Sysadmin malos hábitos

15

Creo que sería interesante tener una lista de los malos hábitos que observa relacionados con la administración del sistema. Por ejemplo:

  • Siempre usando root en servidores
  • Compartir contraseñas de cuenta
  • Insertar contraseñas en el código
  • Sigo usando telnet
  • ...

Aunque estoy principalmente interesado en la seguridad, su mal hábito no tiene que estar relacionado con la seguridad. Las historias de malos hábitos también son bienvenidas.

security chmeee
fuente
44
¿Sigues usando telnet? De Verdad?
Coops
2
¿Quiere ver algún dispositivo Cisco no habilitado para criptografía? : - /
Massimo
2
El viernes habilité telnet en un servidor ... durante aproximadamente una hora. Corriendo a través de un túnel. Si trabaja con suficiente basura heredada, aún la necesita, de vez en cuando.
Satanicpuppy
1
Lo que es peor es ... no necesitas basura heredada en absoluto. Simplemente compre dispositivos Cisco VOIP (¡recientes!) Y escuche a los consultores de Cisco decir con orgullo "no admitimos las funciones de cifrado en el IOS de estos enrutadores porque no es necesario y ralentizaría las cosas". Porque sí, según Cisco, el acceso a la consola SSH y el soporte completo de IPSEC son exactamente lo mismo. Y necesita un IOS con criptografía completa para usar SSH en lugar de Telnet.
Massimo
@Coops Véalo
chmeee

Respuestas:

23

Creo que la mayoría de los malos comportamientos de los administradores de sistemas se deben al hecho de que olvidan la regla de oro:

Un administrador de sistemas está ahí para apoyar a los usuarios, no al revés.

He aprendido esta lección en muchos nuevos reclutas por ahora, pero muchos nuevos en el campo no entienden lo importante que es. De esta simple regla surge la filosofía cuando se trabaja como administrador de sistemas:

  • Nunca, nunca, haga un cambio arriesgado en un sistema de producción fuera de las ventanas de mantenimiento
  • Si es nuevo y brillante, no entrará en producción.
  • Si está viejo y roto, no entrará en producción.
  • Si no está documentado, no se le paga por ello.
  • Los cambios que transfieren la carga de trabajo a los usuarios no valen la pena.
  • Es su responsabilidad mantenerlo en funcionamiento, sin importar lo que esté haciendo el usuario.

Y desde aquí puede rastrear los malos comportamientos típicos de los administradores de sistemas no calificados

  • Parchear sistemas de producción en vivo ...
  • Últimas cosas puestas en producción sin pruebas cuidadosas
  • Uso de equipos recolectados en la producción.
  • Manchado, limitado o (¡peor aún!) Documentación incorrecta
  • "¡Simplemente copie la libreta de direcciones a mano cuando cambiemos el servidor de correo!"
  • "Es tu culpa por no respaldarlo ..."

Creo que XKCD lo resumió bastante bien

pehrs
fuente
+1 para un increíble xkcd relevante
Joshua Enfield
8
En realidad, la regla de oro es que el administrador del sistema está allí para apoyar a la empresa. Por lo general, esto significa apoyar a los usuarios, pero también ocasionalmente alienta a los usuarios a detener comportamientos menos productivos.
David Mackintosh
@David Me gustaría estar de acuerdo con usted, pero la empresa a menudo está mal definida y termina siendo una gerencia intermedia. Y un administrador de sistemas a menudo tiene que pelear con la gerencia media para hacer lo que es mejor para todos. Así que prefiero la redacción de que están allí para apoyar a los usuarios. Obviamente, apoyar a los usuarios puede significar mostrarles una mejor manera de hacer cosas ...;)
pehrs
12

¿Es un mal hábito ceder a las solicitudes (demandas) de los usuarios que reducen la seguridad en aras de su propia conveniencia?

Bart Silverstrim
fuente
3
Es ... y muy común, si me preguntas.
chmeee
1
Es por eso que necesita tener una política de seguridad. Obtenga toda esa discusión y comprensión de la cadena de gestión por adelantado. Luego, si se anula, al menos lo recibe por escrito.
mpez0
1
En la mayoría de los entornos, la seguridad debe equilibrarse con la conveniencia. Es un error tratar siempre a los usuarios como si estuvieran tratando de romper sus sistemas ... Tienen necesidades legítimas.
Satanicpuppy
1
Sí, malditos usuarios. Querrán que el cable de red vuelva a enchufarse la próxima vez ... ¡¿No entienden cómo proteger realmente un servidor?!?
gbjbaanb
2
Yo trabajo en un distrito escolar. No creería el software que se cruza en nuestro camino y las solicitudes para "hacerlo funcionar", y a menudo implica romper los permisos u otras soluciones. Los adolescentes maltratan el equipo de muchas maneras extrañas y misteriosas.
Bart Silverstrim
10

Escribir un guión que no esté bien documentado o escrito en un estilo fácil de leer para que las personas que vienen después de usted puedan leer y modificar el guión fácilmente.

