Как быть хорошим (и ленивым) сисадмином

Статейка неплохая.
>ssh _ROOT_@${i} "df"
Вот только зачем так-то?

>Статья но и чем. +1024

>Настройка удалённого доступа под рутом не опасна, а безумна.

11 лет логинюсь сразу под рутом, что я не так делаю? нет, надо ради понта логиниться юзером а потом немедленно всё равно делать su, или как многие любят сделать sudo su, причем su nopasswd. коли руки дырявые нечего на секурити пинать.

> Настройка удалённого доступа под рутом не опасна, а безумна.

почему же? Я думал ssh как раз и нужен, чтобы это было не безумно, и даже не опасно, а не совсем безопасно.

А вот df смотреть рутом - это конечно черезчур, действительно, безумно :)

нормальная статейка

> что я не так делаю?

Живёшь не так (и вообще зря это делаешь).

> коли руки дырявые нечего на секурити пинать.

Ты идиот. Дыры в OpenSSL находят регулярно. Эксплоиты действующие были неоднократно. А тут всякие недоумки ещё и рута сразу по ssh пускают...

> Я думал ssh как раз и нужен, чтобы это было не безумно, и даже не опасно, а не совсем безопасно.

Ты очень плохо думал. Сходи в школу, поучись думать, и подумай ещё раз.

>Дыры в OpenSSL находят регулярно. Эксплоиты действующие были неоднократно

меньше читайте секуритифокусы. эксплойты действующие. ты хоть один эксплойт действующий видел-то? его пока соберут, уже давно ничего не действует.

Дурак.

У таких как ты до сих пор OpenSSL трёхгодичной давности встретить можно.

>11 лет логинюсь сразу под рутом, что я не так делаю?

11 лет работаешь админом. Пора бы уже и за ум взяться.

>11 лет работаешь админом. Пора бы уже и за ум взяться.

а что под рутом только админы у нас ходят? или как стал директором сразу консольку открыть уже западло?

>Коротко: не подложите себе геморрой своим бездействием.

++ !

А не подскажет ли всезнающий ALL, как одному ленивому сисадмину высосать строчку из LDAP-директории?

ldapsearch из пакета openldap (ldap-utils):
1. выводит результаты своего поиска, нарезая их по 76 символов в строке (зачем?)
2. любые не ascii строки запихивает в файл (не зависит от типа, только от значения, стало быть случайным образом)
3. не дружит оно с setlocale и мультибайтовыми кодировками, а у нас там именно UTF8 :(

ldaptor-utils - не работает в Debian unstable (кроме того не принимает параметров для выполнения bind) :(

Есть ещё варианты?

(Python, Perl, PHP не предлагать, ибо зачем ещё одна, к тому же кривая, самописная и никем не поддерживаемая ldapsearch?)

Ни в коем разе. Квалификация уже не та, какой там к черту рут.

ну хотя бы пойти посмотреть что одмины не лапшу вешают

>Мне кажется, что настраивать систему анализа журналов на нескольких серверах - это слишком много работы. ... Для копирования файлов журналов можно воспользоваться удаленным доступом по SSH, а анализировать журналы локально.

ZOMG

>11 лет работаешь админом. Пора бы уже и за ум взяться.

>а что под рутом только админы у нас ходят?

Ну что ты - только простые юзеры! Но - только у тебя.

>или как стал директором сразу консольку открыть уже западло?
>gigabito

Кому ты пиз^W рассказываешь - схватил метлу директор и быриком пахать!

PS: Почему такие изо всех сил лезут в ИТ? Парадокс.
PPS: Ну разве что деньги?

>ну хотя бы пойти посмотреть что одмины не лапшу вешают
>gigabito

Сюрприз! Для этого рут не нужен!

сюрприз - анонимусы автоматом идут нахуй =)

>> Я думал ssh как раз и нужен, чтобы это было не безумно, и даже не опасно, а не совсем безопасно.

>Ты очень плохо думал. Сходи в школу, поучись думать, и подумай ещё раз.

