Руководство системного администратора • третье издание { h h y с п п т п р



Pdf просмотр
страница76/82
Дата12.11.2016
Размер7.94 Mb.
Просмотров13851
Скачиваний0
ТипРуководство
1   ...   72   73   74   75   76   77   78   79   ...   82
JTIOOVJO задачу можно успешно выполнить только после выявления и устранения всех шероховатостей. Типичная жалоба пользователя звучит так "команда или программа X не работает на машине Y". Администратор отправляется на машину Y. выполняет команду X, и все работает прекрасно. Он отвечает пользователю. У меня все работает" Нона самом деле администратор часто выполняет не совсем го. что сделал пользователь, или тоже самое, ион другой срсдс Например, администратор должен не забыть непосредственно перед проблемной командой выполнить команду sudo su - имя пользователя, чтобы применить те же параметры среды, что и пользователь. Пользователи обычно огорчаются, если проблему не удается полностью решить с первой попытки, ПОЭТОМУ старайтесь настраивать их соответствующим образом. Пригласите пользователя, сообщившего о проблеме, поработать вместе с вами над ее решением, особенно если проблема связана с освоением незнакомого пакета программ Вы получите дополнительную информацию, а пользователь уже ие будет считать ваше участие чисто консультативным.
8 « 0
Чость III Роз но е

27.8. Невыдуманные истории В этом параграфе рассматриваются этические вопросы. Дело в том. что в работе системных администраторов многое строится на доверии. Администратор должен уважать конфиденциальность информации, с которой работают пользователи, и защищать профессиональные секреты компании. На доверии основываются отношения как с пользователями, таки с руководством компании, и без него администраторам очень трудно выполнять свою работу. Личная и профессиональная честность администратора совершенно бесценны, так что старайтесь никогда не давать окружающим повода в ней сомневаться В этом разделе мы предлагаем вашему вниманию "военные истории, иллюстрируюшие этические дилеммы, которые могут встать перед системным администратором. Некоторые из них мы извлекли из собственной практики, а о некоторых узнали из других источников, иногда через энные руки, поэтому абсолютную точность не гарантируем Ошибка начальника (номер один) Однажды декан факультета ошибся и послал данные о персонале не в исполнительный комитет, для которого они предназначались, а всем сотрудникам факультета. Он попросил администратора-студента, работавшего в те выходные, откорректировать содержимое электронных почтовых яшиков сотрудников и изъять это сообщение. Должен ли студент делать это Должен ли он отказаться Должен ли он прочесть подлежащее изъятию сообщение и решить для себя, достаточно ли оно серьезно для того, чтобы оправдать вторжение в частные владения В этом примере администратор все-таки сделал то. о чем его попросили, но потребовал, чтобы декан послал сотрудникам факультета сообщение с разъяснением того, что произошло. Он поставил еше одно условие сообщение из почтовых яшиков будет изыматься в присутствии свидетеля, который убедится, что администратор никуда больше не влезает. Это, несомненно, хорошее решение удовлетворило и администратора, и декана. Ошибка начальника (намер два) Новая секретарша крупной компании по производству компьютеров слабо разбиралась в ОС UNIX и электронной почте. В конце своей первой рабочей недели она послала начальнику сообщение о том, насколько хороша предоставленная ей работа и как помогли ей все сотрудники. Вот ее командная строка
% mail boss I like toy new job, everyone is so helpful,
thank you. Working here for you will be really fun ...
Начальник прочел это сообщение ив ответ послач шутливое грубо-сек- суальное замечание относительно размера ее бюста. Другие сотрудники
(everyone было общим псевдонимом лля всех сотрудников) отметили необходимость наличия символа возврата каретки между именем получателя и самим сообщением. Через несколько часов начальник позвонил главному администратору который к тому времени прочел и сообщение секретарши, и ответ босса) и сказал, что допустил ошибку (вероятно, вместо г поставил R), поэтому копии сообщения нужно изъять из почтового ящика everyone, те. у нескольких тысяч служащих. Нечего и говорить, что администратор отказался.
