按月存檔:十一月 2015

不是只有重開機的選項!!??

幾年前,離開大公司加入一間規模不大的公司,這裡經常遇到資料庫伺服器CPU滿載的問題,當然工廠端的使用者不會開心的,抱怨電話當然是拼命的打,如果事後不高興,再向總部老板用電子郵件客訴那也不稀奇

人家說,觀念影響行動,態度決定高度,當時IT的在台主管認為程式是美國總部寫的,他也無從查起,只能按照要求去解決LOCK,如果實在機器不能動了,也只能在美國的同意下重開機,當時聽得出來,他心裡也有很多的不快,我想主要是參與感不夠的關係; 同時對於可能的原因,也開始了多方的揣測

只是在我好奇的詢問其揣測的數據基礎時,我才驚訝的發現,其實沒有人知道,在資料庫伺服器卡住的同時,是那些TOP SQL佔住了系統資源, 又伺服器是因為CPU LOADING重,還是MEMORY不夠,還是DISK IO不夠?? 反正,真的卡得都動不了,重開機就可以用就好了…

這向來不是我個人的行事風格,反正閒來無事,我就開始觀察,並且很勇敢的安裝監控程序在系統裡; 當然有人會說,那系統就很忙了,你還裝監控,那不是會掛掉??這的確是一個合理的推測,也有可能會發生,不過,如果你什麼都不做,你就永遠什麼都沒有機會知道!! 而且我總是認為,只有看到LOG,才能相信,其它不管你經驗多豐富,猜測的準確機率,也不是沒有,但絕不會是100%; 電腦的世界很笨,0就是0,1就是1,絕不會有0.5.

經過一段時間的觀察,這個系統其實也沒什麼大問題,它的最大問題有幾個

  1. transaction log 沒有清掉 : 因為不斷長大,大到10幾GB,而且設定為自動增長,當它愈大時,系統的DISK IO會變慢,因為在等它變大,尤其這又是一台虛擬化的SQL SERVER; 後來設定自動備份,維持小而美的LOG FILES就解決了.在DISK IO變慢的情況下,CPU就會看到100%,因為CPU在等..
  2. 有些INDEX沒建: 這就需要工具去找TOP SQL, 再針對其SQL去做優化或建INDEX. 其實微軟本身就有提供不錯的監控工具,如PERFORMANCE DASHBOARD,如我以下的示範.
  3. 有些LOG 及DATA FILE全放在同一磁碟機 : 其實這是不太好的系統配置,後來加入NAS去分擔DISK IO,系統就會跑得更順

經歷這些調整之後,果然後來CPU LOADING HIGH的情況,就減少很多了,抱怨也就減少

無線網路訪客管理

PFSENSE是挺有名的開源防火牆,其中有一項功能,不知大家注意到沒有, 它叫captive portal.

這一個功能可以提供一個網頁使無線網路使用者,輸入臨時取得的帳密,僅供短時間的使用,可以跨裝置使用,但一旦開始啟用,帳密即開始計時,直到當初授權的時間終了即不能使用.

比如我拿到一組USER1的帳密,它只允許使用120分鐘,這一段時間,同時只能有一個裝置使用此帳密,但一旦開始使用,中間不管你換多少裝置,(當然同時間還是只有一個裝置能用),120分鐘期滿,該帳密即自動失效!!

其實,我不止一次,在很多公司看到各個公司會議室都會放個訪客的無線網路帳密印好放在桌上,如果你詢問其IT,他們一定告知,他們每日會更換,這還是做得最好的,也有萬年不換公用區域或會議室的無線密碼的,反正他們覺得,該區域是獨立上網,對資訊安全不會有太大的影響; 但他們卻忘了一件事,很多同事,如果發現內部網路有很多限制,這裡不能去,那裡又監控的,自然想到訪客網路是無限制上INTERNET的,自然就會去搞來用,而且,那裡的帳密完全是共用的,如果還有做RADIUS的話,根本分不清誰是誰??

我如果是駭客,我最喜歡這種地方了,我只要到有會議室的地方,取得當日的帳密(很多印在桌子上,包括我去年在大陸的公司也是),取得這個公用網路的許可權後,接著只要掃描在同一網路內的內部使用者,很快的, 一定會發現有內部的使用者也在偷用此網路,那麼其電腦就是最可能在最短時間內植入木馬或病毒或攔截其封包分析的最佳管道了…

所以為了增加更好的無線網路安全,最好將訪客區域的無線網路做好存取管控,以及訪客登記的工作..

