我们有很多服务器(运行 Windows 和 Ubuntu),以及思科和瞻博路由器以及 HP Procurve 交换机。我们有几个系统管理员喜欢更改配置而不告诉任何人或记录在任何地方。你可以想象这会给你带来多大的麻烦。
有没有软件可以记录和审核 Windows、Linux 和 Cisco 设备中的配置更改?或者如果没有软件,也许有一些策略可以有效地阻止这种行为?
答案1
让我回避一些关于您的环境明显缺乏控制的无谓评论。我对这种情况表示歉意;试着控制那些牛仔 :)
一定要看看馊满足您的网络需求。您可以监控配置的更改。额外的集成将允许您在基于 Syslog 消息或 SNMP 陷阱通知检测到配置更改时自动进行备份。
对于 Linux,请考虑强制管理员通过日志门户访问主机(例如在连接到目标主机之前使用 SSH 跳转)ForceCommand
。script(1)
绊线可以记录对系统文件所做的不适当更改。
对于 Windows,请查看观察IT,它可以对交互式会话进行基于主机的监控。
鉴于您似乎已经遭遇了一些令人不快的事件,我强烈建议您培养一种对此负责的文化(一种“软”控制/政策)。有些管理员确实表现得像牛仔,但大多数人肯定明白未经记录的、未经宣布的变更会导致问题。建立工作窗口、生产停电、变更通知等。
这只是聪明的做法,他们和客户都会感激的;对管理员来说,因为他们将能够更容易地发现自己何时犯了错误;对客户来说,他们将更加清楚发生了什么。
答案2
答案3
管理您的用户系统管理员:正如杰夫所说,尝试讲一个说明性的故事:
在我上一份工作中,我们有 X 千名用户,分布在 Y 百台设备和 Z 十几个站点上。一些聪明人决定更改所有 Y 百台设备的配置,然后远程重启设备以应用配置。
1 天后,配置开始失败。他最终不得不开车到每个站点,使用串行电缆和笔记本电脑重置设备。他吸取了教训,再也没有犯过这种错误。现在他是一名经理,他要确保他的系统管理员不会重复他的错误。
或者任何适合的东西。
(以上是我自己对交换机进行远程固件更新的经历的夸张版本;我们必须将交换机从现场带回来并使用串行电缆重新刷新它。)
答案4
我或多或少有同样的要求,很快就馊跟踪网络设备上的更改。我喜欢 rancid 的简单但功能强大,我一直在寻找同类工具来跟踪 Windows 服务器上的配置更改。由于没有这样的工具,我尝试了一下并创建了ranwinconf
我可以说,当我负责的 200 多台 Windows 服务器中的一台的某个重要部分发生修改时,它会通过邮件通知我。
希望它也能对其他人有所帮助!