Domanda:
Motivi per cui un accademico necessita dei diritti di amministratore sul computer di lavoro
dothyphendot
2016-11-21 04:04:03 UTC
view on stackexchange narkive permalink

Domande relative a questo in un contesto non specificamente accademico sono state poste altrove, in particolare Gli sviluppatori dovrebbero avere i permessi di amministratore sul proprio PC? e Dev dovrebbe essere amministratore sul proprio computer? La mia domanda si riferisce al mio lavoro come accademico presso un'università (Regno Unito).

Sono passato a utilizzare Linux al lavoro in modo da non dover avere il mio computer gestito dal servizio IT della mia università. Questo è semplicemente perché dispongono di risorse / gestite in modo inadeguato e quindi affrontare piccoli problemi richiede molto tempo. Potrei, ad esempio, dover aspettare diverse settimane prima che venga installato un software (gratuito). Ciò impone ritardi inaccettabili (per me) alla mia ricerca. Stanno ora modificando la politica dell'Università in modo tale che tutti i PC collegati alla rete siano gestiti da IT (ragionevole), sottoposti a backup (ragionevole) e i privilegi di amministratore locale siano limitati a coloro che possono dimostrare una reale necessità per loro (ragionevole, ma lo sono riluttante a tornare a non essere in grado di fare progressi a causa loro).

Sono fiducioso che in un modo o nell'altro alla fine potrò persuaderli del mio bisogno, ma vorrei evitare il ritardi, riunioni e complicazioni ciò comporterà.

Quali sono ragioni valide e indiscutibili per cui potrei aver bisogno dei diritti di amministratore locale. Attualmente sto pensando di "compilare il codice scritto dal mio coautore" ma potrei aver bisogno di qualcosa di più concreto. Non sapranno abbastanza della mia ricerca per sapere di cosa potrei effettivamente aver bisogno o meno.

Linux può essere configurato per consentire la possibilità di installare ed eseguire software come utente non privilegiato (in almeno alcuni casi anche utilizzando un sistema di gestione dei pacchetti), quindi questa necessità probabilmente non è un argomento molto forte.
Cosa c'è di sbagliato nelle ragioni nel tuo secondo paragrafo? E perché dovresti chiederci un motivo "migliore", quando non possiamo davvero determinare se questo motivo si applica alla tua situazione.
@101010111100 Buon punto. L'ho modificato per dire "buoni motivi" invece di singolo migliore. Per qualsiasi motivo, IT rifiuta di accettare che il loro supporto non sia abbastanza buono, quindi questo argomento è difficile da fare nella pratica.
@dmckee Per chiarire, non è che non penso che con un supporto adeguato non potrei cavarmela senza privilegi di amministratore, piuttosto che non voglio mettere a rischio le mie ricerche perché sono sotto-finanziate / gestite male, ecc, e quindi in realtà non offrono un'offerta adeguata
Sei autorizzato a eseguire macchine virtuali in cui disponi dei diritti di amministratore?
@CodesInChaos - a mia conoscenza non connesso alla rete.
@dmckee Penso che ti sbagli. C'è molto che puoi fare come utente non privilegiato, ma non tutto. Ad esempio: si desidera utilizzare un motore di database. Puoi scaricare la versione portatile. Ma si scopre che ha bisogno di una libreria per essere installata. Si installa questa libreria localmente, ma risulta che questa libreria necessita di un'altra libreria. Questa libreria può essere compilata solo utilizzando il compilatore C ++. Non hai questo compilatore installato. Si tenta di compilare il compilatore C ++ utilizzando il compilatore C preinstallato, ma la versione è sbagliata, quindi è necessario che l'amministratore ne installi uno più recente. Perdi molto tempo invece a fare ricerche.
Puoi connettere un PC non gestito alla rete WiFi?
@StrongBad Sì. Utilizzando Eduroam. Lo faccio con il laptop OSX (universitario) che diventerà anche "gestito". L'alternativa suppongo sia usare una macchina personale ma poi dovrei a) comprarla eb) pagare le licenze necessarie che sarebbero molto costose.
correlato ma non degno di una risposta completa: https://twitter.com/walkingrandomly/status/791559409457631232 sondaggio Twitter degli accademici. Il 79% degli intervistati aveva diritti di amministratore, il 16% non aveva diritti di amministratore e lo considerava un problema, solo il 5% non aveva i diritti di amministratore e non gli importava.
@nuoritoveri È prassi standard tra i miei colleghi impostare da zero un sistema a livello utente per evitare questi problemi. Stiamo lavorando su cluster quindi, ovviamente, non abbiamo i diritti di amministratore. Nessuna delle cose che richiediamo richiede diritti di amministratore. L'unico fastidio è che al momento non posso cambiare la mia shell di login, ma questo è solo questo: un fastidio, non un problema reale.
Hai preso in considerazione l'idea di lasciarli fare ciò che vogliono e quindi di aprire una richiesta di supporto ogni volta che hai bisogno di fare qualcosa? Segui semplicemente in modo aggressivo (ma educato) ogni richiesta fino a quando non viene completata e protesta la catena di comando se non viene eseguita in modo tempestivo. Se hai davvero bisogno dei diritti, questo è il modo migliore per dimostrarlo.
@barbecue sospetto che alla fine questa politica verrà lentamente smantellata a causa esattamente di ciò che descrivi. Ma sarebbe molto costoso per me esserne soggetto nel frattempo, e nel frattempo, visti i loro precedenti record, potrebbe volerci un po '!
Quando scrivo codice scientifico per testare i miei risultati teorici o per implementare un metodo che sto studiando, divento, a tutti gli effetti, uno sviluppatore. Pertanto entrano in gioco tutti gli argomenti della domanda StackOverflow correlata, a cui è stato risposto in modo schiacciante con "sì".
O c'è qualcosa che devi fare e non puoi fare a meno dei diritti di amministratore, nel qual caso sai di cosa si tratta. Oppure no, nel qual caso non hai bisogno dei diritti di amministratore.
@jwg In un sistema ben funzionante, certo, ma nel sistema che affronto, dove ottenere i diritti una volta che li rinuncio potrebbe richiedere più di 6 mesi (questo è quello che di recente ci voleva un altro collega con il vecchio sistema) se è possibile, è ragionevole voler evitare tutta la perdita di produttività associata a tale possibilità.
Undici risposte:
DCTLib
2016-11-21 15:34:34 UTC
view on stackexchange narkive permalink

Finora, ho riscontrato solo un motivo per aver bisogno di qualcosa di simile ai diritti di amministratore su una macchina di reparto fisso: utilizzo di software scientifico .

