It's the super sysadmin: what luser you gonna save today?

Un sistemista degno di essere definito tale non può non conoscere “colleghi” del calibro di Davide Bianchi, autore del blog soft-land.

Anche lui come me (o più esattamente anche io come lui, dato che ha il decuplo della mia esperienza) ha a che fare con utonti ogni giorno e scrive le sue brave storielle.

Girando sul suo blog ho trovato questo decalogo del “sysadmin non-completamente-cerebroleso”; decalogo che sottoscrivo in tutto e per tutto perchè rispecchia interamente la realtà.

Lo riporto integralmente cosi com’è:

1. Dai ai tuoi server un nome decente

   E prima che me lo domandi, “localhost”, “pippo”, “www” e “c1p8″ NON SONO ‘nomi decenti’. Soprattutto il primo e l’ultimo, che ti credi di essere spiritoso?

2. Dai ai tuoi client un nome decente

   Qui’ si potrebbe fare lo stesso discorso precedente, ma con una aggiunta: dare ai vari picci’ dell’azienda lo stesso nome dell’utente puo’ aver senso ma solo se tale picci’ non esce mai dall’azienda o se l’utente ha uno ed un solo computer. Dare ai picci nomi come ‘RKZ90876-3′ ha l’ovvio problema che nessuno sa quale computer e’ quello.

3. Il tuo merdoso server di posta fara’ relay solo ed unicamente per la sua rete interna o da utenti autenticati

   Che c’e’ gia’ troppo spam in giro per il mondo, perche’ vuoi aggiungerne di piu’?

4. Il tuo foxxuto server di posta si presentera’ sempre e solo con il suo FQDN

   E se non sai che cosa e’ un FQDN forse non dovresti gestire un server di posta. E prima che me lo domandi: ‘localhost.localdomain’ non e’ un fqdn valido!

5. Tu non consentirai a nessuna phporcheria web-applicazione di inviare posta senza controllo.

   Questo non dovrebbe richiedere una spiegazione, ma c’e’ un sacco di gente che fornisce questo tipo di “funzionalita’” nelle sue phporcherie web-applicazioni senza pensarci troppo, cosi’ tu ti ritrovi il server di posta blacklistato senza capire il perche’.

6. Se la tua phpmerda web-applicazione consente agli “utenti” di uploadare dei files, tu controllerai GIORNALMENTE quali files sono stati aggiunti e COSA sono, onde evitare di ospitare immondizia senza saperlo.

   Anche questo non dovrebbe richiedere una spiegazione, ma e’ un po’ troppo tempo che trovo un po’ troppi messaggi come quello riportato sopra nei miei log. E questo ci porta direttamente alla “regola” successiva…

7. Tu verificherai giornalmente i tuoi Log e procederai ad investigare tutti i messaggi anomali.

   Se vedi 10.000 richieste per un file .txt o .asp che non dovrebbe esistere comincia a preoccuparti, cosi’ come se vedi 3000 mail nella coda. E se non sei in grado di capire i messaggi di log forse non dovresti fare il sysadmin.

8. Tu gestirai correttamente gli indirizzi ‘postmaster@’, ‘webmaster@’, ‘root@’ ed ‘abuse@’.

   Che sono obbligatori e specificati nelle RFC! E per ‘gestire correttamente’ non intendo ‘redirigere verso /dev/null’. Chiaro?

9. Tu verificherai che il tuo utente ‘apache’ (o quello che usa quell’aborto che tu chiami server web) non possa scrivere da nessuna parte che sia accessibile o eseguibile via http

   Che ne ho piene le balle di vedere coglioni che cercano di eseguire roba da siti i cui sysadmin sono allo stesso livello dei nematodi

   E per finire, ma non meno importante di tutto il resto…

10. Tu darai la propria considerazione alle e-mail che ti indicano possibili infezioni o abusi dei tuoi sistemi

    E non cliccare ‘cancella’ o rispondere ’sonasegaio’!

Il “messaggio d’errore” al quale si riferisce la regola 6 è un log che ha trovato su una sua macchina, che segnalava una chiamata anomala via web che in sostanza era un tentativo di remote include vulnerability.