per lolk bloghoved

Står der et vindue på klem til hackerne i dit Linux-miljø?

Før i tiden holdt hackerne hånden over Linux-installationer. Der var nemlig ingen prestige i at hacke dem, for de blev primært brugt af ”the good guys”, og ikke de store ”corporate guys”. Sådan hænger det ikke sammen i dag. Linux er ikke længere forbeholdt de såkaldte ”good guys”, men ses rundt om i alle typer virksomheder, og det betyder, at også Linux-servere er blevet mål for hackeraktiviteter.

Det handler ikke længere kun om prestige

Ud over at Linux er blevet hvermandseje, har motiverne for hacking ændret sig. I dag handler det ikke (kun) om at vise, hvor dygtig eller snedig man er. Hacking er blevet en kynisk industri, hvor de internetkriminelle skal skaffe data så hurtigt som muligt. Det betyder, at hackerne gerne springer ind, der hvor der står et vindue på klem, og det gør der ofte i miljøer, hvor Linux bliver nedprioriteret.

Så har vi forresten også lidt Linux …

Når man ikke har valgt Linux som standardplatform, men alligevel får en applikation leveret, som skal køre på Linux, ender det ofte med, at installationerne bliver behandlet sådan lidt ”nå ja, og så har vi forresten også lidt Linux”. Det er ofte de Linux-servere, der er i dårlig sikkerhedsmæssig stand!

Når platformen bliver presset lidt ned over hovedet på én, og den måske ikke helt passer sammen med eksempelvis en Microsoft-strategi, ser jeg desværre ofte, at der slet ikke bliver taget ansvar for drift og sikkerhed. Og når platformen ikke bliver behandlet på samme måde som den primære platform (som sikkert bliver puslet om hver dag) er der langt flere måder, hackerne kan komme ind på.

Det er jo ikke, fordi virksomheder generelt er ligeglade med sikkerhed

De fleste virksomheder har helt styr på sikkerheden, når det gælder deres Microsoft-miljøer. Men dem har de selvfølgelig også arbejdet med igennem en årrække. Du får desuden rigtig meget sikkerhed foræret hos Microsoft, både i form af sikkerhedspatches og databaser over kendte certifikater. Der findes også sikkerhedspatches til Linux, men hvis de ikke bliver hentet, hjælper de jo ikke så meget.

Luk sikkerhedshullerne, før du får besøg!

Det er besynderligt, at de her problemer overhovedet er derude, for det er faktisk relativt nemt at lukke sikkerhedshullerne. Hvis du bare har procedurerne på plads, i forhold til hvordan du tilføjer sikkerhedspatches, er systemet ikke længere så sårbart. Der findes oven i købet management-værktøjer som Red Hat og Suse Manager, som automatisk sørger for at vedligeholde dine Linux-sikkerhedspatches og/eller giver det nødvendige overblik over sikkerhedssituationen på serverne. Så egentlig er det bare om at komme i gang, for det kan overhovedet ikke betale sig at lade være med at passe godt på alle serverne – også dem, der gemmer sig i en lidt overset niche og lukker fremmede ind ad bagvejen.

Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ove Larsen

den 'gamle' white hackers against black hackers er fortid og duer ikke i en verden efter Snowden.

Vi ved ikke hvem det er der prøver at dumpe malware i vores systemer.
Vi ved ikke om det er nogle af de der 3 bogstavs agenturer eller deres lakajer af private kontrakt virksomheder - eller det er almindelige kriminelle.

Som vi så med Stuxnet spredte den sig til nogle private virksomheder og det har kostet disse virksomheder millioner af $ at få ryddet op. Samtidig har vi set at nogle af de der 3 bogstavs agenturer med deres program BullRun har forsøgt at snyde og bevidst svække internettets sikkerheds standarder. Og det påvirker også Nix verdenens infrastruktur.

Hvordan ser sikkerheds situationen så ud efter Snowden - i Nix verdenen. Ja, det er vi først ved at få et billede af og de første tiltag er begyndt at komme. BSD er igang og rigtigt mange andre er begyndt at sikre deres crypto og infrastruktur med stærkere crypto og længere nøgler.

Men da vi ikke kender al Snowden materialet endnu - kender vi heller ikke omfanget af hvad de der 3 bogstavs agenturer har puslet med.
I den sammenhæng virker almindelige kriminelle jo nærmest banale og forudsigelige i deres angreb.

