现在很多公司无论与IT相关或无关,几乎都会有个IT部门,包括政府医院或银行。IT除了为大家服务,如装个计算机,装个软件,设置email或设置账号,此外IT还负责单位的网络安全,防木马病毒钓鱼DoS,于是防病毒软件和防火墙成了标准配置,而且普通用户没有权限改变配置。有的计算机甚至没有访问HTTP网站的权限。安全是得到一定的保障,不过代价总是有的。特别对我来说,经常要做build,公司防病毒软件用的是McAfee,它的on-access scan一下就把build的时间拖长一倍。好在McAfee的On-Access Scan有个设置项,允许用户把一些文件路径加到一个列表从而排除在scan的list,于是我把几乎所以的path都加进去,当然没有把Windows等系统路径加进去,防毒之心不可无。
几天前,突然发现开发的硬件不能ping我的host 笔记本电脑,而从我的笔记本电脑telnet to target没问题。由于其间的连接是ethernet over USB,网络抓包软件不管用,很难分辨问题出于哪个部分,比如target的软件或硬件,USB driver,网络设置,通过交叉测试比对,疑点集中到我的笔记本电脑的防火墙。公司的计算机在登陆到公司的domain后,并不使用Windows Firewall,而是用McAfee的Host Intrusion Prevention Firewall。我检查了McAfee的目录更新日期,发现IT刚刚在一天前Push升级了HIP,从7.0升到8.0,以前安装软件时添加的extra rule都失效了。而且任何新rule和policy都需密码才能设置,显然IT不会把密码告诉我的。没有admin权限又无法停止HIP service,怎么办?偶然发现HIP service depends on 另一个McAfee Firewall Core service,这个 Core Servie运行C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe,这个service没有起来不会引起IT的注意,而且这个可执行文件并没有被系统lock,改个名,重启,done。当然也可以进安全模式改名,不过有点麻烦。
公司提供了一台新的高性能的计算机,专门用来build,就是编译程序,但是HTTP的port 80被block了。可有时在build时需要登录到公司网络快速查找一些信息,不得矣要用另一台计算机上网再把信息传过来,或者Remote login到build计算机然后从主机copy paste。总之,不方便。用proxy sever吧,一来不安全,二来IT的policy肯定不允许,而且很容易被IT发现,可能会给自己找麻烦。好在公司提供好多Linux Station,供多用户登录。于是用Putty创建SSH tunnel到一台Linux主机,设置IE和Firefox使用socket。从build计算机到Linux主机是SSH加密的,没法跟踪,而从Linux发出的HTTP request也无法跟踪。不但解决了上网问题,甚至上班时间炒股都不用担心引起领导注意。当然俺上班时间一般都在努力工作。
有人打电话问我,Windows Task Manager只显示process的列表,其它tab都不见了,再解决不了只好问IT了。碰到这种怪问题,最好去google search
了,很快在微软网页找到答案,原来是进入所谓的"Small Footprint Mode"。只要“double-click on the border”就可以变来变去的。网页上回复的人中有个家伙竟被折磨了一年多。所以有些generic问题,最好问IT之前先search一下。有些问题就是IT也不明就里。
IT是在其位,谋其政,要保证公司网络的安全和可靠,同时为人民大众服务。我们要支持IT的工作,每当他们为我们解决问题,要不忘感谢。也不要事事全赖IT,很多事情只要Google一下便可轻易解决,不必劳师动众。IT不是万能的上帝,很多问题他们也不可能几分钟内解决。理解万岁!
Thursday, December 15, 2011
与IT斗,其乐无穷
at 5:35 PM
Subscribe to:
Post Comments (Atom)
1 Comment:
Great post, much appreciate the time you took to write this.
Post a Comment