Семь мифов о сисадминах
Это вольный перевод известной мантры Настоящих Сисадминов (оригинал на www.adminspotting.org). Если ты, сидя на работе, без проблем получаешь и отсылаешь почту, веб-странички всегда грузятся шустро, с одинаковой скоростью даже в самые рабочие часы и совсем без баннеров, вся информация на сетевых дисках регулярно бэкапится, а критически важная база данных уже третий год работает без сбоев, если шестнадцать ваших удаленных офисов по всему городу связаны одной локальной сетью, в которой ты не видел ни одного вируса или червя, хотя многие сидят на непропатченных виндах, а фразу “по техническим причинам” ты последний раз слышал полтора года назад, поздравляю – у тебя в конторе работает Настоящий Сисадмин. Как и у любого труженика IT-сферы, жизнь у админа нелегкая, а работа – подчас неблагодарная. Системные администраторы – уникальный круг людей, которым чужд карьерный рост в привычном понимании этого слова. Они не стремятся быть большими начальниками и управлять людьми, быть на виду. Это тот редкий случай, когда человек считает свою работу отлично выполненной, если эту работу не замечают. Все просто работает. Как часы. Без сбоев. Однако по поводу работы сисадминов есть некоторые заблуждения, которые следует развеять. И показать, что “choose no life…” – не только громкие слова.
МИФ ПЕРВЫЙ: “АДМИН ЭТО ТОТ, КТО СИДИТ ЗА КОНСОЛЬЮ И ЛЕНИВО ТЫЧЕТ В КНОПКИ”
Прежде чем лениво перемещать конечности по устройству ввода, следует проделать очень много работы. Протянуть сеть по этажам здания и кабинетам, прикрутить на каждом этаже патчпанель с коммутаторами, завести это все на один внутренний роутер, собрать от одной до десятка серверных стоек, между делом обжать пару-тройку десятков сетевых шнуров, заодно продумать будущее расширение сети с добавлением новых офисов безболезненно для текущих. Все это требует долгих часов и дней работы с отверткой и плоскогубцами, ползаний по фальшпотолкам с проводами в зубах, ковыряний в серверной стойке. Именно поэтому рабочая одежда админа – свитер, потертые джинсы и мягкие кроссовки. Не потому что он не следит за собой, а потому что он следит за сетью. Только после этого ты можешь просто и беззаботно воткнуть свою рабочую машину в настенную панель, а админ – сидеть за клавиатурой и настраивать почту, базу данных или что-нибудь еще.
МИФ ВТОРОЙ: “ЗНАЧИТ, АДМИН ДОЛЖЕН УМЕТЬ ДЕЛАТЬ ВСЕ”
Это вроде бы вытекает из первого. На самом деле, админ, который и сеть протягивает, и сетевые сервисы настраивает, и программы пишет, и веб-сайты мастерит – большая редкость, самородок. Во всех крупных организациях сисадмин – лишь один из сотрудников технического отдела, в котором, как правило, пара специалистов отвечают за физическую организацию сети, пара сисадминов занимаются непосредственно почтой/веб-сервером/базой данных и прочими сервисами, и еще пара сотрудников бегают к пользователям, решая их извечные проблемы с жутко своенравной OS Windows :). Однако в средних и малых организациях со всем обычно приходится управляться одному-двум специалистам. И тут уж Настоящий Админ должен действительно уметь все. Под “уметь все” подразумевается не знание всего, что только есть в сетевом мире, а умение в этом разобраться. Так, админ не обязан знать наизусть все тонкости работы протокола radius, но, используя свой багаж знаний и имеющуюся в Сети документацию (которую он найдет с помощью верного гугля), обязан быстро разобраться и настроить сервис freeradius, реализующий этот протокол.
МИФ ТРЕТИЙ: “ХОРОШИЙ АДМИН ОБЫЧНО НИЧЕМ НЕ ЗАНЯТ”
Часто можно услышать, что частота появления админа на работе обратно пропорциональна его крутости. Мол, у настоящего профи все работает без сбоев, а потому на работе он появляется только в дни выдачи зарплаты или корпоративных праздников. Такие ситуации действительно бывают, однако в серьезных организациях начальству наплевать, что “Вася ушел домой, потому что все работает”, так как один час простоя веб-сервера/базы данных/удаленного офиса может стоить нескольких тысяч долларов, десятков потерянных клиентов и, наконец, просто имиджа компании. Настоящий админ должен не только уметь предупредить сбой (от сгоревшего процессора или посыпавшегося винчестера никто не застрахован), но – и это гораздо важнее – уметь ликвидировать его последствия в кратчайшие сроки без ущерба для компании. В идеале пользователи не должны заметить, что почтовый сервер со всей базой накрылся. Бэкапы, дублирование серверов, откаты – эти слова должны быть знакомы каждому админу. А фраза: “Винчестер сгорел, поэтому я переустанавливаю ОС с нуля”, – нонсенс.