Quando inizi a utilizzare un nuovo software scientifico, spesso hai il suo codice sorgente e devi prima crearlo. In genere, non c'è documentazione di quali pacchetti esatti sono necessari nella distribuzione Linux (poiché questo cambia nel tempo e ci sono anche molte distribuzioni Linux). Quindi il processo è:

  1. Prova a compilare
  2. Identifica la causa dell'errore (installazione di nuovo software, aggiornamento del compilatore, ...)
  3. Risolvere la causa dell'errore (richiede diritti di amministratore
  4. Ripeti i passaggi 1-3 molte volte fino al termine.

Puoi passare al rispettivo numero successivo solo dopo risolto. Non è realistico presumere di poter fornire a un amministratore un elenco dei pacchetti richiesti in anticipo,

Senza diritti di amministratore e un tempo di reazione dell'amministratore di, diciamo, ~ 6 ore, questo processo potrebbe richiedere facilmente una settimana Con i diritti di amministratore, il processo sarà molto più veloce.

BTW: Quando inizi a utilizzare un software scientifico professionalmente, potrebbero esserci più pacchetti che devi installare (LaTeX, schermo, ...), quindi il processo continua.

Se dici al personale IT che questo è il processo (inevitabile) con la maggior parte dei software scientifici e dovrai lavorare con ~ 10 di questi strumenti durante il tuo dottorato di ricerca, allora dovresti avere un buon punto A livello tecnico, potrebbe esserci anche la possibilità per l'accesso "admin light", ovvero inserendo nella whitelist il nome utente per "sudo" una richiesta di installazione di un pacchetto. Forse anche questa è un'opzione nel tuo caso.

Questo è un suggerimento eccellente: i diritti di amministrazione della luce in modo tale da poter installare software scientifico risolverebbero le mie preoccupazioni principali. Anche se sarei ancora alla loro mercé per qualsiasi altra cosa (6 ore sono molto ottimistiche - la mia ultima richiesta ha richiesto 2 settimane!).
Siamo spiacenti ma niente di tutto questo richiede diritti di amministratore su una macchina Linux. Su OS X, certo. L'unico utilizzo concepibile dei diritti di amministratore potrebbe essere quello di modificare la shell predefinita in modo che non venga caricata alcuna configurazione predefinita, ma è strettamente facoltativo.
@KonradRudolph anche se questo non lo taglia del tutto per la mia macchina Linux, sapere che lo farà anche per il mio laptop OS X è molto utile.
Ho dovuto hackerare manualmente la mia installazione .tex.
"Ripeti i passaggi 1-3 molte volte fino al termine." Sto ricevendo dei flash.
Non sono sicuro del motivo per cui questo è stato votato così tanto - come varie persone hanno sottolineato che NON hai bisogno dei diritti di amministratore per installare il software in Linux e in effetti è una pessima pratica avere i diritti di amministratore senza motivo ... Io lavoro in IT e le persone che fanno cose del genere sono la causa principale del dilagare di virus / ransomware. Le autorizzazioni dovrebbero essere il minimo richiesto.
È possibile e incoraggiato a creare software come utente non privilegiato. Quando la compilazione dai sorgenti è troppo ingombrante o la riproducibilità è importante, è possibile utilizzare strumenti come Guix, che inoltre non richiedono privilegi di amministratore.
@Milney: perché questo potrebbe non essere qualcosa che l'IT è disposto a fare per utente. Potrebbe essere più facile per loro concedere immediatamente i diritti di amministrazione. Se fossi il poster originale, però, direi anche che ci si può fidare. Non ho visto nessun collega affrontare problemi come i virus nonostante tutti abbiano accesso root sul proprio computer.
@Milney No, ma abbiamo bisogno di un sistema di pacchettizzazione decente che consenta agli utenti di installare software, altrimenti un semplice `sudo apt install somesoftware` potrebbe trasformarsi in ore o giorni di lettura delle istruzioni, compilazione, prerequisiti mancanti e inferno di dipendenza. Possiamo almeno essere d'accordo su questo? Guix, menzionato sopra, sembra promettente (ma non sono sicuro di come gestisca i conflitti di dipendenza con il gestore di pacchetti locale). Fornire agli accademici un tale sistema di pacchettizzazione e sono sicuro che nessuno chiederà più l'accesso come root.
@Milney La logica alla base di questa risposta è essenzialmente ciò che ha scritto Federico. Ovviamente puoi installare la tua versione di gcc / clang localmente insieme a tutte le librerie richieste. Ci vuole solo molto tempo (dipendenze) e quando qualcosa durante il processo non funziona (messaggi di errore di compilazione, ecc.), È terribilmente difficile trovare il colpevole, soprattutto perché le librerie e i programmi possono utilizzare strumenti di compilazione che non sei familiarità con (ad esempio, come si dice a Cmake dove trovare una libreria costruita su misura? Molta documentazione da leggere per risolvere questo problema). [...]
[...] Richiedere un ricercatore, che in realtà vuole fare ricerca per familiarizzare con tutti gli strumenti di build di Linux significa giorni o addirittura settimane di tempo spesi che potrebbero essere spesi per la ricerca. Certo, la necessità di apprenderlo potrebbe sorgere in seguito, ma non ho mai sentito parlare di qualcuno che riceve un virus da un "apt-get install" senza aggiungere sorgenti di pacchetti personalizzati.
@DCTLib Alcuni sistemi di pacchetti specifici del linguaggio di programmazione (Cabal di Haskell, [pip di Python] (/ a / 7143496/824425)) possono installare pacchetti nella directory home dell'utente. Per altri: non è così difficile o soggetto a errori configurare gli strumenti di compilazione per passare "" -I $ {HOME} / include "" e "" -L $ {HOME} / lib "" come flag al compilatore risp. linker, o impostare `PKG_CONFIG_PATH` in modo appropriato, ecc. ecc. Come sottolinea Milney, non c'è assolutamente bisogno di privilegi di root per usare le dipendenze. Lo rende più facile, sì, ma spesso solo perché i distributori di software non scrivono il manuale di installazione pensando alla sicurezza.
In altre parole, è necessario eseguire * attività dello sviluppatore *, il che significa effettivamente che sono necessarie le autorizzazioni di cui ogni sviluppatore avrebbe bisogno.
Allora perché non convincerli a darti il ​​permesso di usare apt-get allora? Nota: questo NON è lo stesso di ROOT
@Milney Sì, questo è quello che ho proposto nell'ultimo paragrafo della risposta.
@DCTLib In effetti, ho votato positivamente la tua risposta, lo stavo ripetendo alle altre persone in questi commenti che continuano a insistere che l'accesso root sia necessario nelle loro risposte per qualche motivo
aparente001
2016-11-21 12:34:43 UTC
view on stackexchange narkive permalink

In realtà, non credo che la cosa più importante da trasmettere ai poteri forti sia che tu abbia una valida ragione per avere i diritti di amministratore. Più importante è convincerli che gestirai i diritti di amministratore in modo responsabile.

Il trucco è trasmettere il secondo mentre apparentemente scrivi sul primo.

Pensaci da il loro punto di vista. Sono stanchi di professori distratti che causano rischi per la sicurezza e hanno deciso di tracciare una linea chiara nella sabbia.

Nella tua richiesta di uno o due paragrafi, devi incontrare persone molto competenti e con un giudizio eccellente. Indica anche che chiederesti aiuto in caso di QUALSIASI dubbio su qualcosa.

Sarebbe l'ideale se potessi trovare un alleato all'interno per supportare la tua richiesta.

Condivido il loro problema, hanno bisogno di proteggere se stessi e gli utenti troppo sicuri di sé. Posso facilmente immaginare se hanno risorse / gestito potrei essere più disposto a fidarmi di loro per gestire il mio PC per me. Ho avuto tali diritti, in base al sistema precedente (che mi richiedeva di dimostrare di sapere cosa stavo facendo, di rinunciare ad alcuni diritti al supporto tecnico e di assumermi la responsabilità per le cose che non andavano bene), per oltre 10 anni. Ma la nuova politica ora è molto più restrittiva e non hanno risorse migliori.
Ex responsabile IT qui ... Se qualcuno cercasse di convincermi che sarebbe responsabile, chiederei come? Se non avessero trovato una buona ragione sul posto, avrei finito di parlare con loro. Questa non è davvero una risposta ma un commento e uno che potrebbe causare più problemi all'OP.
"gestire i diritti di amministratore in modo responsabile", senza eccezioni, include NON installare software non approvato sul sistema. Soprattutto freeware. Quindi l'OP non dovrebbe assolutamente utilizzare la capacità di "installazione del software" in nessuna delle sue prove per aver bisogno dei privilegi di amministratore. Il che, sfortunatamente, sembra essere l'unico motivo per cui l'OP vuole i privilegi di amministratore. Pertanto, l'OP probabilmente ha bisogno di imparare come funziona la maggior parte del mondo e convivere con i ritardi o imparare a pianificare in anticipo e richiedere l'installazione del SW ben prima che sia necessario.
@Dunk Sì ... Non sei un accademico, vero?
@Dunk Cosa intendi esattamente per "freeware"? L'OP sta parlando in gran parte di Linux. Non stiamo parlando di installazione di freeware, a quanto mi risulta, ma principalmente di software libero.
@Dunk - Anche nel settore privato, ci sono aziende in cui gli ingegneri del software non sono considerati idioti e vengono concessi diritti di amministratore sui loro computer. Ovviamente, anche in ambienti di lavoro illuminati, se si vede qualcuno che esercita una scarsa capacità di giudizio, gli viene dato un guinzaglio più corto.
Questo è esattamente come funziona nell'Università in cui mi trovo. Non credo che all'IT importi davvero il motivo per cui ho bisogno dei diritti di amministratore per ogni accesso. Oltre ad essere in grado di articolare il motivo, essere un buon indicatore del fatto che so cosa sto facendo.
Quando mi trovavo in questa situazione era importante sottolineare che NON avrei fatto domande; l'unico supporto che ho potuto ottenere dopo aver ottenuto i diritti di amministratore è stato riportare il mio computer al suo stato originale. Per me andava bene. Altrimenti hanno paura di ricevere troppe domande su cose che non hanno mai deciso di sostenere.
@cfr - Ri: "Non stiamo parlando di installazione di freeware". L'OP ha detto "bisogna aspettare diverse settimane per installare un software (gratuito)". Da Wikipedia - "Il freeware è un software proprietario disponibile per l'uso senza alcun costo monetario." Quale parte non è freeware di cui stiamo parlando?
@aparente001 - Non è questione di pensare che gli ingegneri del software siano degli idioti. Si tratta di proteggere la rete e la maggior parte degli ingegneri del software non conosce le vulnerabilità presenti nelle varie applicazioni che sono là fuori. Questo è il motivo per ottenere l'approvazione dell'IT per poter installare le applicazioni. Si suppone che si abbonino a servizi che tengono traccia delle applicazioni e delle vulnerabilità note. Ovviamente, l'ipotesi che gli "ingegneri del software" non siano considerati idioti è intrinsecamente sbagliata, a giudicare dal gran numero di violazioni dei dati che si verificano continuamente.
@Dunk Freeware, come open office, linux, gimp, LaTeX, TeX, python, Octave, Torch, Java, CDK, CellProfiler, Abalone, Chromium, Cling, BSD? Il fatto è che ogni rete può essere compromessa; non si può avere un'organizzazione ragionevolmente grande con un firewall "non sicuro" tra essa e Internet, e in realtà aspettarsi di rendere tutto sicuro al suo interno. Le vulnerabilità appaiono in * tutto il software *. Non esiste un vero scozzese.
@Dunk "Software libero" non è la stessa cosa di "freeware". La definizione che citi si applica al freeware. Non si applica al software libero. Il software libero non è proprietario. Linux è un software gratuito. Non è freeware. Lo stesso vale per GIMP, LaTeX, TeX, Python, Chromium, BSD ecc. (Non sono sicuro degli altri elencati nel commento precedente, anche se Java può certamente essere gratuito.) Stai parlando di free come nella birra. Ho capito che l'OP parlava principalmente di libertà come di libertà. I pacchetti LaTeX che ho pubblicato sono software gratuiti, ma di certo non sono freeware.
@blankip: Anche un ex manager IT. Se un negozio IT con risorse insufficienti mi dicesse che le sue politiche draconiane e in preda al panico sarebbero state implementate in modo responsabile ed efficiente, chiederei "Come?" Se avessero trovato la stessa risposta che avevano usato per anni per difendere la loro incapacità di rispondere in modo tempestivo, avrei finito di parlare con loro. "Ho ragione perché ho ragione" è una stupidità molto popolare nei negozi IT con prestazioni insufficienti.
@cfr - essendo che non esiste alcuna "autorità" che decide cosa sia "freeware" e cosa non lo sia, non posso essere in disaccordo con la tua definizione. Tutto quello che posso dire è che la mia definizione di "freeware" è più libera della definizione di Wikipedia. Anche per me, qualsiasi software che può essere scaricato e utilizzato gratuitamente che include Linux, GIMP ecc ... è freeware.
@Dunk Sei stato tu a citare la definizione di Wikipedia;). Hai chiesto quale parte non si applicava. Per quanto ne so, questa è la definizione generalmente accettata. In ogni caso, se intendi "freeware" in senso lato, la tua affermazione che il freeware è generalmente una fonte di trojan e malware è ovviamente falsa. Se l'OP significa davvero "Windows" quando dicono "Linux" e "freeware" quando dicono "software libero", allora la tua affermazione ha valore. Altrimenti no. Nota che RHEL è freeware secondo la tua definizione, anche se paghi perché puoi scaricare il codice ecc. Per niente.
@Dunk Notare che la rete stessa è soggetta a tutti i tipi di applicazioni in esecuzione su di essa perché gli utenti possono connettere le loro macchine personali a `eduroam`. Quindi la situazione è abbastanza diversa da quelle in alcune impostazioni in cui esistono davvero protezioni in atto per escludere software non approvato o macchine non approvate che accedono alla rete. In genere, una macchina non gestita avrà un livello di accesso simile, mentre le macchine gestite hanno accesso diretto alle risorse interne. Dai commenti del PO, questo sembra essere il caso attualmente. Quindi non è davvero chiaro come la gestione di tutte le macchine universitarie aiuti.
@Dunk Oh, per favore. Sono solo uno sviluppatore di software, ma se il mio dipartimento dovesse ottenere l'approvazione IT per ogni libreria che utilizziamo, non la spediremo mai. Abbiamo * letteralmente * circa 6 o 7 volte il numero di sviluppatori rispetto al personale IT (e la maggior parte del nostro IT non ha le competenze per supportare gli sviluppatori). Anche se lo facessi, non impedirebbe agli sviluppatori di * scrivere codice * che può essere violato, da cui provengono la maggior parte delle vulnerabilità. Sono fiducioso che il ruolo degli accademici sia simile per quanto riguarda la necessità di mettere insieme strumenti per risolvere i loro problemi. Approvare * tutto * è un costo superiore a quello che la maggior parte delle organizzazioni può permettersi di pagare.
@Dunk E se parli di cose come Heartbleed, Shellshock e altre vulnerabilità recenti e molto visibili, la maggior parte di queste si trova in un software estremamente standard che l'IT installerebbe naturalmente senza che nessuno abbia nemmeno bisogno di chiedere. (Alcuni di questi vengono persino installati nel sistema operativo * out of the box *.)
Ian
2016-11-21 13:50:08 UTC
view on stackexchange narkive permalink

