Сисадминское

«Расшарить за три секунды», говорите?

Поверьте, очень помогает предварительно в самый верх конфига файрвола добавить разрешительное правило до рабочего места админа и до его VPN-сервера. Тупо по всем протоколам — потом уберёте. На эти же адреса ставите статик-маршрут в сторону, куда у вас указывает шлюз по умолчанию (на случай его внезапной пропажи). Ковыряете транк между коммутаторами, меняете протоколы? Делайте это по одному порту за раз. Сделайте лишний VLAN, который не затронет такая переделка, зайдёте потом с коннектед-интерфейса. Заранее включите протоколы доступа для этого «чёрного хода».

Примета такая: «Ковырять файрвол на удалённом хосте — к поездке». И чем больше настелить соломки, тем больше вероятность, что не сбудется.

Было это в 2009 году. Работал админом в маленькой розничной сети. Обязанности были самые разнообразные: от заказа картриджа до конфигурирования Avaya в связке с лютым фиаско «АГАТ-UX» и Sipnet. Да, забыл упомянуть: «домен» на CentOS, настроенный предыдущим админом, попутно Citrix версии 3.0. Руководство неадекватное и крайне прижимистое.

Устал я, собрался уходить, натаскал двоих принятых вместо меня товарищей по местной инфраструктуре. Все дела сдал, как полагается.

Два месяца молчали. На открытом перегоне метро раздаётся звонок:

— Дарова, это %adminName%!
— Ага, привет.
— Ты не помнишь рутовый пас на Cквид?
— Э-э-э…
— Очень надо.
— Стандартный рутовый не катит?
— Не.
— А от GPLI?
— Тоже пробовали.
— А жопу носорога пробовали?

Рутовый пасс на некоторых серваках ставил именно я после очередного совещания с гендиром (каждый день, около часа-двух, без всякого смысла с последующими наездами за невыполненные задания). Жопаносорога1# в английской раскладке.

Закончив разговор, я было продолжил читать дальше, но заметил, что окружающие на меня как-то странно смотрят.

Работал как-то в компании, название которой слишком известно, чтобы его тут упоминать. Как обычно бывает в подобных компаниях, права пользователей по умолчанию урезаны до минимума: есть доступ к паре сетевых папок, можно запустить десяток одобренных программ, интернет доступен только через прокси-сервер, да ещё не для всех программ и протоколов. Не говоря уже о том, что подключиться к рабочим компьютерам снаружи — задача вообще практически нереальная.

При этом в обязанности входит управление и поддержка работы множества серверов и систем в компании, то есть вообще-то неплохо бы иметь к ним доступ 24 часа в сутки откуда угодно. Налицо проблема, которую как-то надо решить.

И для этой проблемы своё решение нашлось. Не буду слишком уж вдаваться в детали — там были виртуальные машины на серверах со средствами разработки, собственная программа-прокси, которая пробрасывала пакеты от заданных машин на арендованный сервер, который в свою очередь принимал входящие соединения от домашнего сервера за файрволом, прокидываемые через всё это VPN-каналы с авторизацией по сертификатам, были скрипты контроля и восстановления канала… В общем, система строилась постепенно, по мере надобности. В итоге у меня дома стоял сервер, завязанный в единую сеть с рабочими серверами и системой мониторинга их работоспособности. В случае необходимости можно было рулить ими, не отрывая задницы от дивана, а такая необходимость иногда возникала.

С одной стороны, это всё делалось исключительно на пользу дела и в интересах компании. С другой — при наличии злого умысла можно было бы здорово нагадить и зачистить все следы. Не помогли бы ни суровые охранники на входе в офис, ни карточная пропускная система.

Мораль этой истории станет понятна из другой краткой зарисовки.

Через некоторое время пришлось общаться по рабочим вопросам с сотрудником другой, аналогичного уровня компании: необходимо было внести изменения в работу их серверов, а человек, который за них отвечал, находился в отпуске. И вот мы с ним в выходной день, общаясь по мобильным телефонам, настраивали наши системы. У меня на столе в это время стыл домашний обед, а у него, судя по звукам, ребёнок требовал что-то нарисовать на бумажке.

