系統(tǒng)管理的“洗手間哲學(xué)”

申請免費(fèi)試用、咨詢電話：400-8352-114

每個(gè)管理員都在和廢棄的和未使用的用戶帳戶作戰(zhàn)。我們都知道，如果系統(tǒng)中藏有“過期”的用戶帳戶，那么就會給惡意黑客留下更多攻擊和藏匿的地方。如果你是個(gè)聰明人，那就需要提高警惕，并清除掉它們。

陳舊的和未使用的資源就像是飯店的洗手間。當(dāng)你第一次走進(jìn)一家餐館時(shí)要先檢查一下洗手間。如果洗手間超級干凈，可以打賭這家餐館的管理非常良好，廚房也一定是非常干凈的。而如果洗手間一團(tuán)糟，那就考慮去別的地方吧。

誰來管理，管理什么

管理員應(yīng)該建立起策略和程序，以生命周期的模式對電腦的所有對象（用戶、組、計(jì)算機(jī)等）和資源（文件，打印機(jī)，應(yīng)用軟件等）封裝好。生命周期管理計(jì)劃應(yīng)該覆蓋的對象和資源包括：
*用戶帳戶
*計(jì)算機(jī)帳戶
*服務(wù)帳戶/守護(hù)進(jìn)程（daemon）帳戶
*工作組
*電子郵件地址和對象
*打印機(jī)
*各項(xiàng)應(yīng)用
*磁盤存儲
*文件夾、共享文件和Web文件夾
*IP子網(wǎng)
*LDAP/Active Directory對象
*組策略對象（如果使用了Active Directory）
*數(shù)字證書
*稽核/警報(bào)計(jì)劃（Auditing/alerting plan）

你所控制的每一項(xiàng)任務(wù)，相關(guān)的對象還有資源都應(yīng)包含在生命周期計(jì)劃內(nèi)。生命周期計(jì)劃最低限度也要包括下列活動，：
*獲得/供應(yīng)/創(chuàng)建/批準(zhǔn)
*分配所有權(quán)/問責(zé)制
*更改/修改/重命名/復(fù)制/移動/轉(zhuǎn)移
*禁用/刪除/反供應(yīng)
*變化確認(rèn)
*稽核/提醒/監(jiān)測（Auditing/alerting/monitoring）
*文檔記錄

如果沒有適當(dāng)?shù)纳芷诓呗院统绦?，這些對象和資源往往會隨著時(shí)間積累，永遠(yuǎn)不會刪除。管理員必須回答誰來創(chuàng)建，誰來批準(zhǔn)和誰記錄變化這些問題來確保符合生命周期策略。51CTO編者認(rèn)為，其實(shí)系統(tǒng)本身就為我們提供了許多安全設(shè)置功能，巧妙地使用這些功能，我們完全可以赤手空拳地應(yīng)對網(wǎng)絡(luò)安全問題，比如利用系統(tǒng)組策略，來保證網(wǎng)絡(luò)安全運(yùn)行。

怎樣管理對象

每個(gè)對象應(yīng)該有一個(gè)嚴(yán)格定義的過程，包括誰可以請求或者改變這個(gè)對象，做出請求和改變的要求是什么，還有誰擁有對象。

分配所有權(quán)能夠在未來查詢對象的作用和健康程度。最好把所有權(quán)分配給特定的一個(gè)人而不是一個(gè)團(tuán)隊(duì)，以免指手畫腳的人太多。當(dāng)然，這也意味著如果所有人角色變更或者離開了工作環(huán)境，所有權(quán)也必須要更新。

