ServersMan@VPS で管理者権限濫用事象
お遊び用にとってある ServersMan@VPS で、運営元の DTI が、サーバ事業者として管理者権限を濫用する、という珍事が発生しました。詳しくは、tomochaさんの日記エントリーで書かれているのですが、公式には、『ServersMan@VPSサービス SSH接続用のポート変更に伴う設定変更のお願い』というアナウンスがでていた件で、去る12月27日に、「SSH接続のポート番号変更」と称して、強制的に下記の事が行われました。
- sshd_config へ Port 3843 の挿入(正確にはPort*を置き換えた模様)
- (告知無)distcache というユーザ・グループの追加
- (告知無)distcache-1.4.5-14.1.i386 および mod_ssl-2.2.3-43.el5.centos.3.i386 という 2 つのパッケージのインストール(httpd と依存関係にあるのか、httpd を削除しているユーザ環境では、httpd もインストールされた模様)
自分の環境で確認したうえで、上記tomochaさんのエントリーとも照らし合わせて確認した。
Twitter では既に散々貶されてるようだけど、やはり、ServersMan は、コンシューマ向けの「なんちゃってサーバ、るーとケンゲン付き!」であって、あくまでも個人が趣味でする自宅サーバの延長線となるサービスだ。ここは、実験用に使うサーバサービス事業者なんだなぁと。
もちろん、今回の作業は、散々テストした上で実施されたメンテナンスなんだろうけど、ポート 443 を遮断してるユーザは動かなかったりと、メンテナンスの結果すべてのユーザで目的のサービスが動くわけではない。正直、本当にテストしたんだろうかと心配になる。
こうした(ユーザのあずかり知らない)勝手な作業をお客さんのサーバに対して行うということについて、DTI の社員は疑問に思わなかったのかな?
自分はコンシューマ向けのサーバ事業をしてるわけではないけど、サーバの管理代行してる経験上、何かをいじる場合は事前に内容や目的・時間や影響範囲など、多くの項目について密に詰めた上で、最善の状態で作業を行う。だから今回の場合にすべきことくらいは想像できる。本当にお客さんのサーバ内を触る必要があるのであれば、メンテナンス情報にて、すべての情報を再三告知して実施すべきだろう。
もし、ウェブサービスを提供するユーザがいたら、今回の作業によってサービスが停止しているかもしれない、と考えただけでゾッとする。もちろん、これもテストした上での作業だろう。けど、すべてユーザのウェブサービスの内容を、サーバ会社が全部把握できるはずがない。そして、作業内容が明らかになってないのだから、顧客側でも準備ができない。何かしら問題が発生した場合の責任はとってくれるのか?
仮想化の世界ではもっとセキュリティについて考えられるべきだ。そして、その優位性を前面に出したサービスがあっていいと思う。さくらインターネットの田中社長の言葉ではないが、仮想サーバが「劣化サーバ」となっては、もったいない。