Глово 27. Стротегия и политике одминистрировония
84,

Дэн, твое новое имя — Лестер Эта история произошла в американской компании с несколькими тысячами сотрудников и несколькими офисами. Использовавшаяся в этой компании коммерческая программа для работы с электронной почтой умела находить и преобразовывать имена получателей почты, вводимые в строке "То. Новый начальник отдела кадров по фамилии, скажем, Смит-Джо не была в ярости, поскольку предназначавшаяся ей важная электронная почта направлялась другому человеку по фамилии Джонс. Похоже, что люди, направлявшие ей эти сообшения, вводили в строке "То" просто "Джонс" и не смотрели, как преобразовывается эта фамилия. Все это происходило в то время, когда компания реорганизовывалась и некоторые сотрудники увольнялись. Сообщения как рази касались увольнений. В результате руководство стало требовать "исправить ошибку. Созывались совещания, приглашалась эксперты. Один из руководителей даже предложил переименовать Джонса в базах данных компании И наконец, когда казалось, что проблема неразрешима, один из руководителей информационного отдела выступили сказал, что все это вопрос обучения пользователей. В конце концов пользователей, которые отправляли сообше- ния не тому человеку, просто научили сначала смотреть, кому отправляется сообщение, и только после этого давать команду отправки. Кого увольнять
Администратор-новичок и ученик оператора нашли способ проникновения в студенческие компьютеры вычислительного центра. Этими компьютерами управляла другая группа, известная своими крайне консервативными взглядами. Новички хотели сохранить "черный ход. Когда они собирались редактировать файл /etc/passwd, старший администратор дал им совет — вместо vi воспользоваться редактором vipw. После создания "черного хода" новички им не пользовались, в отличие от старшего администратора, который был в конце концов на этом пойман Кого следует уволить Наш ответ либо всех троих, либо одного старшего администратора, который должен был воспрепятствовать попытке взлома, узнав о ней, г не советовать и подсказывать, как сделать "черный ход. В да)том случае, однако, руководство посчитало, что старший администратор — слишком ценный сотрудники терять его нельзя, поэтому УВОЛИЛИ двух новичков. На наш взгляд, это очень плохое управленческое решение. Оценивая поведение человека по степени его важности для организаций, а не по установленными строго соблюдаемым правилам, организация рискует постоянно выступать ответчиком в суде (ие говоря уже о рассерженных служащих с винтовками наперевес. Упрямец Джо Джо. новый администратор крупной компании по производству компьютеров. увлекся секретаршей и пригласил ее на свидание. Она отказалась Через неделю секретарша сказала одному из старших администраторов, что компьютер постоянно сообщает ей о наличии почты, даже когда она не опрашивает новую почту. Старший администратор проверил журнальные файлы и установил, что Джо читает почту, предназначенную секретарше. Чтобы вы сделали в этом случае Уволили бы Джо Ь 4 2
Чость III. Розное
Вынесли бы ему строгое предупреждение Просто пожурили бы Ничего не сделали Правильный ответ зависит от ответа на другой вопрос существуют ли официальные правила, в которых написано "Не читайте чужую электронную почту Поскольку таких правил не было, дело кончилось строгим предупреждением. Спустя несколько недель все повторилось. На этот раз почту читал другой человек Том. Старший администратор вызвал его и предъявил доказательства — журнальные файлы. Оказалось, однако, что в то время, когда Том якобы читал почту, он на самом деле был на баскетбольном матче. Дальнейшее расследование показало, что истинным виновником вновь был Джо. Через полчаса он был уволен. Правила, допускающие одно предупреждение, — не более чем разрешение воровать до тех пор, пока не поймают. Приглашения на Свадьбу Системный администратор, который вот-вот должен был жениться и ие успел закошшть все приготовления к свадьбе, дал своему лучшему другу администратору из другой организации) ключ от кабинета и пароль root к своей рабочей станции. Друг должен был сделать карточки для размещения гостей за свадебным столом. Этим администратор нарушил сразу несколько пунктов правил. Другие администраторы сразу заметили подлог, потому что у них было принято пользоваться командой sudo, а не регистрироваться под паролем root нли через su. Пароль root был одинаковым на всех компьютерах, поэтому посетитель фактически получил в свои руки пароль привилегированного пользователя и физический доступ ко всем компьютерам организации. Никакого ущерба, однако, нанесено не было. Обстоятельства, которые стали причиной такого поступка жениха, можно рассматривать как особые, однако были нарушены письменные правила. Служащий был ценным работником. Что делать Все кончилось тем, что его уволили — правда, с неохотой. Он подал в суд. по проиграл дело. Порнографические G I F изображения
Как-то летом друг одного студента пришел к нему в гости в компьютерную лабораторию. Студент показал другу, как просматривать файлы и где найти "интересные картинки. Он посадил друга за последнюю станцию у задней стены, асам стал делать домашнее задание. Закончив все дела, оба ушли. Через некоторое время (несколько дней спустя) декан факультета в сопровождении тренера баскетбольной команды показывал территорию университета новой студентке из Техаса. V декана былн ключи от лаборатории. поэтому он вошел не так. как студенты (по карточке, а через заднюю дверь. Первая же увиденная ими рабочая станция оказалась как раз той. па которой друг студента смотрел картинки После прикосновения к мыши на дисплее появилась откровенно сексуальная фотография. Как и следовало ожидать, декан и баскетбольный тренер пришли в ярость. Декан потребовал
