- 论坛徽章:
- 0
|
Top 7 Things System Administrators Forget to Do
by Tom Adelstein
http://blog.chinaunix.net/u1/35100/showart_295316.html
1. 忘记删除前(雇员)用户的账号(Forgetting to Delete a Former User's Account)
当IBM, Novell和HP要在同一个城市,差不多同一个星期(分别)举办专题研讨会时候,你就会清楚为什么你需要他们的身份管理系统了. 有一些Fortune 50中的公司忘记删除(他们)以前(雇员)用户的账号长达5年之久. 这些前雇员的账号仍存在于人力资源和工资名单的数据库中, 存在于(公司)计算机的目录中或存在于SID, SAM和AD的地址薄中. 一些销售商(在兜售自己的产品时)会说,你没有足够多的系统管理员,你永远也不会有足够多的管理员,所以你需要Tivoli, eDirectory或OpenView. 谁才真正知道一个公司是否有足够多的系统管理员呢?在我的调查中, 系统管理员会抱怨他们的工作量,抱怨没有时间写工作计划,他们需要对自己工作列一个优先级.我问过一些人是否他们有一个任务列表,但是很少有人有这样的列表.被调查的大约90%的工程师是根据他们头脑中的日常安排来进行工作的.我认为这是健忘(的表现).
没有一个列表,我是很少去杂货店的,因为我可记不起来我到底需要什么. 我会忘记洗涤清洁剂或其他商品比如维生素. 如果我连杂货店列表上的15样商品都不能记住, 我怎么能期望自己能够记住自己在工作中需要做什么事情呢?没有一个列表,我的生活和工作会很糟糕.
当一个用户离开后,我们需要关闭这扇门(ypxing注:指删除该用户的账号).我们需要遵循一个清单和一种方法来确定谁离开了. 你可不能认为让离开了的前雇员的账号继续有效是正当的. 需要记住的还包括要禁止掉这个用户的密码. 我喜欢保留这个用户的目录, 因为其他人会取代他的位置的.我一般会把这个目录转移的别的地方并对它重新命名. 我们通常希望保持这些以前用户的目录内容原封不动.
依赖于你们单位的IT策略, 你应该生成一个需要采取的行动列表.记住,你需要做的远远不止是仅仅改变一个用户的密码.如果这个用户曾经有超级用户的权限,你可能需要查找任何从 trojan系统代码到陌生的内核模块等(值得怀疑的)东西. 记住这些,我们就可以讨论Rootkit了.
2. 忘记定期搜索Rootkit (Forgetting to Regularly Search for Rootkits)
Rootkit允许一个未被授权的用户可以获得超级用户或域管理员的权限.这个软件还可以让入侵者隐藏他的踪迹,偷取或删除系统中的文件等等. Rootkit可以让某个人保持访问被黑计算机的权限.一个程序员可以为任何类型的操作系统写出一个rootkit.如果你读到关于一些公司丢失了 40,000个客户文件(这样的报道), 你会发现这经常会归咎于一个rootkit.
用户级别的rootkit比较容易检测和清除.在这个级别,该软件会用一个修改过的程序来取代一个或多个合法用户的程序.在类Unix的系统或较新的专有操作系统上,如果你相信你的内核(没有被黑)的话,你是可以检测出这个级别的rootkit的.使用像AIDE和Tripwire这样的程序能够检测出这种rootkit.
内核级别的rootkit比较难发现,因为你不能信任你的内核,它里面有rootkit存在.我们看到过内核级别的rootkit删除log来隐藏入侵者的踪迹并取代系统调用.内核级别的rootkit可以在Linux中以Linux Kernel Module (LKM)的方式,在Windows服务器中以service的形式存在.最近,我发现一个流氓服务运行在(我的)一个测试环境中的一台Windows 2003 R2服务器上.Afhrm和Synapsis则是LKM的例子.早期的Windows内核模式的Trojan包括Slanret, IERK和Backdoor-AL.
既然你不能信任该机器的内核, 安全专家会在另一台未收感染的机器上安装包探测器(packet sniffer). 专家会查看发送到或发送自被怀疑感染rootkit的机器的那些包. 另外一种检测内核级别rootkit的方法是用一个live CD启动机器.这个live CD有一个你可以信赖的内核, 它可以使你来检查这些驱动器.
