DNS
Чего-то всё не айтишные посты, да? Попробуем разбавить.
Внутренний домен и внешняя зона DNS. Делать разными или одинаковыми? Не, понятно, внешних зон может быть много (как и внутри доменов), скорее вопрос, делать ли вообще такую же зону как ваш внутренний домен. У нас вот они одинаковые и до некоторого времени я думала, что мы долбоёбы, никогда-никогда так не делайте. А сейчас вроде как и норм.
Вообще, о чём это мы. Ну типа есть вот у вас внутри организации mydomain.ru, вы это вводите, когда впихиваете комп в домен. И извне организации сайт висит на mydomain.ru. Ну, ясно, внутри там все внутренние ресурсы - компы, внутренние порталы - с этим окончанием, а извне висит ещё какой-нить vpn.mydomain.ru, mail.mydomain.ru и т.д. Это вот вообще разные зоны, внутренняя у вас на DNS-серверах (в частности, на контроллерах домена), а внешняя, допустим, у хостинг-провайдера.
Что получаем: изнутри при запросах на *.mydomain.ru проверяется внутренняя зона и если запись не найдена возвращается вполне валидный ответ, что "не найдено". Тип запросили вы mail.mydomain.ru, а вам болт - нет такого. Хотя во внешней зоне он есть. Но запрос туда не пойдёт. Даже если форварды есть не пойдёт, потому что зона то вот она и её ДНС проверил уже.
Другой момент: захотели вы на сайт зайти изнутри сети, ввели mydomain.ru, а вам ответил рандомный контроллер домена вместо сайта. Снова болт.
То есть, хотим попадать на внешку - сидим и дублируем записи у себя (кроме собственно mydomain.ru - КД не подвинешь). На сайт придется по алиасу типа www ходить.
С другой стороны, сейчас у нас хорошие каналы, хорошая связанность и нам удобнее отдавать изнутри ресурсы по внутреннему адресу. Во внешней зоне белый адрес, во внутренней на это же имя серый - тоже, знаете ли, удобно. Можно зашить один и тот же адрес в клиента видеоконференций или в почтового клиента и раздавать всем - работать будет внутри по внутренним каналам, извне - через инет.
Я вообще могла и упустить какое-то очевидное решение. Если таке есть - поделитесь :) ну и как лучше тоже делитесь)
Чего-то всё не айтишные посты, да? Попробуем разбавить.
Внутренний домен и внешняя зона DNS. Делать разными или одинаковыми? Не, понятно, внешних зон может быть много (как и внутри доменов), скорее вопрос, делать ли вообще такую же зону как ваш внутренний домен. У нас вот они одинаковые и до некоторого времени я думала, что мы долбоёбы, никогда-никогда так не делайте. А сейчас вроде как и норм.
Вообще, о чём это мы. Ну типа есть вот у вас внутри организации mydomain.ru, вы это вводите, когда впихиваете комп в домен. И извне организации сайт висит на mydomain.ru. Ну, ясно, внутри там все внутренние ресурсы - компы, внутренние порталы - с этим окончанием, а извне висит ещё какой-нить vpn.mydomain.ru, mail.mydomain.ru и т.д. Это вот вообще разные зоны, внутренняя у вас на DNS-серверах (в частности, на контроллерах домена), а внешняя, допустим, у хостинг-провайдера.
Что получаем: изнутри при запросах на *.mydomain.ru проверяется внутренняя зона и если запись не найдена возвращается вполне валидный ответ, что "не найдено". Тип запросили вы mail.mydomain.ru, а вам болт - нет такого. Хотя во внешней зоне он есть. Но запрос туда не пойдёт. Даже если форварды есть не пойдёт, потому что зона то вот она и её ДНС проверил уже.
Другой момент: захотели вы на сайт зайти изнутри сети, ввели mydomain.ru, а вам ответил рандомный контроллер домена вместо сайта. Снова болт.
То есть, хотим попадать на внешку - сидим и дублируем записи у себя (кроме собственно mydomain.ru - КД не подвинешь). На сайт придется по алиасу типа www ходить.
С другой стороны, сейчас у нас хорошие каналы, хорошая связанность и нам удобнее отдавать изнутри ресурсы по внутреннему адресу. Во внешней зоне белый адрес, во внутренней на это же имя серый - тоже, знаете ли, удобно. Можно зашить один и тот же адрес в клиента видеоконференций или в почтового клиента и раздавать всем - работать будет внутри по внутренним каналам, извне - через инет.
Я вообще могла и упустить какое-то очевидное решение. Если таке есть - поделитесь :) ну и как лучше тоже делитесь)
Первая самостоятельная установка винды на сервер
Когда-то, уже спустя некоторое время моей работы, мне дали сервер, сказали всё с него снести, вставить новые диски, собрать рейд и поставить новую винду. Кажется, мы хотели затестить только вышедшый 2012 сервер. Вообще, установку мне раньше показывали на 2008 сервере и ничем особенным от обычного далее-далее-готово она не отличалась.
По времени особо не ограничили, я занималась эникейством а в остальное время ковырялась то с сетью, то с АД, то вот с такими заданиями.
Тогда ещё я не знала про IPMI и притащила сервер в кабинет жужжать всем на уши. Вначале надо было собрать рейд и я постоянно не успевала прочесть и нажать нужную комбинацию, чтоб провалиться в конфигурилку. Спустя штук 6 ребутов я туда попала, благо чтоб собрать из двух дисков зеркало там особых навыков не нужно. Потом нужно было попасть в BIOS - тут меня настигло гугление, ибо надпись я прочитать вообще не успевала. Попала, выставила загрузку с сидирома. Загрузка сказале хрен тебе, образ не видится. Тогда я полезла наобум ковырять параметры дальше. Я была упорной и на какой-то комбинации пошла загрузка установщика. Но рейд не видится, вообще диски не видятся. Сервер задумчиво сказал, что ему нужны дрова и посоветовал вставить дискету.
Полдня я искала дрова. На следующий день я даже нашла дискету. И даже флопповод. Кажется, что-то на неё записала. Коллеги устали от звука взлетающего самолёта, но мужественно терпели мои попытки справиться (спасибо им!). Кто-то посоветовал записать дрова на флешку. Я подумала, "ура, увидились диски!", но это была флешка, а я уже чуть не поставила на неё винду. Потом я полезла читать про параметры, которые ковыряла. После очередных манипуляций всё увиделось, я уже праздновала победу, но установка падала через 2 минуты.
Не знаю, в шутку или нет, кто-то посоветовал позвонить в поддержку. У нас тогда были пятилетние гарантии на сервера. Я полезла в папочку и о чудо, сервак доживал последние месяцы гарантии (не в майкрософт же звонить). Не знаю, насколько прихерели парни в саппорте производителя серверов, когда им позвонила я с заявлением, что на их сервер не ставится новый Windows Server 2012 и просьбой чем-то помочь. Но! Меня не послали нахер, вежливо расспросили про мои мытарства, спросили что там сейчас в БИОСе настроено. Потом перезвонили через полчаса, посоветовали сбросить BIOS в дефолт (я блин тогда даже не знала, что там есть такая опция). И магия! Всё вгрузилось, поставилось и заработало без всяких дров. Мне тогда в саппорте даже объяснили, что было не так.
За давностью лет уже не помню в чем именно было дело и в каких параметрах. Сейчас сплошняком виртуалки, всё проще.
Но, оглядываясь назад, спасибо коллегам, что дали время возиться с этим всем самостоятельно, искать решение, звонить в саппорт и вот это всё. А также три дня терпели звук включающегося сервера))
Потом уже я научилась подсовывать дрова, узнала про uefi, mbr и gpt, познакомилась с fake raid у intel, заодно с mdadm у линуха и всё такое. А потом всё подзабылось в связи с неиспользованием в текущей повседневной работе.
Мораль.. Это не рассказ про сервер. Это ободрение для начинающих, что все начинали. Это для начальников: надо давать самостоятельность, если хотите получить сотрудника, который ищет решения. Да, это будет долго, муторно, вам будет хотеться убить в процессе, отнять и всё сделать самому. Я, конечно, х.з. что там из меня получилось, но вроде что-то получилось.
Посты на этой и следующей неделе будут реже 🤷♀️
Когда-то, уже спустя некоторое время моей работы, мне дали сервер, сказали всё с него снести, вставить новые диски, собрать рейд и поставить новую винду. Кажется, мы хотели затестить только вышедшый 2012 сервер. Вообще, установку мне раньше показывали на 2008 сервере и ничем особенным от обычного далее-далее-готово она не отличалась.
По времени особо не ограничили, я занималась эникейством а в остальное время ковырялась то с сетью, то с АД, то вот с такими заданиями.
Тогда ещё я не знала про IPMI и притащила сервер в кабинет жужжать всем на уши. Вначале надо было собрать рейд и я постоянно не успевала прочесть и нажать нужную комбинацию, чтоб провалиться в конфигурилку. Спустя штук 6 ребутов я туда попала, благо чтоб собрать из двух дисков зеркало там особых навыков не нужно. Потом нужно было попасть в BIOS - тут меня настигло гугление, ибо надпись я прочитать вообще не успевала. Попала, выставила загрузку с сидирома. Загрузка сказале хрен тебе, образ не видится. Тогда я полезла наобум ковырять параметры дальше. Я была упорной и на какой-то комбинации пошла загрузка установщика. Но рейд не видится, вообще диски не видятся. Сервер задумчиво сказал, что ему нужны дрова и посоветовал вставить дискету.
Полдня я искала дрова. На следующий день я даже нашла дискету. И даже флопповод. Кажется, что-то на неё записала. Коллеги устали от звука взлетающего самолёта, но мужественно терпели мои попытки справиться (спасибо им!). Кто-то посоветовал записать дрова на флешку. Я подумала, "ура, увидились диски!", но это была флешка, а я уже чуть не поставила на неё винду. Потом я полезла читать про параметры, которые ковыряла. После очередных манипуляций всё увиделось, я уже праздновала победу, но установка падала через 2 минуты.
Не знаю, в шутку или нет, кто-то посоветовал позвонить в поддержку. У нас тогда были пятилетние гарантии на сервера. Я полезла в папочку и о чудо, сервак доживал последние месяцы гарантии (не в майкрософт же звонить). Не знаю, насколько прихерели парни в саппорте производителя серверов, когда им позвонила я с заявлением, что на их сервер не ставится новый Windows Server 2012 и просьбой чем-то помочь. Но! Меня не послали нахер, вежливо расспросили про мои мытарства, спросили что там сейчас в БИОСе настроено. Потом перезвонили через полчаса, посоветовали сбросить BIOS в дефолт (я блин тогда даже не знала, что там есть такая опция). И магия! Всё вгрузилось, поставилось и заработало без всяких дров. Мне тогда в саппорте даже объяснили, что было не так.
За давностью лет уже не помню в чем именно было дело и в каких параметрах. Сейчас сплошняком виртуалки, всё проще.
Но, оглядываясь назад, спасибо коллегам, что дали время возиться с этим всем самостоятельно, искать решение, звонить в саппорт и вот это всё. А также три дня терпели звук включающегося сервера))
Потом уже я научилась подсовывать дрова, узнала про uefi, mbr и gpt, познакомилась с fake raid у intel, заодно с mdadm у линуха и всё такое. А потом всё подзабылось в связи с неиспользованием в текущей повседневной работе.
Мораль.. Это не рассказ про сервер. Это ободрение для начинающих, что все начинали. Это для начальников: надо давать самостоятельность, если хотите получить сотрудника, который ищет решения. Да, это будет долго, муторно, вам будет хотеться убить в процессе, отнять и всё сделать самому. Я, конечно, х.з. что там из меня получилось, но вроде что-то получилось.
Посты на этой и следующей неделе будут реже 🤷♀️
👍12
Зачем вообще на курсы ходить
Если совсем кратко - пообщаться с коллегами и задать конкретные вопросы по своим проблемам преподу.
Это как бы ИМХО (кто-то ещё помнит такое сокращение?).
Курсы - они разные. Курсы по программированию хаят все мои знакомые программисты. Курсы по сетям есть очень классные. Курсы по админству - тоже есть классные, но их меньше (чем более узкая специализация, тем лучше будут курсы скорее всего).
Онлайн курсы - это лучше приберечь для самообразования. То есть, курсы в записи и бесплатно/недорого. Курсы от учебного центра или вендора должны быть максимально оффлайн, потому что в первую очередь вам предоставляется возможность попиздеть с коллегами по отрасли на заданную тему. А также послушать кул стори от преподавателя, которые тоже можно обсудить. Все вот эти "а мы вот так делаем/не делаем" - это собственно половина того, что вам от курсов нужно, поверьте. А ещё оффлайн курсы хоть как-то вас изолируют от работы и бытовухи дома, сосредоточиться есть возможность. Иногда, можно железки пощупать всякие.
Если совсем никак без онлайна - группа должна быть до пяти человек.
Конечно, всё сильно зависит от преподавателя. Это должен быть хороший спец хотя бы с базовыми навыками общения и преподавания, что, как вы понимаете, сочетается редко. А ещё реже у такого спеца возникает это самое желание преподавать.
Я встречала, наверное, три сочетания из четырёх: так себе спец с неумением работать с аудиторией; классный спец, но полный говнюк в общении (а ещё он походу был бухой); классный спец и классный препод. Не встречала только хорошего преподавателя без нужного уровня знаний, может такие в ИТ преподавание не идут.
Лучше всего, когда вы впиливаетесь в проблему по теме на работе или ощущаете нехватку знаний, чтоб решить ваши задачи. Ну или хотя бы имеете уже опыт в той области, по которой курсы. Тогда вы узнаете что-то новое, сможете задать свои конкретные вопросы. Если вы ни бум бум в условном линуксе, не понимаете, зачем он вам и первый раз консоль увидите на курсах "линух за неделю", то эффект будет так себе.
На "пообщаться" есть, конечно, ещё конференции. Но мне, например, сложновато там заводить разговоры. А тут - вот она тема на курсах, вот вопросы "а у кого как" - гораздо проще, на мой взгляд.
Недавно муж обнаружил прикольное явление. Народ собирается слушать какие-нибудь онлайн курсы. Потом они после каждой лекции собираются в зуме и обсуждают кто что понял, как это применить, короче классические такие попизделки после курсов. При этом, есть ведущий беседы, регламент на каждого. Гениальная штука, на мой взгяд - скоро распространится повсеместно.
Если совсем кратко - пообщаться с коллегами и задать конкретные вопросы по своим проблемам преподу.
Это как бы ИМХО (кто-то ещё помнит такое сокращение?).
Курсы - они разные. Курсы по программированию хаят все мои знакомые программисты. Курсы по сетям есть очень классные. Курсы по админству - тоже есть классные, но их меньше (чем более узкая специализация, тем лучше будут курсы скорее всего).
Онлайн курсы - это лучше приберечь для самообразования. То есть, курсы в записи и бесплатно/недорого. Курсы от учебного центра или вендора должны быть максимально оффлайн, потому что в первую очередь вам предоставляется возможность попиздеть с коллегами по отрасли на заданную тему. А также послушать кул стори от преподавателя, которые тоже можно обсудить. Все вот эти "а мы вот так делаем/не делаем" - это собственно половина того, что вам от курсов нужно, поверьте. А ещё оффлайн курсы хоть как-то вас изолируют от работы и бытовухи дома, сосредоточиться есть возможность. Иногда, можно железки пощупать всякие.
Если совсем никак без онлайна - группа должна быть до пяти человек.
Конечно, всё сильно зависит от преподавателя. Это должен быть хороший спец хотя бы с базовыми навыками общения и преподавания, что, как вы понимаете, сочетается редко. А ещё реже у такого спеца возникает это самое желание преподавать.
Я встречала, наверное, три сочетания из четырёх: так себе спец с неумением работать с аудиторией; классный спец, но полный говнюк в общении (а ещё он походу был бухой); классный спец и классный препод. Не встречала только хорошего преподавателя без нужного уровня знаний, может такие в ИТ преподавание не идут.
Лучше всего, когда вы впиливаетесь в проблему по теме на работе или ощущаете нехватку знаний, чтоб решить ваши задачи. Ну или хотя бы имеете уже опыт в той области, по которой курсы. Тогда вы узнаете что-то новое, сможете задать свои конкретные вопросы. Если вы ни бум бум в условном линуксе, не понимаете, зачем он вам и первый раз консоль увидите на курсах "линух за неделю", то эффект будет так себе.
На "пообщаться" есть, конечно, ещё конференции. Но мне, например, сложновато там заводить разговоры. А тут - вот она тема на курсах, вот вопросы "а у кого как" - гораздо проще, на мой взгляд.
Недавно муж обнаружил прикольное явление. Народ собирается слушать какие-нибудь онлайн курсы. Потом они после каждой лекции собираются в зуме и обсуждают кто что понял, как это применить, короче классические такие попизделки после курсов. При этом, есть ведущий беседы, регламент на каждого. Гениальная штука, на мой взгяд - скоро распространится повсеместно.
👍5
Проверка на корректность ввода или когда горит пукан
Как только мы стали писать лабы в универе, нам стали иметь мозг на тему проверки корректности ввода. Если хоть какой-то намёк на клиентскую часть, будь любезен проверяй вводимые данные, чтоб в поле "число один" нельзя было ввести "abc;-", чтоб в номер порта нельзя было вписать 70000, а в ip 256.256.256.256. Чтоб твой делитель не равнялся нулю, а "положительное целое" не равнялось "-73,8". Пробельные символы, ведущие нули и ограничения переменных, концы строк в разных системах, всякое там было.
Если не обрабатываешь интеллектуально, то хоть лови эксепшн на присвоении переменной.
Нам имели этим мозг с удовольствием и выдумкой, каждый, сцука раз, при каждой сдаче лабы или курсовой. Так часто, что обрабатывать вводимые пользователем данные вошло в некую привычку. И знаете что, спасибо им! Может где-то тогда прибыло нормальных программеров. Потому что сейчас я работаю с продуктами, которые писали программисты, которым так мозг не имели и плАчу, бля.
Ну знаете, это программирование мышкой из блоков. То бишь, админка одной штуки, где можно делать сценарии, накидывая компоненты и рисуя стрелочки. Не важно чего и зачем, это к делу не относится. Важно то, что смотреть исходный код этого сценария не предполагается. И вот оно при сохранении выдает ошибку "line 656 символ новой строки в константе" и "line 782 error ожидалось }"
А у тебя на экране блоки-квадратики и в них ни одной константы, огонь, да? Оказывеется, есть блок, где не должно быть переводов строк. Знаете, какое там поле для ввода? Правильно, многострочное. Мать его, multiline.
Как я это дебажила? Меня за это тоже можно сжечь: я добавляла блок комментария между двумя блоками и смотрела, изменился ли номер строчки ошибки. Если нет - ошибка в блоках раньше. Если да - ошибка в блоках после. Потому что кнопка сохранить-и-скомпилировать, простите, одна. Файл с кодом даже в temp нельзя посмотреть.
И это у меня есть минимальный опыт программирования в институте, я понимаю, что последняя ошибка со скобокой к делу не относится, представляю мысленно как выглядит код и всё такое. А эта админка позиционируется как простая среда для деланья сценариев, "вам не нужен для этого админ, можно самим сотрудникам таскать мышкой квадратики".
В недрах вики этой системы (спасибо что хоть там есть) написано, что определенный параметр может быть условно от 0 до 99. Знаете, что туда можно поставить? Правильно, 200 можно, 65000 тоже можно. Там поле с кнопочками вверх-вниз и можно жать на кнопочки бесконечно. Оно просто упадёт в рантайме, если ему не понравится значение.
Штука может возвращать значение. Знаете что там можно выбрать? Любой заведенный вами объект: хоть строку, хоть число, хоть дату. А знаете, что со значением будет? Оно будет приводится к uint32 перед возвращением. Где это написано? Да нигде, догадайся сам бля.
А ещё программистам не рассказывали про tab индексы. Но это я уже хочу лакшери админку видимо.
Простите, горит 😤
Как только мы стали писать лабы в универе, нам стали иметь мозг на тему проверки корректности ввода. Если хоть какой-то намёк на клиентскую часть, будь любезен проверяй вводимые данные, чтоб в поле "число один" нельзя было ввести "abc;-", чтоб в номер порта нельзя было вписать 70000, а в ip 256.256.256.256. Чтоб твой делитель не равнялся нулю, а "положительное целое" не равнялось "-73,8". Пробельные символы, ведущие нули и ограничения переменных, концы строк в разных системах, всякое там было.
Если не обрабатываешь интеллектуально, то хоть лови эксепшн на присвоении переменной.
Нам имели этим мозг с удовольствием и выдумкой, каждый, сцука раз, при каждой сдаче лабы или курсовой. Так часто, что обрабатывать вводимые пользователем данные вошло в некую привычку. И знаете что, спасибо им! Может где-то тогда прибыло нормальных программеров. Потому что сейчас я работаю с продуктами, которые писали программисты, которым так мозг не имели и плАчу, бля.
Ну знаете, это программирование мышкой из блоков. То бишь, админка одной штуки, где можно делать сценарии, накидывая компоненты и рисуя стрелочки. Не важно чего и зачем, это к делу не относится. Важно то, что смотреть исходный код этого сценария не предполагается. И вот оно при сохранении выдает ошибку "line 656 символ новой строки в константе" и "line 782 error ожидалось }"
А у тебя на экране блоки-квадратики и в них ни одной константы, огонь, да? Оказывеется, есть блок, где не должно быть переводов строк. Знаете, какое там поле для ввода? Правильно, многострочное. Мать его, multiline.
Как я это дебажила? Меня за это тоже можно сжечь: я добавляла блок комментария между двумя блоками и смотрела, изменился ли номер строчки ошибки. Если нет - ошибка в блоках раньше. Если да - ошибка в блоках после. Потому что кнопка сохранить-и-скомпилировать, простите, одна. Файл с кодом даже в temp нельзя посмотреть.
И это у меня есть минимальный опыт программирования в институте, я понимаю, что последняя ошибка со скобокой к делу не относится, представляю мысленно как выглядит код и всё такое. А эта админка позиционируется как простая среда для деланья сценариев, "вам не нужен для этого админ, можно самим сотрудникам таскать мышкой квадратики".
В недрах вики этой системы (спасибо что хоть там есть) написано, что определенный параметр может быть условно от 0 до 99. Знаете, что туда можно поставить? Правильно, 200 можно, 65000 тоже можно. Там поле с кнопочками вверх-вниз и можно жать на кнопочки бесконечно. Оно просто упадёт в рантайме, если ему не понравится значение.
Штука может возвращать значение. Знаете что там можно выбрать? Любой заведенный вами объект: хоть строку, хоть число, хоть дату. А знаете, что со значением будет? Оно будет приводится к uint32 перед возвращением. Где это написано? Да нигде, догадайся сам бля.
А ещё программистам не рассказывали про tab индексы. Но это я уже хочу лакшери админку видимо.
Простите, горит 😤
👍4
Как перестать быть эникеем и начать админить
Как вы, наверное, догадываетесь, путь у всех разный. Я опишу свой опыт и такой же опыт у пары-тройки моих знакомых.
Для создания идеальных условий вам нужно устроиться эникеем в контору средних размеров. Почему так? У крупняка всё зарегламентировано во всех направлениях и также от души зарезаны права у саппорта первой линии.
А в маленькой конторе у вас не будет ресурсов и не будет объёмов, на которых вы почувствуете результат. Нет лицензий, нет железа, чтоб отщипнуть виртуалку. Да даже какие лицензии, вы компы будете собирать сотрудникам из говна и палок, а для тестов ничего забрать не дадут. Да и зачем домен на пять человек? Что вам дадут политики на три компа и один сервер? Ну и т.д.
С другой стороны, у крупняка обычно есть курсы повышения квалификации внутри конторы, наставничество и т.д. это другой путь, ничего про него сказать не могу.
После испытательного срока прислушайтесь к своим ощущениям. Чувствуете, что у вас это действие двадцатый раз за три дня и вызывает попоболь? Решите вопрос. Может скрипт будет работать по нажатию, может быть вы оформите инструкцию для пользователей, чтоб они сами решали вопрос. Может, вы измените алгоритмы работы и т.д. С "20 раз" это условно, просто решите какую-нибудь боль отдела ИТ. Как вариант, спросите у админов, что вызывает боль у них, но руки не доходят.
Примеры из жизни:
1) у нас что-то разросся парк серверов, было 10, а стало 50. И теперь регулярно где-то кончается место и что-то встаёт колом. Задача от админов: "Наташкин, а забацай нам какой-нить мониторинг". (Про это в следующей серии)
2) сама заколебалась рассылать разные инструкции, которые лежат в четырех разных местах. Запрос от меня: "справочная система на всю компанию"
3) Сдача отчетности 3-информ. Заколебались считать почти вручную компы и юзеров. Задача: "забацать автоматизацию и записать в справку, чтоб через год вспомнить" (тут Наташка узнала про powershell)
4) Заколебало мёрзнуть в серверной переустанавливая ось. Задача: "организовать удалёнку для всего". (Тут Наташка узнала про IPMI и ILO)
5) задолбало вручную ставить софт на каждый комп. Задача: "сделать автоматическую установку софта в зависимости от чего-то, например, от группы". (тут Наташка узнала сначала про групповые политики, а потом и про SCCM)
6) задача: завести 60 новых пользователей и заполнить на них инфу, присоединяем филиал. Задача от меня: "ну не вручную же, написать скрипт импорта из csv".
И так уровень за уровнем. Появится опыт, пойдут задачи чуть сложнее, будете видеть больше вариантов решения.
Посложнее примеры:
1) Заколебало смотреть логи безопасности на пяти контроллерах домена. Задача: "сливать логи безопасности в одно место, где можно поиском пользоваться"
2) У отдаленного офиса лимитный трафик. Он влетел на сотку косарей. Задача от руководства: "сначала по тихому узнать, кто такой умный фильмы качает на работе, потом зарезать трафик всем".
Весь вопрос в преодолении первого порога, потом будет проще. Обычно, задача звучит довольно расплывчато и с чего начать вы не знаете. Потому что если админ начнет сам искать информацию и вам расписывать задачу по действиям, то он и сам это сделает, пока рассказывает. В лучшем случае будет посыл "в какую сторону копать". Это не касается срочных задач, а как раз вот таких хотелок из разряда "болит, но мы и так работаем".
Мне тут сказали, что вот это вот "начни решать задачу, к которой не знаешь как подступиться" - это сложная штука и надо помогать такое преодолеть, бить на подзадачи для своих сотрудников. Я пока метод сопровождения в таком первом шаге не пробовала, когда опробую - отпишу.
Как вы, наверное, догадываетесь, путь у всех разный. Я опишу свой опыт и такой же опыт у пары-тройки моих знакомых.
Для создания идеальных условий вам нужно устроиться эникеем в контору средних размеров. Почему так? У крупняка всё зарегламентировано во всех направлениях и также от души зарезаны права у саппорта первой линии.
А в маленькой конторе у вас не будет ресурсов и не будет объёмов, на которых вы почувствуете результат. Нет лицензий, нет железа, чтоб отщипнуть виртуалку. Да даже какие лицензии, вы компы будете собирать сотрудникам из говна и палок, а для тестов ничего забрать не дадут. Да и зачем домен на пять человек? Что вам дадут политики на три компа и один сервер? Ну и т.д.
С другой стороны, у крупняка обычно есть курсы повышения квалификации внутри конторы, наставничество и т.д. это другой путь, ничего про него сказать не могу.
После испытательного срока прислушайтесь к своим ощущениям. Чувствуете, что у вас это действие двадцатый раз за три дня и вызывает попоболь? Решите вопрос. Может скрипт будет работать по нажатию, может быть вы оформите инструкцию для пользователей, чтоб они сами решали вопрос. Может, вы измените алгоритмы работы и т.д. С "20 раз" это условно, просто решите какую-нибудь боль отдела ИТ. Как вариант, спросите у админов, что вызывает боль у них, но руки не доходят.
Примеры из жизни:
1) у нас что-то разросся парк серверов, было 10, а стало 50. И теперь регулярно где-то кончается место и что-то встаёт колом. Задача от админов: "Наташкин, а забацай нам какой-нить мониторинг". (Про это в следующей серии)
2) сама заколебалась рассылать разные инструкции, которые лежат в четырех разных местах. Запрос от меня: "справочная система на всю компанию"
3) Сдача отчетности 3-информ. Заколебались считать почти вручную компы и юзеров. Задача: "забацать автоматизацию и записать в справку, чтоб через год вспомнить" (тут Наташка узнала про powershell)
4) Заколебало мёрзнуть в серверной переустанавливая ось. Задача: "организовать удалёнку для всего". (Тут Наташка узнала про IPMI и ILO)
5) задолбало вручную ставить софт на каждый комп. Задача: "сделать автоматическую установку софта в зависимости от чего-то, например, от группы". (тут Наташка узнала сначала про групповые политики, а потом и про SCCM)
6) задача: завести 60 новых пользователей и заполнить на них инфу, присоединяем филиал. Задача от меня: "ну не вручную же, написать скрипт импорта из csv".
И так уровень за уровнем. Появится опыт, пойдут задачи чуть сложнее, будете видеть больше вариантов решения.
Посложнее примеры:
1) Заколебало смотреть логи безопасности на пяти контроллерах домена. Задача: "сливать логи безопасности в одно место, где можно поиском пользоваться"
2) У отдаленного офиса лимитный трафик. Он влетел на сотку косарей. Задача от руководства: "сначала по тихому узнать, кто такой умный фильмы качает на работе, потом зарезать трафик всем".
Весь вопрос в преодолении первого порога, потом будет проще. Обычно, задача звучит довольно расплывчато и с чего начать вы не знаете. Потому что если админ начнет сам искать информацию и вам расписывать задачу по действиям, то он и сам это сделает, пока рассказывает. В лучшем случае будет посыл "в какую сторону копать". Это не касается срочных задач, а как раз вот таких хотелок из разряда "болит, но мы и так работаем".
Мне тут сказали, что вот это вот "начни решать задачу, к которой не знаешь как подступиться" - это сложная штука и надо помогать такое преодолеть, бить на подзадачи для своих сотрудников. Я пока метод сопровождения в таком первом шаге не пробовала, когда опробую - отпишу.
❤3
Сегодня оффтопик
Слёт сисадминов
Да-да, есть и такое мероприятие! В лучшие годы собирал и по 5000 человек. Сейчас, по моим прогнозам, 300-400 собирается. Кому-то заходит, кому-то нет, никого не агитирую. Народ выбирается с палатками и общается. Костёр, песни про Ленина, конкурсы всякие - эдакий мини летний лагерь для взрослых, с профессиональным уклоном.
На слёт я езжу то ли с 2009, то ли с 2011 года. Сейчас остались самые стойкие 😄 Конечно, нам уже не 17-25 лет, а 30-45. Кто-то один раз съездил в том же 2011 и считает мероприятие бесконечным бухаловом и осуждает. Многие, на самом деле, не пьют алкоголь вообще. Но и употребляющих достаточно ;) Слёт был и остаётся досточно безопасным и мирным мероприятием, а главное, очень дружелюбным.
Для меня это встреча со старыми друзьями, повод выбраться на природу, возможность пообщаться в понимающей компании))
Если вдруг кто-то едет на слёт сисадминов на поляну под Ярославлем (и захочет пообщаться) - меня можно будет найти в лагере SaturdayBSOD начиная с сегодняшнего вечера.
Слёт сисадминов
Да-да, есть и такое мероприятие! В лучшие годы собирал и по 5000 человек. Сейчас, по моим прогнозам, 300-400 собирается. Кому-то заходит, кому-то нет, никого не агитирую. Народ выбирается с палатками и общается. Костёр, песни про Ленина, конкурсы всякие - эдакий мини летний лагерь для взрослых, с профессиональным уклоном.
На слёт я езжу то ли с 2009, то ли с 2011 года. Сейчас остались самые стойкие 😄 Конечно, нам уже не 17-25 лет, а 30-45. Кто-то один раз съездил в том же 2011 и считает мероприятие бесконечным бухаловом и осуждает. Многие, на самом деле, не пьют алкоголь вообще. Но и употребляющих достаточно ;) Слёт был и остаётся досточно безопасным и мирным мероприятием, а главное, очень дружелюбным.
Для меня это встреча со старыми друзьями, повод выбраться на природу, возможность пообщаться в понимающей компании))
Если вдруг кто-то едет на слёт сисадминов на поляну под Ярославлем (и захочет пообщаться) - меня можно будет найти в лагере SaturdayBSOD начиная с сегодняшнего вечера.
👏1
Я куда-то нажал и всё починилось
Как противовес "я что-то нажала и всё сломалось"
Спустя пару-тройку лет работы вы внезапно обнаружите, что часть ситуаций выглядит со стороны действительно странно. Вы пришли, увидели незнакомый софт, выяснили что нужно от него добиться, куда-то рандомно потыкали и всё заработало как надо. Всё дело в том, что у вас накопится опыт использования ИТ систем. Все они построены по схожим принципам. Их делали люди, которые были воспитаны на других схожих системах. Всех их учили на одинаковых алгоритмах.
Когда вы прочитаете подробный мануал к админке системы документооборота, к системе колл-центра, к отчетности в надзорные органы, найдете пару фич в excel, поковыряете в разных BIOS'ах, поднимите dhcp на линухе, винде и всех доступных сетевых железках, настроите apache и nginx, mysql и mssql, поставите три десятка разных клиентов к разным программам - у вас проснётся особая интуиция. Вы будете рассуждать примерно так "ну оно точно должно уметь вот так делать, хм, я бы закинул это вот в эту менюшку". Зеленое можно, красное нельзя, синее - инфо. В .conf можно что-то поправить. Потом надо будет перезапуститься, чтоб перечитать конфиг. Какой экспорт, такой и импорт. Несколько версий могут конфликтовать. Набери "?" и получишь подсказку. На кнопках написано, что они делают. И т.д.
Дополнительный бонус даёт то, что вы умеете читать надписи и подсказки.
Также вы начнете узнавать проблемы по косвенным признакам. Ведь большинство проблем пользователей будет сводиться к нескольким: нет прав, нет маршрутов, firewall, кодировка, драйвера и т.д
Короче, после расковыривания нескольких систем, особенно после попытки их допиливания или нетрадиционного использования, вам будут понятны принципы и законы логики на которых оно строится (вообще ещё в институте такое рассказывают, ага).
Такая же ситуация, кстати, с инженерными системами (там законы физики). Например, подумайте, легко ли вам было в первый раз понять как открыть крышку и правильно достать зажеванную бумагу у принтера? А после десятой модели принтера на одиннадцатой?
Как противовес "я что-то нажала и всё сломалось"
Спустя пару-тройку лет работы вы внезапно обнаружите, что часть ситуаций выглядит со стороны действительно странно. Вы пришли, увидели незнакомый софт, выяснили что нужно от него добиться, куда-то рандомно потыкали и всё заработало как надо. Всё дело в том, что у вас накопится опыт использования ИТ систем. Все они построены по схожим принципам. Их делали люди, которые были воспитаны на других схожих системах. Всех их учили на одинаковых алгоритмах.
Когда вы прочитаете подробный мануал к админке системы документооборота, к системе колл-центра, к отчетности в надзорные органы, найдете пару фич в excel, поковыряете в разных BIOS'ах, поднимите dhcp на линухе, винде и всех доступных сетевых железках, настроите apache и nginx, mysql и mssql, поставите три десятка разных клиентов к разным программам - у вас проснётся особая интуиция. Вы будете рассуждать примерно так "ну оно точно должно уметь вот так делать, хм, я бы закинул это вот в эту менюшку". Зеленое можно, красное нельзя, синее - инфо. В .conf можно что-то поправить. Потом надо будет перезапуститься, чтоб перечитать конфиг. Какой экспорт, такой и импорт. Несколько версий могут конфликтовать. Набери "?" и получишь подсказку. На кнопках написано, что они делают. И т.д.
Дополнительный бонус даёт то, что вы умеете читать надписи и подсказки.
Также вы начнете узнавать проблемы по косвенным признакам. Ведь большинство проблем пользователей будет сводиться к нескольким: нет прав, нет маршрутов, firewall, кодировка, драйвера и т.д
Короче, после расковыривания нескольких систем, особенно после попытки их допиливания или нетрадиционного использования, вам будут понятны принципы и законы логики на которых оно строится (вообще ещё в институте такое рассказывают, ага).
Такая же ситуация, кстати, с инженерными системами (там законы физики). Например, подумайте, легко ли вам было в первый раз понять как открыть крышку и правильно достать зажеванную бумагу у принтера? А после десятой модели принтера на одиннадцатой?
👍5❤2
Заббикс в первый раз
Итак, поступило задание "сваргань нам какой-нить мониторинг". Всё, что я на тот момент слышала про мониторинг, умещалось в фразу "опять заббикс хрень шлёт", услышанную краем уха в универе. Я сочла это отличным знаком: значит я знаю минимум про одну систему мониторинга "заббикс", у кого-то она стоит и что-то шлёт, уже неплохо.
Всё же я провела небольшое исследование на предмет, что бывает. Год был 2012 или начало 2013, нашла я тогда помимо заббикса ещё одну, что ли систему (или две). Всё оно умело что-то мониторить, конкретных требований у нас не было. Соответственно, изучались не системы, а мануал по установке: что мне на первый взгляд понятнее в установке и первичной настройке (нужно было хотя бы половину знакомых слов найти). Ну и zabbix тогда победил с большим отрывом.
