Re: cinque amministratori, la mano destra non sa quel che fa la sinistra
On Wed, 14 May 2014, gerlos wrote:
i log possono sparire
Proprio non c’è da fidarsi, eh?
no, i log possono "sparire" in caso di problemi di spazio, come è già
successo. volontario ma non malevolo.
sudo bash è decisamente una delle peggiori pratiche imho, per diverse ragioni.
ma delle più comode ....
Se fossi nella posizione di farlo, intanto toglierei loro la password di root,
lasciando i privilegi di sudo (ma NON sudo passwd, ad esempio),
raccomandando loro di NON usare sudo bash se non strettamente necessario
(raramente lo è).
infatti, nessuno ha la pw di root, ma tutti hanno sudo aperto.
E se abusano di sudo bash, toglierei loro (temporaneamente) anche sudo bash.
A parte queste policy restrittive, cercherei di essere conciliante, per far
capire che queste cose servono per lavorare insieme serenamente e
aiutarsi senza intralciarsi.
cerchiamo di capire il problema, non è di pestarsi i piedi ma che il
server (di una onlus, quindi i sistemisti lavorano gratis) è in un
datacenter dove lavoravano le tre persone che erano amministratori
fino a due settimane fa.
Ora è capitato che uno di questi sia per sei mesi all'anno in australia
(ma non in un posto dove ha connessione 24/24, altrimenti sarebbe stata la
con dizione ideale) e uno degli altri sia stato "sfiduciato".
La settimana scorso il server ha avuto un guasto al disco e per ritirarlo
su il sysadmin "superstite" ha avuto necessità di ben 13 ore (dovendo
reinstallare il tutto su una macchina nuova), gran parte delle quali
passate a cercare la password dei backup criptati e trovare la
configurazione buona visto che mancava il backup fra gli altri delle rules
di iptables e la documentazione scritta (su un altro server) era
aggiornata al 2009. La sicurezza era alta (backup criptati con chiave in
possesso di una persona e passphrase a un altro) ma certo non agevolanti
la tempestività.
Per evitare problemi siccome il servizio deve essere erogato 24/24
365/365, è stato deciso di avere almeno 4 amministratori (poi
diventati 5 sulla macchina ma 8 in teoria, anche se gli ultimi 3 accedono
in un modo particolare) in modo che in caso di problemi ce ne siano almeno
2 in giro.
Poche ore dopo il sistema ha cominciato a zoppicare e solo dopo tre giorni
è stato scoperto il problema, in un rigo errato nella configurazione del
firewall, che l'amministratore "titolare" aveva fatto dimenticandosi di
dirlo agli altri.
Da qui la decisione di mettere un sistema che segnali a tutti ogni
modifica fatta dagli altri, anche se si dimenticano di dirlo.
saluti
gerlos
--
gerlos
Sent with Airmail
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-REQUEST@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmaster@lists.debian.org
To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] etPan.5373568f.2ae8944a.769c@Aluminium.local">https://lists.debian.org/[🔎] etPan.5373568f.2ae8944a.769c@Aluminium.local
--
Leonardo Boselli
Reply to: