Un sistemista degno di essere definito tale non può non conoscere “colleghi” del calibro di Davide Bianchi, autore del blog soft-land.
Anche lui come me (o più esattamente anche io come lui, dato che ha il decuplo della mia esperienza) ha a che fare con utonti ogni giorno e scrive le sue brave storielle.
Girando sul suo blog ho trovato questo decalogo del “sysadmin non-completamente-cerebroleso”; decalogo che sottoscrivo in tutto e per tutto perchè rispecchia interamente la realtà.
Lo riporto integralmente cosi com’è:
- Dai ai tuoi server un nome decente
E prima che me lo domandi, “localhost”, “pippo”, “www” e “c1p8″ NON SONO ‘nomi decenti’. Soprattutto il primo e l’ultimo, che ti credi di essere spiritoso?
- Dai ai tuoi client un nome decente
Qui’ si potrebbe fare lo stesso discorso precedente, ma con una aggiunta: dare ai vari picci’ dell’azienda lo stesso nome dell’utente puo’ aver senso ma solo se tale picci’ non esce mai dall’azienda o se l’utente ha uno ed un solo computer. Dare ai picci nomi come ‘RKZ90876-3′ ha l’ovvio problema che nessuno sa quale computer e’ quello.
- Il tuo merdoso server di posta fara’ relay solo ed unicamente per la sua rete interna o da utenti autenticati
Che c’e’ gia’ troppo spam in giro per il mondo, perche’ vuoi aggiungerne di piu’?
- Il tuo foxxuto server di posta si presentera’ sempre e solo con il suo FQDN
E se non sai che cosa e’ un FQDN forse non dovresti gestire un server di posta. E prima che me lo domandi: ‘localhost.localdomain’ non e’ un fqdn valido!
- Tu non consentirai a nessuna phporcheria web-applicazione di inviare posta senza controllo.
Questo non dovrebbe richiedere una spiegazione, ma c’e’ un sacco di gente che fornisce questo tipo di “funzionalita’” nelle sue phporcherie web-applicazioni senza pensarci troppo, cosi’ tu ti ritrovi il server di posta blacklistato senza capire il perche’.
- Se la tua phpmerda web-applicazione consente agli “utenti” di uploadare dei files, tu controllerai GIORNALMENTE quali files sono stati aggiunti e COSA sono, onde evitare di ospitare immondizia senza saperlo.
Anche questo non dovrebbe richiedere una spiegazione, ma e’ un po’ troppo tempo che trovo un po’ troppi messaggi come quello riportato sopra nei miei log. E questo ci porta direttamente alla “regola” successiva…
- Tu verificherai giornalmente i tuoi Log e procederai ad investigare tutti i messaggi anomali.
Se vedi 10.000 richieste per un file .txt o .asp che non dovrebbe esistere comincia a preoccuparti, cosi’ come se vedi 3000 mail nella coda. E se non sei in grado di capire i messaggi di log forse non dovresti fare il sysadmin.
- Tu gestirai correttamente gli indirizzi ‘postmaster@’, ‘webmaster@’, ‘root@’ ed ‘abuse@’.
Che sono obbligatori e specificati nelle RFC! E per ‘gestire correttamente’ non intendo ‘redirigere verso /dev/null’. Chiaro?
- Tu verificherai che il tuo utente ‘apache’ (o quello che usa quell’aborto che tu chiami server web) non possa scrivere da nessuna parte che sia accessibile o eseguibile via http
Che ne ho piene le balle di vedere coglioni che cercano di eseguire roba da siti i cui sysadmin sono allo stesso livello dei nematodi
E per finire, ma non meno importante di tutto il resto…
- Tu darai la propria considerazione alle e-mail che ti indicano possibili infezioni o abusi dei tuoi sistemi
E non cliccare ‘cancella’ o rispondere ‘sonasegaio’!
Il “messaggio d’errore” al quale si riferisce la regola 6 è un log che ha trovato su una sua macchina, che segnalava una chiamata anomala via web che in sostanza era un tentativo di remote include vulnerability.
| |














LOL
Sharato su FriendFeed, se lo merita
Speriamo che serva a diffondere il verbo
Morfeus quando avrai tempo da buttare perchè nn crei qualche guida per il sysadmin del fututo XD…
.
sarei molto interessato alla creazione di un server che includa servizi come subversion, LAMP (anche se usare un altro webserver nn dispiacerebbe), mailserver, IM server (jabber), e poi qualche altro server multithread per l'occasione, (è un server per un gioco online), e visto che c'è chi pagherà per l'hosting pro servirebbe un server fatto con i contromazzi, che nn sia sobbetto a attacchi.
purtroppo a differenza tua a me piace più programmare che fare il sysadmin, e nonostante sia riuscito a mettere su un server casalingo con subversion, LAMP, e qualche altra cosetta, imparare da uno che di mestiere fà il sistemista linux, sarebbe l'ideale
quindi penso a nome di anche altri, qualche bella guidetta per mettere su un bel serverino debian ci starebbe tutta.
“fututo”?? “sobbetto”?? Perchè non impariamo a scrivere e POI a fare i sysadmin? ehehehe
Intendi una guida tipo questa?
http://www.ilportalinux.it/OLD472
oppure questa!
http://www.ilportalinux.it/OLD250
o magari questa!
http://www.ilportalinux.it/OLD278
e poi c'è anche questa…
http://www.ilportalinux.it/OLD284
insomma basta cercare
Per installare lamp basta fare (su debian e ubuntu)
apt-get install apache2 mysql-server php5 libapache2-mod-php5
ed ecco il tuo bel lamp installato.
grazie per le segnalazioni, pur seguendo il server da abbastanza (non assiduamente però) non le avevo mai incontrate.
per quanto riguarda gli errori di battitura avrai capito cosa intendevo, e mi scuso, ma colpa della fretta che avevo di postare perchè facevo anche altro.
per quanto riguarda il diventare sysadmin, io personalmente non voglio diventarlo
mi piace il settore ma sono più propenso per la programmazione.
un server già l'ho creato quindi sò come installare il tutto, ma mi interessava come configurarlo per avere un'elevata sicurezza.
grazie per le segnalazioni, pur seguendo il server da abbastanza (non assiduamente però) non le avevo mai incontrate.
per quanto riguarda gli errori di battitura avrai capito cosa intendevo, e mi scuso, ma colpa della fretta che avevo di postare perchè facevo anche altro.
per quanto riguarda il diventare sysadmin, io personalmente non voglio diventarlo
mi piace il settore ma sono più propenso per la programmazione.
un server già l'ho creato quindi sò come installare il tutto, ma mi interessava come configurarlo per avere un'elevata sicurezza.