でも、本業で忙しい時のトラブルだけは勘弁してほしい。。。(マーフィーの法則ってあったなぁ、確か)えぇ、無事にITから足を洗いました。これからは外から「1ユーザ」として、何が起こっても面白おかしく見させてもらいます。
今進んでるという、情報セキュリティポリシーですが、情報全般と聞いていたんですが、いつのまにか「コンピュータのみ」となってしまっていました。なんというか、担当者がやはり全く成ってないとしか言い様がないですなぁ。出来てくるのがとぉても楽しみでんす。
ところでさぁ、プライベートな話なんですけどね、あの、出会い系勧誘メールなんですが、差出人の名前と本文の名前が合致していないのだけは勘弁してほしい なぁ。。。由香里さんからが本文では由加里だし、山口翼さんは斉藤さんだし、小西真奈美さんは真由美だし、、、ま、良いんだけどさ。
パッチも出たけど何もアナウンス無し。というのは、別に良いのですけど、大丈夫?
ま、いっか。ところで、ビデオ会議装置の整備は、どこがやるか、って前に会議であって、引継ぎでもちゃんと話したのに。。全然引き継がれてないのね・・・週末、聞きに来られちまった。ま、適当にやってよ、という事にしたけど。ちなみに、spamフィルター、とりあえず正常動作に成ったらしいんですが、すごい面白い事がわかりました。
拡 張子削除もやってるんですが、こいつをZIPにしたときの挙動が不思議。EXEをZIPしたとき、「EXEだから不可」とされたとき、そのまま通した時と ばらばら。もっとすごいのは、VBS。VBSは、何があってもそのまんま、試しにウイルスをZIPして流してみました。プププ。ずり抜け。な〜にやってん だよ。
えとぉ、私がいた頃は、私がセキュリティ監査(と言っても、規約でなかなか決めてくれなかったんで、全部自己責任でやっていた) やってたんですが、新体制では一応、「ちゃんとセキュリティボード作ってやる、あたしの頃のはポリシーを含めて継承しない」との事だったんで、引継ぎを敢 えてしなかったんですが。。。(ま、したくても出来る奴がいなかったんですけどね。)
今日、SPAMファイアウォールを入れることになった、って聞いたんで、早速効果の程を試してみたんですが・・・何も効いて無いじゃん。ちょっと前まで試験運用してたんですが、その時きちんと止めていたメールまでザル抜け。どうしたのよ?
聞いたら、「業者にもわかんない、本国に問い合わせるって言ってる」だと。ちょっと待てよ。
「昨日までちゃんと動いてたジャン、どうしていきなりそうなるの?」・・・あのさぁ、ま、試験機借りてやるのは大変良い事です。でもね、その後本番運用をぶっつけ、ってのは無いんじゃないの、いくらなんでも。一日何通のメールを裁いているか判ってるの?事の重大性をもう少し認識して欲しい。
「昨日までのは試験運用機で借り物。実はちょっと高機能機で、本運用はちょっと落ちる機種なんだけど、機能は同じはずなんだけど・・・」
更に言えば、、、ちゃんとテストしてる??ルーティングはやったみたいだけど、期待した機能が果たせている事を、自分たちで確認していますか?どう見てもしてるようには見えないもんで・・・ついでにもう一個言わせてもらえば、開発チームの作ったページ、ディレクトリリスティングは出るわ、DBアクセスの情報(含:パスワード)は誰でも見える 状態になってるわ、なんじゃぁ、こりゃ。公開前にセキュリティポリシー決めて、設定して、検証して、、、って手順を踏んでねぇのかよぉ。
で、くどいようですが、こいつらがセキュリティポリシーをこれからちゃんとしたのを作るって言ってんのね・・・プププ、とってもステキなものが出来そうですねぇ! (クスクス)
いや、久々に目が点になりました。あたしの新しい同僚が、予算の事で新しいIT部のボスに問合せをしたら、一度打ち合わせをしましょう、そして、アタシも 呼びなさい、と言ったらしいのよ。で、そう相談うけたアタシが、「いや、でも俺わかんないし、俺は呼ばんで良いよ」と言ったので、その様に伝えたら、件の IT部のボス「だったら口出すな」だと。あの〜、あたし、いつ口だしました?打ち合わせに呼べといったの、あんたでしょ?何言いたいわけ?
