新米Linux管理者がよくやる10の間違い

　多くの人にとって、Linuxへの移行は喜びに等しい出来事だ。だが、悪夢を経験する人もいる。前者ならば素晴らしいが、もし後者なら最悪だ。しかし、悪夢は必ずしも起きるわけではない。特に、新米のLinux管理者が犯しやすい、よくある間違いをあらかじめ知っていれば、悪夢を避けられる可能性は高いだろう。この記事では、いくつかの典型的なLinuxでのミスを列挙する。

#1：さまざまな手段でアプリケーションをインストールする

　これは最初は悪いアイデアではないように思える。もしUbuntuを使っていれば、パッケージ管理システムが.debパッケージを使っていることを知っているだろう。しかし、ソースコードでしか見つけられないアプリケーションも多くある。大したことではないはずだ。インストールすれば、動作する。これがなぜダメなのだろうか。これは単純で、ソースコードからインストールすると、パッケージ管理システムが何をインストールしたかを管理できなくなるためだ。では、（ソースコードからインストールした）パッケージAが、（.debバイナリからインストールした）パッケージBに依存しており、パッケージBがアップデートマネージャからアップグレードされたらどうなるだろうか。それでもパッケージAは動作するかも知れないし、動作しなくなるかも知れない。しかし、パッケージAとBの両方が.debでインストールされていれば、どちらも動作する可能性はずっと高くなる。また、すべてのパッケージで同じバイナリタイプを使っていれば、パッケージのアップデートはずっと簡単になる。

#2：アップデートを無視する

　これはLinuxだけではなく、管理スキル一般に関する問題だ。しかし、多くの管理者はLinuxを立ち上げ、走らせておきながら、それ以上のことは必要ないと思っている。それだけで、Linuxは安定しており、安全で、きちんと動作すると思っている。しかし、新しいアップデートは新しい攻撃方法に対してパッチを当てている場合もある。アップデートをきちんと行うかどうかが、システムに侵入されるかどうかを分けることもある。そして、Linuxのセキュリティが頼れるものだからといって、何もしなくていいというわけではない。これは、われわれれがみなWindowsのアップデートが習慣になった理由と同じだが、セキュリティのために、新機能のために、安定性のために、常にLinuxのアップデートは行うべきだ。

#3：問題のあるrootパスワードを選ぶ

　私に続けて復唱して欲しい。「rootパスワードは、すべての鍵」。すべての鍵を単純なものにしておく理由などない。自分の通常のユーザーパスワードは、覚えやすくタイプしやすいものにしておいてもいい。しかし、rootパスワードは、あなたの会社のデータベースサーバを守るものであり、ずっと高い複雑さの水準を与える必要がある。このパスワードは、USBメモリに保存して暗号化しておき、そのUSBメモリをマシン差し込んでマウントし、パスワードを復号化して使わなくてはならないような水準のものにしておくべきだ。

#4：コマンドラインを使うのを避ける

　たくさんのコマンドを丸暗記したい人はいないだろう。そして多くの場合、GUIがそれらのコマンドの大部分の代わりを果たしてくれる。しかし、コマンドラインを使った方が、より簡単で速く、より安全で、信頼性があるという場合もある。あなたは、少なくともコマンドラインがどのように動作するかをしっかり理解し、マニュアルを読まなくても最低限のコマンドは使えるようになる必要がある。GUIツールに加え、少数のコマンドラインツールを覚えるだけで、ほとんど何でもできるようになるはずだ。

#5：確実に動作するカーネルをインストールしていない

　1つのマシンに12個のカーネルは必要ない。しかし、カーネルをアップデートする必要はあり、アップデートの手順では以前のカーネルは削除しない。あなたはどうすべきだろうか。少なくとも、一番最近の確実に動作するカーネルを常に残しておくべきだ。例えば、現在のカーネルとして2.6.22を使っており、2.6.20をバックアップとして残しているとする。もし2.6.26にアップデートしてすべてが順調に動作した場合、2.6.20は削除してもいい。もし、rpmベースのシステムを使っていれば、rpm -qa | grep -i kernerlを実行した後、rpm-e kernel-{VERSION}を実行すれば、古いバージョンのカーネルを削除できる。