Men en ting kan vi være sikker på, nemlig at disse 3 bogstavs agenturer har militariseret vores allesammens internet og lavet betydelig skade mod den sikkerhed vi alle troede vi havde - 'på nettet'.

  • 20
  • 0
Per Lolk

Det er taget ud fra min erfaring med mere en 350 kunder. De virksomheder jeg møder i mit job, har ofte en klar strategi for, hvordan de håndterer sikkerheden i Microsoft-miljøer. Der er selvfølgelig nogen, der halter bag efter, og hvor der klart er plads til forbedringer, men det er slet ikke i samme grad som med Linux-miljøer.

  • 4
  • 9
Josef Assad

Ja altså, at have en klar strategi for sikkerhed i et Microsoft miljø betyder på ingen måde at de i praksis har styr på sikkerheden. Jeg går jo ud fra, at "styr på sikkerheden" betyder "styr på sikkerheden" og ikke "kan bestå en ISO certificering".

Jeg vil ellers lige sige at jeg er enig i, at Microsoft tunge virksomheder generelt mangler overblik over sikkerheden i de få Linux maskiner de har, men på Microsoft siden kan det være de har "strategisk overblik" over sikkerheden men alligevel i praksis ikke er særlig godt sikret.

Nu et lille regnestykke: 350 kunder er jo vildt mange at have indblik i hvad angår digital sikkerhed, så jeg antager at du har 15 års erfaring (du ser jo ung ud!) og i de 15 år har brugt 100% af tiden på at gennemføre sikkerhedsvurderinger:

15 år * 220 arbejdsdage om året / 350 kunder = 9,4 timer per kunde til at danne et retvisende overblik over kundens sikkerhed.

Det kan godt være det bare er mig der lidt under produktivitetsgennemsnittet men 9,4 timer er i hvert fald ikke i nærheden af at være nok for mig personligt at kunne lave en sikkerhedsvurdering der efter mine standarder beskriver virksomhedens reele sårbarhed overfor elektronisk angreb. :)

Jeg tror du har ret i, at der er et utroligt ringe Linux sikkerhedsniveau i dansk erhverv, men jeg tror også at Microsoft sikkerheden er stærkt overvurderet.

  • 9
  • 0
Josef Assad

Yes det er 100% korrekt. :) Beklager.

Det siger jo noget om min produktivitet at 9.4 dage alligevel er for kort tid for mig personligt at vurdere sikkerheden, med den antagelse at kundens it portefølje er den mindste smule kompleks.

Nu lidt anekdotisk erfaring fra min side med et sample size på under 5% at dit; jeg har set de virksomheder du beskriver, der har dårlig styr på Linux sikkerheden. I rigtig mange tilfælde har der siddet en network admin som har gemt Linux maskinen bag en rimelig tung firewall i anerkendelse af, at de ikke har nogen styr på maskinens sikkerhed.

Så er der spørgsmålet om hvad udgør en større trussel: en upatchet Linux maskine der sidder bag en velkonfigureret firewall, eller en patchet Windows server der lytter over for det store internet på poort 25, 80, 443, ol. :)

  • 4
  • 0
Gert Madsen
  • 1
  • 1
Hans Schou

Før i tiden holdt hackerne hånden over Linux-installationer.

Hvornår var "før i tiden"?

Jeg mindes vi i 1996 havde rigeligt bøvl med at have en Linux-server for os selv. Det var helt klart noget lyssky fyren havde gang i, så han måtte ud. Med alle de muligheder der er for at åbne for ekstra adgange, var der ikke andet at gøre end en reinstallation.

Den gang var det vigtigt at holde sendmail opdateret, for det var en evig kilde til problemer. Så kom exim, qmail og postfix og løste problemet.

En kedelig ting ved systemopdateringer, er at man nogle gange bliver nødt til at reboote. Det var så ikke det store problem i 1997 med Ping of Death, for hvis ikke man opdaterede og rebootede, så var der nogle andre der gav en et ping, og så rebootede maskinen på et tilfældigt tidspunkt. Der er fejl alle steder, så der er ikke andet at gøre end at opdatere hele tiden.

