会社のLinuxで開発する時の一番の敵はProxyだと思う
タイトルの通りなのですが仕事でもLinuxを開発のメインに使っていると
とても迷惑するのが会社が用意しているProxyです
会社でネットしたいならこいつを経由する以外の方法はないよ?
もちろん通信内容は全部記録するからね?
ってやつです
ここで
環境変数のhttp_proxyとhttps_proxyに社内プロキシ設定するだけやん?
って思った人はとても恵まれたProxyです。
私の使ってるproxyと交換してほしいです。
貴方のproxyがそのまま牙を向かない事を祈ります。
それでは私が出会ったダルいプロキシ機能の愚痴をご紹介します
SSLインターセプト
というのがいます。
コイツがマジでダルい
こいつね一旦Proxy側でhttpsの中身復号化して中身チェックしてから再度暗号化してクライアントに渡すんですよその仕組み上
オレオレ証明書で通信したみたいなレスポンスを返してくる
正気の沙汰じゃないでしょ?
もちろんブラウザとかもそんな通信されたらヤベー奴来たぞ?って弾くんですよ?
で、これを導入した会社側としてのこれに対する対処法ですが
会社で使うPCは全部Windowsで全部AD参加してるよね?
じゃあADで全クライアントPCにこの詐欺師を「信頼されたルート証明機関」としてインストールしてしまえばええんやない?
です
ほら!その結果普段の業務がOffice製品しか触らんような大多数のプロパー達はまったく気づきませんでした!
めでたしめでたしー
。。。。。
確かに開発作業してるのはほぼ外注だもんね?
社員の間では何も問題起きなかったら何も問題にはならないね?
こっちとしては何の相談もなしにProxyにそんな機能が追加された段階でパニックですけどね?
今まで動いてたのに
gitしたら証明書ガー
aptでも証明書ガー
yumでも。。wgetでも。。。。curlでも。。。。。。
って外部通信走るたびに全てがエラーですよ
なにか自分が悪いことしたかな?
ってなるけど昨日と変えたところなんて何もないのです
そこでLinux上のブラウザ開いて調べようとしてもお前がアクセスしようとしてる所はヤベーところやって言われます
しかも更にダルいことにこの証明書の書き換えが起きるときと起きないときがあります。
恐らくホワイトリストに登録されてるドメインへの通信はバイパスしてるのでしょう。
なので通信できるときと出来ないときが出てくるのですね。
こんな事されたら更に混乱ですGoogleは開けるのに検索結果から開こうとするページが全て証明書エラーとかなるんですよ?
まぁ私以外誰も騒いでなかったので私がおかしいだけかも知れませんが私はこの問題に気づいて解決するまでに数日かかりました。
というかそういうことするなら何かしらアナウンスしろよ何の会社なんだよ
友達だと思ってたやつが寄生獣に入れ替わってたくらいの衝撃でした
今でもコイツとは友達にはなれないと思ってますしなろうとも思いません。
暗号化と復号化分の無駄な処理入ってるのも気に入らない
とりあえずコイツの対処法ですが
まずADが配信したであろうこの寄生獣(証明書)をブラウザで適当なサイトを開いたりして取得します。
それをupdate-ca-certificatesコマンドとかで信頼しちゃえば大体なんとかなります。
大体それでなんとかなるんですがnssとかいう証明書ストア見てるやつとかコマンドやアプリによって独自に証明書ストア持ってるやつとかもいるのでSSLがーってエラー見るたびにそいつらの証明書ストア探して入れて回ったりして場当たり的な対処が必要となります。
しかも証明書の期限が短いので忘れた頃に期限切れとか新しいコマンド使おうとしたりとかのタイミングで問題だしたりと手のかかり方が半端じゃないです。
Dockerとかで外部通信走るような事したいと思ったらそいつら全部にこれ入れないと動かないとかですよ?
というわけでこれまでもこれからもこいつは憎き敵でしかありません。
てかあんだけ開発者大量にいると独自ストアにこれ入れたりしてそのままそれ毎リリースとかされてる案件とかありそうだよなぁ。。。
ブラックリスト
SSLインターセプトが寄生獣だとするとコイツは詐欺師位の可愛げを感じます。
昔からいるやつですね。特定サイトにアクセス出来なくするやつです
コイツに関しては昔はgithubすら繋がらず開発させる気が全くありませんでしたが流石に普通に使えないと不便なサイトに関しては徐々に規制緩和が進んでいるようで最近マシになってきました
それでもやはりたまに引っかかりますが
まぁまだなんとか我慢できるレベルに育ってきていると思います。
回避策1
ブラウザで情報収集する程度のサイトに関しては
これ系のサイトが一杯あるので規制されてないこれ系のサイトを探して使うと見れたりしますが大体proxyの管理者とのイタチの追いかけっこする感じですね。
ただブラックリストでaptとかに外部リポジトリ追加して引っかかるような時は死にます
回避策2
愚痴ってても仕方ないのでなんとかしようと試行錯誤した結果たどり着いたのが
自宅でこんてなーのいめーじをはぶる
です
ここが規制されたら泣いちゃうのでぼかします
とりあえず開発に必要なパッケージを全部ぶち込んだいめーじを作ってはぶるのです
aptならディストリ合わせて-download-onlyとかね?
本来の使い方してる人からしたら噴飯物ですが許してほしいです。
で、はぶからあれしてきたやつを解体してローカルにコピって入れ直すのです
ん〜かったるい😵
身バレしないようにそれ以外何もしない専用の垢を作ることをオススメします😁
回避策3(基本出来ないと思った方が良い)
SoftEther使えばやりたい放題できます。
こいつproxy経由でVPN貼れるのでグローバルIP持ってるやつにサーバ立ててProxy経由で繋げば自由なネットワークが手に入ります。
もっといえばVPNGateつかえばサーバも他の人が作ってくれてるの使えたりします。
(通信内容見られてる気がするから会社のProxyよりヤバイと思うけどね)
まぁこんなプロキシ導入してるような会社だと基本禁止されてるでしょうが。。。
ちなみに以前これやってる人が社内で摘発されているのを見ました
ちょっと考えたらわかるよね?だって1箇所にしかリクエスト発生してないのにそこに大量のトラフィック流れるんだもん。。。いくら形だけでまともに監視して無さそうでも気づかれるよ。。。
それでもここらへん存在も知らないような業界だと使える可能性があります
例を出すと私のITじゃない業界で働いている知人は
会社からUSBメモリを禁止されたぜ?
だから俺の部はMO導入したぜ?
メディアが売って無くて入手が大変だぜ?
ワイルドだろぅ?
って愚痴ってました
彼の会社なら使えそうな気がします
まぁそこまでザルだと民間のプロパイダ+バッファロールータに直接PC繋ぐとかしてそうだからProxy自体がなさそうだけど
もしそういうルールに明記されてないことならなにしてもいい会社にいる場合は抜け穴としてこんなのもあるよってことを知っていて損は無いかと思います。
責任はとれないけどね😋
というわけで何かしようとするたびにProxyに邪魔されてカッとなって書いた愚痴記事でした
とっぴんぱらりのぷう
Discussion