Quanto segue fa supposizioni eccessive su ciò che comporta il tuo lavoro, ma ...

  1. Ottieni tempo di elaborazione su una risorsa HPC esterna (nel Regno Unito sarebbe Archer o una risorsa specifica del campo come DiRAC), poiché hai bisogno di risorse di calcolo oltre a quelle che la tua università può fornire.
  2. Dì all'università che, poiché i sistemi HPC funzionano su Linux e aggiornano il software in base ai propri cicli di rilascio, è necessario che tu abbia il tuo sistema basato su Linux che puoi aggiornare per adattarlo in modo da poter sviluppare e mantenere in modo efficace il codice da eseguire sul sistema HPC.
    3. ol>

    Questo argomento è molto più convincente se hai già ottenuto il punto 1, o una storia di utilizzo di HPC o una risorsa informatica simile, ovviamente.

Daniel R. Collins
2016-11-21 13:57:33 UTC
view on stackexchange narkive permalink

Nella mia istituzione, chiunque nel reparto CS può ottenere l'accesso come amministratore presumendo che sia necessario sviluppare, compilare e testare nuovo software (inclusa la valutazione di vari pacchetti). Ho avuto questo accesso la scorsa settimana, infatti. Il supporto / la richiesta del presidente aiuta.

In effetti, questo era in precedenza anche il nostro sistema!
Normalmente, hai solo bisogno dell'accesso `sudo` al tuo gestore di pacchetti per poter sviluppare, tranne quando sviluppi kernel e cose dei driver.
Ci sono state diverse menzioni di sudo, ma cosa ti impedisce di fare `sudo su -`? Potrebbero limitarlo a un programma particolare, ma in tal caso non sarebbe molto utile o bypassabile (ad esempio `sudo gcc -E ... -o / etc / sudoers`). Con l'accesso al gestore dei pacchetti puoi sempre: rimuovere qualcosa, sostituire il kernel, installare qualcosa che ha la configurazione del tempo di installazione e consente la scrittura di file arbitrari. E l'installazione / la compilazione di programmi e librerie nella directory dell'utente non dovrebbe essere un problema.
John
2016-11-21 15:44:39 UTC
view on stackexchange narkive permalink

Sono un accademico in un'università del Regno Unito. Quello che chiedi non è insolito e altri hanno dato buone risposte. C'è tuttavia un'altra soluzione che abbiamo per i computer di ricerca che è che gli utenti hanno diritti di amministratore sulle loro macchine di ricerca locali e hanno un accesso Internet limitato su una sottorete diversa che dà a queste macchine lo stesso accesso alle risorse Internet degli ospiti ma non offre privilegi accesso ai sistemi universitari interni. Ciò fornisce il livello di gestione e controllo della rete interna che è necessario oggigiorno, ma offre flessibilità ai ricercatori. Significa anche che un ricercatore che insegna anche / amministratore potrebbe aver bisogno di un computer desktop separato oltre al proprio computer di ricerca.

L'altro problema che devi capire è che i diritti di amministratore sono un privilegio, non un diritto in questo ambiente. Se vengono utilizzati in modo improprio, puoi aspettarti di perderli. Ho saputo che ciò accade quando i ricercatori hanno impostato stupide password di root sui loro computer o dove gli studenti ricercatori hanno scaricato software illegale crackato piuttosto che chiedere installazioni con licenza adeguata.

La situazione è attualmente come descrivi, la mia macchina ha un accesso limitato alle unità condivise, ecc. E io ne ho il controllo. Sono contento di questo compromesso. Ma la nuova politica è molto più draconiana.
mcottle
2016-11-22 15:51:11 UTC
view on stackexchange narkive permalink

Scrivere dal punto di vista di un professionista IT (ed ex accademico) che ha lavorato per un'importante università creando un ambiente operativo gestito per cercare di fermare questa cosa - non ce n'è uno. Esiste un accesso di amministratore fasullo che aggira virtualmente qualsiasi uso legittimo dell'accesso di amministratore reale, quindi è probabilmente il meglio che puoi (dovresti essere in grado di) aspettarti.

La quantità di dolore per il supporto IT causata da incompetenti l'amministrazione dei computer è incalcolabile. Il numero di macchine con cui hanno avuto a che fare era stato compromesso da virus, malware, software bootleg e tutta una serie di cose spiacevoli che probabilmente puoi immaginare, che è una conseguenza del collegamento di utenti di livello amministratore a connessioni Internet ad alta velocità minimamente filtrate e monitorate.

Affinché un'università possa proteggersi dai procedimenti penali, deve essere in grado di controllare i computer collegati alla sua rete. I "bei vecchi tempi" purtroppo sono finiti e non è più accettabile per il personale accademico eseguire software torrent che commette livelli massicci di violazione / furto IP da un computer di proprietà dell'università.

Il tuo problema fondamentale non sei tu sono necessari diritti di amministratore. Ciò di cui hai bisogno è non ritardare l'installazione del software. Quindi, ciò significa che hai bisogno di un dipartimento IT finanziato meglio. Questo è ciò per cui dovresti insistere.

Il reparto IT dovrebbe avere le risorse per "confezionare" rapidamente il software. Ciò significa prepararlo per l'installazione e la disinstallazione sicure insieme a qualsiasi dipendenza, come la gestione dei pacchetti Linux ma amministrata centralmente. Una buona gestione dei pacchetti consente l'installazione in modalità self-service, il che significherebbe che staresti alle spalle degli sforzi dell'intera Università: se qualcun altro richiedesse un software, sarebbe disponibile per tutti e se fosse gratuito potresti farlo da solo installare con un clic. Se non fosse gratuito, potresti fornire l'approvazione per sbloccare i fondi e installarlo automaticamente.

Su una nota più pratica, se devi assolutamente giocare con i privilegi a livello di amministratore, fallo in una macchina virtuale. Preferibilmente su un server basato su cloud.

L'IT commerciale si sta muovendo pesantemente in questa direzione e, se la mia esperienza è utile, gli accademici di informatica sono molto obsoleti a questo proposito e non stanno preparando i loro studenti per Il mondo reale. Guarda strumenti come "Docker", "Bitnami" ed "Eclipse Che" per vedere vari esempi dei tipi di strumenti disponibili per eliminare praticamente la necessità di un accesso amministrativo bare metal.

MODIFICA

Qualche punto in più.

1) Gli accademici (generalmente) non apprezzano quanto devi essere proattivo per proteggere una rete. È uno scarso utilizzo del loro tempo per setacciare il CERT alla ricerca di motivi per correggere le cose in modo che non lo facciano, con conseguenze sfortunate.

2) Se hai accesso come amministratore, sarai in grado di causare molti più danni. Fare clic su un collegamento di posta elettronica da un account non privilegiato e non è un grosso problema. Fai clic su uno come root e il tuo account invierà un'e-mail di phishing all'intera rubrica dell'Università entro mezz'ora, causando settimane-uomo di pulizia per il dipartimento IT.

3) Davvero non sono requisiti reali legittimi per l'accesso amministratore completo in questi giorni a cui posso pensare: -

Software di compilazione -> VM isolata

Esecuzione di vecchio software -> Bubble virtualizzato (ricerca "App- V "ad esempio)

4) I vantaggi di un desktop gestito correttamente non sono solo unilaterali. Se il tuo dipartimento IT lo fa correttamente, sarai in grado di: -