Perl scripters ¡Te estoy mirando!

Zypher
fuente
Tenemos nuestra parte de los que están por aquí. Sigo intentando que todos cambien a Python. Al menos, obtienes un estilo consistente y no tienes que buscar tantos módulos para hacer nada.
3dinfluence
Escuché a un desarrollador decir "era difícil de escribir, ¡así que DEBE ser difícil de mantener!" ¡No hace falta decir que pronto estaba escribiendo un código difícil de mantener en otro lugar!
BillN
3
Los codificadores pobres pueden codificar mal en cualquier idioma.
toppledwagon
8

"Documentaré esto más tarde" No, no lo harás.

Por supuesto, algunos se adelantan a esa situación: "¿Documentación?"

Wesley
fuente
6

Tengo la mala costumbre de frustrarme lo suficiente por las "soluciones" de seguridad en Windows que agregaré ciegamente sitios a una lista de sitios de confianza o reducir la seguridad lo suficiente como para IE8 / XP / Vista / etc. deja de molestarme mientras intento hacer algo y estoy bastante seguro de que voy al lugar correcto y descargo el archivo correcto. Sé que se supone que lo hará más seguro para repensar sus acciones, pero, francamente, hacer clic, hacer clic, hacer clic, me vuelve loco, loco y, finalmente, las advertencias se confunden hasta que no presto atención a los errores del certificado del sitio (somos nosotros mismos). -signado, ¿verdad? ... bueno, probablemente ...) y otras veces me pregunta cosas estúpidas que deberían haberse habilitado de forma predeterminada (sí, realmente quise ir a Windows Update, y quiero que la configuración de seguridad permitir Microsoft '

Bart Silverstrim
fuente
2
+1, su ejecución en la oración es exactamente como se siente eso :-)
Kyle Brandt
Por lo general, solo instalo firefox.
Reconbot
Firefox es bueno, a menudo lo usa, pero no ejecutará las Actualizaciones de Windows en aquellas ocasiones en que el servidor WSUS no está dando comentarios sobre lo que está haciendo el @ # $ en segundo plano, o actúa como si tuviera todas las actualizaciones instaladas y pruebo el manual WinUpdates de IE y ¡HEY OTRA RONDA DE ACTUALIZACIONES! ¡Y mi favorito, encuentra actualizaciones del servidor WSUS ya que las descarga de las Actualizaciones de Windows! Quien haya diseñado ese sistema es alérgico a la idea de dar retroalimentación al usuario o, cuando sea necesario, control manual ... @ #% # @ !!
Bart Silverstrim
6

Una política de no actualización porque "funciona, entonces, ¿por qué deberíamos tocarla?".

Y luego Slammer te golpea en la cabeza ...

Massimo
fuente
44
Este es mi favorito. "Una actualización rompió algo una vez, así que ahora tenemos miedo". De Verdad?
Kara Marfia
Tengo que luchar contra esta mentalidad donde estoy también.
3dinfluence
O lo contrario: aplicaremos todos los parches que haya, sean necesarios o no. Luego, termine con más vulnerabilidades e inestabilidad como resultado de esos parches.
John Gardeniers
5

Aplicando actualizaciones de proveedores en el instante en que estén disponibles . Espere unas horas y busque en Google el nombre del parche para evitar ser el que envíe las historias de terror .

Chris Nava
fuente
Esas son las definiciones AV. No puedo estar de acuerdo contigo en esto. Se instalan sin aprobación manual y son críticos en cuanto al tiempo. Lo más triste del reciente gafee de McAfee es que varias organizaciones probablemente tomarán medidas absurdas como probar previamente cada actualización de definición AV que presenten. La locura de la rodilla.
Chris Thorpe
Me vinculé a un ejemplo conveniente pero me estoy refiriendo a cualquier cambio en las máquinas de producción que no haya sido probado. Es lamentable que un proveedor de antivirus haya causado un problema esta vez, pero no es la primera vez que esto ha sucedido. Si tiene una instalación de prueba adecuada, es sencillo asegurarse de que el cambio se aplique allí primero y se ejecute una prueba de humo simple. Es un pequeño precio a pagar para honrar sus SLA.
Chris Nava
También es una cuestión simple retrasar la instalación solo unas pocas horas para que pueda presionar el interruptor de apagado si las redes informan problemas.
Chris Nava
4

Diciendo "¡¿QUÉ ?!" cada vez que un usuario se acerca a su escritorio.

