From: "Денис Смирнов" <mithraen@altlinux.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] запрет скачивания переименованных mp3
Date: Wed, 11 Apr 2007 14:50:37 +0400
Message-ID: <20070411105037.GE9576@mw.local.seiros.ru> (raw)
In-Reply-To: <20070411111538.50ef5814@shadow.orionagro.com.ua>
[-- Attachment #1: Type: text/plain, Size: 6026 bytes --]
On Wed, Apr 11, 2007 at 11:15:38AM +0300, Dmitriy L. Kruglikov wrote:
DLK> По вашей идеологии, к подъезду нужно подавать два такси, на случай,
DLK> если пассажир одно из них изгадит до невозможности применения...
DLK> А еще два должно круглосуточно дежурить за углом, на случай, если
DLK> пассажиру взбредет в голову что-либо, непредсказуемое заранее,
DLK> так же, как и непредсказуемо поведение вируса, который еще не опознается
DLK> антивирусами, но который уже подвесили в iframe на сайте с голой ж...
Нет. Это означает что если курящему директору крупной компании подадут
машину без пепельницы, он открутит кому-то голову, а по дороге бычки может
и на пол кидать. Потому что безопасники открутят голову водителю, если тот
забудет предварительно заблокировать стеклоподъемники в закрытом
состоянии.
А перевозка VIP-персон на нескольких машинах это вообще обычная практика,
в случае каких-либо проблем с одной из машин (за что техникам открутят
головы скорее всего) он всегда может пересесть в другую (а безопасники в
этот момент заколебутся развертывать перед этим над этими машинами шатер).
Кстати курьерская служба и штат водителей это по сути полный аналог IT
инфраструктуры по своей логике и значимости.
NG>> В чем по вашему мнению
NG>> принципиальное отличие системного администратора от водителя такси?
DLK> В том, что вы не позволите себе в такси гадить на пассажирское сидение,
DLK> а если позволите, к вам применят монтировку...
DLK> А на рабочее место администратора, которое распространяется на все оборудования сети,
DLK> включая и вашу рабочую станцию, и установленный на ней софт,
DLK> вы считаете позволительным гадить, аргументируя тем, что без вас, незаменимого,
DLK> фирма денег не заработает...
Ошибочка. Рабочие места сотрудников это рабочие места сотрудников. И админ
к ним имеет ровно такое же отношение как и уборщица. А вот если сотрудник
притронулся к коммутатору хотя бы (не говоря уж о сервере), то тут да, это
для него скорее всего плохо кончится.
DLK> Может быть, не вас, конкретно, но в данном случае вы выступаете от имени того
DLK> сотрудника, которому 95% рабочего времени якобы можно пялиться на голую задницу.
Если он при этом будет приносить моему бизнесу десятки килобаксов, он
вправе делать все, что не противоречит законодательству РФ, и не вредит
никак другим людям, в том числе сотрудникам фирмы. То бишь если он будет
этим заниматься в своем кабинете, и не провоцировать других сотрудников на
такое же поведение -- это его личное право.
До тех пор пока сотрудник приносит деньги, и при этом не мешает остальным
-- меня не волнует что он делает. А если админ неспособен оградить сеть от
действий одного сотрудника, то он скорее всего будет уволен в тот же день
как это выяснится. И если он ко мне не придет с докладной на тему "воооон
тот порнуху качает, зарезать али от сети изолировать?" тоже.
NG>> Уверяю вас, художник 10-15 минут подождет пока разворачивается система
NG>> из бекапа, это не принесет каких-либо существенных затрат. Этим людям
NG>> не требуются финансовые сводки.
DLK> А все остальные, которым нужно работать именно сейчас ?
DLK> Сисадмин должен обеспечить нормальную работу всем, включая этого "ху...".
Если хоть один сотрудник своими действиями может навердить
работоспособности сетевой инфраструктуры в целом, то я даже не знаю о чем
уж тот говорить. Это означает либо что админ несоответствует занимаемой
должности, либо что руководство игнорирует его запросы на необходимое ПО и
оборудование. И кто-то из этих двоих должен покинуть организацию
немедленно.
NG> >> Виновным в сбое будет не сисадмин, а сотрудник, действия которого повлекли сбой,
NG> >> потому как в предложенной вами схеме именно такой режим и предусмотрен.
NG>> Нет, если при этом сотрудник порушит чужие системы - будет виноват
NG>> сисадмин, не обеспечивший внутреннюю безопасность при работе в ЛВС.
DLK> Так вот, внутренняя безопасность ЛВС обеспечивается не быстрым устранением последствий,
DLK> а ПРЕДУПРЕЖДЕНИЕМ возникновения сбоев.
