Pull to refresh

Comments 185

Если можно, поделитесь какие именно задания (в деталях) вы давали на собеседовании.
Самый простой пример: Есть три сервера на Win2003, у одного роль DC, у второго роль Exchange 2010, у третьего — RDP terminal server. Ни на одном нет антивируса. Ваши действия?

Ответ «бежать со всех ног» принимается?
Антивирус может понадобиться только на RDP терминал сервере. Без понимания рабочих процессов и софта ответить на вопрос нельзя.
Т.е. по Вашему в почте вирусов не бывает?
Бывают. Предполагается, что на почтовом сервере вирус никто не запустит, также как и на DC. На почтовом сервере должен быть «почтовый антивирус»
sudo apt-get install linux? :))

Если лицензии анти-вируса не помашинные, то везде его воткнуть. Иначе по порядку: rdp, mail, domain.
UFO just landed and posted this here
Человечий фактор.
  1. Сетевые уязвимости ОС
  2. Человеческий фактор как то:
    • Запуск под УЗ с правами Администратора Домена уязвимых служб (распространённое явление, когда лень разбираться с выдачей прав)
    • Работа администратора на контроллере как на терминальном сервере (не менее распространённое явление в небольших конторах. Видел ситуации, когда администратор физически сидит и работает за DC)
    • Совмещение роли DC с другими ролями при экономии на оборудовании (Запросто на DC сервер 1С, RDP, MS SQL, IIS, Apache )
    • Работа под Администратором домена «девочки», заводящей пользователей (это уже в конторах побольше, потому, что администратору было лениво разобраться с делегированием управления)

И это не фантазии — это только то, что я реально видел.
UFO just landed and posted this here
Современные антивирусники работают не только с сигнатурами. Уровень эвристического анализа тоже высок. Часто блокируют приложения просто по поведению и спрашивают «что делать, хозяин?»
UFO just landed and posted this here
А где-то в условии вопроса сказано про бесплатность?
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Современные вирусы умеют перехватывать вызовы API операционки, если засядут достаточно глубоко. Грубо говоря — если антивирус запрашивает ОС на предмет существования такого-то файла, то ОС ему ответит «там ничего нет», когда на самом деле есть. Потому единственное правильное действие при заражении важной системы — снести к черту всё ПО вместе с ОС и установить с нуля, либо восстановить полностью из заведомо чистого бекапа.

Имеются и более непробиваемые варианты — например, когда вирус влезает в прошивку HDD. Был PoC, когда этот вирус в прошивке подменял запросы к /etc/shadow и отдавал ОС не то, что там на самом деле было. Ага, даже так. Разумеется, тут переустановка уже не поможет.

И уж разумеется серьезная зараза пишется так, чтобы эвристика основных антивирусов ее не видела.
Ну для этого им всё равно надо как-то иницииароваться. А это чаще всего происходит примитивными путями — автозапуск с флешки, аттач из почты или скачивание из интернета. Или включение в сеть заражённого компьютера.
UFO just landed and posted this here
Конечно. И антивирус запросто может не предотвратить заражение. Потому нужны механизмы предотвращения проникновения вредоносного ПО в сеть. Например:
1) Блокировать флешки к чертовой матери. Если почему-то нельзя, то на всех современных ОС автозапуск уже отключен. Ну и запрет запуска приложений с флешек и т.д.
2) Фильтрация почты. Тут как общим антиспамом, так и несколькими антивирусными движками. Всё что не сканируется или выглядит странно — выкидывать.
3) С HTTP — фильтрация по категориям и репутации (наиболее сильный механизм) и те же антивирусы.
4) Зараженный компьютер — вылавливать с помощью IDS/IPS и блокировать на уровне порта коммутатора. Обычно зараза очень сильно и характерно шумит, это легко палится.

В результате локальные антивирусы должны в основном остаться не у дел.
UFO just landed and posted this here
У меня складывается ощущение, что с продуктом, который вы кличете «вендой», вы знакомы либо понаслышке, либо опыт закончился на этапе win98/NT4
UFO just landed and posted this here
Последний раз я плевался от того что нельзя просто взять и скопировать полностью профиль в семёрке в свежую систему поверх существующего с таким же именем.
В ХР было можно, правда требовалось руками давать доступ к реестру и файлам, но это мелочи, зато работало.

Ну они как бы разные…

Вообще по Вашим комментариям складывается впечатление, что Вам не свойственно размышлять на тему «почему оно работает именно так» и искать об этом информацию.

Тут как раз статья про таких специалистов…
Мои действия —

Для терминальника:
Групповыми политиками ограничить всех пользователей в правах, запретить запускать программы из профиля пользователя (разрешить только из определенного места).

Все, в 99,9% времени антивирус не нужен.

Для ДЦ антивирус не нужен.
Для эксчейнджа — не знаю, не компетентен, а читать лень :)
Очень интересно, мы как раз в облако едем к новому RDP-серверу, соответственно хочется знать подробнее, спасибо.

Допустим, что запустить эти гении ничего не смогут, но сохранить и распространить ведь запросто (учитывая, что у нас еще остаются BYODы)?
А как быть со зловредными макросами в Экселях и Вордах (разве от них уже мир избавился?), js-ами в PDF и прочей ерундой?
UFO just landed and posted this here
Зажимаем права пользователя, усиливаем разрешения.
Антивирус после этого нужен только для автоматической зачистки всякой ерунды.

Хорошее решение, но после того как количество разнообразных сервисов переваливает некоторую критическую массу работа администратора превращается в постоянное ковыряние в правах и диагностику «каких прав не хватает, почему перестало работать».
ПДФ лечится очень просто — суматра пдф вьювер и никакого агробата от абобе.

Тоже решение, но опять же подходит не везде: некоторые используют специфические особенности формата, которые не реализованы/плохо реализованы в альтернативных просмотрщиках формата.
UFO just landed and posted this here
Переходите на фрю/линух, там всё значительно проще дебажить :)

Покажите мне в одном городе до 1 млн. населением 10 linux администраторов, способных написать модуль для selinux и при необходимости найти какие новые доступы потребовались обновлённому ПО, и я готов поверить в это утверждение.
Всё, в 99,9% времени антивирус не нужен.

Да уж… поколение системных администраторов, не испытавших охоту на sasser, blaster и других червей в сети хотя бы на 500+ машин и три десятка серверов.
Всегда найдутся машины, к которым недовинтились, недоприменились или вручную отменились жёсткие ограничения. На моей памяти это был админ, ткнувший не ту ссылку в браузере, при работе не сервере. Канал был слишком широк (не успел нажать отмену), полномочия высокими, а UAC ещё не было. Даже антивирус был, но ещё не понимавший эвристики sasser'а. А дальше был жёсткий многочасовой групповой секс с блокировкой спама и падающими службами.

Извините, что к вам лично прицепился с обобщением «поколение», много прочитал комментариев вида «на серверах антивирус не нужен».
Да не страшно :) Вы все очень верно Вы сказали, но!

Есть хардварные решения, проверяющие чексуммы файлов, например. Можно делать кластер из серверов, виртуализация с бэкапом каждые 15 минут, и прочее и прочее.

Задача была про один рдп, один эксчендж и один дц, а не 500+ машинок.

Так что в данной реальности я правее :)

Или вы по дороге двигаетесь хотя бы на танке? :)

ЗЫ Извините, заплюсовать не смог — не хватило кармы.
хардварные решения, проверяющие чексуммы файлов

Вы думаете, это проще, чем антивирус? Особенно весело будет ставить апдейты на ОС.

Задача была про один рдп, один эксчендж и один дц

Ну просто мне кажется, что лечить от червя, типа сассера, три сервера, конечно легче, чем 30, но всё равно малопривлекательно. Вдобавок, одна любая недолеченная машина в сети, и через пару часов всё заново.
А ещё есть черви, создающие на серверах общие папки, набиваемые разным контентом — от порно до вредоносного ПО, чего тоже можно избежать, защитив серверы.
Сейчас может и ещё интереснее всё, мой опыт этого дела закончился лет пять назад, но уверен, что актуальность антивируса на серверах не пропала.

На танке я конечно не катаюсь, но ремнём в машине пристёгиваюсь.
Ваш вопрос некорректен, поскольку не указано выполняется ли регулярная установка критических обновлений Windows Update, а также какое установлено на нем прикладное ПО.
Теперь давайте разбираться с каждым сервером по отдельности.
1. Терминальный сервер.
Возвращаясь к вопросу о регулярном обновлении — ситуаций, при которых сервер не выполняет обновления сплошь и рядом. И причин тому может быть очень много — например несовместимость старого ПО на терминальном сервере с одним из критических обновлений Windows. Точно также может быть и с любым антивирусным ПО.
Поэтому нестись и ставить очередной AV на терминальный сервер без анализа ситуации нельзя. Вы можете банально остановить бизнес компании, когда ваше приложение начнет падать на терминальном сервере из-за установленного антивируса. Про добавления в исключения писать не надо, это далеко не панацея.
Рекоммендации:
1) Настроить встроенный брандмауэр, запретив обращения к серверу по порту отличному от TCP 3389. Терминальным пользователям больше и не нужно, а от сетевой эпидемии червя это защитит.
2) Убедиться в том что пользователи работают в с номинальными правами на сервере.
3) Запретить через GPO подключение носителей в терминальной сессии.
4) Ограничить через GPO список ПО, разрешенного к запуску в терминальной сессии.
5) Настроить дисковые квоты для терминальных пользователей
6) Запретить пользователям выход в Интернет с терминального сервера
7) Обеспечить работу пользователей с файловыми данными таким образом, чтобы все файлы располагались на файловом сервере, на котором установлен AV.
8) Проанализировать используемое ПО на предмет совместимости с критическим набором обновлений, а также возможной совместимостью с Windows 2008/2012.
В случае отсутствия проблем и согласования бюджета — выполнить обновления на более современную версию серверной ОС и прикладного ПО.

2. С Exchange также вопрос не корректно поставлен, поскольку Windows 2003 не поддерживает установку Exhange 2010. Соответственно на данном сервере операционная система на нем уже минимум Windows 2008.
При условии, что на данном сервере только роль Exchange 2010, выполнять установку критических обновлений никто не мешает.
Никто из пользователей не работает с данным сервером напрямую по RDP, за исключением группы администраторов.
Соответственно, угрозы заражения со стороны пользователей не существует. Существует угроза заражения через распространение сетевого червя. К сожалению, закрыть порты здесь уже не получится, поскольку тот же механизм распространения адресной книги в Exchange требует открытого общего ресурса. Поэтому уязвимые порты 137, 139, 445 будут открыты в любом случае. По этой причине необходимо отслеживать актуальность критических обновлений и вовремя их устанавливать дабы избежать заражения по сети через уязвимы сервис.
Администратором же убедиться в наличии установленного AV на рабочей станции, избегать работы с привилегированными правами, пользоваться средствами удаленного администрирования на базе MMC, PowerShell, работать в RDP сессии с минимальными правами, благо механизм UAC это обеспечивает.
Если же несмотря на эти меры все равно есть дикое желание установить AV на Exchange — устанавливайте, но соблюдая требования MS, которые всегда очень подробно описаны в Technet.
technet.microsoft.com/en-us/library/bb332342(v=exchg.150).aspx

3. Самым критичным сервером в этой ситуации и наиболее уязвимым является контроллер домена на Windows 2003.
Поскольку в случае его заражения проблем будет более чем достаточно, вплоть до остановки бизнеса компании, поскольку ни авторизация, ни разрешение имен работать не будут.
Брандмауэром его не закроешь. Система снята с поддержки (только через Custom Support за $), Здесь рекомендация только одна — обновляйтесь как можно скорее до актуальной версии серверной ОС. А до момента обновления убедитесь в наличии актуального SystemState и резервного контроллера.