Надо сказать, что сейчас, последние года, наверное, три, сильно улучшилась ситуация с инструкциями по установке (и это не считая того, что нынче всё пихают в контейнеры). Навскидку, я ставила ELK, свежий zabbix, gitea - всё прошло по штатной инструкции и в каком-то виде заработало.
Десять лет назад ситуация выглядела так, что в инструкции пропущена половина пунктов (это очевидно, догадайся сам, ты ж админ), порядок установки пакетов оказывается важен (а в инструкции другой), всё это написано не под вашу версию debian (а в вашей шаги другие, нужен другой репозиторий и вообще нужной версии пакета нет и не предвидится), потом оно отказывается работать с вашей БД. И падает веб-морда. А чтоб отправлялась почта нужно закопаться в настройки exim4 (как я удивилась, что в очередной версии стало достаточно прописать сервер и порт в веб-морде).
Я допускаю, что сказывалось отсутствие опыта, но тест на джунах показал, что сейчас реально стало лучше.
Ну так вот, ставила я его до момента "что-то работает" больше недели, кажется. Три раза переставляла debian, чтоб добиться чистого эксперимента, почему что-то не так. Потом ещё дня три увлечённо копалась в настройках уведомлений.
Ну и ничего, заработало, при нужных настройках даже не часто слал хрень.
Потом, через пару лет, сильно выросло количество узлов под мониторингом, перестала справляться БД, да и сам заббикс стал стабильно падать. Пришлось подкручивать конфиг заббикса, конфиг БД. Ещё были поиски snmp-mibs под d-link dfl и всякие мелкие модификации, которыми обрастал сервер.
Сейчас вот спамит в телеграм уже, почтовые уведомления отмирают.
К чему я это. Если в инструкции всё выглядит как хоп-хоп и готово, а у вас ничего не работает - это нормальная ситуация, не переживайте.
Конечно, свои инструкции старайтесь писать лучше 😉
Итак, поступило задание "сваргань нам какой-нить мониторинг". Всё, что я на тот момент слышала про мониторинг, умещалось в фразу "опять заббикс хрень шлёт", услышанную краем уха в универе. Я сочла это отличным знаком: значит я знаю минимум про одну систему мониторинга "заббикс", у кого-то она стоит и что-то шлёт, уже неплохо.
Всё же я провела небольшое исследование на предмет, что бывает. Год был 2012 или начало 2013, нашла я тогда помимо заббикса ещё одну, что ли систему (или две). Всё оно умело что-то мониторить, конкретных требований у нас не было. Соответственно, изучались не системы, а мануал по установке: что мне на первый взгляд понятнее в установке и первичной настройке (нужно было хотя бы половину знакомых слов найти). Ну и zabbix тогда победил с большим отрывом.
Надо сказать, что сейчас, последние года, наверное, три, сильно улучшилась ситуация с инструкциями по установке (и это не считая того, что нынче всё пихают в контейнеры). Навскидку, я ставила ELK, свежий zabbix, gitea - всё прошло по штатной инструкции и в каком-то виде заработало.
Десять лет назад ситуация выглядела так, что в инструкции пропущена половина пунктов (это очевидно, догадайся сам, ты ж админ), порядок установки пакетов оказывается важен (а в инструкции другой), всё это написано не под вашу версию debian (а в вашей шаги другие, нужен другой репозиторий и вообще нужной версии пакета нет и не предвидится), потом оно отказывается работать с вашей БД. И падает веб-морда. А чтоб отправлялась почта нужно закопаться в настройки exim4 (как я удивилась, что в очередной версии стало достаточно прописать сервер и порт в веб-морде).
Я допускаю, что сказывалось отсутствие опыта, но тест на джунах показал, что сейчас реально стало лучше.
Ну так вот, ставила я его до момента "что-то работает" больше недели, кажется. Три раза переставляла debian, чтоб добиться чистого эксперимента, почему что-то не так. Потом ещё дня три увлечённо копалась в настройках уведомлений.
Ну и ничего, заработало, при нужных настройках даже не часто слал хрень.
Потом, через пару лет, сильно выросло количество узлов под мониторингом, перестала справляться БД, да и сам заббикс стал стабильно падать. Пришлось подкручивать конфиг заббикса, конфиг БД. Ещё были поиски snmp-mibs под d-link dfl и всякие мелкие модификации, которыми обрастал сервер.
Сейчас вот спамит в телеграм уже, почтовые уведомления отмирают.
К чему я это. Если в инструкции всё выглядит как хоп-хоп и готово, а у вас ничего не работает - это нормальная ситуация, не переживайте.
Конечно, свои инструкции старайтесь писать лучше 😉
👍11
Нет, всё-таки настали времена лучше чем были.
Сегодня апгрейднула debian с 10 на 11, заббикс с 5.4 на 6.2 и ничего не отвалилось! Не отмер апач, не полетела БД. Всё прошло штатно и даже почти по инструкции.
Ну да, старые агенты не светятся зелёным в консоли, но данные собираются, триггеры работают. А ещё походу починилось выпадение точек из графика, ну это завтра будет понятнее. А то я уже думала опять с параметрами играться.
Сегодня апгрейднула debian с 10 на 11, заббикс с 5.4 на 6.2 и ничего не отвалилось! Не отмер апач, не полетела БД. Всё прошло штатно и даже почти по инструкции.
Ну да, старые агенты не светятся зелёным в консоли, но данные собираются, триггеры работают. А ещё походу починилось выпадение точек из графика, ну это завтра будет понятнее. А то я уже думала опять с параметрами играться.
👍7
Один день из работы
Часть первая
Итак, вчера был админский день, я обновляла debian (с 10 на 11) и zabbix (с 5.4 на 6.2), и хочу рассказать, как это происходило. Ведь не думаете же вы, что есть волшебная кнопка "обновить"?
Вообще, почему мне ударило в голову обновляться? Безопасники провели аудит и сказали закрыть уязвимости. В принципе, все они упирались в версию OpenSSH и Apache.
Вечером накануне написала в чатик, что заббикс будет недоступен весь завтрашний день в связи с обновлением. Сервис не является критичным, а потому можно действовать наживую в рабочее время. Утром повторила оповещение, что начинаю работы.
Прихожу я на работу рано, до восьми, и под кофеёк решила начать с OpenSSH. Пошла, сначала сделала apt update. В выводе мне любезно сообщили, что "публичный ключ недоступен". Аж два раза. Пошла в гугл, нашла как обновить ключи, обновила, записала в рабочую вики для потомков. Ни install, ни --only-upgrade ничего не обновляли, говорили, что у вас самая распоследния версия. Ну я же знаю, что они врут) Пошла поискала ещё, нашла, что надо обновлять с указанием buster-backports. Добавила в sources.list, обновила список пакетов. Попробовала обновить, ssh сказал, что ему надо в зависимостях openssh-sftp-server. Обновила оба, ура, новая версия.
Вспомнила, что вчера общала Питеру надыбать коммутаторы перекантоваться до закупки. Написала в Пятигорск, у них была заначка.
Все предыдущие разы заббикс у меня переезжал сразу на новую версию, на новый сервер с новым debian. Всё потому, что я малодушно забивала на обновления. Базы каждый раз не конвертировались в новую версию (через две) нормально, так что переезжал без данных. Экспорт-импорт хостов и шаблонов, остальное за день допиливалось. Последний раз я пообещала себе не ждать когда выйдет версия сразу через две-три мажорные, а регулярно обновлять. Ну а тут как раз повод удобный. К тому же заббикс оброс пользаками, уведомлениями и прочим, что требует таки переноса БД в новую версию.
Как раз пришли инфраструктурщики и я попросила снять снапшот с виртуалки. Заодно посмотрели, что проц периодически уходит в потолок и пообщали при ребуте пару ядер накинуть.
Сначала я попробовала просто проапгрейдить заббикс сервер так, как написано у них на сайте. В инструкции был этап бэкапа БД и настроек и я его тоже выполнила, хотя у меня и был снапшот. Но много бэкапов не бывает. Поискала как бэкапить mysql, я с ним работаю раз в два года, поэтому команд не помню. Задумчиво посмотрела, как тает место на диске.
Пока sql молотил бэкап вспомнила, что руководство вышло из отпуска, а мы хотели презентовать новую приблуду к астериску. Написала, напомнила, что у нас есть презентация.
Попытка апгрейда zabbix-server - он апгрейдиться отказался, сказал, у вас самая новая версия. Знакомая, однако, песня. Потом я попробовал действовать насильно как с OpenSSH, он радостно даунгрейднулся до версии 4 и отказался запускаться. Я вернула 5.4, он восстал.
Почитала почту, подумала как ответить человеку, не нарушая корпоративную этику. Придумала, но решила промолчать. Выполнила пару заявок по сети.
Почитала внимательнее заметки по обновлению и пришла к выводу, что надо апгрейдить debian. Ни разу у меня это раньше не проходило без факапов, так что я решила бэкап БД и настроек слить ещё на соседний сервер, хотя было лениво. В снапшоте не было бэкапа БД и если бы из него восстанавливали и что-то пошло не так, у меня не оказалось бы валидной копии данных, так что я поборола лень, поискала, куда можно приткнуть 40 гиг базы и запустила scp. Заодно на всякий случай опять экспортнула хосты и часть шаблонов.
Подумала, а не обновиться ли сразу на 12 debian, вспомнила, что обновление через две версии ничем хорошим не заканчивалось и решила пока остановиться на 11.
#будни
Часть два сразу же дальше, в один пост не влезло
Часть первая
Итак, вчера был админский день, я обновляла debian (с 10 на 11) и zabbix (с 5.4 на 6.2), и хочу рассказать, как это происходило. Ведь не думаете же вы, что есть волшебная кнопка "обновить"?
Вообще, почему мне ударило в голову обновляться? Безопасники провели аудит и сказали закрыть уязвимости. В принципе, все они упирались в версию OpenSSH и Apache.
Вечером накануне написала в чатик, что заббикс будет недоступен весь завтрашний день в связи с обновлением. Сервис не является критичным, а потому можно действовать наживую в рабочее время. Утром повторила оповещение, что начинаю работы.
Прихожу я на работу рано, до восьми, и под кофеёк решила начать с OpenSSH. Пошла, сначала сделала apt update. В выводе мне любезно сообщили, что "публичный ключ недоступен". Аж два раза. Пошла в гугл, нашла как обновить ключи, обновила, записала в рабочую вики для потомков. Ни install, ни --only-upgrade ничего не обновляли, говорили, что у вас самая распоследния версия. Ну я же знаю, что они врут) Пошла поискала ещё, нашла, что надо обновлять с указанием buster-backports. Добавила в sources.list, обновила список пакетов. Попробовала обновить, ssh сказал, что ему надо в зависимостях openssh-sftp-server. Обновила оба, ура, новая версия.
Вспомнила, что вчера общала Питеру надыбать коммутаторы перекантоваться до закупки. Написала в Пятигорск, у них была заначка.
Все предыдущие разы заббикс у меня переезжал сразу на новую версию, на новый сервер с новым debian. Всё потому, что я малодушно забивала на обновления. Базы каждый раз не конвертировались в новую версию (через две) нормально, так что переезжал без данных. Экспорт-импорт хостов и шаблонов, остальное за день допиливалось. Последний раз я пообещала себе не ждать когда выйдет версия сразу через две-три мажорные, а регулярно обновлять. Ну а тут как раз повод удобный. К тому же заббикс оброс пользаками, уведомлениями и прочим, что требует таки переноса БД в новую версию.
Как раз пришли инфраструктурщики и я попросила снять снапшот с виртуалки. Заодно посмотрели, что проц периодически уходит в потолок и пообщали при ребуте пару ядер накинуть.
Сначала я попробовала просто проапгрейдить заббикс сервер так, как написано у них на сайте. В инструкции был этап бэкапа БД и настроек и я его тоже выполнила, хотя у меня и был снапшот. Но много бэкапов не бывает. Поискала как бэкапить mysql, я с ним работаю раз в два года, поэтому команд не помню. Задумчиво посмотрела, как тает место на диске.
Пока sql молотил бэкап вспомнила, что руководство вышло из отпуска, а мы хотели презентовать новую приблуду к астериску. Написала, напомнила, что у нас есть презентация.
Попытка апгрейда zabbix-server - он апгрейдиться отказался, сказал, у вас самая новая версия. Знакомая, однако, песня. Потом я попробовал действовать насильно как с OpenSSH, он радостно даунгрейднулся до версии 4 и отказался запускаться. Я вернула 5.4, он восстал.
Почитала почту, подумала как ответить человеку, не нарушая корпоративную этику. Придумала, но решила промолчать. Выполнила пару заявок по сети.
Почитала внимательнее заметки по обновлению и пришла к выводу, что надо апгрейдить debian. Ни разу у меня это раньше не проходило без факапов, так что я решила бэкап БД и настроек слить ещё на соседний сервер, хотя было лениво. В снапшоте не было бэкапа БД и если бы из него восстанавливали и что-то пошло не так, у меня не оказалось бы валидной копии данных, так что я поборола лень, поискала, куда можно приткнуть 40 гиг базы и запустила scp. Заодно на всякий случай опять экспортнула хосты и часть шаблонов.
Подумала, а не обновиться ли сразу на 12 debian, вспомнила, что обновление через две версии ничем хорошим не заканчивалось и решила пока остановиться на 11.
#будни
Часть два сразу же дальше, в один пост не влезло
👏8
Один день из работы
Часть вторая
Дальше по инструкции - апгрейд всех пакетов, очистка, замена sources.list, снова апгрейд. Поотвечать на вопросы обновлятора. Дописала новые репозитории заббикса, удалила старые. Апгрейд. В процессе спросили, хочу ли заменить конфиг сервера? Посмотрела diff, там чего-то много добавилось, сказала заменить на новую версию. Конфиг апача? Ничего нового, оставить старый.
Сходила на маленькое совещание. Попросили одну штуку сделать красиво. Сказала: или доработка контрагента за деньги, или я подумаю, но не прямо сейчас. Сказали, подождут, пока думаю.
Открыла конфиг zabbix-server, открыла старый конфиг из бэкапа, прописала все параметры снова. Удивилась, сколько я, оказывается, на кэши выделила, просуммировала и поняла, отчего у него память вся выжрата на кэши. Стартанула заббикс - не стартует. Полезла в логи заббикса - ошибка подключения БД. Полезла в логи mysql - подключение с неверным паролем. Полезла в старый конфиг, ага, неправильно скопировала пароль. Поменяла, стартанула заббикс - ура, поднялся!
Потыкала в консоль. Йолки, я х.з. теперь как посмотреть список графиков, если он не умещается в окошко. Надо поискать. Хосты с заббикс клиентами не зеленеют. Посмотрела, данные есть, триггеры работают, значит не страшно. Скачала свежий виндовый клиент. Попробовала обновить клиента на каком-то сервере - позеленел. Поставила задачу инфраструктурщикам на обновление.
Написала в чатик, что обновление закончила.
Позвонил сотрудник, обрадовал, что мы 4 дня в дальнем филиале пытали провайдера инета подключить нам sip, тогда как телефонный номер принадлежит другому провайдеру. Ну, бывает. В филиале шесть человек, айтишника нет, а последний мужик уволился три месяца назад.
Посмотрела версию OpenSSH, оппа, опять 8.4 - откатилась. Попробовала обновить как на десятке - фокус не удался, отложила на завтра.
Ну, вот как-то так 😅
Часть вторая
Дальше по инструкции - апгрейд всех пакетов, очистка, замена sources.list, снова апгрейд. Поотвечать на вопросы обновлятора. Дописала новые репозитории заббикса, удалила старые. Апгрейд. В процессе спросили, хочу ли заменить конфиг сервера? Посмотрела diff, там чего-то много добавилось, сказала заменить на новую версию. Конфиг апача? Ничего нового, оставить старый.
Сходила на маленькое совещание. Попросили одну штуку сделать красиво. Сказала: или доработка контрагента за деньги, или я подумаю, но не прямо сейчас. Сказали, подождут, пока думаю.
Открыла конфиг zabbix-server, открыла старый конфиг из бэкапа, прописала все параметры снова. Удивилась, сколько я, оказывается, на кэши выделила, просуммировала и поняла, отчего у него память вся выжрата на кэши. Стартанула заббикс - не стартует. Полезла в логи заббикса - ошибка подключения БД. Полезла в логи mysql - подключение с неверным паролем. Полезла в старый конфиг, ага, неправильно скопировала пароль. Поменяла, стартанула заббикс - ура, поднялся!
Потыкала в консоль. Йолки, я х.з. теперь как посмотреть список графиков, если он не умещается в окошко. Надо поискать. Хосты с заббикс клиентами не зеленеют. Посмотрела, данные есть, триггеры работают, значит не страшно. Скачала свежий виндовый клиент. Попробовала обновить клиента на каком-то сервере - позеленел. Поставила задачу инфраструктурщикам на обновление.
Написала в чатик, что обновление закончила.
Позвонил сотрудник, обрадовал, что мы 4 дня в дальнем филиале пытали провайдера инета подключить нам sip, тогда как телефонный номер принадлежит другому провайдеру. Ну, бывает. В филиале шесть человек, айтишника нет, а последний мужик уволился три месяца назад.
Посмотрела версию OpenSSH, оппа, опять 8.4 - откатилась. Попробовала обновить как на десятке - фокус не удался, отложила на завтра.
Ну, вот как-то так 😅
👏6👍1
Обновление - оно для крепких духом
А свежеобновлённый заббикс подумал-поработал и решил немного упасть ближе к вечеру пятницы. Причем здорово так - только данные в графики перестал собирать и только по snmp. При этом коннект с хостами не терялся и даже алерта типа "no snmp data collection" не было. Только графики пустые, что было обнаружено сегодня.
Выяснено: в какой-то момент пошли ошибки записи в БД. В новой версии mysql один параметр конфига стал считаться устаревшим и игнорировался, а два других вместо него не были прописаны. Также ему перестал нравиться max_allowed_packet, судя по логам именно из-за него всё падало, и его пришлось уменьшить (от чего он такой большой был - история не сохранила). Ну вот, теперь смотрю в логи, медитирую упадёт/не упадёт.
OpenSSH 9.2 кстати, удалось поставить только с указанием репы от debian12. Ну, надеюсь, он мне ничего не сломает.
Известная картинка, чтоб посмотреть на всю неизбежность на неё надо кликнуть.
А свежеобновлённый заббикс подумал-поработал и решил немного упасть ближе к вечеру пятницы. Причем здорово так - только данные в графики перестал собирать и только по snmp. При этом коннект с хостами не терялся и даже алерта типа "no snmp data collection" не было. Только графики пустые, что было обнаружено сегодня.
Выяснено: в какой-то момент пошли ошибки записи в БД. В новой версии mysql один параметр конфига стал считаться устаревшим и игнорировался, а два других вместо него не были прописаны. Также ему перестал нравиться max_allowed_packet, судя по логам именно из-за него всё падало, и его пришлось уменьшить (от чего он такой большой был - история не сохранила). Ну вот, теперь смотрю в логи, медитирую упадёт/не упадёт.
OpenSSH 9.2 кстати, удалось поставить только с указанием репы от debian12. Ну, надеюсь, он мне ничего не сломает.
Известная картинка, чтоб посмотреть на всю неизбежность на неё надо кликнуть.
🔥8
Эффект присутствия
Все слышали про "эффект присутствия", когда техника и софт в присутствии админа начинают работать как надо.
Так вот, через пару месяцев эникейства у меня стал проявляться обратный эффект - в моём присутствии всё, что работало "плохо" переставало работать вообще. Тормозящие программы зависали, медленно печатающие принтеры переставали это делать в принципе и т.д.
Пришлось довольно долго переживать этот период. Эффект присутствия в его нормальном виде стал проявляться только через год.
Это всё относится опять же к опыту использования различных ИТ и инженерных систем. Ваши правильные вопросы, заданные пользователю, а также микродействия начинают приводить к результату раньше, чем происходит осознанная реакция. Ну и магия, конечно.
Все слышали про "эффект присутствия", когда техника и софт в присутствии админа начинают работать как надо.
Так вот, через пару месяцев эникейства у меня стал проявляться обратный эффект - в моём присутствии всё, что работало "плохо" переставало работать вообще. Тормозящие программы зависали, медленно печатающие принтеры переставали это делать в принципе и т.д.
Пришлось довольно долго переживать этот период. Эффект присутствия в его нормальном виде стал проявляться только через год.
Это всё относится опять же к опыту использования различных ИТ и инженерных систем. Ваши правильные вопросы, заданные пользователю, а также микродействия начинают приводить к результату раньше, чем происходит осознанная реакция. Ну и магия, конечно.
👍9
Не только админский день
Оказывается, я изобрела велосипед. Ставить пакеты из определенного репозитория определенного дистрибутива линухи - это нормально, так делают, я не одинока.
Обновила на сервере с которого бэкапится сетевое оборудование OpenSSH. Почувствовала прям сразу - бэкапы сломаются. Запустила скрипт и точно: извини, иди нафиг на 11й строке. Что там? Ssh, конечно. Пробую отдельно применить ключ, подключиться по ssh. Ключ не валидный говорят. Опять же, чувствую, что дело в длине ключа, хуавеи желают 1024. Для верности пробую другой ключ для пуша в git. Он длиной 2048 и он работает.
Лезу гуглить что-нибудь про "enable 1024 key rsa openssh". Первая страница гугла не радует. Запускаю ssh с флагом -vvv. Ох, читаю сочинение о коннекте на две страницы: робкий обмен данными, поиск в трёх файлах известных хостов, перебор алгоритмов и в конце отказ. No mutual signature algoritm. С этой фразой уже всё ищется как надо, правится конфиг клиента и всё работает.
По-хорошему, нужно было почитать release notes и только потом обновляться. Но опять же, сервис не критичный, можно и откатиться..
Немного менеджерского:
Пытаюсь заставить джуна написать план установки патча. Учесть это, это, сообщить этим, чтоб дернули службу на связанном сервисе, проверка работоспособности. Нет, просто "я поставлю патч" не подходит. Ощущение, что я мучаю котёнка, а всего-то хочу научить человека планировать и проводить изменения (желательно, без моего участия). И забить не могу, потому что сервис критичный. Надо бы найти ему что-то не столь критичное и кинуть одного работать, что ли, чтобы натолкнулся на "всё сломалось" и спроецировал на критичный сервис. Чувствую в себе двойные стандарты (оглянулась на поломанный и починенный ssh, вздохнула).
Другая проблема: в программе отражаются неправильные должности, поэтому ей нельзя официально пользоваться. Должности берутся из AD. Почему в AD неправильные? Так сложилось. Можно ли брать должности из 1С? Можно, но у 1с-ников расписано время на текущие задачи, можем ли мы вклиниться? Можем, давайте через 2 недели. А может, заодно и в AD будете сразу выгружать из 1С? Нет, должности длинные, надо менять схему AD, инфраструктура не хочет. И некому писать интеграцию. Но 1с-ники выгрузят diff и навесят задач на саппорт менять руками. Или инфраструктура напишет скрипт, но не факт. Может тогда нафиг пока выключим отображение должностей в софте, чтоб морально не страдали? Если будет очень надо выключим, но пока ждём. И по кругу на телефоне и ножками: начальник-> 1C-> программер-> бизнес-заказчик.
#будни
Оказывается, я изобрела велосипед. Ставить пакеты из определенного репозитория определенного дистрибутива линухи - это нормально, так делают, я не одинока.
Обновила на сервере с которого бэкапится сетевое оборудование OpenSSH. Почувствовала прям сразу - бэкапы сломаются. Запустила скрипт и точно: извини, иди нафиг на 11й строке. Что там? Ssh, конечно. Пробую отдельно применить ключ, подключиться по ssh. Ключ не валидный говорят. Опять же, чувствую, что дело в длине ключа, хуавеи желают 1024. Для верности пробую другой ключ для пуша в git. Он длиной 2048 и он работает.
Лезу гуглить что-нибудь про "enable 1024 key rsa openssh". Первая страница гугла не радует. Запускаю ssh с флагом -vvv. Ох, читаю сочинение о коннекте на две страницы: робкий обмен данными, поиск в трёх файлах известных хостов, перебор алгоритмов и в конце отказ. No mutual signature algoritm. С этой фразой уже всё ищется как надо, правится конфиг клиента и всё работает.
По-хорошему, нужно было почитать release notes и только потом обновляться. Но опять же, сервис не критичный, можно и откатиться..
