余計なお世話

投稿者: | 1月 22, 2020

Linuxのセキュリティが高いからWindowsは使わないという人に一つ物を申したい。

その前に、私は別にLinuxが嫌いなのではない、逆に16年間もLinuxを使い続けているくらいだ。
どこの職場へ行ってもLinuxの経験は一番長い。

本当にLinuxのセキュリティは高いのか?確かに高い。ただし、アップデートも半端ではない。
Windowsは月一度がデフォルトだが、Linuxはそれ以上にアップデートをしているような気がする。
セキュリティが高いからと言ってアップデートを怠っていないだろうか?
世の中のホスティングベンダーは、よっぽどの事がないとアップデートをしてくれない。実は、
ディストリビューションではかなりの頻度で更新が入る。もちろん機能拡張やバグフィックスも含まれる。
機能拡張はともかく、バグフィックスは、後でそのバグにぶち当って悩むことも多い。ちゃんとアップデート
しておけば、そのような時間に直面しなかったはずである。

また、業務環境にtarボールパッケージの最新版を入れるという危険なことをしていないであろうか?
最新版は、安定版といわれているものでも決して安全ではない。誰も使っていないから人柱にすぎない。誰が保証してくれる?
GPLのパッケージならば自己責任である。Apacheの団体が保証してくれるのか?それも彼らが日本語でサポートできるのか?
以前、Linuxのカーネルに、e1000のカードを破壊してしまうドライバーが含まれていたことがある。
すぐにそのカーネルソースは削除されたが、手に入れて使ってしまったら、お釈迦である。さらにオンボードNICのカード
であったら、マザーボード交換になる。

ソフトウェア業界に身を置いていた私の考えだが、本番環境で、tarボールからのインストールは
おすすめしない。なぜなら、tarボールがソフトウェア製品とすれば、ディストリビューションも
ソフトウェア製品である。特に商用のディストリビューションでは、パッケージだけの品質確認だけではなく、
ディストリビューションとしての品質も確認されている。
多くのディストリビューションベンダーは、tarボールでコンパイルされたソフトのサポートをしないのは
そのためである。
部品としての品質はとれているかもしれないが(しかし、人柱の可能性も十分にある。何度でもこの件は言わせていただく)、
全体としての品質保証はとれていない。所詮最新パッケージは、開発者向けのものである。
逆にディストリビューションベンダーだけで使えば、日本語でサポートしてくれるのである。たとえ、PostgreSQLの設定ですら。
パッケージ版を使いつつ、SEに余計かつ無保証な保守料を支払う必要はないのである。

そもそも、SEからtarボールパッケージの最新版で提供されるのであれば、常に最新版へアップデートされるべきではないか?でも導入時のままになっている
ケースが多いだろい。もちろんSEの言い分は「導入時の最新」と主張するが、歴史のスナップショットはいらない。これは単に、
SEの自己満足だ!

最新版信仰者に聞いてみるがいい。その最新版パッケージは「どこが」ディストリビューション付属のと違うのか?
Change Logを照らし合わせながら説明したら大したものであるが納得はできない。
今、提供されている環境で、そのtarボールパッケージ最新版のソフトを入れて、どのような検証をしたのか教えてほしいくらいだ。
もちろん、セキュリティを主張するならば、パッケージが抱えているセキュリティ問題の修正確認をしているのだろうか?
IPSの結果を主張するのであれば、ディストリビューションのパッケージが不合格で、最新版のパッケージが合格しているのだろうか?

もちろん、同じことをディストリビューションベンダーに同じ事を聞けば、教えてくれるだろう。少なくとも彼らの手元には社内資料はある。
また、最新版でしか修正できない問題が仮にあったとしても、実はバックポートという事を行っていて、古いバージョンでも
最新版の修正が取り込まれていることが多い。さらにそのパッケージは言うまでもなく、ディストリビューションベンダーの
保証付きである。(中途半端な最新版を入れられていて放置されている環境が一番危険!)

最新版を入れることを主張する人間は、気分で仕事をしているような気がしてならない。少なくともそのような、SEと
仕事をするのは控えるべきだ。

同じような議論として、Exchangeのセキュリティ問題を語る人も同じかもしれない。昔のWindows NTのメールシステム
はとんでもなかったが、今は安定している。私は偶然にもいくつかの問題に直面したことがあるが、今の人は知らないはずである。
そのような人にメールのbccは、もともとなんのために使われていたかを聞いてみるといい。

昔のメールシステムは、ちゃんと届かない可能性があったので、bccに自分のメールアドレスを入れて、少なくとも自ネットワーク
での配送を確認するために使った。(bccは、あくまでも自分のアドレスを入れるためのものである。)
特に、Windows NT版のsendmailは酷く、10通送って5通届く(数字はもう曖昧だが)という代物であった。
さらに当時のExchangeもしくは、outlookは、message IDの付け方が一意ではない方法でつけられていた。(確かFQDNではなく、
単純なコンピュータ名が使われていた)一応は、メールは届くが、一意性に欠けるという問題があった。
message IDの一意性がないと何が起きるかというと、メールの多重配送が発生する。特にネットニュースで発生する可能性
が高いと指摘されていた。

高いお金を払って、パッケージのアップデートが管理されない、最新版で人柱システムを使わされている人に
余計なお世話かもしれないが、曲がった知識の押し売りの購入は勘弁してほしい。。。

コメントを残す