Ваш вопрос некорректен, поскольку...

Всегда умиляло такое начало ответа на любой вопрос с высоким уровнем абстракции (к каковому можно свести любой, требующий творческого мышления вопрос, например). Понятно, чем оно вызвано — дальше можно пороть любую чушь, или вообще не отвечать, вопрос-то некорректен изначально.

Настроить встроенный брандмауэр, запретив обращения к серверу по порту отличному от TCP 3389

Ну да, AD, управление через административные шары (которые c $ ), сразу идут лесом. И пользователи в этом сервере, видимо, только с вордом работают.

Вообще, я просто не понимаю, почему многие комментирующие настроены так резко против антивируса на сервере, но предлагают выполнить гораздо больший по времени, сложности и ограничению удобства пользователей объём работ. Разве что с целью продемонстрировать навык рассмотрения альтернативных вариантов и комплексной защиты (что опять же странно, при условии выкидывания антивируса).
«Ну да, AD, управление через административные шары (которые c $ ), сразу идут лесом»
Вот это прокомментируйте, ничего не понял.
Какое управление через административные шары на терминальном сервере?
Кому оно нужно и главное зачем? Если вам так принципиально копирование файлов по сети на C$ и т.д, настройте брандумауэр, разрешив трафик только с вашего ПК администратора. Хотя я не знаю зачем оно нужно, учитывая, что тот же буфер обмена позволяет копировать файлы в рамках RDP сессии.
Кроме того, обращение с терминального сервера к общим ресурсам никто не запрещает. Не видите разницы?

«Вообще, я просто не понимаю, почему многие комментирующие настроены так резко против антивируса на сервере, но предлагают выполнить гораздо больший по времени, сложности и ограничению удобства пользователей объём работ»
Потому что надо думать головой, а не пытаться в установке AV на сервер видеть решение проблемы аля панацея. О рисках и проблемах я уже подробно расписал. Как раз из-за подобного подхода как ваш как раз и формируются NEXT-администраторы.
Как раз из-за подобного подхода как ваш как раз и формируются NEXT-администраторы.

Можно подробнее, какого подхода? В частности, откуда представление о том, что я вижу панацеей антивирус на сервере.
«Вообще, я просто не понимаю, почему многие комментирующие настроены так резко против антивируса на сервере, но предлагают выполнить гораздо больший по времени, сложности и ограничению удобства пользователей объём работ»
Опасаются.
Я вот не имею особого опыта обращения с огнестрельным оружием — я его опасаюсь :).
А с какого перепуга у вас Exchange 2010 на 2003 сервере? :)
Это вы ещё программистов не собеседовали
Программистов пишущих на чем? Имхо, у программеров все же возможностей становиться болванчиками меньше. Потому как нажать «насколько кнопочек» тут не катит.
«нажать несколько кнопочек» -> «написать несколько шаблонных конструкций» и все остальное в принципе подходит. Вот как выучили в школе или на курсах некоторые конструкции на бейсике/паскале/ПХП так их и применяют ВЕЗДЕ не пытаясь расширить рамки — ибо оно понятно, шаг влево шаг вправо и компилятор ругается непонятными ошибками которые недосуг даже почитать.
А разве это программист? Это веб мастер жмущий кнопочки в рамках CMS.
Работает программистом, получает деньги и даже пишет какой-то код. При этом шаг вправо или влево из изученных в школе/институте шаблонов рвет мозг и человек впадает в ступор.
Допустим веб.
пишет 3 года на extjs — нихрена не умеет писать на яваскрипте и иметь слабое понятие о прототипах и скоупах.
пишет 3 года на jQuery — умеет подключать плагины и через глобальные функции настроить работу между ними, все.
пишет 2 годна rails — не может использовать базу без активрекорда и не сможет спроектировать приложение мало-мальски отличающееся от стандартных задач.
мое любимое — в резюме написано опыт в жс, не знает что делает new и в чем разница в css между классом и айди.
Не важно, хорошему программисту достаточно прочитать спецификацию языка и он уже может решать поставленные задачи.
О чём статья? О том, что резюме много, а спецов мало? Думаю, так в любых профессиях.
Статья о том, что рынок активно формирует поколени «мясных гуглов» — людей обладающих большим объемом заученных знаний, но неспособных думать.
UFO just landed and posted this here
Нет, увы это нормальный процесс. Такие люди после «обучения» будут иметь прогнозируемые способности, это необходимо для массового внедрения систем.
Всё будет работать плохо, но предсказуемо. Этакие чернорабочие.
… какие кнопки нажимать (особенно Microsoft это обожает)…
О да! Microsoft обожает клик-гайды! Больше клик-гайдов! :)
клик-гайд это хороший способ научить человека решать проблемы на минимальном уровне. Плохо что люди не хотят понимать что при этом происходит.

Реальность такова что разновидность софта очень велика, каждый делает программы по-своему и каждой мелочи нужно посвящать время на изучение как оно работает и как устроены эти чертовы настройки. Но ведь время не ждет — надо ЗДЕСЬ И СЕЙЧАС, поэтому так популярны клик-гайды по которым даже посторонний человекинопланетянин сможет работать. Надо просто не забывать какую цену за это платишь.
Это сильно снижает уровень входа, что является как плюсом, так и минусом. С одной стороны можно быстро начать делать что-то более-менее рабочее, в этом я с вами согласен. Но минус порождаемый этим плюсом просто ни в какие рамки не лезет!

Я понимаю создание клик-гайдов для пользователей, это нормально, но для инжереров и программистов — это просто кошмар. Нас в университете учили находить решения, вникать в суть проблемы/задачи, понимать процесс. А с клик-гайдом единственный процесс, который тебе нужно понять — это то, что необходимо в нужном окне нажать на нужную кнопочку и ввести нужную комбинацию символов.

И именно это, на мой взгляд, является основной причиной такого большого количества низкоквалифицированных работников.

Ещё один минус (сейчас камень полетит в Microsoft), по некоторым вопросам/задачам вообще невозможно найти что-то кроме клик-гайда! Возможно я, конечно, плохо ищу, но, как говорится, осадочек остался…

P.S.: Сейчас опять меня будут минусовать любители Microsoft)))
Но он по крайней мере сможет подсказать в какой области системы копать.
Так навскидку бывает очень трудно вспомнить где находится та или иная настройка, так вот такие руководства помогают. А ведь настройки бывают спрятаны столь неочевидными способами… что без инструкции методом тыка не всегда найдешь.
Мне, к счастьюсожалению, вас не понять…
Там где не хватает "<command> --help" всегда можно заюзать "man <command>", далее, если всё ещё не понятно как делать (что бывает редко) — ищем решение в Интернете. Но это не в винде, поэтому мне вас и не понять :)
если бы, если бы… man msword, man sapr3 и т.д. не все можно объяснить простым текстом.
Как говорил в свое время наш декан, великий ученый от криптографии,
«Единственный способ научиться решать задачи — решать задачи»
Ни разу не:
трололо вопрос

Как бы не были сервера «огорожены» защита на самом сервере должна быть. Уже хотя бы потому, что существуют вот такие вещи
Сервера это то место, где авторизуется множество пользователей, соответственно подобные «атаки» логично направлять в первую очередь на сервера (с учётом того, что есть «администраторы» без антивируса на сервере — вдвойне логично), а нормальный антивирус не даёт запустить эту гадость.
Теперь смотрим с другой стороны.
1) Антивирус может положить DC. Как нефиг делать. Если одинаковый антивирус с одинаковыми базами и одинаковыми политиками (централизованно распространяемыми) стоит на всех DC, то в какой-то момент домен может перестать существовать.
2) Есть снова набирающие популярность HIPS решения.
3) Можно прикрыть DC файрволами с ALG и IPS'ами, фильтрующими протоколы SMB, netbios и так далее на предмет корректности и заведомо плохих запросов.
4) Антивирус запросто может не суметь обезвредить заразу. Я видел такое в масштабах очень крупной и всем известной компании. Один из администраторов умудрился запустить конфикер под учеткой с правами enterprise admin. Макафи визжал на заразу, что-то там прибивал непрерывно, но дрянь уже прочно осела в памяти и продолжала расползаться по сети.

Скажите, а вы считаете себя грамотным системным администратором?
1) Антивирус может положить DC. Как нефиг делать. Если одинаковый антивирус с одинаковыми базами и одинаковыми политиками (централизованно распространяемыми) стоит на всех DC, то в какой-то момент домен может перестать существовать.

а) Я не утверждал, что следует бездумно ставить на сервера антивирус с настройками от вендора. Касаемо DC — у тех же MS есть конкретные рекомендации — что следует добавить в исключения антивируса, запущенного на DC
б) Над планом распространения политик и обновлений антивируса тоже следует вдумчиво работать. Только «самоубийца» будет распространять сразу на всё production систему новые настройки и только «очень рисковый администратор» будет сразу спускать обновления от вендора на критические сервера (ну, за исключением единичных случаев очень критических обновлений). В нормальных антивирусах есть возможность организовать дополнительное тестирование обновлений антивирусных баз на стороне компании-пользователя. Это трудоёмко при внедрении, но значительно снижает эксплуатационные риски.
3) Можно прикрыть DC файрволами с ALG и IPS'ами, фильтрующими протоколы SMB, netbios и так далее на предмет корректности и заведомо плохих запросов.

Можно. Но не везде удаётся такое внедрить.
4) Антивирус запросто может не суметь обезвредить заразу. Я видел такое в масштабах очень крупной и всем известной компании. Один из администраторов умудрился запустить конфикер под учеткой с правами enterprise admin. Макафи визжал на заразу, что-то там прибивал непрерывно, но дрянь уже прочно осела в памяти и продолжала расползаться по сети.

От человеческой глупости может спасти только отсутствие человеков (нечего работать под enterprise admin аккаунтом)
А про антивирус от Макафи — лично у меня к нему сложилось в принципе негативное отношение (хотя в production среде я его не эксплуатировал — могу заблуждаться на его счёт).
> Касаемо DC — у тех же MS есть конкретные рекомендации — что следует добавить в исключения антивируса, запущенного на DC
Как думаете, эти рекомендации спасут? Если, например, антивирь захочет сожрать ряд системных сервисов? А если их в исключения вписать, то уже вирь сможет их сожрать.

> Только «самоубийца» будет распространять сразу на всё production систему новые настройки и только «очень рисковый администратор» будет сразу спускать обновления от вендора на критические сервера
Тут пара проблем.
1) Обычно обновления спускают сразу, после минимального тестирования. По крайней мере такое я вижу вокруг.
2) Надо тестировать на препрод среде с идентичным patch level, что и прод. В идеале — просто склонировать имеющиеся виртуалки, развернуть в отдельном периметре. Иначе тестирование теряет смысл — свежые вирусные базы могут сожрать к примеру только вышедшие апдейты ОС или ПО.
3) В моем случае например препрода как-то и нету. Шибко дорого он выйдет, чтобы покрывал все кейсы, стоимостью с боевую сеть. Так что мне приходится на живую ставить патчи, предусматривать быстрое тестирование основного функционала и откат в случае чего. Если есть возможность — начать с менее важных участков, но и так можно сделать не везде.