  • 5
  • 0
Helge Svendsen

Der er selvfølgelig nogen, der halter bag efter, og hvor der klart er plads til forbedringer, men det er slet ikke i samme grad som med Linux-miljøer.

Fordi det ikke er nødvendigt at komme frem til en selv fremstillet sikkerheds / patchnings metodik.

De fleste adopterer blot direkte de frameworks og virkemåde, der allerede er indbygget i deres valgte linux distro til opdatering af kernel, binære og userland.

Apt,yum, rpm og så videre.

  • 3
  • 0
Kristian Larsen

At sige at man har en "Microsoft Strategi" er ikke en strategi som slutkunde - som forhandler mv. kan det godt være det, men som slutkunde/forbruger er det det samme som at sige man ikke har en strategi og ikke aner hvad en strategi er - i produkt valgs sammenhæng kan Microsoft produkter (som i mange tilfælde kan være gode eller endog det bedste valg) et taktisk eller operationelt valg - det kan kun blive et strategisk valg for en forhandler.

  • 4
  • 0
Jesper Ravn

Ja altså, at have en klar strategi for sikkerhed i et Microsoft miljø betyder på ingen måde at de i praksis har styr på sikkerheden. Jeg går jo ud fra, at "styr på sikkerheden" betyder "styr på sikkerheden" og ikke "kan bestå en ISO certificering".

Josef, hvordan kan du udtale dig om det, når du ikke selv arbejder med Microsoft infrastruktur?
Angående ISO certificering, ja så kan de bruges som generelle retningslinjer. Det vigtigste er dog, at de danske virksomheder forbliver produktive og konkurrencedygtige.
For mere info omkring de nye sikkerhedstiltag fra Microsoft, se nedenstående links. Prøv at læse dem. Du vil få det rigtig godt bagefter.

Enhanced Protected Mode on desktop IE
http://msdn.microsoft.com/en-us/library/ie/dn265025(v=vs.85).aspx

Protecting customer data from government snooping
http://blogs.technet.com/b/microsoft_blog/archive/2013/12/04/protecting-...

Microsoft Bounty Programs
http://technet.microsoft.com/en-US/security/dn425036

  • 0
  • 7
Michael Hansen

Hos os er vores største problem leverandører af Linux appliances, der nægter at give os adgang, vi har fint styr på linux installationer vi selv har sat op, og har adgang til.

Hovedproblemet er nogle længere oppe end IT har besluttet at vælge en bestemt leverandør (et Svensk firma) af nogle appliances (VMs), så vi står lidt i en catch 22 hvad sikkherheds opdateringer angår. (ud over alle de andre issues der er), og de er ikke reelt interesseret i at røre ved dem andet end når de engang årligt releaser en ny "version".

De samme VMs står hver og æder ca. 10-15K IOPS fra vores SAN 24/7, ingen har en ide hvad de reelt laver med alt den disk aktivetet, det problem de er købt for at løse er ikke disk heavy stuff, leverandøren nægter det at det er pga swapping.

Vores eneste løsning, var reelt at isolere dem så meget som muligt rent netværks mæssigt (deres eget dmz).

  • 1
  • 0
Claus Jacobsen

Damn Michael - Det var f.... en belastning der er til at tage og føle på. - det svarer i et standard HDD baseret San til en små 100-200 Diske!! Bare for de VM's.

Men hvis man vil have have en hærdet Linux distro - kan man så ikke få fat i den der kinesiske udgave? Red Flag linux? :) den burde vist være hærdet ganske kraftigt netop for at undgå spionage fra amerikanerne. Så burde man have både livrem og seler hvis man så også har nogenlunde kontrol over de applikationer man kører på dem. :)

  • 1
  • 1
Søren Mikkelsen

Jeg vil påstå at vi ved alt for lidt om de systemer vi bruger, og med så lukkede systemer som eks Microsoft og Apple "pryder boden med" har vi slet ingen sikkerhed for hvem der laver hvad på vores systemer. Vi ved med sikkerhed at ville eks NSA have en bagdør på et af disse ville de få det, og det betyder så at de allerede har det, og det betyder så at det er længe siden man kunne bruge den slags lukkede kode til noget som helst sikkert, det er længe siden vi alle skulle være begyndt at bruge ren open source

  • 8
  • 2
Søren Mikkelsen

Michael:

Så i har simpelthend et SAN der konstant arbejder på noget i ikke ved hvad er og det køre stadig, jeg håber godt nok de er vigtige eller kunden de tilhøre eller whatever.

Meeeennn nu i alligevel giver resourcer ud kunne i vel nok lige smide en bitcoin harvester eller seti@home ind på det SAN der også :D

  • 1
  • 1
Per Lolk

Godt nytår og tak for de mange indlæg her over ferien.

@Kristian Larsen - mange virksomheder og offentlige organisationer har faktisk indskrevet i deres it-strategi, at de primært vil basere den på Microsofts produkter.

@Josef Assad - 9,5 timer… bare for lige at få tingene i det rette perspektiv, så er vi 32 medarbejdere hos Komplex it. Så når jeg skriver ”min erfaring” er det baseret på summen af vores medarbejderes erfaring, og for en god orden skyld skal jeg så tilføje, at vi råder over flere it-specialister, der kompetencemæssigt er solidt funderet på både Microsoft Windows-, Linux- og Unix-operativsystemer. Vi har faktisk ved et par lejligheder haft fornøjelsen af at assistere KMD med Linux-opgaver. Så Gert Madsen har fuldstændig ret i sin antagelse :-)

@Jesper Ravn – Jeg er enig i, at mange it-afdelinger måske ikke som sådan har et behov for at få automatiseret deres processer, men når jeg skriver, som jeg gør, er det fordi, jeg oplever, at der bliver lavet processer, automatiserede processer m.v., når det drejer sig om Microsoft-miljøer, men det samme er bare ikke altid tilfældet med Linux-serverne. Måske fordi Linux-serverne er kommet snigende ind i installationen en efter en, og så er det lige pludselig blevet til en 5 – 10 stykker.

@Michael Hansen - ja det er jo et godt eksempel på, hvordan man kan miste kontrollen over sin egen installation. Jeg antager, at I allerede har prøvet at tale med den pågældende leverandør om en anden løsning? Nu ved jeg ikke, hvilken slags Linux det drejer sig om, men måske ville de gå med til, at I bruger en automatiseret løsning til opdateringer f.eks. Suse Manager.

  • 0
  • 0
Kristian Larsen

Hej Per,

Jeg er bekendt med fænomenet, men det ændrer ikke på at det ikke er et strategisk valg - det er at gøre IT til andet og mere end det er at gøre IT produkt valg strategiske.

Det svarer til at sige at her bruger vi kun bosch hvidevarer.

Det er ikke et strategisk valg og man kan ikke have en "microsoft" strategi med mindre man er forhandler.

  • 2
  • 1
Per Lolk

Hej Kristian,

jeg kan godt følge din tankegang, og rent teoretisk har du nok også ret. Men det ændrer jo ikke på, at jeg mere end 50 gange om året hører ordene “her hos os har vi valgt en Microsoft strategi” fra en it-ansvarligs mund. Så der er nok tale om et af de berømte tilfælde, hvor der så er forskel på teori og praksis.

  • 0
  • 1
Christian Nobel

Så der er nok tale om et af de berømte tilfælde, hvor der så er forskel på teori og praksis.

Nej der er forskel på at de såkaldte "it-ansvarlige" (imo burde der være indsat et u!) ikke fatter forskellen mellem taktik og strategi.

Men det betyder ikke at man bare skal acceptere det som værende korrekt på samme sørgelige måde som Dansk Sprognævn accepterer den forkerte brug af udtrykket bjørnetjeneste!

  • 2
  • 1
Jesper Ravn

Kristian, en virksomhed har en IT-strategi, som består af en række delmål.
Den overordnede strategi kunne så være, at gennemføre disse strategiske delmål og løbende optimere dem, så de understøtter virksomhedens forretningsbehov.
Disse delmål kan være, at basere sin Infrastruktur på Microsoft produkter og services, som i dag udgør en sammenhængende platform.
At du ikke kan se det som en Microsoft-strategi, kan da ikke være Pers problem.

  • 0
  • 1
Henrik Kramshøj Blogger

Før i tiden holdt hackerne hånden over Linux-installationer.

Dette er en myte, og har været det både med om Mac blev hacket, og nu hvor du vender den rundt og peger mod Linux. Hacking er ikke udelukkende eller direkte i forhold til populariteten af operativsystemerne. Det eneste du ken udlede er at der NU er mere salg i exploits til populære platforme - men det betyder ikke at det er de eneste platforme der udvikles exploits og malware til. Der er ubegrænsede resourcer til hacking og alle platforme er under angreb, hvor resultaterne efterfølgende distribueres på internet. Tænk teenagere som har al den tid i verden og fokus til at hacke på hvad de føler for, og som løbende erstattes med nye teenagere efterhånden som nogle vokser op. Alting er under angreb, fakta, punktum.

Dernæst er hackere generelt ligeglad med hvad platform der ligger bagved en hacket server, hvis de kan starte scripts som scanner og dernæst udnytter servere på internet.

Når platformen bliver presset lidt ned over hovedet på én, og den måske ikke helt passer sammen med eksempelvis en Microsoft-strategi, ser jeg desværre ofte, at der slet ikke bliver taget ansvar for drift og sikkerhed.

Presset ned over?! Eneste steder jeg ser Linux blive presset ind er som styring til eksempelvis store SAN, hvor det er en virtual maskine - som for så vidt kunne være Minix - da man ikke må rode med den som en almindelig Linux. >95% andre steder hvor Linux er "presset ind" er det formentlig sket med guerillametoder og her kan problemet være at den som satte det op oprindeligt er smuttet, hvilket i og for sig er et alvorligt problem - at systemer ingen ejer har.

Kan du forklare mere i hvilke situationer en Linux server presses ind?

Jeg synes ikke dit blogindlæg bærer præg af at være gennemarbejdet og baseret på virkeligheden - altså den jeg møder når jeg tester blandede miljøer med Linux/Unix og Microsoft Windows (med flere) i Danske virksomheder.

Det man møder er, alle er typisk sårbare og har nogle systemer der skal ses efter. De steder hvor man har bedst styr på sikkerheden er der hvor man har et overblik over systemerne, ved hvilke der overhovedet findes. Når man har drift af systemer og ønsker sikkerhed er der kun een vej frem og det er at kende den teknologi man bruger, det betyder at du skal kende Windows og de tilhørende værktøjer godt i Microsoft Windows miljøer, og du skal tilsvarende kende Linux godt i Linux miljøerne - det tror jeg vi er enige om, men det kommer ikke rigtigt frem i dit indlæg.

Jeg er ked af at bashe dit indlæg, men når du snakker om Red Hat og Suse Manager til at styre Linux infrastrukturer fremfor at pege på mere udbredte teknologier som Puppet så er der lidt lang vej til tør grund. Så kort fortalt, hvis du i Microsoft miljøerne udelukkende bruger Microsoft værktøjer så er din virksomhed ikke hverken moden eller effektiv, for MS dækker ikke hele driften (og sikkerheden) tilstrækkeligt. Tilsvarende er du helt på herrens mark hvis du bruger Red Hat og kun bruger Red Hat managementværkøjer!

Skynd dig at prøv igen, det er altid rart med flere indlæg om sikkerhed :-)

source: vi drifter flere 1000 servere med blandede operativystemer dækkende fra Windows 2xxx over Debian, Centos, Red Hat, Ubuntu og vi laver sikkerhedstest, aktive pentest af danske og udenlandske virksomheder.

  • 4
  • 0
Jesper Ravn

De steder hvor man har bedst styr på sikkerheden er der hvor man har et overblik over systemerne, ved hvilke der overhovedet findes. Når man har drift af systemer og ønsker sikkerhed er der kun een vej frem og det er at kende den teknologi man bruger, det betyder at du skal kende Windows og de tilhørende værktøjer godt i Microsoft Windows miljøer, og du skal tilsvarende kende Linux godt i Linux miljøerne

Henrik, her er jeg fuldstændig enig med dig.

Så kort fortalt, hvis du i Microsoft miljøerne udelukkende bruger Microsoft værktøjer så er din virksomhed ikke hverken moden eller effektiv, for MS dækker ikke hele driften (og sikkerheden) tilstrækkeligt.

