работа - Page 6 - Lab Journal 6

Сисадминское

Читать будет неинтересно, кроме как маньякнутым компьютерщикам. Сугубо рабочее.

Винда становится всё более удобной для работы. Хорошо, что на ней практически всё то, что мне нужно, работает «искоропки».

Смарткарты — пожалуйста
Отсюда же сразу, не вставая с дивана, имеем 2FA
Проброс оных в сессию RDP — да легко
ГПУ и прочая КУДА с драйверами — какие хошь, ибо никто не будет разрабатывать железо, не работающее под Виндой.
Фотошоп — отож.
Даже Фаерфокс взялся за ум, и стал поддерживать смарткарты с нуля. Раньше с ним надо было долго совокупляться, минимум в трёх позициях.

А сегодня я обнаружил отличную вишенку на тортике — при установленных WSL и терминале, можно поставить WSL как среду терминала по умолчанию. И что мы имеем с гуся? Теперь можно на любой папке (ну, за исключением сетевых, если они не смонтированы) нажать «открыть в терминале» — и у тебя сразу открывается WSL ровно там, где надо. Без того, чтобы долго крючиться, переходя в нужную директорию. Можно сразу делать всяческий foreach, grep, и прочий sed. Исключительно удобно.

Часто моя работа заключается в быстром поиске проблем. Всё это надо искать в логах, поэтому без полноценной командной оболочки мне никуда. Раньше я спасался cygwin-ом, но если кто-то хоть раз пробовал его обновлять или ставить дополнительный софт, знает, какая это морока. А в WSL это намного проще.

Мои попытки перейти на Линукс окончились ничем. Я впустую убил неделю, так и сумев нормально запустить… много чего, но главное, что не взлетело — это Nvidia Quadro с двумя внешними мониторами, подцепленными через размножитель портов с USBC-PD. Хотя я очень не новичок. А на винде… А на винде они у меня заработали ещё на этапе установки (учитесь, блин, как надо делать нормальную поддержку железа!) Переходить на 11 винду мне окончательно расхотелось, так что остановился на десятке + WSL.

Ещё бы WSL научился поддерживать полноценный нормальный FreeBSD вместо всякого красноглазового… но это уже так, мечты 😉

Страховка — дрыгатель прогресса

Весь ИТ-отдел гудит как улей. Сегодня наша страховая компания спустила нам указивку, что если к концу Ноября ВСЕ ИТ-сервисы не будут защищены многофакторной аутентификацией, то они не будут продлевать страховой полис.

Это как раз такой случай, когда «не было бы счастья, да несчастье помогло». Двухфакторную аутентификацию я планировал ввести в строй уже почти год, но во-первых, не доходили руки, а во-вторых, мне не давали денег. А в‑третьих, я не хотел объяснять тупым юзверям, почему вдруг доступ к ресурсам стал сложнее.

А теперь — и денег дали, и другие проекты отодвинули. И самое главное — теперь мне не надо никому объяснять, почему это, и зачем. Страховка — и всё тут.

Не всё, правда, гладко на деле. Вот сканер сетевой, что документы юзверю ушастому в его каталог забрасывает — никаких смарткарт оно, конечно, не поддерживает. Придётся репу чесать, что с ним делать дальше. Скорее всего придётся подцеплять сканеры напрямую к машинам через USB.

Sitrep

Две недели занимались практически только тем, что на работе выкидывали всякой хлам:

–Это выкинуть или оставить?
–Эту выкини, эту оставь, а эту мы отвезём в переработку.

Некоторые вещи было чуть ли не жалко отвозить в переработку. Вот, например, 23-дюймовые мониторы. Они до сих хорошо работают. Но вот беда — у них входы только D‑SUB и DVI‑D. К любому современному компьютеру их приходится подключать через переходник. А это не всегда работает. Теоретически они электрически совместимы, но вот беда — не вполне, уровни сигнала разные, как меня тут просветили. И согласовалки, при всей их тупости, всё равно иногда глючат. Поэтому с точки зрения оказывания услуг проще такие мониторы не использовать. А раз не использовать, то чего с ними делать? Пусть стоят, пыль собирают? Э, нет. В переработку. Какие-то вещи народ растащил по домам. Я оказался владельцем аж пяти компьютеров HP 800G2. Причём, неплохих таких — i7 шестого поколения, 32 гектара памяти. Это лучше, чем у меня сейчас — i7 четвёртого поколения.

Думал сначала приспособить их себе — ан хрен там был. Там БП дохлый, 280 ватт, мою видеокарту не тянет. Хорошо, можно купить 400-ваттный. Купил, воткнул — а видеокарту всё равно не прикрутишь — она по длине в этот брендовый корпус не влезает, блин. В корзину для жёстких дисков упирается. Её, конечно, можно было отрезать болгаркой, но… Так и плюнул, заказал себе новый комп, i9 одиннадцатого поколения, 8 ядер, 64 гектара памяти. Фигли мелочиться. У меня с 2012, что ли, года, нового компа не было.

