Сам я не айтишник, а связист, но с компьютерной техникой сталкиваться приходится регулярно. Каким-то образом (это отдельная история) стал я начальником отдела системного администрирования в подведомственной государственному органу организации. Сама организации только образовалась путём слияния нескольких подведомственных, так что бардак был тот ещё.
Основной задачей отдела (кроме поддержания психического здоровья пользователей) являлось администрирование серверов государственного органа, на которых крутились информационные системы всей отрасли. Системы в «опытной» эксплуатации, но базы данных уже актуальные. Сервера — 14 двухпроцессорных блейдов (по 8 ядер на блейд), 42 ГБ ОЗУ, дисковый массив на много терабайт. Но… Систем несколько. Дисковый массив напилен весь. В резерве 100 ГБ. На блейдах системы развёрнуты частью виртуально, частью — непосредственно. Про существующие системы писать не буду, это уже на совести разрабов.
И тут в один прекрасный день звонит из ГО наш куратор. Появился у них ещё один разработчик ещё для одной ИС. Разработчикам нужна платформа для разработки. Через целого министра продавили, что сервер предоставляет министерство. Админим сервера мы. Кроме блейдов, ничего нет. Блейды все заняты. Но есть пара виртуалок по одному ядру, по 4 ГБ ОЗУ, с дисковым пространством 40 и 70 ГБ. На них уже ничего не крутится, но они стоят для оперативной конвертации данных из Fox в MS SQL (нарисовали нам пару скриптов). В общем, пытаюсь объяснить, что ресурсов нет и, судя по плану госзакупа, не будет. В ответ — ор от человека, который из себя на моей памяти выходил всего один раз. Задание министра как-никак.
Совместно с админами почесали репки и решили отдать тот виртуальник, который поменьше. Куратора успокоил, сервер почистили, антивирь проверили-обновили, систему отсканировали всем, до чего дотянулись, админские пароли отдали разрабам с письмом, что, мол, админку мы вам отдали, удалёнку на этот сервер организовали, дальше сами, так как себе мы доступ к системе не оставляем. Работайте, мол.
Месяц тишина была. Пароль админки разрабы сменили, мы только мониторим нагрузку. К самой системе доступа нет (официально об этом уведомили). Через месяц — шум-гам. «Система упала, её кто-то взломал, это вы злодеи». Хорошо, говорим, давайте пароль админки. Дали. Приглашаем независимого эксперта, приглашаем представителей нашего ГО, приглашаем менеджера проекта от разрабов. В присутствии всей этой братии заходим на систему — и что мы видим? Антивирь отключён, в системе более 300 тел вирусов порядка 50 видов. Из них больше половины — трояны. Составили акт, всё дружно подписали, отправили в министерство. Скандал затух. Нам дали команду забрать сервак обратно, разрабам дали понять, что разрабатывать надо на своём железе.
Всё? Ан нет. Через три месяца эти разрабы демонстрировали свою ИС. На пяти серваках в минимальной конфигурации. На тестировании ИС даже не ломали. Доступ к админке получили за три с половиной минуты. Всего вариантов получения доступа тестировщики нашли пятнадцать. И по SSH, и по telnet, и по RDP, аи даже с клиента MS SQL. В общем, дырявая система вышла. И опять без антивиря. Дали задание на доработку. Нашим тестировщикам неофициально дали по шапке, а я потом уволился.
Мораль примерно такая: не всякий разраб с «крышей» обладает головой. И в дополнение: там, где откат, честный тест не нужен.