bash.im ithappens.me zadolba.li

Сисадминское

13285

Кто сегодня платит?

Небольшая фирма, чуть менее 30 машин. Доступом к глобальной сети владеют только админ и начальство. Нужное по работе — через админа и письменную заявку. Можно пользоваться своими флешками, но только после прохождения контроля. Контроль — Pentium 4, загружающийся с антивирусного лайв-DVD, без винчестера, но с 4 гигами оперативки.

В чём суть? В том, что если на пользовательской машине обнаруживается вирус, который не лечится этим же лайв-DVD, то премия админа переходит сотруднику. Если лечится — премия сотрудника уходит админу. В итоге админ необычайно трепетно относится к актуальности антивируса, а пользователи — к соблюдению инструкций. Давненько мы ничего не ловили. Идиллия.

13277

Тур по пяти зоопаркам

Принято считать, что ограничение пользователей в правах и запрет интернета нужны для защиты от вирусов. Судьба носила по разным работам. Вот мои наблюдения.


Видео- и фотосъёмка свадеб. Есть сисадмин. Машин около 30. Интернет запрещён. Пользовательская учётка. Везде стоит антивирус от кагэбэшника с устаревшими базами, все машины дико завирусованы. Наличие вирусов сисадмин отрицает. Файлопомойка на маломощном компьютере виснет из-за постоянных запросов вирусни.

(Ах, молодость! Загружался с компакта и брутил админский пароль, чтобы почистить компьютер от вирусов. По словам сисадмина, антивирус дико надёжен, а процесс tmp2809.exe, файл которого находится в C:\Windows\Temp\, сейчас рассосётся сам собой и перестанет есть 99% CPU.)

Фирма широкого профиля, перепродажа промышленного оборудования оптом и в розницу. Есть сисадмин с двумя помощниками. В главном офисе машин около 120. Интернет разрешён только избранным. Пользовательская учётка. Антивирусы стоят на большинстве машин. Компьютеры завирусованы процентов на 70. Вирусы создают на файлопомойке файлы вроде домашнее_порно.ехе и расшаривают на своих компьютерах папки с этими же файлами. Учитывая множество расшаренных папок с настоящим порно, эпидемии прокатываются по несколько раз в месяц.

Типография, по совместительству дизайнерская студия. Сисадмина нет, эникеят дизайнеры, потому что «тыжкомпьютерщики». Машин около 20. Интернет разрешён. Пользовательские учётки в качестве традиции, админская учётка с паролем «123». Везде лицензионный NOD32 с обновляемыми базами, но не запускается: «глазик» в трее горит красным. Компьютеры завирусованы по самое не балуй. Записать что-то на флешку невозможно из-за битвы вирусни за autorun.inf.

Посредническая фирма, машин в главном офисе около 50. Есть эникей. Интернет разрешён. Антивирусы на произвольных машинах. Пользовательские учётки с сильными ограничениями у восьми жопоруких юзеров, остальные под админом. Завирусованность почему-то почти нулевая.

Редакция одновременно двух изданий — журнала и газеты. Машин больше 40. Есть сисадмин. Почти поголовно пользовательские учётки. Интернет разрешён тем, кто готовит материалы, запрещён верстальщикам, корректорам, редакторам. У отдела приёма рекламы вместо интернета — Аутлук с коннектом к почтовому серверу. Обновляемый кагэбэшный антивирус соседствует с невероятным зоопарком вредоносного ПО. На файлопомойке куча скрытых папок с вируснёй.


Жизненный опыт говорит, что завирусованность машин слабо коррелирует с наличием сисадмина, запретом интернета и ограничением прав пользователей.

13274

Интернет по большой дружбе

22 апреля 2015, 08:12

Как смеют рядовые сотрудники ставить под сомнение мудрость админа?!

Как смеет человек, которому поручили администрирование сайта, хотеть подключения к интернету? Запретить! Админ умнее! Пусть ползает на коленях, умоляет, пишет обоснования и покупает пиво.

Как смеет дизайнер, в служебных обязанностях которого упомянут поиск необходимых изображений на Шаттерстоке, хотеть доступа к этому же самому Шаттерстоку? Запретить! Не пущать! Админ лучше знает! Заявление, пиво, подружиться — и только потом интернет.

