昨日は病院から帰った後、だらだらと過ごしていたら遅くなってしまい、23時に就寝。少し遅くなってしまったか、と思ったが寝つきはよく、夜中も眼を覚ますことが亡く、6時ぴったりに自然に眼が覚めた。けだるさはあまりないが、もう少し寝ていたい感じはあった。
休みだから思い切り寝たらいいのだが、10分くらいしても別にもう眠たくはないので、起きてゴミを出し、朝日を浴びて深呼吸をして伸びをしたら、ばっちりと眼が覚めた。よし、完璧だ。とは言え、疲れが溜まっているかもしれないから、土日はゆっくり休むのだ。
Gメンも楽じゃない
今日は残業無し!と言うのも今日は通院だったからだ。まだやりたいこと、というか調べないといけないことがあったが、来週にまわした。まあいいや。
今日は久々にGメンをやった、というかやらされた、というか、なんというか。リアルタイムで監視しているのとは別に外部の業者に監視してもらい、不正な通信を毎日レポートしてもらっているのだが、それにBitTorrentとうP2Pアプリの使用らしき報告があったのだ。リアルタイムの監視システムではalertが出ていない。なんでだろう。
とりあえず調べた。IPマスカレードで変換されたSrcIPとDstIPからファイアウォールのログを辿って変換前のプライベートアドレスを割り出し、そこからコアスイッチにログインしてarp情報からMACアドレスを割り出し、通信先のエッジスイッチのarp情報からポートを割り出し、ポートがわかればどの居室のどの情報コンセントかまで特定できる。
と言うのは全部SEさんがやってくれた。その時間帯の通信ログを確認したところ、確かに少し怪しい挙動はあるものの、P2Pとは断定できないような感じ。
とりあえずGメンとして居室に行ってみた。そこには一人しかいなかったが、協力してくれて、どのPCかはわかった。本人は今日は休みだったが、PCは起動しっぱなしだったので、その居室の人の許可を得てPCを見てみたが、BitTorrentも他のP2Pソフトも入ってない。
ひょっとしたまたか〜?実は先週もあったのだが、ファイルを高速にダウンロードできるソフトで、内部的にBitTorrentクライアントを使って実装されているものがあるのだ。「そういうものを使ってたりしませんか?」と尋ねたところ、「ああ、彼なら使ってそうです」との答え。
今日は本人もいないし、とりあえあずその場を後にした。来週本人が来たら、どういうソフトを使っているか確認して、自分たちでも再現実験をしてみよう。
そしてリアルタイムで監視している方が検知しなかった理由。これが見えてきた。こちらのRulesでは、BitTorrentらしきパターンでも、そのようなアプリ内の通信だということを判別して、alertは出さないようにしているのかもしれない。
ということで、なんだかくたびれたよ、今日は。病院はすいているように見えていて実は混んでいて、全部終わったら20時半。なんかだるくて、それから卓球に行く気もなく、帰ってきた。土日はゆっくり休もう。
7月27日睡眠状況
昨日はまたちょっと遅くなったものの、そんなに疲れはなく、22時半に就寝。最近寝つきがちょっと悪かったが、昨日はよかった。夜中もよく眠れた。
朝5時半に目が覚めて、いくらなんでもまだ早いと思ってまた寝た。その後6時に目が覚め、今日も少し起きるのが億劫な感じがあったが、う〜んと伸びをして起きた。ゴミを捨てに行って、朝日の光を浴びて深呼吸、思い切り伸びをしたらやる気が出てきた。
今日行けば今週は終わり。早く今日が終わらないかなあ。今日は通院日なので、嫌でも早く帰らないといけないし、その後卓球にも行く予定。楽しみである。
今後の課題&PCが増えた♪
昨日はやっと一連のトラブルの「中期的には効果のある」対応ができた。しかしそれにしても苦戦した。
そもそもの発端は、私の前任者がいろいろなものを試してみるためのFreeBSDのサーバに、IDSで検知したalertとか、チーム内でのテーマ管理システムを全部同じMySQLの中に作ってしまい、そのままずるずると運用してきたことだ。そのDBに割り当てられたディスク領域が、たった15GBしかなかったのだ。
昨日SEさんが、余ってるHDDがあって、容量は80GBというので、それを増設してもらい、マウントしてMysQLのデータをそちらに移した。これで当面は大丈夫だろう。しかし苦労した。BSDはユーザとして使った経験はあるが、この辺のレベルからやったことはないので、やり方がわからなかったのだ。HP-UXだとSAMとかあったのだが、結局いろいろ教えてもらってmountできた。しかしまあ、うちの会社で動いているサーバはほとんどFreeBSDである。BSDの勉強をしなくては。
しかし、まだまだ課題はある。容量がでかくなったから安心とは言え、まだ古いデータを引き落とすような運用はない。そういうものをちゃんと作り込まないと、そのうちまた溢れる。それから、緊急避難的にDBのトランザクションログの出力を止めてしまったのだが、そうすると障害時に復旧できなくなる。毎日夜中にcronでMySQLのデータはテープにバックアップしているので、その時点でそれまでのトランザクションログは不要になるので、そこで削除すればいい。その日に何か障害があっても、バックアップ以降のトランザクションログがあればロールフォワードができる。
てなことで、まだまだ課題は山積みであるが、これって私の仕事のメインなことではないんだよなあ。あ、ユーザから依頼が来ていたDMZへのサーバ設置、グローバルIP申請書を書いて本部に送らなければ。監査のための準備もしないといけない。WLCでVLANが16個までしか登録できない件の打ち合わせ、業者と日程調整もしないといけないのに、昨日は忘れていたよ。楽しいことがあったから。
楽しいこととは、PCが2台増えたのだ。今までノートPC2台で苦労していたのだが、DELLのPCがやっと来た。これをメインマシンとして使うのだ。20インチの大画面。IDSのモニタリング画面がきっちり収まる。それから同じチームの人が、あまっているキューブPCをくれた。こいつはUNIX環境が手元にほしいと思っていたから、ちょうどいい、勉強用にFreeBSDを入れてみよう。
これでみんなと同じくPC4台構成になった。1つはメインマシン、1つはネットワーク管理用(つなぐLANが違う)、1つはファイやウォール管理用(これもつなぐLANが違う)、もう1つはUNIX環境である。いちいちつなぎ変えをしなくてもすむ。
そしてまた
今日も2時間残業。バスの中でこれを書いてる。でも一連のトラブルはひとまずこれで一段落して、これで後は根本的な対策をゆっくりすればいい。
あまり疲れは感じないが、疲れはたまっているはずだ。今日も疲れをとりながら帰ろう。