Ошибки пользователей и системных администраторов ответ

Страница 4 из 10

Ошибки пользователей и системных администраторов

Как мы уже говорили, человеку свойственно ошибаться. Разумеется, это касается не только программистов, оставляющих ошибки в своих программах, но и пользователей и системных администраторов.

Случайное удаление файлов или каталогов

Наиболее распространенная ошибка пользователя — случайное удаление файла или папки с файлами. Одно неверное движение мыши — и дело сделано. Бывает, что даже опытные системные администраторы совершают такую ошибку.

Застраховаться от случайного удаления файла или каталога, расположенного на локальном диске рабочей станции, позволяет обычная «мусорная корзина» (Recycle Bin) ОС Microsoft Windows. Можно дополнительно установить одну из продвинутых версий корзины, например, Norton Protected Recycle Bin. В большинстве случаев удаленные файлы оказываются в этой корзине, откуда их легко восстановить. Тем не менее, ряд программ игнорируют корзину, удаляя файлы без возможности восстановления.

Сходная проблема возникает и в том случае, если пользователь случайно удалил файл или папку в сетевом каталоге, расположенном на дисках сервера. При этом мусорная корзина, установленная на рабочей станции, никак не поможет в восстановлении файлов, удаленных из сетевых каталогов.

Тем не менее, даже если удаленный файл отсутствует в корзине или корзина была по ошибке опорожнена, ситуацию еще можно исправить, если после стирания не добавлять на диск новые файлы. Для восстановления файлов можно использовать специальные утилиты, например, EraseUndo for NTFS (созданную одним из авторов этой статьи для восстановления файлов, удаленных из разделов файловой системы NTFS) или Easy Recovery, способную восстанавливать файлы и в разделах FAT16/FAT32.

Ошибки в технологии резервного копирования данных

Без преувеличения можно сказать, что единственный по настоящему надежный способ обеспечения сохранности данных — это их периодическое резервное копирование на сменные носители, такие как магнитные ленты, магнитооптические диски, диски CD-R и т.д.

Почему единственный? Потому, что на сегодняшний день и аппаратное, и программное обеспечение компьютерных систем ненадежно. Пользователи и системные администраторы тоже ненадежны, так как могут ошибаться. Если же у Вас есть актуальная резервная копия данных, то с нее данные можно быстро восстановить.

Почему необходимо выполнять копирование на сменные носители данных? Причина этого в том, что, только вынув носитель данных из компьютера и убрав его в надежное место, Вы можете быть уверены, что «сошедшая с ума» ОС, вирус, а также кто-то из пользователей или системных администраторов не испортит записанные на нем данные.

Некоторые недальновидные пользователи и системные администраторы копируют файлы в другой раздел того же самого жесткого диска, на котором хранятся их актуальные экземпляры, или на другой физический диск. Хотя копирование данных на другой диск и может помочь, если исходный станет неисправным, от ошибок в ОС, программах или от нашествия компьютерных вирусов такие меры не спасут.

Очень важно правильно выбрать периодичность резервного копирования. При этом надо исходить из периодичности обновления информации на дисках, а также из необходимой степени надежности. Если данные обновляются часто, можно выполнять копирование, например, каждый день на новые носители с циклом от 3 до 7 дней. Кроме того, дополнительно можно делать (и хранить отдельно) недельные и месячные копии. На все это может потребоваться довольно много магнитных лент, однако затраты не будут напрасными. Обладая таким многодневным архивом, вы сможете при необходимости поднять любую версию файлов, если окажется, что актуальная копия оказалась уничтоженной несколько дней назад.

Если к сохранности данных предъявляются повышенные требования, имеет смысл установить для копирования сразу два стримера и копировать одновременно на две магнитные ленты. Если одна из лент не прочитается, у вас останется другая.

Хотя для выполнения резервного копирования в простейших случаях можно использовать встроенные средства ОС, например, Windows NT Backup, лучше установить одну из серьезных систем резервного копирования, такую как ArcServe. В этом случае на один стример можно выгрузить данные со всех серверов и рабочих станций сети, а также выбрать нужный вам график выполнения копирования.

Чтобы быть уверенным в том, что резервное копирование действительно завершилось без ошибок, необходимо внимательно просмотреть журнал программы, выполняющей копирование. Если речь идет о крупной сети или об архивировании важных данных, то такую операцию необходимо выполнять каждый день, например, утром.