Анонимус, осиль регистрацию! Разве в том, что я написал что-то не так? Если да, то давай предметно обсудим.

Ррастрелять!!! что еще с ленивым сисадмином делать.

Отцы!!! Вы не поняли главного, это не статья о том, как и что... Это статья человека, который поделился, что ему не влом было написать что что будет полезно для работы. А не ждать, пока за него кто-то напишет. Ему не втягость сделать одно-два движение, чтобы облегчить свой труд. Он знает, что и как у него работает. Он решает проблему, потому что знает как её решать. Вот и все, что он хотел сказать...

А вы su - sudo su ...

Ленивый админ поставил бы заббикс и не парился

хм.. безпарольный доступ по сертификатам... как сложно...

я бы сделал через expect как-нибудь..

Хотя да никому кроме рута не дашь позапускать...

впрочем я бы не дал и в случае с сертификатами запускать никому.. это ж любой может свой скрипт написать.. и посносить все нафиг.. это из под рута то..

Я бы даже самым отлаженным скриптам которые ничего не меняют не дал бы доступа рута, это ведь юникс вей, действие с миминмально допустимыми правами.

Меня реально прут линуксоиды, до сих пор считающие, что под майкрософт не существует Power Shell, что групповые политики это что-то из разряда сатанинских жервтоприношений и что виндовые админы только и делают, что "чего-нибудь настраивают".

У меня на работе аптайм виндовых серверов строго равен аптайму электросети (плюс время жизни упсов). И объём работ на них сравнимый. Ну, иногда глянуть чего лишнего у пользователей в профилях прибить или помочь секретарше с созданием ярлычка.

Вопрос не в системе. Вопрос в прокладке между пользователями и серверами.

Если человек криворукий ламер, то да, он таки будет руками накатывать все апдейты. Умный админ настроит WSUS и расслабится. Линуксоид будет старательно высчитывать количество сеточек в грепе, виндузятник настроит GPO на SITE с loopback processing и у машин автоматом будут применяться групповые политики в зависимости от их физического нахождения (офис Москве - московские настройки и московская же инфраструктура, офис в Париже - парижские настройки, с учётом временного пояса, добавления француского языка в список раскладок и т.д.).

Не, я понимаю, что вместо групповой политики можно ВЗЯТЬ И НАПИСАТЬ САМОМУ. Но нахуя, если оно и так работает?

(алсо: шлюз и хостинг на бзде, сеть на цисках. А работа на винде с MSSQL/EXCHANGE/Terminal Services).

> Меня реально прут линуксоиды, до сих пор считающие, что под майкрософт не существует Power Shell, что групповые политики это что-то из разряда сатанинских жервтоприношений и что виндовые админы только и делают, что "чего-нибудь настраивают".

> Если человек криворукий ламер, то да, он таки будет руками накатывать все апдейты. Умный админ настроит

Да видишь ли... Это понятно что хороший пряморукий и всё такое. Дело в другом. Изучать систему и методы администрирования, ботанить и красноглазить под закрытой Виндой или под открытым Линукс. Какбе неприятно, под виндой-то лучшие годы просирать, сколько бы тебе за это ни платили. Морально тяжело, поддерживать своим трудом (потом и кровью :) ) гнилую систему в нашем непростом многополярном мире :)

Тем более когда госслужбы (точно решено) переходят на Линукс, 1С-ники усиленно готовят нативные клиенты, школы начали ковать будущие кадры для госучреждений, обучать под Линукс, тенденции ясны и процесс идет очень уверенно и интересно. И ВНЕЗАПНО какой смысл возякаться и изучать старье, вникать как Виндовозы всякие админить?

> Вопрос не в системе. Вопрос в прокладке между пользователями и серверами.

Угумс, только, в указанном месте находятся СЕРВИСЫ, а не обслуживающий персонал.

> Если человек криворукий ламер, то да, он таки будет руками накатывать все апдейты.