通过对文件的完整性进行检查和查看机器的变化来监视你的系统.新安装一个OS镜像或添加新的软件后,制作一个印记(fingerprint).一个印记使用密码学算法来把一个文件中的数据进行哈希(hash). 一旦有了这个哈希值,你就可以把(以前)存起来的哈希值来跟运行中的哈希值进行比较. 这样你就可以检测出变化,来看看是否有人将一个流氓程序放到了你的系统中.
3. 忘记使用问题跟踪系统(Forgetting to Use a Trouble Ticket Tracking System)
你知道有一个针对问题跟踪系统(trouble ticketing system)的RFC吗? RFC 1297, NOC Internal Integrated Trouble Ticket System Functional Specification Wish List是一个互联网工程任务组(Internet Engineering Task Force)的规范.这个RFC的作者将问题跟踪类比成病人在医院的病历. 这两者都定义了一个问题并帮助在不同时间为之工作的人们进行协作以给出解决方案.
开始的时候, 一个内部客户生成一个ticket, 该ticket被送到一个支持系统(support system). 这个ticket确定了一个问题并帮助决定解决该问题所需要的技能和专家. 在得到这个ticket的人解决了这个问题之前,这个ticket都是处于开启(open)状态的.
一个问题跟踪或问题报告记录了专家们(为解决一个问题)而采取的行动,并向状况管理者(case manager)报告解决该问题的进度.在追溯问题跟踪系统的起源时, 我发现它起源于制造业使用的纸质的报告系统.今天,几乎所有的问题跟踪系统都是基于web的应用程序的了. 忘记使用问题跟踪系统会引起我下面要讲到的各种问题.
4. 忘记建立技术报告和生成知识库(Forgetting to Set Up Technical Documentation and Creating a Knowledge Base)
二月份的时候,我面试了一个Linux系统管理员的工作. 那个公司有30台Linux主机为一个共用的VoIP网络运行关键性的任务.在我要求看一下(该公司的)技术报告之前,我几乎要接收这个职位了.即将辞职的系统管理员回复我说他们有代码,(难道)还需要别的什么东西吗?在得知该公司的这种文档状况后,我告诉该公司的主管经理说不用给我这项工作的offer 了.
我惊讶于有多少次我忘记了(以前解决过的)问题的解决方案,最终不得不重新去看文档. 当你意识到你本可以把解决方案记录下来并归档的,(然而却没有这样做)这似乎很傻.相反,我们却不得不花掉双倍的时间来找到我们所需要的答案.
在2001年11月,我发现我们公司的支持部门积压了85天的工作. 支持部门只是简单的删除了在那之后的任何客户服务请求. 我把这个问题告知了我们的系统管理员和开发部门,并断言这是一种危机.我还发现我们的系统管理员有责任对我们的客服部门(的信息)进行备份. 开发部门停止了所有的开发工作,来为这次失误寻求一个快速的解决方案. 我们在Best Practical Solutions LLC发现了Request Tracker (RT)并实现了这个系统. 10天之内,我们搞清楚了我们(客服请求)列表上的所有条目,并把RT移交给了我们新雇佣的客服代理.
在向我们的问题跟踪系统寻求解决方案的时候,我们意识到即使有RT在,任何传统的知识库系统也帮不上我们公司什么忙. 我们那时也负担不起让那些训练有素的作者来写出(任何)我们需要的东西. 当时,Practical Solutions还没有推出他们的RTFM知识管理系统.
我们的解决方案涉及自动在已完结的问题"病历"(trouble tickets)和一个基于web的FAQ软件系统之间建立一座桥梁. 在经过我们的客户服务危机之后,我们再也不允许(任何)一个技术问题被忽视了.
5. 忘记了闪存驱动器的威胁(Forgetting the Risks of Flash Memory Drives)
USB闪存驱动器可以用来向同事或遥远的客户办公室传送较大的文件,也可以访问数据而无须担心兼容性.你可以把工作带到家里或者带着数据出差而不用带着笔记本. 不像CD-R, 你可以在闪存上直接编辑文档或数据. 你也可以备份文件.
