買い物に行きそびれて米しかない生活を送っていたここ数日、たまごや納豆や牛乳などを購入してなんとか栄養ある生活に戻れそうです。今日米が丁度無くなったのでホントギリギリ。いや、スーパー近すぎて後回しにしちゃってただけなんだけど。
さて、会社でサーバーの稼働状況を24時間自動監視、異常があるとサーバー管理者にメールが飛びます。まあひどいと夜中に呼び出されたりするわけですが、通常はリモートで復旧したり、軽度ならばサーバーが一定条件で自動再起動をかけるようになっているなど、それなりの対策は当然してあります(俺じゃなくて主に上司が、ですが…)。
そんな中、監視を行っているサーバーがアラートメールを送ると同時に、スクリプトを起動して外部のサーバのサービスを再起動する仕組みを何とか作れーという話が飛んできました。もちろん方法は幾つかあるのですが、どれを取るか、またはどう実装するかという話になると正解のない面倒くさい話になってくるわけです…。
expectという、SSHやSCP、FTPなどといった対話が必要になる処理を行えるツールがLinuxなんかにはあるのですが、不特定多数がアクセスするようなサーバーでパスワードを平文で置いておいたり、そんな処理を行うのはよろしくない、という記述を見かけました。現状では、鍵認証方式を使ってパスワード無しでログイン処理をしてしまい、そして自動実行を行うユーザーアカウントの権限を最小限にとどめておく、というのがもっともマシで、万一の場合も被害を抑えてかつ迅速な処理が出来る方法のようです。
まあそもそもLinux系のOS使ってるクセに、権限設定が緩かったらもっと根本的に問題があるとも思えますが、とにかく自動実行用のアカウントなどを用意し、本当に実行する最小限のコマンド以外許可しないように設定してしまいます。これで万一鍵をクラックされても影響を最小限に抑えることができるということです。
- Newer: うちではサーバー屋≒なんでも屋
- Older: 割と重度のハードウェアオタクらしい。
Comments:0
Trackbacks:0
- Trackback URL for this entry
- http://s-srv.net/archives/10/trackback
- Listed below are links to weblogs that reference
- 自動実行SSHはexpectより公開鍵認証。むしろポリシー設定が肝要 from 缶詰ファクトリー - さばかん 自宅サーバーBlog