> Можно. Но не везде удаётся такое внедрить.
Чьи это проблемы? Вон например Snort вообще бесплатен, причем бесплатны и обновления сигнатур, ЕМНИП.

> От человеческой глупости может спасти только отсутствие человеков
А я как-то и не в курсе других механизмов распространения заразы кроме глупости.

> А про антивирус от Макафи — лично у меня к нему сложилось в принципе негативное отношение
Спросить любого человека, содержащего приличную инсталляцию любого антивируса — и у него к этому антивирусу будет негативное отношение.
Как думаете, эти рекомендации спасут? Если, например, антивирь захочет сожрать ряд системных сервисов? А если их в исключения вписать, то уже вирь сможет их сожрать.

У Вас весьма специфичные представления о работе антивирусного ПО…

1) Обычно обновления спускают сразу, после минимального тестирования. По крайней мере такое я вижу вокруг.
2) Надо тестировать на препрод среде с идентичным patch level, что и прод. В идеале — просто склонировать имеющиеся виртуалки, развернуть в отдельном периметре. Иначе тестирование теряет смысл — свежые вирусные базы могут сожрать к примеру только вышедшие апдейты ОС или ПО.

… опять кто-то кого-то «жрёт» прям жуть…
У нас обновления от MS и новые базы антивируса тестируются на одной ферме вместе.
С момента внедрения такого тестирования (больше трёх лет прошло) был только один случай проблемы. Причина была в человеческой ошибке — не добавили в тестовый макет новую ОС.
> У Вас весьма специфичные представления о работе антивирусного ПО…
А в чем конкретно я не прав?

> У нас обновления от MS и новые базы антивируса тестируются на одной ферме вместе.
У вас покрываются все возможные временами различные варианты пользовательского окружения? Например, вы заметите вовремя, что антивирус начал втихую блокировать RTP трафик софтофона (и такое было)? Это, конечно, не серверная часть, но тоже важно, так как внезапно может образоваться очень много вони от пользователей. И далее — какова задержка от выхода новых сигнатур до их прибытия на конечные системы?

А уж сколько было аварий, косвенно вызванных антивирусом… Например, какое-то время назад коллеги узнали, что если вся виртуальная инфраструктура начинает одновременно (без рандомизации) ставить обновления, то массивы, поддерживающие эту инфраструктуру, минут на 10 садятся на жопу, и на выявление виновника почему-то ушло много недель.

Ну и раз вы считаете антивирус защитой — значит ли это, что вы всерьез полагаетесь на него в вопросе защиты систем от зловредного ПО? Может, я не прав, но если зловред просто попал на систему, вызвав срабатывание сигнатуры, то это уже ЧП, требующее разбирательств и затыкания дырки. Если же он еще и был запущен…

Локальный антивирус — средство отчаяния. Если он предотвратил или первым выявил заражение, то у вас и так колоссальные проблемы.
UFO just landed and posted this here
А уж сколько было аварий, косвенно вызванных антивирусом… Например, какое-то время назад коллеги узнали, что если вся виртуальная инфраструктура начинает одновременно (без рандомизации) ставить обновления, то массивы, поддерживающие эту инфраструктуру, минут на 10 садятся на жопу,

Знакомая ситуация. Старая как виртуализация. Опять же вопрос продуманного внедрения инструмента.

и на выявление виновника почему-то ушло много недель.

У меня на поиск виновника уходил один вечер (при том, что я не непосредственный администратор этих систем).

Ну и раз вы считаете антивирус защитой — значит ли это, что вы всерьез полагаетесь на него в вопросе защиты систем от зловредного ПО?

Я считаю Антивирус ещё одним барьером, инструментом обеспечения информационной безопасности компании. И, как любой другой инструмент, он должен быть подготовлен и настроен перед продуманным использованием.

Локальный антивирус — средство отчаяния. Если он предотвратил или первым выявил заражение, то у вас и так колоссальные проблемы.

Извините, я вижу, что данный диалог упирается в наши с Вами различные представления о сценариях использования антивирусного ПО. Предлагаю пока оставить его как есть — у меня нет возможности приводить примеры готовых решений проблем с антивирусным ПО, которые Вы приводите (целый цикл статей получится а не комментарии).
Жесть… Неосиляторы документации без картинок вконец озверели…
Задавать вопросы, на которых нет однозначных ответов — это умно да. Особенно, когда считаешь себя самым умным.
Да вы не переживайте, мест, где нужны бездумные попки-красноглазики, способные отвечать только однозначно и по клик-гайду — предостаточно. Вы свое место под солнцем точно найдете. :)
А почему вы решили, что я переживаю? Свое место под солнцем я нашел. Я даже за вас не переживаю, хотя следовало бы, учитывая ваш рассудок и собеседования в стиле:

— что лучше: windows или linux?
— ну это смотря какая задача
— данные размыты, включите мозг!
— тогда я подожду, когда появятся данные
— неправильно, линукс! аааа, какие нынче тупые сисадмины

Хотя нет, боюсь, до вас не дойдет пример, вот другой, собеседование на роль дизайнера:
— какой цвет самый лучший: синий или зеленый?
— ну… это зависит от многих факторов
— неправильно, зеленый! ааааа, какие нынче тупые дизайнеры
То, что вы понимаете под «системный администратор» во второй половине статьи — это не специалист, а скорее начальная стадия развития специалиста. Ну ладно, вторая стадия после полного аникея. А вы им мозги архитекторскими задачами взрываете, где любой ответ может в определенных ситуациях быть правильным, и даже в «ставить ли антивирь на DC» не всё так просто, зависит от к примеру того, как они огорожены на уровне сети…

Что до вроде бы «специалистов» из первой половины статьи — есть шанс, что они могут знать именно свое дело (сопровождение систем), но с архитектурой никогда не сталкивались. Тот, с кем вы разговаривали, вряд ли внедряет что-то новое. Да и вообще, я весьма низкого мнения о работающих в интеграторах людях, был и есть опыт общения с ними, хорошо если на всю контору найдется пара грамотных людей.

Сертификаты, на которые вы обращаете внимание, как бы в общем случае ничего не говорят о технической грамотности человека (большинство — безмозглые дамперы), и в любом случае они тоже не относятся к дизайну.
Мне как-то позвонили из конторы в поисках как раз такого «системного администратора». На вопрос «С чем нужно будет работать?» поступил фееричный ответ — «Ну у нас есть Windows, UNIX, Cisco, Avaya. Также нужно будет поддерживать пользователей по разным вопросам. Возможы звонки по ночам. А еще у нас есть система видеомонтажа, с ней тоже потребуется разобраться и решать различные проблемы». Рекрутер сразу же был мягко послал в поисках этого чудо-системного-администратора.

К слову, предлагали весьма скромный по московским меркам гонорар)
Извините, а в чем заключалась фееричность ответа?
За что был послан наивный рекрутер?

Мне кажется очевидным, что компании нужен был «администратор» в смысле специалиста по технической поддержке.

Но! По мне — это замечательная возможность для человека, собирающегося стать администратором. И заключается она не в технологиях, а в одной фразе: «возможны звонки по ночам». Если наш скромный специалист сумеет настроить технологию так, чтобы по ночам и вообще звонки прекратились — будет иметь полное право на звание системного администратора и соискание высокой оплаты профессионального труда.
В том-то и дело, что эта вакансия была не в тех. поддержку.

Еще нигде и никогда (речь про средний и крупный бизнес) не встречал компанию, в которой не совершались бы ночные звонки ИТшникам — системы имеют свойство падать, мониторинг может шалить. Каким бы квалифицированным не был специалист, ни одна система не вечна, т.к. написана человеком (который любит допускает ошибки).

А фееричность заключалась в том, что хорошо описывает фраза «и рыбку съест, и ***** сесть». Им не нужен был человек, который когда-нибудь научится со всем этим хозяйством управляться; им нужен был тот, кто придет и будет работать с указанными системами (во всяком случае именно такое у меня сложилось впечатление после телефонного разговора).
Про ночные звонки… еще раз — я так понимаю — работа администратора — свести шаления «не вечных систем» к минимуму.
Умение это делать — главная, необходимая, ценность специалиста с титулом «админ». Сертификаты же, опыт работы с любым набором технологий (не представляю, где может понадобиться отдельно взятый спец по по одной, отдельно взятой, технологии) — самостоятельной ценностью не являются. Могут быть дополнительными плюсами, приводящими к решению о найме, но не более.

тот, кто придет и будет работать с указанными системами (во всяком случае именно такое у меня сложилось впечатление

Да, от общения с рекрутером впечатления могут быть какими угодно. Даже с заказчиком — может показаться что угодно.
В этом ценность любого спеца — к нему можно придти и с наивным лицом сказать — «у нас тут в машине тук-тук-тук, а было шмяк-шмяк-шмяк». А спец, как доктор, возьмет на себя всю ответственность, соблюдая при этом принцип профессиональной порядочности (не обманывая пациента и не обвиняя его в том, что он сам виноват во всех проблемах).

> не представляю, где может понадобиться отдельно взятый спец по по одной, отдельно взятой, технологии
Да где угодно. У меня в конторе половина бойцов управления IT работает каждый с одной конкретной системой, и такая ситуация очень типична. Например: один — только Exchange, другой — только VMWare, третий — только дисковые массивы, четвертый — только Unix системы (утрирую конечно — по каждому направлению или системе работает по несколько человек). Сам-то я многостаночник, совмещаю в основном сеть и телефонию, что нехарактерно, обычно что-то одно делают.

Что до ночных звонков — бывают конторы с боевой ночной сменой.
Да, я заметил свою оговорку в момент отправки сообщения. Конечно, я имел в виду не специалиста, а администратора.
Т.е. человек отвечающий лишь за один аспект может называться специалистом (бойцом), но администратор (безотносительно области деятельности) — это, в первую очередь, человек налаживающий процесс.

Тема обширная, хватит на отдельный пост (с философией, терминологией, громом, молниями и наглядными примерами из богатого жизненного опыта), но надеюсь, что такое минимальное определение поможет уменьшить неопределенность и разночтения.
> Т.е. человек отвечающий лишь за один аспект может называться специалистом (бойцом), но администратор (безотносительно области деятельности) — это, в первую очередь, человек налаживающий процесс.
За техническую реализацию бизнес-процесса (точнее — за планирование и проектирование) отвечает архитектор. Администратор отвечает за работу вверенных ему сервисов (или сервиса, количество не имеет значения). Да, он налаживает процесс. Обычно среди тех сервисов очень маленькое разнообразие, так как мозги не резиновые и даже несколько разных направлений (скажем, одновременно Win и *NIX) знает лишь очень небольшое число высококлассных специалистов. Я сейчас не про типичных «сисадминов», нахватавшихся по верхам из кучи совершенно разных областей знаний, но по факту не знающих ничего.

