
2
Ich spiele lieber mit meinem Messer ... die meisten kommen auf die Idee :-D
Zypher
1
Zypher: Die Ironie war, dass ich nur mit meinem Messer gespielt habe :-) (öffnete gerade ein paar Kartons und hatte es auf meinem Schreibtisch)
Kyle Brandt
2
Das Rollen der Augen und das Ausstoßen eines massiven Seufzens funktioniert auch gut.
Squillman
1
Ich denke, der schlechte Habbit möchte Ihren Nutzern nicht helfen. Ich merke, dass ich manchmal so werde, und ich muss mich daran erinnern, dass es mein Job ist und ich sollte mir das nicht gönnen.
Reconbot
1
Es macht mir nichts aus, Benutzern zu helfen. Es ist nur ein Gespräch mit ihnen, das nervt. An manchen Tagen wünschte ich, ich könnte "Fragen auf intelligente Weise stellen" als Pflichtlektüre festlegen.
Zoredache
3

Verwenden des gleichen Kennworts auf mehreren Systemen oder Anwendungen (a la Apache Foundation ).

Soßengesicht
quelle
Ich habe mich schon immer darum gekümmert, dass ich wahrscheinlich über 70 Linux-Server betreibe, alle mit meinem Benutzerkonto, aber gibt es eine echte Alternative zum Versuch, eine verzögerte Anzahl von Passwörtern zu speichern?
Grufftech
Verwenden Sie Zertifikate, um sich bei SSH zu authentifizieren, aber ja, das ist mühsam. Ich verwende Passwörter, an die ich mich leicht erinnern kann, für die Server, bei denen ich mich häufig anmelde, und KeyPass für die, an die ich mich nicht erinnere.
Gravyface
3

Sinnlose Arbeitsprotokolleinträge. dh:

$ rm *

Großartig, Sie haben irgendwo etwas gelöscht, als ein Benutzer auf einem System. Ich habe die gleiche Warnung und möchte wissen, wie Sie sie das letzte Mal behoben haben.

Hier ist eine Eingabeaufforderung, die die meisten dieser Probleme automatisch löst.

PS1 = "\ h \ d \ t \ w \ n \ u>"

myserver Mon Apr 26 16:20:44 / var / log
root>

Hostname geändert :-) Jetzt weiß ich alles außer dem, was du gelöscht hast, aber zumindest weiß ich, wo ich suchen muss.

Ronald Pottol
quelle
3

bezüglich des Kommentars

Schreiben eines Skripts, das nicht gut dokumentiert oder in einem einfach zu lesenden Stil geschrieben ist, damit die nachfolgenden Personen das Skript problemlos lesen und ändern können. Perl-Skripter Ich sehe DICH an!

Spaghetti-Code wird in allen Programmiersprachen geschrieben (also auch in Python, Ruby oder was auch immer). Beschuldigen Sie nicht die Sprache, beschuldigen Sie den Kodierer.

Ein paar witzige Kommentare eines Python-Programmierers zum aktuellen Stand des Python-Codes. Dieser Typ verdient seinen Lebensunterhalt mit dem Debuggen von beschissenem Python-Code, der von jemand anderem geschrieben wurde:

http://artificialcode.blogspot.com/2010/04/professionalism-in-python-or-how-to-not.html

http://artificialcode.blogspot.com/2010/04/my-midlife-python-quality-crisis.html

Moral der Geschichte: Als Perl die einzige interpretierte Sprache in der Stadt war, schrieben alle Perl, und viele Leute, die keine Programmierer waren, schrieben beschissenes Perl. Jetzt greifen immer mehr Leute zu Python, und es werden immer mehr beschissene Python-Programme geschrieben. Oder Powershell, oder ... oder ...

Also hör bitte auf, FUD über Perl zu verbreiten, es ist nicht die Sprache, es ist der Programmierer.

Natxo Asenjo
quelle
3

Vielleicht keine echte Gewohnheit, aber wie wäre es, wenn Sie gewohnheitsmäßig erwarten, dass leitende Angestellte ein Gehirn haben und / oder benutzen? Oder glauben Sie, dass Programmierer ein grundlegendes Verständnis für die Maschine und das Betriebssystem haben, für die sie programmieren?

John Gardeniers
quelle
1

Zeit in Foren verbringen oder - schlimmer noch! :) - Q & A-Sites, auf denen Sie arbeiten sollten.

Ward - Setzen Sie Monica wieder ein
quelle
1

Melden Sie sich von Internetcafés aus an, um unterwegs arbeiten zu können, ohne einmalige Kennwörter zu verwenden.

Prof. Moriarty
quelle