系統(tǒng)管理的“洗手間哲學(xué)”

申請免費試用、咨詢電話：400-8352-114

每個管理員都在和廢棄的和未使用的用戶帳戶作戰(zhàn)。我們都知道，如果系統(tǒng)中藏有“過期”的用戶帳戶，那么就會給惡意黑客留下更多攻擊和藏匿的地方。如果你是個聰明人，那就需要提高警惕，并清除掉它們。

陳舊的和未使用的資源就像是飯店的洗手間。當(dāng)你第一次走進一家餐館時要先檢查一下洗手間。如果洗手間超級干凈，可以打賭這家餐館的管理非常良好，廚房也一定是非常干凈的。而如果洗手間一團糟，那就考慮去別的地方吧。

誰來管理，管理什么

管理員應(yīng)該建立起策略和程序，以生命周期的模式對電腦的所有對象（用戶、組、計算機等）和資源（文件，打印機，應(yīng)用軟件等）封裝好。生命周期管理計劃應(yīng)該覆蓋的對象和資源包括：
*用戶帳戶
*計算機帳戶
*服務(wù)帳戶/守護進程（daemon）帳戶
*工作組
*電子郵件地址和對象
*打印機
*各項應(yīng)用
*磁盤存儲
*文件夾、共享文件和Web文件夾
*IP子網(wǎng)
*LDAP/Active Directory對象
*組策略對象（如果使用了Active Directory）
*數(shù)字證書
*稽核/警報計劃（Auditing/alerting plan）

你所控制的每一項任務(wù)，相關(guān)的對象還有資源都應(yīng)包含在生命周期計劃內(nèi)。生命周期計劃最低限度也要包括下列活動，：
*獲得/供應(yīng)/創(chuàng)建/批準(zhǔn)
*分配所有權(quán)/問責(zé)制
*更改/修改/重命名/復(fù)制/移動/轉(zhuǎn)移
*禁用/刪除/反供應(yīng)
*變化確認
*稽核/提醒/監(jiān)測（Auditing/alerting/monitoring）
*文檔記錄

如果沒有適當(dāng)?shù)纳芷诓呗院统绦?，這些對象和資源往往會隨著時間積累，永遠不會刪除。管理員必須回答誰來創(chuàng)建，誰來批準(zhǔn)和誰記錄變化這些問題來確保符合生命周期策略。51CTO編者認為，其實系統(tǒng)本身就為我們提供了許多安全設(shè)置功能，巧妙地使用這些功能，我們完全可以赤手空拳地應(yīng)對網(wǎng)絡(luò)安全問題，比如利用系統(tǒng)組策略，來保證網(wǎng)絡(luò)安全運行。

怎樣管理對象

每個對象應(yīng)該有一個嚴(yán)格定義的過程，包括誰可以請求或者改變這個對象，做出請求和改變的要求是什么，還有誰擁有對象。

分配所有權(quán)能夠在未來查詢對象的作用和健康程度。最好把所有權(quán)分配給特定的一個人而不是一個團隊，以免指手畫腳的人太多。當(dāng)然，這也意味著如果所有人角色變更或者離開了工作環(huán)境，所有權(quán)也必須要更新。

一般來說，對象的添加或更改會對大批電腦與用戶的安全性造成影響，因此需要得到相關(guān)設(shè)備管理系統(tǒng)部門的批準(zhǔn)。當(dāng)添加或更改一個項目時，它的結(jié)果應(yīng)得到另一方的確認，或至少由作出更改的一方來確認。所有的更改應(yīng)記錄進日志。對不能確保安全或可能引起廣泛變化的事件應(yīng)發(fā)出警報進行二次審查。51CTO編者建言，這已經(jīng)是相對比較完善的管理制度了，但在中國很少有中小企業(yè)能做到這樣管理的，這個問題就目前來看，還沒有看到任何適合中小企業(yè)的管理可行制度。

比如我目前的客戶端是這樣安排的，一號設(shè)備管理系統(tǒng)管理員的工作是刪除過期的測試用戶帳戶。設(shè)備管理系統(tǒng)管理員發(fā)現(xiàn)刪除花費的時間比預(yù)期長的多——幾分鐘而不是幾秒。如果刪除完成后，過期的用戶對象都不見了——工作完成。假如一號設(shè)備管理系統(tǒng)管理員在刪除用戶帳戶時不小心刪除了一個完整的巨大的OU（LDAP組織單位），這時本地稽核系統(tǒng)會立即通知二號管理員。有了適當(dāng)?shù)幕讼到y(tǒng)和報警策略，錯誤會被立即注意到，誤刪除的對象可以及時恢復(fù)。在51CTO編者看來，像OU這樣重要的LDAP帳號存儲單位一旦誤刪除，可能會引發(fā)所有用戶無法登陸服務(wù)器的嚴(yán)重后果。所以備份是非常重要的事情，有需要的朋友可以看下“有備無患詳細Linux備份與恢復(fù)方法”這篇文章。

記錄文檔和工作流

每個對象的生命周期包括所有相關(guān)的任務(wù)應(yīng)當(dāng)記錄在案。記錄文檔應(yīng)包括誰能夠請求一項特定的任務(wù)，誰完成這項任務(wù)，以及誰核實這項任務(wù)正確完成。記錄文檔應(yīng)包括誰負責(zé)維護和更新文檔以使它不會過期。而且這一程序應(yīng)盡可能自動化完成。許多軟件工具都提供了自動化和工作流功能，同時也有更好的安全性和稽核追蹤。有些最簡單的對象生命周期管理工具使用公司的電子郵件系統(tǒng)來管理工作流。在編者看來，網(wǎng)絡(luò)高速發(fā)展給管理上帶來很多難題，比如目前很多設(shè)備管理系統(tǒng)系統(tǒng)設(shè)備或產(chǎn)品都具備日志功能，這些日志也至少要保留6個月，如何對海量日志進行有效保留，并滿足企業(yè)基于日志的新需求，已成為日志管理方案供應(yīng)商共同面臨的難題。

最后，適當(dāng)?shù)牟呗院统绦驊?yīng)始終包括一些快速的非正式處理方法來應(yīng)對特殊的緊急事件。比如當(dāng)CEO的用戶對象被意外刪除掉并且必須恢復(fù)時，相信他不會喜歡等到委員會召開或者自動化工具開始周期處理。這也意味著自動化工具必須考慮這些特殊和緊急事件，能夠做出快速反應(yīng)。

制定資源生命周期計劃并遵守它，你會有一種把洗手間收拾的煥然一新的感覺。

【本文轉(zhuǎn)載自51CTO.com】

【推薦閱讀】

◆設(shè)備管理系統(tǒng)運維管理專區(qū)

◆系統(tǒng)管理員如何面對角色裂變？

◆系統(tǒng)管理員應(yīng)該定期完成的九件事

◆強迫癥會害死系統(tǒng)管理員

◆設(shè)備管理軟件軟件專區(qū)