Cum este să FII admin? „Ai mai multe libertăți.”

Așa cum am promis, dedicăm al doilea articol prezentării opiniilor legate de rolul și activitățile unui administrator de sistem privind în special serverele bazate pe tehnologii deschise (open source).

De data aceasta îl avem interlocutor pe Ciprian Ciubotariu, unul dintre actualii administratori de sistem ai Facultății de Informatică din Iași.

Ce rol are un administrator de rețea sau root, în general? Ce activități desfășoară?

Nu mulți știu că între administratori de rețea și administratori de sistem e diferență mare; cei de rețea au treabă mai mult cu hardware și software pentru rețelistică (switch-uri, router-e, cablări, BGP etc.), cu mai mulți ofertanți de servicii Internet, se ocupă de congestia traficului, de limitări și altele.

Deoarece universitatea are un departament special pentru rețelistică – DCD (Departamentul de Comunicații Digitale), pe partea de networking nouă nu ne-au rămas lucruri complexe. Practic ei sunt ISP-ul nostru.

Singurele părți de rețelistică pură ar fi la noi rețeaua din laboratoare, managementul switch-urilor și VLAN-urilor de pe switch așa încât să nu existe nicăieri congestie foarte mare, iar viteza de transfer spre/de la serverele noastre să nu fie perturbată de activitățile unui singur individ. Ar mai fi și rețeaua între servere – de la implementarea sistemului de autentificare centralizat s-a observat nevoia ca serverele să comunice direct și sigur între ele; astfel, s-a implementat un sistem de VPN peste un VLAN separat de tot restul traficului. În acest fel, comunicarea e separată hardware și este și criptată.

Un router

Există ceva specific în ceea ce privește a fi root la FII?

Da, studenții care experimentează!

În multe companii, un administrator este mult mai atent la amenințările de securitate ce vin din afara rețelei, persoanele din rețea fiind cât de cât de încredere (trusted); în Facultatea de Informatică mult mai atent trebuie să fiu la securitatea internă, pentru că mulți studenți experimentează ceea ce tocmai au învățat la un curs, au citit de pe Internet, au aflat de la un prieten etc.

Fiindcă procesul de educație implică (ba chiar încurajează) experimentarea, nu pot să pedepsesc pe nimeni pentru ceea ce face, atât timp cât intențiile nu sunt malițioase.

Cum și când ai devenit admin la FII? De ce ai ales așa ceva?

Cred că am devenit admin la FII prin 2005. Am ales aceasta deoarece nu mă vedeam făcând altceva în viață; alții jucau jocuri și se uitau la filme, eu mă „jucam” cu servere și citeam tot ce se întâmplă în lumea IT.

Când m-am angajat la FII (n.r.: în anul întâi de facultate) nici nu știam că voi fi plătit, eram dispus s-o fac pe gratis doar din pasiune. Decizia de a veni la interviu a fost făcută într-o fracțiune de secundă, văzusem anunțul de angajare fix în ziua în care acesta expira, am trimis un e-mail pentru a mă asigura că mai este timp să mă înscriu și apoi am expediat CV-ul.

Ce dificultăți (e.g., probleme de securitate, configurări ciudate etc.) ai întâmpinat? Una sau mai multe „povești” de succes?

Nu am avut probleme serioase de securitate, dar câteva povești în acest sens există:

1. Obișnuiesc noaptea să intru pe servere să văd cine mai e conectat, de unde și ce face (informații publice, se pot afla cu comanda w din orice consolă Linux). Prin 2007-2008 observ într-o noapte cum pe serverul thor (dedicat personalului academic) un profesor transfera muzică.

Mi s-a părut foarte foarte ciudat ca un profesor să preia conținut piratat de pe situri rusești la 1 noaptea, așa încât a doua zi l-am abordat să-mi confirme. Bineînțeles că nu dânsul se conectase, așa că am investigat puțin.

Am fost uimit de ceea ce am descoperit: se pare că adresa IP a calculatorului persoanei care se conectase coincidea cu aceea a mai multor sesiuni de conectare ale studenților pe serverul fenrir. Cum nu era IP corespunzător adreselor de rețea ale căminelor, am presupus ce-i mai rău: am fost spart.

Dupa mai multă investigație am găsit în contul unui student un fișier text incluzând parolele mai multor utilizatori și un program PHP care adăuga date în fișierul de parole – ceva gen /~username/add.php?username=xulescu&password=parola.

