Soru Bir üretim sisteminde olduğunuzu nasıl açıklarsınız?


Şirketimden bir kaçımızın üretim sunucularına kök erişimi vardır. Bunu yapmak için iyi bir yol arıyoruz fazlasıyla Ssh'd ettikten sonra temizleyin.

Sahip olduğumuz birkaç fikir:

  • Parlak kırmızı istemi
  • Bir kabuk almadan önce bir bilmece cevaplayın
  • Bir kabuk almadan önce rastgele bir kelime yazın

Üretim sistemlerini ayırt etmek için kullandığınız bazı teknikler nelerdir?


132
2017-10-19 18:21


Menşei


İnsanları üretim sistemlerine sığınmaktan kaçınmanın bir yolu var mı? Örneğin, herşeyi Kukla'ya kontrol ettirdiyseniz, yalnızca sorun giderme için üretim sistemlerine giriş yapmanız gerekir. - Alex Holst
Üretim sistemlerinizde root ssh erişimine izin veriyorsunuz ???? !!!!! - symcbean
@symcbean: Sionide öyle demedi. SSH’den sonra kullanıcı hesabınıza gelebilirdi. - Zan Lynx
Bu soru, toplum wiki'si için bir aday mı? - MadHatter
SSH'yi devre dışı bırakarak bir üretim sistemi olduğunu açıkça belirtebilirsiniz. Bundan daha açık olamaz. - Franci Penov


Cevaplar:


Kırmızı istemi de kullandığım iyi bir fikir.

Başka bir hile de büyük bir ASCII-sanat uyarısı koymaktır /etc/motd dosya.
Böyle bir şeye sahip olmak, giriş yaptığınızda sizi selamlamalıdır:

 _______ _ _ _____ _____ _____ _____
| __ __ | | | | _ _ | / ____ | | _ _ | / ____ | / \
   | | | | __ | | | | | (___ | | | (___ / \
   | | | __ | | | \ ___ \ | | \ ___ \ / / \ \
   | | | | | | _ | | _ ____) | _ | | _ ____) | / ____ \
   | _ | | _ | | _ | _____ | _____ / | _____ | _____ / / _ / \ _ \


 _____ _____ ____ _____ _ _ _____ _______ _____ ____ _ _
| __ \ | __ \ / __ \ | __ \ | | | | / ____ | __ __ | _ _ / __ \ | \ | |
| | __) | | __) | | | | | | | | | | | | | | || | | | \ | |
| ___ / | _ / | | | | | | | | | | | | | | || | | | . `|
| | | | \ \ | | __ | | | __ | | | __ | | | ____ | | _ | || | __ | | | \ |
| _ | | _ | \ _ \\ ____ / | _____ / \ ____ / \ _____ | | _ | | _____ \ ____ / | _ | \ _ |


 __ __ _____ _ _ _____ _ _ ______
| \ / | / \ / ____ | | | | _ _ | \ | | ____ |
| \ / | / \ | | | | __ | | | | | \ | | | __
| | \ / | | / / \ \ | | | __ | | | | . `| __ |
| | | | / ____ \ | ____ | | | | _ | | _ | | \ | | ____
| _ | | _ / _ / \ _ \ _____ | _ | | _ | _____ | _ | \ _ | ______ |

Böyle bir uyarı üretebilirsin bu web sitesi ya da figlet  Komut.

figlet

Nicholas Smith'in yorumlarda önerdiği gibi, bazı ejderhalarla veya diğer hayvanlarla cowsay Komut.

dragon cowsay

/ Etc / motd dosyasını kullanmak yerine, cowsay veya figlet içinde .profile dosya.


135
2017-10-19 18:36



Ooh bunu sevdim! - Sionide21
Eğer bir komut yazmış olsaydın, artık görmeyeceksin. - Nils
Doğru, bu kırmızı istemi kullanışlı olsa da. - Kenny Rasschaert
Windows sunucularında, parlak pembe masaüstü rengi ve parlak sarı başlık çubukları / renk şeması kullanıyorum, böylece gerçekten çok açık. Bu renkli komut istemimizin bizim sürümüdür - Mark Henderson♦
Eklemek istiyorum ASCII ejderhaları karışıma. - Nicholas Smith


Tam olarak aynı şey değil ama bu web sitesi Geliştiricilerinizin üretim sistemlerinde değişiklik yaparken pembe bir fötr şapka giymelerini tavsiye eder. Muhtemelen onların içine sshing için benzer bir kurala sahip olabilirsiniz.