  • Accedere a qualsiasi macchina nel campus e accedere ai tuoi dati (e i tuoi dati saranno regolarmente sottoposti a backup e risiedere su un'infrastruttura sicura e sicura). Niente più chiavette USB con dati critici e riservati. Niente più accademici in lacrime perché l'unica copia del loro lavoro era conservata su un singolo HDD esterno che non funzionava.
  • Avere accesso a tali dati da un computer di casa se necessario. Forse con alcuni avvertimenti (magari avere installato l'antivirus giusto).
  • Avere MOLTO spazio disponibile se ne hai bisogno.
  • Quindi se la tua macchina si guasta, sarai su & in esecuzione meno di quindici minuti dopo la consegna della sostituzione (a seconda di quanti pacchetti non standard sono stati installati). Boeing ha avuto questo per ANNI. Fa risparmiare loro una fortuna.
  • La possibilità di installare (e disinstallare) software comune senza coinvolgere l'IT.
  • Accesso a VM temporanee (isolate da Internet) in un cloud protetto di proprietà dell'Università con accesso amministratore per svolgere attività che ne hanno assolutamente bisogno. Dovresti essere in grado di alzare un PC virtuale in meno di 5 minuti e poi scartarlo quando hai finito.
  • Questa tecnologia può essere utilizzata anche per creare laboratori didattici virtuali con solo il software necessario per la classe piuttosto che aspettarsi che il personale IT riceva più di 9 unità del software richiesto per "giocate bene" l'uno con l'altro nelle due settimane precedenti l'inizio del primo semestre.
  • Serve una VM di lunga durata per eseguire calcoli significativi per diversi giorni / settimane / mesi? - richiesta servizio. Possibile costo per te se la tua esigenza è eccessiva, ma il costo sarà competitivo con gli equivalenti AWS o MS Azure.
  • Supporto IT meno stressato perché non sono sovraccarichi per ripulire le ricadute dall'ultima truffa di phishing, quindi rispondi i tempi dovrebbero essere molto migliori. In effetti, dovresti avere un catalogo di servizi pubblicato dall'IT che descriva in dettaglio quali servizi offrono, quanto costano e quanto velocemente puoi aspettarti una risposta. Queste sono tutte cose standard per le quali dovrebbero avere tempo se l'ambiente diventa più controllato.

Seriamente, questa è una mossa positiva. Abbracciala, supportala e starai meglio.

Spingere per un IT meglio finanziato ... e un unicorno per il pendolarismo. Probabilmente avrai la stessa fortuna. Sto amministrando la mia macchina e non ho mai avuto bisogno dell'aiuto dell'IT, liberando il loro tempo per occuparsi delle persone che ne hanno bisogno. Inoltre, molti pacchetti accademici sono gratuiti per gli accademici, quindi posso scaricarne e compilarne una copia, ma la licenza ne proibisce la ridistribuzione, quindi l'università non sarebbe in grado di includerlo nel loro repository.
@Davidmh So che è improbabile che gli Unis tornino in sé, ma possiamo sperare;). Sfortunatamente nella mia esperienza per ogni accademico in grado di amministrare con competenza il proprio computer, ce ne sono almeno due che pensano di poterlo fare - e non possono e ancora di più che perdono interesse e non patch regolarmente. Sai, tutte quelle noiose cose ITIL per cui paghi ITIL per non doverlo fare :). In generale, i costi sostenuti dando l'amministratore alle categorie 2 e 3 superano di gran lunga i risparmi lasciando che 1 faccia a modo loro ...
continua ... Inoltre, il costo di avere un ambiente completamente caotico fuori controllo fa impallidire qualsiasi altro costo. L'Uni IT qui è probabilmente impostato per salvare il pieno di diverse persone di supporto IT in questo modo. Si spera che li ridistribuiscano per migliorare i tempi di risposta alle chiamate di supporto. Quindi il reclamo originale evapora.
-1. Le tue idee sembrano completamente fuori contatto con la realtà. Parli di computer "compromessi" e presumi malafede in tutti coloro che utilizzano la tua rete, dove in realtà una macchina non di proprietà dell'università non ha assolutamente alcuna differenza con un computer medio connesso a un ISP medio. Gli ISP gestiscono l'ambiente "completamente caotico e fuori controllo" 24 ore su 24, 7 giorni su 7, senza alcun problema. L'azione corretta per trattare con computer non sicuri è * isolarli dalla rete protetta *.
@ March Ho Quindi il tuo rimedio "in contatto con la realtà" è quello di "isolarli dalla rete sicura" - buona fortuna. Prova quell'acrobazia in una grande università e scoprirai che uno dei computer che hai bloccato per essere uno spam relay estone è di proprietà di un amico personale di un membro anziano del governo che poi chiama il tuo VC per lamentarsi di te, personalmente - o almeno così ho sentito;). Inoltre, gli ISP non hanno alcuna responsabilità per la tua intranet o il software che esegui, solo per il pipe. Uni IT è responsabile di tutto, dalla tastiera al tubo finale fuori dal campus. Totalmente differente.
Gli utenti di @mcottle possono sempre installare una VM con accesso root e fare tutte le cose cattive che vuoi impedire loro di fare, e averlo senza patch come desiderano. (E non puoi vietare di usare VM poiché sono, purtroppo, un modo molto comune di distribuire software accademico). Le soluzioni basate su cloud non sono un'opzione quando è necessario elaborare TB di dati.
@Davidmh: in realtà stai molto meglio con il tuo pesante calcolo nel cloud. Più economico, più veloce, più flessibile nella nostra esperienza. Il nostro cloud computing aveva accesso diretto ai nostri vFiler NetApp. Hai salvato i tuoi "TB di dati" nella tua home directory (mappati sui vFiler - disponibili ovunque non solo sul tuo computer - accedi a tutti i campus tutto bene), hai composto il cloud computing e lo hai puntato sui tuoi dati. Aveva accesso al canale in fibra ottica ai vFiler ed era maledettamente veloce quanto un HDD esterno.
1. In che modo non avere i diritti di amministratore (o averli solo in una VM) mi impedisce di eseguire software torrent? 2. Se una stazione di lavoro nella rete può diventare un inoltro di spam estone, allora c'è qualcosa di molto sbagliato nella configurazione del firewall.
@FedericoPoloni 1. Bloccando le VM da Internet. 2. Non mio, loro :) Se il motivo dell'amministratore è compilare il software, è possibile scaricare il sorgente dal desktop bloccato, salvarlo in un percorso condiviso a cui la VM ha accesso e compilarlo in situ. Non è più un motivo. In Windows-Land puoi persino creare un pacchetto di un'applicazione ed eseguirla in una bolla virtuale con accesso come amministratore. Quindi l'utente non ottiene l'amministratore, l'app sì. Tutto questo parlare di amministrazione è COSÌ del secolo scorso e mostra a) quanto gli accademici non siano aggiornati con lo stato dell'arte dell'IT eb) Perché sarebbe pazzo dare loro l'amministratore
Il punto # 4 è carino in teoria, ma buona fortuna in pratica. Sono stato un accademico in alcune grandi istituzioni, ma l'IT è sempre sottofinanziato e senza armi, in particolare per il supporto delle macchine personali. La mia ultima istituzione potrebbe essere adeguatamente descritta come la migliore scuola privata dello stato e, sebbene avessimo degli straordinari amministratori di sistema Linux che gestivano i nostri server di ricerca, tutto il nostro supporto personale per le macchine iniziò con una chiamata a un help desk composto da studenti universitari e impiegò giorni per settimane per risolvere semplici problemi.