А «специалист» вообще относится к чему угодно. Плохой термин.
Регулярно сталкиваюсь с такими работодателями. У нас тут есть зоопарк, Вы должны будете как-то его поддержать, денег не дадим. Как итог: Вы нам не подходите, потому что у нас запросы на дядю с бородой и маленькая зарплата.
И на собеседовании спрашивают: «В какой цвет красить трубы в зоопарке?»
Скажешь: «Ну, можно в зеленый», получишь ответ: «Нет, мы всегда красили в желтый, вы нам не подходите».
Недавно был такой вопрос, как запустить консоль настройки Административной политики в домене. Мой ответ gpedit.msc не подошёл. Правильный ответ был: Пуск, программы, панель управления… А вроде уважающая себя компания.
Для справки:
gpedit.msc — оснастка управления отдельной политикой (по-умолчанию — локальной)
gpmc.msc — оснастка управления политиками домена (та самая, которая открывается из Пуск… и т.д.). Она позволяет назначать политики, моделировать, собирать результирующие и для редактирования отдельной политики вызывает gpedit.msc

Так что в чём-то они были правы.
Добавлю: gpmc.msc входит в состав Windows Server только начиная с 2008 версии, причем по-умолчанию в ней не устанавливается. Для 2003 еще и качать нужно самостоятельно.
То, что в 2003 Windows Server для работы с gpmc.msc необходимо было ставить Administration Tools Pack не отменяет, что это gpmc.msc — единственная оснастка для управления ДОМЕННЫМИ политиками.
А вот я обычно не запоминаю их по названиям

mmc

? :)
а выключенные сервера вы будете включать как, WoL?
Есть миллион способов удалённого включения. Навскидку:
— Упомянутый Вами WoL.
— Все приличные сервера умеют IPMI.
— Есть настройки BIOS, которые предписывают, что серверу делать при появлении питания (по дефолту обычно это Last state, но никто не мешает подкрутить)
— Есть удалённо управляемые устройства питания — заходишь на такой «пилот» и говоришь: розетка #5 — передёрнись.

В конце концов, можно организовать аварийный доступ в серверную и инструкции (которые в распечатанном виде должны висеть там у двери.

В первую очередь включать мозг надо, сервера — во вторую :)
Какая-то бредовая заметка. Отвечу как системный администратор, не знаю Next ли, но 28 лет (в админстве 9 лет). По поводу диалога об UPS. Ответ должен быть — внедрение ДГУ, а не shutdown c сигнала upsd/nut/системы_мониторинга именно так и можете считать что угодно, ибо это организационная проблема. Могу вам сейчас рассказать страниц на 5 почему шотдаун при пропадании питания — говно решение, но не буду, вы же лучше знаете, что админ баран.
Денег предлагали вполне нормально (для Москвы) и я не видел особых сложностей с поиском. Как же я ошибался.
Нормально понятие растяжимое, да и не каждый пойдет работать в контору, где начальник: «Я в школе на бэйзике лучше всех писал, ща я вас научу правильно программировать».
У них были правильно и красиво оформленные CV

С цветочками и рюшечками? Что в вашем понимании правильно, может оно расходится с общепринятым: контакты, скилы, последнее место работы, сертификаты, образование.
«фууу, пользователи… я их так не люблю....»

И практический любой не эникейщик скажет вам то-же самое, работой с пользователями должна заниматься техподдержка, FLS — если в общепринятой практике, задача админа не сопли подтирать и мышки втыкать а организовать устойчивую рабочую систему, меня на одной из фирм, которую обслуживаю 3 года не все сотрудники вообще знают и видели.
Всем им я задавал всего две простейшие задачки на логику и внимательность.

На скакалочке пропрыгать не надо было? А частушку спеть? Задачи должны быть максимально близки к рабочим, а не про люки, стрелы и холодильники с жирафами.
В одной предлагалось развернуть антивирусную защиту на некоторых серверах, во второй — выбрать способ бекапирования.

Есть куча случаев когда установка антивируса не целесообразна, а бэкапы вообще вариантов вагон от скрипта на баше, до бакулы или приопретарных решений, вам все случаи надо было? Главный критерий бэкапа — его восстанавливаемость за минимальное время, таким образом рано или поздно приходим к горячим бэкапам и холодным архивам, но вы явно не это хотели услышать.
Могу еще добавить, но просто резюмирую, вы ищите второго себя, так не бывает и любого человека с иным подходом готовы выставить идиотом, только потому, что он думает не так же как вы.
расскажите хотя бы в трёх предложениях почему shutdown это зло? Никогда этими штуками не занимался, но интересно.
А вообще, если глобально и с небольшой философией, то человеком движет пофигизм и лень и человек успешен настолько, на сколько он мотивирован (внешне и внутренне) преодолевать свой пофигизм и лень. Из этого получается вывод, что с улучнением качества жизни падает мотивация и соответственно и понижается профессионализм и много других вещей, что мы как бы сейчас и наблюдаем. На самом деле качество может ещё понижаться из-за ненужности более высоких навыков или из-за более высокого порога вхождения в тему(Что тоже естественно, так как сложность техники повышается).
А автор данного текста является примером на выше сказанное, что более молодое поколенее хуже работает или меньше знает и такое всегда писалось и говорилось. Трава зеленее и деревья выше.
1) Самая большая нагрузка на все подсистемы сервера возникает в момент старта, по статистике именно в это время происходит большая часть аппаратных сбоев.
2) После перезапуска не все узлы системы могут стартовать корректно, особенно это касается распределенных систем, в это время возникает наибольшее количество программных сбоев и недочетов, особенно это касается массового выключения и включения инфраструктуры.
3) Не все службы могут завершиться правильно при получении сигнала о выключении, некоторые могут просто не успеть — большая вероятность получения проблем с данными, особенно на больших базах и особенно реплицируемых внутри той-же выключаемой инфраструктуры.
4) Из специфического, если мы делаем также автоматическое включение, то не предусмотрев поочередный плавный запуск всех серверов, мы получаем одномоментно очень большую нагрузку на электросеть, стабилизаторы, ONLINE UPS и т.д. не все выдерживают, понятно что надо предусматривать, но откуда системы плавного пуска у предприятий, не позволяющих себе резервирование по питанию.
1) Самая большая нагрузка на все подсистемы сервера возникает в момент старта, по статистике именно в это время происходит большая часть аппаратных сбоев.
2) После перезапуска не все узлы системы могут стартовать корректно, особенно это касается распределенных систем, в это время возникает наибольшее количество программных сбоев и недочетов, особенно это касается массового выключения и включения инфраструктуры.
4) Из специфического, если мы делаем также автоматическое включение, то не предусмотрев поочередный плавный запуск всех серверов, мы получаем одномоментно очень большую нагрузку на электросеть, стабилизаторы, ONLINE UPS и т.д. не все выдерживают, понятно что надо предусматривать, но откуда системы плавного пуска у предприятий, не позволяющих себе резервирование по питанию.

Поэтому включение происходит уже в присутствии администраторов. У них есть время на проснуться и добраться до работы пока инженера устраняют проблемы с питанием, вызвавшие разрядку батарей ИБП.

3) Не все службы могут завершиться правильно при получении сигнала о выключении, некоторые могут просто не успеть — большая вероятность получения проблем с данными, особенно на больших базах и особенно реплицируемых внутри той-же выключаемой инфраструктуры.

Это уже проблемы подготовки и проектирования авто выключения серверов. В любом случае если одна из ста служб не успеет остановиться до пропадания питания — риски будут меньше чем при некорректной остановке всех ста служб по пропаданию питания.
Самое противное, что не останавливаются самые нагруженные и критичные службы, в остальных случаях запаса батарейки на BBU хватает корректно дописать остатки кеша и не будет особых отличий завершили по скрипту или рубанули питание. Кейсы тушим скриптом очень специфичны, сегодня тушится, завтра добавили какую-то службу и уже не тушится. Вариант такого тушения встречается, но он плохой, о чем я и сказал, на безрыбьи, понятно, и рак рыба, но надо стараться делать правильно, а не велосипеды.
Кейсы тушим скриптом очень специфичны, сегодня тушится, завтра добавили какую-то службу и уже не тушится.

надо стараться делать правильно, а не велосипеды.

Ну… как бы внесение каких либо изменений в production систему должно по-хорошему сопровождаться анализом влияния этих изменений на сопряжённые системы.
Например (грубый): если сервер тушился при остатке заряда батарей на 5 минут, а после добавления на него новой службы ему потребуется на тушение 7 минут, то стоит вместе с добавлением службы изменить порядок тушения сервера (выключать его за 10 минут до конца заряда батарей).
Для такой проверки после каждого изменения настроек надо тушить сервер, вот честно ответьте, вы так делаете? Как говорят медики, случай из практики: магистральный телеком-провайдер есть УПС центральный, есть ДГУ, есть скрипт на критичных серверах гипервизора, который должен тушить все виртуалки и гипервизор при получении сигнала.
Смеркалось… Происходит не запланированное выключение электропитания (раз 8-10 втечении 5 секунд последний раз совсем) переключение на вторую линию отрабатывает штатно, но то-ли так звезды сложились, то-ли еще что но 2 блока батарей из 12 недоступны, вот такое вот мигание светом убило контроллер блока итого вместо штатных 40 минут работы имеем около 25 из за повышенной нагрузки на оставшиеся блоки, но у нас есть ДГУ, стартующий при простое в 10 минут, ждем проходит 10 минут (имеем запас ±15 на батареях) света нет, начинает стартовать ДГУ, чих-пых, д-рр-р-р-р, хлоп, бздынь. С криком а-а-а-а (с другим, но цензура) дежурные инженеры кидаются его чинить, ну как же у нас на серваках есть скрипт который через 5 минут начнет их тушить и мы за это время может починим ДГУ. Скрипт отрабатывает и начинается тушение, но возникает проблема с несколькими виртуалками, биллинг и бухгалтерия не могут завершиться корректно, просят ручками что-то сделать, не будь скрипта тушащий руками инженер за пару секунд разрулил бы ситуацию и корректно завершил систему, но нет все надеются на скрипт и продолжают тыкать отвертками в ДГУ, т.к. гипервизор не завершил работу, не завершили работу и дисковые полки, которые по логике работы скрипта останавливаем только тогда, когда на них нет обращений, пока поняли что почему-то все еще пашет, пока начали что-то делать раненый UPS вырубается, а сутра приехавший я вдоволь насношался с мертвой базой биллинга (хоть бухгалтерия поднялась нормально), поигрался с лентами и 18 часов простоя с разбором полетов (там еще кое что по мелочи умерло, + рассинхронизация биллинга и бухгалтерии после отката на бэкап). После этого я не доверяю скриптам остановки серверов, слишком они не предсказуемы, лучше на них не надеяться и если есть то все равно контролировать вручную.
У нас не один ЦОД.
Системы задублированы.
Батарей хватает для миграции на резерв.
Тушение нужно только для корректного выключения ОС серверов (для минимизации проблем при включении) и для выключения не критичных сервисов (как правило тестовые макеты), чтобы батарей на дольше хватило.
Сейчас тоже везде миграция и виртуалки, на время описанного случая виртуализация только-только пришла в Украину и не было понятно что с ней делать.
вручную — это хорошо,
а правильный вывод — такой:
ключевой элемент этой конкретной системы реагирования — скрипт шатдауна виртуалок. Последняя линия обороны. Такой скрипт — это не щьтучка, которую можно поручить написать дежурному админу, его нужно было вдумчиво написать, протестить на худших сценариях (одновременный стоп на нескольких виртуалках), и на максимальных тестовых нагрузках. Хороший уровень паранойи — через год-два эксплуатации устроить тестовый запуск этого скрипта (на вчерашних копиях баз) под максимальной тестовой нагрузкой.
Без всего этого — лучше не иметь скрипт шатдауна, чем иметь тот, что завалит базу.
И поэтому вручную — это хорошо.