Думал про ентот ваш АМД «Рязань» — типа то же самое, но ядер 12 вместо 8. Ну, а потом почитал сравнения «лоб в лоб» и оказалось, что 8 интеловских ядер уделывают 12 ядер АМД. Ожидаемо, чо. Ентот ваш АМД начинает обгонять Интел только когда деньги значения не имеют, и можно купить 64-ядерную «Рязань», которая тупо задавит Интел массой. И то не на всех задачах.

Сижу, чешу репу, чего теперь делать с етими Хепешниками. В кластер Хадуп их, что ли, объединить? Хотя, конечно, у меня нет таких задач, плюс есть мнение, что моя 1070GTX их не вставая с дивана запинает, даже если бы были.

На работе всё остальное хорошо, новый сотрудник довольно быстро во всё врубается, можно будет скоро переложить на него основную массу работы, а самому новым сетевым проектом заняться. У нас щас два оптоволоконных провайдера, надо перетащить всю сеть под нового. Это потребует создания новой IP сети, настройки маршрутизации между ними… в‑общем, много всякого интересного.

Про работу и жизнь

Времени писать всякую фигню в уютный бложик практически нет. Вернее, даже, не сколько времени, сколько свободных нейронов. Всё время занято работой, так как теперь приходится делать работу руководителя ПЛЮС работу сисадмина — так как текущие проекты никуда не испарились.

Пути решения этой проблемы известны: надо выучить сотрудников, после чего делегировать им эти задачи. Но новый сотрудник отработал покамест только одну неделю, и многого пока ещё не знает. Второй потенциальный сотрудник, зараза, с крючка сорвался — пошёл в пентестеры. Там ему, полагаю, быстро надоест — подавляющее большинство пентестерских работ это «запустить нессус с заданными параметрами, после чего муторно писать отчёт». Писать какие-то свои инстрУменты, подыскивать правильные параметры для отработки SQL injection, рыбалить сотрудников — это удел высококлассной «красной команды», а не рядовых пентестеров. Но чорт с ним, не пошёл так не пошёл, насильно мил не будешь. Удачи ему лично, парень он хороший.

Ещё к нам попыталась наняться бабушка-айтишница. Лично я бабушку бы нанял. Она была бы вменяемым хорошим сотрудником. Но начальник зарубил её кандидатуру — её увольнение с прошлого места работы было очень странным (скопировала файлы, к которым формально у неё не должно было быть доступа). Поэтому «лучше перебздеть».

Потом пришёл гражданин, который вроде что-то там знал, но после того, как я хорошенько пошерстил интернет, мне стало очевидно, что проверку биографии он, скорее всего, тоже не пройдёт. Вот он вроде как айтишник. И вроде как зарабатывает неплохо. Но живёт в очень херовом месте с мамой. Дом его стоит 40 тысяч долларов, это примерно долларов двести в месяц со стандартной ипотекой. Мама тоже работает (всё это лежит в открытом доступе, просто надо знать, как искать). Вопрос — куда уходят деньги? На какую такую херню, не на героинчик ли? Подозрительный человек. Ситуации бывают разные, но если у чувака есть серьёзные финансовые проблемы, его не надо нанимать. Почему? Потому что финансовые проблемы могут привести к тому, что он будет менее устойчив к даче взятки, например. Ну, чтобы поискать чего-нибудь интересное, кому надо, у нас в сети.

В‑общем, не соскучишься с такими соискателями.

Ну, и, конечно, ощутив себя в шкуре начальника, к руководству компаниий вообще начинаешь относиться совершенно по-другому.

Вот некоторые, например, думают, что начальство — это кровопийцы, которые нихера не делают. И их надо всех прогнать, и тогда ужЪ точно ЗАЖИВЁМЪ!!! Старое доброе раздувание классовой вражды, ага. Ну, в Советском Союзе тоже так думали, разогнав «буржуев» и прочих. И пробовали заводами управлять через Рабочий Контроль. Ну, чтобы решения принимали не какие-то там начальники. И что бы вы думали — разумеется, нихера не получилось. Пришлось срочно с нуля выращивать своих собственных менеджеров.

Лично мне пока нравится, но часто натыкаюсь на недостаток опыта. Управление требует совсем других навыков, которых у меня пока нет. Купил полезную книжку, читаю потихоньку. Два главных совета, которые я пока из книги вынес:

1. Будь скромным. Да, тебя облечили властью, но чтобы тебе подчинялись, сначала тебе надо завоевать авторитет среди сотрудников. Злоупотребление собственной властью — плохой инструмент для создания авторитета.
2. Не начинай карьеру с того, чтобы с размаху всё менять. Сначала присмотрись, и попытайся понять, почему оно устроено так, как оно устроено. А потом уже меняй, если по-прежнему считаешь это нужным.

Разгребали всякий хлам

На работе проводили генеральную уборку. Списывали всякую старую хрень, типа древних ноутбуков и прочего.

Как обычно, обнаружили несколько кор. есов!*

Тосиба, сделано в Японии. До сих пор, поди, работает, если найти что-то древнее, где этот контроллер есть.

Заодно скажу ещё, что современные компьютеры практически во всех областях стали намного практичнее и удобнее. И далеко не только в плане дружественности интерфейсов. Они и внутри стали намного проще для сборки и ремонта. Вот возьмём, например, разъёмы, про которые только что написал дружественный журнал. Сравним, что было внутри AT-шного компа, из которого вытащили этот дисковод, чисто по разъёмам?

Начнём с питания на AT материнской плате. Кто их помнит? Знаете, что там было плохо? Плохо там было то, что их было два, и воткнуть их можно было в произвольном порядке. И если воткнуть не так, то из платы мог выйти волшебный белый дым, на котором вся электроника работает. Запомнить было, впрочем, достаточно просто — ч0рные провода (земля) — в центре.

А теперь у нас ATX 2.0 — ну, тоже не идеал, но его хотя бы воткнуть неправильно без кувалды сложно.

Потом были кабели PATA. Вот где было концентрированное зло. 40 контактов — это дофига: они всегда входили очень туго (больше контактов — больше сопротивление). На более новых платах разъёмы на плате хотя бы имели соответствующие вырезы в пластмассе, так что воткнуть кверх ногами было сложно. А на старых надо было внимательно глядеть, с какой стороны текстолит под одним контактом был маркирован белой точкой — это был контакт №1, и красную полоску сбоку кабеля надо было располагать с этой стороны. Ну и про master/slave и прочее наследие проклятых белых эксплуататоров не забудем.

А щас у нас SATA, красота! Воткнуть его неправильно — ну опять же, только с кувалдой. И вдумчиво курить перемычки на дисках тоже не надо. А ещё эти перемычки не везде работали одинаково. У некоторых производителей (Maxtor и Seagate, ЕМНИП), перемычек было не одна, а две. Смотри, не перепутай.

А современный M2 это вообще щасье. И питание, и данные — втыкается всё сразу.

Кстати, удивительное дело, но разъём данных для изображённого на картинке кор. еса (5.25-дюймовый дисковод, если кто не знает) был сравнительно нормальным — легко цеплялся, и имел вырез.

Не забудем про разъёмы питания для дисков — молекс это зло, блин. И хотя углы у него были скошены, и воткнуть его неправильно было непросто, но углы у него были скошены недостаточно — разъём входил в розетку ровно настолько, чтобы ты решил, что втыкаешь правильно. Ну, чтобы потом с весёлым матерком осознать свою ошибку.

И только один современный разъём раз за разом вызывает у меня приступы ненависти — это USB. Всё квадратное — ЗЛО. Это та же проблема, что и с молексом — легко решить, что вроде как втыкаешь правильно, а потом материшься. Поэтому я очень рад тому, что эта херь постепенно пропадает и заменяется USB‑C.

*кор. ес. — опечатка в инвентаризационной описи имущества звездолёта «Бастлер» из научно-фантастического рассказа Эрика Рассела.

И ещё про работу

Помимо чисто технических вопросов про специальность сисадмина у меня есть вопросы чисто организационные.

Например, «что вы будете делать, если столкнётесь с проблемой, решения которой вы не знаете»?

Дурак, который никогда не работал в организации с другими людьми отвечает «нагуглю как решать, и сделаю!»

Это в корне неправильный ответ. Потому что нагуглить-то ты, конечно, нагуглишь, но у стандартной сисадминской задачи обычно есть как минимум два решения. И не факт, что ты найдёшь правильное, принятое в данной организации. Поэтому правильный ответ — сначала спросить у других, есть ли уже принятное решение у данной задачи, или нет. А потом уже иди гуглить.

Нашли работников

После полутора месяцев поисков таки нашли, походу, работников.

Младших, правда, сисадминов, не старших. Нормальные ребята, и что самое главное — не выпендриваются.

Вот не люблю я когда люди выпендриваются, начинают козырять типа знаниями, а начнёшь спрашивать детали, так человек сразу начинает плавать. Когда я человека спрашиваю что-то, а он не знает ответ, я ненавижу, когда люди что-то начинают придумывать. Простое «я не знаю», а ещё лучше «я не знаю, но предполагаю что вот так, и знаю, где искать ответ» — это гораздо лучше.