Или начальник отдела, который по должностной инструкции обязан отслеживать тенденции и изменения в визуальной коммуникации как среди конкурентов фирмы, так и в смежных областях — как он смеет собирать информацию в интернете?! Админ лучше знает! Запретить интернет, не пущать! Пусть помучается, ножками по конкурентам побегает!

Наверно, админа можно было бы оправдать, если бы отсутствовали приказы.

Вначале где-то наверху была проанализирована необходимость и целесообразность создания нашего отдела. Потом, когда таки решили — «да, делаем», были разосланы приказы. Кадровикам — найти подходящих людей. С изучением предложения и спроса на рынке вакансий, серией собеседований и подготовкой рекомендаций на утверждение. Гостевой пропуск для меня был готов за две недели до собеседования.

Ещё кому-то — выделить и подготовить три помещения: для начальника нового отдела, сотрудников и сольвентного принтера (по правилам ТБ он должен стоять отдельно в проветриваемом помещении). Прописана необходимая площадь, необходимая мебель.

Ну, и отделу автоматизации — подготовить рабочие места четырём людям. Известно, с какими принтерами они будут работать, каким софтом они будут пользоваться. Для софта и принтеров легко можно нагуглить минимальные и рекомендуемые системные требования.

И — барабанная дробь — отдел автоматизации ставит антикварный Athlon 2400 с 512 МБ оперативы и ХР туда, где должна стоять машина с рекомендуемыми Windows 7 x64, 8 ГБ оперативы, видеокартой Nvidia 2 ГБ (есть список поддерживаемых). Ладно бы денег не было, ладно бы временно. Так нет, по приказу отдел автоматизации должен был заранее подготовить список закупаемых частей, чтобы оплатить-привезти-собрать к дню икс, когда новый отдел приступит к работе. Вы думаете, почему сисадмин с начальником так резво бегали? Они ж написали служебную, что ничего закупать не надо, рабочие места будут собраны из имеющихся комплектующих — и даже получили премию за экономию средств для фирмы.

В качестве бонуса — о том, как нам дали административный доступ к нашим машинам. 400 метров — путь до нас и обратно — вначале админу приходилось преодолевать раз пять-шесть в день. Установка-удаление каждого шрифта, каждого обновления, каждого плагина. Он мог бы поставить программу удалённого доступа, но демонстративно показывал всем, что работать без TCP/IP просто и удобно — значит, Тимвьюер не запустишь, надо ножками. Тут он сдался первый раз и перешёл к удалённому администрированию. Но давать дополнительные разрешения пользовательской учётке не хотел: пользователи должны быть бесправны! (На самом деле ему было лень копаться в политиках домена, создавая особую категорию пользователей.)

Второй — и последний раз — админ сдался через неделю. Он мужественно терпел установку и удаление каждого шрифта, но два дня калибровки мониторов (мы пробовали чернила от разных производителей) его подкосили.

13248

Утехи для самых любопытных

12 апреля 2015, 08:12

Ох и юмористы тут сидят! Для них баннер, который требует 50 рублей, потому что пользователь якобы просматривал сайт ГорячиеЦыпы.com, говорит о том, что пользователь точно просматривал порно. Расскажу-ка я историю, которая приключилась со мной в пору становления админом.

Нашёл я себе новую работу в филиале торговой компании. Предстояло мне администрировать сеть с Active Directory. До этого я работал либо с малыми сетями, где AD был не к месту, либо в чужих сетях, где админили AD бородатые дяди, либо где AD просто не внедрили. Взяли меня как перспективного эникея, который не падает в обморок от слов RDP, TCP/IP, «маршрутизация» и «права доступа». И вот я осваиваюсь на новом месте, нахожу узкое место в сети, из-за которого жутко медленно работала 1С, предлагаю решение, устраняю проблему и мой начальник, админ из центрального офиса, решает, что я перспективный малый и мне можно доверить ключи от Рая. Впрочем, это был пароль администратора домена.

