Админ всего лишь человек
Вчера наткнулся на заметку о том какие бывают админы или про то какие бывают админы-уроды. Очень рекомендую к прочтению. Это не руководство к действию и не информационная подмога это всего лишь информация для размышления…
Конечно, некоторые описанные в заметке ситуации откровенно нелепы или анекдотичны, но выжимка из неприглядной стороны работы моих собратьев по цеху (даже язык не поворачивается так их называть) вызывает некоторое отвращение и вполне резонный вопрос – “нахрена такое творить?”
Что я могу сказать по прочитанному?
Много плача от мнимых гуру которые настолько забили на работу так что забыли о самой работе и о том что страховкой от внезапного пинка всегда служили и служат твердые знания и качественно выполняемая работа.
Не надо обольщаться, сисадмин это всего лишь персонал, точно такой же как менеджер по закупкам или дворник. Его точно так же можно заменить и все вопли про пароли, подлянки и пр. никому не делают ничего хорошего. Конечно, можно вспомнить фразу “кто на что учился…”, но она не делает из админа полубога (я про тех кто решил что он достиг совершенства и в силу своей супер-пиз…ти расслабился) или какое то высшее существо. Они т.е. админы такие же люди.
Не все зависит от самих админов, “плохиши” есть везде, бывают и чудесные работодатели. Вспомнился замечательный случай когда один знакомый рассказал как поднимал из бэкапа лес в котором мудрый руководитель (традиционно он Domain Admins, Enterprise Admins и еще ) грохнул контейнер с учетными записями всех пользователей. Когда ему предъявили логи он мудро прокомментировал свои действия фразой мол что бы админ не расслаблялся. Фигня что 200 учеток на двух площадках поросли мехом, фигня что бухгалтерия встала на пол-дня, босс хочет видеть процесс и бегающего админа + орущих на него сотрудников. Одно только он не учел – текущий админ был готов к его художествам и бэкапы хранил в надежном месте
Оборотная сторона медали такова что к великому моему сожалению, довольно часто бывает что админ, пинавший месяцами болты вылетал с работы только из за того что у руководства наступало прозрение – сотрудник создает видимость работы. Админ же привыкнув и расслабившись, прется от своей незаменимости и в момент Икс впадает в панику и начинает придумывать план страшной мести для гада руководителя.
Случаи бывают различные. Хочу рассказать об одном расследовании в котором мне довелось принимать участие. Сразу огорчу – судьба виновника меня мало интересовала, так что я не имею понятия что с ним было позже.
Объект
Одна площадка, один домен, два контроллера домена, восемь разнокалиберных серверов.
Симптомы
В пятницу удаляется табличка из 1С и трутся данные с файлового сервера.
Плюсы
Бэкапы не страдают. Данные удаляются на выходных (нефиг по выходным работать) и в понедельник за пару часов можно все восстановить.
Минусы
Первый вопрос о том когда уволился старый админ вызвал легкое недоумение потому что его (админа) не было уже более трех месяцев. Естественно, обошли все серверы, ничего не нашли
Поиск
Первое что пришло в голову:
- Включить аудит.
- Проверить секции автостарта в реестре.
- Проверить планировщики заданий.
- Произвести инвентаризацию процессов.
Результаты
Результаты оказались весьма неожиданными. Конечно, доказать что автор “полезняшки”, а вернее вполне безобидного набора скриптов, был талантливым “шутником” который позаботился:
- при логине под учеткой DOMAIN\Administrator запускался скрипт который находил (или они были в виде списка. Анализировать задачи не было) в сети хосты с серверными ОСями.
- копировал себя на них и в произвольном порядке запускал на одном из хостов скрипт который создавал задачу которая и занималась вредительством, на втором запускался скрипт который чуть позже удалял задание на первом сервере.
В результате получалась ситуация когда на серверах ползает написанная “полезняшка”, причем ползает она благодаря тому что используется учетная запись Administrator (если бы не использовали то мина бы сработала гораздо позже). Копать как именно создавался обратный счетчик не стали, просто поудаляли то что было лишним.
Итого
Конечно, все зачистили, немного поржали, но надо отдать должное автору-шутнику вред был минимальный…
PS Не надо расслабляться. Администратор это вечный ученик и как только ты считаешь что достиг заданной высоты надо ставить себе новые цели.
Тем же кто считает что это не так рекомендую пересмотреть свои взгляды.