А, вот, это -- полная чушь. Подобная полная доверчивость не просто опасна, но, даже, преступна для профессионала. (Я сказал слово "профессионал")

> Умный админ настроит WSUS и расслабится. Линуксоид будет старательно высчитывать количество сеточек в грепе, виндузятник настроит GPO на SITE с loopback processing и у машин автоматом будут применяться групповые политики в зависимости от их физического нахождения (офис Москве - московские настройки и московская же инфраструктура, офис в Париже - парижские настройки, с учётом временного пояса, добавления француского языка в список раскладок и т.д.).

Теоретически, всё хорошо, пока оно работает.

> Не, я понимаю, что вместо групповой политики можно ВЗЯТЬ И НАПИСАТЬ САМОМУ. Но нахуя, если оно и так работает?

А настройки групповых политик ты где взял, теоретик хренов? Сами материализовались?

> (алсо: шлюз и хостинг на бзде, сеть на цисках. А работа на винде с MSSQL/EXCHANGE/Terminal Services).

О, Профессионал! Что и как у тебя настроено? Какова политика backup, что происходит при выходе из строя материнско платы сервера, каково максимальное время простоя твоих сервисов MSSQL и EXCHANGE, каково поведение системы безопасности при изменении схем доверия доменов и делегирования?

> Если человек криворукий ламер, то да, он таки будет руками накатывать все апдейты. Умный админ настроит WSUS и расслабится. Линуксоид будет старательно высчитывать количество сеточек в грепе, виндузятник настроит GPO на SITE с loopback processing и у машин автоматом будут применяться групповые политики в зависимости от их физического нахождения (офис Москве - московские настройки и московская же инфраструктура, офис в Париже - парижские настройки, с учётом временного пояса, добавления француского языка в список раскладок и т.д.).

> Не, я понимаю, что вместо групповой политики можно ВЗЯТЬ И НАПИСАТЬ САМОМУ. Но нахуя, если оно и так работает?

Кстати, как настроить групповые политики, чтоб все USB-флэшки у пользователей некоторой транснациональной группы монтировались "только на чтение" и не более того?

>офис Москве - московские настройки и московская же инфраструктура, офис в Париже - парижские настройки

Вроде это только в 2008 появилось?

> Ррастрелять!!! что еще с ленивым сисадмином делать.

Что вы, достаточно просто уволить.

> Меня реально прут линуксоиды, до сих пор считающие, что под майкрософт не существует Power Shell, что групповые политики это что-то из разряда сатанинских жервтоприношений и что виндовые админы только и делают, что "чего-нибудь настраивают".

А меня реально прут снобы-вендоадмины, до сих пор считающие, что под линукс не существует сервера каталогов, что групповые политики в линуксе - что-то из разряда сатанинских жертвоприношений, и что линукс-админы только и делают, что постоянно что-то настраивают исключительно через консоль.

не у всех в России есть такие деньги. И зачем серверу гуй? ЗЫ: правильно пишется "сиско".

А что такое групповые политики в линаксе? Как ими централизовано управлять?

> А что такое групповые политики в линаксе? Как ими централизовано управлять?

В samba они настраиваются и управляются. Распространяются только на виндовых клиентов, заведенных в samba-домен, разумеется. Управлять ими можно с линукса редактором текстовых файлов, или через гуй прямо с виндовой станции - почти так же, как на виндовом домене.

А если хочется именно аналог линуксовый, то нужен соотвествующий сервер и клиенты. Решения есть - ну там FreeIPA из новенького/перспективного, или можно классику какую-нибудь поставить - на базе Sun Identity Manager или аналогов.. Правда, почти вся "классика" больше рассчитана на централизованное руление по серверной части, а не десктопами пользователей.

Детка, тебе не сказали, что Линукс насквозь дырявое решето?!

> Детка, тебе не сказали, что Линукс насквозь дырявое решето?!

Осторожнее, утонешь! Нельзя так сильно газифицировать лужу!

>Человек привёл _плохой_ пример автоматизации своей работы.
+1
nagios с мониторингом справляется лучше (включая место на дисках, нагрузку, количество процессов etc)