Det udsagn kan så diskuteres. Min erfaring siger, at du er meget mere effektiv, hvis du kører i et homogent IT-miljø med få leverandører og support kanaler, samtidig med, at du har backend-systemer der passer sammen.
Her tænker jeg f.eks. på deployment, overvågning, patch management, backup, samt at have fleksibiliteten til at forny, omstille og skalere (cloud services og virtualisering) på kort sigt.
En Microsoft infrastruktur dækker i dag alle disse områder, som kan administreres af forholdsvis få personer i en drift-afdeling.
Angående sikkerhed, så er det igen min erfaring, at hvis du har styr på din patch management, samt en fornuftig lockdown af dine klienter, så er Microsoft et rigtig sikker valg og platform.

  • 1
  • 2
Henrik Kramshøj Blogger

En Microsoft infrastruktur dækker i dag alle disse områder, som kan administreres af forholdsvis få personer i en drift-afdeling.

Jeg er ikke enig, og produkter som eksempelvis Nexpose og Metasploit fra Rapid7 gør langt mere end de eksisterende fra MS. Jeg er desværre ofte ude for at man skal have mere blod i rapporterne før der sker ændringer, og her giver en Nexpose rapport med tydelig angivelse af hvad der kan exploites og præcist hvad der sker et indtryk. Ville ønske man kunne klare sig med oversigter der siger at "denne server mangler 10 kritiske opdateringer fra de sidste to patch releases fra MS"

Så MS tools er "OK" og det er en god start blot at få dem på plads, hvad mange heller ikke har, men for at komme i top og få mig til at sige din sikkerhed er i top, så skal du gøre mere.

BTW så er det forøvrigt efter min mening helt uhørt at sige man har en Cisco, Microsoft, Linux eller whatever strategi og så forsøge med næb og kløer at fastholde en ide om at man kan dække sine behov fra eeeen leverandør. Det giver i bedste fald inferiøre produkter på dele af ens infrastruktur. Det bedste resultat kommer ved at følge branchen og med jævne mellemrum evaluere hvad der er den bedste løsning, uden at man af den grund skal have 10 firewallproducenter og 17 leverandører af hardware til servere. Microsoft og Linux er for mig at se idag i høj grad komplementerende og ikke konkurrerende.

  • 2
  • 1
Christian Nobel

BTW så er det forøvrigt efter min mening helt uhørt at sige man har en Cisco, Microsoft, Linux eller whatever strategi og så forsøge med næb og kløer at fastholde en ide om at man kan dække sine behov fra eeeen leverandør.

Helt enig - hvor tit hører man en vognmandsforretning der udtaler at de har en Ferrari strategi?

Det drejer sig om at vælge det værktøj der er bedst til at løse en given opgave - ikke at dreje opgaven hen efter hvilket værktøj man har (det kan gøres til en nødløsning, men så taler vi lige præcis taktik og ikke strategi).

  • 2
  • 0
Marc Munk

@Jesper

Hvordan kan man dække sig ind med et rent ms miljø når der findes produkter, som de fleste vil mene er et skridt op af sikkerhedsstigen, som ikke findes på ms platforme..?

Nessus eller værktøjerne fra rapid7 som Henrik bruger (?) findes ikke til ms men de er nødvendige i dag. Det samme gælder en siem løsning. Igen ikke noget ms kan levere. Så hvordan kan man nøjes med microsoft?

  • 2
  • 0
Jesper Ravn

Det drejer sig om at vælge det værktøj der er bedst til at løse en given opgave

Det udsagn kunne ikke være mere forkert.
Med den strategi, mega silo-opdeler du din IT afdeling og herefter kommer alle problemerne.
Alle sidder med deres eget lille produkt/platformsområde og kan ikke se de nødvendige forandringsbehov på kort eller længere sigt. Samarbejdet sutter, fordi man ikke arbejder mod fælles mål og forstår og kan overlappe inden for hinandens områder….og sådan kunne jeg blive ved.
Nej, du vælger de systemer/løsninger der passer ind til den eksisterende infrastruktur. Bare det er godt nok og kan formidles og administreres på enkel og nem måde. Det vigtigste for en IT drift-gruppe, er kunne søsætte et system hurtigt og effektivt og herefter kunne overdrage store dele af administrationen til f.eks. support og udvikling. Herved opnår man den ønskede synergi og et godt samarbejde.

  • 0
  • 3
Christian Nobel

Det udsagn kunne ikke være mere forkert.

Det samme kan man sige om dit.

Jævnfør min analogi om vognmandsforretningen - hvis man skal følge din tankegang, så skal man med djævlens vold og magt prøve at transportere grus med en Ferrari, fordi man har valgt en Ferrari strategi, i stedet for en pragmatisk strategi, hvor man benyttede forskellige vogne efter opgave, eksempelvis Scania lastvogne til grusen, og Ferrarier til sælgerne.

Det er nok også en hel del billigere at reparere lastbilerne (hvis overhovedet nødvendigt) hvis dumperen ved et uheld er kommet til at læsse noget af gruset ud over bilen i stedet for containeren.

  • 2
  • 0
Jesper Ravn

@Christian
Ok, lad mig komme med et praktisk eksempel.
En sysadmin insisterer hårdnakket på, at man skal bibeholde og opgradere sin Notes Domino, i stedet for at skifte til Exchange/Exchange Online.

På papiret er Notes Domino en meget bedre mail server end MS Exchange. Den har et væld af features og lidt nemmere setup med hensyn til failover cluster m.m. Den kan også fungerer som applikation og database server. Så det her system er helt klart det bedste til opgaven.

Wrong, for man har forinden fastlagt at benytte MS Office, som central kontorpakke.
Hvad sker der så. Support skal bruge enorme ressourcer på at få notes klienten til at spille sammen med resten af office pakken. Allerede her kommer der en skævvridning i forhold til samarbejdet.
Alle der har prøvet at skulle supportere og opgradere en notes klient ved hvad jeg taler om.
Den er uden sammenligning en supporters værste marridt. Læg dertil, hvis du også har forsøgt at køre den i et RDS/Citrix miljø.

  • 0
  • 3
Marc Munk

Denne opgave kan man jo med fordel udlicitere til et pentest firma, som har den nødvendige viden omkring brugen af disse speciel tools. Det er mit indtryk, at mange større virksomheder benytte denne service i dag.

Altså kan man i bund og grund ikke klare sig med et rent ms miljø... Det bliver også potentielt ret dyrt at udlicetere alle de scanninger der skal laves hver uge. Vi taler ifølge den sidste best practice jeg hørte om 3 gange pr uge eller hver 72. time. Og det både på ydersiden og indersiden.

  • 2
  • 0
Per Lolk

@Kim Ravn - det er lige præcis sådan, jeg mener, det hænger sammen i forhold til min brug af ordet Microsoft-strategi.

Formålet med blogindlægget var heller ikke at tale dårligt om Linux (for det er bestemt ikke noget galt med Linux), men blot at rette opmærksomheden på, at hvis man har Linux-servere, så skal de også vedligeholdes. Grunden til at jeg bringer emnet på bane er, at hos rigtig mange af de organisationer, der har mindre end 5 % Linux-servere, oplever vi tit, at der er rigtig godt styr på de 95 %, der kører Windows (så er har jeg vidst ikke trådt ”strategi-eksperterne” over tæerne) fordi det er her, organisationens kompetence ligger, men at det til tider halter lidt med Linux-delen og rent sikkerhedsmæssigt er det så den, der bliver det svageste led i kæden.

Med hensyn til Linux-servere der bliver ”presset ind”, er det min erfaring, at mange har valgt, at de vil koncentrere deres kompetence om f.eks. Windows-server operativsystemet. Den dag de får brug for en applikation, der ikke er supporteret på Windows-operativsystemet, ender de så med at få Linux-servere alligevel.

Jeg kan se, at der i det hele taget er mange, der har en del at tilføje på forskellige leder og kanter, og jeg er glad for, at det skaber noget debat. Samtidig må jeg sige, at jeg er ked at måtte skuffe Henrik Kramshøj, men ambitionen med mit blogindlæg var ikke at komme med en uudtømmelig liste over værktøjer, men mere at skabe opmærksomhed om problemet. Jeg valgte blot nogle eksempler på værktøjer, vi ofte møder hos kunderne, men det må ikke opfattes som en uudtømmelig liste. Jeg kan se, der kommet mange gode bud på forskellige værktøjer til forskellige platforme, og også nogle der virker på tværs af operativsystemer m.m. Hvis jeg skal bidrage med et værktøj, som jeg tror mange kan have glæde af som et generelt og tværgående værktøj, er det IBM Endpoint Manager, der på en overskuelig måde håndterer inventory, patch mangement, sikkerhedsindstillinger, antivirus mm. på både pc’er, mobile enheder og servere.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize