РОЛПИТ* представляет
Jan. 26th, 2019 02:17 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
scif_yarРОЛПИТ* представляет цикл статей "Ежедневная работа в системном администрировании (СА)".
Статья 1. Системное администрирование - это учет и контроль!
Введение.
Отовсюду мы слышим стоны. Со всех концов нашей обширной страны взывают о помощи. Мы должны протянуть руку помощи, и мы ее протянем.
Что за стоны, спросите вы?
TL:DR Очевидные для многих вещи, смотреть не на что, очередная скучная статья с потоком сознания.
Стоны простые. Ввиду того, что системные администраторы в РФ становятся не нужны, то вместо них наши любимые менеджеры типа Сова набирают "кого подешевле". Аргументация "почему не надо денег платить" бывает различная, наиболее часто сейчас встречается вариант Нам нужны увлеченные люди, работающие не ради денег, доводящие дело до конца. Как верно замечено - Последний раз когда мне предлагали работать «не ради денег, ради кайфа, мечтаний и удовольствия когда видишь как это железяка работает» это делал человек, приехавший на новеньком GLK.
Обсуждать такой вопрос с Совой и ее представителями можно, начиная с вопроса
- почему мне стоит заниматься у вас возможно интересной работой за 2 оклада в местном макдональдсе, если я могу заниматься не менее (возможно, что и более) интересной работой за 3-5 предлагаемых вами окладов, и без риска внезапно узнать, что я разгласил Главную Военную Тайну ?
Обещания "нет никакой тайны" можете смело отправлять в dev/null, как, впрочем, и любые другие устные предварительные обещания.
Впрочем, вопрос найма, собеседований и мотивации ранее неоднократно разбирался на хабре, нет необходимости повторять одно и то же.
В итоге Совы набирают молодых админов, и потом молодые админы плачут, стонут и просят помощи по типовым вопросам, которые давно разъяснены.. где-то.
Умение ходить в гугль, к сожалению, тоже постепенно утрачивается.
Возможно, это связано с тем, что путь Junior - Middle - Senior более денежен, чем эникей-админ, и более прост.
С фундаментальным же ИТ-образованием (в области системного администрирования) в РФ сейчас дела обстоят примерно никак, на курсы никакая сова никогда не отправит, поэтому кому-то придется сделать очередной набор FAQ, чем наше общество и занимается, с переменным успехом в виде неимеющегоаналоговтруда, подборки бложиков и перерывами на Overwatch и прочую дотку.
Социализм Системное администрирование - это строжайший учет и контроль
Как это ни странно звучит, техника себя не посчитает и не учтет (на самом деле нет).
Конечно, есть бухучет "чего у нас есть вообще", но для рабочих задач известная желтая программа подходит почти никак.
Наиболее часто случается необходимость учета следующих сущностей:
- Адресное пространство (управление адресным пространством, IPAM) и автоматизация управления им.
- Учет материальных ценностей (что и где)
- Учет паролей, особенно если их много, а часть из них имеет срок действия (сертификатов это тоже касается)
- Учет текущего состояния, или собственно мониторинг и оповещение.
1. Учет адресов и материальных ценностей.
На самом простом уровне, для управления пользовательским сегментом вполне хватает DHCP, без осложнений вида 802.1x (EAP) или уже забытого NAP (NAP was deprecated in Windows Server 2012 R2 and removed from Windows Server 2016.)
Для учета 5 физических серверов при одном администраторе вполне хватает таблицы в Excel.
Как только у нас возникает многоходовочка вида "есть сервер в стойке, подключен в два коммутатора, на нем виртуализация" - этих методов перестает хватать.
Схема "что куда подключено" становится сложной, за сети же вообще отвечает другая команда, которая может сидеть в другом здании.
Решением является внедрение любого из серверов IPAM. Из всего многообразия продуктов необходимо отметить MS IPAM, а из более-менее живых - GestióIP, Netbox и phpipam.