Problema acum devenise la aflarea metodei de invocare a script-ului PHP. Răspunsul: pe atunci, în laboratoare toți utilizatorii se autentificau pe baza aceluiași nume de cont și orice resursă transferată putea fi folosită și de către următorii conectați. Studentul în cauză preluase sursele de la utilitarul putty și le modificase ca atunci când cineva se autentifica pe fenrir/thor să fie invocat și programul PHP pentru a salva numele de cont și parola. Ingenios.

După ce am aflat toate acestea, am răsuflat ușurat deoarece nu fusese serverul spart (studentul nu avea decât câteva parole individuale).

L-am anunțat pe domnul decan, acesta m-a rugat să adun cât de multe dovezi pot și să blochez contul studentului. Am aflat ulterior că acel student a fost exmatriculat.

Țin să menționez că nu caut în conturile studenților asupra unor aspecte suspicioase; dacă mă uit la un anumit student în cont o fac din două motive:

  • acesta îmi dă permisiunea de a studia ceva în contul propriu pentru a-i repara ceva stricat sau a investiga o „ciudățenie”;
  • am motive să suspectez studentul pentru efectuarea unor activități ilegale (cum zic americanii: „probable cause„). Aici intră: spamming, distribuire de software fără licență, rulare de programe care scaneaza rețeaua UAIC, porturi sau rețele externe, forkbombs etc.

2. La capitolul configurări ciudate:

Înainte de restructurarea rețelei, mai toți utilizatorii din facultate ieșeau prin 3 switch-uri situate în sala serverelor (C302). Dacă o persoană dorea să aibă acces la rețea, atunci trebuia ca firul corespunzător să fie conectat în unul dintre aceste switch-uri.

Într-o zi au venit cei de la ASII și m-au rugat să-i conectez și pe ei, pentru că și-au adus un calculator în sediu și ar dori acces la Internet. Le-am spus să seteze alocarea de adresă IP în mod dinamic (DHCP) și i-am conectat.

După câteva zile pică serverul fenrir într-un mod foarte bizar: răspundea la ping, dar toate porturile erau filtrate. M-am conectat local pe el, m-am uitat puțin și totul părea în regulă. Am restartat câteva servicii, am plasat un progrămel să asculte pe un nou port, am investigat fișierele de jurnalizare (log-urile)… Nimic, totul părea normal.

Crezând că poate au „crăpat” placa de rețea sau modulul de kernel pentru rețea, i-am dat un reboot să mai investighez. Spre marea mea surprindere, în timp ce calculatorul se restarta răspunsul la ping persista. Atunci mi-am dat imediat seama că altcineva din rețea și-a „asumat” IP-ul serverului fenrir. Am comparat adresa fizică (MAC-ul) plăcii care avea acel IP cu MAC-ul plăcii corespunzătoare serverului fenrir și mi s-a confirmat suspiciunea.

Problema acum era: cine a stabilit acel IP? Știam în ce switch sunt conectate calculatoarele, dar cum pe porturi nu știam ce cabluri vin – deoarece adminii anteriori nu notaseră chiar tot – îmi rămăsese opțiunea să decuplez fiecare fir în parte și să văd când nu mai răspunde la ping. Și așa i-am „prins” pe cei din echipa ASII.🙂

Ai încuraja și pe alții să devină administratori? De ce?

Ciprian CiubotariuDa, dar numai dacă le place.

Deși îmi place și programarea… ca sysadmin ai mai multe libertăți. În programare sunt mai dese termenele-limită, sunt mai frecvente cererile pentru implementări „idioate” (de exemplu, butonelul X trebuie să facă aceasta, după o oră trebuie altceva, iar după altă oră se dorește ștergerea lui și a funcționalității aferente etc.).

Ca programator tot timpul trebuie să lucrezi la ce vor alții, deseori apărând situații de rutină, să realizezi același lucru over and over and over again.

Ca admin în schimb, după ce ai implementat tot ceea ce trebuie și funcționează optim, ai timp pentru a experimenta diverse aspecte privind optimizarea traficului, clustere, cloud computing, elastic load balancing, security testing și altele.

Evenimente precum Defcon îi oferă unui admin „jucării” pentru câteva luni, distracția fiind imensă – practic, munca devine joacă și pe deasupra mai ești și plătit. Cu cât experimentezi mai mult, cu atât ești mai bun.

Când ți-au murit curiozitatea și setea de lucruri noi… zilele ca administrator de sistem îți sunt numărate.

Cei interesați pot parcurge și însemnarea anterioară Cum este să FII admin? “O experiență extraordinară!”.

Postat in FII. Etichete: , , , , , , , , , , . Comentariile sunt închise pentru Cum este să FII admin? „Ai mai multe libertăți.”
%d blogeri au apreciat asta: