У нас есть много серверов (под управлением Windows и Ubuntu), а также несколько маршрутизаторов Cisco и Juniper, а также коммутаторы HP Procurve. У нас есть несколько системных администраторов, которые любят вносить изменения в конфигурации, никому не сообщая и никуда не документируя. Представляете, как это может взорваться вам в лицо.
Есть ли какое-либо программное обеспечение, которое может регистрировать и проверять изменения конфигурации на устройствах Windows, Linux и Cisco? Или, если нет программного обеспечения, может быть, какие-то политики, которые могут эффективно остановить такое поведение?
Позвольте мне отступить от некоторых необоснованных комментариев по поводу очевидного отсутствия контроля в вашей среде. Мои извинения за ситуацию; Попробуй управлять этими ковбоями :)
Определенно посмотри на Прогорклый для ваших сетевых нужд. Вы можете отслеживать изменения в конфигурациях. Дополнительная интеграция позволит вам автоматизировать резервное копирование при обнаружении изменений конфигурации на основе сообщений системного журнала или уведомлений о ловушках SNMP.
Для Linux рассмотрите возможность принуждения администраторов к доступу к хостам через портал регистрации (например, переход по SSH с ForceCommand это обертывает script(1) перед подключением к целевому хосту). Почтенные инструменты, такие как Tripwire может регистрировать несоответствующие изменения, внесенные в системные файлы.
Для Windows посмотрите красивое программное обеспечение от Соблюдайте, который может осуществлять мониторинг интерактивных сеансов на уровне хоста.
Учитывая, что вы, кажется, уже подверглись некоторой критике, я настоятельно рекомендую вам развивать культуру ответственности в этом отношении («мягкий» контроль / политика). Некоторые админы действительно ведут себя как ковбои, но, конечно же, большинство понимают, что это недокументировано. необъявленные изменения приводят к проблемам. Установите рабочие окна, отключение производства, уведомления об изменениях и т. Д.
Это просто умные методы, которые они и клиенты оценят; админы, потому что они смогут легче узнать, когда они простреливают себе ногу, и клиенты, потому что они будут чувствовать себя более осведомленными о том, что происходит.
Записывать все в командной строке centos / fedora / ubuntu
Как вести подробный контрольный журнал того, что делается в ваших системах Linux
Управляйте своим пользователи системные администраторы: Как сказал Джефф, попробуйте наглядный рассказ:
На моей последней работе у нас было X тысяч пользователей на Y сотнях устройств и Z десятках сайтов. Какая-то яркая искра решила поменять конфиги на всех Y сотнях устройств и удаленно перезагрузить их, чтобы применить конфиги.
1 день спустя конфиг начал глючить. В итоге ему пришлось ездить на все объекты, чтобы перезагрузить устройства, используя последовательный кабель и ноутбук. Он усвоил урок и больше никогда этого не делал. Теперь он менеджер и следит за тем, чтобы его системные администраторы не повторяли его ошибок.
Или как угодно.
(Вышесказанное является преувеличенной версией моего собственного опыта с удаленным обновлением прошивки на коммутаторе; нам пришлось вернуть коммутатор с сайта и перепрограммировать его с помощью последовательного кабеля.)
У меня более или менее те же требования, и я быстро пришел протухший для отслеживания изменений на моих сетевых устройствах. Мне нравится простота, но сила прогорклости, я искал такой же инструмент для отслеживания изменений конфигурации на серверах Windows. Так как такого инструмента не существовало, я попробовал и создал Runwinconf
Я могу сказать, что он выполняет свою работу, уведомляя меня по почте, когда какая-то важная часть была изменена на одном из 200+ серверов Windows, за которые я отвечаю.
Надеюсь, это может быть полезно и другим людям!