DLK> Самым надежным способом предупреждения является ограничение возможностей возникновения
DLK> этих самых сбоев.
Разумеется. Но ЛВС котоую можно порушить скомпрометировав один
единственный компьютер это детский сад.
NG>> Точно так же невозможно требовать от хорошего художника, чтобы он
NG>> приходил на работу каждый день в 9 утра, невозможно требовать от него
NG>> чтобы он не сидел на форумах, не тусил всю ночь и не звонил в 16:00 на
NG>> следующий день со словами: "О, моя голова, она до сих пор болит". А
NG>> многие и не позвонят даже.
DLK> Не нужно пропагандировать бардак, который у вас возведен на уровень религии.
DLK> Если бизнес основан на деятельности человека с непредсказуемым поведением,
DLK> то этот бизес весьма ненадежен.
Закон больших чисел, однако, работает.
DLK> Ваш художник-то в туалете после себя смывает, или вы позволяете ему гадить где попало,
DLK> нанимая штат смывальщиц, которые за ним бегают.
Если этот художник будет рисовать картины ценой в миллион долларов за
штуку -- таки найму. Правда скорее всего найму инженеров, который смогут
сделать автосмыв в сортире, это практичнее.
Дмитрий, неужто ты не согласен с тем что возможна организация в компании
рабочих мест без каких-либо ограничений, так чтобы это не подвергало
опасности остальную инфраструктуру? А вот есть ли в этом необходимость или
нет для данного сотрудника -- решать его прямому руководителю и только.
Да, по-умолчанию запрещено вообще все. Но если руководство согласно что
данный сотрудник имеет право делать то-то и то-то, задача IT отдела
реализовать это без негативных последствий. В их обязанности входит
сделать анализ рисков и сформировать несколько вариантов решения проблемы,
и положить это все на стол руководителю данного сотрудника.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
Documentation - The worst part of programming.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
next prev parent reply other threads:[~2007-04-11 10:50 UTC|newest]
Thread overview: 185+ messages / expand[flat|nested] mbox.gz Atom feed top
2007-04-06 4:57 Serge
2007-04-06 5:30 ` Andrey Novoselov
2007-04-06 6:05 ` Slava Dubrovskiy
2007-04-06 6:46 ` ABATAPA
2007-04-06 7:38 ` Вадим Илларионов
2007-04-06 7:48 ` Slava Dubrovskiy
2007-04-06 8:09 ` Sergey
2007-04-06 8:32 ` Вадим Илларионов
2007-04-06 8:34 ` Вадим Илларионов
2007-04-06 8:52 ` Slava Dubrovskiy
2007-04-06 9:06 ` Dmitriy L. Kruglikov
2007-04-06 9:26 ` Шенцев Алексей Владимирович
2007-04-06 9:36 ` Dmitriy L. Kruglikov
2007-04-06 9:49 ` Вадим Илларионов
2007-04-06 9:57 ` Dmitriy L. Kruglikov
2007-04-06 10:20 ` Вадим Илларионов
2007-04-06 10:39 ` smont
2007-04-06 12:00 ` Вадим Илларионов
2007-04-06 12:19 ` Шенцев Алексей Владимирович
2007-04-06 9:52 ` Шенцев Алексей Владимирович
2007-04-08 20:19 ` Денис Смирнов
2007-04-09 8:16 ` Maxim Britov
2007-04-11 9:20 ` Денис Смирнов
2007-04-06 10:15 ` Alexey Morsov
2007-04-06 10:23 ` Dmitriy L. Kruglikov
2007-04-06 10:23 ` Вадим Илларионов
2007-04-06 10:31 ` Andrii Dobrovol`s`kii
2007-04-06 10:34 ` Alexey Morsov
2007-04-06 10:51 ` Slava Dubrovskiy
2007-04-06 11:09 ` Alexey Morsov