@David Sì, ma se hai l'ambiente sotto controllo, la stessa quantità di spesa IT ti offre un servizio molto migliore. Il blocco stradale è di solito un gruppo di accademici che vogliono qualcosa di cui non hanno bisogno (ad esempio l'accesso amministratore) e poi avere un attacco sibilante che avrebbe fatto vergognare mio figlio di tre anni quando gli viene detto che non possono averlo. La logica non vi entra tristemente. Almeno l'80% dell'Università starebbe molto meglio con un desktop bloccato come ho descritto e le eccezioni che hanno bisogno di qualcosa di speciale possono di solito essere sistemate senza dare via le chiavi del regno.
@mcottle Sono stato nell'IT e nel mondo accademico. Gettare dichiarazioni ignoranti su chi sia il "blocco stradale" è una ricetta garantita al 100% per il fallimento istituzionale. Credimi quando dico che ho avuto a che fare con accademici che lanciavano attacchi sibilanti. Ma la funzione dell'università di ricerca è quella di consentire la ricerca. La ricerca è ciò che paga i conti e fa andare avanti tutto, e l'IT che getta blocchi stradali per una ricerca efficace non è mai una soluzione valida, anche in teoria che le cose andranno bene una volta che tutto sarà "sotto controllo". Se l'attuale situazione IT non ti dà il 4 ° posto, non ce l'hai.
@David è pollo e uova non è vero? In un'azienda, l'amministratore delegato può imporre una SOE e tutta la resistenza viene lanciata a vapore. Dopo che la polvere si è depositata, la maggior parte delle resistenze originali si rende conto che in realtà stanno meglio. Gli Unis non funzionano così, quindi devi lottare per anni cercando di convincere, sprecando enormi quantità di denaro cercando di risparmiare ancora di più. Il punto è che se disponi di un ambiente IT ben gestito, l'impatto sulla ricerca è in realtà minimo. Il motivo per cui le università non li hanno è l'ignoranza e la politica.
@mcottle La ragione per cui le università non funzionano bene è perché le persone lì sono stupide e testarde? Sembra che tu abbia pochissima esperienza con l'IT universitario o con l'IT aziendale. Non sono sicuro quale.
Cerchiamo di [continuare questa discussione in chat] (http://chat.stackexchange.com/rooms/48987/discussion-between-mcottle-and-david).
* La possibilità di installare (e disinstallare) software comune senza coinvolgere l'IT. * Ma il problema è proprio il software raro (software per analizzare i dati da un kit che produce solo un formato proprietario). Ciò è peggiorato dal fatto che non forniscono nemmeno molti FOSS comuni come GIMP, inkscape in molti posti.
Allo stesso modo non sono d'accordo con questo commento. In qualità di capo del dipartimento di tecnologia in due diverse università, entrambe le volte mi è stato concesso l'accesso amministrativo completo a tutta la nostra rete. L'IT non ha mai avuto problemi con me, soprattutto perché ho potuto risolvere i problemi in loco senza dover chiamare in causa.
@DaveKaye - Il capo di un dipartimento tecnologico deve essere un caso limite estremo. Il punto è che la MAGGIOR PARTE del personale accademico non ha bisogno dell'accesso amministrativo ai propri computer e che, nel complesso, è più costoso fornirlo e ripulire i pasticci piuttosto che bloccarlo e gestire il carico crescente del personale di supporto. Ci saranno sempre delle eccezioni. Ce ne saranno pochissimi che non possono essere serviti dall'accesso amministratore a una VM isolata. Inoltre, guarda la domanda originale, OP stava cercando ragioni plausibili per mantenere l'accesso root a una macchina Linux perché non riuscivano a pensarne nessuna. non ho niente da aggiungere
@mcottle, in effetti la maggior parte non lo fa. Ma alcuni lo fanno. Caso limite estremo o no. Se l'IT universitario non risponde e un singolo prof può gestire il proprio computer in modo responsabile che differenza fa? Ho concesso questo privilegio a qualsiasi facoltà di cui mi fidavo. Revocato molto rapidamente se abusato. Il mio punto di vista è "lock first, trust second" è una bella astrazione, ma non sono sicuro di quanto sia utile per l'informatica in un ambiente accademico in cui le esigenze possono cambiare da prof a prof, semestre in semestre e persino giorno per giorno.
rekado
2016-11-22 17:56:59 UTC
view on stackexchange narkive permalink

In qualità di amministratore di sistema che lavora in un istituto, non c'è davvero alcun motivo per cui gli utenti dovrebbero avere privilegi di amministratore. È possibile che gli utenti richiedano privilegi specifici in casi eccezionali, ma questo è un approccio da whitelist e non ti darà pieni diritti di amministratore (ad es. Gli utenti possono ottenere il privilegio di riavviare un servizio predefinito, ma non otterrà autorizzazioni sufficienti per avviare una shell privilegiata). Se le workstation sono gestite dall'IT, probabilmente significa anche che qualsiasi modifica eseguita come amministratore verrà comunque ignorata (ad esempio, quando si utilizza Puppet o Chef per la gestione della configurazione).

Per l'installazione di software scientifico consiglio GNU Guix, un gestore di pacchetti funzionale riproducibile e controllato dall'utente. Lo usiamo nel nostro istituto sul cluster HPC e sulle workstation degli utenti per consentire agli utenti di installare tutti i tipi di software scientifico. Per installare il software con GNU Guix un utente non ha bisogno dei privilegi di amministratore.

