ふつうのユーザに「アカウントとパスワード管理くらいちゃんとやれ」というのを強要するのは難しく、結局地道に啓蒙していくしかないのかなぁとか思わされる今日この頃。そんな中、私のいる某大学でとある事件がおきますた。
詳細は聞いていないんですが、どうやらテストユーザアカウントを使ってリモートログインされたらしいです。ええ。(某I研らしいです) ここで、その某I研の人らのアカウント管理がなっていないのなら自業自得と断言してあげますが、実はトラブルの現況はそこではなかったそうで。
大学の部署で一括して某NTTグループ会社からサーバを大量に(物理的に)レンタル契約してます。で、そのレンタルサーバにテストアカウントが残ったまま出荷されてたというようなものらしいです。運用のための説明時にはそんなテストアカウントの存在を聞いてなかったし、テストユーザを消すなりパスワード変更するなりの対処法が必要な旨をいっさい聞いていないです。ちゃんとしたサーバ管理者なら実運用するまでに変なアカウントがないかをチェックするでしょうが、世の中そんなちゃんとしたサーバ管理者ばかりじゃないですしねぇ。
そんなわけで、某NTTグループ会社といってもそんなもんなのかなぁと思い知らされた今日この頃です。(実際に働いてるのはさらに下請け会社だろうけど) ちなみに、うちの研究室は、プリインストールのRedHat Enterpriseなんて速攻で消して、Windows2003 Server入れて動かしていますが何か?(を)