Крупные компании, целые департаменты информационной безопасности, охрана, двери по карточкам, запрет на пронос посторонней техники, видеокамеры — и всё это не филькина грамота, а серьёзно, — но два админа имеют доступ к критичным для работы компаний серверам, вообще не отрываясь от своих домашних дел.

А сколько нас таких было и есть на самом деле?

Так как я работаю в муниципальном предприятии, оформлен неким «электроником» (да-да, реальная запись в трудовой с такой профессией). Обязанности на меня легли различные. Получился этакий слесарь/электрик/оператор ЭВМ/эникейщик/монтажник.

Долгожданный отпуск. Целый месяц. Чтобы не получилось прошлогодних косяков, я заранее морально приготовил всех, кого цепляют мои трудовые обязательства, и решил покинуть город, благо есть собственная недостроенная дача. Там полно различных дел: строительных, слесарных, сварочных и даже отделочных работ. В качестве резервного варианта настроил удалёнку на всех машинках. Затарился едой, взял недостающий инструмент, денег на непредвиденные расходы, сел на двухколёсного друга и уехал. Основной телефон выключил, резервный (о его существовании знают только родственники и директор предприятия) прихватил с собой. Адрес дачи, естественно, никто на работе не знает.

Первые две недели прошли почти спокойно. Вторая неделя, четверг. Примерно обед. Углубляя погреб под звуки «Авторадио», неожиданно слышу звонок. На телефоне директор.

— Ой, Игорь, здравствуйте, я вас не отвлекаю?

— Говорить могу. Что-то случилось?

— А вы не могли бы прийти на работу? А то у нас сайт потух, с внешки не открывается, люди документы оставить не могут.

— Электронную почту и факс уже отменили?

— Электронная почта тоже не работает, а факс сломался.

— Как это он сломался?

— Да не знаем, ни с того ни с сего взял и перестал работать.

— А ничего, что у меня всё же отпуск?

— Мы вам на два дня его увеличим.

— Тогда пусть кто-нибудь ждёт меня к 18 часам.

Приезжаю. Встретил новый охранник, пускать не хочет. На просьбу позвонить директору наглухо отказывает. Звоню сам. Объясняю, передаю трубку. От охранника слышу только ответы в трубку: «Да. Да. Хорошо. Извините. Да, понимаю. Да». Запускает уже молча.

Захожу в кабинет, где из оборудования — четыре десктопа и тот самый факс. Провод питания в синей изоленте, трубка подозрительно молчит. Проверяю провод питания — ага, вот он, виновник! Аккуратно меняю на то, что под рукой нашлось. Факс оживает. Поднимаю трубку — нет гудка. Начинаю материться. Приглядываюсь: RJ-11 в воздухе. Законное место факса занято. Даже смотреть не стал, куда подключили. Выдёргиваю левый провод, подключаю. Работает.

Начинаю смотреть монстра, который отвечает за работу сайта и почты. А монстр, потому что корпус после «моддинга» бухгалтеров: в качестве материалов — подарочные пакеты и «карлсон» сбоку корпуса. Знакомая синяя изолента, подведена левая витуха, провод от роутера обрезан. Вытаскиваю витуху, обжимаю провод от роутера, подключаю. Роутеру перезагруз, проверяю — всё работает.

Звоню тётенькам. Говорят, были на обеде, не знаем. Звоню директору, отчитываюсь. «А это от провайдера „*****-телеком“ приходили, делали резервную линию». Оказывается, пока бухи были на обеде, пришли монтажники «*****-телекома» делать резервную линию (которую я полгода выпрашивал). Не узнав, куда подключать, молча обрезали рабочий кабель и сделали скрутку. Коннекторы, может, закончились? Кто и зачем копошился в факсе, а потом его откинул — не знаю. Резервную линию запускать не собираюсь до тех пор, пока не найдутся виновники.

Вечер. Настроения нету, на даче сегодня делать уже нечего, дождь пошёл. Думаю, этот джамшутинг только начинается.

Я творческий IT-специалист. Мне повезло: работа и хобби совпадают.

Мать и дед — художники, отец — электронщик-рационализатор. На генетическом уровне мне передались обе предрасположенности — креативность и рациональность. В детстве я обожал рисовать, но моей любимой игрушкой был осциллограф, а потом компьютер «Робик».

В своей работе я воплощаю все свои творческие потребности, а благодаря рациональности нахожу наиболее эффективные и простые пути решения поставленных задач. Компьютер для меня — универсальный инструмент, с помощью которого можно автоматизировать и упростить практически любой рабочий процесс.

Я не дизайнер и даже не программист, как можно подумать изначально (а точнее, не только дизайнер и программист). На данный момент я простой российский системный администратор. За свою жизнь с помощью компьютера я рисовал в растре, векторе и 3D. Записывал и обрабатывал звук и видео. Писал реляционные базы данных и иные прикладные приложения, а также веб-сайты. Для меня компьютер — это нечто ясное и открытое, словно палка, которой можно и копать землю, и сбивать плоды с деревьев, и защищаться, и охотиться, и опираться, и играть.

Я тот, кто упрощает жизнь простому офисному работнику. То, что работник делает месяц (например, годовой отчёт, состоящий из сотни других отчётов), мною написанная утилита сделает за несколько секунд. Я обожаю искать решение поставленных сложнейших задач в сфере IT, я обожаю изучать и внедрять всё новое. Де-факто я делаю намного больше того, что входит в мои обязанности де-юре, и мне это нравится! Я словно тот, кто обожает мороженое и работает в магазине этого лакомства. Я тот, для кого работа — это процесс игры, за которую ещё и платят.

Так как я изначально самоучка, до всего дошёл сам и только потом отучился и получил сертификаты, то я прекрасно знаю, как выглядит компьютер в глазах обычного человека. Мне не составляет труда и даже приносит радость объяснить простому человеку, как работает сложная система. Я могу разговаривать с людьми на их языке, находя аналогии, соответствующие привычному для них образу мышления, но могу и перейти на сухой технический язык, если того требует контекст.

Я пишу «обычный человек», так как себя не считаю таковым. Для меня обычный (нормальный) человек — тот, кто считает, что прав именно он, кто жалуется на других, для кого лучшее — враг привычного. Для обычного человека работа в тягость и упирается в зарабатывание денег, начальник плохой, а сотрудники тупые, мешают «сидеть на попе ровно», им невозможно ничего объяснить.

Желаю всем найти именно свою стезю, своё призвание, свой путь, который будет приносить лишь радость и развитие.

Определили меня дровоколом. Дали в руки добротный топор. Работай, говорят, себе на благо и фирме на процветание. Ну что ж, пошёл рубить. Только не рубится чего-то: топор из рук норовит выскочить да в глаз долбануть.

Чешу в затылке. Иду к нужным людям. А люди и говорят: мало ли, лезвием порубишь чего! Негоже, говорят, клешнями своими криволапыми раскидывать. Вот мы, дескать, топор и поднастроили — лезвие заблокировали. А обухом махать тоже работа! Давеча вон Петя всему отделу орехов наколол. Не умничай тут, нашёлся, понимаешь!

Давайте уже различать паранойю псевдо-IT и разумные ограничения. Кроме шуток: работал в фирме, где у рядовых сотрудников была запрещена альбомная печать. Это вообще как?!

Когда я пришла работать, системные администраторы на всех углах стонали, что люди в нашем отделе не умеют работать с компьютером и по каждому поводу звонят им. Не сильно удивилась, но про себя подумала, что я-то пользователь уверенный и звонить им каждые пять минут не буду.

В мой первый же рабочий день я поняла всю систему работы компьютеров в нашей фирме. Админы закрыли доступ буквально ко всему.

Нет, вы не поняли.

Нельзя сменить обои.

Нельзя сменить цвет панели инструментов.

Нельзя убрать экранную заставку.

Нельзя изменить время отключения мониторов. Едва отвернулся — монитор уже выключен, и по экрану ползёт «трубопровод», одинаковый на всех компьютерах.

Невозможно самостоятельно убрать адресную строку из Проводника.

И самое главное — они внесли запрет на изменение настроек в Автокаде. Не хочешь смотреть в чёрный экран с белыми линиями, хочешь отключить сетку, изменить вид отображения веса линий или что-то наподобие? Хрен тебе: запрещено системой безопасности.

А дальше ещё интереснее. Наши админы, разумеется, собаку съели на работе в Автокаде, поэтому при звонке им с просьбой изменить что-либо в настройках ты слышишь отказ. Почему? Потому что им так удобнее. Потому что они-то знают, что на чёрном экране работать удобнее. Потому что им нравится, когда все веса линий отображаются одинаково. Потому что им нравится сетка.

Ребята, зачем бросаться из крайности в крайность? В чём-то я вас даже понимаю: проще поставить запрет на всё, чем потом бороться с вирусами и полетевшими программами. Но если вы заблокировали всё, что можно, зачем жалуетесь на тупых бухгалтеров, которые трезвонят вам каждые пять минут? Да по другому никак, без вашего администрирования компьютер и шагу не ступит!

Хотите жизни попроще — откройте хоть что-нибудь. Хотя бы возможность поменять обои. Хотя бы возможность сменить или отключить заставку. Смените приоритеты и разрешите менять настройки прикладных программ без вашего вмешательства. Автокад и 1С из-за изменения цвета фона не похерят компьютер. И будет всем праздник.

Добавлю свою ложку сахара в приторный уже чай из холиваров на тему сравнения компьютеров (сайтов, сетей, юзеров и прочего) с холодильниками (автомобилями, стиралками). На эту тему пела известная до сих пор певица: «Сделать хотел грозу, а получил козу…»

Пела она про горе-айтишников (хотя сама этого не знала), которые в погоне за модой (или по незнанию) делают сайты и вычислительные системы, тормозящие на мощных компьютерах, мощных серверах, не очень мощных компьютерах рядовых пользователей, мощных и не очень смартфонах. Просто от того, что нравится прикрутить флеш-анимацию, где её не надо в принципе, или состряпать функцию-костыль просто потому, что не хочется копаться в своих же старых кодах. Или накрутить красивой графики в окнах.

Действительно, почему бы таким «разработчикам» и «админам» не сесть за компьютер рядового пользователя? Так сказать, поработать в полевых условиях. Может, тогда другим профессионалам в своём деле работалось бы полегче.

Жила-была контора, и в ней работали айтишники. Занимались эти айтишники тем, что посменно дежурили в своей конуре, приходя за два часа до начала рабочего дня и уходя позже всех. Точнее, дежурили они над серверами, потому что работа сотрудников была плотно завязана на эти самые сервера, а они то и дело норовили то упасть, то отключиться.

В обязанности входило «решение проблем при возникновении». Как правило, решали их путём перезагрузки сервера и немедленным запуском на нём требуемых VPN-каналов. Ну, а что, ведь главное — результат. Никто не должен ждать, пока причина будет найдена и устранена. Перезагрузить проще и быстрее, и результат даёт немедленный.

Так и работали, беспрерывно делая тестовые заходы на сервера и в случае зависания перезагружая их. Ну, или когда разгневанные пользователи начинали обрывать телефон — это если админ занят чем-то посторонним, например, собирает компьютер для нового сотрудника и не смотрит за серверами.

А всего-то надо было разобраться: почитать логи, в одном случае увеличить место в разделе со временными файлами, в другом — заменить кривой софт на аналог, а настроить скрипты для автоматического поднятия VPN — это вообще как бы само собой разумеющееся. И в довершении всего повесить софт для мониторинга, который в случае чего пришлёт письма и SMS кому надо. Но это же, блин, надо время потратить, это же было так долго, а нам было так некогда, и зачем, когда перезагрузка помогает?

Правда, устранение проблемы в корне имело и другой результат: дежурным айтишникам стало сложнее оправдывать своё существование. Ведь теперь что есть они на месте, что нет — всё и так работает. Так, может быть, истинная причина не в достижении быстрого результата, а в том, чтобы создать себе рабочее место?