Stessa avvertenza che ho già menzionato altrove: macOS (e, credo, Windows) è ancora essenzialmente bloccato senza diritti di amministratore. * La maggior parte * delle cose funzionerà (una volta che qualcosa come Homebrew è stato impostato) ma ogni tanto la mancanza di diritti di amministratore può essere un problema. Conosco un istituto che di solito non concede agli utenti i diritti di amministratore sui propri Mac ed è una vera seccatura. Tuttavia, sei perfetto per Linux.
@KonradRudolph Windows non è bloccato senza amministratore da XP. Esistono molte opzioni in questi giorni. Un Active Directory e un sistema di gestione dei pacchetti ben amministrati possono fare miracoli. Apple è più problematico perché non è progettato per l'uso in un ambiente gestito professionalmente (questa era una citazione di APPLE prima che tu mi infiammi :) Casper aiuta ma penso ancora che potrebbero esserci problemi. Se potessi fare a modo mio, li cancellerei tutti e li farei avviare in modo doppio Win / Linux ma poi non adoro la "Chiesa di Steve" :)
@mcottle A mia difesa, l'ultimo Windows che ho utilizzato è stato XP. :-) Ho sentito altre persone lamentarsi ma potrebbero semplicemente aver lavorato su un sistema mal impostato.
Dmitry Grigoryev
2016-11-21 17:31:28 UTC
view on stackexchange narkive permalink

Ciò che mi dà più fastidio in questa politica IT è il requisito che "tutti i PC collegati alla rete siano gestiti dall'IT". Poiché affermi di aver installato Linux sul tuo computer senza l'aiuto dell'IT, dubito che sia gestito dal servizio IT dell'università. Dal momento che hai avuto accesso amministrativo illimitato alla tua macchina per un po 'di tempo, non esiste un modo ragionevole per l'IT di applicare alcuna politica senza reinstallare il sistema che è in grado di gestire (anche se è Linux, deve essere installato da loro per assicurarti di non poter ottenere i diritti di amministratore nonostante le loro restrizioni).

Tieni presente che se il tuo supporto IT non è abbastanza professionale da cambiare semplicemente la tua password root , avrai comunque accesso amministratore al tuo sistema tramite sudo o impostando l'attributo setuid sui comandi che richiedono diritti di amministratore.

La politica è che reinstalleranno / riconfigureranno Linux per assicurarsi di avere i controlli necessari. Sono d'accordo che questo è irragionevole!
Come risponde questo alla domanda?
@DavidRicherby la risposta implicita che ho ottenuto da questo è "Non preoccuparti, non possono far rispettare la politica", ma sicuramente potrebbe essere più chiara.
Questo tipo di criterio viene generalmente applicato licenziando coloro che lo violano.
@StigHemmer Mi aspetto che la macchina venga rimossa dalla rete in prima istanza.
La rete del mio istituto è autorizzata, quindi solo i computer supportati dall'IT possono connettersi. Possono sicuramente farlo rispettare.
@Davidmh Come funziona esattamente questa whitelist? Se si basa su indirizzi MAC, è banale aggirarlo.
blankip
2016-11-21 13:31:36 UTC
view on stackexchange narkive permalink

Il motivo migliore per aver bisogno dei diritti di amministratore (ha gestito l'IT per una grande azienda per 3 anni) è che hai un programma che deve essere eseguito e modificato spesso e questo richiede diritti di amministratore.

hanno delineato nel tuo secondo paragrafo, beh, è ​​per questo che vogliamo mantenere i diritti di amministratore degli utenti. Certamente non lo dirò al dipartimento IT della tua scuola locale, in quanto potrebbe farti avere più difficoltà nell'ottenere i diritti di amministratore. La parte più problematica è il bit del software gratuito (che molte volte potrebbe aver allegato trojan o malware), insieme al fatto che potresti usare i tuoi diritti di amministratore per disattivare il tuo software di sicurezza.

È molto meglio inventare un software specifico che devi essere amministratore per eseguire o apportare modifiche alla configurazione (spesso). Un modo migliore per gestirlo, e questo dipende dalle capacità dell'IT locale, è configurare una VM e avere accesso amministrativo a questo ambiente VM.

Ad esempio, quando compilavo molto, mi piaceva farlo nel mio vecchio ambiente VM XP con 512 MB allocati. Potrebbe volerci più tempo ma potrei fare altre cose durante la compilazione.

Quanto a tutto ciò che hai detto, non ha senso. Il rischio di lavorare su progetti è perdere informazioni. Trova un modo per eseguire il backup delle cose tramite unità o online. Non vedo come questo abbia qualcosa a che fare con il tuo IT. Agire come se la mancanza di capacità del tuo IT stia danneggiando la tua ricerca o i tuoi progetti suona semplicemente inverosimile.

I commenti non sono per discussioni estese; questa conversazione è stata [spostata nella chat] (http://chat.stackexchange.com/rooms/49001/discussion-on-answer-by-blankip-reasons-for-an-academic-to-need-administrator-ri) .
David
2016-11-23 12:10:04 UTC
view on stackexchange narkive permalink

Quali sono ragioni valide, indiscutibili, per cui potrei aver bisogno dei diritti di amministratore locale.

Una ragione a prova di proiettile per avere i diritti di amministratore è che sviluppi e collaudi nuovi kernel del sistema operativo.

Anche se ti danno solo l'accesso per modificare il boot loader, puoi ottenere punti bonus scrivendo la tua chiamata di sistema che imposta l'ID del processo corrente su root.

TheDoctor
2016-11-24 03:06:20 UTC
view on stackexchange narkive permalink

Dì solo che vuoi installare Linux e che rinuncerai a qualsiasi requisito di supporto tecnico per iscritto al loro superiore e al tuo, anche se speri che possano aiutare in caso di necessità.

Sembra che tu non abbia letto la domanda.L'OP sta * già * eseguendo Linux e vuole rispondere a un * nuovo * cambiamento nella politica dell'Università.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...