Sometimes you’re the bug, and sometimes you’re the windshield

Am fost in vacanta (mai acum o luna si jumatate), si cat am fost plecat lucrurile la companie n-au mers foarte bine. Zic n-au mers bine in sensul ca oamenii care lucreaza in departamentul pe care cu onor il conduc nu sunt in stare nici sa se duca la baie fara sa li se dea indicatii in acest sens. Onor conducerea remarcat ca trebuie facut ceva, asa ca acum departamentul are nu mai putin de patru manageri. Dat fiind ca pentru a se lua o decizie trebuie o majoritate, si ca doi dintre ceilalti trei bravi conducatori fac tot ce spun eu, imi convine situatia de minune, pentru ca, acum, mai mult ca oricand, pot sa fac chiar ce vreau fara sa am vreo remuscare, si fara sa fiu tras prea tare la raspundere daca nu iese bine. In plus, bugetul departamentului s-a marit si el de la o suma fixa lunara cu care abia acopeream cheltuielile pentru hardware pana la “cat ai nevoie atata cheltui”.

Dar nu despre asta e povestea de azi. Prietenul meu de suflet de la departamentul aiti isi sapa groapa cu mult avant, si nu ma pot abtine sa nu consemnez ceea ce se intampla cu deosebita rabdare si abnegatie. De foarte mult timp, de cand si-a mutat serverele din Austria in Hamburgarenia, domnul manager insista ca el are nevoie de o masina care sa indeplineasca functia de firewall pentru serverele lui. La inceput am vrut sa-l ajut, si desi i-am zis a este mult mai bine sa-si faca firewall local pe fiecare dintre serverele pe care le are, n-a inteles, asa ca i-am pus un firewall pe routerul cisco care este in fata serverului lui. Evident, s-a crizat imediat ca el nu stie sa umble cu routerul (si nici nu i-as fi dat access), si ca el nu poate avea firewall pe router. Cum n-aveam la vremea respectiva buget, si cum nici nu aveam chef sa intru in discutii filozofice pe teme de retelistica (nu ca as fi eu mare geniu, dar macar am idee ce e ala un netmask, si ce inseamna “gateway of last resort”), i-am zis ca nu se poate, si ca sa se descurce cu firewall-uri locale.

Pentru a intelege mai bine situatia in intregime, trebuie sa explic cine sunt ceilalti trei oameni din conducerea departamentului. Unul este Rick, care de fapt ocupa pozitia de COO. Se pricepe foarte bine la construit datacentere in sensul de aer conditionat, si curenti electrici, si lucrez foarte bine cu el. Nu-i e rusine sa recunoasca ca nu stie atunci cand nu stie. Daca conteaza, este membru Mensa. Altul este Sam, care de fapt este seful departamentului de relatii cu clientii (adica raspundacii la telefon). Tipul este avid de putere, si ar vrea sa aiba ceva de zis in toate domeniile. De cand si-a bagat piciorul in departamentul meu insa, inainte sa “ii vina vreo idee”, ma intreaba pe mine, si face fix cum ii spun. Inclusiv cand vine vorba de ce culoare trebuie sa fie cablul UTP, intai intreaba si apoi vine cu ideea si zice “eu sunt de parere ca cel mai bine e sa avem cablul de culoarea nustiucare”. Imi convine de minune situatia, pentru ca intotdeauna mi-a placut sa fiu personajul din umbra, care ia decizii importante, si care in caz ca ceva nu iese bine nu are nici un fel de implicare in problema. Al treilea sef este de fapt unul dintre patroni (care sunt trei, doi frati si o sora), respectiv sora. Ei ii place sa fie bagata in toate cele, si in general nu intelege nimic. Orice ii spun eu, se duce si-l intreaba pe Rick sau pe Sam (sau pe amandoi). Cand zice Rick ceva, vine si ma intreaba pe mine sau pe Sam. Are insa meritul de a fi foarte ordonata, si de a fi un fel de planner/reminder/secretara pentru ceilalti. Odata ce s-a stabilit ca vom face una sau alta, ea are grija ca lumea sa se tina de plan. Ceea ce zic eu ca e bine.

