Rand0m
Активный участник
- Сообщения
- 17.711
Как то такВ целом защититься от рисков, связанных с недобросовестным системным администратором, - задача трудновыполнимая.
Как то такВ целом защититься от рисков, связанных с недобросовестным системным администратором, - задача трудновыполнимая.
Помню когда админом работал в клубе, там пара студентов до меня оставили такие минное поля ,что страшно. Плевался и заставлял всё работать месяцев 5, потом плюнул из-за хозяйской жадности, которая не позволяла на 24 часа закрыть клуб, дабы я всё снес и поставил как надо, а не латал и переделывал всё дальше и дальше в лес.Помню был тоже забавный случай. Админ прознал, что его собираются сокращать и написал виряк хитрый, который должен был запустится после его уволнения и устроить в сети ужасть. Активировал он эту бомбу замедленного действия и со спокойной душой стал дажидаться часа ХЭ. Правда вдруг за день до предполагаемого увольнения, оказывается, что его увольнять не собираются, начал наш горе-админ вычищать свой вирус, да так и не смог его деактивировать, в итоге оно запустилось и его уволили. За что боролся на то и напоролся Смеюсь
Так и база не одна, у АНБ, вы не подумали? :grin: Да и объем у нее.MRJING написал(а):Там их 100 человек останется, если вы не заметили.
поправочка, сетевого ПО, другим ПО занимается служба поддержки пользователей, это несколько иное подразделение. А то определение которое вы написали, это не сисадмин, а просто компьютерщик.которого подразумевают обеспечение штатной работы парка компьютерной техники, сети и программного обеспечения
У меня всё так настроено, что без меня может работать годами. Правда ничего нового не подключишь. Просто не заработает.Rand0m написал(а):А что нет? Правда последствия могут быть, долго расхлебывать придется.
Такие вещи не надо активировать вообще, ибо во-1 статья, во-2 лично мне ещё по специальности работать, с новой работы могут и на старую позвонить. В серьёзную кантору человека с таким прошлым не возьмут. Да мне по большому счёту чтобы серьёзно нагадить нужно в день увольнения всего то "потерять" документацию. Даже специалист будет пару месяцев разбираться что куда идёт и как вообще вся эта хрень работает.Rand0m написал(а):Такие вещи надо активировать в день расчета
Он идиот. Умный не стал бы такой фигнёй заниматься. Ну или если совсем разжигает запустил бы всё это дело через пару месяцев, когда про него все забудут. "Месть это блюдо, которое подают холодным".TroFF написал(а):За что боролся на то и напоролся
Supremum написал(а):Ну или если совсем разжигает запустил бы всё это дело через пару месяцев, когда про него все забудут. "Месть это блюдо, которое подают холодным".
Таки и человек не один.Так и база не одна, у АНБ, вы не подумали? Хохочу Да и объем у нее.
Определение сис.админа я дал. Давайте другое из более авторитетного источника.поправочка, сетевого ПО, другим ПО занимается служба поддержки пользователей, это несколько иное подразделение. А то определение которое вы написали, это не сисадмин, а просто компьютерщик.
У меня в канторе 9 специалистов IT. Не считая связистов. Каждый занимается своим профилем и знаком с работой других весьма посредственно. А в АНБ будет 100? Ню ню.MRJING написал(а):Там их 100 человек останется, если вы не заметили.
MRJING написал(а):Систе́мный администра́тор (англ. system administrator), ИТ-администратор — сотрудник, должностные обязанности которого подразумевают обеспечение штатной работы парка компьютерной техники, сети и программного обеспечения, а также обеспечение информационной безопасности в организации. Разговорные названия — сисадми́н (англ. sysadmin), нередко просто админ.
Почему то окулист отказывается лечить больное сердце. Из вредности наверно. Онжврач! Должен лечить всё.Врач (ст.-слав. врачь) — лицо, посвящающее свои знания и умения предупреждению и лечению заболеваний, сохранению и укреплению здоровья человека, получившее в установленном порядке право на занятие врачебной деятельностью.
Вот в том то и дело, врубаешь в сеть, к примеру новый управляемый коммутатор с автоматическими настройками... Хорошо если просто не заработает... Поэтому, лучше линий раз в сетевом интерфейсе порыться.Supremum написал(а):У меня всё так настроено, что без меня может работать годами. Правда ничего нового не подключишь. Просто не заработает.
Разумеется. это был легкий сарказм :OK-) P/S/ а за потерю документации тоже может влететь, если это официальные документы, а не ваши личные записи (разумеется).Такие вещи не надо активировать вообще, ибо во-1 статья, во-2 лично мне ещё по специальности работать, с новой работы могут и на старую позвонить.
Не отмсти (с) -ув номера заповеди не помню... :think: :OK-)Supremum написал(а):"Месть это блюдо, которое подают холодным".
Там 100 человек, это далеко не 9.У меня в канторе 9 специалистов IT. Не считая связистов. Каждый занимается своим профилем и знаком с работой других весьма посредственно. А в АНБ будет 100? Ню ню.
Там 100 человек опять же.Почему то окулист отказывается лечить больное сердце. Из вредности наверно. Онжврач! Должен лечить всё.
Может вам скан моих обязанностей предоставить :grin: :grin: :grin:MRJING написал(а):Определение сис.админа я дал. Давайте другое из более авторитетного источника.
Одну SQL базу одной московской фирмы обслуживало 4 аналитика, 2 программиста и иногда подтягивали смену из 5 админов, итого имеем 11 человек, как думаете 1 пусть большая база этой фирмы больше хотя бы одной из баз АНБ? Вы думаете аналитики и админы АНБ работают только с 1-й базой А вы тут как попка дурак про 100 человек заладили. :-bad^MRJING написал(а):Там 100 человек опять же.
Там АНБ, а не моя кантора.MRJING написал(а):Там 100 человек, это далеко не 9.
Там АНБ!MRJING написал(а):Там 100 человек опять же.
По всем рекомендациям построения сетевой инфраструктуры все незадействованные порты сетевого оборудования должны быть административно отключены. Не заработает.Rand0m написал(а):Вот в том то и дело, врубаешь в сеть, к примеру новый управляемый коммутатор с автоматическими настройками... Хорошо если просто не заработает... Поэтому, лучше линий раз в сетевом интерфейсе порыться.
Не может. Там куча вариантов. Просто всё делать по уму надо.Rand0m написал(а):Разумеется. это был легкий сарказм P/S/ а за потерю документации тоже может влететь, если это официальные документы, а не ваши личные записи (разумеется).
1. Никакого отношения к сетевому оборудованию системный администратор не имеет(я не про Россию, где сисадмин еще микроволновки чинит). Это задача сетевого администратора. 2. Сотрудник отвечающий за сетевое оборудование доступа к данным не имеет. Ему это просто не нужно.Supremum написал(а):А в случае падения оптического коммутатора в кластере?
Так это от многих вещей зависит. Бюджета, организации работы, квалификацииАга, актуальны. Я из-за этих ё*аных тенденций в отпуск уйти не могу. Работать некому!
Это вы джингу распишите, да да.Andrew_spb написал(а):1. Никакого отношения к сетевому оборудованию системный администратор не имеет(я не про Россию, где сисадмин еще микроволновки чинит). Это задача сетевого администратора. 2. Сотрудник отвечающий за сетевое оборудование доступа к данным не имеет. Ему это просто не нужно.
Одного пункта вполне достаточно.Andrew_spb написал(а):Так это от многих вещей зависит. Бюджета...
Supremum написал(а):Я ща буду ругаться матными словами через рот. КАКАЯ НА*УЙ АВТОМАТИЗАЦИЯ??? Новые настройки сами себя пропишут? С этой автоматизацией, виртуализацией, отказоустойчивостью и прочей хренью уже в маразм впали. Самая большая беда - нет системного подхода. В одном месте всё супер-пупер, в другом на узком направлении плавает свитч в ведре. Другая беда - большое кол-во разномастного оборудования и систем. Ну не может один человек знать на приличном уровне и коммутацию, и маршрутизацию, и межсетевые экраны, а заодно тянуть пару-тройку прикладных ПАКов. При этом начальство (это про автоматизацию) не разрешает работать удалённо. Потому что "да мало ли чего". Ну не могут понять что мне пофиг откуда ковырять коммутатор - из моего кабинета, по соседству с серверной, или из шезлонга на берегу красного моря. Психологический барьер какой-то.Rand0m написал(а):А как же автоматизация? Ну ты понял, да?
А вот про уволенных сисадминов.
http://www.nn.ru/news/society/v_nizhnem ... atele.html
Угу, умные люди давно напридумывали всякие стандарты с проверкой подлинности по сети. И никаких замков и закрытых портов на коммутаторах.TroFF написал(а):Закрывать просто так порты смысла нету, если шкафы с оборудованием под замком и туда нет физического доступа простых людей. Каждый раз включать порт при подключении нового компьютера, а если коммутаторов сотни?
Это не про АНБ.Rand0m написал(а):Одного пункта вполне достаточно.
Конеш. А с базами работает администратор баз данных. Винду ставит администратор ОС. А картриджи меняет администратор принтера.Andrew_spb написал(а):1. Никакого отношения к сетевому оборудованию системный администратор не имеет(я не про Россию, где сисадмин еще микроволновки чинит). Это задача сетевого администратора.
Это начальство думает что не имеет. По рабочим вопросам вообще всем IT-шникам пофиг на данные. Что не значит что если они захотят они эти данные не получат.Andrew_spb написал(а):2. Сотрудник отвечающий за сетевое оборудование доступа к данным не имеет. Ему это просто не нужно.
Да может быть всё хоть как на самолёте, с тройным резервированием. Где бы денег столько взять?Andrew_spb написал(а):3. Коммуникационное оборудование так же резервируется.
4. ЦОД может быть, вообще, распределенным. Все упирается в деньги...
Я считаю что это всё от того, что у нас дофига псевдо-умных му*аков, которые где-то слышали страшные слова "автоматизация", "виртуализация", "резервирование".Andrew_spb написал(а):Так это от многих вещей зависит. Бюджета, организации работы, квалификации
Ну там пароли. Да и эти подключения не дают возможность приёма/передачи трафика.TroFF написал(а):Ну так кто мешает подключится к консольному порту или через сеть напечатать no sh?
Так если шкаф закрыт, то и пароль на line con 0 можно не ставить, однако от паролей не отказываются. Одно дело если это ацессные порты на коммутаторах доступа. Но в любом случае, все незадействованные порты рекомендуется держать отключенными.TroFF написал(а):Закрывать просто так порты смысла нету, если шкафы с оборудованием под замком и туда нет физического доступа простых людей. Каждый раз включать порт при подключении нового компьютера, а если коммутаторов сотни?
Есть определённые порог, когда автоматизировать дальше просто некуда. Пол-сисадмина на работу не возьмёшь. У нас был случай - человек админили ВСЁ. Сеть, AD, куча прикладух. Вышел в обед с работы и пропал. Нашли года через три, как неизвестный был похоронен. В серьёзной канторе экономия на "резервном" сисадмине может выйти боком, в большой инфраструктуре с разгону не разбирёшься. Это как читать код без комментариев.Andrew_spb написал(а):Вы сравниваете красное с теплым. Недостаточный бюджет, организация рабочего процесса и т. д. никакого отношения к оценке эффективности технологий автоматизации не имеет. К тому же, Россия далеко не показатель. Я, как-то на курсах SAP пересекался с админом из ростовского банка. Так он там и циски ковыряет и за безопасность отвечает, кроме всего прочего... Только это не значит, что так надо делать...
Ню ню, флаг вам в руки. Директор он же лучше сисадмина знает инфраструктуру, "пароли и явки". У меня 13 Гб моих документов. Они периодически обновляются. Запаритесь бэкапчики клепать.Andrew_spb написал(а):А, вообще, увольнять сисадмина и главбуха надо вчера, предварительно сменив все пароли и явки, ну и бэкапчик на разных носителях...
Не поверите, но так и есть... ))) Естественно я не про малый и средний бизнес, да и не про Россию, хотя даже у нас примеров такой организации немало... Вы, просто, переносите свою ситуацию на всех. Это ошибка.Supremum написал(а):Конеш. А с базами работает администратор баз данных. Винду ставит администратор ОС. А картриджи меняет администратор принтера.
Организация процесса... Технических средств ограничения доступа на основе идентификации личности полно. Вопрос, опять же, в деньгах и желании.Это начальство думает что не имеет. По рабочим вопросам вообще всем IT-шникам пофиг на данные. Что не значит что если они захотят они эти данные не получат.
Это снова не про АНБ )))Где бы денег столько взять?
Это все прекрасно работает, уж поверьте, насмотрелся...Я считаю что это всё от того, что у нас дофига псевдо-умных му*аков, которые где-то слышали страшные слова "автоматизация", "виртуализация", "резервирование".
Незаменимых людей нет!Ню ню, флаг вам в руки. Директор он же лучше сисадмина знает инфраструктуру, "пароли и явки". У меня 13 Гб моих документов. Они периодически обновляются. Запаритесь бэкапчики клепать.
И все они при этом системные администраторы.Andrew_spb написал(а):Не поверите, но так и есть...
Если я сижу на коммутаторе ядра, то мне пофигу любые технические средства.Andrew_spb написал(а):Организация процесса... Технических средств ограничения доступа на основе идентификации личности полно. Вопрос, опять же, в деньгах и желании.
А фиг вы угадали - если проект новой системы будут делать перегруженные работой люди, то вполне могут появится слабые места.Andrew_spb написал(а):Это снова не про АНБ )))
Не поверю.Andrew_spb написал(а):Это все прекрасно работает, уж поверьте, насмотрелся...
Незаменимых нет. А вот дорогие в замене (или даже золотые) - есть.Andrew_spb написал(а):Незаменимых людей нет!
Нет. Вы опять свою ситуацию распространяете на всех. Тот же администратор БД доступа к системе вообще не имеет, за исключением каталогов необходимых для функционирования БД. Это реальность.Supremum написал(а):И все они при этом системные администраторы.
Что за зверь?Если я сижу на коммутаторе ядра, то мне пофигу любые технические средства.
Это, опять же, больше финансовый и организационный вопрос.А фиг вы угадали - если проект новой системы будут делать перегруженные работой люди, то вполне могут появится слабые места.
А зря. Знакомый, около 40 серверов на VSphere и ничего, как-то все работает, кстати, тоже банк.Не поверю.
Это, опять же, для малого и среднего бизнеса, да и то, увольняют и увольнять будут...Незаменимых нет. А вот дорогие в замене (или даже золотые) - есть.
Я привёл общее определение. ГлМожет вам скан моих обязанностей предоставить Хохочу Хохочу Хохочу
Таки 100>> 11 Не говоря,что причём тут аналитики, сокращают сис.админов.Одну SQL базу одной московской фирмы обслуживало 4 аналитика, 2 программиста и иногда подтягивали смену из 5 админов, итого имеем 11 человек, как думаете 1 пусть большая база этой фирмы больше хотя бы одной из баз АНБ? Вы думаете аналитики и админы АНБ работают только с 1-й базой Да уж.. А вы тут как попка дурак про 100 человек заладили. Нехорошо
Так 100 человек ,а не 9.Там АНБ, а не моя кантора.
Так 100 человек, а не 9.Там АНБ!