2007-04-06 11:18 ` Dmitriy L. Kruglikov
2007-04-06 11:31 ` Alexey Morsov
2007-04-06 11:53 ` Вадим Илларионов
2007-04-06 11:51 ` Вадим Илларионов
2007-04-06 10:47 ` Dmitriy L. Kruglikov
2007-04-06 11:47 ` Вадим Илларионов
2007-04-06 12:01 ` Dmitriy L. Kruglikov
2007-04-06 12:54 ` Вадим Илларионов
2007-04-06 12:12 ` [Sysadmins] Политика информационной безопастности на предприятии Шенцев Алексей Владимирович
2007-04-06 14:25 ` Sergey S. Skulachenko
2007-04-06 14:40 ` Шенцев Алексей Владимирович
2007-04-08 20:05 ` Денис Смирнов
2007-04-09 7:16 ` Sergey S. Skulachenko
2007-04-10 2:16 ` Денис Смирнов
2007-04-10 5:49 ` Sergey S. Skulachenko
2007-04-09 7:25 ` Дорогов Николай(computer-service)
2007-04-09 7:37 ` Dmitriy.Borisov
2007-04-09 7:41 ` Дорогов Николай(computer-service)
2007-04-09 7:53 ` Dmitriy.Borisov
2007-04-09 7:51 ` Sergey S. Skulachenko
2007-04-10 2:17 ` Денис Смирнов
2007-04-11 13:48 ` Nick Gavrikov
2007-04-11 13:57 ` Nick Gavrikov
2007-04-12 6:44 ` Денис Смирнов
2007-04-12 8:04 ` Nick Gavrikov
2007-04-12 9:16 ` Денис Смирнов
2007-04-12 9:50 ` Nick Gavrikov
2007-04-12 12:00 ` Денис Смирнов
2007-04-12 15:10 ` Nick Gavrikov
2007-04-12 16:06 ` Денис Смирнов
2007-04-12 6:50 ` Alexey Morsov
2007-04-12 7:17 ` Nick Gavrikov
2007-04-12 7:43 ` Alexey Morsov
2007-04-12 8:21 ` Nick Gavrikov
2007-04-12 7:45 ` Alexey Morsov
2007-04-12 7:55 ` Alexey Sidorov
2007-04-12 8:17 ` Nick Gavrikov
2007-04-12 8:50 ` Денис Смирнов
2007-04-12 9:03 ` Sergey S. Skulachenko
2007-04-12 9:21 ` Alexey Sidorov
2007-04-12 9:28 ` Денис Смирнов
2007-04-12 11:53 ` Vyatcheslav Perevalov
2007-04-12 11:49 ` Денис Смирнов
2007-04-12 12:17 ` Vyatcheslav Perevalov
2007-04-12 13:14 ` Денис Смирнов
2007-04-12 15:20 ` Nick Gavrikov
2007-04-12 15:35 ` Gennadiy Redko
2007-04-12 15:56 ` Денис Смирнов
2007-04-12 16:03 ` Денис Смирнов
2007-04-12 18:25 ` Nick Gavrikov
2007-04-12 19:56 ` Денис Смирнов
2007-04-12 10:22 ` Sergey S. Skulachenko
2007-04-12 8:11 ` Nick Gavrikov
2007-04-12 8:41 ` Денис Смирнов
2007-04-06 10:34 ` [Sysadmins] запрет скачивания переименованных mp3 Andrey Novoselov
2007-04-06 10:39 ` Шенцев Алексей Владимирович
2007-04-06 11:15 ` Alexey Morsov
2007-04-08 20:00 ` Денис Смирнов
2007-04-09 6:40 ` Alexey Morsov
2007-04-09 8:11 ` Sergey S. Skulachenko
2007-04-10 2:34 ` Денис Смирнов
2007-04-10 5:58 ` Sergey S. Skulachenko
2007-04-10 6:31 ` Dmitriy L. Kruglikov
2007-04-10 7:21 ` Sergey S. Skulachenko
2007-04-10 7:51 ` Dmitriy L. Kruglikov
2007-04-10 9:11 ` Sergey S. Skulachenko
2007-04-10 9:35 ` Dmitriy L. Kruglikov
2007-04-10 10:02 ` Sergey S. Skulachenko
2007-04-10 10:24 ` Dmitriy L. Kruglikov
2007-04-10 11:17 ` Sergey S. Skulachenko
2007-04-10 8:59 ` Nick Gavrikov
2007-04-10 9:29 ` Dmitriy L. Kruglikov
2007-04-10 9:49 ` Sergey S. Skulachenko
2007-04-10 16:14 ` Nick Gavrikov
2007-04-10 15:24 ` Nick Gavrikov
2007-04-10 15:55 ` Serge Polkovnikov
2007-04-10 16:21 ` Nick Gavrikov
2007-04-11 10:26 ` Денис Смирнов
2007-04-11 10:14 ` Денис Смирнов
2007-04-10 16:08 ` Dmitriy L. Kruglikov
2007-04-10 16:24 ` Nick Gavrikov
2007-04-11 5:55 ` Dmitriy L. Kruglikov