После нескольких интервью вот примерный список несложных вопросов, который я задаю соискателям на позицию старших системных администраторов:

Использовали ли вы Active Directory? Какие инструменты вы использовали для управлением этой службой?
Что такое групповые политики? Для чего вы их использовали?
Если групповые политики наследуются с более верхнего OU, какая групповая политика имеет наивысший приоритет?
Какой инструмент лучше всего использовать для разрешения конфликтов между групповыми политиками?
В чём разница между файловыми системами NTFS и FAT32/exFAT?
В чём разница между разрешениями modify и full control?
Как наиболее оптимально раздавать разрешения пользователям на сетевые ресурсы?
В чём разница между группами Domain Admins и Enterprise Admins?
Что такое доверие между доменами? Кто может его создать?
Как хорошо вы знакомы с сетями TCP/IP? Что такое IP адрес?
Сколько доступных адресов в сети 192.168.1.0/24?
Поделите эту сеть на две одинаковые подсети и назовите первый и последний доступный айпи адрес в каждой подсети.
В чём разница между TCP и UDP?
Как происходит создание TCP сессии?
На удалённом сервере включён RDP, но я не могу к нему присоединиться, что нужно проверить?
Я не могу присоединиться к удалённому серверу SQL Server, какой порт нужно открыть на брандмауэре?
Что такое VLAN?
Как может происходить маршрутизация пакетов между разными VLAN?
Что такое port security?
В чём разница между WEP и WPA?
Что такое 802.1X?
Что такое VPN?
С какими дистрибутивами Linux вы имели дело?
Какими командами происходит установка нового программного обеспечения в этом дистрибутиве?
Какая информация хранится в /etc/passwd?
Как проще всего управлять удалённым сервером? Какое программное обеспечение вы для этого использовали?
В какой лог-файл записываются ошибки аутентификации SSH?
Как настраивается аутентификация по ключу?
Как дать пользователю доступ к базе данных SQL Server? (реально больше никаких знаний в этой области от людей я не требую — писать запросы это уже есть кого спросить)
С какими облачными ресурсами Azure вы имели дело?
Что такое Infrastructure as Code?
В чём разница между билдом и релизом в Azure DevOps?
Если вам нужно создать двести управляемых облачных дисков, какой инструмент вы будете использовать?
Писали ли вы скрипты Bash или PowerShell?
Что такое переменная? Что такое массив, и какая между ними разница?
Как в скрипте повторить какое-то действие пятьдесят раз?
В чём разница между IaaS, PaaS и SaaS?
Что такое многофакторная аутентификация? Два разных пароля — это двухфакторная аутентификация?

Ну и ещё разное.

Пока даже на половину никто ответить не смог… хотя казалось бы, не до звёзд дотягиваюсь!

Mo’ money, mo’ problems

Потихоньку привыкаю к новым обязанностям.

Самое сложное пока — найм новых сотрудников. Приходят граждане, требуют зарплату под шесть цифирь, а сами не могут разбить сеть 192.168.1.0/24 на две подсети. Или спрашиваешь, например, «какой инструмент вы использовали для изменения паролей пользователей?»

–Активный каталог
–Это сервис, а инструмент-то какой?
–Активный каталог

И как с такими вахлаками прикажете работать? Амбиций дохера, а на чердаке бардак.

Или вот тоже дилемма. Человек решил сменить роль деятельности. Он очень не дурак, но специалист в другой области, которая только рядом лежала с айти (сетевое медицинское оборудование). Так как у него жена, дети, и неплохая уже зарплата, просит он существенно. С одной стороны чел не дурак, но с другой — опыта у него нет, а зарплата, которая ему интересна — это зарплата сисадмина с пятью годами плотного стажа. Чо делать — пока не решил.

Рабочее

Русские в очередной раз попытались нас подломить. Но наша контора вовремя увернулась.

Надоело уже.

Из пушки по воробьям

Типичная задача:

Есть список клиентов в файле csv, два столбца: имя клиента и его уникальный идентификатор
Есть список проектов в файле csv, три столбца: имя проекта, дата, и уникальный идентификатор клиента

Надо:

Выводить данные типа: показать проект и имя клиента, с которыми мы работали в октябре/мае/сорок первого мартобря

Как я выполняю эту задачу сейчас: воткнул SQL Server Express, создал БД, всосал csv в две разные таблицы и делаю SELECT … JOIN ON client.id = project.clientid

Работает хорошо, быстро (хотя я и не заморачивался с индексированием), но мне почему-то кажется, что я копаю грядки экскаватором. Можно ли ту же задачу решить попроще, например, в Экселе?

Делать замену в списке проектов по clientid я не хочу — это чо, ручками, что ли? Клиентов-то не одна сотня, руками это делать? Однозначно сразу нахер. Плюс эти файлы генерирую не я, и они постоянно обновляются.

Спасибо, если кто предложит решение попроще. Зачем, спросите, попроще? Затем, чтобы потом это делегировать кому-то другому, а краткий курс SQL я читать не хочу.