2005年11月2日午後、研究室割当IPからウイルスがばらまかれていると連絡。
研究室配属から日が浅い3年生の持ち込みパソコンであることが判明。
学内のネットワークワーキンググループから、おしかりを受ける。
「学生のパソコンは大学ネットに繋がないこと!」
とはいえ、研究室にじゅうぶんなパソコンなどあるわけがなく、今時スタンドアローンでPC使うのもあり得ない。これでは研究室が運営できない。プリンタ共有やスキャナ共有、ファイル共有、web、mail、使えなければ話にならない。
さてどうしよう?
(酷使している研究室サーバ_ApplePowerMacG3_300MHz)
日本の場合、インフラは世界一になったが、インターネットは善悪でいえば「悪」、清濁では「濁」、可能性よりは危険の方にばかり目を向ける。良くも悪くもネットをネットたらしめている「開放性」を著しく限定する形で、リアル社会に重きを置いた秩序を維持しようとする。
アメリカが圧倒的に進んでいるのは、インターネットが持つ「不特定多数無限大に向けての開放性」を大前提に、その「善」の部分や「清」の部分を自動抽出するにはどうすればいいのか、という視点での理論研究や技術開発や新事業創造が実に活発に行われているところなのだ。
「世界政府っていうものが仮にあるとして、そこで開発しなければならないはずのシステムは全部われわれが作ろう」。これは、世界中が注目するシリコンバレーのベンチャー企業グーグルの開発陣が持つミッション(使命)である。グーグルは「不特定多数無限大の人々によって作られ、日々増殖する地球上のすべての情報を、瞬時に整理し尽くす」ことを目指し、玉石混交のネット上から「石」をふるい分けて「玉」を見いだす技術に磨きをかける。 梅田望夫 産經新聞・正論 20050704
ご多分に漏れず、和大でも、ネットは「悪」、「使わなくても研究できる」という論調で、ネットを自由に使うという雰囲気はあまりない。大学自体がネットを重要視している訳ではないから、大学のSiteもあまりぱっとしていない。(他大学と見比べればよくわかる。) ネットの可能性というのはなかなかわかりにくいのだ。私自身が、ホリエモンと同年代で、ネットの可能性に夢を見る世代だから、浮いてしまうのかもしれない。
でも、研究室でウイルスまいてしまった以上、もう何のいい訳も出来ない。ウイルスばらまく訳にはいかんのだ。
だが、やはり、ネットに繋がないことには研究室は成り立たない。
う〜ん・・
悩んだあげく、大学ネットと研究室ネットを切り離してファイアウォールを設けることにした。
方法は二つ。
プロキシSquidを使う or DHCP+NAT+IPFWにてパケットフィルタ。
使い勝手から言うと、DHCPの方が融通がきく気がするが、どうもパケットが漏れるようだ。外からの攻撃には問題が無いが、内側から外側に、431ポートなどのパケットは出て行ってしまう。よって、安全性を考えて、プロキシサーバとした。
OSXの場合、SquidManというフリーウェアを使うとsquidは簡単に立ち上がる。DNSサーバbindは、/etc/hostconfigかなんかを一行書き換えるだけでキャッシュDNSサーバとして機能する。ネットワークカードは3000円くらいのカードを一枚追加して、内部(プライベートIP)、外部(グローバルIP)を別々にわける。(同じカードにIPを2つふることもできるけど、それだとパケットを完全には遮断できない)
次に、研究室のPC、プリンななどをすべてプライベートアドレスに書き換えていく。
結果、メール受信・チャット(Skype含)、動画ストリーミングなどが見られなくなったけど、研究室の機能は回復。内部LANは無駄なパケットが入らなくなったのとギガビットイーサーカードを用いたことで(?)で逆にスピードアップした。
自マシンは有線で大学ネットに、無線でプライベートネット、とデュアルで接続するから問題なし。
ファイアウォールの要、G3_300MHzのサーバはwebにsql、fax、ファイルサーバ、メールサーバ、プリントサーバ、プロキシサーバ、と大忙し。ほんとによく働いてくれている。CPUレベルはいっぱいいっぱい。(笑)
squidはそれほどCPU浪費しなくて助かった。
OSX(10.3)を使ったサーバでのファイアウォールを考えている人は参考にしてください。簡単で効果大、使えます。
(追記)
システムのバックアップをasrコマンドで行おうとしたらエラー。.volファイルが移せないという。
.volファイルとは、ボリューム名などが記載されたファイルらしく、これを強引にコピーすると、ボリューム名が重複してしまう事態になる。
具体的には -erase オプションをつけて、.volファイルを強引に置き換えることにした。Volume名は後から付け直そう。
nohupコマンドで「放置」させながらクローニングする場合は、-noprompt オプションも加える。
nohup sudo asr -source / -target /Volumes/コピー先ボリューム名 -erase -noprompt
とすればいいということ。
.volファイルをコピーできない問題、webでググっても見つからなかったので書いておきました。正当な解決方法とは思えませんが、参考になれば・・・・。
「運転免許」ですが、
「DNSサーバ」って、BIND立ち上げれば運営できるんですけど、これはインターネットの交通整理システムの基幹。安易にはやっちゃダメな世界。でも誰でも出来ちゃう。
電話線はモジュラージャックひとつ変えるのにも電気通信の資格が必要だけど、ネットには不必要。よく考えたら変だなぁ。
あ、そうそう、
小学生やら中学生やらのネット接続は、制限すべきだと思っています。情報の選別の仕方、バランスの取り方がわかんない人に100%開放するのは無茶。スキルをちゃんと付けてからネットに繋がってほしいもんなー。
30分ね、、、。本当ですね。
うまく動かすための方法もきちんと記録していないとすぐに忘れてしまうし、、、(笑。うまく動いて当然、動かなきゃ罵倒される。あげくに「だからコンピュータなんて、、、。」なんて話になったりね。大学だけじゃなくて、中小の企業での方が事態は深刻かもしれません。
いやはや、hiraさんも、ワリの合わない役柄ですね。まあ、それでも結構楽しそうに見えるところが、hiraさんのhiraさんたる所以かも知れませんが、、。
「運転免許」!!こわいなあ。編集長は、かなり危ない橋を渡ってますんで、きっと免許が取れないと思うんですよね。
ヒューマンファクターがそもそもエラーの原因でしょうなぁ。
ベースのシステムがきっちり設計してあれば個人は何も考えなくてもいい(自己実現だとか云々いわなくても楽しく生きていけるポストモダン社会、みたいなもんかな?)ってのは理想!
そうはなってないから、人間がジタバタせにゃならんのだが・・
しっかし、ネットの設定なんて、てストレスが溜まるだけ。上手く動いて30分もたてば喜びもありがたみもなし。
ネットワーク設計って個人の思想とかがでますね。結局のところすべてがその属人的なところに問題があると思うのですがどうでしょう?
いやいや、ファイアウォールこさえたので、学生PCもネットにぶら下がっています。webは自由に見られるからweb投稿はできるねん。ファイアウォールたててないゼミは繋げられんということになるが・・・もちろんPCの台数が多ければ問題ないけど。
ネット接続権は人権だと、個人的には思うんだけど・・個人のスキルが無ければダメだなぁ。
「運転免許」みたいなライセンスが必要かもね。WinUpdateかけられんのなら、繋がない!
とはいっても、ネットをよく知っていても感染することもあったりして。
ご無沙汰しております
科研の打合せ日変更のご連絡が遅れ、ご迷惑をおかけしました。
さて、大学のネットワーク問題は何処でも同じですな。
ここでは具体的に書きませんが、この手の問題は、結局のところ、組織としてではなく、個人が解決することになります。
大学という環境に、施設的魅力が無くなってきているし、足かせになってきているかもしれません。
同世代の私にとっても、学生のPCをネットにつながせないという指示は、研究の環境を制限する側の発想に感じます。
担当の方も、もうPCなしで企業や大学は動かないってこと、判ってると思うんですが。
という事は、今年の和大の大会投稿はPDFではなく、紙ですか?