#6：重要な設定ファイルのバックアップを取っていない

　X11をアップグレードして、新しいバージョンのX11でxorg.confファイルがめちゃくちゃになり、Xが使えなくなってしまった経験はないだろうか？私がLinux初心者だった頃には、これを何度も経験した。しかし今では、Xをアップグレードする時には、アップグレードで問題が起こった時のために、常に/etc/X11/xorg.confのバックアップを取るようにしている。確かにXのアップデート手順ではxorg.confのバックアップを取ろうとするのだが、これは/etc/X11ディレクトリの中で行われる。この動作はシームレスに行われるとは言え、バックアップは自分の管理の下で行っておいた方がいい。私はいつもxorg.confのバックアップを/rootの下に置き、rootユーザーしかログインできなくてもアクセスできるようにしておく。後から後悔するよりも、念を入れた方がいい。これは、Samba、Apache、MySQLなどの他の重要なソフトウェアについても当てはまる。

#7：サーバをXで起動する

　サーバ専用のマシンを使うとき、管理作業を少しでも簡単にするためにXをインストールしたいと思うかも知れない。しかし、だからと言って、そのサーバでXまで起動する必要はない。これは、貴重なメモリとCPUサイクルを無駄にしてしまうことになる。その代わり、ブートプロセスをランレベル3で止め、コマンドラインまでにしておいた方がいい。これによって、すべてのリソースをサーバプロセスのために取っておけるだけでなく、詮索好きな人間をそのマシンを閉め出すことができる（彼らがコマンドラインとログインのためのパスワードを知らなければのことだが）。Xを起動したければ、ログインした後でstartxコマンドを実行しさえすれば、デスクトップが立ち上がる。

#8：アクセス権を理解していない

　アクセス権は管理者の生活を簡単なものにしてくれるが、下手に使われると、ハッカーの生活を簡単なものにしてしまうこともあり得る。アクセス権を扱う一番わかりやすい方法は、rwxを使った方法だ。r=read（読み出し）、w=write（書き込み）、x=execute（実行可能）を示す。例えば、あるユーザーがファイルを読み出し可能だが書き込みはできないようにしたいとしよう。この場合、chmod u+r,u-wx filenameというコマンドを実行すればよい。馴れないユーザーがあるファイルへのアクセス権がないというエラーを見て、この問題を避けるためにchmod 777 filenameに類するコマンドを実行するというようなこともよくある。しかし、このコマンドはファイルに実行可能のアクセス権を付与してしまうため、実際にはより多くの問題を引き起こしてしまう。次のことを覚えておいて欲しい。777はそのファイルにすべてのユーザー（root、group、その他のユーザー）にrwxのアクセス権を与え、666はすべてのユーザーにrwのアクセス権を与え、555はすべてのユーザーにrxのアクセス権を与え、444はすべてのユーザーにrのアクセス権を与え、333はすべてのユーザーにwxのアクセス権を与え、222はすべてのユーザーにwのアクセス権を与え、111はすべてのユーザーにxのアクセス権を与え、000はすべてのユーザーのアクセス権をなくす。

#9：rootユーザーとしてログインする

　これは十分に強調しておかなくてはならない。rootではログインしないこと。もしroot特権でアプリケーションを実行したり設定したりする必要があれば、通常ユーザーのアカウントから、suコマンドでrootになればよい。なぜrootでログインしてはいけないのだろうか。通常ユーザーとしてログインし、すべてのXアプリケーションを実行した場合、それらのアプリケーションはそのユーザーのシステムにしかアクセスできない。rootとしてログインすると、Xはrootのすべての特権を持つことになる。これは、2つの問題を引き起こす可能性がある。1）GUIを使って大きなミスを犯すと、システムに壊滅的な打撃を与えてしまう可能性がある。2）rootとして実行されているXは、システムをより脆弱にする。

#10：ログファイルを無視する

　/var/logが存在するのには理由がある。これは、すべてのログファイルを収めておくための場所だ。これによって、問題が起こった時にどこを見ればいいかが覚えやすくなっている。セキュリティの問題が起きている可能性があれば、/var/log/secureをチェックするといい。私が必ず最初に見る場所の1つは、/var/log/messagesだ。このログファイルには、すべての一般的なエラーなどが記録されている。このファイルを見れば、ネットワークやメディアの変更などに関するメッセージを見ることができる。マシンを管理する際には、logwatchなどのサードパーティアプリケーションを使えば、/var/logのファイルに基づくさまざまなレポートを作成することができる。

問題を回避する

　上記の10の間違いは、新米のLinux管理者にはよくあることだ。これらの落とし穴を避けることで、Linuxへの移行の儀式は早く進み、また、ずっとよい管理者になれることだろう。