Немного менеджерского:
Пытаюсь заставить джуна написать план установки патча. Учесть это, это, сообщить этим, чтоб дернули службу на связанном сервисе, проверка работоспособности. Нет, просто "я поставлю патч" не подходит. Ощущение, что я мучаю котёнка, а всего-то хочу научить человека планировать и проводить изменения (желательно, без моего участия). И забить не могу, потому что сервис критичный. Надо бы найти ему что-то не столь критичное и кинуть одного работать, что ли, чтобы натолкнулся на "всё сломалось" и спроецировал на критичный сервис. Чувствую в себе двойные стандарты (оглянулась на поломанный и починенный ssh, вздохнула).
Другая проблема: в программе отражаются неправильные должности, поэтому ей нельзя официально пользоваться. Должности берутся из AD. Почему в AD неправильные? Так сложилось. Можно ли брать должности из 1С? Можно, но у 1с-ников расписано время на текущие задачи, можем ли мы вклиниться? Можем, давайте через 2 недели. А может, заодно и в AD будете сразу выгружать из 1С? Нет, должности длинные, надо менять схему AD, инфраструктура не хочет. И некому писать интеграцию. Но 1с-ники выгрузят diff и навесят задач на саппорт менять руками. Или инфраструктура напишет скрипт, но не факт. Может тогда нафиг пока выключим отображение должностей в софте, чтоб морально не страдали? Если будет очень надо выключим, но пока ждём. И по кругу на телефоне и ножками: начальник-> 1C-> программер-> бизнес-заказчик.
#будни
❤3👍2
Работа и алкоголь
"Админы были пьяны, меняли пароли" (с)
В честь пятницы
🍻
Когда я пришла на работу в первый день, тогдашний начальник меня отвёл в уголок и строго спросил: "Ты пьёшь?". Я как-то даже растерялась, подумала, может на запойную похожа, и осторожно сказала: "Ну, на работе нет". "Это ты зря, зря" - сказал начальник.
Сейчас мы все ужестарые взрослые, с болячками, чувством ответственности и за рулём. На работе не употребляем вообще (ну может 31 декабря кому-то шампанского нальют бокал). Я так и вне работы тоже нынче не пью алкоголь. Но были времена и была история.
Вообще, я знала, что с работой требующей концентрации, алкашка не очень сочетается. Но, например, писать текст выступления к вебинару можно было и так.
Однажды (давно, если что) мы начали что-то отмечать часа, эдак, в 3 дня. То ли командировочные к нам заканчивали командировку, то ли ещё какой повод был. А в тот период я перевозила контроллеры домена, стоящие в каждом филиале, на новое железо и на ось 2012R2 с 2012. Нам надо было поднять уровень домена, чтоб получить какие-то фичи. И вот, хм, у меня открыто три RDP с 2012 сервером и три с 2012R2. Алгоритм примерно такой:
1) на старом сервере меняю DNS
2) старый сервер понижаю
3) на старом сервере сношу службы AD DS и DNS
4) Старый сервер переименовываю
5) на старом сервере меняю ip (предварительно проверяю, что он свободный)
6) назначаю имя и ip старого сервера на новый, жду пока пропишется DNS
7) поднимаю роль на новом сервере
8) повышаю новый сервер до контроллера домена
9) жду initial replication на новом сервере
10) отписываю, что всё ок
А серверов, соответственно, три комплекта, интерфейс похож, имена похожи. И делаю я это в параллель. И тогда ещё на одном мониторе.
Ну а много ли надо для сбития концентрации для отдельно взятого женского организма.. Нет, жести не будет, домен я не угробила. Но параллельный процесс пришлось сделать последовательным, потому что в какой-то момент я уже начала повышение до КД на старом сервере, однако вовремя заметила.
Ну вот с тех пор на работе в рабочее время не употребляю) А после работы мы собираемся раз полгода-год вспомнить былые времена.
"Админы были пьяны, меняли пароли" (с)
В честь пятницы
🍻
Когда я пришла на работу в первый день, тогдашний начальник меня отвёл в уголок и строго спросил: "Ты пьёшь?". Я как-то даже растерялась, подумала, может на запойную похожа, и осторожно сказала: "Ну, на работе нет". "Это ты зря, зря" - сказал начальник.
Сейчас мы все уже
Вообще, я знала, что с работой требующей концентрации, алкашка не очень сочетается. Но, например, писать текст выступления к вебинару можно было и так.
Однажды (давно, если что) мы начали что-то отмечать часа, эдак, в 3 дня. То ли командировочные к нам заканчивали командировку, то ли ещё какой повод был. А в тот период я перевозила контроллеры домена, стоящие в каждом филиале, на новое железо и на ось 2012R2 с 2012. Нам надо было поднять уровень домена, чтоб получить какие-то фичи. И вот, хм, у меня открыто три RDP с 2012 сервером и три с 2012R2. Алгоритм примерно такой:
1) на старом сервере меняю DNS
2) старый сервер понижаю
3) на старом сервере сношу службы AD DS и DNS
4) Старый сервер переименовываю
5) на старом сервере меняю ip (предварительно проверяю, что он свободный)
6) назначаю имя и ip старого сервера на новый, жду пока пропишется DNS
7) поднимаю роль на новом сервере
8) повышаю новый сервер до контроллера домена
9) жду initial replication на новом сервере
10) отписываю, что всё ок
А серверов, соответственно, три комплекта, интерфейс похож, имена похожи. И делаю я это в параллель. И тогда ещё на одном мониторе.
Ну а много ли надо для сбития концентрации для отдельно взятого женского организма.. Нет, жести не будет, домен я не угробила. Но параллельный процесс пришлось сделать последовательным, потому что в какой-то момент я уже начала повышение до КД на старом сервере, однако вовремя заметила.
Ну вот с тех пор на работе в рабочее время не употребляю) А после работы мы собираемся раз полгода-год вспомнить былые времена.
❤2😱2
Блокировка компа
Постаралась с первых дней работы выработать привычку "попу поднял - комп заблокировал".
Ну, во-первых, враг не дремлет. Нас тут в офисе 500 человек с пропусками и просто всяких "я курьер на 2 минуты пробегу".
Во-вторых, в кабинете сидит сорок человек айтишников. Что у них на уме - не ясно. Потечёт у кого-то чердак, а у тебя тут админка от AD открыта со всеми правами или просто на рабочем столе сделают ctrl+a del - оно тебе надо? Или письмо директору/контрагенту отправит матерное "по приколу" с вашего ящика(чувство юмора у всех разное). А может reload на циске введут. Или в линухе reboot. Ну чисто поржать, случаются такие у людей выступления, зачем провоцировать 😈
Так что "выпускаешь комп из вида - заблокируй". Даже на минутку. Всегда.
И своих сотрудников этим пилю. Розыгрышей не устраиваю, но ворд открыть со словами "Враги рядом" могу :)
А вы как относитесь к своему рабочему месту?
Картинка от касперского, насколько помню
Постаралась с первых дней работы выработать привычку "попу поднял - комп заблокировал".
Ну, во-первых, враг не дремлет. Нас тут в офисе 500 человек с пропусками и просто всяких "я курьер на 2 минуты пробегу".
Во-вторых, в кабинете сидит сорок человек айтишников. Что у них на уме - не ясно. Потечёт у кого-то чердак, а у тебя тут админка от AD открыта со всеми правами или просто на рабочем столе сделают ctrl+a del - оно тебе надо? Или письмо директору/контрагенту отправит матерное "по приколу" с вашего ящика(чувство юмора у всех разное). А может reload на циске введут. Или в линухе reboot. Ну чисто поржать, случаются такие у людей выступления, зачем провоцировать 😈
Так что "выпускаешь комп из вида - заблокируй". Даже на минутку. Всегда.
И своих сотрудников этим пилю. Розыгрышей не устраиваю, но ворд открыть со словами "Враги рядом" могу :)
А вы как относитесь к своему рабочему месту?
Картинка от касперского, насколько помню
👍9
Ещё немного паранойи
Но не в последний раз
Лет десять назад у нас было ПО, которое обновляло базы методом прихода мальчика-с-флешкой. То ли Консультант+ имел такую передовую технологию, то ли ещё что аналогичное.
Приходил товарищ, говорил "я из компании К, пришёл обновлять ваши базы", его сажали за комп и он под строгим надзором что-то делал.
Оглядываясь назад, вижу, что не слишком безопасная схема, не так ли?
Принимал и надзирал за этим волшебным человекомтот кто бегал за пивом младший по званию, то есть я. А я тогда начиталась Шнайера про защиту информации и про то, что человек - самое слабое место в защите системы. Все эти "я вот тут только флешечку воткну вам антивирус обновить", а у вас р-р-раз и вся база утекла.
И тут ситуация, прямо с книжки списаная: приходит незнакомый человек, говорит "я из компании К" и рвётся к компу воткнуть флешку. До этого год стабильно ходил один и тот же сотрудник, а тут новое лицо. А ещё, молвит человеческим голосом: "я вам ххх обновлю, будет чуть дольше и надо будет ввести пароль администратора". И я такая: "Хмм, а вы можете доказать, что вы работаете в компании К? У меня вот написано, что приходит Василий Петрович и фотка есть на визитке, чего-то вы не похожи". А у него и визитки нет, и из документов только паспорт, даже завалящего пропуска с фоткой в компанию К нет. Кричит, что времени мало, к компу рвётся. То есть вообще, прямо по книжке, можно охране сдавать.
Закончилось тем, что я позвонила в компанию К, добралась до кого-то вменяемого, кто мне подтвердил личность нового сотрудника и объяснил, что предыдущий болеет (а письмом не предупредили потому что всем обычно без разницы кто там приходит и что делает). Но впечатлений и у меня, и у него осталось масса.
Были и истории, где бдительность оправдалась. Ждите в следующих сериях.
Но не в последний раз
Лет десять назад у нас было ПО, которое обновляло базы методом прихода мальчика-с-флешкой. То ли Консультант+ имел такую передовую технологию, то ли ещё что аналогичное.
Приходил товарищ, говорил "я из компании К, пришёл обновлять ваши базы", его сажали за комп и он под строгим надзором что-то делал.
Оглядываясь назад, вижу, что не слишком безопасная схема, не так ли?
Принимал и надзирал за этим волшебным человеком
И тут ситуация, прямо с книжки списаная: приходит незнакомый человек, говорит "я из компании К" и рвётся к компу воткнуть флешку. До этого год стабильно ходил один и тот же сотрудник, а тут новое лицо. А ещё, молвит человеческим голосом: "я вам ххх обновлю, будет чуть дольше и надо будет ввести пароль администратора". И я такая: "Хмм, а вы можете доказать, что вы работаете в компании К? У меня вот написано, что приходит Василий Петрович и фотка есть на визитке, чего-то вы не похожи". А у него и визитки нет, и из документов только паспорт, даже завалящего пропуска с фоткой в компанию К нет. Кричит, что времени мало, к компу рвётся. То есть вообще, прямо по книжке, можно охране сдавать.
Закончилось тем, что я позвонила в компанию К, добралась до кого-то вменяемого, кто мне подтвердил личность нового сотрудника и объяснил, что предыдущий болеет (а письмом не предупредили потому что всем обычно без разницы кто там приходит и что делает). Но впечатлений и у меня, и у него осталось масса.
Были и истории, где бдительность оправдалась. Ждите в следующих сериях.
👍8
Когда паранойя оправдалась
Случай первый, не совсем админский
Лет эдак несколько назад было несколько случаев типичной социальной инженерии. Звонит, значит, в отдел ИТ весёлый мужик. Говорит: "Здравствуйте, Наталья, да? (алё, мужик, я представилась секунду назад) Я из компании С (родственной компании, с которой у нас и правда близкие отношения), отдел ИТ, мне тут руководство поручило обновить справочную информацию, пришлите мне справочник сотрудников с городскими и мобильными телефонами, должностями".
Тут надо сделать отступление, справочниками мы такими действительно иногда обменивались и даже иногда служебные мобильные там фигурировали. Но Наташа-подозревака читала Брюса Шнайера, враг не пройдёт.
"Конечно, пришлите, пожалуйста официальный запрос входящим письмом на Генерального директора, его зарегистрируют, спустят мне и я сразу же вам пришлю!"
Мужик стал давить на всякое:
"Наталья, ну какой Генеральный, вот у вас начальник, Сергей же, да, он в курсе поручения, нам очень срочно надо, поручение моего Самого-самого начальника (называет имя), ваш Гегеральный _имя_ был на совещании вчера, давайте не будем никого напрягать, быстренько сделаем, а письмо я сразу после направлю как полагается, секретарю же, Марии, да?"
"Ок, присылайте письмо на мою почту и в копию моего начальника, если он согласует - пришлю"
"А почту не поскажете?". Тут у меня уже набат. Так как почтовый справочник у них наш подгружен и элементарно по фамилии все ищутся. Что я и сообщаю "в корпоративной почте найдете меня по фамилии".
И тут финиш:
"Наталья, у нас тут офис переезжает, большой ремонт, не все рабочие места подключили, не смогу ваш адрес найти. Вы мне пришлите на ххх@маил.ру".
Я выдавила что-то типа "извините, только на корпоративную почту", мужик пытался ещё что-то сказать, но я трубку повесила.
Во-первых, действительно такой обмен данными только согласованный и только по корпоративным каналам с защитой (у нас был настроен такой). Никакого маил.ру. Первого хватило бы, но: во-вторых, я в курсе, что у них
а) забанена вся внешняя почта в компании и
б) корпоративная почта доступна из инета, owa есть.
После краткого анализа: все имена всех упоминаемых начальников и секретарей обеих компаний можно было найти на официальных сайтах. Прям по книжке пытались заболтать знакомыми именами и срочностью, слегка запугать. Всё строго из открытых источников.
Чувак, выполняющий функции безопасника, сидел за соседним столом и следующая моя фраза была "Ща такооой чёрт самоуверенный звонил, ты не поверишь!". После рассказа я пошла ваять предупредительную рассылку по всем пользователям. И посыпался вал звонков "а вдруг им правда телефоны нужны будут, вдруг правда компания С?". Мало кто вдумчиво инструкцию прочитал 😔 Надеюсь, остальные просто не осилисли слить справочник.
Таких звонков была ещё парочка, потом всё успокоилось. Никаких официальных запросов после не поступало.
Щёлкни на картинку и посмотри моё творчество на тему ИБ))
Случай первый, не совсем админский
Лет эдак несколько назад было несколько случаев типичной социальной инженерии. Звонит, значит, в отдел ИТ весёлый мужик. Говорит: "Здравствуйте, Наталья, да? (алё, мужик, я представилась секунду назад) Я из компании С (родственной компании, с которой у нас и правда близкие отношения), отдел ИТ, мне тут руководство поручило обновить справочную информацию, пришлите мне справочник сотрудников с городскими и мобильными телефонами, должностями".
Тут надо сделать отступление, справочниками мы такими действительно иногда обменивались и даже иногда служебные мобильные там фигурировали. Но Наташа-подозревака читала Брюса Шнайера, враг не пройдёт.
"Конечно, пришлите, пожалуйста официальный запрос входящим письмом на Генерального директора, его зарегистрируют, спустят мне и я сразу же вам пришлю!"
Мужик стал давить на всякое:
"Наталья, ну какой Генеральный, вот у вас начальник, Сергей же, да, он в курсе поручения, нам очень срочно надо, поручение моего Самого-самого начальника (называет имя), ваш Гегеральный _имя_ был на совещании вчера, давайте не будем никого напрягать, быстренько сделаем, а письмо я сразу после направлю как полагается, секретарю же, Марии, да?"
"Ок, присылайте письмо на мою почту и в копию моего начальника, если он согласует - пришлю"
"А почту не поскажете?". Тут у меня уже набат. Так как почтовый справочник у них наш подгружен и элементарно по фамилии все ищутся. Что я и сообщаю "в корпоративной почте найдете меня по фамилии".
И тут финиш:
"Наталья, у нас тут офис переезжает, большой ремонт, не все рабочие места подключили, не смогу ваш адрес найти. Вы мне пришлите на ххх@маил.ру".
Я выдавила что-то типа "извините, только на корпоративную почту", мужик пытался ещё что-то сказать, но я трубку повесила.
Во-первых, действительно такой обмен данными только согласованный и только по корпоративным каналам с защитой (у нас был настроен такой). Никакого маил.ру. Первого хватило бы, но: во-вторых, я в курсе, что у них
а) забанена вся внешняя почта в компании и
б) корпоративная почта доступна из инета, owa есть.
После краткого анализа: все имена всех упоминаемых начальников и секретарей обеих компаний можно было найти на официальных сайтах. Прям по книжке пытались заболтать знакомыми именами и срочностью, слегка запугать. Всё строго из открытых источников.
Чувак, выполняющий функции безопасника, сидел за соседним столом и следующая моя фраза была "Ща такооой чёрт самоуверенный звонил, ты не поверишь!". После рассказа я пошла ваять предупредительную рассылку по всем пользователям. И посыпался вал звонков "а вдруг им правда телефоны нужны будут, вдруг правда компания С?". Мало кто вдумчиво инструкцию прочитал 😔 Надеюсь, остальные просто не осилисли слить справочник.
Таких звонков была ещё парочка, потом всё успокоилось. Никаких официальных запросов после не поступало.
Щёлкни на картинку и посмотри моё творчество на тему ИБ))
👍6🔥1
Инструкции
Мне тут безопасник настоятельно посоветовал не рассказывать о методах социальной инженерии, так что вы можете прочитать про них самостоятельно и смоделировать свои ситуации))
Пожалуй, свернём на этом недельку инфобеза
Давайте, что ли, поговорим про инструкции.
В какой-то момент меня задолбало рассылать персонально каждому инструкцию или указывать, где она лежит и я решила завести справочную систему на работе. И все такие "wiki, давай wiki", а я тогда что подумала: ну кто кроме меня эти инструкции пишет? Примерно никто. Ну и зачем мне вики, переживать что кто-то где-то напишет неправильно, возиться с markup language. И я завела HelpNDoc. Классная, кстати, вещь, чтоб вести в одно рыло, рекомендую. И в pdf умеет сразу выгружать всю справку, да хоть в ePub.
Жила она долго, а потом мы как-то приросли народом, унификация опять же, другие службы заведи себе wiki, ну и мы тоже пошли по этому пути. Сначала, лет 5 назад, завели одну вики систему, года полтора как переехали на другую. Всем объявили: есть вики, любой может написать!
Ну и, хм, инструкции всё так же пишу я и иногда мои сотрудники (если я грозно стою с палкой рядом). Только разметка с каждым обновлением уползает к хренам, потом в исходник страшно смотреть. И писать неудобно, прямо скажем, есть вики и получше.
Нужно ли писать инструкции? Да, да и ещё раз да! Моей инструкции по настройке ftp 11 лет и до сих пор туда поглядываю. Вы и не вспомните через год что там где настраивали и подкручивали, чтоб оно работало. Нужно это в первую очередь вам:
а) чтоб самому потом вспомнить
б) чтоб кого-то ткнуть в инструкцию и снять с себя часть работы (или чтоб передать дела)
в) чтоб просто у себя в голове структурировать информацию и что-нибудь прикольное понять
Однажды мне переслали мой же пост с пикабу со словами: вот же классная инструкция, а ты жаловалась, что ничего на эту тему нет. Было приятно)
Я пишу мануалы нескольких видов:
1) Для себя или того, кто в этой теме хорошо понимает. Минимум воды, перечислены основные действия и подводные камни
2) Для адекватных админов: достаточно подробно, но в надежде, что у человека есть базовые понимания как этим пользоваться
3) Для всех админов: то, что рождается из п.2 по результатам выполнения таких инструкций. Люди разные, иногда появляются этапы вроде: "перед попыткой включить сервер, воткнуть шнур питания одним концом в сервер, а другим в электрическую розетку".
Где-то в истории пылится инструкция в шести картинках, которую послали в ответ на вопрос "у прибора не дотягивается шнур до розетки, что делать?"
4) Чтоб передать конкретный процесс кому-то: подробность зависит от уровня того, кому передаю.
5) Для пользователей: минимум условий "если то, то сделайте", максимум картинок, выделение жирным, красным, зелёным и прочими цветами.
Также я автор вводных инструкций по типу "ааа, куда я попал вообще, мне не передали дела, я новенький". Не знаю уж, насколько они мне удаются, но лучше, чем их отсутствие 😊
Вот тебе делать нехрен? Я думаю, это важная часть работы, даже если кто-то так не думает.
Как выстроить классную справочную систему, которую все будут радостно вести, актуализировать (и которая будет правильно структурирована), я всё ещё не знаю. Заниматься графоманией людей обычно не вставляет. И все мои "бу-бу-бу, как обновлять/чинить финтифлюшку если ты в отпуске, напиши хоть пару строк" падают вникуда, но я не прекращаю попыток))
Есть вариант с тем, что система сама себя документирует, эдакий DevOps подход. Но это же не включит в себя реакцию на инциденты, методику диагностики и всё такое. Опять же, к винде не очень применимо, хоть она и переходит на .conf файлы (если я ошибаюсь, ткните, плиз, в пару статей на тему).
Если есть положительный опыт внедрения подобных систем, поделитесь что ли
Давайте, что ли, поговорим про инструкции.
В какой-то момент меня задолбало рассылать персонально каждому инструкцию или указывать, где она лежит и я решила завести справочную систему на работе. И все такие "wiki, давай wiki", а я тогда что подумала: ну кто кроме меня эти инструкции пишет? Примерно никто. Ну и зачем мне вики, переживать что кто-то где-то напишет неправильно, возиться с markup language. И я завела HelpNDoc. Классная, кстати, вещь, чтоб вести в одно рыло, рекомендую. И в pdf умеет сразу выгружать всю справку, да хоть в ePub.
Жила она долго, а потом мы как-то приросли народом, унификация опять же, другие службы заведи себе wiki, ну и мы тоже пошли по этому пути. Сначала, лет 5 назад, завели одну вики систему, года полтора как переехали на другую. Всем объявили: есть вики, любой может написать!
Ну и, хм, инструкции всё так же пишу я и иногда мои сотрудники (если я грозно стою с палкой рядом). Только разметка с каждым обновлением уползает к хренам, потом в исходник страшно смотреть. И писать неудобно, прямо скажем, есть вики и получше.
Нужно ли писать инструкции? Да, да и ещё раз да! Моей инструкции по настройке ftp 11 лет и до сих пор туда поглядываю. Вы и не вспомните через год что там где настраивали и подкручивали, чтоб оно работало. Нужно это в первую очередь вам:
а) чтоб самому потом вспомнить
б) чтоб кого-то ткнуть в инструкцию и снять с себя часть работы (или чтоб передать дела)
в) чтоб просто у себя в голове структурировать информацию и что-нибудь прикольное понять
Однажды мне переслали мой же пост с пикабу со словами: вот же классная инструкция, а ты жаловалась, что ничего на эту тему нет. Было приятно)
Я пишу мануалы нескольких видов:
1) Для себя или того, кто в этой теме хорошо понимает. Минимум воды, перечислены основные действия и подводные камни
2) Для адекватных админов: достаточно подробно, но в надежде, что у человека есть базовые понимания как этим пользоваться
3) Для всех админов: то, что рождается из п.2 по результатам выполнения таких инструкций. Люди разные, иногда появляются этапы вроде: "перед попыткой включить сервер, воткнуть шнур питания одним концом в сервер, а другим в электрическую розетку".
Где-то в истории пылится инструкция в шести картинках, которую послали в ответ на вопрос "у прибора не дотягивается шнур до розетки, что делать?"
4) Чтоб передать конкретный процесс кому-то: подробность зависит от уровня того, кому передаю.
5) Для пользователей: минимум условий "если то, то сделайте", максимум картинок, выделение жирным, красным, зелёным и прочими цветами.
Также я автор вводных инструкций по типу "ааа, куда я попал вообще, мне не передали дела, я новенький". Не знаю уж, насколько они мне удаются, но лучше, чем их отсутствие 😊
Вот тебе делать нехрен? Я думаю, это важная часть работы, даже если кто-то так не думает.
Как выстроить классную справочную систему, которую все будут радостно вести, актуализировать (и которая будет правильно структурирована), я всё ещё не знаю. Заниматься графоманией людей обычно не вставляет. И все мои "бу-бу-бу, как обновлять/чинить финтифлюшку если ты в отпуске, напиши хоть пару строк" падают вникуда, но я не прекращаю попыток))
Есть вариант с тем, что система сама себя документирует, эдакий DevOps подход. Но это же не включит в себя реакцию на инциденты, методику диагностики и всё такое. Опять же, к винде не очень применимо, хоть она и переходит на .conf файлы (если я ошибаюсь, ткните, плиз, в пару статей на тему).
Если есть положительный опыт внедрения подобных систем, поделитесь что ли
👍2
Рассказ про прикольную систему образования, которая не выжила
Уж на что-что, а на образование я пожаловаться не могу, оно у меня профильное - айтишное. Система была странная, но интересная, вероятно, продвигал её один энтузиаст из руководства кафедры.
Заключалась в следующем:
1) Даётся база. Да, старые надёжные алгоритмы и pascal. Как хранится int. Как выглядит файл. Простые лабы. Таненбаум про операционные системы. Чтоб вообще начать понимать что происходит.
2) по возможности привлекаются работающие специалисты для преподавания: сети, базы данных, этапы разработки. Они передают прям живые знания
3) все после 4 курса начинают преподавать более младшим. Чем интересуешься - тому и учишь. Устроился стажёром - расскажи что узнал. Некоторых выпускников вставляет педагогика и они остаются ещё год-два-три вести лекции, работая при этом где-то. Во-первых, чтоб кого-то учить, надо досконально разобраться самому. Во-вторых, тянется всё модное и свежее
4) привлекаются бывшие выпускники провести курс или лекцию. Тестирование, графика, регулярки perl, python, Qt, админство linux, "как выступать перед публикой", "как работает жидкокристаллический экран", "как работает процессор intel", "как мы сканируемсиськи грудь на томографе"
5) языки программирования и их дополнения в формате "семестр-курс". Тогда (2007-2011) это были Delphi, C (+ lin/win api), C#, C++, MFC (простихосподи, какая хрень), COM (не можешь заснуть - открой книжку по СОМ), Qt, ещё что-то было. На каждом пишем какой-нить проект, его надо выдумать и не забыть написать документацию. Как только прошли клиент-серверные модели, сокеты изучили - так сразу должен быть клиент и сервер на разных языках писаный. Как прошли многопоточноть - должно быть много потоков и чтоб за ресурсы соревновались обязательно. Разделяемая память, семафоры, мьютексы, именованные каналы, вот это всё. И чтоб пользовательский интерфейс не фризился, и чтоб отрисовка не моргала. Один проект на 2-4 студента - обговори протоколы взаимодействия модулей, не подерись в команде.
6) поощрялись нестандартные выполнения заданий и любая движуха в рамках ИТ
7) Сверху отполировать математикой. Матрицы? Считаем матрицы. Криптография? Вычисления в полях Галуа, а давайте напишем AES, а сделайте мне цифровую подпись и чтоб шифрование выбирать. Ряды. Что-там с диффурами и рядами было, я уже не помню. Графы? Значит строим обходы графов. Ну и т.д.
В результате получались более-менее актуальные знания по (тем) современным веяниям, живые практические знания от специалистов, всё это с классической алгоритмической и математической базой. Да, всё по верхам, но углубиться можно было в любую сторону - хоть фундаментальная математика, хоть роботостроение с ардуинками, хоть фронтэнд, хоть бэк, хоть сети, хоть администрирование. Как только появлялись новые популярные штуки - их начинали включать в программу. Предмет при этом мог называться как угодно, самый популярный вариант был "практикум на ЭВМ". За нами младшим уже читали питон глубоко, Го'шечку тоже вроде читали после нас, я уверена, что вские куберы-докеры тоже вовремя подоспели.
Схема выстраивала чудовищно крепкие вертикальные связи. То есть, студенты с первого по шестой курс общались очень плотно. Плюс навык работы на публику какой-никакой тоже все приобретали.
Не исключаем все сопутствующие высшему образованию предметы: философия, история, физика, анализ и прочее.
Схема держалась лет, наверное, 18-20. К тому моменту как я училась, она стала самоподдерживающейся в плане потока передачи знаний. Не знаю, каков был старт (как учили первых студентов) - не застала. Но держалась она на людях и общем некотором распиздяйстве. Попробуй сейчас скажи, что у вас в пятницу официально 1 пара "практикум на ЭВМ", а неофициально три, после чего коллоквиум до ночи и чтоб сдать зачёт, надо сдать три предмета трём разным людям. Ну это мой вариант, почему всё развалилось, может и иначе было.
Не без недостатков, но, оглядываясь назад и сравнивая с рассказами других, отличная была система!
Уж на что-что, а на образование я пожаловаться не могу, оно у меня профильное - айтишное. Система была странная, но интересная, вероятно, продвигал её один энтузиаст из руководства кафедры.
Заключалась в следующем:
1) Даётся база. Да, старые надёжные алгоритмы и pascal. Как хранится int. Как выглядит файл. Простые лабы. Таненбаум про операционные системы. Чтоб вообще начать понимать что происходит.
2) по возможности привлекаются работающие специалисты для преподавания: сети, базы данных, этапы разработки. Они передают прям живые знания
3) все после 4 курса начинают преподавать более младшим. Чем интересуешься - тому и учишь. Устроился стажёром - расскажи что узнал. Некоторых выпускников вставляет педагогика и они остаются ещё год-два-три вести лекции, работая при этом где-то. Во-первых, чтоб кого-то учить, надо досконально разобраться самому. Во-вторых, тянется всё модное и свежее
4) привлекаются бывшие выпускники провести курс или лекцию. Тестирование, графика, регулярки perl, python, Qt, админство linux, "как выступать перед публикой", "как работает жидкокристаллический экран", "как работает процессор intel", "как мы сканируем
5) языки программирования и их дополнения в формате "семестр-курс". Тогда (2007-2011) это были Delphi, C (+ lin/win api), C#, C++, MFC (простихосподи, какая хрень), COM (не можешь заснуть - открой книжку по СОМ), Qt, ещё что-то было. На каждом пишем какой-нить проект, его надо выдумать и не забыть написать документацию. Как только прошли клиент-серверные модели, сокеты изучили - так сразу должен быть клиент и сервер на разных языках писаный. Как прошли многопоточноть - должно быть много потоков и чтоб за ресурсы соревновались обязательно. Разделяемая память, семафоры, мьютексы, именованные каналы, вот это всё. И чтоб пользовательский интерфейс не фризился, и чтоб отрисовка не моргала. Один проект на 2-4 студента - обговори протоколы взаимодействия модулей, не подерись в команде.
6) поощрялись нестандартные выполнения заданий и любая движуха в рамках ИТ
7) Сверху отполировать математикой. Матрицы? Считаем матрицы. Криптография? Вычисления в полях Галуа, а давайте напишем AES, а сделайте мне цифровую подпись и чтоб шифрование выбирать. Ряды. Что-там с диффурами и рядами было, я уже не помню. Графы? Значит строим обходы графов. Ну и т.д.
В результате получались более-менее актуальные знания по (тем) современным веяниям, живые практические знания от специалистов, всё это с классической алгоритмической и математической базой. Да, всё по верхам, но углубиться можно было в любую сторону - хоть фундаментальная математика, хоть роботостроение с ардуинками, хоть фронтэнд, хоть бэк, хоть сети, хоть администрирование. Как только появлялись новые популярные штуки - их начинали включать в программу. Предмет при этом мог называться как угодно, самый популярный вариант был "практикум на ЭВМ". За нами младшим уже читали питон глубоко, Го'шечку тоже вроде читали после нас, я уверена, что вские куберы-докеры тоже вовремя подоспели.
Схема выстраивала чудовищно крепкие вертикальные связи. То есть, студенты с первого по шестой курс общались очень плотно. Плюс навык работы на публику какой-никакой тоже все приобретали.
Не исключаем все сопутствующие высшему образованию предметы: философия, история, физика, анализ и прочее.
Схема держалась лет, наверное, 18-20. К тому моменту как я училась, она стала самоподдерживающейся в плане потока передачи знаний. Не знаю, каков был старт (как учили первых студентов) - не застала. Но держалась она на людях и общем некотором распиздяйстве. Попробуй сейчас скажи, что у вас в пятницу официально 1 пара "практикум на ЭВМ", а неофициально три, после чего коллоквиум до ночи и чтоб сдать зачёт, надо сдать три предмета трём разным людям. Ну это мой вариант, почему всё развалилось, может и иначе было.
Не без недостатков, но, оглядываясь назад и сравнивая с рассказами других, отличная была система!
👏2
Когда что-то случается
И немножко про деньги
Внезапно, когда в компании много офисов, отделений и т.д. всегда что-то случается. Когда вы видите один офис, то понятно, что у вас раз в год отключат электричество в будний день и это будет событие. А в другой год кабель перекопают к провайдеру и это тоже будет событие.
Когда ваше количество офисов перевалит за 52 (количество недель в году), то со стороны админа всей сети, вы будете наблюдать такие "события" в среднем раз в неделю. А если офисов так и будет прирастать, то и чаще. Это просто статистика. Да, в эту неделю плановое отключение электричества в Х, в следующую наводнение в Y, потом прорыв канализации над серверной в Z, у D перекопают ковшом кабели от обоих провайдеров, у N пропадет спутниковый интернет из-за бури, а в K электроподстанция сдохнет от обрыва проводов под снегом. Потом у Ростелеком будут проблемы с доступностью всего Дальнего Востока, а РКН в субботу рубанёт на час весь IPSec.
И ничего страшного от этого не случится. Где-то подхватится резервный провайдер, где-то можнно заранее перераспределить работу. А где-то всё внезапно встанет. Если у вас не больница или ракетная часть, и не станция перекачивания говна из канализации, то есть не критичная для жизни инфраструктура, то наблюдается следующая, страшная для юных умов штука:
Иногда делать отказоустойчивую инфраструктуру нерентабельно. Вот так просто, вы затратите на инфраструктуру и её обслуживание больше бабла, чем потеряете при простое пару раз в год на сутки в течение 15 лет, например. (тут надо аккуратнно считать деньги, например, есть репутационные риски, которые тоже выражаются в деньгах).
Поэтому вот иметь ups на 5 минут на случай "мигнуло электричество" рентабельно, а иметь стойку ups на два часа работы и дизель-генератор уже не очень.
Или наоборот, вы будете терять килограммы денег в минуту и дизель-генератор со всем его обслуживанием окупится за пару минут, бывает и так и так.
В общем, мысли две:
1) Когда в большой сети что-то постоянно случается - это нормально. Главное, чтоб в целом не падало. Не стоит страдать от неидеальности мира и незелёного заббикса.
2) Когда вы, просветленный после митапа по построению отказоустойчивой инфраструктуры, приходите на работу и хотите сделать "как в лучших домах" - попробуйте посчитать в деньгах разные развития событий и не расстраивайтесь, если три четверти изменений принято не будет. Врочем, это не значит, что к идеалу не стоит стремиться доступными средствами.
Картинка Васи Ложкина
И немножко про деньги
Внезапно, когда в компании много офисов, отделений и т.д. всегда что-то случается. Когда вы видите один офис, то понятно, что у вас раз в год отключат электричество в будний день и это будет событие. А в другой год кабель перекопают к провайдеру и это тоже будет событие.
Когда ваше количество офисов перевалит за 52 (количество недель в году), то со стороны админа всей сети, вы будете наблюдать такие "события" в среднем раз в неделю. А если офисов так и будет прирастать, то и чаще. Это просто статистика. Да, в эту неделю плановое отключение электричества в Х, в следующую наводнение в Y, потом прорыв канализации над серверной в Z, у D перекопают ковшом кабели от обоих провайдеров, у N пропадет спутниковый интернет из-за бури, а в K электроподстанция сдохнет от обрыва проводов под снегом. Потом у Ростелеком будут проблемы с доступностью всего Дальнего Востока, а РКН в субботу рубанёт на час весь IPSec.
И ничего страшного от этого не случится. Где-то подхватится резервный провайдер, где-то можнно заранее перераспределить работу. А где-то всё внезапно встанет. Если у вас не больница или ракетная часть, и не станция перекачивания говна из канализации, то есть не критичная для жизни инфраструктура, то наблюдается следующая, страшная для юных умов штука:
Иногда делать отказоустойчивую инфраструктуру нерентабельно. Вот так просто, вы затратите на инфраструктуру и её обслуживание больше бабла, чем потеряете при простое пару раз в год на сутки в течение 15 лет, например. (тут надо аккуратнно считать деньги, например, есть репутационные риски, которые тоже выражаются в деньгах).
Поэтому вот иметь ups на 5 минут на случай "мигнуло электричество" рентабельно, а иметь стойку ups на два часа работы и дизель-генератор уже не очень.
Или наоборот, вы будете терять килограммы денег в минуту и дизель-генератор со всем его обслуживанием окупится за пару минут, бывает и так и так.
В общем, мысли две:
1) Когда в большой сети что-то постоянно случается - это нормально. Главное, чтоб в целом не падало. Не стоит страдать от неидеальности мира и незелёного заббикса.
2) Когда вы, просветленный после митапа по построению отказоустойчивой инфраструктуры, приходите на работу и хотите сделать "как в лучших домах" - попробуйте посчитать в деньгах разные развития событий и не расстраивайтесь, если три четверти изменений принято не будет. Врочем, это не значит, что к идеалу не стоит стремиться доступными средствами.
Картинка Васи Ложкина
👍4