Scribble at 2025-02-20 07:59:05 Last modified: 2025-02-20 08:26:14

OpenSSH: これまでのリリースの変更点

いま、或る案件でサーバを運用・管理している。先日、クライアントの出入り業者らしき半端な人物が、自動でサーバをスキャンするツールを使ったらしい。そのレポートに、うちで(僕が)構築したサーバに openssh の脆弱性があるから対応するべきだと書かれていたらしく、クライアントから代理店に依頼があって、そして当社というか僕に依頼があった。実は広告代理店とは言っても、そこへ出向している当社のウェブ・ディレクターが担当であるから、代理店に話が来た時点で当社が話を受けたのと同じである。

もちろん # sudo dnf upgrade openssh というコマンドだけで話は終わるはず・・・だったのだが、どうやらクライアントが納得しないという。理由は、「最新のヴァージョン9ではないから」ということのようだ。サーバのエンジニアであれば常識だと思うが、openssh や openssl のようなソフトウェアにとって大切なのは安定稼働と依存関係であり、もちろん脆弱性への対応も必要だが、それら二つのポイントを軽視してまでむやみにパッチを当てたりアップグレードしていいかどうかは自明ではない。実際、openssh は多くのディストリビューションでヴァージョン8系統が入っていることが多く、ヴァージョンをむやみに変えるとサーバへ接続できなくなることもある。

そういうわけで、上のようなサイトを見てもらって、ヴァージョン8系統でもパッチを当てたら対策になっていることをディレクターから説明はしてもらっているのだが、どうもクライアントはそういうことを理解できないらしい。ツールで「セキュリティ監査」したという出入り業者も、新卒がツールの結果画面だけで色々と言ってるのか、異なるヴァージョンでもパッチを当てたら対策になることを理解していないらしく、とにかく「いちばん大きな数字にしてくれ」と言うばかりらしい。もちろん、僕らのような情報セキュリティのプロや実務家のあいだでは、こういうことを "security theatre" と呼んでいて、実質よりもセキュリティ対策してるポーズや見栄えの方が重要な人たちというのが、この業界にもいるわけである。クライアントは、たぶん外郭団体か役人だろうから、知識や経験がないのはしょうがない。でも、得てしてそういう人々に入れ知恵している出入り業者や自称「ITコンサルタント」なるものが、たいていクズであることは、大学で行政に関わる仕事をした哲学プロパーは少ないと思うが、経験者なら実感があろう。

そういうわけで、いまのところ openssh のヴァージョンを上げるどころか、サーバごと入れ替えろという要望すら出てくる可能性もあるらしいので(いわゆる「リセット病」とか「禊」というやつだ。何かトラブルがあれば Windows 98 を再インストールしていたような、古代人の知恵である)、当社としては(どのみち大した予算も取れないだろうし)最低限の提案や対応で済ませたい。たとえば、ssh サーバを落としてしまうのも一つの手だろう。僕はインスタンスを「さくらのクラウド」で建てているので、サーバへの接続はコンソール画面からでもできる。ファイルのアップロードは SSL を使った FTP 接続に変更すればいいだろう。あるいは、いまのまましれっと openssh だけソースからコンパイルしてヴァージョン9系統にしてしまう。ちゃんと動くかどうかは分からないが(他のウェブ・サーバで経験したことがあるけれど、依存関係を正しく解決しないと ssh のプロセスが全く起動しない場合もある)、時間や予算がない場合には、サーバを入れ替えたと称してこうするのも、相手と同じような「セキュリティ劇場」の小芝居というものである。そもそも、こいつらクライアントが求めることに対応する予算って、血税ではないのか。少なくとも偽善者モードのエンジニアとしては許し難いね。

[余談] 余談というわけでもないが、そもそも堂島の神と言われた僕のようなエンジニアが管理するサーバで、どうして openssh の脆弱性が指摘されたのかというと、yum や dnf の自動アップデートでは openssh のように重大な用途のソフトウェアは更新されないからである。つまり、更新の必要があるかどうかを定期的に調べたり、手作業でコマンドを使ってセキュリティ更新するのは、エンジニアの工数がかかる。でも、得てして自治体案件や外郭団体の案件では、サーバのメンテナンス予算というものが明示的に取れない「グロス契約」と称するどんぶり勘定であることが多く、その予算額から逆算すると、僕のサーバのメンテナンス費用は、たぶん一ヶ月で20円くらいだ。プロのエンジニア、しかも会社の部長がわざわざ手掛けている仕事のコストとしては、話にならない。というか、こんな案件ばっかやってるから20年経っても黒字の事業にならないんだよな。クラウド・ワーカーですら、サーバを毎月20円でメンテナンスしてくれと言われても、そんなお金で責任など取れないであろう。もちろん、それでも、いやそうしてサーバの対策をしないからこそ事故が起きたり攻撃されるリスクは高まるわけだが、その対策をお金ではなくわれわれエンジニアや下請けの責任感や矜持のようなものだけに頼る、この国の凡人どものメンタリティーというのは、いかに凡人がわれわれ有能な人間にしがみついて暮らそうとするものだとは言え、あまりにも自覚や反省に乏しすぎると思う。なので、パッチは敢えて当てなくても他の設定など(アクセス元を制限するとか、ポート番号を変更するとか、パスワード認証を禁止するとか、接続インスタンスの本数を制限するとか)で対処できる範囲の脆弱性については、積極的に対応しないようにしている。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る