developer wearing a pink sombrero


75
2017-10-20 04:58



Haha! +1 Çünkü ben LOL'd. Ama cidden, insanlar eksik gözlüklerini giyerken onları arayabilirler, bir şapka "sürekli hatırlatma" olarak hizmet edeceğinden şüpheliyim. Ayrıca hangi pencereyi hatırlamanıza yardımcı olacak hiçbir şey yapmıyor. - Felix Dombek
Evet, sürecinizi şöyle değiştirmelisiniz: 1) Üretimi düzenleme isteğini belirtin. 2) Sombrero'yu çıkar ve diğer tüm pencereleri kapat. 3) Herkes izliyorken üretim yapmak. 4) Oturumu kapatın ve sombrero çıkarın. - Aric TenEyck
"2) Sombrero'yu çıkar ve diğer tüm pencereleri kapat" Bu benim şirketimde işe yaramayacak, çünkü tüm SOP'larımızın 2. adımı. Adım 1 elbette "ışıkları aç", çünkü pencereler kapalıyken, bu ofiste oldukça karanlık olabilir. - Parthian Shot


Kullandığım en büyük ürün, prod sistemlerinin, test / dev örneklerinden açıkça farklı olarak adlandırıldığı ayrı bir adlandırma şemasıdır. Bu, "Username @ Hostname:" stil istemini görünür şekilde farklı kılar. Ve belli ki, sadece farklı sözcüklerden çok, farklı formatlardan daha çok demek istiyorum:

Örnek: PRD-WEB001 vs DEVEL-BOB-WEB001

Bunun için birkaç şey var:

  • Fazladan hipotlu blok, onu bir-iki-yerine üçlü bir set yapar.
  • Setin ilki farklı bir uzunluktur.
  • Adların toplam uzunluğu oldukça farklıdır, bu da komut satırı aralığını birbirinden ve penceredeki diğer metinlerden farklı kılar.

Ve en iyisi, Oops hatalarını önlemek için üretim için özel terminal yapılandırmaları gerektirmez.

Benim tecrübemde, nerede olduğunuzu sürekli hatırlatan bir şey istiyorsun. Hangi pencere olduğunu unutuncaya kadar bilmeceler gibi giriş yöntemleri yaklaşık 10 saniye boyunca iyidir. Tek gereken bir şey yapmak ls uğursuz oturum açma-banner'ı gözden kaçırmak için yanlış dizinde, bir şey googling ederken terminal penceresini bir tarayıcı penceresi altında gömün, yanlış pencereye geri alt-tab ve kargaşa ortaya çıkar. Oldukça farklı bir komut istemi gibi bazı sabit görsel işaretlere sahip olmak en iyisidir.


50
2017-10-19 18:33



Bu, temel sistemler için gerçekten iyi çalışır, ama bir dev / * 'yi prod- *' a çevirir değiştirmez, devlerin inandırıcılığının yarısı kadar inandırıcı ve inatçı (daha önce kaç kez yapmış olursanız olun) ve bazen Sistemin kendisi, yapılandırma dosyalarındaki eski adlara yapılan tüm sayısız referansları düzelene kadar, yarı çalışma boyunca hareket eder. Özellikle tescilli yazılımlar yüklü ve DNS takma adları sadece çok yardımcı oluyor. Daha da kötüsü, pencereleri değiştirirken istemin tamamen unutulması kolaydır. - SilverbackNet
Dev'lerin, dev / test / aşamalandırma / üretim boyunca çalışan ayarlar oluşturması gerekir (bu benim yaptığım şeydir, ancak başka bir hikaye). Bash için bir 'kırmızı istemi' için (göründüğünden daha zor), cevabımda bkz. serverfault.com/a/479718/79266 - RichVel


Aklınızda bulundurmanız gereken bir şey, bunun sadece oturum açma saatinde değil, kalıcı bir hatırlatıcı olması gerektiğidir. Çok sık, birileri aynı anda farklı sekmelerde çalışan birkaç kabuk içerir ve bunlar arasında hareket eder. Bazıları dev olacak, bazı üretim. Yani bir komut çalıştırırken, o noktada bir göstergeye sahip olmanız gerekir. Bu yüzden, özel bir komut istemi, benim tecrübemde, değiştirilmiş bir başlık / sekme çubuğu ile doğru pencereyi / sekmeyi kolayca bulmak için hoş bir tamamlayıcı olan en iyi yöntemdir.

Bu yüzden, istemciniz için kullanıcı için benzer bir davranışı (ayrıcalıklı ve karşılaştırılamaz ayrıcalıklı) ile renkli bir istemi (açık seçik olarak kırmızı) ve ana bilgisayar adı için tüm büyük harfleri olmasını öneriyorum. Bazı örnekler:

colored prompts example

Genellikle gibi bir şey

set prompt =  "%{\033[1;44m%}`whoami`@`hostname -s`#%{\033[0m%} "` 

Kabuk başlangıç ​​dosyasında. Bu mavi için. Değiştirin 44 ile 41 köknar kırmızı ve 42 yeşil için. Diğer renkler ve vahşi desenler de mevcut.


38
2017-10-19 21:26



Bash için bir 'kırmızı istemi' için (göründüğünden daha zor), cevabımda bkz. serverfault.com/a/479718/79266- Ayrıca git şube, kesilmiş geçerli dizini, vb gösterir. - RichVel


Bunlar benim önerim:

1) Üretim ortamında çoğu komutun (rm, chown, chmod, /etc/init.d/*) sudo erişimi gerektirdiğinden emin olun.

2) Kullanıcının bir Prod sunucusunda olduğunu göstermek için PS1 / PS2 kullanın

bash-3.2$  export PS1="[\u@\h \W]\$ "

Bu komut istemini

[sridhar@prodappserver901 conf]$

3) Macun / SSH istemcileri kullanıyorsanız, Üretim sunucularını sürekli kılmak için her zaman benzersiz Arkaplan rengi / profili ayarlayabilirsiniz.


14
2017-10-19 18:50



# 1 ilginç bir fikir ama pratik değildir çünkü betik kullanıcıları olarak çalışan betikler rm, chmod vb. - Zan Lynx


Sadece ikinci ve üçüncü fikirlerin ilk bağlantı sırasında yardımcı olduğunu düşünün, ancak birden fazla terminalin açılıp diğerine geçtiğinde hiçbir değeri yoktur. sysadmin1138'in isimlendirmeyi kullanma fikri, uygulanabileceği zaman iyidir, ancak mümkün olmadığı durumlarda bolluk vardır.

Gerçekten değerli bulduğum tek şey renkli bir sorudur. Dev / test için yeşil, üretimi için kırmızı ve DMZ'deki makineler için maviyi severim. Bu şekilde, aynı makinede (farklı ağlarda), örneğin yedek bir makine hazırlarken iki makinem olsa bile, hangisini olduğumu kolayca anlatabilirim.


13
2017-10-19 21:16





Kırmızı / özel komut istemi iyidir. Başka bir şey, TMOUT değişkenini kullanan makinelerde daha hızlı bir otomatik oturum kapatma olabilir. Çok sayıda pencere açmışsanız, üretim daha hızlı ilerleyecektir.

Bu farklı bir davranışa yol açmalıdır:

  1. Geliştirmek
  2. Ölçek
  3. Değişikliklerinizi hazırlama sunucusuna yapın
  4. Sadece o zaman prodüksiyona hızlı bir yol çizin ve orada konuşlandırın (tam olarak evreleme sunucusunda yaptığınız gibi)

11
2017-10-19 19:06





Düz kök hesabı olan bir üretim makinesinde çalışmak asla iyi bir fikir değildir.

Tam sudo izinlerine sahip bir hesabınız olsun. Sudo oturumunu kaydetmeye izin vermiyor. Yasaklamak sudo su. Bunun için ayrı bir şifre kullanın (dev makineniz için değil). Muhtemelen, komutun yürütülmesinden önce (takma ad ile) kabuğun üretim kimliği hakkında bilgi vermek için skeğiştir.

Kazayla ilgili hataları oldukça zor hale getirecektir. Ve kırmızı istemi asla acıtmaz.


8
2017-10-20 02:44



ve "sudo su" ile "sudo -i" ya da en azından "sudo su -" demek istediniz, değil mi? - Sparr
Oha! bu Sparr! Küçük dünya :) - Sionide21
İnsanların kök kabuğundan çıkmasını önlemek imkansız. (sudo bash). Herhangi bir 'kara liste' kurulumundan bir kök kabuk alabilirsiniz. (Dikkatli olursanız, beyaz liste kurulumu ile durdurabilirsiniz, ancak genellikle garanti edilmez.) - user606723
Kök kabuğa erişimin engellenmesi engellenmemelidir - insanların sadece bilinçaltında kullanabilmeleri için çok yaygın bir şekilde kullanılmaları, herhangi bir ilgi gösterilmeden. - Mihails Strasuns