パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ファイアウォールなしで重要なサーバーを運用するのは普通?」記事へのコメント

  • 一受託業者が決めるべき問題じゃないね。
    そのシステムのセキュリティポリシに従って決まる。

    より良いシステムになるよう助言はした方がよいと思うけどね。

    ところで、これって、サーバ(やクライアント)毎のパーソナルファイアウォールの話だよね。
    設定できるなら、設定した方がいいとは思うね。
    しかし、ネットワークで適切に守られていれば、それで十分と言う考え方もある。
    それこそセキュリティポリシだ。

    パーソナルファイアウォールと同様の問題で、SELinuxをどうするか、って話はあるよね。
    SELinuxを無効にしてるのをよく見るけど…

    • by Anonymous Coward on 2014年08月02日 18時22分 (#2649762)

      同意。

      たまに「iptablesやSELinuxは無効にするのが常識」って言う人が居るのだけど、
      そういうのにはちょっと腹が立つ。
      自分たちが理解できてない、制御出来ないシロモノだからやむなく無効にしてるんであって、
      本来は、ちゃんと理解して必要な許可設定を行うべきだと思う。

      親コメント
      • OS標準ソフトウェアだけなら、大抵SELinux有効でなんとかなるね。

        問題は、サードパーティーのソフトウェア製品を入れる場合。
        その製品の要件に「SELinux無効」とか書いてあったり…
        困ったもんだ。

        親コメント
      • by Anonymous Coward

        >本来は、ちゃんと理解して必要な許可設定を行うべきだと思う。

         SELinuxをちゃんと理解して設定できるレベルの技術者を集められるプロジェクトは世間の1%も無いよ。
         無効が常識とか言うレベルはアレだけど、現実的にはソコソコ理解している(理解できる)メンバが中心になるので、テスト期間が十分に取れて後で責任を押し付けられないなら設定しても良いけど、ギリギリ納期で開発が終われば、ほとんどのメンバが消えるような現場が多い現状では無効にするのが現実解だと思うしかない。

         DとかIとかFとかNの命令するだけの一次受け企業担当者は「本来は、ちゃんと理解して必要な許可設定を行うべき」とか良く口にするけど、それができるメンバがいないのだから下請けいじめでしかない。現実を見ず正論を振りかざして作業を押し付ける現場ばっかりだから、作業は減らないんだよなー。

        • by Anonymous Coward on 2014年08月02日 21時01分 (#2649861)

          >命令するだけの一次受け企業担当者は「本来は、ちゃんと理解して必要な許可設定を行うべき」とか良く口にするけど

          いや、それを口にしない奴はヤバイだろ。

          親コメント
          • by Anonymous Coward

            いや、下請けとしては一番ヤバイ状況じゃないの?
            口は出すけど金は出さない。口は出したので責任は押し付けたということでしょ?
            口に出さないならこちらが提案なりすればいいだけ

            • by Anonymous Coward

              その通りで、「お前んとこが提示した単価じゃ無理だよ」ってのばっかりです。
              んでこれを言い続けると、「じゃよそに頼むわ」つってやってるフリしているところに仕事が行き、
              向こうも知っていながら単価安く上げたいから黙認して、後になって問題がでて、
              「やってるって言ったよな?」って言う。
              下請けに責任を押し付けてその場を逃げても信用ってのは戻ってこないんですけどね。
              まあ信用と単価を天秤にかけて信用取るのはお役所ぐらいになってきましたけど。

        • Re: (スコア:0, 参考になる)

          by Anonymous Coward

          夏休みになるとこう言う知ったかぶりな人が増えるなあ。
          DとIは知らんけど少なくともFとNとNとHはグループ(企業)全体のテンプレでSELinuxはデフォルトOFFになってるよ。FWはON。
          勿論プロジェクトごとにポリシー上書きしてONには出来るけど、各社のツールとかがOFFが前提になってたりするから、普通はONにしない。
          後、これは噂と言うか都市伝説レベルの与太話かもだけど、SELinuxはNSAがらみで各社何か情報を掴んでるからOFFになっているんじゃないかと言う話も聞いた事がある。

      • by Anonymous Coward
        iptablesはさておき、SELinuxは今でこそ有効でも特に問題起きないけど以前は設定大変であんまり有効にはしたくなかったなぁ。

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...