以下是我的建議:

  1. 透過此套件,分類不同需求的來訪者,比如有1小時,2小時,4小時,6小時,8小時,等等,預先印出動態帳密交與櫃台人員
  2. 櫃台人員透過訪客登記系統或人工作業,請來訪者簽名領取帳密,這樣便知何時什麼人曾使用過那一組動態帳密,方便當下或事後追蹤
  3. 櫃台需交付明確的管理簽名名冊才能再領取新的動態帳密
  4. 資安主管或負責人員需確保此流程的嚴謹實施

以下分享我之前曾做過的示範: (手機可能無法觀看FLASH)

 

 

IT 需求管理

11/10/2015 9:09:55 PM

IT 管理工作, 最困難的是如何平衡人力與預算,以及如何判斷優先順序??

IT 平日負責維運工作,同時,會因應各單位突如其來的需求,有時,IT因為不在決策圈內,同時公司可能將IT視為後勤單位,所以經常會有狀況外的情況出現,比 如神秘的產品突然上市,市場行銷部門會急如星火的要求官網的上線支援,緊急調派所有線上的資源也要符合;這個時候,IT有再多的流程管理要求,可能都在一 句話下,被打槍,比如說,這是CEO要求的,IT就只能嘴巴閉上去做事了.

是的,即便如此,是不是IT就能以此為藉口而不進行量化的管理?

個 人後來的管理理念,都偏向導入服務管理的流程觀!! 建立維運所需的服務客服系統,這可以反映IT人力資源在各種技術支援所耗費的管理成本,接著再依公司戰略策略需求下,進行IT項目/專案的管理流程; 所有專案一旦准予成立,專案本身也有專案辦公室負責專案的流程管理,而所有工作包的人力準備及規劃,也應置入服務系統一併進行IT資源管理.

我有幸在前一東家實行了這一連串的過程,我會在管理分享的單元,分享個人的經驗及想法.

以 下分享一份個人之前導入的IT需求管理流程!! 當時,我甫就任的IT,即便立項,也可能碰到使用者突然說,不用了,結果IT耗費了大量人力,卻做了白工的情形,這樣的狀況還不是一兩件而已,所以推出需 求管理的流程,是試圖在IT及業務單位的高層,建立起一致的管理流程理念及想法,這樣才能在吃緊的IT管理中,由業務及IT單位一併做好決策管理,並使 IT的人力及預算用在最佳化的狀態

IT需求登記及审查說明簡报

IT報告探討

之前初到前一東家時,IT內部各團隊報告格式都流於流水帳的形式

但都很認真,一張EXCEL表,羅列了所有IT正在進行的項目或維護 事項,可謂天書表矣,在報告時,聽者暈頭轉向,為何? 因為跳來跳去,一下看第一項,突然又跳後面第十幾項,然後就看MOUSE滿天飛舞,這樣的情況,我大概經受了兩三個星期; 而且所有的報告,都無法呈現量化的數據,只有AP可以跟你說他多少人工天,但當時AP又卡在系統分析在一個組,開發在另一個組,分析與開發團隊的頭是死對 頭,在會議上你來我往,搞得大家摸不清誰對誰錯?

一開始,高層一直希望我告知到底誰對誰錯?不過,我個人內心是在想,問題其實就在高層,因為是我們允許他們這麼做的,基層的人,基本上都想把事做好,但規則沒有訂定好,尤其是報告的效率及格式都有問題,如何建置一個可以被追蹤的IT報告管理模式,也是我當初在思考的點!!

所以在導入IT服務流程及IT服務系統OTRS時,我也制作了一些IT報告應著重的重點,分享給IT的同仁們,尤其希望大家能把服務的流程觀建立起來,內部不能只有對立,而沒有對話!!而如何建立起可供對話而又允許建設性衝突的平台,這有賴高層的領導能力.

以下分享一份我當初制作的一份文檔, 密碼: urcloud1688

IT报告格式探讨.protected

IT PMO

11/12/2015 08:48:06

IT PMO, 全文為IT Project Management Office,即IT專案管理辦公室,IT PMO的角色定位為CIO的幕僚單位,為IT專案管理的管理單位,初期是一個虛擬組織,實際上,當我初到那公司提出此建議時,也只有我一個人在PMO. 話說,這也不是我自己無端提出,而是在就職前三天,我接到該公司執行董事的電話,他是IT的實際負責人,他要求我必須兼管IT項目(即IT專案).

當 我初就職時,首先我發現,IT單位就任務及專案的界線也不清楚,有些支援性工作,該單位也說是項目,項目基本上,被實際實体的行政組織單一劃分,這也造成 一種危險,只要有跨部門的溝通或配合事項,就牽涉許多組織內部文化的問題.最後呈現的結果,便是在會議中互相的較勁,我姑且不說是交互指責吧.

當下幾個比較嚴重的狀況,我發現到的是:

(1) 以支援的定位看待項目,許多時候,項目的優先順序取決於發起的時間

(2) 項目缺乏立項前的決策機制,通常是由該單位主管自行決定,又因為以支援的角度設想,因此一般也難以拒絕

(3) 項目立項後,許多跨部門溝通,卡住了項目往前順利進行的步伐

(4) 項目決束後,也缺乏績效追蹤的機制

(5) 項目的發起者,包括業務單位,缺乏戰略思維,有些是某一基層主管突然發起的,缺乏戰略思維,亦即該公司也缺乏年度策略規劃的展開

(6) 項目缺乏分級機制,所有項目不分大小,重要性都一樣,亦即IT資源運用陷入極度不足,而業務單位對IT也相當不滿

許 多人都說,IT的角色必須由被動的支援單位,改變而為能夠配合公司戰略規劃,主動配合的單位,因此,首先我也建議需進行IT 3-5年的策略規劃,以此配合公司業務需求的戰略,再發展各年度IT應進行的項目,這樣所有的項目決策才能清晰,更能align with business.

成立IT PMO後,我做了簡單的項目管理的教學,同時包括OPPM的教學,並開始在就任後第三個月導入立項程序,所有項目的決策機制拉到IT PMO,各單位必須將需求送至PMO審查後,通過立項程序,在立項前,所有工作包的討論,必須得到各單位主管及項目參與者的簽名,使大家知悉在何時需預備 投入什麼資源,而工作包間的WBS,也由PMO來界定是否合理?每一工作包以週為單位做為進度報告及規劃的依據.每周周報時,僅需報告當周進度的狀 況,OPPM上需顯示是已完成或進行中或未開始,個別以綠底實心代表如期完成,黃底實心代表有點落後完成,紅底虛心代表落後卻未開始,因此管理階層要投入 會議討論的當然是黃底及紅底未完成或未開始的部分,尤其是當周應完成卻落後的工作包.

也因此,後來周會也能更加順利的進行,IT PMO這裡,則開立所有項目的管控表,也因此未來會有每一個IT成員在項目投入的貢獻指標,雖則目前沒有系統,但即便透過EXCEL,也能快速的統計.

作為PM的人員,也不是任何人都可以擔任,至少需由主管提報,再由PMO確立可行,同時PM也可做為未來的儲備主管來培養,所以也建議高管,必須將這些列入績效考核的範圍,否則只給鞭子不給糖,那是不行的

結案後一個月,或視需要延後,PM需報告實際項目執行後,有無達成立項時在CHARTER上顯示的預期效益目標,此亦由PMO負責審閱.

在我離開前,PMO只再多增加一位行政助理而已,主要幫忙我統計資料,所有審查及溝通,全落在我個人身上,可見工作負荷之大,而這竟是當初工作中未談及的部分,所以我也算是善良的人吧

IT PMO 五月上線後,在七月份的統計,已有廿六項項目在手,可見該公司的欣欣向榮!!

唯 一值得欣慰的是,幾位IT經理或一些資深的工程師們,都向我反應,現在項目的進程順利多了,最後執行董事,在年底的高階主管策略會議上(這是該公司第一次 以年度策略規劃名義召開此會,一般皆是年度REVIEW會議),向全公司高管說,IT進步很大,抱怨也變少了.我想這個時候,我或許也該有一點成就感!