В то же системе ведется и параллельный учет материальных ценностей, хотя бы в виде комментариев "что там внутре", и "что в какой порт какой картой подключено".
Минус продуктов: IPAM сам по себе (искаропки) не способен опросить И коммутаторы, И SAN свичи, И все используемое железо, и значит чудесной кнопки "сделать хорошо" нет - наоборот, необходима и первичная инвентаризация, и последующий административный учет, чтобы изменения в системах синхронизировались и с IPAM.
Необходимое уточнение.
Современные системы учета вообще способны опрашивать и коммутаторы, и строить карты сетей, на основе CDP, LLDP и прочего CIM и что там в SAN сетях еще есть, однако кто ж неизвестному серверу просто так отдаст LLDP или mac-address-table ? И тем более, как IPAM узнает, как ваши именования серверов соотностятся с площадкой, помещением, стойкой и позицией в стойке? Да, в системах есть некий функционал, но его так просто не всегда удается добыть.
2. Учет паролей.
Первой стадией учета является листочек с паролями, в Notepad, Excel или OneNote.
Плюс - все наглядно, минус - сложно использовать, если необходимо делегировать часть паролей кому-то.
Второй и наиболее удобной стадией является заведение всего, чего только нужно для ежедневной работы, в LDAP, в частности к MS AD. Проблем тут три:
2.1 Лень и незнание.
Граждане не понимают основ информационной безопасности, и работают от доменного администратора на локальной машине. Итог всегда один
- сначала уходит этот пароль
- потом злые люди получают удаленный доступ к вашей системе (этот этап случается всегда, просто у кого то чуть позже, поскольку сотрудники с такой квалификацией и на такие зарплаты используют вместо современного антивируса - разнообразные антивирусозаместители, например Антивирус Бабушкина, или схожие по функционалу продукты на A, N, и так далее)
- затем уходит управление бухгалтерией, и(или) случается дозагрузка майнера-двух на недозагруженные контроллеры и хосты.
- Это не рассматривая тот очевидный факт, что с методологией AGDLP мало кто знаком, и уж тем более не знаком с LDAP Troubleshooting, полный неочевидных вещей.
2.2 Не все сервисы поддерживают LDAP.
В ряде случаев вы в принципе не можете использовать LDAP, поскольку у вас инфраструктура виртуализирована, а значит вам надо разнести управление хостом (разного рода root, local admin и так далее) от инфраструктуры. В противном случае, вы не сможете (например, при полном отключении электричества) поднять сначала хост, потом на нем VM с AD DC.
2.3 Делегирование и безопасность.
Для ряда служебных учетных записей пароль необходимо передавать, причем если сервисов много, то и пароль надо передавать достаточно часто, синхронизировать и так далее. Конечно, можно внедрить RMS в расшаренный и зашифрованный документ Excel, но для RMS неплохо бы иметь Active Directory Certificate Services, и это не такая простая задача для начинающих. Точнее, сам AD CS ставится как далее-далее-готово, но, как говорил Василий Иванович - есть нюанс. И да, с появление Let's encrypt это актуально для тех, у кого нет 35$.
Еще раз для тех, кто не понял: любая передача паролей не отменяет необходимости проверки подлинности все равно через LDAP.
Всегда есть вопрос безопасности самого файла (чтобы не удалили и не раздавали), и его резервного копирования и версионности.
Отсюда возникает вопрос использования Password management, кроме сервиса авторизации.
Еще раз, Password management - -ne (или !=) authentication and authorization. Хранение паролей - одна система, проверка правильности - другая.
Из всего множества сервисов, мне пока не удалось выбрать наиболее удобный. Коллеги в одном уютном чате много обсуждали разнообразные варианты, в том числе и Rattic, но к единому мнению и доводам плюсов и минусов так и не пришли. Если кто пробовал разные - может написать в комменты.
Минус тот же - хотя в системах Password management и есть API, но искаропки все же пароли необходимо синхронизировать вручную.
