V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
samun
V2EX  ›  程序员

请教各位老哥一个问题 如何避免扯皮

  •  
  •   samun · 2020-12-21 16:45:47 +08:00 · 2810 次点击
    这是一个创建于 1425 天前的主题,其中的信息可能已经有所发展或是发生改变。

    场景是 几个人都有服务器的 root 登录账号密码 如果有人操作失误怎么避免扯皮,今天遇到个问题,有感而发

    samun
        1
    samun  
    OP
       2020-12-21 16:46:14 +08:00
    小公司 开发兼职半个运维
    kiracyan
        2
    kiracyan  
       2020-12-21 16:49:07 +08:00
    独立账户呗
    reed2020
        3
    reed2020  
       2020-12-21 16:51:21 +08:00
    肯定是分账户,出事了看用户操作日志。
    zjb861107
        4
    zjb861107  
       2020-12-21 16:52:27 +08:00
    很难避免的。
    我们公司有个服务器被查出来挖矿了,至今不知道是内鬼还是被入侵。
    出事以后一个个装的连挖矿是啥都不知道
    madpecker009
        5
    madpecker009  
       2020-12-21 17:00:29 +08:00
    @zjb861107 知道的就是背锅侠
    avalon0624
        6
    avalon0624  
       2020-12-21 17:01:34 +08:00
    我所在的公司一开始是这样的,在开发线测试好脚本然后提供给运维让运维检查通过后执行。开发没线上权限。
    maplego
        7
    maplego  
       2020-12-21 17:01:39 +08:00
    @samun
    vim /root/.bashrc
    logger -t -bash -s "HISTORY $SSH_CLIENT USER=$NAME_OF_KEY CMD=$BASH_EXECUTION_STRING " >/dev/null 2>&1;}
    maplego
        8
    maplego  
       2020-12-21 17:03:13 +08:00
    @samun
    不同用户用不同的 key
    huangmingyou
        9
    huangmingyou  
       2020-12-21 17:05:50 +08:00
    jumpserver 记录操作历史,有录屏
    leven87
        10
    leven87  
       2020-12-21 17:06:43 +08:00
    查登录访问的 IP
    westoy
        11
    westoy  
       2020-12-21 17:08:42 +08:00
    权限给高的话, 干了坏事自己擦屁股也容易啊

    还不如直接单例模式, 专门划个人做运维, 只有这个人有帐号, 其他人要操作通过他, 每次都审计一下
    liion
        12
    liion  
       2020-12-21 17:20:11 +08:00
    把自己的账号独立出来:)
    joyhub2140
        13
    joyhub2140  
       2020-12-21 17:28:04 +08:00
    出事后想逃脱嫌疑早就第一时间清空 .bash_history 了,运维还是交给专职运维的人操作吧。

    运维事故由运维主管担责,开发 bug 事故由开发和测试共同担责。
    theqwang
        14
    theqwang  
       2020-12-21 17:58:03 +08:00
    上堡垒机,jumpserver 开源的就可以挺好用的,我们公司用了以后扯皮的事明显少了
    madworks
        15
    madworks  
       2020-12-21 18:01:42 +08:00
    @zjb861107 服务器能挖几个矿?看显卡的
    raaaaaar
        16
    raaaaaar  
       2020-12-21 18:23:18 +08:00 via Android
    @zjb861107 #4 记录所有操作日志,对于非常重要的东西
    aristolochic
        17
    aristolochic  
       2020-12-21 19:01:46 +08:00
    @madworks 有针对 CPU 的币种比如门罗币,前几年还炒过硬盘币种你敢信?所以问题不在这儿,蚂蚱也是肉的原因是人家是分布式挖矿,进程也不多占稳定百分之五十。如果楼主说的服务器在公网有入口的话,只要是没禁用密码登录的特别容易被扫,可锲而不舍了所有端口都挨个试一遍。这东西影响还挺深远,一查就有。是连着一个荷兰的 IP,伪装成 java 和 kswapd0 都有。
    laminux29
        18
    laminux29  
       2020-12-21 19:51:07 +08:00
    你这问题根本就不是技术问题,而是公司运营中的管理问题:便捷性 与 安全性,是一对矛盾。

    类似的问题,比如初创公司,以低价招来便宜无德员工,然后初创公司又没有代码权限管理机制,最后被员工偷了代码后离职,连证据都找不到,这种事情太多了。

    想要彻底解决,你们公司得先想清楚一个核心问题:要便捷?还是要安全。这个问题没想清楚,用什么技术方案都没用。
    samun
        19
    samun  
    OP
       2020-12-21 20:33:03 +08:00
    感谢各位老哥 主要是今天发生两个事情 一是同事问是不是我干掉了他的 java 进程 二是别人找我说不小心干掉了一个进程 要我起一下
    samun
        20
    samun  
    OP
       2020-12-21 20:35:45 +08:00
    @liion 目前我就是这么做的
    samun
        21
    samun  
    OP
       2020-12-21 20:36:40 +08:00
    @joyhub2140 嗯 运维刚来不久
    samun
        22
    samun  
    OP
       2020-12-21 20:37:50 +08:00
    @westoy 之前是只有我一个人 现在多个人了得想好自保了
    crclz
        23
    crclz  
       2020-12-21 20:39:34 +08:00
    @samun #19 楼:可以写一个简单的监控程序。如果它 java 程序被关掉的那一分钟你在喝茶 /蹲坑,那么就证明错误不是你引起的。
    samun
        24
    samun  
    OP
       2020-12-21 20:57:06 +08:00
    @maplego 谢老哥
    samun
        25
    samun  
    OP
       2020-12-21 20:58:32 +08:00
    @laminux29 小公司不出问题是没人在意的
    opengps
        26
    opengps  
       2020-12-21 21:02:18 +08:00
    有些堡垒机带的录屏就是为了这个
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2651 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 04:34 · PVG 12:34 · LAX 20:34 · JFK 23:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.