今週の「Who, Me ? 」金庫からのストーリーでは、「Who, Me? DNS」(または「Devil's Naming Service」とも呼ばれています) が中心となり、忘れ去られたタイプミスの恐怖を警告します。
Register の読者である「Hugo」が今日のストーリーを共有してくれました。それは私たちを 1990 年代後半に連れ戻すストーリーです。当時、商用インターネットは明るい未来を垣間見せるものであり、障害は誰かが家の中で誤って内線を拾ったときに起こるものでした。
Hugo は、あるグローバル ISP (その名前は確かになかったので、「BigNet」と呼びましょう) の英国部門の上級システム管理者でした。
「BigNet では、ツールや自動化にあまり投資しておらず、多くのことをその場その場でやっていくしかありませんでした」と彼は語った。
郵便室のパニック:賢すぎるオペレーティングシステムの危険性
続きを読む
「顧客向けのウェブポータルがまったくなく、DNS の変更などについては電子メールでチケットを発行する必要があり、その後カスタマー サービスが対応していました。」
もっと幸せでシンプルな時代。ある日、ヒューゴが職場に来て、職場が大騒ぎになっているのを見つけるまでは。
「プライマリドメインもセカンダリドメインも、すべての顧客のDNSがダウンしていました」と彼は言った。「茶色い物質が回転する空気置換装置に本当に直撃したのです。」
Hugoはすぐに動き出し、DNSサーバーのログを取得してエラーを素早く発見しました。最初は全く意味が分かりませんでしたが、やがて恐ろしい現実に気づきました。
自動化への投資がほとんどなかったと彼が言ったのを覚えていますか? 企業特典という犠牲の中に、DNS編集ツールが含まれていました。いくつかのヘルパースクリプトが使われていましたが、基本的にはViを呼び出してゾーンファイルを編集していました。
エディタ戦争を経験したことがない方のために説明すると、ViはUnix管理者に大変愛されている由緒あるテキストエディタです。一方でEmacsを愛用する人もいます(Emacsを罵倒する人もいますが、この議論はここでは割愛します)。
スクリプトに関しては、SOA(Start of Authority)レコードの作成を支援するための簡単なテンプレートが用意されていましたが、ゾーンの検証は実際には行われていませんでした。また、履歴やバージョン管理も行われておらず、ファイルの日付と所有者のみが記録されていました。
結局、Hugo が最後の編集を行ったのは 2 週間前だったことが判明しました。
「おそらく私は Perl か bash のスクリプトで作業していたのでしょう」と彼は私たちに語りました。「そして同じ日に、私たちがホストしているすべてのドメインの SOA レコードにある uk.bignet.net のゾーン ファイルを編集しました。」
彼はさらにこう続けた。「Bind ゾーン ファイルではコメント文字はセミコロンですが、私は誤ってハッシュを使用してしまったため、Bind がゾーン ファイルをロードした際に、そのファイルはもはや信頼できないと判断され、このことに気付かなかったのです。」
デフォルトの2週間の有効期限が切れるまでは、すべて順調でした。他のすべてのドメインは、そのドメインの有効性と権威性に依存していたため、有効期限切れによりBindは他のすべてのドメインへのサービス提供を停止しました。
結果:大混乱。
修正は簡単でした。Hugoはコメントをセミコロンに変更し、急いでアップデートをプッシュし、すべてのネームサーバーを再起動しました。サービスが復旧した時の安堵感は明らかでした。
当然のことながら、Hugoの運命は、さらなる「事故」を防ぐためのDNSゾーンファイル検証ツールを作成することでした。Hugoは、自身が解雇された経験を踏まえ、ツールの信頼性を、エラーの警告のみから、検証失敗時に完全に停止させるまで高めました。
顧客サービスおよびプロビジョニング チームは「理解できない理由で」これを嫌っていたが、「当社がホストしているすべてのドメインに対してチェッカーを実行し、15 パーセント程度に基本的なエラーがあることがわかった」と同氏は語った。
どうやら、重要なファイルを無頓着に扱うのは Hugo だけではないようです。
コメント欄で間違った文字を入力してしまった呪いにかかったことはありませんか?あるいは、数週間前に犯したミスが、なんとも不快な形で再び頭をもたげてきたことはありませんか?Who, Me? ® に、あなたの悲惨な体験談をメールでシェアしてください。
