第2回 名前のないセキュアシェル
草場 英仁
三井物産セキュアディレクション株式会社
ビジネスデベロップメント部 主席研究員
2008/4/10
今回の概要:
同期の太田に背中をどつかれた。どうやら、sshでのリモートログイン時に何やら“引っ掛かり”を感じるという……
昼休みもあと10分ほどで終わりです。わが社が誇る「充実したリフレッシュルーム」の眺めは最高です。最近は自分のデスクとサーバ室の行き来ばかりなので、たまはこうしてぼーっとする時間も大切で、そこはかとなく“デキるビジネスマン”気分に浸れます。そういえば、企画部の葵さんとは立ち話をしたきりだなあ……。
「よっ、斉藤。元気でやってるか!」
背中をドンと押されて、紙コップのコーヒーを危うくこぼしそうになります。二重カッコ付きで『モーレツ社員』と書きたくなるこの声は、やはり同期の太田でした。もともとシステム開発部の同僚だったのですが、押しの強さを買われて技術営業に転属になったという変わりダネです。
「斉藤、お前ネットワークの管理とか任されたんだってな。栄転じゃないか!」
「……ま、まぁね」
そんなふうに答えつつも、部屋中に響きわたる太田の大声にちょっとテンションを下げてほしいと思う自分です。ついでにいえば異動は栄転じゃないし、給料も変わらないし。
太田は、同期の中ではよくしゃべる方だし、悪い人間じゃない……というか、面倒見のいい良いヤツだとは思うのですが、どうもこのテンションにはついていけないときがあります。
「でさ、ちょっとおかしいんだよ。仕事にならないというほど待たされるわけじゃないんだが」
おっと、仕事のにおいがします。どうも彼の使っている端末で問題が起きているようです。ちょうど昼休みも終わりました。一度自分の部署に戻ってから、太田のデスクがあるフロアに向かうことにします。
「守屋さん、そんなわけで営業部まで行ってきます」
いつもの眠そうな目で守屋部長代理はうっそりとうなずきます。守屋さんが僕の直属の上司、といっても、彼は兼務で実働部隊は自分だけなのですが。その分、自由にやらせてもらえるのはありがたいことです。
sshでのログインが何だか少し引っ掛かる
「じゃあ、問題があるのはsshでログインしようとしたときだけなんだな」
太田から聞き出してみたところ、以下のような症状に悩まされているようです。
- ssh(Secure Shell)でサーバにログインしようとすると、プロンプトが返ってくるまでしばらく待たされる
- 待たされる感覚はおおむね等間隔
- プロンプトが返ってきた後は、問題なく普通に使える
- インターネットやそのほかの速度に問題はない
太田のマシンを借りてsshでくだんのサーバにログインしようと試してみます。10秒以上待たされてから、やっとプロンプトが返ってきました。事前に知らされていなければ何か大きな障害を考えるところです。ところが、試しにpingを打ってみると即座に反応が返ってきます。
「なるほど、状況はだいたい把握したよ。ところでこの接続先、何のサーバだっけ」
「ああ、セキュリティ関係のプロジェクト開発サーバだよ。いま抱えている案件で情報セキュリティ整備の提案をしようと思ってね」
元開発部だけあって、直接サーバにsshで接続してプロジェクトの状況を把握しているようです。接続頻度は低いものの、以前は問題なく動いていたようです。取りあえずサーバそのものに当たってみるのが近道でしょう。
「サーバ室に行って確かめてくるよ。ちょっと待っててくれ」
サーバルームに異常なし
いつでもクーラーの効いているサーバ室。ネットワーク構成図を確認しながら、問題のサーバを特定します。使い慣れたコンソールからログインしてsshの設定を見ても、うーん、特に問題ないようです。設定ファイル作成日付とインストール日時を調べてみても、sshがインストールされてから誰かが手を加えた痕跡は見当たりません。
これは、太田のクライアントの方をもう少し詳しく見た方がいいのかな?
「おう、どうだった」
またデスクに戻ってきた僕に、プリントアウトした提案書をまとめながら太田が聞いてきます。
「もう少しお前のマシンを借りるよ。ちょっとしたことが原因なんだとは思うんだけど」
これはさっきよりも丁寧に様子を見てみる必要がありそうです。さて、ここぞとWiresharkを起動します。
まずは、太田のマシンとスイッチの間に持ってきたリピータハブを入れます。リピータハブを入れることで太田の通信が傍受可能となります。
一般的なスイッチやハブの場合は、要求されたあて先にのみパケットを転送します。当たり前のことですが、そうではないものもあります。それがリピータハブです。
リピータハブは要求されたあて先がどのポートに接続されているか理解していないハブです。そのため、パケットをすべてのポートに複製して転送します。パケットを受信したPCは自分あてでないパケットをCPUにて破棄します。
解析を行う場合、解析対象のマシンにWiresharkなどのツールを入れられない場合がありますので、解析するネットワークの間にリピータハブを入れて行うことがセオリーとなっています。
 |
| 図1 リピータハブを入れる理由 |
一通り調査してみました。調査の結果がコレです。
 |
画像をクリックすると拡大します |
……あれ?特に問題が見つからないな。かばんに書類を詰め込んでいる太田の視線が若干冷たくなってきているような気がします。マズイ、このままじゃせっかくの信用が台無しだ!
「斉藤、俺はこれから客先に行ってくるから後は頼んだよ。要は普通に使えりゃいいんだからさ」
太田は無造作にコートをはおって出て行きます。“普通に”ってそれができてないからこんなに苦労してるのに……。愚痴の1つもいいたい気分でしたが、ここは自信たっぷりに応えておきます。われながら見栄っ張り。
「これはやっぱりサーバの問題だね。戻るまでには直ってると思うよ」
ああ、いっちゃった。自分のばか。
1/3 |
 |
| Index | |
| 名前のないセキュアシェル | |
 |
Page1 sshでのログインが何だか少し引っ掛かる サーバルームに異常なし |
| Page2 やっぱりサーバルームに異常あり? 斉藤君の独り言Tips:フィルタリング |
|
| Page3 あれ、DNSの応答がない!? ミーティングは重要です |
|
 |
Wiresharkでトラブルハック 連載インデックス |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
 |
|
|
|
|
注目のテーマ
Master of IP Network 記事ランキング
転職/派遣情報を探す
