политика Рейтинг в сообществе: 12.1 | |
Игры Рейтинг в сообществе: 5.4 | |
Смешные комиксы Рейтинг в сообществе: 0.6 | |
The Witcher Рейтинг в сообществе: 0.2 | |
страны Рейтинг в сообществе: 0.1 | |
гиф анимация Рейтинг в сообществе: 0.1 | |
art Рейтинг в сообществе: 0.1 | |
TRAP Рейтинг в сообществе: 0.1 | |
twitter Рейтинг в сообществе: 0.0 | |
новости Рейтинг в сообществе: 0.0 |
Постов: 8
- хороших: 0
- лучших: 0
Комментариев: 1076
В большинстве мест, где используется AD, примерение оных ограниченно менджментом пользователей (сравнительно часто даже группы ленятся настраивать) и выставлением полутора политик.
Поведение линуксов как правило предсказуемо, даже когда некорректно. Фигни типа - я настрил правило в фаерволе, вчера работало правильно, сегодня - нет, на линуксе не бывает. Или работает или нет, даже если не работает из-за бага, а не ошибки в конфиге. Винда же это постоянный цирк, буквально вчера, два сервера для тестового стенда на виртуалках, идентичный конфиг, созданны с разницей в 10 минут, установка из одного дистрибутива. На одном скрипт преднастройки выполняется без заикания, на вотором требует сменить политики powershell. Ладно у меня тестовая среда, а если реальный админ будет уверен, что у него выполнение неподписанных скриптов заблокированно, а на самом деле нет?
>Смотрю безопасность вы нахуй посылали регулярно?
А я здесь при чём? Ставить бэту на автоапдейт рискованно, если оно развалится, надо чтобы было время починить. Инструкцию с тем, где проверять новые версии, как обновлять с минимизацией рисков и когда ожидать релиз я оставил вместе с описанием всей инфраструкутуры. То что на неё забили хуй я, будучи уволенным, никак проконтролировать уже не мог. Я чуть не поседел, когда через пять лет ко мне пришёл дальний знакомый, которого наняли в то же место, и выяснилось, что КД не обновили ни разу.
За свои недубоства и возможные сложности я не плачу денег и полностью могу контролировать, что происходит, вопрос только в том, какие усилия я готов вложить.
Во-первых, АД очень ограниченно используют почти везде. Полторы политикии и сервер авторизации. Во-вторых, те кто умеют его исопльзовать не ограниченно, как правило работают со смешанными инфраструктурами и регулярно ворчат на винду за непредсказуемое поведение и ограниченность настроек. В-третьих, линуксы в 2012-ом с AD работали достаточно хорошо, чтобы проработать контроллером домена 5 лет без апдейтов (я охуел когда узнал, что это случилось, сервер надо было обновлять максимум через полгода после того, как меня уволили. И да, линуксовый КД был требованием начальства, а не моей идеей, КД единственный сервер, который я активно не хотел на линукс заменять)
Проблема в том, что в конечном итоге отчёты читают, как правило, профессиональные менеджеры, как решения о выделение денег на избыточность инфраструктуры менджеры, принимают решения держать отделы недоукомплектованными, увольнять более дорогих и нанимают более дешёвых сотрудников мендежеры. Которые сами не понимают базовые концепции того, что происходит. Не то, что они там винду сами себе не переставят, а просто нет у них образа как что происходи и когад спецы им объясняют - не складывается.
Это не 100% так, есть и адекватные мендежеры и ит менеджеры и инфраструктрные команды, но мы видим и будем видеть массовые провалы большниства.
Те, кто сделали всё нормально, остановили апдейты вечром, с утра откатили постадавшие сервисы и сейчас пьют чай с печеньками, читают новости и ржут. В новостях их, соотвественно не будет. "Адекватные админы пьют печеньки и ловят лулзы" не такая интересная новость, как заблокированные аэропорты.
Да и в 2003-ем линукс на встраиваемых девайсах и серверах не был чем-то необычным.
Правда нанимать самоуверенных идитов, которые оперативную память от процессора не отличают, админить линуксовые инфраструктуры не получится. Но потом эти же идиоты и устраивают то, что мы наблюдаем, потому что если делать руками, то ничего бы так массово не попадало. Были бы временные сложности незаметные для большинства простых людей.
Если апдейт безопасности кладёт основные сервера/группа терминалов, остаётся запасна.
Если апдейт норм, но вдруг запасную группа скомпрометированна за пару часов разницы, то её можно просто отключить.
Шанс что случится и то и то минимальный и суммарный эффект всё равно не будет хуже. Если всё лежит, то всё лежит.
Основные приницы работы с инфраструктурой нарушены.
Не релизить ничего важного в пятницу, не ставить обновления пачкой на основные и резервные сервера. Надо делать таймеры, чтобы если что-то повалилось после обновы было время остановить апдейт на остальном.