一般來說，對象的添加或更改會對大批電腦與用戶的安全性造成影響，因此需要得到相關(guān)設(shè)備管理系統(tǒng)部門的批準(zhǔn)。當(dāng)添加或更改一個(gè)項(xiàng)目時(shí)，它的結(jié)果應(yīng)得到另一方的確認(rèn)，或至少由作出更改的一方來確認(rèn)。所有的更改應(yīng)記錄進(jìn)日志。對不能確保安全或可能引起廣泛變化的事件應(yīng)發(fā)出警報(bào)進(jìn)行二次審查。51CTO編者建言，這已經(jīng)是相對比較完善的管理制度了，但在中國很少有中小企業(yè)能做到這樣管理的，這個(gè)問題就目前來看，還沒有看到任何適合中小企業(yè)的管理可行制度。

比如我目前的客戶端是這樣安排的，一號設(shè)備管理系統(tǒng)管理員的工作是刪除過期的測試用戶帳戶。設(shè)備管理系統(tǒng)管理員發(fā)現(xiàn)刪除花費(fèi)的時(shí)間比預(yù)期長的多——幾分鐘而不是幾秒。如果刪除完成后，過期的用戶對象都不見了——工作完成。假如一號設(shè)備管理系統(tǒng)管理員在刪除用戶帳戶時(shí)不小心刪除了一個(gè)完整的巨大的OU（LDAP組織單位），這時(shí)本地稽核系統(tǒng)會立即通知二號管理員。有了適當(dāng)?shù)幕讼到y(tǒng)和報(bào)警策略，錯(cuò)誤會被立即注意到，誤刪除的對象可以及時(shí)恢復(fù)。在51CTO編者看來，像OU這樣重要的LDAP帳號存儲單位一旦誤刪除，可能會引發(fā)所有用戶無法登陸服務(wù)器的嚴(yán)重后果。所以備份是非常重要的事情，有需要的朋友可以看下“有備無患詳細(xì)Linux備份與恢復(fù)方法”這篇文章。

記錄文檔和工作流

每個(gè)對象的生命周期包括所有相關(guān)的任務(wù)應(yīng)當(dāng)記錄在案。記錄文檔應(yīng)包括誰能夠請求一項(xiàng)特定的任務(wù)，誰完成這項(xiàng)任務(wù)，以及誰核實(shí)這項(xiàng)任務(wù)正確完成。記錄文檔應(yīng)包括誰負(fù)責(zé)維護(hù)和更新文檔以使它不會過期。而且這一程序應(yīng)盡可能自動化完成。許多軟件工具都提供了自動化和工作流功能，同時(shí)也有更好的安全性和稽核追蹤。有些最簡單的對象生命周期管理工具使用公司的電子郵件系統(tǒng)來管理工作流。在編者看來，網(wǎng)絡(luò)高速發(fā)展給管理上帶來很多難題，比如目前很多設(shè)備管理系統(tǒng)系統(tǒng)設(shè)備或產(chǎn)品都具備日志功能，這些日志也至少要保留6個(gè)月，如何對海量日志進(jìn)行有效保留，并滿足企業(yè)基于日志的新需求，已成為日志管理方案供應(yīng)商共同面臨的難題。

最后，適當(dāng)?shù)牟呗院统绦驊?yīng)始終包括一些快速的非正式處理方法來應(yīng)對特殊的緊急事件。比如當(dāng)CEO的用戶對象被意外刪除掉并且必須恢復(fù)時(shí)，相信他不會喜歡等到委員會召開或者自動化工具開始周期處理。這也意味著自動化工具必須考慮這些特殊和緊急事件，能夠做出快速反應(yīng)。

制定資源生命周期計(jì)劃并遵守它，你會有一種把洗手間收拾的煥然一新的感覺。

【本文轉(zhuǎn)載自51CTO.com】

【推薦閱讀】

◆設(shè)備管理系統(tǒng)運(yùn)維管理專區(qū)

◆系統(tǒng)管理員如何面對角色裂變？

◆系統(tǒng)管理員應(yīng)該定期完成的九件事

◆強(qiáng)迫癥會害死系統(tǒng)管理員

◆設(shè)備管理軟件軟件專區(qū)