А как вы думаете, если бы скрипта вообще не было, но отвал питания случился бы ночью и по тому же сценарию, но без попыток реанимации ДГУ (т.к. ночью — некому), результаты были бы лучше, или хуже?
Я сейчас тоже задним умом умный и много ошибок вижу да и люлей прилично тогда получил, но дежурные инженеры есть 24/7/365 кому тушить бы было. То, что скрипт тестировали на тестовой среде а ставили на боевую однозначно моя ошибка, хорошо к тому времени я уже был админом который не только делает бэкапы, но и проверяет их, так что обошлось лишением премии без увольнения, но опыт — это такая штука, которую получаешь позже, чем хотел и вместо того, что хотел.
Я вот этот ваш комментарий в свой цитатник записал бы, если б таковой имелся.
Однако, всё-таки я бы не был столь категоричен на счёт ДГУ — как минимум не везде её возможно поставить.
>Ответ должен быть — внедрение ДГУ, а не shutdown c сигнала upsd/nut/системы_мониторинга именно так и можете считать что угодно, ибо это организационная проблема.
Таким категоричным ответом вы опускаете себя на один уровень с топикстартером.

Вот допустим у нас сотни небольших офисов, на десяток-два людей каждый. Допустим, в каждом есть роутер, 24-портовый свитч, по компьютеру на каждого сотрудника и маленький сервер. Скажем, файлопомойка, или кешировалка, или еще что. Допустим, с точки зрения бизнеса прекращение работы одного такого офиса (напомню — из нескольких сотен) на несколько часов посреди дня — небольшая проблема, а ночью — вообще по барабану. Аварии по питанию случаются в среднем пару раз в год, длительные аварии — раз в год, иногда есть плановые ночные работы.

Итак, вы считаете, что закупка сотен ДГУ оправданна, а скриптование отключения сервера по сигналу с ИБП без наличия ДГУ — нет? И ведь за ДГУ еще и следить надо. И неплохо бы подписать с кем-либо договоры на оперативную поставку солярки в случае необходимости, иначе весь смысл теряется. И еще есть много других нюансов и сложностей. И это, напомню, в ситуации, когда и суточный простой офиса относится к категории «чуть-чуть неприятно, но ничего страшного», т.е. не приносит заметных убытков и ни разу не угрожает самому бизнесу.

Про центральные офисы на сотни сотрудников и ЦОДы спору нет, там и ИБП с длинными рядами батарей, и ДГУ под окном. Но надо ли такое небольшим офисам?

Повторюсь — в дизайне и архитектуре любое решение будет одновременно и правильным, и неправильным. Не бывает универсальных рецептов. Я бы на собеседовании сходу отсеял любого человека, который, не уточнив все детали вплоть до business impact при простое, сразу предлагает решение. Неважно, какое именно решение. И ведь даже «Главный критерий бэкапа — его восстанавливаемость за минимальное время» не обязано соответствовать действительности. По мне, главный критерий бекапа — его целостность, иначе бекапа как бы и нет. Остальное зависит от задач. Задачи могут подразумевать, что время восстановления «неделя-две» вполне допустимо. Да, бывает и такое. И уже от бизнес-кейса и пляшут при выборе решения для бекапа.
Покупка ДГУ оправдана даже для маленьких офисов, маленький офис маленький ДГУ, и даже не из-за простоя в пару часов ночью, а из-за того, что пропадание света может совпасть с наиболее критичными моментами в работе предприятия (бух. отчет, обновление систем и т.п.). Если мы говорим о SOHO, то тут начинают и UPS покупать без мониторинга, потому как дешевле, потом втыкать в отдельную розетку подгоревший роутер и пинговать его, так проверять наличие питания, есть такое решение, сам видел, и даже ему могу придумать оправданный кейс, но если бы на собеседовании от меня хотели услышать именно этот вариант в рамках энтерпрайза, я бы вежливо попрощался и больше никогда не появлялся в дверях этой фирмы. С тушением скриптом та же ситуация, допустимо, но специфично и не для фирм, специализирующихся на IT.
Повторюсь — в дизайне и архитектуре любое решение будет одновременно и правильным

Так и есть, но на собеседовании все же лучше говорить о Best Practice, а не о костылях. Вы представляете уточнять все детали на собеседовании, так и вижу, шли третьи сутки общения и на любой ответ собеседуемого интервьюер придумывает более заковыристый кейс. Да и общение было не с системным архитектором я так понимаю, зачем усложнять.
По мне, главный критерий бекапа — его целостность, иначе бекапа как бы и нет.

В моем ответе восстанавливаемость, а не время ключевое слово. Восстановление неделя-две — это уже архив, тут все прелести работы с пленкой я так понимаю имеются в виду. Опять же специфика, мало кто готов лишиться бизнес процессов на неделю. И опять же Best Practice = горячий бэкап (опционально холодный бэкап) архив. Не нужно крайностей. То что бэкапы должны восстанавливаться, так это даже не обсуждается, не проверенный на восстановление бэкап — все равно что отсутствие бэкапа.
> Покупка ДГУ оправдана даже для маленьких офисов
Для наших маленьких офисов не оправдано даже подключение рабочих мест к ИБП. Т.е. при отключении городского ввода никто и так работать не сможет. И замечу, что далеко не в каждом городе, где есть несколько офисов, найдется местный ITшник, готовый прибежать и что-то там сделать с оборудованием.

> Если мы говорим о SOHO, то тут начинают и UPS покупать без мониторинга, потому как дешевле
Мы — крупный бизнес. Ставим в отделениях породистые цискороутеры, каталисты с PoE, цискины телефоны и т.д. И да, при этом UPS без мониторинга, потому как так дешевле и там мониторинг на фиг никому не сдался (доказано многолетним опытом).

> на собеседовании все же лучше говорить о Best Practice, а не о костылях.
Любые best practice'ы не везде применимы и тем более не всегда целесообразны. Если вы предложите моему руководству сажать все маленькие офисы на ИБП, способные обеспечить работоспособность всего офиса в течение хотя бы 20-и минут, или тем более предложите вдобавок ДГУ — мое руководство с вами распрощается, потому что это — идиотское решение с огромными операционными и капитальными затратами, не отобьющимися никогда. Всегда подходите к выбору дизайна с позиции бизнеса. Я понимаю, хочется красиво, но иногда это «красиво» не приносит выгоды и повышает затраты на порядок. В масштабах хотя бы сотни офисов покупка недорогого ИБП за килобакс — это уже сто килобаксов. А сколько стоит покупка и обслуживание ДГУ?
Если УПС без мониторинга, то о каких скриптах мы говорим? Или вариация на тему пинговалки? Породистые цискороутеры бывают после большого аптайма не подымаются, недавно обсуждали проблемы с памятью на них, не критично — значит не ставим УПС. Я обычно и смотрю из задач бизнеса, если дешевле иметь штатные руки, которые переставят и починят рабочие машины в случае перебоя, то на рабочие машины не ставим УПС, если время вероятного простоя стоит дешевле ДГУ, то не ставим ДГУ. Что бы вы ответили тогда на диалог с автором на месте того админа, не ставьте UPS вообще — это дорого? Может я и погорячился с категоричностью, но когда у тебя Tier на 4-5 девяток, немного по другому смотришь на такие решения.
> Если УПС без мониторинга, то о каких скриптах мы говорим?
Я конкретно про тот случай, когда на месте серверов нет.

> Породистые цискороутеры бывают после большого аптайма не подымаются, недавно обсуждали проблемы с памятью на них
У меня по той проблеме много десятков 2811-х померло. УПС стоял везде. Не везде он дотягивал до включения питания. Ну оставался офис на день-два без связи, пока кто-то едет с заменой — это не слишком критично.

> если дешевле иметь штатные руки, которые переставят и починят рабочие машины в случае перебоя, то на рабочие машины не ставим УПС
Штатные руки могут находиться за тыщу километров от рабочих мест. При этом дешевле не иметь УПС. Дешевле с точки зрения бизнеса, т.е. соизмеряя затраты на УПС, на содержание ITшника в пределах города с потерями от простоя рабочих мест.

> Что бы вы ответили тогда на диалог с автором на месте того админа, не ставьте UPS вообще — это дорого?
Я бы удивился неспособности «сисадмина в одной дружественной конторе» решить вполне типовую задачу, но допустил бы вероятность того, что там какие-то факторы реально мешают. Всё. Не мое дело обсуждать их архитектуру — возможно, они выбрали правильные решения. Если бы я проектировал решение, то первым делом уточнил бы ущерб бизнесу от простоя, и исходя из этого и ориентировался бы. Может быть, правильно было бы поставить два ДГУ по разным сторонам здания. Может — вообще снять УПС и поставить на другом участке, а обсуждаемые сервера подключить напрямую к одному вводу на домашнего класса сетевой фильтр (скажем, это — тестовая среда, на доступность которой всем накласть, железо старое и недорогое, денег в годовом бюджете на новые упсы не осталось, а потребность в них есть). Не знаю. Информации недостаточно.

> но когда у тебя Tier на 4-5 девяток, немного по другому смотришь на такие решения.
И у меня есть участки, где нужна максимально возможная доступность, потому что даже резервирование на уровне приложения не всегда возможно. И? Я не забываю, что есть другие участки, с совершенно иными требованиями.
Признаю, был не прав в данном вопросе, забыл что бывают и другие кейсы, на этом спор считаю исчерпанным.
UFO just landed and posted this here
Ответ должен быть — внедрение ДГУ, а не shutdown c сигнала upsd/nut/системы_мониторинга именно так и можете считать что угодно, ибо это организационная проблема.

Внедрения ДГУ никто не отменял (там где это оправдано здравым смыслом), но:
1) ДГУ может не запуститься
2) На ДГУ могут нажать на аварийный останов (в нормальных ДГУ он есть)
3) Электрики могут забыть переключить АВР ДГУ из ручного режима, после проведения работ
4) строители могут перебить кабель с ДГУ
5) При длительном отключении могут не успеть подвезти новую партию солярки
Так что даже наличие ДГУ в инфраструктуре не исключает ситуации, когда сервера окажутся на питании от батарей и батареи будут разряжаться, а значит всё равно необходимо подготавливать план аварийного корректного тушения серверов.
Если есть возможность обеспечить наличие 24/7 инженера, способного по необходимости корректно потушить ЦОД — можно обойтись и без автоматического выключения.
1) Алярма дежурному инженеру или админу об этом — это не штатная ситуация, сервера тушат вручную с контролем корректного завершения, а то подвисла БД при остановке и после появления питания начнутся танцы с бубном и проверка бэкапов.
2) Систематическая проверка работы ДГУ с записями в журнал, кто когда и как проверял под нагрузкой, дальше вариант 1, если все же так случилось.
3) После пропадания питания у нас есть около 10 минут на старт ДГУ руками, не допускать бардака при работе с критичным оборудованием, дальше вариант 1.
4) Вариант 2 выявит эту проблему.
5) Тушим ЦОД руками, скрипты не надежны в таких ситуациях.
1) Алярма дежурному инженеру или админу об этом — это не штатная ситуация, сервера тушат вручную с контролем корректного завершения, а то подвисла БД при остановке и после появления питания начнутся танцы с бубном и проверка бэкапов.

Не спорю. В достаточно однородной среде, когда есть возможность обеспечить дежурство инженеров, способных грамотно выключить сервера и проконтролировать корректный останов служб — можно обойтись и без авто тушения.
Лучшее решение — решение выработанное под конкретную ситуацию с учётом местной специфики.
2) Систематическая проверка работы ДГУ с записями в журнал, кто когда и как проверял под нагрузкой, дальше вариант 1, если все же так случилось.
3) После пропадания питания у нас есть около 10 минут на старт ДГУ руками, не допускать бардака при работе с критичным оборудованием, дальше вариант 1.

То, что ДГУ должны периодически проверяться — это аксиома!
Был свидетелем случая, когда ДГУ был заглушен заправщиком (случайно нажал аварийный останов в процессе заправки бака соляркой), а дежурные инженера не смогли его запустить (после аварийного останова в контроллере остаётся блокирующая запуск ошибка, которую прежде необходимо сбросить)
Я знаю как это называется ;)
Это я к тому, что человеческий фактор нельзя исключать из расчётов.

Но в целом в Вашей конкретной ситуации вполне вероятно автоматическое выключение серверов и не нужно, т.к. эта автоматика замещена комплексом организационных мер.
ДГУ в БЦ в центре Москвы? Благодарю, посмеялся от души. :)
Все остальные ваши ответы так же подняли мне настроение. Особенно, когда свои мысли за мои выдавали. «Такой молодой, такой злобный». :)
ДГУ в БЦ в центре любого города ставится в подвале по согласованию, сюрприз правда? Есть ДГУ закрытого цикла, бесшумные которые можно гонять на балконе многоэтажки, не то что в БЦ, вот такого плана есть с автостартом и прочими наворотоми, по вашему описанию примерно ваша нагрузка в номинале, если вы о чем-то не знаете, то не значит, что этого нет. Я рад что вам настроение поднял, особенно за диагноз по юзерпику спасибо, теперь на докторе сэкономлю, не стесняйтесь переходить на личности, тут так принято.
«ДГУ в подвале» — ой, прекратите, не могу я больше смеяться. :)))
ДГУ
В
ПОДВАЛЕ
В БЦ
В МОСКВЕ

Все, все, хватит, умоляю. Больше ни слова, я только газировки выпил. :)))

Я так понимаю, мальчик за 9 лет админства ни разу не слышал про нормы пожарной безопасности и ни разу с реальной IT структурой не работал. :)
Мда тяжелый случай похоже, про СНИП и ГОСТЫ, вам уже пожалуй можно не говорить, а также про согласования, сказал люминевый, значит люминевый. Мы в жилом доме в подвале ставили ДГУ, при соблюдении норм пожарной безопасности и ряда правил (шум, прочность конструкций, материал помещения, выводы выхлопов) нет ничего невозможного. Мальчиком будете своих детей называть, на редкость хамовитый пользователь, я очень редко минусую карму, но это именно тот случай, когда с хамом просто неприятно общаться, я умываю руки.
Мальчик, ты первый задал такой хамский тон, я всего лишь его поддержал. То что ты обычный дрищевидный «красноглазик» озабоченый исключительно своим защемленным ЧСВ — было понятно с самого начала, просто сегодня был тяжелый день, отсюда я решил немного над тобой поиздеваться. :)
Твой опыт никчемен по одной причине, которую ты признал ниже — ты неспособен сделать решение для бизнеса и под требования, ты будешь до пены из рта доказывать что нужно затратить миллионы долларов, хотя пользователям всего лишь нужно иногда читать корпоративную почту и поработать в 1С. Иначе ты «хлопнешь дверью и гордо удалишься». Может такие «одмины» и восстребованы на рынке, но собственно, статья о том, что таких говорящих попугаев с зашитыми в ПЗУ решениями становится все больше и больше. :)
UFO just landed and posted this here
Ну если хабр прется от «юмора» «админа» предлагающего ставить ДГУ «в подвале БЦ, для офиса в 60 человек», то я умываю руки. В таком соревновании мне не победить.
UFO just landed and posted this here
Почему он не прав? Вот я сейчас сижу в БЦ. Почти в центре Москвы — трешка в паре шагов. Несколько арендаторов. В подвале общий на всех ДГУ (принадлежащий, разумеется, арендодателю). Несколько раз на моей памяти пригождался. Один раз как-то не завелся, да…

В предыдущем офисе, чуть подальше от центра города (но тоже недалеко), аналогично имелся ДГУ.

Вот у Stanley_SIB смех какой-то реально истерический. RicoX ведь прав почти во всем. Я неподалеку описал пример, когда надежное питание (да и вообще доступность выше пары девяток) не требуется, но это вряд ли относится к небольшим-средним конторкам, имеющих единицы офисов и информационные ресурсы сразу в них, а не в ЦОДах. В этом случае отключение энергии — катастрофа, а отключение энергии на день может ощутимо ударить по бизнесу. Потому необходим дизель как нечто, без чего говорить о надежном питании вообще нельзя.
поддержу про ДГУ.
На всех критичных для нас площадках стоят ИБП + ДГУ. При этом есть площадки, где падение сайта по питанию не критично для бизнеса — там ДГУ конечно не стоит.
Любая задача должна рассматриваться не только с технической точки зрения, но и со стороны бизнеса.
UFO just landed and posted this here
Не совсем так, много где он уже есть, но это надо подойти к арендодателю и спросить (не все скажут что есть, пока не спросить), там где нет вот совсем (редкость где нету, разве что в совсем бюджетных вариантах 300 фирм на этаж из них 200 турагенства и языковые курсы), можно и за свои средства поставить, если простой вашего бизнеса в день будет дороже этой установки. Понятно что если компания никак не зависит от IT (нафига ей сисадмин?) то можно просто забить и денек и вообще без света посидеть или по домам пойти, тоже вариант, но не логичный вариант при общении на должность сисадмина. Опять же есть рекомендуемый (обсуждаемый) вариант, а есть так сложились звезды и это уже уходит в разряд организационных проблем. Во всех вариантах БЦ где арендующий ставил хоть намек на техплощадку (серверные шкафы, отдельное охлаждение и помещение) удавалось договориться либо об аренде либо об установке ДГУ и это норма а не: "«ДГУ в подвале» — ой, прекратите, не могу я больше смеяться. :)))" Если у арендующего 3 сервера собранных на коленке из домашнего хлама с ворованной виндой, а бесперебойник, если есть, в лучшем случае какой-нибудь мастек за 200$, то само-собой для него это шок, что еще и питание люди резервируют, зато про «решения для серьезного бизнеса» такие кричат громче всех, как и «мы миллионы теряем», но понимание работы админа заканчивается на мальчике на побегушках, который должен собирать решения на коленке из подручного хлама и героически преодолевать трудности из говна построенной системы, а все остальные — это " говорящие попугаи с зашитыми в ПЗУ решениями".
> чем для арендатора это отличается от пропадания городской сети? Такой же уровень риска.
Ну положим уровень риска не такой же. Контролировать, отключится ли городская сеть, нельзя, а ДГУ дает вероятность 50 на 50 («либо заведется, либо нет» :) ), что офис продолжит работу.
Тот случай, когда комментарий ценне статьи. Спасибо!
Прочел и покраснел за себя… Такие мы сисадмины)))
Благо что нету ни одного сертификата, и ни где не учился. Но надеюсь смогу похвастаться когда допилю и оформлю статью по поводу «маленький офис на СПО»…
Но этого может и не случится. Хотя сама концепция сделать не так как везде меня манит магнитом. А маленькие фирмы хороший плацдарм, и сертификаты не требуют)))
Правда есть одно но, в мелких фирмах ты и художник и сетевик, и электрик и посыльный (и не только с документами) и снабженец, и помоги с телефоном.
Проблема в том, что исчезает «старая школа». Я профессионально занимаюсь админством 15 лет, в целом за клавиатурой — 25, и я считаю, что мне безмерно повезло, что я успел застать последние остатки былого времени.
С тех пор я успел поработать и админом, и программистом, и сходить в начальники, и вернуться обратно. И я вижу, что нынешнюю молодёжь просто некому учить.
Приходя в маленькую контору, где единственный админ действительно и швец, и жнец, и завхоз, и помощник электрика — научиться чему-то вариантов немного. У меня есть знакомый, который за 8 лет работы на одном месте не удосужился там даже DHCP поднять — ну а зачем, 50 рабочих мест, список адресов в эксельнике — и ведь даже не возразишь.
А в большой конторе — другая крайность: в лучшем случае ты приходишь на должность саппорта и весь день занимаешься закрытием тикетов. Чему уж тут учиться, если даже до третьей линии дорасти — нужны годы.

Как мне кажется — лучшей школой должны быть небольшие (человек 100), но продвинутые в ИТ организации с штатом ИТ человек 5-10. Вот там да, есть шанс придти эникейщиком, но в то же время реально видеть перед собой всю инфраструктуру. Так в своё время повезло мне, так повезло нескольким моим ученикам (которые сейчас сами уже либо бородатые админы, либо начальники каких-нибудь сервисдесков). Но на всех, увы, таких контор не хватит.

Вообще интересно было бы сравнить «творческий путь» людей, которые считают себя приличными админами и попытаться выделить общее.
Да где бы такую найти… Тут тебе даже задачу поставить некому((
Очень хочется учиться, изучать, применять. Но это никому ровным счетом не нужно. За то сертификат это дело, но НА ДЕЛЕ, им только подтираться можно.
Я застал только тот момент когда «старая школа» увольнялась.
Тут тебе даже задачу поставить некому((

К сожалению, грамотно поставить задачу очень часто некому. Мы некоторые «постановки задачи» под пиво вместо анекдотов обсуждаем ;)
Тут выход один: самообразование (этому раньше учили в высших и средних учебных заведениях), самоорганизация и самоконтроль.
(Плюс развитие экстрасенсорных способностей… Шутка ;) )
Шутка шуткой, а это уже вошло в обязаности… Я даже статью писал как развивать эестросенсорику))))
А на самом деле печально все… Еще печальнее чем можно написать.
Потому и говорю, что в такой ситуации есть смысл искать контору, где уже есть существующее ИТ и существующий админ.

Классическая ситуация — когда админу-одиночке перестало хватать рук и он ищет себе помощника. Тут, конечно, свои опасности есть: люди бывают очень разные, я встречал админов, которые крайне неохотно делились знаниями, потому что боялись, что помощник их подсидит. Не знаю, я всегда охотно рассказывал и показывал, поднатаскивая в том числе и по матчасти, если хромала.
Через меня прошло 2 десятка помощников, сейчас есть пять, из всех с кем работал на текущий момент только один дорос до сисадмина и ушел в свободное плавание и сейчас общаемся как коллеги, еще один старается что-то учить и хоть иногда спрашивает моменты за рамками текущих рабочих задач, всем остальным это побоку, ну то-есть дали что-то настроить — нашел хавту по нему вбил настройки и все, не дали, ну посидел в контакте потрепался или кино посмотрел (мы не запрещаем в свободное время). Я бы рад подсказать или поучить, да особо никому это не нужно, в основном либо вариант — «сделай за меня» либо «а оно мне надо?» Если меня «подсидел помощник» — значит я перестал расти как специалист и пора задумываться уходить из профессии, в других случаях получаешь адекватного коллегу чуть другой специализации которого, если что и рекомендовать куда-то не стыдно и сам уходить будешь можно на свое место поставить, чтоб руководство не расстраивалось (передача дел на сторону, а не человеку уже внутри компании, тот еще головняк).
Есть такое отчасти, да. Не у всех админство — это призвание.

В то же время нельзя умалять и роль учителей. Если учитель сам любит свой предмет и способен заразить этим учеников — это дорогого стоит. Если помощника воспринимать просто как эникейщика, «подай-принеси» — естественно, у него не возникнет тяги к работе. А вот если в связке пройдены огонь, вода и медные трубы, бессонные ночи в серверной (мы с напарником однажды за 3 выходных полностью перевезли и запустили средних размеров банк), когда этот эникейщик впервые сам своими руками что-то поднимет и ощутит тот оргазм, когда созданное тобой оживает и начинает работать — очень возможно, что мировоззрение у него поменяется.

