Как правильно разграничить доступ?

Question

[alexdora]

Вообщем история короткая. Хобби превратилось в сервис, времени стало жалко, а объектов внимания много.

Есть несколько серверов с vmware esxi и много виртуалок. Хочу нанять админа, но не понимаю как сделать так чтоб в случае чего админ меня не лишил доступа или не сделал хуже. Мне интересна именно логика формата:
вот это стоит делать, а вот это не стоит делать, т.к в любом случае будущему админу на первое время придется исправить косяки настройки которые я допустил (я все же не сисадмин). И админ на удаленке, а знакомых кто взялся бы – не хочу.

Пока из очевидного: не давать доступ в панель vmware Esxi

Comments

[fdroid]

Как вы собрались "рукой водить" если не умеете делегировать полномочия? Есть опыт работы с таким начальником, который бывший айтишник, но теперь занимается, в основном, непосредственно задачами руководителя и всё равно норовит сунуть нос в любой нюанс. При этом, человек уже порядком отстал от темы, многое перестаёт понимать, что неудивительно, т.к. практики нету, но любит свернуть кровь дотошным выяснением что и как работает, причём и ему и штатным айтишникам понятно, что он уже "не въезжает". Боится нового, того что уже не понимает, а внедрять возникает необходимость. В общем, довольно хреновый тип начальника. Плюс его бывшей айтишности в том, что он понимает необходимость покупки/обновления железа, софта и хоть с этим проблем нет (ну почти).

Бесправный админ - недо-админ какой-то. Ищите спеца, собеседуйте в вопросах, в которых сами имеете какое-то представление. Не хотите бяки от человека - не делайте бяки сами и не жмите з/п, платите достойно, относитесь уважительно. Впрочем, я считаю, что независимо от расклада, портить что-либо, оставлять бэкдоры и т.д. - это непрофессионально и вообще низко. И если не устраивает з/п и отношение - достаточно уйти и забыть навсегда работодателя и не портить карму пакостями. Но это я так считаю, за всех не скажу, кто-то ведь может быть и очень впечатлительным и в ответ на вашу гадость ответит симметрично. В общем, будьте человеком.

[alexdora]

fdroid, Я вас услышал

Answer 1

[Алексей Черемисин]

Люди делятся на две категории, одни еще не делают регулярные бекапы, вторые уже делают.
Так вот, неважно, насколько мало прав вы дадите, если вы в первой категории. И неважно как много прав вы дадите, если из второй. Тем более, есть снапшоты.

Comments

[Сайпутдин Омаров]

есть еще те которые проверяют сделанные бекапы с какой-то цикличностью.

[Алексей Черемисин]

О, нет, это лишнее :-)

[alexdora]

У меня кроме базы бек-апов нет.
Я понимаю что это печально. Поэтому и заморачиваюсь с админом. Снэпшоты отдельная песня. Они не всегда запускаются. Запустить можно, но надо лезть уже через шелл на esxi. В основном проблема с запуском приключается после того как машина вм грохнулась и ты пытаешься откатится.

[Алексей Черемисин]

alexdora попробуйте их делать на холодную, остановили инстанс, заснапшотили, включили.
И уже после этого снапшоты копируете на внешний носитель, для порядку.
Если система и данные разделены по разным дисками, то можно разные диски по разному и бекапить.

Я, например, не парюсь, даю полные права на инстанс, и перед этим делаю снапшот. Если нужно всегда откачусь. Но у меня KVM, думаю, что и в VMWare тоже самое.

[alexdora]

Алексей Черемисин, да, я делал на холодную. Некий снепшот после установки и настройки полной. Чтоб потом сделать откат. Увы, может я тупой и делаю все не так..но было такое что после сбоя на хосте питания, 2-3 машины не запустились. Пробовал снеп запустить - жопа. Сейчас снепы вообще не делаю. Решил что значительно проще сделать одним ssh скрипт который после установки свежей в течении 5 минут все вернет.

[Алексей Черемисин]

alexdora, так юпс поставьте! их для таких случаев делают (капитан-очевидность) и выключайте хост, когда напряжение пропадает! кучу нервов сбережете.
Ну, да, можно, конечно, каждый раз все с нуля переставлять, если данных не терабайты.

[Алексей Черемисин]

И что-то я не совсем понимаю, у меня со снепшотов всегда все поднимается. Может, в KVM дело!? ну так перейдите на proxmox например... а можно и напрямую libvirt пользовать ... не Exsi единым...

[alexdora]

Алексей Черемисин, к сожалению в моей задаче нет конкурентов у Esxi. Потому что мне нужен PSI_Passthrought для проброса видях, притом необычного проброса Quadro моделей, а со специфичными параметрами и сразу несколько в одну систему, и так чтоб не рушились под нагрузкой. Тут просто поверьте на слово, перепробовал буквально все и стал неким профи в этом. Можете в ленте вопросов, я неделю убил на решение вопроса и победил.

А так сидел сначала на Xen, потом перекочевал на Kvm, и лишь когда встала проблема с видяхами лениво попробовал Esxi. И пожалуй, это лучшее из этих трех, объективно. По крайней мере по производительности

Ну, а на тему упса мне просто тупо не повезло в тот день. Знаете как бывает, выходишь дождь...первый шаг в лужу, а вечером БП отказло на сервере. Вот и результат. Так то ИПБ есть из котельного инвертора. Часов 20 шкаф точно протянул бы. Но нашлось другое слабое звено

[Алексей Черемисин]

alexdora, не осуждаю. С pci passthrought дело имел только с kvm/libvirt, пробрасывал виртуальные infiniband, тоже с неделю мучился. Дело оказалось и биосе и фирмваре адаптеров. Ах, да еще пробрасывал древние карты видеозахвата и карты com-портов, вот там очень сильно намучился с прерываниями, полностью так и не победил. Так что очень даже понимаю!

Answer 2

[CityCat4]

Может начать с очевидного - что должен делать админ?

У vCenter гигантская, просто фанатская какая-то система по правам. Там гранулярность такая дичайшая, что я например, до сих пор не могу вычислить, какие права дать челу, чтобы он мог нормально создавать машины на хосте...

Там кстати, есть некий "суперадмин", пароль которого не стоит никому давать - и вот этот "суперадмин" и есть настоящий администратор, а все остальные так, первое отражение Амбера...

Comments

[alexdora]

Это очень хороший вопрос.
В начале админ должен все перенастроить и привести бардак в состояние "хорошо". Туда входит: Тонкая настройка iptables, nginx и прочих радостей
+ сделать мониторинг всего.
Далее если мониторинг поставлен должен:
1. Раз в день заходить и просматривать есть ли какие-то проблемы
2. По запросу заранее докручивать
3. По запросу заранее мониторинг в "режиме реального времени" и исправление. Специфика сервиса такая: Есть время когда человек должен прям мониторить и исправлять здесь и сейчас, а есть время когда пофиг-веники.

Поэтому я даже по оплате смотрел, что проще мне договорится на 4 части:
– Изначальная настройка N денег
– Докрутка за каждый час
– Мониторинг за каждый час
– Раз в месяц за общий ежедневный мониторинг

[Ezhyg]

Далее если мониторинг поставлен должен:
1. Раз в день заходить и просматривать есть ли какие-то проблемы

Фигня какая-то. Если есть проблемы, он тут же должен получать уведомление, почтой, смс, мессенджерами и т.п. Зачем автоматизировать то, что всё равно будешь просматривать вручную? Это какая-то недоавтоматизация.

2. По запросу заранее докручивать

Узнать о происшествии до того, как оно произойдёт? Ну, в "айти" такое иногда можно, но передёргивать-то зачем?

3. По запросу заранее мониторинг в "режиме реального времени" и исправление

Это уже идёт речь о живом наблюдении за работой чего-то неизвестного? И опять, как это сделать "заранее"?

[alexdora]

Ezhyg,
Поясню: это сервис заказных трансляций. Т.е заранее известно время когда трансляция будет, а когда их нет.
Докручивание - вопрос оптимизации и усовершенствования вне трансляций. Когда на основе опыта проведения одной выявились недостатки и их надо править.
В остальное время оборудование «простаивает».

За первое пояснение спасибо, - я тоже это так вижу и надеюсь это увидеть. Просто у меня на текущий момент мониторинг и бэкап - самое слабое звено всей системы. Я не умею настраивать правильно, да и многое не понимаю.
При это трафик уже не маленький

[CityCat4]

alexdora, Ничего из вышеперечисленного НЕ требует админских прав в ESXi. Админ хоста, он:
- создает виртуальные машины и определяет их параметры - сколько процов, памяти, обьем дисков, если стор неоднородный (локальный + iSCSI например) - где эти диски разместить
- решает вопросы миграции машин на другие хосты, если не работает система балансировки нагрузки и автомиграции
- занимается бэкапом на уровне ВМ (и ему пофиг на содержимое машины, так как бэкап идет блоками)
...и прочее, не имеющее никакого отношения к машинам.

Что касается мониторинга, то многое зависит от того, что нужно мониторить и как этот мониторинг себе представляется.

Если что, пишите на почту в профиле.

Админу, занимающемуся машинами, права на хост вообще можно давать readonly - чтобы в морду мог войти и машиной управлять в случае чего. Никаких административных прав в ESXi ему не нужно, разве только на бэкапы (на уровне ВМ) решите нарядить.

Answer 3

[Sanes]

(я все же не сисадмин)

Пока из очевидного: не давать доступ в панель vmware Esxi

Давать только полный доступ. Если не доверяете, то крутитесь сами.

Comments

[alexdora]

Все же я позволю себе спросить: "Зачем?"
Я все понимаю конечно, но можно ведь дать возможность со стеками виртуалок работать и то обрезанный. Кто-то обиделся бах и виртуалки стер, зачем такое счастье?. И то не совсем понятно пока зачем. С самой машиной Vmware Esxi все настроено хорошо (там особо не накосячить)
Касательно доверяю и не доверяю. Ну, доверяю я самому себе. А люди либо работают, либо косячат. Не в доверии дела, а лишь вопрос предугадать возможные проблемы.

[AUser0]

alexdora, классика жанра, "кого хочу - не знаю, кого знаю - не хочу".
Всё равно потом спать не сможете, так делайте всё сами, ещё и денег сэкономите.

[vreitech]

alexdora,
> можно ведь дать возможность со стеками виртуалок работать и то обрезанный
ну вот вы сами и нашли ответ на свой вопрос. давайте тот доступ, который считаете достаточным для тех целей, на которые нанимаете человека.
проблема "стёр" решается бекапами.

[alexdora]

AUser0, Это классика жанра у админов:
– дай полный доступ
– Зачем?
– Мне надо
Я конечно не сисадмин, но хобби заставило немного поразбираться в вопросах. Да много чего не знаю, но дурачком то совсем не выставляйте. Мне действительно интересно зачем доступ полный.

[pfg21]

если сисадмин не имеет полного доступа к системе это не сисадмин такова реальность рабочей ситуации.

[alexdora]

pfg21, у него будет полный рут доступ к виртуальным машинам

[Sanes]

alexdora, и причем тут тогда ESXI?

[alexdora]

Sanes, Я указал лишь на базе чего это сделано чтоб всю картину видно было

[Сайпутдин Омаров]

pfg21, а вот здесь не надо передергивать.

[pfg21]

alexdora, конечно. у администратора есть полный доступ ко всему, потому что всей системой "от яиц до кончика члена" и управляет :)

админ с ограничеными правами это "что-то с чем-то".
у меня так было в местном тырнет-провайдере. Москва его перекупила и забрала доступ к серверам. теперь там, чтобы произвести какое-либо изменение в системе, пишут заяву в московию - там ее рассматривают и исполняют - скорость управления рухнула до плинтуса качество услуг тоже.

учитывая, что админ, с большим комплектом знаний, если захочет все равно прокрутит желаемое, тебе остается либо верить либо нет.
в принципе как и любом нанятому работнику - он имеет большие возможности по "левым" действиям.
бухгалтер фирмы имеет доступ ко всем деньгам, начальник склада ко всему складу, простой рабочий имеет доступ к применяемым технологиям и секретам производства. и т.д.

Сайпутдин Омаров, не понял упрека ??

[alexdora]

pfg21, У меня есть что вам рассказать из своей жизни, но не буду. Вы не правы с точки зрения бизнеса. Но я вас понимаю с точки зрения обычного человека.
Большинство крупных компаний довольно старые. Я знаю лично людей которые занимаются реинжениренгом экономики предприятия (в просто-народии кризис менеджеры). Это те самые люди которые пытаются из старого сделать новое. На это уходят годы и борьба с бюрократией одна из их задач. Пока одни плачут: блин, не дают работать...вместо работы пишем запросы
Другие перекраивают круглосуточно предприятие для того чтобы этого не было. И это куда более сложный процесс, чем запросы рисовать.

[pfg21]

alexdora, вполне понимаю ваши опасения, но есть физические законы которые невозможно обойти, и физическим законам плевать на точку зрения бизнеса :( камень не полетит вверх.

есть, к примеру, криптованные файловые системы, но ключ доступа к ней в рабочей системе должен присутствовать для обеспечения ее работоспособности и значит его оттуда можно выковырять (сделав дамп памяти рабочего процеса и т.д.).

есть, к примеру, телеграмм в которой шифрованно все вдоль и поперек. история чата лежит в криптоконтейнере на одном сервере, а ключи доступа к ней лежат на другом географически удаленном сервере, в другой юридической сфере. т.е. гос.захват какой-то группы серверов не даст доступа к истории чатов пользователей.
и один фиг есть набор ключевых админов телеграмма, которые могут одновременно получить доступ и к ключу и к контейнеру.

делегирование полномочий нанятому рабочему идет в купе с делегированием функций доступа к системе - от этого никуда не денешься. а дальше только продумывать баланс между дозволенностью и запрещенностью.

[Сайпутдин Омаров]

pfg21,

если сисадмин не имеет полного доступа к системе это не сисадмин такова реальность рабочей ситуации.

т.к. задело за больное.
Задач хватает с лихвой даже имея органичение на не малую часть инфраструктуры. Тут как организовать зону ответственности.

[AUser0]

alexdora,

Вы не правы с точки зрения бизнеса. Но я вас понимаю с точки зрения обычного человека.

Так вы определитесь, "Кто в вашем видении мира должен по клавишам стучать и мышкой елозить, бизнес или человек?" Как уверенно определитесь с этим вопросом, переходите

И админ на удаленке, а знакомых кто взялся бы – не хочу.

к следующему, "Почему же вот именно так-то?"
И только уже потом

Пока одни плачут: блин, не дают работать...вместо работы пишем запросы

думайте "А сколько прав ему недодать, и сколько пудов соли потом съесть, с постоянными запросами на заблокированные действия?"
Хотя нет! Ведь если обрезать возможность писать запросы, тооооо...! Да вообще сплошной профит, с точки зрения бизнеса!

"Кого хочу - не знаю, кого знаю - не хочу!"

Но вот если бы губы Никанора Ивановича да приставить к носу
Ивана Кузьмича, да взять сколько-нибудь развязности, какая у
Балтазара Балтазарыча, да, пожалуй, прибавить к этому еще дородности
Ивана Павловича — я бы тогда тотчас же решилась. А теперь — поди
подумай! (с) Гоголь, "Женитьба".

[alexdora]

Вас прямо вопрос «знакомых, не знакомых» беспокоит. Поясню:
Я стараюсь на разные проекты нанимать новых людей. Это способ поиска профессионалов и уменьшения рисков. Ничего нового, все банально. Это мой опыт который приносит мне исключительно положительные плоды.