アカウント名:
パスワード:
ミッションクリティカルな場合、まずユーザーへのサービスを停止します。 #Apacheを止めるって意味じゃないですよ。「業」としてのサービスです。 その後初めて入れ替えが出来ます。 で、当然それだけではユーザーへのサービスを再開する事は出来ず、 運営責任者同伴で一通りの試験をして問題が無いと確認し、きちんと承認を 貰ってからで無いとユーザーのサービスは再開出来ないって事になりますから。
因みに、作業中は同伴している運営責任者から、 「1分止めるとウン十万円の損害なんだよねぇ。」 って御託が必ずと言って付いてくるの
ちょっと異なるかな? テスト環境でのテストはやります。が、それによる結果確認は飽く迄 テスト環境のものであって、実機のものではありません。故に、実機での 再確認が必要となるのですが。
実際、微細な差によりトラブル発生ってのも無いとは言えないですし。 まあ、モノに依って(例えば、ページが見れなくて客がいらつく程度
実際にミッションクリティカルな業務であったとしても、それに使用する 予算を決めるのはそのその責任者であり会社ですから。 が、だからと言って運用を行わない訳には行かない。 となれば、永遠の暫定仕様のシステムってのが発生するのが往々にあります。 結果、ミッションクリティカルにも関わらず、それに即した構成に なってないシステムが多々存在るのが『現実』ってものです。 #って、元々理想論を外した問題の出る例を出していた筈ですので、 #「それはおかしいですね」って言われれば「そうですね」としか #言えないんですが。 もっと端的に、「ケチった結果」ってのも多いし。
>タレコミにある様に「脆弱なApacheサーバを放置している管理者」 >が最大の問題児 であるという意見には激しく同意してしまいます。
最大かどうかはさておき、問題であるのは確かでしょう。 が、それの基準が余りにも曖昧なレベルで他を責める書きこみが 多いのがちょっと。 パッチの適応が1時間であっても半日でも2・3日でも、危険を放置 している期間が存在するのは同じ。 確かに放置している期間が長い方が危険度は高いでしょう。 でも、それをOK・NGと別ける厳密な基準ってのは無いんですよ。 それを主観的な基準により「自分はOKそれより遅いとNG」的に 表現されていたりすると「なんだかなぁ」と思ってしまいます。 他人の目から見れば、その「俺的自分はOK」ってのでも遅すぎて 話にならないって可能性もありますし逆もありえますし。
実際、各サーバに人間を複数配してワッチをし、いざという時の為に バックアップ機材・要因を揃え、必ず人間が24時間監視しているって会社 ってどんだけあります? それによりセキュリティレベルが上がるのは確かですよ。 でも、ここで他人の怠慢を最大理由にしている人でもまずそこ迄は行って 無いのでは? でも、本当にセキュリティを重要視するプラントなんかでは常識 ですから、不可能でも非現実的でもないので、完璧を目指すのであれば やるべきではありませんか?
で、もしあなたがそこ迄やらないのであれば、その理由が即ち、他の仕事 にかまけてメンテを一日二日延ばしにする管理者の理由だと思いますが。 #やっているなら「凄いですねぇ」と素直に賞賛しますよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
本業がマシン管理なひとならそれでもいいだろうが (スコア:2, 興味深い)
誰もが、サーバーの管理をして給料をもらっているわけではない。 サーバー管理より優先度が高い別の仕事をメインにやりながら サーバー管理もやらされている人は少なくない。
日がな一日セキュリティホールつぶし遊びをしていれば ソレで済む暇なオタクばかりじゃないんだよ、世の中は。
事情は色々ありますよ。 (スコア:2, 参考になる)
ただ、こちらの書き込みをされた方の文章も独善的ですね。
今回の問題はかなり広域なサーバーに影響を与えるにも関わらず、
修正まで公開を待てなかったISSに多少の問題があった様な気がします。
以前、自分もセキュリティ関係でとある会社のソフトウエアに報告をした事がありますが、
相手の反応を待って修正パッチが公開された頃に、警鐘の意味を込めて
「この様なセキュリティホールがある」と謳った事があります。
私の所属する会社でもApache 1.3.24(FreeBSD)が動いております。
これ、一刻も早くバージョンアップしたいのですが、
Re:事情は色々ありますよ。 (スコア:1)
FreeBSDではApacheを使ったことないのですが、Linuxの場合はApacheを動作させたままrpmでバイナリを入れ替えても、動作には影響ないんですけど?
なので、停止するのはApacheを再起動するための1-2秒間だけ
Re:事情は色々ありますよ。 (スコア:1)
御意。ぼくの管理下にあるサーバはslackベースですが、apacheの入れ替えをする手順は、
(1) テストマシン(本番マシンと同様の構成)で新apacheのビルド&インストール
(2) テストマシンでの新apacheのチェック(ややこしいCGIとかがあるのでこれは必須)
(3) 新apacheのバイナリをパック。及びpkgを作成(お客さんへの配布用)
(4) 本番マシンに仮のディレクトリで新apacheを展開
(5) 旧apacheの停止、旧apacheディレクトリの名前を保存名に変更、新apacheのディレ
Re:事情は色々ありますよ。 (スコア:1)
ミッションクリティカルな場合、まずユーザーへのサービスを停止します。
#Apacheを止めるって意味じゃないですよ。「業」としてのサービスです。
その後初めて入れ替えが出来ます。
で、当然それだけではユーザーへのサービスを再開する事は出来ず、
運営責任者同伴で一通りの試験をして問題が無いと確認し、きちんと承認を
貰ってからで無いとユーザーのサービスは再開出来ないって事になりますから。
因みに、作業中は同伴している運営責任者から、
「1分止めるとウン十万円の損害なんだよねぇ。」
って御託が必ずと言って付いてくるの
Re:事情は色々ありますよ。 (スコア:1)
ミッションクリティカルなシステム、ぼくが絡んだものは、テスト環境(本番データを使用、外部へのサービス提供は無し)で検証を行って、が手順でしたが。勿論、ソフトウェア移行の後に本番サーバで最終試験はしますが、それは移行後の確認ですね。世間一般の業として行われているミッションクリティカルな用途では、テストとは現物合わせ、つまりサービスを提供を止めないとテストは出来ない、と言う、いわば情けないマネジメントで行われているのが普通なのでし
Re:事情は色々ありますよ。 (スコア:1)
>では、テストとは現物合わせ、つまりサー ビスを提供を止めないと
>テストは出来ない、と言う、いわば情けないマネジメントで行われ
>ているのが普通なのでしょうか?
ちょっと異なるかな?
テスト環境でのテストはやります。が、それによる結果確認は飽く迄
テスト環境のものであって、実機のものではありません。故に、実機での
再確認が必要となるのですが。
実際、微細な差によりトラブル発生ってのも無いとは言えないですし。
まあ、モノに依って(例えば、ページが見れなくて客がいらつく程度
Re:事情は色々ありますよ。 (スコア:1)
実際の所、ミッションクリティカルなシステムはその様なタイトな運用が行われているものにしかコミットしていません。(日本の)世間一般にはどの様な方針で運用が行われているのか分からなかったため、ご教授を願いました。そこまでのタイトな要求は(多分日本で、だと思いますが)ミッションクリティカルなシステムの運用に求められていない、がお答えの様ですね。勉強になりました。
「使わないバックアップ機はカネの無駄」と言い切るIT担当者、ありがちですね。敷衍すれば「セキュリティホール潰しなんざ金の無駄」となる訳で。振り返ってapacheの事に話を戻すと、タレコミにある様に「脆弱なApacheサーバを放置している管理者」が最大の問題児であるという意見には激しく同意してしまいます。それが独善的である、出来ない事を強要してる、等の意見は、将に現状のpoorなマネジメントを是認している事で、「ぼく、悪くないもん!」的なオコチャマ発想と考えたりします。
Re:事情は色々ありますよ。 (スコア:1)
実際にミッションクリティカルな業務であったとしても、それに使用する
予算を決めるのはそのその責任者であり会社ですから。
が、だからと言って運用を行わない訳には行かない。
となれば、永遠の暫定仕様のシステムってのが発生するのが往々にあります。
結果、ミッションクリティカルにも関わらず、それに即した構成に
なってないシステムが多々存在るのが『現実』ってものです。
#って、元々理想論を外した問題の出る例を出していた筈ですので、
#「それはおかしいですね」って言われれば「そうですね」としか
#言えないんですが。
もっと端的に、「ケチった結果」ってのも多いし。
>タレコミにある様に「脆弱なApacheサーバを放置している管理者」
>が最大の問題児 であるという意見には激しく同意してしまいます。
最大かどうかはさておき、問題であるのは確かでしょう。
が、それの基準が余りにも曖昧なレベルで他を責める書きこみが
多いのがちょっと。
パッチの適応が1時間であっても半日でも2・3日でも、危険を放置
している期間が存在するのは同じ。
確かに放置している期間が長い方が危険度は高いでしょう。
でも、それをOK・NGと別ける厳密な基準ってのは無いんですよ。
それを主観的な基準により「自分はOKそれより遅いとNG」的に
表現されていたりすると「なんだかなぁ」と思ってしまいます。
他人の目から見れば、その「俺的自分はOK」ってのでも遅すぎて
話にならないって可能性もありますし逆もありえますし。
実際、各サーバに人間を複数配してワッチをし、いざという時の為に
バックアップ機材・要因を揃え、必ず人間が24時間監視しているって会社
ってどんだけあります?
それによりセキュリティレベルが上がるのは確かですよ。
でも、ここで他人の怠慢を最大理由にしている人でもまずそこ迄は行って
無いのでは?
でも、本当にセキュリティを重要視するプラントなんかでは常識
ですから、不可能でも非現実的でもないので、完璧を目指すのであれば
やるべきではありませんか?
で、もしあなたがそこ迄やらないのであれば、その理由が即ち、他の仕事
にかまけてメンテを一日二日延ばしにする管理者の理由だと思いますが。
#やっているなら「凄いですねぇ」と素直に賞賛しますよ。