Гордости моей не было предела. Ещё бы: из грязи в князи! Напрягал меня лишь тот факт, что в AD я, мягко говоря, не силён и вообще только читал, что есть такая технология. Привычным для себя путём решил скачать Очень Толстую Книгу и стать-таки гуру Активных Каталогов. Поскольку уже в то время бумажные книги стали стоить как вертолёт, я залез в Гугл, забил туда «администрирование active directory книга скачать», после чего жмякнул первую же ссылку. Экран немедленно покрылся психоделическими цветами, и поверх этого вылезло окно с ужасными надписями:

Ваш компьютер заблокирован УФСБ КГУ ЦРУ Министерства внутренних дел за просмотр некропедозоопорно на сайте ОченьНеприличноеНазвание.com! Заплатите штраф, отправив SMS на номер 7-9xx-xxx-xx-xx! Не пытайтесь перезагрузить компьютер, иначе все ваши данные будут удалены!

У меня просто отвисла челюсть. Вот так я, до этого смеявшийся над такими случаями, сам взял и попался на винлокер. Одним кликом по ссылке.

Меня спасли только опыт работы эникеем в разнообразных условиях и любознательность, из-за которой я знал все интересные места в системе. Рука на автомате вдавила reset, ПК ушёл в ребут, я пожмякал F8, загрузился в безопасном режиме, вычистил все известные мне пути автозапуска, удалил сам исполняемый файл, прогнал весь винт свежескачанным антивирусом и перезагрузился обратно в свою учётку. После этого я накатил плагин для блокировки скриптоты на браузер и по сию пору живу в добром здравии, чего и всем желаю.

Забористая порнушка этот Active Directory, не находите?

13239

Гугл, слушай и записывай

Читаю я тут перепалку насчёт работо-соискателей и разных видов нанимающих и не совсем понимаю, о чём спор. Совершенно чётко просматриваются две линии: одни ищут готовых профессионалов, которые начнут работать с первого дня, другие ищут тех, кого можно поднатаскать и через какое-то время иметь удобного, лично наученного работника. Сама большая и, надо заметить, критичная разница — когда человек должен начать приносить компании пользу.

Сейчас я работаю с системами UNIX/Linux, сетевым оборудованием и разного рода оборудованием, связанным с мобильными телекоммуникациями. Не буду скрывать, попал я на эту работу по протекции, меня позвал в свою команду хороший друг моего брата. Ему нужен был толковый парень, который «хоть что-то знает» и сможет быстро научиться. Знания мои сводились к «почти CCNA» без сертификата, MCSA с небольшим опытом работы и относительно свежим и хорошим знанием теории. Ах, ну да, ещё я не впадал в панику от вида шелла, потому что имел шапочное знакомство с Kali Linux и видел сервера Sun на картинках. Но у меня был тот самый «огонёк в глазах», желание учиться, а стартовой страницей во всех трёх браузерах стоял Гугл, и поэтому меня таки взяли на работу, хорошенько помурыжив аж на трёх собеседованиях.

Когда через три месяца я в первый раз смог в одиночку пропатчить и поднять систему, тот друг, который меня принимал, честно признался, что не ожидал: по изначальному плану я должен был начать приносить пользу только через полгода. Вдумайтесь: они взяли на работу человека, которого были готовы учить и поправлять за ним косяки шесть месяцев, но зато в итоге получить работника, который хорошо знает систему и работает именно так, как им надо.

А теперь я расскажу вам про человека, которого я заменил в команде. Это был дедушка, который в 67 таки согласился выйти на пенсию. Впрочем, дедушкой назвать его было и правда сложно: подтянутый живчик, которому на вид было сложно дать больше пятидесяти. К моменту, когда я его заменил, он работал в компании семь лет. Да-да, его наняли в возрасте 60 лет в тогда ещё довольно молодую и развивающуюся компанию. У него был сверхъестественный опыт работы с UNIX, вплоть до выученных наизусть серийных номеров для модулей памяти на разные типы серверов. Прилетев в ещё не достроенный дата-центр, где интернета не было совсем, он мог, порисовав полминуты на бумажке, настроить с нуля только распакованный роутер Cisco, включая туннели и VPN на будущее. Такое ощущение, что в определённых вопросах Гугл мог посоветоваться с ним, а не наоборот. Тогда дедушку наняли, не глядя на возраст, потому что им нужен был именно такой профессионал, который с первого дня работал на все свои 100%.

Есть разные компании, разные должности и разные соискатели. Да, глупые требования и тесты есть (за это спасибо эйчарам), но уповать на «огонёк в глазах» и Гугл в некоторых случаях глупо, а где-то по той или иной причине вас не возьмут на работу, потому что вам уже за 35.

