Sysadm: Det mest betroede job

I Skattekommisionens afdækning af politisk korruption i Skatteministeriet, dukkede følgende citat op:

»Enig. Har rodet lidt i muligheden for at slette akter. Det kan ikke lade sig gøre af en medarbejder, men evt. af den systemansvarlige. Ser nærmere på det i morgen«

(Kilde: http://politiken.dk/politik/ECE2053141/peter-loft-ville-have-sit-navn-fj...)

Sidste uge kom NSA's respons til det faktum at Edward Snowden havde afsløret at systemadministratorer havde fri skydning i det muntre køkken:

Fyr 90% af systemadministratorene

(NSA ønskes hjertligt held og lykke med det projekt herfra. Jeg vil iagtage det med største spænding. Og pop-corn.)

Systemadministrator er stort set det mest betroede job der findes, som Pitr udtrykker det: "God, Root, what difference ?"

Det er systemadministratoren der kan alt med systemerne: Fjerne ubekvemme akter inden Folketingets Ombudsmand tager et flip, afsløre grundlovsbrud, overvåge kolleger under mistanke, læse alles email og afpresse C?O'en for affæren med hende konen ikke ved noget om.

Det er kendetegnet ved enhver formel struktur, hvad enten det er grundlæggende matematik, et samfund eller et IT-system, at på et eller andet tidspunkt bliver man nødt til at sige "Fordi, punktum!" hvis det ikke skal blive skilpadder hele vejen ned.

Derfor kan vi ikke bevise matematikken fra ende til anden, derfor sidder en stak gamle hønisser som ikke kan fyres og siger hvad loven er i USA og derfor er sysadm omnipotent.

Man kan bygge alle mulige regler, lag og partitioneringer, men på et eller andet tidspunkt ender man med at måtte stole på.

Min største success, rent akademisk set, er et obskurt paper fra SANE 2000 der hedder "Jails: Confining the omnipotent root", men helt så obskurt er det nu heller ikke, ca. 260 referencer fra andre artikler er vist nok meget hæderligt i den branche.

Men allerede dengang havde jeg for mange års sysadm-erfaring til at stræbe højere end "confining" og selv det kun for root i jails.

Jails var et stort fremskridt, større end "rigtig" virtualisering, fordi jails giver et "envejs-spejl" der gør at man sikkert kan observere hvad der sker i en virtuel maskine, uden at have brug for at stole på noget som helst i den maskines filsystem eller process-træ.

Siden da er der sket andre store fremskrift i FreeBSD, VNET, MAC, Capsicum osv.

Men alle disse softwareteknologier skubber bare en skilpadde eller to mere ind i bunken: Nederst er der altid en sysadm over de andre sysadms, som kan boote hardwaren fra en usb-stick og blæse i fløjten.

Man kan gøre sig mange betragtninger om dette forhold.

Jeg har selv bemærket en bekymrende korrelation imellem sysadms "kompensationspakke" og min subjektive vurdering skummelheden af ledelsen firmaet.
(Dette var et hint til bagmandspolitiet!)

Omvendt er det interessant at Snowden blev betalt "omtrent 1.2 mio/året" men at det ikke var nok til at købe hans ubetingende loyalitet.

Ligeledes bliver det interessant at høre om "den systemansvarlige" i Skat fjernede nogle "append-only" records, eller "kun" rettede deres titel til noget misledende og i særdeleshed om det får nogle konsekvenser, eller om "Nürnberg-forsvaret" gælder i IT-branchen.

Charles Stross har et blogindlæg om nogle sociologiske forhold, som bestemt er tankevækkende.

Og nå ja: God fornøjelse med MUS samtalen.

phk

PS: Og netop som jeg satte blogindlægget online, kom Nürnberg-forsvaret på banen i skattekommissionen:

"Ifølge Erling Andersen ville Peter Loft havde slettet dokumenterne. Det mener Erling Andersen ikke, at man kan, og han synes heller ikke, at det er en god idé. Men han indvilliger i at undersøge det, fordi »det er jo min øverste chef«."

Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Morten Fordsmand

Men alle disse softwareteknologier skubber bare en skilpadde eller to mere ind i bunken: Nederst er der altid en sysadm over de andre sysadms, som kan boote hardwaren fra en usb-stick og blæse i fløjten.

Det er nok derfor vores sysadm ikke bare kan komme i maskinstuen?

Bankerne har jo leget meget med det her gennem tiden, og selv om intet er stensikkert kan man dog komme langt med at fordele rettighederne mellem forskellige personalegrupper, og ikke mindst føre kontrol med administarationen af adgange.

  • 0
  • 0
#4 Klaus Elmquist Nielsen

Og netop som jeg satte blogindlægget online, kom Nürnberg-forsvaret på banen i skattekommissionen: [...] fordi »det er jo min øverste chef«."

En ting er at Peter ramte loftet. En anden er at man har da lov at håbe at Troels og vikaren også gør det!

(med ærbødige undskyldninger til dem der måtte mene anderledes)

  • 0
  • 0
#8 Rasmus Rask

Hvem skifter så den døde disk i jeres SAN? Eller båndet i backup robotten?

Nogen andre en sysadm's?

No problem - ordentlige servere har remote konsol, så du kan re-installere dem fra et iso-image på din laptop. Du behøver overhovedet ikke være i nærheden af maskinen.

Udfordringen/løsningen burde være den samme, som med fysisk adgang. Hvis man ønsker dette niveau af separation, skal sysadm's ikke have adgang til OOB-værktøjer, da du netop kan det samme, som med fysisk adgang.

At det så i praksis ville være meget omstændigt at arbejde med, og at i hvert fald HP's iLO konfiguration kan overrides via OS'et, er en anden snak ;-)

  • 0
  • 0
#9 Morten Fordsmand

men det er ikke nemt at stoppe folk der vil "ind"

Næh der er ikke de store muligheder for at stoppe et par beslutsomme herrer med maskinpistoler og et par kg. semtex (i hvert fald her i DK). Faktisk et af de mere morsomme scenarier hvis man kan lide at lave katastrofeøvelser.

Fidusen i dette tilfælde er bare at det ikke var gået helt stille af hvis det daværnede regime havde måtte skride til den slags øvelser, for at slette sporene af sin utidige indgriben i Helles skattesag.

Og i øvrigt så er jeg godt klar over at der findes virtuelle servere, men min bemærkning om maskinstuen henholdt sig til PHK's kommentar om en USB-nøgle. Og selvfølgelig skal adgangen til at - administre en ESX-host - gå på iLO - betjene en HMC (som sådan noget hedder på zSeries og pSeries) - eller for den sags skyld logge på det administartive interface til en managed switch. Alle sammen være belastet med logning og adgandskontrol, i det omfang som risikoen for forretningen kræver det.

  • 0
  • 0
#11 Morten Fordsmand

Og i den typiske installation er det logs som sysadm holder øje med, for at sikre sig at ingen andre kommer til maskinerne.

Tjah det har jeg nu kun oplevet i udviklingshuse, ellers har hele mit liv været et længerevarende skoleridt i kontroller, changeprocedurer, logkontrol og systemrevision. Og så er der nogen der undrer sig over at IT-drift kan være dyrt.

  • 1
  • 0
Log ind eller Opret konto for at kommentere