Это огромная дыра в безопасности, если в системе будут пароли уровня Domain Admin, и база так или иначе утечет - поскольку по понятным причинам вся база если и зашифрована, то обратимо, иначе как она вам пароли покажет?
Кроме прочего, Rattic хвалили тут, может и не так плох.
3. Мониторинг.
Продуктов для текущего мониторинга достаточно много, однако есть одно НО.
Одно НО заключается в том, чего же мы хотим. Ряд продуктов достаточно узко заточен под сбор статистики и только.
Другие продукты отлично работают искаропки (PRTG, Zabbix), но стоит чуть выйти за рамки привычного, могут начаться проблемы (не просто могут, но и начинаются).
Идеального продукта "на все случаи жизни" нет.
Тем не менее для начала, когда хостов и собираемых данных немного, я бы начал с двух широко известных продуктов:
3.1 Попроще и поудобнее на начальном этапе, особенно если не знаете про Linux почти ничего - бесплатная версия PRTG под Windows.
3.2 Посложнее, если не боитесь Linux и умеете читать - Zabbix.
Плюсы PRTG.
Есть бесплатная ограниченная версия. Ограничения в ней касаются только числа сенсоров (100 штук в бесплатной версии), остальной функционал в полном порядке.
В комплекте модули для оповещения по электронной почте, и, если приложить немного рук и времени - для заблокированного в РФ %известного ПО%.
Все достаточно просто и наглядно, есть очень удобная утилита для отладки SNMP (бесплатная, Paessler SNMP, есть отдельно).
Минусы PRTG.
Все же продукт платный, и под Windows, поэтому минус одна лицензия на Windows Server(если вы не купили лицензию DC, конечно)
Zabbix.
Весь бесплатный, но для первого запуска, и дальнейшего администрирования, придется много читать, править много шаблонов, и рано или поздно понять и пгостить ряд его проблем.
Общая административная проблема мониторинга.
У любого мониторинга есть одна проблема - попытка следить за всем сразу.
Решите, за чем именно вы следите. Наиболее частая ошибка - попытка уследить за всем в режиме реального времени, на выходе - нечитаемая панель статусов, извещения "все хорошо" в почте идут сразу в папку "удаленные", и туда же рано или поздно попадают действительно важные сообщения.
Для тех, кто дочитал. Предполагаемые темы следующих статей, если это кому-то интересно: (кому не интересно, так и пишите в комментах - мне не интересно, лучше пишите про: ..
2. Семь вещей, которые должен слышать каждый ребенок
3. Как сделать установку обновлений простой и приятной задачей для всех - от пользователей ПК (и да, это про WSUS и не только, до серверов и сервисов (это уже про SPP и аналоги, Oneview, VUM и Exchange как базовые вещи, отдельно остановившись на Sorrowfulgod UpdateService)
4. Все мы учились понемногу, или с чего начать общее знакомство с темой системного администрирования, и чем продолжить.
Известные книги, бложики, клубы, виртуальное гетто и прочая ссылкота.
5. Переезд из физики, или еще раз про P2V.
6. Переезд с физики-2, или еще раз про Vmware View Planner, и прочую полезную ссылкоту
7. Переезд в облако, что почем и зачем. Плюсы, минусы, подводные камни.
8. Телеграмма устно или задним числом, или общие методы методологии разбора "что это было, Пух".
Про дебаги, падения серверов и сервисов, как уменьшить эти риски и как включать всякий дебаг.
9. От cmd, WSH и VBS к Повершелл (в том числе powercli), баш, далее везде.
Автоматизация простых ежедневных задач.
10. Знай свои нагрузки. О реальной загруженности интерфейсов, скоростях доступов и прочей latency.
*Что такое РОЛПИТ.
РОЛПИТ - это Российское общество любителей пиццы и информационных технологий, ранее собиравшееся в пиццерии на Лесной, 9. Сейчас, ввиду необычайных успехов в импортозамещении, практически не собирается.
Статья 1. Системное администрирование - это учет и контроль!
Введение.
Отовсюду мы слышим стоны. Со всех концов нашей обширной страны взывают о помощи. Мы должны протянуть руку помощи, и мы ее протянем.
Что за стоны, спросите вы?
TL:DR Очевидные для многих вещи, смотреть не на что, очередная скучная статья с потоком сознания.
Стоны простые. Ввиду того, что системные администраторы в РФ становятся не нужны, то вместо них наши любимые менеджеры типа Сова набирают "кого подешевле". Аргументация "почему не надо денег платить" бывает различная, наиболее часто сейчас встречается вариант Нам нужны увлеченные люди, работающие не ради денег, доводящие дело до конца. Как верно замечено - Последний раз когда мне предлагали работать «не ради денег, ради кайфа, мечтаний и удовольствия когда видишь как это железяка работает» это делал человек, приехавший на новеньком GLK.
Обсуждать такой вопрос с Совой и ее представителями можно, начиная с вопроса
- почему мне стоит заниматься у вас возможно интересной работой за 2 оклада в местном макдональдсе, если я могу заниматься не менее (возможно, что и более) интересной работой за 3-5 предлагаемых вами окладов, и без риска внезапно узнать, что я разгласил Главную Военную Тайну ?
Обещания "нет никакой тайны" можете смело отправлять в dev/null, как, впрочем, и любые другие устные предварительные обещания.
Впрочем, вопрос найма, собеседований и мотивации ранее неоднократно разбирался на хабре, нет необходимости повторять одно и то же.
В итоге Совы набирают молодых админов, и потом молодые админы плачут, стонут и просят помощи по типовым вопросам, которые давно разъяснены.. где-то.
Умение ходить в гугль, к сожалению, тоже постепенно утрачивается.
Возможно, это связано с тем, что путь Junior - Middle - Senior более денежен, чем эникей-админ, и более прост.
С фундаментальным же ИТ-образованием (в области системного администрирования) в РФ сейчас дела обстоят примерно никак, на курсы никакая сова никогда не отправит, поэтому кому-то придется сделать очередной набор FAQ, чем наше общество и занимается, с переменным успехом в виде неимеющегоаналоговтруда, подборки бложиков и перерывами на Overwatch и прочую дотку.
Как это ни странно звучит, техника себя не посчитает и не учтет (на самом деле нет).
Конечно, есть бухучет "чего у нас есть вообще", но для рабочих задач известная желтая программа подходит почти никак.
Наиболее часто случается необходимость учета следующих сущностей:
- Адресное пространство (управление адресным пространством, IPAM) и автоматизация управления им.
- Учет материальных ценностей (что и где)
- Учет паролей, особенно если их много, а часть из них имеет срок действия (сертификатов это тоже касается)
- Учет текущего состояния, или собственно мониторинг и оповещение.
1. Учет адресов и материальных ценностей.
На самом простом уровне, для управления пользовательским сегментом вполне хватает DHCP, без осложнений вида 802.1x (EAP) или уже забытого NAP (NAP was deprecated in Windows Server 2012 R2 and removed from Windows Server 2016.)
Для учета 5 физических серверов при одном администраторе вполне хватает таблицы в Excel.
Как только у нас возникает многоходовочка вида "есть сервер в стойке, подключен в два коммутатора, на нем виртуализация" - этих методов перестает хватать.
Схема "что куда подключено" становится сложной, за сети же вообще отвечает другая команда, которая может сидеть в другом здании.
Решением является внедрение любого из серверов IPAM. Из всего многообразия продуктов необходимо отметить MS IPAM, а из более-менее живых - GestióIP, Netbox и phpipam.
В то же системе ведется и параллельный учет материальных ценностей, хотя бы в виде комментариев "что там внутре", и "что в какой порт какой картой подключено".
Минус продуктов: IPAM сам по себе (искаропки) не способен опросить И коммутаторы, И SAN свичи, И все используемое железо, и значит чудесной кнопки "сделать хорошо" нет - наоборот, необходима и первичная инвентаризация, и последующий административный учет, чтобы изменения в системах синхронизировались и с IPAM.
Необходимое уточнение.
Современные системы учета вообще способны опрашивать и коммутаторы, и строить карты сетей, на основе CDP, LLDP и прочего CIM и что там в SAN сетях еще есть, однако кто ж неизвестному серверу просто так отдаст LLDP или mac-address-table ? И тем более, как IPAM узнает, как ваши именования серверов соотностятся с площадкой, помещением, стойкой и позицией в стойке? Да, в системах есть некий функционал, но его так просто не всегда удается добыть.
2. Учет паролей.
Первой стадией учета является листочек с паролями, в Notepad, Excel или OneNote.
Плюс - все наглядно, минус - сложно использовать, если необходимо делегировать часть паролей кому-то.
Второй и наиболее удобной стадией является заведение всего, чего только нужно для ежедневной работы, в LDAP, в частности к MS AD. Проблем тут три:
2.1 Лень и незнание.
Граждане не понимают основ информационной безопасности, и работают от доменного администратора на локальной машине. Итог всегда один
- сначала уходит этот пароль
- потом злые люди получают удаленный доступ к вашей системе (этот этап случается всегда, просто у кого то чуть позже, поскольку сотрудники с такой квалификацией и на такие зарплаты используют вместо современного антивируса - разнообразные антивирусозаместители, например Антивирус Бабушкина, или схожие по функционалу продукты на A, N, и так далее)
- затем уходит управление бухгалтерией, и(или) случается дозагрузка майнера-двух на недозагруженные контроллеры и хосты.
- Это не рассматривая тот очевидный факт, что с методологией AGDLP мало кто знаком, и уж тем более не знаком с LDAP Troubleshooting, полный неочевидных вещей.
2.2 Не все сервисы поддерживают LDAP.
В ряде случаев вы в принципе не можете использовать LDAP, поскольку у вас инфраструктура виртуализирована, а значит вам надо разнести управление хостом (разного рода root, local admin и так далее) от инфраструктуры. В противном случае, вы не сможете (например, при полном отключении электричества) поднять сначала хост, потом на нем VM с AD DC.
2.3 Делегирование и безопасность.
Для ряда служебных учетных записей пароль необходимо передавать, причем если сервисов много, то и пароль надо передавать достаточно часто, синхронизировать и так далее. Конечно, можно внедрить RMS в расшаренный и зашифрованный документ Excel, но для RMS неплохо бы иметь Active Directory Certificate Services, и это не такая простая задача для начинающих. Точнее, сам AD CS ставится как далее-далее-готово, но, как говорил Василий Иванович - есть нюанс. И да, с появление Let's encrypt это актуально для тех, у кого нет 35$.
Еще раз для тех, кто не понял: любая передача паролей не отменяет необходимости проверки подлинности все равно через LDAP.
Всегда есть вопрос безопасности самого файла (чтобы не удалили и не раздавали), и его резервного копирования и версионности.
Отсюда возникает вопрос использования Password management, кроме сервиса авторизации.
Еще раз, Password management - -ne (или !=) authentication and authorization. Хранение паролей - одна система, проверка правильности - другая.
Из всего множества сервисов, мне пока не удалось выбрать наиболее удобный. Коллеги в одном уютном чате много обсуждали разнообразные варианты, в том числе и Rattic, но к единому мнению и доводам плюсов и минусов так и не пришли. Если кто пробовал разные - может написать в комменты.
Минус тот же - хотя в системах Password management и есть API, но искаропки все же пароли необходимо синхронизировать вручную.
Это огромная дыра в безопасности, если в системе будут пароли уровня Domain Admin, и база так или иначе утечет - поскольку по понятным причинам вся база если и зашифрована, то обратимо, иначе как она вам пароли покажет?
Кроме прочего, Rattic хвалили тут, может и не так плох.
3. Мониторинг.
Продуктов для текущего мониторинга достаточно много, однако есть одно НО.
Одно НО заключается в том, чего же мы хотим. Ряд продуктов достаточно узко заточен под сбор статистики и только.
Другие продукты отлично работают искаропки (PRTG, Zabbix), но стоит чуть выйти за рамки привычного, могут начаться проблемы (не просто могут, но и начинаются).
Идеального продукта "на все случаи жизни" нет.
Тем не менее для начала, когда хостов и собираемых данных немного, я бы начал с двух широко известных продуктов:
3.1 Попроще и поудобнее на начальном этапе, особенно если не знаете про Linux почти ничего - бесплатная версия PRTG под Windows.
3.2 Посложнее, если не боитесь Linux и умеете читать - Zabbix.
Плюсы PRTG.
Есть бесплатная ограниченная версия. Ограничения в ней касаются только числа сенсоров (100 штук в бесплатной версии), остальной функционал в полном порядке.
В комплекте модули для оповещения по электронной почте, и, если приложить немного рук и времени - для заблокированного в РФ %известного ПО%.
Все достаточно просто и наглядно, есть очень удобная утилита для отладки SNMP (бесплатная, Paessler SNMP, есть отдельно).
Минусы PRTG.
Все же продукт платный, и под Windows, поэтому минус одна лицензия на Windows Server(если вы не купили лицензию DC, конечно)
Zabbix.
Весь бесплатный, но для первого запуска, и дальнейшего администрирования, придется много читать, править много шаблонов, и рано или поздно понять и пгостить ряд его проблем.
Общая административная проблема мониторинга.
У любого мониторинга есть одна проблема - попытка следить за всем сразу.
Решите, за чем именно вы следите. Наиболее частая ошибка - попытка уследить за всем в режиме реального времени, на выходе - нечитаемая панель статусов, извещения "все хорошо" в почте идут сразу в папку "удаленные", и туда же рано или поздно попадают действительно важные сообщения.
Для тех, кто дочитал. Предполагаемые темы следующих статей, если это кому-то интересно: (кому не интересно, так и пишите в комментах - мне не интересно, лучше пишите про: ..
2. Семь вещей, которые должен слышать каждый ребенок
3. Как сделать установку обновлений простой и приятной задачей для всех - от пользователей ПК (и да, это про WSUS и не только, до серверов и сервисов (это уже про SPP и аналоги, Oneview, VUM и Exchange как базовые вещи, отдельно остановившись на Sorrowfulgod UpdateService)
4. Все мы учились понемногу, или с чего начать общее знакомство с темой системного администрирования, и чем продолжить.
Известные книги, бложики, клубы, виртуальное гетто и прочая ссылкота.
5. Переезд из физики, или еще раз про P2V.
6. Переезд с физики-2, или еще раз про Vmware View Planner, и прочую полезную ссылкоту
7. Переезд в облако, что почем и зачем. Плюсы, минусы, подводные камни.
8. Телеграмма устно или задним числом, или общие методы методологии разбора "что это было, Пух".
Про дебаги, падения серверов и сервисов, как уменьшить эти риски и как включать всякий дебаг.
9. От cmd, WSH и VBS к Повершелл (в том числе powercli), баш, далее везде.
Автоматизация простых ежедневных задач.
10. Знай свои нагрузки. О реальной загруженности интерфейсов, скоростях доступов и прочей latency.
*Что такое РОЛПИТ.
РОЛПИТ - это Российское общество любителей пиццы и информационных технологий, ранее собиравшееся в пиццерии на Лесной, 9. Сейчас, ввиду необычайных успехов в импортозамещении, практически не собирается.
no subject
Date: 2019-01-26 06:31 pm (UTC)https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/debugger-download-tools
process explorer
process monitor
no subject
Date: 2019-01-29 12:36 pm (UTC)no subject
Date: 2019-02-01 07:01 pm (UTC)И я не выпилился, а скапйп не поставил