VM搬移

VMWARE VSPHERE 5.1可以接受很多不同的虛擬平台遷移到它的平台上,比如HYPER-V, MS VIRTUAL PC等等,但很怪的是,就不支援ORACLE的VIRTUALBOX

不過今天GOOGLE了一下,其實是可以的,只是自己要去修改在VIRTUALBOX匯出的.OVF檔案

有幾個重點:

(1) 匯出時要選擇OVF 0.9的版本,同時要存在.OVF,它匯出程式內建是.OVA,要自己再選擇

(2) 存出的.OVF檔案,先存成一份備份,再加以修改

(3) 參考以下兩個網址的說明去修改你的.OVF檔案

https://tad-do.net/2012/01/30/converting-virtualbox-to-vmware-esxi/

http://datos.asia/2013/04/09/migrate-from-virtualbox-to-vsphere-5-1-vmware/

(4) 上面二檔大概的重點是VIRTUALBOX的導出文檔,是RANDOM的,所以裡面有許多的參數是隨機取出的,但是VMWARE對此是很嚴格的,你必須依 照CDIRR的順序檢查所有的參數是否按排序排列; 同時VMWARE是不喜歡SATA界面的,SATA的部分要刪除,改成以SCSI的方式建立DISK IMAGE的部分,另外聲卡也要DISABLE掉

(5) 另提醒,不要用WORD之類的文書編輯器去編輯.OVF檔,因為它會加上不必要的碼在文件裡, 我是使用NOTEPAD ++

以下是我轉檔的圖檔紀錄

MWSnap015 2015-11-06, 18_44_45

在VIRUTALBOX上選擇匯出應用裝置

MWSnap016 2015-11-06, 18_44_55

我準備匯出CENTOS1 也是我白天開放的虛擬主機, 對,目前RUN在我自己筆電裡,裡面裝有OPENMEETINGS, OTRS以及我的WEB及MYSQL DB.

MWSnap017 2015-11-06, 18_45_02

選擇後跳出的畫面,一般不會匯在C槽內,想必是其它內部或外部更大的存儲媒介,這裡請記得把格式選擇OVF 0.9

MWSnap018 2015-11-06, 18_45_36

輸入外部存儲以及檔名,再選擇格式為OVF 0.9

MWSnap019 2015-11-06, 18_45_44

準備匯出

MWSnap020 2015-11-06, 18_46_04

按下匯出鍵後,系統開始匯出

MWSnap021 2015-11-06, 19_31_15

編輯完OVF檔後,在VSPHERE CLIENT上選擇匯入OVF TEMPLATE

MWSnap022 2015-11-06, 19_49_38

選擇剛才匯出的OVF檔 請記得編修它為VMWARE看得懂的格式

MWSnap023 2015-11-06, 19_49_51

如果格式錯誤,就看不到這個畫面,如果看到了,表示格式對了

MWSnap024 2015-11-06, 19_50_21

輸入你要識別此台VM在VSPHERE CLIENT界面裡的名稱

MWSnap025 2015-11-06, 19_51_07

正在匯入中,這會花上一點時間

MWSnap027 2015-11-06, 20_54_44

已成功匯入

P2V示範

P2V 是英文 Physical to virtualization的縮寫, 意思是實轉虛

也就是說,如果你家裡有一台實體主機,可以把它轉換為虛擬主機

以過去我公司的例子,一台華碩1U的伺服器,可以容載10台虛擬主機, 最大的好處是節能,另外便是虛擬機可以非常方便在不同的硬體平台上移轉服務

其實,根據統計,一台實體主機,平日佔據系統資源的比率,或許連10%都不到,所以虛擬化的應用,可以使資源得到最大化的運用

而我則是拿來做為備份使用,常常好不容易把系統安裝完,不想下回再重來,可以以此方式做為備份的一種手段

以下介紹使用VMWARE提供的工具,將實體機轉移至VMWARE EXSI上的過程

MWSnap016 2015-11-06, 11_49_10

您可以到VMWARE官網,下載Vmware vCenter Converter,來做P2V

MWSnap017 2015-11-06, 11_49_59

目標主機是一台LINUX,實体機選擇POWERED-ON MACHINE,使用SSH方式登入

MWSnap019 2015-11-06, 11_53_43

接著輸入目的地,也就是ESXI主機的登入資訊,跳出的視窗,按IGNORE就好(忽略)