ま、私がなにか言ったちゅうなら、それでも良いよ。でも、そこまで色々ほざくなら、やる事ちゃんとやれよな。
(プププ、、、何も知らない、何も出来ないオバカちゃん)ところでさぁ、またメールサーバ、おかしかったらしいのよ。うーむ・・・やっぱsendmailかなぁ・・
やっぱりメールサーバが壊れたんだそうです。最初、設定ミスだったのかなぁ、で、私の引継ぎ不足だと思っていたのですが、ま、事実それもあったのではあり ますが、完璧アウト。でも、アウトソース先は、アラートを見逃してたか、ちゃんと監視してなかったか、こうなるまで、全然音沙汰なしだった。
ちょっとびっくり。さて、今時のspamフィルター、sendmailみたいな面倒はありませんね。ブラックリストのIPのみならず、ウイルスチェックを含めたコンテンツで のフィルタリングも出来るんです。出来る、、んですがぁ。なんですかぁ。ちゃんとしたメールまで蹴られる。いや、ブラックホールに。
ここで初めて知りました。spamフィルターって、REJECTではなくてDROPなのねぇ。個人的には、DROPってまずいと思うんですが。。。本文が、
危ないサイトは http://64.145.12.xx ですので注意
(xxのところは数字)だけのメールだってあるでしょ?それを弾くんですよ。それってあり?
このアドレスは、某有名銀行のphishing先のサイトなんで、phishingメールはウイルスとして、 ユーザに通知が行くんですが、この上の例のメールは、phishingでもなく、REJECTでもなく、ドロップなんです。誰かにフィッシングサイトの警告をしてあげようとしたメールを弾くのって、ありかぁ?
今日、メールサーバが死んだらしい。別にもう関係ないんですが(また、自分のところには影響が及ばなかったので気づきもしなかったんですが)、完全アウトっぽい。今後どうするかはほぼ決まったらしいけど、緊急に暫定設定が必要と言う事でHelp要請があった。
もう引き継いだものですが、ま、これが最後と言う事で快く引き受ける事にした。でも、もう二度と(私自身も)フォローできない、必殺sendmail.cf直接編集でやった。今後は、もうサポート不能です、と念をおさせてもらって。
えとさぁ、せめて理解してから話してくれる?
国内各拠点を結ぶネットワークをさぁ、新しくするのは良いんだけどぉ、私も賛成ですよ、でもね、それを申請するときに、何がメリットで何がポイントで、ど ういう比較をして、という事くらいはちゃんと理解してから持ってこいよなぁ。それが無理なら、実務者はちゃんと理解してるんだから、実務者に任せなさい よ。高い給料もらってるくせに、自分がそれを出来ないんなら、判ってないんなら、とっととお引き取りくださいませんか。以上は愚痴。でも、ほんと、私のときはこういう上司じゃなかったからよかったぁ・・・
でね、ポリシー作りの 話。なんでも先週末に、一度話があったらしい。で、コンサルの自分たちのポリシーってのを見せてもらったんですが、、、こんなんで良いのぉ??そもそも、 メールの仕組みとか全然理解していないみたいだしぃ。でね。出席者、誰一人、私のいた頃に、役員会承認を含む正規の手続きを経て公布されたポリシーを知ら ないばかりか、なんと、なななんとぉっ!当時一緒に策定し、全社員に通知した人とか、議事録を作った人とかが、「あれはxxx(私のこと)が勝手に作った ものだから」と抜かしやがったんだと・・・・・ (~~メ)久々にプッツン。もういい、氏んでくれ!社内で訴訟でも何でも勝手にやれば良いじゃん。もう知 らんわ。
今日、IT部の人から「そちらの依頼書、承認されないままになってますけど。。」
「???なに?依頼書の承認って?」
「ほら、依頼書、Webに成ったじゃないですかぁ」