Это вот то самое, о чём писали Стругацкие —
«Трудовое законодательство нарушалось злостно, и я почувствовал, что у меня исчезло всякое желание бороться с этими нарушениями, потому что сюда в двенадцать часов новогодней ночи, прорвавшись через пургу, пришли люди, которым было интереснее доводить до конца или начинать сызнова какое-нибудь полезное дело, чем глушить себя водкой, бессмысленно дрыгать ногами, играть в фанты и заниматься флиртом разных степеней легкости.
Сюда пришли люди, которым было приятнее быть друг с другом, чем порознь, которые терпеть не могли всякого рода воскресений, потому что в воскресенье им было скучно. Маги, Люди с большой буквы, и девизом их было — «Понедельник начинается в субботу».


И на своей первой работе в итоге мы к этому и пришли — просыпаешься в субботу в 11, поделал какие-нибудь домашние дела, а потом едешь на работу, потому что дома скучно. Приезжаешь — а там уже весь отдел собрался :)
Работали, потом шли толпой в бассейн, потом ехали к кому-нибудь пить пиво, оставались ночевать, а наутро в воскресенье… правильно, ехали на работу :)
Да путь я думаю как повезет, мой в 2х словах, только админская часть, работу программистом Delphi на шарагу в 7 человек на 1 курсе института выкину.
Пришел на госпредприятие инженером без категории в отдел водоснабжения и канализации, на не IT должность, но кушать очень хотелось. Через 2 месяца все предприятие по всем IT делам обращалось ко мне, а не к админам на аутсорсе (опыт работы программистом + общие знания эникейщика), по настоянию одного из ГИПов от услуг аутсорсеров отказались, мне на пол ставки дали эникейную работу, а тут как-раз пожаловала проверка на лицензионность софта, какие лицензии были 10 лет назад думаю не мне рассказывать, все это только начиналось. Надо было как-то выкручиваться, денег у предприятия было не густо от слова совсем, приказом директора я был переведен на должность начальника IT отдела (из одного меня) и выдан карт-бланш на перевод предприятия на Linux, до этого я только тыкал его дома иногда, 2 месяца работы почти по 15 часов в сутки и около 70 рабочих машин полностью переведены на линукс (OpenSuse, кажется, 9 ветка), куплен единственный windows сервер (кажется 2003 может 2000) и на него 5 терминальных лицензий (бухгалтерия, один из проектных отделов), за время внедрения неплохо разобрался в кишках и глюках системы дальше еще года наращивание и поддержание функционала, потом заявление по собственному и переход в более крупную гос организацию (градообразующую) там уже около 700 рабочих станций, 2 десятка серверов на Linux и FreeBSD, въехал быстро, но долго не проработал, после задержки ЗП на 2 месяца, выкинул резюме и тут мне повезло, крупнейший городской провайдер предложил мне работу, надо было переехать в соседний город, куда ехать нормальные спецы не хотели (свой админ хлопнул дверью не оставив даже паролей, а специалист нужен был срочно, сеть ложилась каждый день), за это владельцем ISP были закрыты глаза на отсутствие у меня опыта работы в телекомах и выдан испытательный срок, снова работа по 15 часов в сутки с перерывом на сон и иногда еду, столько документации скопом я не читал ни до ни после, но за 2 месяца полностью въехал в структуру, переделал практически все с нуля, написал несколько своих достаточно успешных систем, так прошли еще 2 года, за это время неплохо подтянул знания по сетям (спасибо cisco и форумам nag). Тут к провайдеру приходят маски шоу с рейдерским захватом (было популярно в то время в Украине) часть оборудования вынесли (наверно не вернули до сих пор) кое-как отбились, но из всей инфраструктуры восстановили только биллинг и 5 софтварных роутеров, особого интереса в работе не стало, скучно и я выкинул резюме. Буквально за неделю мне предложил работу магистральный ISP в родном городе, т.к. давно хотел вернуться, быстро согласился, тут уже особо описывать нечего, первые месяцы работа по 10 часов, потом, когда въехал, рутина особых отличий от прошлой работы небыло, зато было куча дорого железа, которое не падает от каждого чиха, везде резервы, в общем решил найти подработку, так попал в хостинг провайдера в Нидерландах удаленно, затем перешел полностью на фриланс, с хостингом и крайним ISP отношения поддерживаю до сих пор, на постоянной основе, но уже работаю там где нравится и над чем нравится крайние 3 года. Фух, надеюсь я не очень занудно описал.
Вот вы сами и описали то, что пытался написать топикстартер. Людей способных принимать решения и самообучаться все меньше. Растет процент людей которые боятся выходить за рамки обучения и это касается не только IT это вокруг. Принцип «моя хата с краю» все чаще и это огорчает. Это как в советском фильме, где слесарь проходя мимо капающего крана расказал про все последствия и пошел дальше, а на вопрос надо починить ответил не мой участок. У нас же ситуация не с действием, а с поиском решения или улучшением действующего. Хотя есть и принцип «работает не трогай».
Я не согласен с топикстартером в вопросе: «Есть два мнения мое и неправильное, все кто думает не так как я некомпетентны», а это прям режет по мозгам из всей его заметки, тот дурак, этот дурак, молодежь тупая (как он смел забыть про систему которой всего 20 лет вот про эту именно версию), один я весь в белом такой и блестящих доспехах, лучший и самый правильный сисадмин века, а все остальные ничтожества, учитесь у старших. Компетентных специалистов хватает, и тех кто решения принимает тоже, но за ними очередь обычно из рекрутеров и денег они хотят, а еще и вредные с пользователями общаться не хотят, перед начальником на колени не падают, вот многим и не попадаются, т.к. отсеиваются еще на этапах подбора, по не красивому CV. Про того слесаря, я вот когда у коллег на фирмах в гостях бываю и вижу что-то что по моему мнению не совсем правильно, я спрашиваю почему сделано именно так и часто оказывается что я не учел какой-то специфики фирмы, советовать когда не просят — нет уж спасибо, а уж тем более чинить чужую систему. Любой принцип и «работает не трогай» в некоторых случаях работает, в других нет, смотреть по ситуации надо и разбираться.
Что-то я писал вам с телефона, но почему-то не отправилось, попробую восстановить ход утреней мысли.
Про топикстартера и его мнение опустим это его личное восприятие.
Но он прав только в одном, количество людей которые хотят разбираться, падает. Не из-за того, что таких людей становится меньше, скорее всего из-за того, что других, способных только выполнять то, чему их научили — становится больше. По этому и создается впечатление что хороших админов меньше или они куда-то пропали, просто они стали на ценее и дороже.
Может это влияние современного образования, меня учили учиться, а не учили конкретным знаниям. Может по этому я понимаю топика стартера, да и вы судя по всему очень много уделили самообразованию и брались за проекты в которых изначально мало понимали.
Вот интересно из этих 15, которые пришли на собеседование, сколько бы решились на ваши подвиги?)
Да не подвиги это, мне нравится копать, если я взялся за какую-то технологию, то пока не разберусь ни есть не хочется ни спать, ну и возможно я просто люблю свою работу. Если из своего опыта, то я встречаю достаточно много тех, кому админить в кайф, вот просто сесть в свой личный выходной и раскурить какую-то фишку, а потом позвонить коллеге, похвастаться и от него узнать про другую фишку, может мне так везет. Если считать в штуках, то таких людей много, если в процентах — не знаю, не статист. Хороших специалистов всегда меньше чем остальных, в любой профессии, по поводу уменьшения уровня образования и прочего тоже не скажу, не компетентен и в образовательной среде не общаюсь. Мне кажется решающее не знание и даже не умение учиться, а просто любовь именно к этому роду деятельности тогда не замечаешь времени и понимание приходит быстрее. Простой пример как я учил английский, мне лингвистика просто не в кайф, я каждый раз себя чуть-ли не из под палки заставлял позаниматься, по будильнику открывал уроки и последние минуты урока на часы смотрел чаще чем в учебник, ну и не мое это, 2 репетитора параллельно, больше года занятий и мой уровень только Intermediate дальше не лезет, хоть и систематически себя заставляю заниматься. Решил разобраться с работой микроконтроллеров за две недели прочел несколько фундаментальных книг, сейчас читаю радиофизику и физику электричества, вроде начал читать и что-то делать, а уже вечер, сутра после кофе, если задач нету — снова утыкаюсь в документацию, ни будильников ни заставляний просто прет не остановить и главное вижу прогресс и понимание. Вроде один человек и там книги и там книги, но одни не лезут даже из под палки, другие не успеваю находить как они кончаются, интерес превыше любых скилов и знаний.
Вот мы вместе и нашли наш ключ, мы любим то, что делаем, и зачастую у меня это относится не только к основной задачи связанной с компами и программированием, я переношу такое отношение к работе во все отрасли куда меня заносит не легкая. Скорее всего мы с вами обычные трудоголики, который живут работой, точней если нас, что-то заинтересовало то уже не остановить, пока не заработает. Вот и пытаемся найти себе партнеров таким же подходом, но у меня в захолустье, что-то очень тяжко с такими.
Если в профиле правда, то не такое уж и захолустье, можно сказать соседи, в Симфе, Севасте спецов хватает, правда из местных в основном телекомовцев знаю. Аутсорсеров в Крыму много, на местном рынке зарплаты сами знаете.
Профиль правильный), но увы тут все грустно, да у вас там интересней, но тут грустно. А хочется прямого контакта, тут удаленная работая не пойдет. Надо же земляки однако, каких не каких 82 км между нами)), надеюсь теперь ЗП станут получше, хотя кто знает к чему все это приведет. Точно знаю, когда был в Сочи, по работе, то там админы не лучше, приходит раз в три дня, на пару часов, получает за это 15к рублей, почти все ему в наследство досталось от аутсорсера, ужас и крах. Приехал, славо богу закупили оборудования на кучу денег по проекту, а настраивать не кому пришлось поднимать все, показывал админу, что такое вланы, как с ними жить, оправил воткнуть свитч посередины, показал что куда тыкать. И через минут 10 все сломалось, часа два конфиги перечитывал, не мог понять что такое. Оказалось он не знал какой кабель входящий в корпус и наугад какой-то тыкнул, как ему подсказал спинной мозг, ну и все закольцевалось хрен пойми как. И он получает не малые деньги, не знаю сколько у него контор на счету, но с таким подходом к работе…
Так ведь часто на работу не берут, даже если на собеседовании говоришь, что очень хочу научиться тому-то и тому-то, называя примерные сроки. Не, говорят, нам надо здесь и сейчас.

Проблем разобраться в чем-нибудь новом нет. Беда в том, что без практики знания плохо закрепляются. А самому создать себе реальные боевые условия не получится.
На собеседовании часто задают вопросы и смотрят на поведение и попытки их решения, это иногда ключевой момент, хотя все зависит от того кто спрашивает.
Я когда первый раз устраивался на работу, я был без понятия что такое виндовс 2000 сервер), страшный зверь. Но ничего научили, подняли потом АД в 2003, а 2000 подтянули к нему резервом. Страшно было но руки делали. Да и политика в конторе, что все должно быть лицензионное, давала стимулы искать решения.
Может потому, что за плечами был еще игровой сервер в локалке + админинство вебсервера локальной сети с форумами и всякой лабудой. Да было интересно )
Без опыта можно попасть на FLS ну или если повезет с работодателем, который рискнет. Мы на FLS берем без опыта, при этом один 3 года сидит на том же телефоне, хотя имеет профильное IT образование, второй, перешел с менеджеров по продажам, за полтора года от FLS до главного сисадмина телекома и в некоторых областях компетентней меня, друг к другу за советами обращаемся. Можно попасть, первый раз тяжело, но можно а потом цепляться и лезть.
UFO just landed and posted this here
Вопрос очень дискуссионный.
В моём понимании — правильный ленивый админ должен стараться минимизировать количество операций, где требуется его ручное вмешательство (а выдача IP-адреса в случае статики — именно такое вмешательство и есть).
Ну так IP-адрес же не каждый день нужно новый прописывать без DHCP — по хорошему счёту, только в случае переустановки системы или замены компа. Зато в такой сетке не будет возможности «злобничать» с фальшивым DHCP-сервером — нет объектов для атаки.
Есть софт, который заточен под статические IP. И acl на маршрутизаторе спокойно пишутся. Скажете: «Резервирование адресов», так ведь оно и есть ручное вмешательство.
В контору на 60 юзеров только один IT-специалист? Дайте-как угадаю — это в одном лице программист 1С, инженер Windows-серверов, helpdesk 24/7, монтажник СКС, инженер систем связи, cisco-инженер, завхоз(закупка оборудования, заправка картриджей, договоры обслуживания) и в свободное время — разнорабочий? И вся эта роскошь за «хорошие для Москвы» 50-60тыр?

Позвольте я открою вам секрет, почему резюме вам присылали одни неадекваты — потому, что нормальный работник стадию IT-чернорабочего давно прошел и за копейки (а для спектра обязанностей и положения в офисной иерархии 60тыр — это копейки) горбатить спину не будет. У нормального соискателя первый вопрос к такому нанимателю должен быть: «А как я буду болеть и ходить в отпуск?».
UFO just landed and posted this here
С такими развитыми гадательными способностями вам бы не на хабр писать, а в «битве экстрасенсов» бы поучавствовать.
Правда, вы ни одной буквы так и не угадали, но это не должно расстраивать и останавливать. Практика и только практика разовьет зачаточные экстрасенсорные навыки. :)
Зачем угадывать? Вводную вы дали — нужен один многостаночник на 60 юзеров. Это не ново — многие типабизнесмены именно так решают вопросы IT — одним юношей полностью закрывают направление, а потом в саунах друг другу жалуются, какие «компьютерщики» дармоеды и бездельники. По уровню описываемых вами резюме виден уровень предлагаемой зарплаты и описание вакансии. Задачки у вас были применимые либо к новой инфраструктуре, либо к сильно запущенной — развертывание антивирусной системы и бэкапов в любой компании делается на стадии организации it-инфраструктуры, а далее — поддерживается и расширяется согласно нуждам компании. Если я не прав — прошу привести более развернутую информацию о предмете обсуждения.
Нет, не так. Вы должны не просить, вы должны ТРЕБОВАТЬ привести более развернутую информацию о предмете обсуждения. Должны в голос возмущаться, что вам этого никто не сказал, не предоставил, не напечатал, почтой курьерской не отправил. Угрожать вы должны, да. Угрожать тем, что если я НЕМЕДЛЕННО и ПОДРОБНО вам все не расскажу, не поделюсь, не опровергну, то вы и дальше будете бредить фантазиями своего воспаленного воображения. Вот тогда это сработает, тогда я точно испугаюсь и тут же все напишу. Попробуйте, вдруг получится. :)
Вы чрезмерно эмоциональны.
UFO just landed and posted this here
Это тоже самое что и с образованием происходило. Нормальную систему образования с нормальным обучением и экзаменами подменила система тестов. Результат налицо. Это удобно при сдаче зачетов, но что делать в реальной жизни, где вариантов ответов, среди которых обязательно есть правильный, никто не предоставляет.
Мне уже почти 30 и я застал нт 4 уже только на одной работе и то потому что там были очень старые системы, так что удивляться тому что народ не знает по ещё более старые нт не стоит.
Если конечно вы не набираете админов ближе к 40 годам.
человек начинал админить в 93 году. Конечно у него нехило бомбит от того, что какие то шмакодявки, у которых сопли на усах не высохли, не знают те самые системы, которые 20 лет назад он админил.
Мне автор статьи показался чрезмерно высокомерным типом, склонным ожидать у других людей наличие развитых телепатических способностей. Эдакий менеджер, который дает запрос «Дайте мне все необходимые права» а на вопросы сисадмина «Какие имнно права? В каких системах? На какой срок?» думет «Ну он и ***ак!!! Не знает, как работу делать!»
Интересно, автор, сходу без гугла сможет ответить на вопрос «по какому порту работает утилита ping»?
UFO just landed and posted this here
Спасибо — хороший вопрос. Добавлю себе в копилку ;)
На некоторых реализациях правильный ответ будет «по любому порту» :)

www.unix.com/man-page/opensolaris/1m/ping/

-p port Set the base UDP port number used in probes. This option is used
with the -U option. The default base port number is 33434. The
ping utility starts setting the destination port number of UDP
packets to this base and increments it by one at each probe.
Ни по какому. ping работает по ICMP-протоколу, в котором понятия «порт» вообще нет.
Я вас немного удивлю, но ICMP работает поверх IP на порту 1 и как уже было сказано выше в некоторых реализациях этот порт можно сменить.
«1» — это не порт, а номер протокола. Для сравнения, TCP — 6-й протокол.

Понятие «номер порта» относится только к двум L4 протоколам — TCP и UDP. У того же ICMP есть type и code, которые можно с огромной натяжкой назвать аналогами понятия «destination port» у TCP/UDP.

Но в общем случае, если вопрос был от не слишком знающего собеседующего, лучше просто сказать «ping работает по протоколу ICMP, у него нет портов», и в детали не углубляться.

А правильный ответ, как обычно, «it depends».
Ну если быть уж совсем дотошным, то в классической реализации пинга поверх ICMP, надо говорить от том что он работает по
IP протокол 1 Тип 8 код 0 для отправки дейтаграммы и
IP протокол 1 Тип 0 код 0 для ответа.
пинг не использует весь протокол ICMP, а только его часть.
Пинг использует ICMP так же, как ssh использует протокол TCP. Никто не говорит про «весь протокол», что бы это ни значило :) В тех L4 протоколах, где есть какое-либо разделение, его задействуют. Например, в ESP есть SPI, тоже чем-то отдаленно похожий на номер порта в TCP/UDP.
Прекрасно его так же характеризует линия поведения — сначала с инженерами интегратора он обсуждает, какой же его «друг» Алексей «некомпетентный» сисадмин, потом пишет на Хабр, какие же в интеграторах работают чайники надампившие сертификатов. Вангую, что где-то сейчас в Москве Алексей выслушивает какие же на Хабре узколобые бараны сидят.
Очень понравилась шутка. И вообще, давно такого праздника в комментариях не встречал.
Чем больше дураков вокруг — тем больше у нас зарплаты. Радуемся.
Несмотря на то, что комментарии от автора похожи на троллинг, а его реакция на некоторые комменты никак не соответствует его возрасту — в чем то я согласен с самой статьей.
Примеры на основе которых он пришел к выводам так себе (больше похоже на завышенные требования\ожидания от кандидатов, смешанные с тем, что они знают меньше чем сам автор, хотя тоже админы)

Но сам вывод имеет право на жизнь. По мне, хороших админов по прежнему очень много и уровень их не упал. И много таких специалистов среди подрастающих и начинающих спецов. Просто стало сильно больше плохих админов и ленивых специалистов, не заинтересованных в работе. Работа найдется для всех :)
Я вот тут второй день думаю над статьёй, потому что тема действительно больная.

Сдаётся мне, админство просто перешло из разряда образа жизни в разряд ремёсел. Все вот эти ставшие фольклорными атрибуты админов — борода, свитер, пиво, заваленная разными железками квартира, шторы на коаксиале вместо карниза, ночной дебаг ядра под пиво /выберите понравившиеся варианты/ — они же не с пустого места взялись. Действительно, люди этим жили (хотя это не отменяет других увлечений). Других в профессии попросту не было.

А сейчас всё больше стало появляться «эффективных админов». Он прослушал курсы, получил бумажку и пошёл админить с 9 до 18. Он зарабатывает этим деньги, да, он может даже вполне справляется со своими обязанностями — но глаза у него не горят и он не видит необходимости (и главное — не хочет) учиться чему-то новому. Для него это просто работа. Отработал и пошёл.

Я немного утрирую в этих образах, конечно, но разница, мне кажется, именно вот в этом. И даже не сказать, что это сильно плохо — в специалистах есть потребность и рынок её заполняет по своим законам. Ну да, времена теперь другие.
Согласен во всем :)
Популизация отрасли, доступность учебного материала и востребованность специалистов начального уровня — делают свое дело. И как вы правильно заметили — нельзя сказать, что это плохо. В чем то даже хорошо — растет планка для востребованных специалистов и как заметил выше Garex — растет их зарплата)
Я наверное у таких же как вы видимо на собеседованиях был. И так же меня наверное дебилом считали, так как не мог ответить на их вопросы. Зато в других компаниях на всё отвечаю и даже бывает нравлюсь как работник =)
И итог всех этих собеседований какой?)
Вангую, нашел работу с адекватным руководством, а такие случаи вспоминаются с улыбкой в кругу друзей. Я вот собеседование одно с жирафами и холодильниками уже много лет вспоминаю, хотя в глазах HRа был не компетентным и бесперспективным, так как забыл про слона в холодильнике.
Когда захотел более плотно изучить вебпрограммирование, пошел к отдному человечку. Ну он значит начал меня испытывать, что да как, не суть. Самое интересное было потом, спрашивает типа знаю ли я про задачу Энтшейна, ну мозги напряг, частично вспомнил, он дал мне бумажку с условием и говорит решай, я взял ручку и собрался записывать свои умо заключения, он удивился и сказал, что решать надо в уме. Мда минут 15 моей жизни мозги кипели, в итоге все таки сразу решить не удалось, начал размышлять в слух и ответ все таки пришел. Человек сам по себе немного был не адекват, как показала практика. Мог сидеть на работе сутками, спать на месте, продумывать все до мелочей, уходить домой только помыться и назад. В итоге там все, что-то начало разваливаться, да и шеф на старой работе назвал цифру от которой я просто не смог отказаться. Ушел назад. Но он все таки заселили во мне зерна знаний )
Есть такая мудрость. Один дурак может задать вопрос на который сто мудрецов не ответят.
Тут как вопросы ставить. И каждый с своей колокольни судит.
Сменил много компаний в итоге работаю пока там где устраивает. Интерес и финансовая составляющая. Да работаю админом.
А теперь внимание вопрос. За свою карьеру вы, автор, чем помогли новому поколению админов стать не таким, как вы описываете? Сколько думающих админов вы заметили, похвалили за правильный подход к жизни, дали работу, поделились опытом, подтянули по знаниям и т.д.?
«60 человек и нужен был грамотный админ» вот с этого и надо было начинать, грамотный специалист в такой компании быстро потеряет интерес. Нужно где-то от 500-1000 чел. быть конторе чтобы проще было найти профи. И то не факт что его заинтересуют инфраструктура или, например, нехватка творческих заданий и много рутины. Деньги значение могут для такого уже не иметь.
Sign up to leave a comment.

Articles