Revenind la povestea noastra, sora este plecata de aproape o luna de zile in Australia (tara de obarsie a sotului ei cel nou), din care Australie ea se baga zilnic in seama si se implica in conducerea departamentului. E amuzant cum se intampla asta. Zilele trecute insa, vrand ea sa se implice, ca de obicei a remarcat ca nu poate, pentru ca nu se poate conecta la messengerul intern al firmei. Messengerul asta (CI pe numele lui) este gazduit pe unul din serverele departamentului aiti. Motivul pentru care nu se putea conecta la el (precum si motivul pentru care nu se putea conecta la nici unul dintre serviciile oferite de serverele aiti este ca domnul manager al departamentului a descoperit ca cineva din Australia se conecta in fiecare zi la servere. Si cum lui nu i-a spus nimeni ca ar fi oameni in Australia carora noi le oferim servicii de genul asta, a blocat pe fiecare dintre servere, din firewall, accessul intregii Australii. Si de fapt, accesul intregii lumi, cu exceptia a unor adrese IP din firma. Dupa ce sora si-a cerut acesul inapoi, si dupa ce a fost ignorata vreo cateva ore bune, domnul manager a trimis un email foarte sforaitor pe lista managerilor in care spunea ca el nu poate fi deranjat sa schimbe reguli de firewall de fiecare data cand vreunu din companie viseaza ca trebuie sa plece peste hotare (sic!).

Am avut, la cererea luminatei conduceri o discutie cu domnul aiti manager, pe care am reprodus-o in scris cat se poate de fidel. El insista ca are 12 masini, si nu poate sa modifice firewall-ul pe fiecare dintre ele de fiecare data. I-am explicat ca pe 10 dintre masini nu are nimeni nevoie de access, si ca de fapt nu trebuie sa scrie decat doua firewall-uri, si pe alea daca le scrie bine n-o sa aiba nevoie sa le modifice niciodata, indiferent cine in ce tara pleaca. A zis ca nu se poate, ca el nu poate sa aiba una ca asta. I-am sugerat atunci sa implementeze un sistem automat de distributie (in genul lui cfengine) in care el face modificarea intr-un singur loc si apoi ea se propaga pe toate serverele. El a zis ca nu se pricepe la cfengine, si ca n-are timp sa invete, si atunci i-am sugerat sa instaleze pe unul dintre servere, un server VPN, si cine are nevoie se conecteaza cu un client de vpn la serverul lui, si in felul asta obtine access si pe celelalte servere. El a zis ca nici asta nu stie sa faca si ca daca vreau, sa-i fac eu, sau sa-i faca departamentul meu asa ceva. Drept pentru care (primii centimetrii de franghie, da?) i-am explicat ca nu am resursele umane pentru asa ceva, si daca are nevoie de un administrator de sisteme, sa-si angajeze unul, ca doar are buget necheltuit de aproape 10000 in fiecare luna, si banii nu se reporteaza. Ii cheltui, bine. Nu-i cheltui, s-au dus ca si cand n-ar fi existat. N-a fost de acord nici cu solutia asta, pentru ca “ce vrea el acum e treaba de cateva ore, si apoi un administrator de sistem n-ar mai avea ce sa faca, si ar trebui sa-l dea afara”. I-am explicat ca nu trebuie sa angajeze unul in state, cu 5000 pe luna, ca poate sa angajeze un student in Romania, part time, si sa-i dea 500 de tsechini lunar, si ar fi toata lumea fericita. Dar el a fost de  parere ca nu poate sa angajeze un om care “sa stea si sa frece frontu toata ziua”.

Terenul fiind pregatit, m-am dus la conu Sam, si i-am explicat ca desi n-am resurse, ca desi n-am cu cine, ca desi sunt vai mama mea la capitolul hardware, sunt un bun samaritean, si rup de la gura copiilor mei si ii fac domnului aiti manager un zid de foc, cu care sa-si apere serverele de intrusi. Doar ca nu pot eu sa ma duc asa si sa zic ca gata, am cu ce, cand l-am refuzat politicos pe domnu manager mai acu cateva luni si cand i-am zis ca inca o masina pentru departamentul lui nu intra in vederile mele pe termen scurt, mediu sau lung. Si i-am mai spus ca am pregatit cea mai tare masina pe care o aveam la dispozitie, si ca sunt gata sa o pun in productie, trebuie insa sa oficializeze el treaba, doar ca, dat fiind ca e un punct sensibil in retea, si ca domnul manager aiti a demonstrat ca nu are nici o treaba cu nimic in ceea ce priveste administrarea de servere (vezi, printre altele, discutia de mai sus corect si complect documentata), administrarea noului firewall trebuie sa fie exclusiv in sarcina departamentului pe care cu onor il conducem. Sam a fost de acord cu mine, dar inainte sa iasa la inaintare s-a dus si s-a consultat si cu restul managementului, care a fost in totalitate de acord cu idea lui (pe care avusesem grija sa o prezint inainte sa vorbesc cu el in privat fiecaruia dintre ceilalti manageri).