但是,闪存驱动器也可以是系统管理员最糟糕的噩梦. 病毒可以被从家里带到单位, 雇员可以将公司的软件包拷贝到家里,或者最糟的是,闪存也可以用来进行商业间谍活动(比如, 那些诸如贸易机密或客户列表等敏感的数据被窃取).
一项对英国公司的IT经理进行的民意测验显示:
* 84%的企业没有相应的安全措施来阻止雇员在公司的网络上使用可移除的媒质.
* 半数的应答者认为雇员们让公司的关键数据经受着毫无必要的风险.
* 五分之二的人承认他们不知道是否那些可移除的媒质被用来盗取公司的敏感信息了.
* 85%的公司承认他们的雇员在公司可以使用可移除数据设备把数据在办公室和家里之间来回传输.
6. 忘记管理不完全的超级用户访问(Forgetting to Manage Partial Root Access)
许多管理员认为在类Unix系统中使用的sudo或在Windows中使用的"run as"是一种灵丹妙药,可以帮助非管理员用户在没有得到全部的超级用户权限的时候可以行使一些系统(管理)职责.尽管sudo可以使得你在不泄漏超级用户密码的前提下派发出受限的超级用户访问权限,但是它只是在所有的sudo使用者都是完全可以信赖的前提下才是一个有用的方法.随着一个组织在规模上不断增长,管理员经常忘记谁拥有受限的超级用户访问权限. 人事,管理以及用户的变化和资源缺乏可能会使普通的用户拥有访问冒险程序的权限.因此,在一个动态的商业环境中,你承担不起对sudo用户组失去控制的责任. 这个问题的解决方案涉及对sudo用户的集中管理.
7. 忘记谦虚(Forgetting Courtesy)
我惊讶于这种事情发生了多少次. 一个月前,我们办公室一个年轻的女同志(young lady)试着搬一个较大的会议桌.CTO和我试图去帮助她,也失败了.这个桌子对我们来说太重了,搬不动.CTO环顾四周,然后让两个IT支持(IT guys)来帮忙.你可能会认为他们会能为有一个取悦老板的机会而高兴的跳起来.(但是)这两个IT支持仅仅给了我们一个Mohamed Ali式的表情.那个年轻女同志和我同时说到"别求他们".
刚刚加入公司的时候,我还不大相信听到的类似的故事.闹事者(ypxing注:应该指上面两个IT guys)还是惹到我身上来了,我去问我的顶头上司是否当有人向IT部门的支持人员求助的时候,他们确实会投来"邪恶"的目光.他告诉了我肯定的答案,并反问到"难道不是所有的IT支持都是这样吗"
我理解我们繁忙的管理员展现出的这种刻薄的态度. 我周末熬过很多次夜. 不过幸运的是,我已被灌输了人们需要微笑和可以提供帮助的态度,而无论我睡了几个小时. 谦虚和diplomacy已经成为我的工作道德规范.
现在,我在闹事者的一边了(ypxing注:作者也是一个系统管理员).所以,我为技术支持人员写了一份通用的工作描述.我把这份描述放在了 Monster 和Dice的工作公告栏上.然后,我把它给了我的老板,并确保老板把它读了一遍.不久以后,我就看到(IT支持部门办公室的)门关上了,又听到了一些类似机器部件撞击墙壁的声音(ypxing注:老板发火了).那两个IT支持从他们的办公室出来了,看起来要来找我算账.(但是)他们去了数据中心,一个星期没有出来.当他们从数据中心出来的时候,有趣的事情发生了;他们平静下来了,两个绅士都道了歉.他们变成了谦虚的典范.
如果你想从管理部门得到支持,记住今天你得罪的用户(明天)很可能会成为董事会的一员.先不管这种可能性,系统管理员应该永远记住你们的客户都是(公司)内部人员,如果你想保住你的工作,对你的客户好一点.
[ 本帖最后由 ypxing 于 2007-5-10 20:36 编辑 ] |
|
免费注册
发表于 2007-05-10 19:06