(はぁ、、聞いてねぇよ、そんな事。)「そうなんですかぁ、何処にあるんです?」で、色々説明を賜り、無事、承認作業を・・・ん?あれ?利用規約なんてリンクがあるぞぉ。で、クリックしてみました。えと、もともとの運用規約やセキュリティポリシーなどを決めたのは、ちなみにわたしね。
でぇ、あけてびっくり玉手箱ってなぁ、こんなんですかぁ。曰く、
「このシステムがきちんと機能しなくても、ユーザ責任ですからね」(おいっ!じゃ、このシステム使わないで済む手段を用意しろよなぁっ!)ちなみに、こいつら今、前に私が作ったポリシーを廃止して、新しいポリシーの策定に入ったところ。(えー、コンサル呼んで200万円なりぃ。)大丈夫かぁ・・・
「プ ライバシ上の理由から、ユーザが入力したデータは、アプリケーション以外は利用しません。つまりシステム部門は、これを別の理由で参照する事は絶対にしま せん」(そんな事言っちゃって言いの?不正アクセスとかあった時に調査できないジャン。判例しらないのか?会社の資産であっても、「見ることがあるぞ」っ て宣言しとかないと違法なんだぜ。)
そして、極めつけは「ここに不正を働いた事で、システム部門が不利益をこうむったら、裁判も辞さないですからね」って、おいおい、誰相手にしゃべってんだよ。会社の業務で使うシステムだろ?なんだよ、裁判って。
うちのシステム、大丈夫かなぁ・・・
私が管理してた頃は、spamとかは、sendmailのcfでかわしてたんですが、新しい体制になってからは、担当できる人間がいない、ということで、 それ専用のツールを使う事になったんだそうです。ヘッダに色々とゴミを付加してくれて、余りいい気持ちはしないんですが、まあ良いでしょう。
で、なんでも全然フィルターに引っかからないらしいんです。spamは全部素通りらしい。。。いや、私のところには来ていないから、ま、いいですが。
はぁ、実に半年振りです。
うーん、忙しいとかそういう次元を通り越して、日々がなんとなく過ぎている、という感じです。さて、私も幸い(?)めでたくITの世界からは放り出される事になりました。今では一般ユーザの仲間入りです。開発も検証もトラブルシュートも監視も何もかもから開放され、メールの数も千通/日から、数通/日まで激減しました。
で、今の体制なんですがねぇ、、上の方が全くのシロウト。え、あ、えぇ、私もシロウトですが、レベルが・・・これで知ったかされたら性質が悪いんですが、無知の知は心得てらっしゃる、さすが大人。でも・・・前にもぼやいたと思うけど、何で上の人たちって、コンサルをそんなにも信頼するんでしょうねぇ。勿論コンサルはそれでメシ食ってるのは事実ではありますがぁ。まず、コンサルに聞く前に、
からでなければ、どのコンサルに頼んだら良いのか、決められないんじゃないの?え?あ、そうか。
- 今の自社の状態はどうなのか、を把握して
- 何が問題なのか、を把握して
- それをどうしたら解決できるか、を熟考
まず、コンサルは決まってるから別に良いのか。今度、ポリシー作り直すんだってさ。前のポリシー作ったの、私。で、2回も説明したのに全然
存在自体知らずにコンサルに話を聞いて、コンサルが、私の作ったポリシーに書かれているようなことを説明したら、いたく感激しながら聞いていらっしゃる。あとで「今のポリシーに全部書いてありますけど」と言ったら、
「全然知らなかった。(おーい、二回も説明しただろぉっ!)周知できていないのは、そちらの責任だし(だーかーらー、あなたには二回も説明したでしょっ!)、ま、これからコンサルに頼むから、大丈夫だよ。」・・・・・あっそ。勝手にがんばんな。でもね、現場知らないメンバだけ集めて出来てくるものがどういうものか、というのは、世の中に恐ろしいシステムが蔓延していることからも判りそうなもんですけどねぇ。
(ちなみに、そのコンサル曰く「Whoisで御社の担当者の名前がほら、この通り見えます、こういうのがセキュリティの問題なんです」なんだそうで。。。へぇぇ〜、知らなかったなぁ!)