Обязательно попробуйте восстановить сделанную резервную копию, желательно на другой диск или другой сервер. А лучше всего проделывать операцию пробного восстановления на регулярной основе.

Многим системным администраторам наши советы по резервному копированию могут показаться банальными, однако в большинстве случаев потери данных связаны именно с тем, что резервное копирование либо не выполнялось совсем, либо выполнялось неправильно.

Известны случаи, когда руководители компаний пытались сэкономить несколько тысяч долларов на покупке качественного стримера и ПО к нему и при этом теряли сопоставимые суммы на восстановлении разрушенных данных. Что характерно, после первого же случая такие руководители покупали стример. Вот уж воистину — скупой платит дважды.

В том случае, когда покупка дорогостоящего стримера вам абсолютно не по карману, рассмотрите возможность архивирования данных на таких устройствах, как ZIP, магнитооптические диски, диски CD-R, CD-RW, и, в крайнем случае, на обычных дискетах.

Если данные уже пропали

Тогда эти данные придется восстанавливать. Скажем сразу, что восстановление файловой системы вручную доступно только опытным пользователям. Если вы не знакомы в деталях со структурой файловых систем, для восстановления потерянных данных лучше всего обратиться к специалистам.

Принимая решение о том, кому доверить восстановление данных, учтите, что стоимость данных, хранящихся на дисках компьютера, может многократно превышать стоимость самого компьютера. При этом прикиньте, во что обойдется вам повторный ввод данных с учетом зарплаты сотрудников, а также убытков, связанных с задержкой в работе компьютерной системы.

Результат проведения восстановительных работ во многом зависит от того, что вы успеете или чего не успеете предпринять, прежде чем носители с разрушенной информацией окажутся в службе восстановления данных. Для того, чтобы не осложнить ситуацию неумелыми действиями, мы рекомендуем вам при возникновении аварийной ситуации соблюдать несколько простых правил.

Рассматриваемые ошибки в основном взяты из жизни системного администратора, но знание об их существовании может быть полезно многим администраторам: сетевым, баз данных и так далее.

Массовое изменение параметров.

Римляне говорили: «festina lente (поспешай медленно)». Ошибка состоит в том, что, торопясь, админ меняет одновременно несколько параметров и это часто приводит к ошибкам в работе сервера или сервиса. Узнать потом какой именно параметр привёл к ошибке труднее, нежели при осторожной правке параметров по очереди с рестартом для проверки.

Единственное значение.

Есть параметры, которые позволяют указать несколько значений, но админ по ряду причин указывает только одно. Уже стало классическим примером-ошибкой указание гугловского DNS с красивым IP адресом 8.8.8.8 единственным forwardes в настройках Bind. Редкая, но бывающая, недоступность 8.8.8.8 и вот снова вопли админов — «сломался DNS во всём мире».

Не обновляться.

Многие админы любят шутку:
Сидит программист глубоко в отладке. Подходит сынишка:
— Папа, почему солнышко каждый день встает на востоке, а садится на западе?
— Ты это проверял?
— Проверял.
— Хорошо проверял?
— Хорошо.
— Работает?
— Работает.
— Каждый день работает?
— Да, каждый день.
— Тогда ради бога, сынок, ничего не трогай, ничего не меняй!!!

«Ничего не трогай, ничего не меняй» — становится краеугольным камнем при построении систем у таких админов. Создаётся система, как бы замороженная во времени в тех версиях ПО, которые были на дату создания. Но система работает не в сферическом вакууме! Рано или поздно жизнь или вздрюченный хакерами сервер заставит начать обновление и тут будут проблемы. Если вы любите хвастать uptime серверов и слово обновление вызывает у вас страх, то вы точно делаете неправильно!

Отсутствие резервных копий.

Резервные копии? Нет, не слышал. Есть два типа админов, которые: 1) делают backup и 2) уже делают backup.
Только не наступите на традиционные ошибки:

• Резервная копия физически должна быть размещена НЕ там где и сохраняемый объект.
• RAID — это не backup.
• Тестируйте свои резервные копии.

Не время дорого, пора.

Самое плохое время для администрирования, читай в скобках делать правки: конец пятницы и понедельник. Конец пятницы, подразумевая что вы не работаете в субботу и воскресенье, оставляет мало время на тестирование изменённой системы самой жизнью-временем. Многие системы типа DNS имеют многочасовые таймауты, которые могут сыграть с вами злую шутку, начав действовать после ухода вас с работы. Не приведу вам авторитетную ссылку, но слышал где-то, что большинство техногенных катастроф произошли так: в дни отдыха в субботу и воскресение в голову приходит просто гениальная мысль, которую все спешат реализовать в понедельник. Хотите править работу своих систем? Начните шалить со вторника! Это стало моим правилом, чего и вам советую.

Проверяйте команды.

Есть очень опасные команды, удаляющие данные. Реально можно ошибиться в параметрах или не полностью понимать механизм wildcard/regexp. Некоторые операционные системы типа Linux чувствительны к регистру файлов и для них file.txt и File.txt разные сущности. У каждой опасной команды есть безопасный «двойник». Удаляете файлы через rm? Замените на ls. Удаляете в базе данных DELETE FROM? Сделайте всё тоже самое, но SELECT * FROM. Оцените будущий вывод: имена, количество удаляемого. Верный вывод? Вы на том сервере? Удаляйте!

Не мониторится состояние систем.

Есть шутка, что хороший электрик тот кто много спит. Смысл в том, что всё работает исправно и работают остальные. Смело отношу работу админа к таким же работам фундаментального порядка, на базе которого уже идёт работа других людей, пользующихся сервисами. У многих работа админа чередуется всплесками активной работы над внедрением и плато спокойствия в режиме диспетчера-наблюдателя.

Используйте систему мониторинга, которая позволит вам сладко спать, пробуждая при отклонениях параметров систем.
Шучу конечно, но реально не понимаю, как можно без систем мониторинга определить не происходят ли по ночам внештатные ситуации, которые могут больно ударить прямо сейчас? Рекомендую Zabbix. Серьёзная система, со своим видением будущего и планами на него.

Удалёнка не рулит.

SSH для Linux серверов, RDP для Windows. Удобно и приятно админить сервера, которые мирно гудят себе в своих серверных. Только при обновлении, перезагрузке или настройке файрвола не отлетите от сервера навсегда? Физический доступ к оборудованию может и отсутствовать. Есть различные технологии, которые помогут-подстрахуют: KVM over IP (IPKVM), Integrated Lights-Out (iLO), консоль к виртуальному серверу средствами вашего гипервизора и другие.

Нет плана.

Очень часто работы по внедрению, обновлению, обслуживанию ведутся без плана, черновика с опорными пунктами. Админ часто самонадеянно проводит работы, не идя по некоторому списку и не ведя журнал действий. Что нужно будет сделать? Какие команды нужно ввести? Что изменится? Как и что забакапить? Что делать, если пойдёт всё не так? Вот небольшой список, который нужно держать перед глазами, чётко всё фиксируя, а не надеясь на русское авось.

Наплевательское отношение к безопасности.

Безопасность — это не программа и не железяка. Безопасность — это итерационный и постоянный процесс. Вы смотрите на свои системы, видите «слабые» места, удаляете-исправляете их и всё повторяется. Безопасность — это когда вам не даёт спать параметр 0.0.0.0 в конфигурационном файле и вы всегда хотели указать конкретный интерфейс, так как на другом это может быть опасно и излишне. Безопасность — когда вы задаёте маску CIDR настолько узкую, что мышь не проскочит. Безопасность — когда вы вздрагиваете при виде масок user@’%’ MySQL сервера. Безопасность — это настроенное журналирование, реагирующее на инциденты, связанные с неудачными попытками входа, сменой паролей и т.д.

Если бы сам за долгое время админства не прошёл по этим граблям сам, получая по лбу от граблей и от начальства, то не смог бы сейчас выдать их. Хочу выразить свою благодарность друзьям-админам, чьи советы и помощь бесценны для меня. Дмитрий Перцев aka davaeron, который умеет в исходниках проекта найти ответы, и Роман Мизгирёв aka ХулиМяу — СПАСИБО!

Дата последней правки: 2016-01-25 09:49:53

Типичные проблемы и их решения при работе с системным администратором

Опубликовано 30.06.2023

При работе с системным администратором могут возникать различные проблемы, связанные с безопасностью данных и информационной системы, производительностью серверов и сети, а также поддержкой пользователей и решением технических проблем. В этой статье мы рассмотрим эти проблемы более подробно и предложим решения для их устранения.