МИФ ЧЕТВЕРТЫЙ: “НАОБОРОТ, АДМИН ВСЕГДА ЗАНЯТ”
Это другая крайность, вызванная тем, что, как правило, админы уходят с работы позже остальных сотрудников, а иногда и ночуют на работе. Поэтому у некоторых админ ассоциируется с небритым уставшим перцем с красными глазами. Действительно, если в компании происходят серьезные перемены в сетевой инфраструктуре, то рабочий день админа продлевается ровно настолько, сколько нужно для окончания работ. Но если все идет своим чередом, то админ пьет кофе, читает IT-новости и (обязательно!) security-рассылки. Словом, держит себя в курсе и наготове. Перманентно и незаметно проходят патчи и апдейты системы и сервисов, мелкие улучшения, продумываются планы по дальнейшей жизни сети. Админу не обязательно постоянно ковыряться в серверах, но также недопустимо, чтобы для него стала новостью информация о серьезной уязвимости двухдневной давности. Админ, узнавший о новой уязвимости от коллег – не админ.
МИФ ПЯТЫЙ: АДМИНЫ – ВСЕ СПЛОШЬ ФАНАТИЧНЫЕ ЮНИКСОИДЫ”
Безусловно, любой уважающий себя админ должен знать UNIX и уметь работать в консоли, не полагаясь на многочисленные графические утилиты конфигурирования. И многие админы – прежде всего unix-rypy. Хотя бы потому, что 70% серверов в Сети работают под управлением различных вариаций UNIX, Apache доминирует на рынке веб-серверов, как и ISC BIND – среди DNS. Но надо понимать, что сеть – это не только веб/почта/DNS. Есть еще маршрутизаторы, а значит – Cisco. И хотя сейчас opensource-решения на базе UNIX по возможностям превосходят некоторые циски, все-таки PC – это PC, а маршрутизатор – специализированное устройство. Многие ставят под сомнение целесообразность использования Windows NT в качестве серверной платформы, однако есть ли разница для начальства, чем управляется сеть, если все работает без сбоев, потребности компании в сетевых службах удовлетворяются, и о взломе вашей сети не может быть и речи? Надо раз и навсегда понять, что нет лучшей операционной системы, лучшего дистрибутива Linux, лучшего ftp-демона, и так далее. Настоящий админ должен сделать все быстро и качественно, а какие он при этом будет использовать средства – дело исключительно его вкуса. В конце концов, если админу нравится каждый день качать патчи к серверам под управлением Windows 2000 – это его дело ;).
МИФ ШЕСТОЙ: “АДМИН – НЕФОРМАЛЬНАЯ, ЛЕНИВАЯ И БЕЗОТВЕТСТВЕННАЙ ЛИЧНОСТЬ”
Сисадмин приходит на работу все время в одном и том же свитере, иногда полусонный, с высоким начальством не общается. У него автоматизировано в системе все, что только можно. Для всего готовы скрипты, и он даже не помнит, когда последний раз устанавливал ОС с компакт-диска, так как все обновления происходят пересборкой системы из свежего дерева исходников. А в случае установки с нуля есть скрипт автоматической установки ОС и всех необходимых сервисов. Но админ может уйти в отпуск, и все его обязанности временно лягут на помощника. Который как минимум должен разобраться в том, что админ наворотил, и не сделать хуже. Так что обязательно – дотошное комментирование всех конфигурационных файлов, резервирование систем на случай отката или восстановления, согласование изменений с коллегами по серверной комнате, умение четко и толково разъяснить, что, где и как функционирует. Админу действительно иногда лень купить второй свитер или поменять джинсы. Ему лень объяснять пользователям, почему у них глючит винда. Но что касается Его сети – это не неформал и не лентяй. Это – Настоящий Сисадмин.
МИФ СЕДЬМОЙ: “ХОРОШИЙ АДМИН – НЕМНОГО ХАКЕР”
Это, собственно, и не миф. Безопасность сети должна стоять на втором месте после стабильности ее работы. Поэтому хороший админ предпочтет зарекомендовавшие себя безопасные решения, даже если они сложнее в обслуживании и настройке. Админ должен быть в курсе приемов, которые используют взломщики для проникновения в сети, и испробовать их на своей сети раньше, чем это сделают хакеры. Известно, что подавляющее число взломов происходит по причине использования старых, дырявых версий сетевых сервисов, для которых существуют публичные эксплойты. Но даже если админ вовремя обновляет Apache и MySQL, a программисты написали дырявый скрипт, злоумышленник может получить доступ к системе с правами веб-сервера или базы данных. Поэтому нельзя ограничиваться только своевременным обновлением сервисов, нужно еще запускать их в максимально безопасной конфигурации. Работа сисадмина редко может быть оценена по достоинству простыми пользователями, но ему это не нужно. Он не ищет популярности. Он просто делает так, чтобы сеть работала.
Статья из журнала XAKEP