2007-04-11 7:48 ` Nick Gavrikov
2007-04-11 8:15 ` Dmitriy L. Kruglikov
2007-04-11 10:50 ` Денис Смирнов [this message]
2007-04-11 8:20 ` Sergey S. Skulachenko
2007-04-11 10:05 ` Денис Смирнов
2007-04-11 10:34 ` Dmitriy L. Kruglikov
2007-04-11 11:06 ` Денис Смирнов
2007-04-11 11:16 ` Sergey S. Skulachenko
2007-04-11 13:42 ` Денис Смирнов
2007-04-11 14:13 ` Sergey S. Skulachenko
2007-04-11 14:22 ` Денис Смирнов
2007-04-11 14:33 ` Sergey S. Skulachenko
2007-04-11 11:35 ` Nick Gavrikov
2007-04-11 12:01 ` Dmitriy L. Kruglikov
2007-04-11 17:57 ` Денис Смирнов
2007-04-13 8:00 ` Вадим Илларионов
2007-04-13 8:09 ` Dmitriy L. Kruglikov
2007-04-14 7:14 ` Вадим Илларионов
2007-04-14 7:21 ` Eugene Ostapets
2007-04-11 10:03 ` Денис Смирнов
2007-04-11 9:49 ` Денис Смирнов
2007-04-10 9:31 ` Sergey S. Skulachenko
2007-04-10 9:47 ` Dmitriy L. Kruglikov
2007-04-10 16:09 ` Nick Gavrikov
2007-04-11 9:32 ` Денис Смирнов
2007-04-11 9:21 ` Денис Смирнов
2007-04-11 9:30 ` Sergey S. Skulachenko
2007-04-06 14:56 ` Igor Zubkov
2007-04-09 6:56 ` Vladimir V. Kamarzin
2007-04-09 7:31 ` Aleksey Avdeev
2007-04-09 11:12 ` Vladimir V. Kamarzin
2007-04-09 11:33 ` Alexey Morsov
2007-04-06 9:44 ` Slava Dubrovskiy
2007-04-06 9:55 ` Вадим Илларионов
2007-04-06 10:03 ` Dmitriy L. Kruglikov
2007-04-06 10:03 ` Slava Dubrovskiy
2007-04-06 9:47 ` Вадим Илларионов
2007-04-06 9:39 ` Serge
2007-04-06 9:52 ` Dmitriy L. Kruglikov
2007-04-06 10:10 ` Вадим Илларионов
2007-04-08 19:52 ` Денис Смирнов
2007-04-06 11:11 ` Timur Batyrshin
2007-04-06 11:16 ` Alexey Morsov
2007-04-06 14:34 ` Igor Zubkov
2007-04-06 14:44 ` Шенцев Алексей Владимирович
2007-04-06 14:55 ` Igor Zubkov
2007-04-06 9:43 ` Вадим Илларионов
2007-04-06 11:23 ` [Sysadmins] администрирование squid'а Шенцев Алексей Владимирович
2007-04-06 11:31 ` Dmitriy L. Kruglikov
2007-04-06 11:58 ` Шенцев Алексей Владимирович
2007-04-06 12:09 ` [Sysadmins] администрирование squid'а - SAMS Alexander Volkov
2007-04-06 12:25 ` Шенцев Алексей Владимирович
2007-04-06 13:42 ` Alexander Volkov
2007-04-06 14:00 ` Шенцев Алексей Владимирович
2007-04-06 14:34 ` Alexander Volkov
2007-04-07 12:15 ` Timur Batyrshin
2007-04-09 6:07 ` Шенцев Алексей Владимирович
2007-04-06 11:37 ` [Sysadmins] администрирование squid'а Avramenko Andrew
2007-04-06 12:06 ` Шенцев Алексей Владимирович
2007-04-09 8:18 ` Alexey Shabalin
2007-04-10 10:56 ` [Sysadmins] cyrus-imap Timur Batyrshin
2007-04-12 7:46 ` Anton Kvashin
2007-04-12 7:55 ` Dmitriy L. Kruglikov
2007-04-13 14:14 ` Denis Kuznetsov
2007-04-12 7:58 ` Serge
2007-04-12 8:04 ` Alexey Morsov
2007-04-16 4:55 ` Sergey
2007-04-12 8:10 ` Dmitriy L. Kruglikov
2007-04-09 8:22 ` [Sysadmins] администрирование squid'а Alexey Morsov
2007-04-06 12:56 ` Вадим Илларионов
2007-04-06 13:37 ` Шенцев Алексей Владимирович
2007-04-06 13:05 ` Вадим Илларионов
2007-04-06 15:37 ` [Sysadmins] запрет скачивания переименованных mp3 Michael Shigorin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20070411105037.GE9576@mw.local.seiros.ru \
--to=mithraen@altlinux.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git