Всем добра и удачных поисков работы и работников!

13233

Всё пропало, работаем дальше

6 апреля 2015, 08:12

Не, ребята, вы как хотите, а радикальные методы — именно то, что доктор прописал. Не согласны? Попробую убедить.

Допустим, у нас супер-пупер-система, в которую 100500 лет вносились изменения и патчи «по желанию заказчика». Она стабильно работает, данные лежат на RAID-массиве, ничего не предвещает беды, но в здании происходит пожар, и серверная выгорает дотла.

Что, каким словом вы сейчас охарактеризовали ситуацию? Нет, это всего лишь затруднение и перерыв в работе.

Временный сервер поднимем в уцелевшем помещении, накатим на него свежую ОС, бэкап системы и бэкап базы. Бессонная ночь — но утром уже всё работает, а генеральный читает служебку о необходимости выделения средств на поддержание актуального резервного сервера.

А всё потому, что вся система с момента первого релиза и до последнего патча по изменению размерности поля в таблице лежит в Git, а бэкапы данных делаются два раза в сутки (можно и чаще, но нет смысла) и хранятся за месяц на удалённом сервере в облаке. Как раз вот на такой случай, после того как в конторе у знакомых серверную затопило водой из лопнувшей трубы.

Почему система контроля версий, а не банальный бэкап? А это на другой случай, если после очередной доработки всё сломается, чтобы можно было не только откатиться к предыдущей версии, но и увидеть, что, собственно говоря, было причиной.

А любителям вносить правки в работающую систему — большой и пламенный привет!

13216

Невежды не пройдут

31 марта 2015, 08:00

Привет тебе, о соискатель!

Да, я спрошу тебя про OSI. Тебе нужно практическое применение? Расскажи, как ты прокинешь 500-метровую витую пару с очень ограниченными условиями врезки по питанию по дороге. Объясни, почему свитч тут не тянет, а древний хаб справляется. Расскажи мне, что такое коллизии и почему ты соединил два гигабитных свитча двумя патчами, а вместо двухгигабитного аплинка получил шторм на всю локалку.

Ты не использовал SPF? Молодец, читай спам. Про DNSBL я тебя даже спрашивать не буду. Что такое GeoDNS и чем оно чревато в международной компании — тоже, пожалуй, не стоит. Про MX-запись, кстати, не могут ответить 9 из 10 собеседуемых, так что тут ты молодец.

Теперь к AD. Вот ответь мне, зачем нужна репликация? Что реплицируется? Какие-то партишны… А что в них, в партишнах? Схема AD? Нет, не слышал? SPN? Не? Ну, может USN хотя бы — зачем он? Тоже не знаешь? Давай твою любимую практику — как с помощью ключа реестра BurFlags починить сломавшуюся реплику на контроллере? Что, и это теория? Ну, извини.

Или вот: «Я админил MS SQL!». ОК, что такое статус Suspect у базы и что нужно сделать в первую очередь? Детач-аттач? Молодец, садись, два.

И так везде. На все вопросы. Кандидат пишет: «Администрирование TMG». Выясняется: видел ISA 2000 два раза на лабах.

И это всё в большой-большой компании с зарплатой около 100K чистыми. Не 60, как у предыдущего гражданина — тут соглашусь, за 60 этого требовать смешно.

И да, я самоучка. У меня нет ни одного сертификата. И, может быть, ты, замученный собеседованием, говорил как раз со мной — уж очень похожи вопросы. Но в любом случае, пока ты свято считаешь, что теория не важна — you shall not pass.

13214

Ты с какого проекта?

30 марта 2015, 08:00

Позволю и себе не согласиться с «крепким профессионалом». Ищете вы младшего системного администратора с зарплатой около тысячи убитых енотов, а вопрошаете, где же энтерпрайзные админы. Они есть, но уровень их оплаты в разы выше.

Нам повезло: после долгих поисков и многих собеседований для обслуживания парка серверов компании мы нашли именно системного администратора высшей квалификации. Ему под 50, стаж почти 30 лет, десятки завершённых интересных проектов, может часами общаться о реализации протоколов на всех семи уровнях модели OSI, знает и «никсы», и гипервизоры, постоянно с ними работает, регулярно повышает квалификацию. При этом оформлен ИП — человек работает на себя. Нам он уделяет всего несколько часов в неделю, но при этом все задания выполнены в срок. В общем же зарабатывает более 200 тысяч деревянных в месяц.

