STGSAGWANさん、返答ありがとうございます。
ｓｉｎ１です。返答が遅くなり、申し訳ありません。

＞私の想像をかなり加えていますが、sin1さんがされたいのは、次のような事ではないでしょうか？（実現の可否は別として）

＞debファイルを http://packages.ubuntu.com/ からブラウザで個別にダウンロードして、一ヶ所の場所(部門サーバのWeb＞公開ディレクトリ？)などに置くことでローカル版リポジトリもどきを設置し、アップデートする際はインターネットじゃなくてそのローカ＞ル版リポジトリを見るようにして、例のプロキシ制限を回避したい。

そのとおりです。説明が足らず、申し訳ありません。
対象としているのは、サーバー６台のみです。（クライアントのＯＳはWindowsですので、対象外です。）
このうち、１台をアップデートパッケージ取得･配信用にして、その他は、このサーバーからアップデートをさせたいのです。

最も簡単なのは、ＮＴＴ回線を専用に契約して、プロキシを介さず接続する事なのですが、上層部のセキュリティ確保の検証を
受け、承認してもらうまでかなりの期間が必要、かつ、予算が大幅にカットされているため、運用開始に間に合わないのです。

＞この作業を定期的に実施するのはかなり大変だと思います。
＞更新されていく多数のパッケージの中から、依存関係を考えながら、パッケージを選ぶのはものすごく大変そうです。

これもそのとおりだと思います。
必要とするのは、更新用パッケージ、ＳＮＭＰ・ＲＡＤＩＵＳ関連及び仮想Ｗｉｎサーバー関連のパッケージなのですが、依存関係は、
まだ把握できていません。（必要なドキュメントを探して調べながら進めているのですが、捗っていません。）
「スキルが低い」のに、かなり無茶なことをやろうとしています。

＞あと、差し支えなければ教えていただきたいのですが、今回問題となっているプロキシの制限とは何の制限なのでしょうか？

このプロキシは、「手動でのファイルダウンロードは通過させるが、相手側がこちらの構成をサーチして必要なモジュールを送信
する動作はすべて遮断するようにしている。設定を緩和する事はない。」というのが概要です。
（ちなみにWindowsUpDateやウィルス対策ソフトの自動更新も同様に遮断されます。）
”APT-GET”が失敗するのは、このコマンドが上記の動作をするからなのでしょうか。
どのような設定かは、セキュリテイ上、私たちに公開されていません。（知る必要があると言っても、だめでした。）

何か、アドバイスがあればよろしくお願いします。

STGSAGWANさん、アドバイスありがとうございました。

＞話は先走りますが、aptのUser-AgentをIEに変えてビルドすれば、プロキシ経由で実現可能かもしれません。
＞汎用的にコマンドラインのオプションでUser-Agentを与える方法ならば、↓のパッチが参考になるでしょう(ちょっと古いパッチです)

＞しかし、私が思うには、プロキシの裏をかくような行為をすると、セキュリティ違反行為ってことで、会社組織内での立場がマズくな＞る危険性も考えられます。上記のwgetによる妙な試みも含めてです。
＞このあたりはご自身でよく考えて行動してくださいね。
＞正面切って「User-Agent変えてaptします」と了承を得てからならよいでしょうけど。

なるほど、そういうこともできるのですね。
どこまで正攻法でこちらの要求を実現できるかセキュリティチームと相談してみます。

ちなみに、色々と調べるうちにミラー構築についての資料を見つけました。
http://gihyo.jp/admin/serial/01/ubuntu-recipe/0047?page=2

このフォーラムにリンクがあったんですね。気が付きませんでした。
(何を見ていたんだろう、私。)
後は、プロキシ経由でも個別ダウンロードすることなく必要なパッケージが一括取得できれば、第１段階クリアとなるのですが。

何らかの成果を得ましたら、また報告させていただきます。

avidya による投稿:

外部からのアクセスはほぼ全て DROP されているんじゃないでしょうか。ですから当然 User-Agent を変えてもだめじゃないかと思うのですが。

そうだったら、いくら足掻いてもダメですね。うう・・。

avidya による投稿:

　apt-mirror も apt で外部リポジトリからパッケージをダウンロードするんですよね。

あれ？ 今気になって調べてみたら、apt-mirrorはwgetのみでダウンロードだったりします。
aptは関係ないようです。
依存パッケージがadduser, perl関係、wgetということからも分かります。

avidya による投稿:

# しかし Windows Update もダメ、ウイルス対策ソフトの辞書更新もダメなら、
# いくら閉じた LAN でもハッカーからしたらザル状態ですね。

# 話はずれますが、社内にWSUSサーバやウィルス対策ソフトのコーポレートエディションの更新サーバがあるのかもしれませんよ。
# そう願いたいです。

sin1 による投稿:

ちなみに、色々と調べるうちにミラー構築についての資料を見つけました。

そう、それです。1台でもプロキシ経由で外に出られるのならば、apt-mirrorするのが楽かなと私は思っています。

sin1 による投稿:

なるほど、そういうこともできるのですね。
どこまで正攻法でこちらの要求を実現できるかセキュリティチームと相談してみます。

「プロキシの制限内容は公開しない」という方々にその話を持ちかけるのは、かなり難しいかもですね・・・。

最後に一言、予想で話を進めるのはこれくらいにしておきます。（反省）
何か進展があるとよいですね。

最後の編集者: STGSAGWAN (2009-01-25 15:09:01)

avidyaさん
色々ご心配ありがとうございます。レスが遅くなり申し訳ありません。

＞これは技術で片付ける問題ではないです。

そのとおりです。
ですので、apt-geｔだけでも正式に通してもらえるよう調整していたのですが、「試験のためにポリシーは
変えられない」との回答である以上、プロキシで通してもらう事は不可能な状態になりました。
（まだwgetはトライしていません。）

＞もし仮に Ubuntu を使ってるなんて聞いてない、とかセキュリティチームの人間が言ったら、それはセキュリティチームが自ら責任を持たなければならない監査業務で手を抜いていたということを意味しますしね。

そうならないための準備です。
ｕｂｕｎｔｕの試験サーバーを構築することは、セキュリティチームも承知ですし、彼らもセキュリティ審査しな
ければなりませんので。
現状で解決したいのは、どのようにすればブラウザ経由でダウンロードしたパッケージを、クローズドＬＡＮ
の中で各サーバをアップデートできるか？であって、プロキシ制限を回避する事が最優先ではありません。
別途ダウンロードしたパッケージを、apt-mirrorでサーバのアップデートを行う・・・これができれば最低限
の目的は達成できるのですが。

STGSAGWANさん

＞ 話はずれますが、社内にWSUSサーバやウィルス対策ソフトのコーポレートエディションの更新サーバがあるのかもしれませんよ。

はい、その環境はありますよ。
ご安心を。


また、変化があれば書き込みしますね。

最後の編集者: sin1 (2009-01-26 22:31:00)