Kyle Brandt
fuente
2
Mira, prefiero comenzar a jugar con mi cuchillo ... la mayoría de ellos tienen la idea :-D
Zypher
1
Zypher: La ironía era que solo estaba jugando con mi cuchillo :-) (Estaba abriendo algunas cajas hace un rato y lo tenía en mi escritorio)
Kyle Brandt
2
Poner los ojos en blanco y lanzar un suspiro masivo también funciona bien.
Squillman
1
Creo que el mal habbit no quiere ayudar a sus usuarios. Me doy cuenta de que a veces me pongo así, y tengo que recordarme a mí mismo que es mi trabajo y que no debería resentirme por eso.
Reconbot
1
No me importa ayudar a los usuarios. Es solo hablar con ellos lo que se vuelve molesto. Algunos días desearía poder hacer la lectura obligatoria 'Cómo hacer preguntas de manera inteligente'.
Zoredache
3

Usar la misma contraseña en múltiples sistemas o aplicaciones (a la Apache Foundation ).

salsa
fuente
Siempre me ha preocupado esto, opero probablemente más de 70 servidores Linux, todos los cuales tengo mi cuenta de usuario, pero ¿existe alguna alternativa real para intentar memorizar una cantidad retardada de contraseñas?
grufftech
Use certs para autenticarse con SSH, pero sí, es un fastidio. Uso frases de contraseña que puedo recordar fácilmente para los servidores en los que inicio sesión a menudo, y uso KeyPass para los que no recuerdo y, por lo tanto, no recordaré.
gravyface
3

Entradas de registro de trabajo sin sentido. es decir:

$ rm *

Genial, eliminó algo, en algún lugar, como algún usuario, en algún sistema. Tengo la misma alerta, y me gustaría saber cómo lo arreglaste la última vez.

Aquí hay un aviso que resuelve la mayoría de esos problemas automáticamente.

PS1 = "\ h \ d \ t \ w \ n \ u>"

myserver lun abr 26 16:20:44 / var / log
root>

Nombre de host cambiado :-) Ahora sé todo, excepto lo que eliminó, pero al menos sé dónde buscar.

Ronald Pottol
fuente
3

con respecto al comentario

Escribir un guión que no esté bien documentado o escrito en un estilo fácil de leer para que las personas que vienen después de usted puedan leer y modificar el guión fácilmente. Perl scripters ¡Te estoy mirando!

el código de espagueti se escribe en todos los lenguajes de programación (también en Python, Ruby o lo que sea). No culpes al idioma, culpa al codificador.

Un par de comentarios graciosos de un programador de Python sobre el estado actual del código de Python que se está escribiendo allí. Este tipo se gana la vida depurando el código de Python escrito por otra persona:

http://artificialcode.blogspot.com/2010/04/professionalism-in-python-or-how-to-not.html

http://artificialcode.blogspot.com/2010/04/my-midlife-python-quality-crisis.html

Moraleja de la historia: cuando Perl era el único idioma interpretado en la ciudad, todos escribían Perl, y muchas personas que no eran programadores escribían Perl horrible. Ahora, cada vez más personas están aprendiendo Python, por lo que se escriben más y más programas de Python. O Powershell, o ..., o ...

Así que por favor deja de difundir FUD sobre Perl, no es el lenguaje, es el codificador.

natxo asenjo
fuente
3

Quizás no sea un hábito verdadero, pero ¿qué hay de esperar habitualmente que los gerentes superiores tengan y / o usen un cerebro? ¿O los programadores creyentes tienen una comprensión básica de la máquina y el sistema operativo para el que están programando?

John Gardeniers
fuente
1

Pasar tiempos en foros o, ¡peor! :) - Sitios de preguntas y respuestas cuando deberías estar trabajando.

Ward - Restablece a Monica
fuente
1

Iniciar sesión desde cibercafés para trabajar en el camino sin usar contraseñas de un solo uso.

Prof. Moriarty
fuente