Постоянно встречаю описанный вами кейс про девопсов с таким уровнем знаний в сетях. При том это и джуны, которые просят кучу денег со старта, и мидлы которые занимались только стильномодномолодежными вещами. Такого же уровня знания у них и в базовых вещах на уровне ОС: какие бывают файловые системы и чем отличаются, что такое LVM, как осуществлять мониторинг работы служб и подобные моменты. Пытаемся их внутри обучать базе, но успехов (из-за нехватки желания обучаемых - ибо "а нафига оно мне") пока мало.
Спасибо за статью! Немного оффтоп от темы статьи — было очень интересно почитать про ваш мониторинг…
При том и с организационной стороны (служба мониторинга, как смены строятся, регламенты и тд), так и с технической (на чем построено, есть ли зонтик, корреляции события, сервисно-ресурсная модель, какие метрики снимаете итд).
Отличная мотивирующая статья! Спасибо!
Всегда восхищали и вдохновляли сложившиеся специалисты (возможно, успевшие обзавестись семьей) в своей области которые продолжают развиваться путем получения фундаментальной базы, а не только изучением отдельных технологий. Так держать!
Спасибо за статью.
Поддержку все комментарии на общую тематику «слишком много если». Zabbix без https — если честно, по моему субъективному мнению, встречается уже крайне редко, а если и встречается — то это всего лишь говорит о лени администратора или халатности интегратора.
Необходимо отметить, что параметр EnableRemoteCommands по умолчанию закомментирован (про другие параметры, кстати, явно указано, какое состояние по умолчанию) и находится в состоянии disabled. И очень у многих, опять же из своих наблюдений, он и находится в таком состоянии. Все таки, речь о системе мониторинга, а не о системе управлении конфигурациями итп. Чтобы изменить этот параметр нужно уже использовать уязвимости соответствующие на ОС где установлены агенты.
Подобным образом можно и дальше искать изъяны по тексту статьи.
В общем, за статью огромное спасибо — основной посыл ясен, статья полезна последним разделом о том, что делать чтобы было безопасней. Но все что выше — напоминает «статью ради статьи». В той же статье про безопасность Nagios не было так много за уши притянутых если.
Все таки, любые системы типа Ansible/Puppet/Chef несут, при подобном подходе, сильно большую угрозу для инфраструктуры, чем система мониторинга.
Так же, в защиту Zabbix — не могу промолчать и не отметить, что ребята очень плотно задумываются о безопасности и с каждой новой версией прикручивают все больше и больше плюшек, повышающих общей уровень безопасности их продукта (аутентификация с помощью доменных учеток и взаимодействие с каталогом по LDAPs, шифрование между агентом и сервером (при том предлагают использовать на выбор несколько библиотек, дабы не замыкаться на одной в случае обнаружения в ней каких либо уязвимостей), SNMPv3 с полным фаршем в виде аутентификации и шифрования, возможность аудита действий пользователя итд итп. + не стоит забывать все таки про прямые руки админа, который грамотно использует возможности SELinux на сервере и *nix агентах, настраивает на вебсервере https, просматривает аудит действий пользователя или же прикручивает к системе мониторинга какую либо SIEM систему итд.)
Доброго дня! Благодарю за статьи (текущую и habrahabr.ru/company/technoserv/blog/341298). Тема очень интересна для меня. Уточните, пожалуйста, какие показатели (KPI) Вы снимали? Не возникало ли задач мониторинга именно платежей (суммы на различных этапах бизнес процесса, количества платежек/документов, время обработки платежей на отдельном этапе итд)?
Следующий этап — события описанные в фильме «Время» с Джастином Тимберлэйком в главной роли. Мир разделился на тех, у кого много рейтинга (времени), и тех, у кого его не осталось.
Если после 29 июля перестанет появляться назойливое предложение обновиться до Windows 10 — думаю, что многие вздохнут с облегчением и продолжат работу на той версии Windows, которая в данный момент прекрасно функционирует на их АРМе. Ибо если до сих пор не обновился — то это есть осознанное решение =\
По поводу Айхора — тоже удивлен, что не нашел в списке, так как они неплохо себя пропиарили под брендом «лоукостVDS».
Сам у них арендую один VDS и вирт. хостинг. Есть, конечно, непонимания при общении с тех.поддержкой. Но в конце концов все решалось относительно положительно. Несколько месяцев их начали жестоко DDOS'ить… и если хостинг еще хоть как то жил, VDS был просто в отрубе часто/на большие промежутки времени. Временами возвращалось минут на 30, а затем опять. Месяц или 2 назад вроде бы все наладилось после внедрения антиDDOS'а. С тех пор каких либо проблем за такие деньги не наблюдаю.
Соглашусь — уже как пару лет пересел на Linux Mint с Ubuntu в качестве рабочей станции. Проблем и граблей стало заметно меньше. Использую так же и Cinnamon, и Mate. В том году поставил на родительский комп. В результате практически забыл что такое «домашнаяя тех.поддержка».
Постоянно встречаю описанный вами кейс про девопсов с таким уровнем знаний в сетях. При том это и джуны, которые просят кучу денег со старта, и мидлы которые занимались только стильномодномолодежными вещами. Такого же уровня знания у них и в базовых вещах на уровне ОС: какие бывают файловые системы и чем отличаются, что такое LVM, как осуществлять мониторинг работы служб и подобные моменты. Пытаемся их внутри обучать базе, но успехов (из-за нехватки желания обучаемых - ибо "а нафига оно мне") пока мало.
При том и с организационной стороны (служба мониторинга, как смены строятся, регламенты и тд), так и с технической (на чем построено, есть ли зонтик, корреляции события, сервисно-ресурсная модель, какие метрики снимаете итд).
Всегда восхищали и вдохновляли сложившиеся специалисты (возможно, успевшие обзавестись семьей) в своей области которые продолжают развиваться путем получения фундаментальной базы, а не только изучением отдельных технологий. Так держать!
Спасибо за статью.
Необходимо отметить, что параметр EnableRemoteCommands по умолчанию закомментирован (про другие параметры, кстати, явно указано, какое состояние по умолчанию) и находится в состоянии disabled. И очень у многих, опять же из своих наблюдений, он и находится в таком состоянии. Все таки, речь о системе мониторинга, а не о системе управлении конфигурациями итп. Чтобы изменить этот параметр нужно уже использовать уязвимости соответствующие на ОС где установлены агенты.
Подобным образом можно и дальше искать изъяны по тексту статьи.
В общем, за статью огромное спасибо — основной посыл ясен, статья полезна последним разделом о том, что делать чтобы было безопасней. Но все что выше — напоминает «статью ради статьи». В той же статье про безопасность Nagios не было так много за уши притянутых если.
Все таки, любые системы типа Ansible/Puppet/Chef несут, при подобном подходе, сильно большую угрозу для инфраструктуры, чем система мониторинга.
Так же, в защиту Zabbix — не могу промолчать и не отметить, что ребята очень плотно задумываются о безопасности и с каждой новой версией прикручивают все больше и больше плюшек, повышающих общей уровень безопасности их продукта (аутентификация с помощью доменных учеток и взаимодействие с каталогом по LDAPs, шифрование между агентом и сервером (при том предлагают использовать на выбор несколько библиотек, дабы не замыкаться на одной в случае обнаружения в ней каких либо уязвимостей), SNMPv3 с полным фаршем в виде аутентификации и шифрования, возможность аудита действий пользователя итд итп. + не стоит забывать все таки про прямые руки админа, который грамотно использует возможности SELinux на сервере и *nix агентах, настраивает на вебсервере https, просматривает аудит действий пользователя или же прикручивает к системе мониторинга какую либо SIEM систему итд.)
Но, еще раз, благодарю за статью.
Сам у них арендую один VDS и вирт. хостинг. Есть, конечно, непонимания при общении с тех.поддержкой. Но в конце концов все решалось относительно положительно. Несколько месяцев их начали жестоко DDOS'ить… и если хостинг еще хоть как то жил, VDS был просто в отрубе часто/на большие промежутки времени. Временами возвращалось минут на 30, а затем опять. Месяц или 2 назад вроде бы все наладилось после внедрения антиDDOS'а. С тех пор каких либо проблем за такие деньги не наблюдаю.