Asa stand lucrurile, a aparut in intranetul companiei un task care zicea ca trebuie sa gasesc resurse si sa construiesc un firewall pentru departamenul aiti. Am comentat in task ca ce am facut, am omorat pe mama, dar ca rezolv, si ca voi fi gata cu masina in jumatate de ora, si ca imi trebuie exact specificatiile de la departamentul aiti cu ce anume trebuie sa lase firewallul sa treaca si cu ce anume trebuie sa blocheze. Dupa mai putin de 5 minute a venit raspunsul (si restul de franghie a fost acordat la pret redus) mult asteptat, prin care managerul aiti punea urmatoarele conditii: una la mana, el trebuie sa fie implicat in cumpararea serverului, ca nu se poate sa fie Supermicro ca trebuie neaparat sa fie Dell sau IBM (in datacenter la ora actuala avem vreo mie de servere supermicro, patru servere Dell care au ramas mostenire de la vechiul regim, si nici un IBM); a doua la mana trebuie neaparat sa fie cu hard diskuri SCSI, ca astea sunt cele mai bune si cele mai rapide; a treia la mana, trebuie neaparat sa aiba sistemul de operare pe care il vrea el (recte Debian - standardul in firma fiind Centos); a patra la mana, el va crea firewall-ul initial, urmand ca modificarile ulterioare sa fie facute de departamentul SA, dupa ce se obtine in prealabil aprobare de la el.

Nu puteam sa raspund eu, ca dech, se stie ™ am un cui impotriva lui, asa ca a raspuns Rick, si i-a explicat ca in primul rand, firewallul este un echipament de retea si nu un server. De echipamentele de retea se ocupa administratorul de retea, care intamplator este membru marcant al departamentului SA, si nu al departamentului aiti, si ca motivul pentru care acest firewall se instaleaza este ca departamentul aiti a declarat ca nu are timp, cunostiinte sau resurse sa administreze un astfel de sistem. In al doilea rand, nu este nevoie de hard-disk-uri SCSI, pentru ca nici una din datele care trec prin aceasta masina nu vor fi stocate pe disk, ci vor fi ori pasate mai departe la masina de destinatie, ori blocate. In al treilea rand, firewall-ul nu este si nu va fi un server, ci mai degraba un echipament dedicat, de genul PIX Firewall de la Cisco, sau poate chiar un Checkpoint firewall. Pentru a doua oara in aceeasi zi, toti cei patru manageri ai departamentului SA au fost in deplin consens.

Managerul aiti a raspuns ca in asemenea conditii, el nu poate avea incredere in acest firewall, si ca sigur, putem sa punem ce firewall vrem noi, doar ca el considera ca nu exista nici un firewall, si in continuare are nevoie de masina pe care a cerut-o. Apoi a trimis un email pe lista cu toti managerii companiei in care spunea (carevasazica ca si-a adus sapun de acasa) ca el studiaza in mod continuu noile tehnologii, si ca este un foarte bun specialist in domeniul IT, spre deosebire de alti oameni cu mai putine competente, care sunt prin conducerea altor departamente, si ca sa nu-i mai pierdem timpul cu tampenii, ca daca el a zis ca ceva trebuie facut intr-un anumit fel, atunci treaba aia trebuie facuta in asa fel si nu altfel. Nu m-am putut abtine, si am raspuns cu “ne cerem scuze, n-am stiut de competentele tale, care sunt exact alea?” si apoi am semnat cu numele urmat de literele “CCNA, CCAI, CCNP, MCP, si altele”. In public nu mi s-a raspuns, iar in privat alti manageri mi-au zis ca s-au amuzat copios. In plus, sora mi-a spus ca luni se intoarce, si ca asa nu mai merge, si ca o sa-l puna ea la punct cu aceasta ocazie, sa am masina pregatita, ca se va face cum s-a stabilit (r).

Drept pentru care acum sunt in avion spre San FranCISCO, unde ma voi intalni cu niste oameni de la o companie al carui nume nu-l vom mentiona in mod explicit, si luni, cand ma intorc, mi-am propus sa-mi iau aparatul de fotografiat cu mine, pentru cazul in care se mai intampla sa se impiedice colegul.

Ca tot n-am reparat clanta.