一昨日は、元ボスのリタイヤ祝いで、暴飲しました。久しぶり。
ところで、色々と本業で気まずい状況になってきていて、サーバの面倒どころじゃなくなってるところで、私の後継ぎとなれる人をなんとか採用を・・・と動いていたら、「これ以上人件費を増やすな」みたいに言われてしまったりして・・・つらい・・・
ユーザさんから、会社の関連ドメインが引けない、と苦情が・・・
またどうせ、MS-DNSがこけたんだろ、とよく見ずに再起動。ん?だめだ・・・結局は.comルートサーバからも引けない事が確認できた、ちゅうことは・・・
うげ、なんだよぉ、、、ドメイン、expireしてんじゃねぇか!
相変わらずのマヌケでした。。。トホホ。
IDS、MyDoom用にちょっと設定を変えてみました。
alert tcp any any -> any 3127:3198 (msg:"MyDoom";) alert tcp any !445 -> any 3127:3198 (msg:"MyDoom";)を加えました。そしたら、80と445が余りにも多かったんで、これを除外する事にしました。
alert tcp any !80 -> any 3127:3198 (msg:"MyDoom";) alert tcp any !445 -> any 3127:3198 (msg:"MyDoom";)むぅ・・・全然フィルタされてないじゃないか。80も445もどっちも検出されてるぞぉ。一時間にニ千近い検出が。。。なんだよぉ、と思ってよくよく考え たら、、そっかぁ・・・445は!80で検出されちまうし、80は!445で検出されるに決まってるジャン。だめだめ・・・ハァ
結局妥協の産物として
alert tcp any !:512 -> any 3127:3198 (msg:"MyDoom";)
MyDoom/Novargですが、うーむ、やられた。
実行型ファイルは、メールに添付されていても、サーバで強制的に削除する設定にしてしていたつもりだったんですが、cmdという拡張子はもれてました。
調べたら、入り込んでいる事が判明。ちょっと青くなりましたが、まぁ。。IDSも静かだし、多分何も起こっていないことでしょう・・・(と期待)。
部の人(あ、ITじゃなくて本業のほうね)から、「いいかげんに足洗って、本業に専念せい」と言われちまいました。「いつまでもアタシが絡んでるから、向こうも甘えてるんだ」、ですって。
でもね、アタシが足洗って、トラぶって、それでしわ寄せがアタシのところに来ちまう位なら、ちょっとずつでもメンテに手を染めてトラブルが起こらないよう にしておくほうが、トータルで見た時に得策だから、意図的に距離をおきながらも、私にしわ寄せが来ないように押さえる所だけ押さえているだけなんですけど ね。(そんなに時間を割いてるわけではないし。)
某部が、独自システムを入れる、それはブロードキャストドメインを一にする必要がある、んだそうで、そこだけルータ越えにすることにしました。
どっ てこたぁ無い、と油断してたら、大変な事思い出しちゃいました・・・えと、、、今、ウチの会社、プリンタは基本的にフロアベースなんですよね。そして、フ ロアのセグメント入り口にはアクセスリストを切ってあります・・・そう、その某部署から、プリンタが使えなくなるんです。もちろん、外側のネットワークに いれてやっても良いんですけど、そーすっと、そのプリンタ使ってる全員のLPR設定書き直しだぁ・・・(泣)家に帰ったら、子供が、クイズをやってる。算数クイズ。答えを聞かれて、考えるの面倒なんで、VBSにやってもらいました。うーむ・・・答えが30以上もあるじゃねぇか。詐欺かよ、これ・・・
大急ぎで頼まれ仕事。Javaスクリプトビンビンの在庫管理アプリケーション。
個人的にはJavaScript嫌いなんですが、ま、良い事にしてください。(>依頼者の方)時に・・・
実は、2年前から、となりの建物との間の通信がおかしい。通信できるんですが、時々落ちるんです。となりの建物のルータでは、リンクダウンがログに残って るんですが、こちら側には残ってないし。でも、現象が、速度が早めでネゴされちゃって、実際のデータやり取り時に、その速度でコケてる時に似てる。(昔、 カテ5を自分で作ってた頃は、ホンの些細な規格はずれが、この現象を生みました。つまり、100Mでネゴは出来るが、些細なハズレのために、しばしば通信 がおちるんです。それに非常に良く似てた。。)
最後の手段は、光の引き直しだなぁ・・・(泣:予算が)と思ってたら、よく考えたら、ルータ間の速度(低め)固定ってやってなかった。うぅぅ。10M固定で安定に動作するじゃねぇか。二年間、なぁにやってたんだよ>俺 ダメすぎ。うぅぅぅぅ。エラーメールが500通・・・捨てるだけで一苦労だ。そろそろ/dev/nullに任せちゃおうかなぁ・・・
皆さん(って、誰もみてないか・・・^^;;;)今年もよろしくお願いします。昨年 HOME $since 2004/01/01$
年末は、前に「ユーザ仕様書」代わりに作った(私がユーザ側、です)Webアプリケーションを、ASPからJSPに書き換える作業で死を見ました。あたりまえなのかもしれませんが、初めてJavaを書くと、いろいろと大変でした。
一番面食らったのは、所詮インタプリタでは動かない弱さかな、という所です。
いや、あたしのスキルが無いのは判ってますけどね・・・
- 変数を宣言したは良いけど、ifブロック内でしか初期化してなかったら、初期化してないってエラーを吐く・・・(有識者曰く:ちゃんと初期値した方が良いよ。)
- rs.getString(" ")は一度しか使えないのかよぉ!(有識者曰く:あぁ、それはjdbcの仕様なんです)
- もしかして、JSPの本文でDB接続する場合、宣言セクションで引き継げない??(Bean使えよ、って事だよねぇ)
- session.isNewって使いものにならないジャン・・・
でもさぁ、セッション管理で、セッション変数にフラグたてて、それ をチェックして、駄目ならリダイレクト、ってやっておいて、ASPならインタプリタだから、飛ばされる時は後ろのコードはどうでもよかったんですけど、 JSPは、一旦サーブレットに変換されてからコンパイルされるもんだから、「セッション変数が空だと飛ばす、そうでなければ、セッション変数を使って作 業」というコードの後半「セッション変数を使って」の部分でコンパイルエラーを出すんですね。初期化のエラーは、こんな感じです。 /** こんな感じだとエラーになります */ String s; char a='a'; if(a == 'a'){ s="test ok"; } out.println(s); /** こう書き換えると大丈夫です */ String s=""; char a='a'; if(a == 'a'){ s="test ok"; } out.println(s); /** もしくは */ String s; char a='a'; if(a == 'a'){ s="test ok"; }else{ s=null; } out.println(s); /** もしくは */ String s; if(true){ s="test ok"; } out.println(s); Stringがオブジェクトだからかと思ったら、intとかでも駄目でした。 有識者曰く:「OKなのは、見て判る通り、必ず初期化されるからです。コンパイラは、初期化されない恐れがあるという場合にエラーを出します。」だそうで。ふーん。 ===== セッション管理のエラーですが /** これだとエラーになります */ if (session.getAttribute("UID")==null){ response.sendRedirect("index.jsp"); } out.println(session.getAttribute("Permission").toString()); セッション変数が無いので、リダイレクトされるはずだから、インタプリタ なら、後ろのセッション変数「Permission」があろうが無かろうが関係な いのですが、コンパイルするから、全コードの整合性が問われるみたいで す。 /** これだと回避できます */ if (session.getAttribute("UID")==null){ response.sendRedirect("index.jsp"); }else{ out.println(session.getAttribute("Permission").toString()); } /** もしくは */ String pm=""; if (session.getAttribute("UID")==null){ response.sendRedirect("index.jsp"); } else{ pm=session.getAttribute("Permission").toString(); } out.println(pm); 自己レス:タイムアウトしたセッション変数は引けないので、エラーとなったりするみたい。そういうケースを踏まえてセッション管理した方がよさげ。