MWSnap020 2015-11-06, 11_54_22

接著輸入虛擬主機名稱,以供你在VCENTER的管理界面裡識別這是那一台主機

MWSnap021 2015-11-06, 11_54_29

這裡就關鍵了,選擇目的地的存儲空間,即你的虛擬機要放在那個硬碟或存儲陣列上

MWSnap023 2015-11-06, 11_54_44

我選擇750D2, 這每一個人的設定都可能不同,要看您的VM主機上你如何配置你的存儲,我這裡有一個空的250GB硬碟,我準備放虛擬機在此

MWSnap024 2015-11-06, 11_55_09

其實這裡有個叉叉,表示我的750D2空間可能不夠,這沒有關係,等一會兒換成THIN PROVISION的選項即可,因為雖然我原主機為320GB, 250GB根本不夠放,但320G並未實際用滿,大概只有50GB左右而已..

MWSnap025 2015-11-06, 11_55_30

選擇DESTINATION LAYOUT的TAB,將模式改成THIN PROVISION

MWSnap026 2015-11-06, 11_55_41

這樣子就差不多可以開始了,配置告一段落

MWSnap027 2015-11-06, 11_55_51

按下FINISH(完成),系統就開始送出這一個CONVERT JOB

MWSnap028 2015-11-06, 11_56_11

剛才送出的JOB,處於RUNNING(執行中)的狀態了,必須隨時觀察有無錯誤發生

MWSnap030 2015-11-06, 12_05_24

已經完成4%,我曾遇過在8%-10%,JOB跑不下去,失敗了,所以要繼續觀察一下

MWSnap031 2015-11-06, 13_45_48

吃個中飯回來,已經跑到54%,那麼應該都沒有問題了

MWSnap033 2015-11-06, 14_34_48

順利完成了,總計花了2小時27分鐘完成

MWSnap034 2015-11-06, 14_35_45

在VM虛擬主機上已可看到剛才轉入的虛擬機

MWSnap035 2015-11-06, 14_36_01

和原來實體主機的配置一樣,當然在這裡你可以再放大一些資源給它使用,反之也可縮小,視你的個人需求而定,我原主機是一台迷你PC,ASUS EEEBOX, 只有雙核,2GB,320GB HDD.

OTRS與SELINUX

SELINUX是LINUX系統裡很重要的資安要件,內定安裝都會啟動在ENFORCING狀態 不過在很多OTRS的安裝說明裡,都會告知各位一件事,不支援SELINUX,會要求你將SELINUX的狀態改成PERMISSIVE的鬆散狀態,即會通知你資安的事件,但不會強制制止不應該有的資安問題事件 大家都知道,資安的最高原則永遠是只開啟最適當最小的權限在你的系統裡!!因此我也出於好奇而開始尋找如何使OTRS與SELINUX並存的方法。 在GOOGLE過後,最清楚的是這一篇 http://gergely.polonkai.eu/blog/2013/5/6/installing-otrs-in-fedora-18-with-selinux-enabled/ 此篇有稍微留一手,首先是有一個小錯誤, 在httpd_script_exec_t 這裡不對,應該是httpd_sys_script_exec_t才對 另外它沒有說明那些目錄需要全部繼承httpd_sys_rw_content_t的權限,它只指出你可以用”/opt/otrs/(/.*)?”的語法來使底下子目錄全部繼承,不然你要一個一個目錄授權到昏倒的 如果你按照此篇文章,我相信你在啟動OTRS時,仍然會看到FATAL ERROR(嚴重的錯誤)的警告,完全無法成功進入OTRS. (PS: 文中所提的,也請按照他說的做完,再加上我的補充即可) 根據我的個人經驗,我的環境是CENTOS 7, OTRS5.0.3目前最新的版本,以下幾個目錄你是必須開啟的,語法如下: semanage fcontext -a -t httpd_sys_rw_content_t “/opt/otrs/var/tmp(/.*)? semanage fcontext -a -t httpd_sys_rw_content_t “/opt/otrs/var/httpd/htdocs/js/js-cache(/.*)?” semanage fcontext -a -t httpd_sys_rw_content_t “/opt/otrs/var/httpd/htdocs/skins/Agent/default/css-cache(/.*)?” 以上指令下完後,再下這個指令 restorecon -Rv /opt/otrs 後來還出現了抱怨無法連入MYSQL資料庫的錯誤訊息,這只要加入此命令即可, setsebool httpd_can_network_connect_db=1 如此就大功告成囉!! 特意附圖,有圖有真相,注意圖右下角的時間是一致的