Проблемы с безопасностью данных и информационной системы:

Одной из основных задач системного администратора является обеспечение безопасности данных и информационной системы организации. Возможные проблемы, с которыми можно столкнуться, включают в себя:

• Недостаточная защита от внешних угроз, таких как вирусы, хакерские атаки или вредоносное ПО. Решение: установка и настройка антивирусного программного обеспечения, межсетевых экранов и других средств защиты.
• Утечка конфиденциальной информации или несанкционированный доступ к данным. Решение: регулярное обновление паролей, установка системы контроля доступа, шифрование данных и резервное копирование.
• Отказ в обслуживании или сбои в работе информационной системы. Решение: регулярное обновление программного обеспечения, мониторинг состояния системы и резервное копирование данных.

Проблемы с производительностью серверов и сети:

Эффективная работа серверов и сети является ключевым фактором для успешной работы организации. Возможные проблемы, связанные с производительностью, включают:

• Замедление работы серверов или сети. Решение: оптимизация настроек серверов и сетевого оборудования, устранение узких мест и увеличение пропускной способности.
• Недостаточное количество ресурсов для обработки запросов пользователей. Решение: масштабирование серверов и сети, добавление дополнительных ресурсов, оптимизация программного обеспечения.
• Неправильная конфигурация или настройка серверов и сети. Решение: проведение аудита и диагностики системы, исправление ошибок конфигурации, установка и настройка необходимых обновлений.

Проблемы с поддержкой пользователей и решением технических проблем:

Системный администратор также отвечает за поддержку пользователей и решение технических проблем, с которыми они могут столкнуться. Возможные проблемы включают:

• Недостаточное знание пользователей о работе с информационной системой. Решение: проведение обучения и тренингов для пользователей, предоставление документации и инструкций.
• Технические проблемы, такие как сбои программного обеспечения или проблемы с подключением к сети. Решение: быстрое реагирование на запросы пользователей, диагностика и устранение проблем, обновление и настройка программного обеспечения.

Решение проблем с системным администратором с помощью ИТ аутсорсинга

ИТ аутсорсинг – это стратегия, при которой организация передает часть или всю свою ИТ инфраструктуру и задачи по управлению информационными технологиями внешнему поставщику услуг. Это может быть особенно полезно для компаний, у которых нет достаточных ресурсов или опыта для эффективного управления своей ИТ инфраструктурой. 

ИТ аутсорсинг является эффективным способом решения проблем, связанных с работой системного администратора. Он позволяет компаниям получить доступ к опытным специалистам, улучшить безопасность данных и информационной системы, повысить производительность серверов и сети, а также обеспечить поддержку пользователей и решение технических проблем. ИТ аутсорсинг может стать надежным партнером для вашей организации и обеспечить эффективную работу вашего бизнеса. Про преимущества и недостатки ИТ аутсорсинга вы можете посмотреть в нашей предыдущей статье.

Заключение

При работе с системным администратором могут возникать различные проблемы, связанные с безопасностью данных и информационной системы, производительностью серверов и сети, а также поддержкой пользователей и решением технических проблем. Однако, правильный выбор системного администратора или компании на аутсорсинге, а также регулярное обслуживание системы помогут предотвратить многие из этих проблем и обеспечить эффективную работу организации. Компания “АйТи Спектр” оказывает услуги по комплексному ИТ аутсорсингу более 14 лет. В штате 15 квалифицированных специалистов, с сертификатами в различных ИТ направления. Предлагаем комплексные услуги по обслуживанию ИТ-инфраструктуры для малого и среднего бизнеса. Работаем по принципу “одного окна”, все ИТ вопросы берем на себя (компьютеры, серверы и серверное оборудование, сети, оргтехника, телефония, видеонаблюдение, 1С  и многое другое)

Вам знакомо выражение: «Не чини, коли не поломано»?
Если да, то вы знаете, что иногда лучше
не вмешиваться в сложившуюся ситуацию.
Но ни один настоящий сисадмин не в состоянии
спокойно смотреть на новые «примочки» и удержаться
от того, чтобы не «потыкать» их и попробовать
применить на практике. Именно так мы вышли на тот
уровень, где сейчас находимся, и теперь планируем перебраться
на еще более высокий уровень. Однако тыкать острой палкой
в незнакомый предмет — не всегда безопасное
занятие.

Мы составили список из 21 распространенной
ошибки, которая не раз даст о себе знать. Наш совет:
пробуя что-то новое, не забывайте думать о последствиях!
Они могут быть самыми разными.

1. Анонимный доступ и FTP

Каждый, кто хоть раз создавал веб-сайт с использованием
FTP, разрешал анонимный доступ и выкладывал свой сайт
в Интернет, получил несколько уроков. Если вы разрешаете
анонимный доступ, будьте готовы к тому, что очень скоро ваш
сайт превратится в хостинг для пиратских программ
и фильмов. Никогда не разрешайте анонимный доступ, даже
во внутренней сети. В противном случае, у вас быстро
закончится пространство на диске и трафик.

2. «Всем — полный контроль»

Вплоть до последних версий Windows, каждый раз как
вы создавали общую папку, по умолчанию
в ее настройках была активирована опция «Всем —
полный контроль». Многие из этих устаревших систем
используются и по сей день. Хуже того, многие сисадмины
до сих пор оставляют эту опцию включенной по умолчанию
в современных операционных системах, полагая, что дать всем
возможность полностью контролировать каталог — это правильно!
Рекомендуем вам перестать раздавать подобные привилегии направо
и налево!

3. «Ответить всем»

Да, иногда действительно бывает необходимо отправить письмо
сразу всем пользователям из корпоративной группы.
Но оставить эту кнопку, чтобы любой пользователь мог
воспользоваться ею,- самый простой способ загрузить
по максимуму вашу электронную почту и испытать
ее на прочность. Кто-нибудь непременно случайно
нажмет ее, и через минуту 30 человек будут
одновременно отписываться от коллективного диалога, или
просить всех перестать отвечать всем, или же, наоборот,
вставлять свои пять копеек в беседу. Мне приходилось видеть,
как серверы специально отключали, чтобы только прекратить это
безумие. Ограничьте возможности использования функции «Ответить
всем» и сделайте так, чтобы только авторизованные пользователи
могли отправлять письма самым большим группам пользователей
в вашей электронной почте.

4. Опция «Завершение работы» в удаленном доступе

Однажды мне пришлось совершить внеплановую поездку в другой
город из-за того, что во время удаленного управления сервером
я случайно нажал кнопку «Завершение работы» вместо кнопки
«Выход из системы». Сейчас опция «Завершение работы» убирается
из меню по умолчанию, но в миллионах серверов
2003 и 2008 годов выпуска она все еще есть. Уберите кнопку
«Завершение работы» из меню удаленного доступа. Если
вы действительно захотите выключить сервер, лучше
воспользоваться командной строкой. Ну а если внеплановые
визиты в центр обработки данных вам по душе, так
уж и быть, можете ее оставить.

5. Хранение незашифрованных паролей на веб-страницах

Веб-мастера слишком часто хранят параметры соединения для базы
данных в коде сценариев веб-сайтов в незашифрованном
виде. При этом кто угодно может пробраться в систему, чтобы
«ознакомиться с источником данных». Никогда не сохраняйте
пароли в файлах, доступ к которым есть у конечных
пользователей. Если же вам все-таки нужно где-то хранить эту
информацию, пользуйтесь шифрованием.

6. Игнорирование проверок входных данных

Переполнение буфера, инъекция SQL, изменение цен в корзине
онлайн-магазина — все это возможно, если не предусмотреть
проверку входных данных в вашем программном обеспечении
и на вашем веб-сайте. Всегда повторно проверяйте то,
какие данные вам приходят от пользователей и отклоняйте
все, что не проходит проверку, до того, как изменения
(и их последствия) станут необратимыми.

7. Использование незашифрованных протоколов

Помимо запросов на DNS-серверы, скачивания общедоступных
файлов и создания веб-страниц для широкого круга посетителей,
нет никакого практического смысла в использовании
незашифрованных протоколов. Но если вы выполняете
какую-либо аутентификацию или предоставляете доступ
к конфиденциальным данным, использовать криптографическую
защиту просто обязательно. При этом дополнительно изучите, какие
из протоколов на данный момент считаются наиболее
защищенными и почему.

8. Отсутствие переадресации с незашифрованного протокола
на зашифрованный

Справедливости ради, уточним: мы не предлагаем вам
отключить незашифрованные протоколы как таковые. Слишком многие
пользователи будут печатать адрес без протокола, и без
переадресации с HTTP на HTTPS они не смогут попасть
на ваш веб-сайт. Используйте HTTP и настройте
переадресацию с него. При этом данные пользователей будут
защищены, и у них не возникнет проблем
с посещением вашего веб-сайта.

9. Проверка SSL-сертификатов

Каждый раз, как вы учите пользователя просто «прощелкивать»
предупреждения, не читая их, вы делаете его
потенциальной жертвой киберпреступников в будущем. Чаще всего
подобное происходит на внутренних веб-сайтах, которые
используют протокол HTTPS с SSL-сертификатом. Пользователи,
не задумываясь, кликают там, где не следует. Конечные
пользователи не могут отличить внутренний сайт
от внешнего. Они просто увидят знакомый формат предупреждения
и кликнут «ОК» — как вы им и говорили,
когда учили пользоваться внутренним приложением. Создайте
корпоративный CA или приобретите сертификат wildcard,
но не учите пользователей бездумно кликать «ОК»
на предупреждениях.

10. Оставленные на боевой системе промежуточные сборки
приложений и кода

Промежуточные сборки приложений созданы для демонстрации того,
как они работают на данный момент. Они часто
не соответствуют должному уровню безопасности
и надежности и, как правило, не обновляются при
установке патчей на приложение. При создании или запуске
сервера удалите все предыдущие образцы кода и приложений,
чтобы в будущем их не могли использовать против
вас.

11. Установка обновлений и патчей без тестирования

Если вы используете исключительно «ванильный код»
от разработчика, установка обновлений и патчей без
тестирования может обернуться проблемой. Разработчик не имеет
возможности тестировать каждую отдельно взятую конфигурацию. Это
означает, что и вашу конфигурацию он не тестировал.
Это ваша задача, а не его. Вы хотите установить
обновление? Устанавливайте, но только сначала убедитесь, что
это не создаст других проблем в вашей системе.

Обычно, при обновлении большого парка компьютеров, перед
распределением обновления по всем системам выбирается
контрольная группа из нескольких машин, на которых
проверяется работоспособность устанавливаемых патчей.
В случае, если на них обновление пройдет без
проблем — можно распространять его на всю сеть.

12. Автоматические IP (169.254.y.z) в DNS

Если у сервера есть два IP-адреса в DNS, он будет
отвечать на запросы с обоих из них. Если один
из этих адресов — фальшивка, то с вероятностью
50 на 50 клиент попадет на него,
а не на настоящий адрес. Это сделает работу
медленной, и, соответственно, клиент будет звонить в вашу
техническую поддержку. Как минимум, снимите галочку с опции
«регистрация соединения в DNS», чтобы фальшивые адреса
не присваивались настоящим именам хоста.

13. Ссылки на DNS в ActiveDirectory

В AD контроллерам домена никогда не следует
давать на себя ссылку в DNS; необходимо указывать ссылку
на другой контроллер домена. Если контроллер домена делает
ссылку на себя, он может потерять синхронизацию
с другими, и вы даже не заметите этого.
Он быстро устареет и не сможет проводить
идентификацию пользователей.
Если он слишком долго будет не синхронизирован
(60 дней по умолчанию), вам придется снести его
и установить заново для устранения проблемы. Всегда
проверяйте, что контроллер домена привязан к другому
контроллеру домена в DNS, а не к самому себе.
В противном случае вам придется использовать NTDSUTIL для
очистки AD от вредоносных данных.

14. Недостаточный аудит

Регистрация системных событий — очень важный процесс,
но его редко выполняют правильно. Стандартных настроек аудита,
как правило, недостаточно для полноценного восстановления хода
событий и выяснения причины возникновения проблемы. Кроме
того, журналы событий занимают много пространства на диске,
и могут пройти дни или даже недели, прежде чем кто-либо вообще
поймет, что что-то случилось и надо проверить журналы
регистрации. Убедитесь, что вы регистрируете достаточно
информации для восстановления хода событий, и что
регистрационные записи хранятся достаточно долго, чтобы
вы могли с их помощью провести полноценное
расследование любого сбоя.

15. Отсутствие централизованного журнала регистрации

По умолчанию, система использует для ведения журналов
регистрации локальные диски. Это нормально — до тех пор,
пока система не рухнет или не будет взломана хакером,
который сотрет журналы регистрации. Ведение централизованного
журнала регистрации требует больше времени, денег
и пространства. Но при этом у вас точно будет журнал
событий в случае краха системы, а злоумышленнику будет
сложнее замаскировать следы своей деятельности.

GFI рекомендует использовать GFI
EventsManager — решение для централизованного сбора
и анализа журналов событий в сети. Продукт можно
загрузить и использовать до 30 дней бесплатно
с полным функционалом — этого достаточно, чтобы
проанализировать гигабайты журналов данных и выявить проблемы
в сети.

16. Разрешение на чтение

Многие дистрибутивы Linux позволяют пользователям получать
доступ к домашним каталогам откуда угодно. Как правило, это
не подразумевает «весь Интернет», но означает, что любой
пользователь в сети может читать файлы из домашнего
каталога, а в нем могут быть и файлы
с паролями, и конфигурационные файлы, и масса другой
ценной информации. Убедитесь в том, что для уровня доступа для
каждого домашнего каталога пользователя установлено значение 600,
так что пользователи могут читать и писать файлы только
в домашних каталогах, но не могут выполнять
программы из них. Если нужно разрешить выполнение программ,
установите значение 700.

17. Использование изначальной установки строк сообщества
на значения «public» и «private» в протоколе
SNMP

В протоколе SNMP v1 и v2 безопасность
обеспечивается только строкой сообщества, а по умолчанию
в строке сообщества для записи указано значение «private». При
этом злоумышленнику, получившему доступ к сети, ничего
не стоит обрушить роутер или поменять местами порты. Передача
данных в протоколе SNMP v1 и v2 осуществляется
в незашифрованном виде, но если изменить значение
по умолчанию в строке сообщества, то это хоть
немного усложнит для хакера задачу создания проблем в вашей
сети. Если возможно, используйте протокол SNMP v3 или же
не используйте SNMP для записи вообще.

18. Игнорирование протокола ICMP

Документы RFC предусматривают, что хосты ОБЯЗАНЫ отвечать
на запросы ICMP Echo, так что сисадмины, игнорирующие протокол
ICMP, нарушают их требования, что не есть хорошо. Кроме
того, поскольку сетевые атаки типа Ping of death
не актуальны уже 15 лет, игнорирование протокола ICMP
приведет только к тому, что пользователям будет сложнее
исправить ситуацию при неудачной попытке доступа на ваш сайт,
и они будут перегружать вашу службу поддержки звонками
и сообщениями о невозможности воспользоваться VPN.
По меньшей мере, разрешите пинговать ваш сайт и конечные
точки VPN (в большинстве случаев проверка сводится именно
к этому).

19. Удаление (вместо блокирования) чего-либо во внутренней
сети

Если вы блокируете нежелательный трафик во внутренней
сети, то хорошие сисадмины увидят RST ACK или ICMP Unreachable
и будут знать, что брандмауэр блокирует нечто целенаправленно.
Если же вы просто молча удалите что-то во внутренней
сети, ваши коллеги могут потратить дни на попытки понять,
почему что-то не работает, как раньше, начнут обвинять
брандмауэр во всех возможных бедах и, в лучшем
случае, будут звонить вам при любой поломке. (В худшем случае,
они будут по умолчанию считать, что виноваты вы).

20. Включение опции автоматического обновления системы

Как и в случае с установкой обновлений без
тестирования, разрешить автоматическое обновление системы —
значит, позволить ей устанавливать на себя патчи без
предварительной проверки и возможности проконтролировать
процесс. Нет, серьезно, если вы позволяете серверам
обновляться автоматически, то зачем вы им вообще
нужны? Вы должны контролировать процесс управления
обновлениями. Во-первых, вы сможете осуществлять тестирование,
а во-вторых, вы сможете перезагружать серверы только
в плановом порядке, когда вам это нужно.

Для управления обновлениями, а также проверки сети
на наличие уязвимостей, GFI советует воспользоваться продуктом
GFI LanGuard. Продукт можно использовать
30 дней бесплатно без ограничений
по функциональности — проверьте свою сеть на «дыры»
в безопасности и получите централизованный контроль над
обновлениями и патчами.

21. Использование локальных аппаратных часов для синхронизации
времени

Синхронизация времени очень важна. Журналы регистрации зависят
от нее. Аутентификация зависит от нее. Ваши пользователи
зависят от нее — а как иначе они узнают, что пора
идти домой? Все сети должны использовать протокол NTP для
синхронизации часов, а также использовать надежный внешний
источник наподобие pool.ntp.org, чтобы убедиться, что часы
не просто синхронизированы, но и показывают точное
время.

Позаботьтесь об этих важных моментах, и ваша
сеть будет в прекрасном состоянии и выдержит любые
нагрузки.