Ему не интересно разбираться с отошедшим проводом мыши у секретаря или с драйверами принтера у бухгалтера. Неопытных пользователей с большим гонором он очень умело и тонко троллит в пределах должностных инструкций, а проблемы отдаёт решать именно не столь опытным «мальчикам», так что техподдержка из него не выйдет.

Мой совет: вместо пустой теории о потоке, которая легко гуглится за пять минут и в реальной админской жизни редко бывает нужна, лучше спрашивайте соискателей об их реализованных проектах и по итогам подбирайте более подходящих под ваши задачи. На оценки в дипломе можете вообще не смотреть: институты, кроме отсрочки от армии и корочки, не дают выпускникам ни знаний, ни опыта. Курсы дают сертификаты и знания, но не опыт, да и забывается всё довольно быстро после сдачи экзамена, если нет реальной практики.

В общем, перед тем как сокрушаться и строчить подобные гневные оды, советую лучше ознакомиться с современными реалиями рынка труда и курсом национальной валюты.

Да пребудет с вами Великий Бубен и пророк его Мудрый Гугль! Всем бобра!

13213

Все термины за пять минут

«Требования: знание C++‚ C#, .NET Framework‚ Visual Studio‚ Delphi‚ Java, MySQL, Pascal, PHP, Python, java script, Linux, Virtual machines (vmware)». Этому объявлению уже больше трёх лет, но оно бессмертно.

Если спрашивают про уровни модели OSI, значит, ваш интервьюер решил блеснуть крутизной. Серьёзно, приведите мне практический пример этого вопроса. Когда я слышу этот вопрос, то перевожу его для себя как «Чем отличается SMTP от UDP».

Я вам честно скажу, что не знаю. Но я знаю, что если вы хотите связать две программы или два устройства — они должны использовать одинаковый протокол. Это очевидно. Когда я настраиваю VPN-соединение, я даже не вспоминаю этот ваш OSI, меня интересуют совсем другие вопросы: как разрулить маршрутизацию между двумя сетями и какое решение использовать в данном случае.

Когда меня спрашивают про виды DNS-записей, я начинаю грустить. Просто спросите, что именно вы хотите реализовать. Нет, я знаю про прямую и обратную зону, в курсе, чем A отличается от MX. SPF не приходилось использовать ни разу, и что-то мне подсказывает, что неспроста. Может быть, я и неправ, но тем не менее.

Вообще, теоретические вопросы, на мой взгляд, выдают непрофессионализм интервьюера. Если вы вместо вопроса из жизни спрашиваете про стандартные порты, то это о чём-то говорит. К слову, я ожидаю, что ваши вопросы помогут мне сориентироваться в работе, на которую я пришёл устраиваться. Спрашивают про сети — значит, придётся много возиться с сетями. Я могу рассказать, какого уровня сети мне приходилось строить, как и почему были выбраны те или иные технологии. Если вопросы о 1С — я расскажу, какие есть у меня сертификаты и как интегрировать другие системы с 1С.

Вас интересует телефония? Нет, две офисные АТС между собой мне не связать, но с правкой диалплана и чтением логов я справлюсь.

Я помню своё недавнее интервью в международную компанию (увы, из-за санкций ей пришлось уйти с нашего рынка). 15 минут мы поговорили с техническим специалистом. Выяснилось, что у нас разный опыт в использовании технологии, но у самих технологий много общего. Поговорили о политике безопасности на предприятии, об СКЗИ, наличии соответствующего отдела ИБ, разделении обязанностей между отделами. Если опустить интервью с нетехническими специалистами (какие конфликтные ситуации были и как вы их решали, кто папа-мама, как относитесь к алкоголю на работе, уровень владения английским), то это всё. Наверное, потому что вакансия была описана конкретно и резюме вполне соответствовало ей. Я не знаю, сколько было претендентов, но за неделю они вакансию закрыли. Так что если при множестве кандидатов вы не можете найти «профессионала», то, может, вы что-то делаете не так?