MWSnap018 2015-11-08, 21_18_12

目前時間九點十八分,SELINUX模式為ENFORCING

MWSnap019 2015-11-08, 21_18_43

目前時間九點十八分,已成功登入OTRS (圖點擊可再放大)

附註: 因怕未來此文章在網路消失,所以以下供各位參考 以下文章轉述自http://gergely.polonkai.eu/blog/2013/5/6/installing-otrs-in-fedora-18-with-selinux-enabled/

Installing OTRS in Fedora 18 with SELinux enabled

 
Gergely Polonkai
May 6, 2013 :: 08:01
 

I’ve read somewhere in an OTRS installation howto that if you want to install OTRS, you will have to disable SELinux. Well, I won’t. During the last few months, I have been using Fedora 18 with SELinux on all of my desktop machines and on my notebook, and I had no problems at all. Meanwhile I got familiar with SELinux itself, and got used to solving problems caused by it. So I started tail -f /var/log/httpd/error_log in one terminal (to see if something Apache related thing appears), tail -f /var/log/audit/audit.log in another (to see errors caused by SELinux), opened the admin manual at the installation chapter, took a deep breath, and went on. Throughout this article, I will refer to OTRS 3.2.6 as OTRS and Fedora 18 (with only “stock” repositories) as Fedora. I assume that you have already installed OTRS in a non-SELinux environment before, and that you have at least some basic knowledge about SELinux, MAC, RBAC, and all the like. I’m installing OTRS in /opt/otrs, so if you install it somewhere else, you will have to modify the paths below. Also, if you happen to install under /var/www (I wouldn’t recommend it), that directory already has the httpd_sys_content_t type, so you won’t have to set it explicitly. As the first step I have unpacked the archive to /opt/otrs. This directory is the OTRS default, many config files have it hardcoded, and changing it is no easy task. Running otrs.CheckModules.pl gave me a list of missing perl modules. Red Hat and Fedora makes it easy to install these, as you don’t have to know the RPM package name, just the perl module name:

yum install 'perl(Crypt::SSLeay)'
            'perl(DBD::Pg)'
            'perl(GD)'
            'perl(JSON::XS)'
            'perl(GD::Text)'
            'perl(GD::Graph)'
            'perl(Mail::IMAPClient)'
            'perl(Net::DNS)'
            'perl(PDF::API2)'
            'perl(Text::CSV_XS)'
            'perl(YAML::XS)'

I also needed to install mod_perl. Although otrs.CheckModules.pl didn’t mention it, the default settings use syslog as the logging module, so unless you change it in Config.pm, you will also need to install 'perl(Unix::Syslog)', either. The default SELinux policy doesn’t permit any network connection to be initiated by Apache httpd. As OTRS needs to connect to its database, you need to enable it explicitly. In older distributions, the httpd_can_network_connect was the SELinux boolean for this, but recent installations also have a httpd_can_network_connect_db flag. As far as I know, this enables all network connections to the well-known database servers’ default port, but I will have to check for it. For me, with a MySQL listening on its standard port, the setsebool httpd_can_network_connect_db=1 command just did it. With SELinux enabled, Apache won’t be able to read anything that’s not marked with the httpd_sys_content_t type, nor write anywhere without the httpd_sys_rw_content_t type. The trivial, quick and dirty solution is to label all the files as httpd_sys_rw_content_t, and let everything go. However, the goal of SELinux is just the opposite of this: grant access only to what is really needed. After many trial-and-error steps, it finally turned out that for OTRS to work correctly, you must set

  • httpd_sys_content_t
    • on /opt/otrs/var/httpd/htdocs
  • httpd_script_exec_t
    • on /opt/otrs/bin/cgi-bin
  • httpd_sys_rw_content_t
    • on /opt/otrs/Kernel
    • on /opt/otrs/var/sessions
    • on /opt/otrs/var/log (unless you use syslog for logging)
    • on /opt/otrs/var/packages (this is used only when you download an .opm package)
    • on /opt/otrs/var/stats
    • on /opt/otrs/var/tmp
    • on /opt/otrs/bin (I wonder why this is required, though)

To do this, use the following command:

# semanage fcontext -a -t <context> <directory regex>

Where <directory regex> is something like /opt/otrs/Kernel(/.*)?. When this is done, all you have to do is running restorecon -vR /opt/otrs so it will relabel everything with the correct types (you can omit -v, I just like to see what my software does). The last thing I faced is that Fedora is more restrictive on reading directories other than /var/www. It has a Require all denied on <Directory />, and a Require all granted on <Directory /var/www>, so /opt/otrs/var/httpd/htdocs will throw a 403 Forbidden (client denied by server configuration) error. To get rid of this, I had to modify scripts/apache2-httpd.include.conf and add Require all granted to both the cgi-bin and htdocs directories. As I will have to use OTRS in a production environment soon with SELinux enabled, it is more than sure that this list will change in the near future. As there are no official documentation on this (I haven’t find one yet), I have to do it with the trial-and-error way, so be patient!

OTRS安裝

前年剛到前東家任職,其實內心頗為驚訝,一個號稱某領域世界第一的公司,IT仍然非常傳統的在運作; 當時的IT管理,流於流水帳的形式,專案運作也沒有效率,只有一直不斷的DELAY,一直不斷的救火,高層對IT非常不滿,因此而有了我的加入。

當 時我首先注意到了,IT猶如矇著眼睛開車的司機,完全不知路況如何? 也就是說,一天有多少事發生,沒有人知道,IT服務流程未統一規劃,甚至沒有監控系統,為了晚上的異常,管理階層想出的辦法是叫IT找人值晚班,因為沒人 要值,要另外找夜班人力,結果在深圳那地方,根本沒人要上夜班,開出的薪資也不算高,後來也找不到人。

於是乎,我首先建議導入IT服務的流程,另一部分是專案管理的流程,後者不在今日範圍內說明。又因為臨時要找預算不容易,我就推薦先試行免費的OTRS吧,至少有個開始!!

其實OTRS的安裝非常簡單,一開始深圳的IT同仁也是安裝在WINDOWS上,除了後來被我要求要用AD認證的帳號整合進去,我也幫忙找了很多資料,後來有做出來,此為他話不提。

不過我建議還是安裝在LINUX上,一則效率較好,二則經驗上會安全一點。

以下的說明,雖然是OTRS 4的安裝說明,但實際你安裝目前最新的OTRS 5 也是OK的

今早我使用CENTOS 7 安裝OTRS 5, 只花了很短的時間便完成,倒是後來研究如何在SELINUX在ENFORING模式下運作OTRS,花了更久的時間。

我使用的參考文章URL LINK如下:

https://huntingbears.nl/2014/12/11/how-to-install-otrs-4-on-centos-7/

OPPM

2015-11-11 2:54:33 PM

OPPM 英文全名為One Page for Project Management, 中譯為一頁式專案管理,在大陸都叫項目管理.

我第一次接觸這個OPPM,倒不是在我工作最久的老東家,而是離開之後,在一家美商公司的CIO那裡聽到的,當時他想要導入這樣的管理模式,在與我面試時就一再詢問我的意見,不過我當時主要的管理系統是使用微軟的專案管理系統.

後來CIO還每人發了一本原文書,有關OPPM FOR IT PROJECT的,我在這本書上學習到了原來可以更簡單的管理IT專案.不過,比較可惜的是,缺乏系統,只能使用EXCEL.不過,後來我在中國,也確實導入了這個管理流程.

IT 專案的管理最需要的是一個綜覽的視野,到底在目前的時間點,有多少項目,又有多少工作包應該要被執行,每週的週會工作會報,到底應該把管理的重點放在那 裡? 而不是讓底下的經理,帶著你在他的流水帳式的EXCEL檔裡進行MOUSE迷航,同時,各分工單位的基層主管也應了解其底下的組織成員有多少工作包的承諾 需要進行.

所以OPPM是很適合這樣的一個需求而存在著!! 所謂的一頁,它長得就像這樣,如圖.

MWSnap020 2015-11-11, 14_53_45

OPPM TEMPLATE

在進入OPPM的介紹前,我想這只是一個工具,如何使組織能夠運用它,實際上還需要一些行政管理及組織流程上的配合及調整.有關這個部份,屆時再介紹IT PMO的角色的建立及執行流程的經驗.

就OPPM的基礎介紹,請參考以下文件, 密碼為urcloud16888

Introduction of OPPM.protected