Глово 27. Стротегия и политике одминистрировония
8 4 3
немедленно удалить из университетских компьютеров все файлы, исключить студента, оставившего картинку на экране, и т.д. Наши правила (вышеупомянутый студент сними тоже был ознакомлен) говорят о том, что пользователь не должен выводить на экран изображения, которые мотут быть оскорбительными для других. В результате студент на семестр был лишен своего регистрационного имени. Правила были проверены юристами (которые стали на нашу сторону, а не на сторону декана, и инцидент был исчерпан. В завершение мы принесли свои извинения новой студентке Перенос данных Обслуживание техники и программных средств одной небольшой компании осуществляла местная сервисная фирма. Как-то вечером системный администратор работал с диском, в котором барахлили подшипники. Сервисная фирма доставила не только диск для замены, но и большой вспомогательный диск, чтобы можно было переписывать данные без использования лент. Администратор заменил неисправный диск, установил вспомогательный диски перезагрузил систему. К своему удивлению, после загрузки станции с нового диска он увидел, что часы отстают на 29? дней. Что делать немедленно очистить диск, посмотреть данные, вернуть диск обратно Первым его побуждением было удалить все файлы, но, подумав, администратор решил проверить данные и посмотреть, чьи они Беглый просмотр файла passwd показал, что раньше диск принадлежал этой же компании. Он содержал не только корневой раздел с зашифрованными паролями, но и базы данных компании, информашпо о новых изделиях и т.д. Короче говоря, на якобы новом диске компания получила от сервисной фирмы свои же данные, правда, слегка устаревшие. Руководители сервисной фирмы признались, что тестировали диски путем копирования данных с одного диска на другой, не обращая внимания на то, какие данные былина исходном диске. Этот случай иллюстрирует проблему, которая выявляется постфактум и трудно поддается решению. Кто отвечает за судьбу данных, оставшихся на сломанном диске' Не всегда можно удалить информацию с диска перед отправкой его в ремонт Сервисные службы не считают ваши данные чем-то ценным для них существует только сломанный или плохо работающий диск. Как администраторы мы обычно защищаем свои резервные ленты от несанкционированного копирования, но при поломке диска этого не делается. Если есть возможность, перед отправкой в ремонт ценные данные с диска нужно стереть (путем низкоуровневого форматирования с проверкой. Если неисправность днека не позволяет переформатировать его. сообщите сервисной фирме о том. что диск содержит важные данные, которые хотелось бы удалить. Возможно, стоит узнать у представителей сервисной фирмы о том. каких правил они придерживаются по отношению к информации, принадлежащей клиентам. Если у них таких правил нет, изобразите крайнюю степень удивления. В секретных американских правительственных учреждениях (особенно оборонного характера) иногда вообще запрещается выносить с территории вычислительную технику. Если компьютер сломался, покупается новый. На первый взгляд это похоже на бред, ио, как видно из нашего рассказа, такое
8 4 4
Чость III. Розное
подход не лишен оснований. Аналогичные правила распространяются даже на такие компоненты, как процессорные платы, на которых никогда не бывает никаких данных. Нельзя ведь заранее знать о том, где прячутся шпионы Билл должен умереть Один студент работал на компьютере в факультетской лаборатории. Не закрывая сеанса, он пошел за каким-то документом в другое помешение. В его отсутствие кто-то послал сообщение электронной почты по адресу preside nt@wh itehouse.gov. Сообщение содержало угрозы предать Президента Клинтона эффектной насильственной смерти. Наследующее утро раздался звонок из секретной службы. Студент оказался иностранцем и когда-то служил в милиции своей страны экспертом-шифровальщиком. Он не сообщил местным системным администраторам о том. что полечил из Белого дома подтверждение о получении почты, которую не посылал. Все выглядело не очень красиво. Системные администраторы потратили неделю на сбор журнальных файлов и записей доступа по карточкам. К счастью, в журнальных файлах оказалось достаточно доказательств того, что студент, скорее всего, стат жертвой чьей-то глупой шутки. Файл "/.history, содержащий список ранее введенных студентом команд, показал, что он регулярно пользуется программой pine, тогда как злосчастное сообщение было послано с помощью mail, причем до отправки и после нее имели место длительные периоды бездействия. Большинство пользователей для чтения и записи почты применяет одну и т же программу, поэтому сразу же встал вопрос о незаконном проникновении в пользовательскую учетную запись. Оказывается, угрозы Президенту являются уголовным преступлением. Несмотря на то. что студента-иностранца оправдали, расследование продолжалось. Некоторое время спустя инцидент повторился, и поданным журналов удалось вычислить шутника. Мы рекомендуем студентам пользоваться программой xlock". прежде чем оставить свой терминал без присмотра Мы модифицировали эту программу так, что она просто выгружает пользователя, который долго неактивен, чтобы машины в лаборатории не блокировались надолго.
27.9. Размещение и обновление программ В каждой компании свои правила размещения и модернизации программного обеспечения. Тут не существует хороших и плохих методов, а правила и процедуры во многом определяются масштабом сети. Объем данного материала можно было бы увеличить до отдельной главы, номы решили ограничиться только общими рекомендациями Кроме того, мы предлагаем список программного обеспечения (с открытым кодом, которое может быть вам полезно
* xJock — это хранитель экрана для системы X Windows, который разблокирует экран только после ввода пароля.
Глово 27. Стротегия и политике одминистрировония
8 4 5
Управление программным обеспечением в крупных системах Управление программным обеспечением и установка выпускаемых его производителями "заплат" с ростом компании может стать очень сложной задачей. В ее решении может помочь множество различных средств. Это и коммерческие системы управления конфигурацией ПО. и вспомогательные утилиты, такие как rdist. rsync и make.
Советы, относящиеся к распространению файлов, приведены в параграфе 18.2.
В компании обычно имеется несколько различных комбинаций аппаратных средств и операционной системы Как правило, все машины одного типа имеют сходную конфигурацию и на них устанавливаются одни и те же выпуски программного обеспечения, которые отличаются только настройками для конкретных пользователей. В небольшой системе распространение ПО может быть организовано плохо и этого никто не заметит, однако в крупной компании работа должна быть выполнена один рази затем быстро перенесена на другие машины. При этом необходимо решить две важные задачи организовать иерархию каталогов обсуживаемого программного обеспечения определить механизм распространения устанавливаемого ПО с машины- прототипа на рабочие компьютеры. В некоторых организациях используются программы типа automuonter или amd, скрывающие от пользователя реальное расположение программных пакетов. В других организациях пакеты хранятся централизованно и для каждой архитектуры определяется свое дерево каталогов. В любом случае, нельзя просто сбрасывать все в /usr/local/bin — имена программ из разных пакетов могут вызвать конфликт. Системные администраторы разработали два пакета, облегчающих самую трудоемкую часть работы. Это cfengine и SEP Р. Пакет cfenginc, созданный Марком Бургесом из колледжа Осло (Норвегия, представляет собой высо- коуровневый язык для описания конфигурации машины. Он помешает все данные в единое хранилище. Пакет cfengine выполняет команду difl". а затем синхронизирует клиентскую систему с главной. Этот пакет распространяется бесплатно и работает во всех четырех наших опытных системах. Вы найдете его по адресу www.iu,hioslo.no/sfengme. Программа SEPP, созданная Тоби Оэтикером из Swiss Federal Institute of
Technology (ETH. Швейцарский федеральный институт технологий, — это упаковочная система для инсталляции и совместного использования программного обеспечения. Она также распространяется бесплатно, и ее можно получить по адресу www.ee.ethz.ch/sepp. Более подробные сведения об этих пакетах имеются в материалах, указанных в конце главы. Существует много средств для автоматизации и стандартизации установки операционных систем н программного обеспечения. Мы не рассматриваем их здесь, нов табл. 27.1 приводятся ссылки на дополнительные источники информации. Ь
Чость III. Розное

Таблицо 27.1.
Средство установки программного обеспечения Система _ Программа Дополнительная информация
Solaris JampStart См. документ "Solaris Advanced Installation Guide" по адресу docs.sun.com
HP-UX SD-UX Дистрибьютор ПО, распространяется в составе HP-UX Х
SD-OV Усовершенствованная SD-UX, более дорогая и использующая См. документ "Red Hal Installation Guide" no адресу www.readhat.com
RPM Red Hat Package Manager, man rpm
FreeBSD каталог ports Использует make и pkg_{add, create, delete, info} Обновление программ Модернизация программного обеспечения — процедура болезненная и нарушающая налаженную работу пользователей и системы, но часто она необходима. А потому не откладывайте ее надолго, особенно если оказалось, что вы на несколько порядков недооценили количество пользователей узла. Здесь важно умение найти разумный компромисс. Не стоит торопиться внедрять каждое усовершенствование продукта, предлагаемое его производителем, поскольку при этом всегда что-нибудь да ломается. Но и затягивать надолго не стоит, чтобы вручную не исправлять то, что давно исправлено производителем. Новую версию операционной системы или важного программного пакета сначала устанавливают на тестовой площадке и эксплуатируют недели и месяцы и только затем переносят на основную рабочую технику компании. Попросите разработчиков протестировать новую систему на вашей машине, чтобы они убедились, что используемые ими средства установлены и работают. Тщательно протестируйте каждое коммерческое приложение, чтобы как следует разобраться со всеми вопросами лицензирования. Одно из важнейших правил модернизации гласит сначала создайте полную и надежную резервную копию существующей системы и только после этого приступайте к ее обновлению. Желательно иметь подробный план восстановления на случай, если модернизация не получится. Для резервного копирования лучше использовать запасной компьютер или на худой конец запасной диск, на котором полностью установлена старая версия системы. Вот что мы можем посоветовать, исходя из собственного опыта' Будьте осторожны с версиями х.О продуктов. Читайте отзывы о продуктах, чтобы узнавать о связанных сними важных проблемах. Утраивайте предполагаемое время обновления ПО. Составьте план возврата к старой системе и заранее оцените, сколько времени займет его выполнение. Много лет назад в новой версии Sun изменилось форматирование диска, и из-за ошибки в программе format и мы не смогли восстановив свою систему. Стех пор мы не устанавливаем первую версию ПО.
Глова 27. Стротегия и лопитико одминистрировония
8 4 7
Включите в плаи инсталляции возможность отменить ее и попробовать еше раз наследующий день. При этом строго придерживайтесь составленного расписания. Приведенная ниже история, произошедшая в крупной телекоммуникационной компании, иллюстрирует некоторые типичные проблемы. Планировалось обновить операционную систему и одно из приложений. После некоторых наблюдений и исследований администраторы решили, что справятся с задачей затри дня, тес в пятницу до 18:00 в понедельник. Первая попытка не удалась, поскольку' администраторы обнаружили, что производитель программного обеспечения не рекомендует пользоваться имевшимся у них CD-ROM. На нем было слишком много ошибок. Прислали новый набор дисков, и администраторы приступили к работе. К сожалению, новое приложение и новая операционная система конфликтовали друг с другом, и тона что обычно уходит несколько часовне удалось сделать затри дня. После 60 часов непрерывной работы они, наконец, установили операционною систему. Руководители компании, включая вице-президента, были довольны, что обновление завершилось, но и порядком устали, поскольку все это время каждые три-четыре часа они справлялись о состоянии дел. Этот пример показывает, что до тех пор, пока не получена информация о работе программного обеспечения от тех, кто его уже использует, и пока оно не протестировано на отдельной площадке в полной конфигурации (новое приложение плюс новая ОС, нечего даже думать об установке его на основной технике компании. Производственное оборудование — не полигон для испытаний. Полезные программы сторонних производителей В нашем списке полезного программного обеспечения имеется несколько настолько важных программ, что их нужно обязательно устанавливать на все машины Другие программы необходимы или полезны только на отдельных компьютерах. Однако стоимость дискового пространства сегодня настолько низквя, что проще установить все и везде, чтобы служебное программное обеспечение на всех машинах было идентичным. Перечень программ, которые мы советуем обязательно устанавливать, приведен в табл. 27.2. В табл. 27.3 описаны наши любимые программы, которые, однако, не являются необходимыми. Мы разделили их на программы для пользователей и прогрвммы для администраторов. Программы, перечисленные в табл. 27.2 и 27.3, являются бесплатными. Большинство из них можно загрузить из Web, а некоторые доступны только по FTP. Для их поиска можно применять поисковые программы и ссылки в этой книге (предметный указатель. В архивах Red Hat Linux содержится многопрограммного обеспечения сторонних производителей, упакованного в виде дистрибутивов RPM (Red
Hat Package Manager). Для управления этими файлами и их установки можно использовать команду грт. подобную программе pkgadd из Solaris. С пакетами
RPM работать гораздо удобнее, чем с большинством встроенных процедур компиляции и инсталляции программного обеспечения. Поэтому, прежде чем пускаться на поиски оригинала, всегда проверяйте, доступна ли версия команды. Ь
Чость III. Розное
1   ...   72   73   74   75   76   77   78   79   ...   82


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал