CentOS のプロジェクト管理者でもあり、金庫番ともいえる Lance Davis 氏の公開書簡問題は、わずか 3日で収束したらしく、centos.org には Lance 氏とミーティングを行ったとのアナウンスが掲載されています。ところで、ドメイン管理者がいないと CentOS ユーザが被る危険性って何でしょうね?

Lance 復帰、ドメイン名は移管される模様

アナウンスによると、CentOS.org, CentOS.info ドメインのほか、登録商標などの CentOS ディストリビューションにおける権利関係は CentOS プロジェクトの管理下におかれるようです。

The CentOS Development team had a routine meeting today with Lance Davis in attendance. During the meeting a majority of issues were resolved immediately and a working agreement was reached with deadlines for remaining unresolved issues. There should be no impact to any CentOS users going forward.

The CentOS project is now in control of the CentOS.org and CentOS.info domains and owns all trademarks, materials, and artwork in the CentOS distributions.

We look forward to working with Lance to quickly complete all the agreed upon issues.

More information will follow soon.

ドメイン登録者がいなくなるとなぜ問題なのか

“centos.org” といったインターネット上のドメイン名には、それぞれ登録者 (Registrant / レジストラント)、管理担当者 (Administrative Contact)、技術連絡担当者 (Technical Contact) が存在します。centos.org のドメイン名は、現在すでに CentOS Project に移管されつつあるようですが、Lance Davis 氏が個人で所有していた状態だったようです。WHOIS で検索してみると、

Created On:04-Dec-2003 12:28:30 UTC
Last Updated On:01-Aug-2009 02:57:51 UTC
Expiration Date:04-Dec-2009 12:28:30 UTC

centos.org は今年の 12月4日に失効することになっています。その日までに登録者などがレジストラに延長手続きを取らないと、centos.org というドメインは誰のものでもなくなってしまいます。そうすると、今現在 centos.org の DNS / Web / メールサーバ「ということになっている」サーバが健在でも、centos.org へのアクセスはできなくなってしまいます。

そうすると、

  • セキュリティ上の問題があっても security@centos.org に連絡が取れない
  • CentOS の iso ファイルを取得しようとして http://centos.org/ に行こうとしたらアクセスできない

といった問題の他に、yum ができなくなるかもしれない、という恐ろしい事態が予想されます。

具体的には、パッケージのアップデートに使われる yum の mirrorlist はまず mirorlist.centos.org から取得するようになっています。

# cd /etc/yum.repos.d
# less CentOS-Base.repo
......
[base]
name=CentOS-$releasever - Base
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
.....

仮に、mirrorlist を存在しないドメイン名に書き換えてみると、

# yum -y upgrade
Loaded plugins: downloadonly, fastestmirror, priorities
Loading mirror speeds from cached hostfile
YumRepo Error: All mirror URLs are not using ftp, http[s] or file.
/Eg. </HTML>
removing mirrorlist with no valid mirrors: //var/cache/yum/base/mirrorlist.txt
Error: Cannot find a valid baseurl for repo: base

yum できなくなってしまいます…..。当面はこれでも既存の CentOS 5 は動き続けるでしょうし、1ヶ月に 1回~数回入るセキュリティアップデートが止まってしまうと、脆弱性がむき出しのままになってしまい、いつかはそこを攻撃されることになります。

手動で rpm パッケージをせっせとダウンロード / インストールし続けるというのも、昔は一所懸命やっていましたが、今は脆弱性発見から実際に攻撃されるまでのインターバルが短くなってきているので、現実的ではありません。

CentOS 最大のウリを台無しにしてしまった今回の 1件

数ある Linux ディストリビューションの中で、CentOS を使い続ける最大の理由は、安定性だったはずです。企業向け有料サポートつきのみの提供になった RedHat Enterprise Linux (RHEL) などと違い無料で利用できるのは魅力ですが、それだけなら Ubuntu でも Vine でも FreeBSD でも好きなの選べば良いわけで。

Fedora のように新しいが不安定なテクノロジーをどんどん投入されることもなく、必要最低限のセキュリティアップデート (だけとも言いませんが…) で淡々と動き続けるのが最大の CentOS の良さです。

不況がオープンソースに落とす影

今回の一件で、Lance 氏から無事に CentOS Project に権利関係が引き継がれると良いのですが、CentOS 開発者はどっちにしろ本業の片手間で開発していることには変わりないわけで、長期化する不況で本業の職を追われるような事態になると、またその部分の開発が不安定になったりはするでしょう。

無料のディストリビューションに多くは期待せず、OS 難民になったときの備えが必要ということでしょうかね。