遠方にある物理サーバーのrootユーザーが逝った話 - タケハタのブログ

本番環境でやらかしちゃった人 Advent Calendar 2019 16日目の記事です。 内容はタイトルの通りです。 10年前くらいの話なので少しふわっとした部分もあるかもしれませんが、ご了承ください。 その当時やっていた業務内容 システムのサーバー移行作業 東京のとある会社で、とあるシステムのサーバー移行の作業をしていました。 そのシステムは大阪にあるデータセンターの物理サーバーで動いていて、今使っているサーバーの使用期限が切れるため、新しいサーバーへ移行するというものです。 客先常駐で、クライアントさんとやり取りしながら仕事をしていました。 ちなみに当時の僕はエンジニアになって2年目くらいの時期でしたが、大手SIerでのシステム移行のを1作業員として経験(手順書通りにコマンドを実行したりする)したくらいの状態で、まともにプログラムやコンソールを業務で触るのは初めてでした。 今回の事

[tito1201]

なぜpasswdを直接書き換えるの… / 手順書レビューで指摘とか入らなかったのかね。 / chshを使おう

[igrep]

こういうミスがたくさんあったから今の発達した自動化があるのだなぁとしみじみ

[odz]

ログインシェル間違えただけなら ssh -t root@server /bin/bash とかで行けるのでわ。／行けなかった。opensshは直接コマンドを実行する場合もログインシェルのチェックはしてファイルない場合は認証エラーになる（ソースで確認

[shag]

/etc/passwd とか /sshd なんとかをいじる時って shell 二つあげてどちらか root になっておいて、ミスった時の保険かけるよね。

[el-condor]

20年前ならまだわからんでもないが、10年くらい前なら/etc/passwdを弄る機会はほぼなかったはずと思うのだが…

[route246]

そういや iptables で 22番ポート閉じちゃう事故とか見たことあったな。

[ryuichi1208]

passwdを手で書き換える手順がレビュー通るのがよろしくないような。

[dogusare]

「こういう経験を積んだからこそ今サーバー環境をいじるのにすごく慎重になれているところもあります。」避けたいが避けて通れない道…

[wata88]

passwd直接書き換えあるある

[typex2]

＞？ そもそもssh経由で直接rootログインできるようにしているようなところはセキュリティ的にダメから。一般ユーザーでログインしたあとrootになるのはいいけど。。

[kumitatepazuru]

かなしいのぉ

[astro-cat]

直接rootユーザーにはもう触りたくないなぁ。クラウド環境が増えたお陰で、権限委譲を上手く使いこなしてroot周りの設定を弄り回さないで良いような時代にはなってきてると思うけど。

[cloverstudioceo]

今の若者はサクッとインスタンスを削除して作り直せばいいから楽だよなぁ。深夜の池袋によく行ったもんだ

[aox]

マウスで全て操作できればこういうのは無くなりますね

[rti7743]

近年のサーバだと、リモートで繋げるシリアルコンソールがあったりするから、よほどのことをしない限りなんとかなるんでね？電源もつけられるし。ルーターやFW機材で設定逆にしたら無理かもだけど。

[rryu]

SSH経由でhosts.allowでSSHの通信を制限する設定という恐ろしい作業があったなあ…

[kazkun]

今の子たちはvipwとか、chshを知らんのだろうか。そして接続は一つ残しておくのは鉄則だろなあ。でもこうやって痛い目にあったことはしっかりと胸に刻まれるよ。一つの成長だ。なに？10年前だと？アホたれー！

[gabari]

タイトルだけで逝ける

[YukeSkywalker]

ログイン済みのターミナルを残しておいたりとか、そういう泥臭いのってけっこう大事よ。

[hayashin10]

sudo権限で別ユーザーをroot権限にしておくとかも対策としてはありじゃないかなーと

[delphinus35]

/etc/passwd直変とか、20世紀の技術では……記憶が混乱してるのでは

[maangie]

dotfile をいじったときは、念のためにひとつだけはターミナルを残すけどなあ。怖いじゃん。/etc/passwd か……。

[viperbjpn]

大阪の人すごいな

[n_231]

大阪なら新幹線日帰りできるじゃん、アゼルバイジャンとかじゃなくて良かったね

[rin51]

vipwじゃなくて？ > /etc/passwd を直接書き換えて

[tyoro1210]

『そもそもこの作業自体手作業でやらないようにする』 chsh 使えば、存在しないパス指定した時は変更に失敗するから何も起きないよ。cat /etc/shells もセット / 変更時に複数繋いで片方閉じずに確認するのは割とやる。

[fai_fx]

今でも　root 直接ログインとか普通にやつてる現場あるよ…

[send]

sudo,chshを使おう。ミスしたんが悪いんじゃなくて手順書が良くないね

[eru01]

IPMIでsingleに落とせばええやんけと思ったけど10年前なら無いな

[masaru_b_cl]

リモートログイン作業ってやっぱ怖いですよね

[cl-gaku]

10年前なら十分あり得ると思うなぁ

[ytRino]

16日目にもなるのに未だにこうしてないなんてありえないみたいなブコメつけてくる人が残ってるんだなあ (しみじみ

[Error401]

俺たちが読みたいやらかしは、こういうのじゃないんだ！（じゃ、お前書け）

[ghostbass]

サムネ画像…「サーバールームで作業」？

[masatomo-m]

色々な現場があるということなんだろう。自分は2000年前後くらいだと割とrootでシステムファイルをvimするのはやってた。10年前だと流石にもうやってなかったな

[otihateten3510]

ブコメ