不審ソフトウェアへの対応策
ヘルプデスクの業務の1つには、利用者が勝手にインストールしたソフトウェアが、社内のネットワークに悪影響を及ぼさないか、確認する必要があるのだが、、FreeIPA+SSHの環境なら(WindowsXPの環境と比べても)、確認は非常に簡単だ。
構成(FreeIPA+SSH)についてはこの辺りを参照。
http://d.hatena.ne.jp/aaabbb_200904/20090425/1240666563
実際にプロセスが動いている時なら、 SSHで対象のPCにログインした後、
$ ps -ef
で簡単に目的のソフトウェアが掴めるし、そうでなくても、ユーザーのホームディレクトリ以下で
$ find . -perm +111
とすれば、即座に実行ファイルが置かれているかを確かめることができる。また、 定期的に ps -ef を実施するようなcronをpuppet で登録することもできるし、Gangliaがあれば、異様なCPU使用率、ネットワーク使用率が生じていないかを確認することもできる。
これらはどれもWindowsで実行することは難しい部分で、LinuxをPCで使う場合の強みといえると思う。(まあ、Gangliaはそうでもないかもしれないが。。)元々Windows系OSに遠隔ログインするにはターミナルサービス等を使うのが普通なのだが、個別にソフトウェアのインストールが必要なため、Linux系のコマンドログインの方が構成しやすい。
また、Linux系は一般ユーザーとrootユーザーがはっきり分かれており、GUI画面も一般ユーザーで使う方が普通のため、管理者の目を盗んでソフトウェアのインストールを行うことが難しいのも見逃せない。 (もっともシングルユーザーモードで設定を変更されるとアレなのだが…。 重要なファイルは定期的にpuppetや、FreeIPA+SSHの一斉スキャンで確認する必要があるかもしれない。) さらに、一般ユーザーより低い権限を持ったユーザを作成するために、SELinuxを利用することも出来る。
こう考えると、PCのOSとしてLinuxを使用することは、価格面以外でも十分メリットがあるように思える。Windowsの特徴である、"ユーザーは基本的に一人なのでAdministrator権限を使ってもよい", "操作は基本的にGUIで行う" などの点が裏目に出ているからだ。PCを使う上ではこれでもよいが、多数のPCを管理する管理者側ではPCユーザーの立場より、サーバー管理者の立場に近くなってしまうのだろうか。。