2005年06月15日(水)
<< 前の日記 | 次の日記 >>
これまでの06月15日
編集
■1
続・SC420[http://www.nantoka.com/~kei/diary/?200506a&to=200506071#T200506071]次の記事 >>
Tweet
趣味のサーバになるのだから、実験的な運用スタイルを試してみたいと思った。
以前から、もっとうまくバーチャルサーバ毎の分離をできないかと思って色々考えていたのだけれども、CGIはsuExec系の技術でユーザ分離しても、PHPのユーザ分離ができないことや、jailの運用をどうするか等、実験的にやってみたいことがいくつかあったのだ。
PHPのユーザ分離と言えば、CLI版を使えば良いのだけど、ネームバーチャルであっても各々のプロセスを違うユーザで起動するのは不可能では無さそうに思える。これについては、「perchildというものがあるよ」という声を頂いた。ちょっと調べてみたい。
もう一歩進めて、各々のバーチャルホストを別のディレクトリ空間にchrootすることもできないかと考えたけれども、これはまだ見つけていない。「mod_chrootというものがあるよ」という声は頂いたけれども、残念ながらこれではバーチャルホスト毎のディレクトリ空間は実現できない様だ。
jailの運用についても難しい問題があって、jailの中の管理が面倒になるということを気にしている。
異なる組織あるいはユーザが各jailを使っていて、他人の環境にちょっかいを出せない様にすることを目的にしているのであれば、jailに入れる意味がある。
今回の場合、ユーザは自分一人なので、いずれかのjailにあったセキュリティホールが全体に影響を与えない様にすることを目的とするのだけれども、各jailを管理する手間に見合っただけ予防効果があるのかどうかの判断が難しい。
これが、メールサーバをやっているマシンでCGI派手に使うWebサーバを動かすといったことならば、Webサーバのセキュリティホールがメールのプライバシーに影響を与える可能性を減じる意味があるのだが、運用ポリシーや存在するデータの取り扱いポリシーもあまり変わらないとなると、そもそもWebサーバ全体もjailに入れるのが良いのかどうか分からなくなってくる。Webサーバが入っているjail空間に侵入された時点で、失うものは失っているからだ。
jailの中を楽に管理するために、nullマウントというアイデアも教えてもらった。私の考えでは、たとえjailの中のバイナリを切りつめたとしても、外からバイナリを送り込むことはできるのだから、少々安全になるだけだと思っている。
それよりも、管理の手間を減らして、常にup-to-dateな状態を保つ方が重要だと考える。 あなたの環境ではこの結論は違うかも知れないが。
以前から、もっとうまくバーチャルサーバ毎の分離をできないかと思って色々考えていたのだけれども、CGIはsuExec系の技術でユーザ分離しても、PHPのユーザ分離ができないことや、jailの運用をどうするか等、実験的にやってみたいことがいくつかあったのだ。
PHPのユーザ分離と言えば、CLI版を使えば良いのだけど、ネームバーチャルであっても各々のプロセスを違うユーザで起動するのは不可能では無さそうに思える。これについては、「perchildというものがあるよ」という声を頂いた。ちょっと調べてみたい。
もう一歩進めて、各々のバーチャルホストを別のディレクトリ空間にchrootすることもできないかと考えたけれども、これはまだ見つけていない。「mod_chrootというものがあるよ」という声は頂いたけれども、残念ながらこれではバーチャルホスト毎のディレクトリ空間は実現できない様だ。
jailの運用についても難しい問題があって、jailの中の管理が面倒になるということを気にしている。
異なる組織あるいはユーザが各jailを使っていて、他人の環境にちょっかいを出せない様にすることを目的にしているのであれば、jailに入れる意味がある。
今回の場合、ユーザは自分一人なので、いずれかのjailにあったセキュリティホールが全体に影響を与えない様にすることを目的とするのだけれども、各jailを管理する手間に見合っただけ予防効果があるのかどうかの判断が難しい。
これが、メールサーバをやっているマシンでCGI派手に使うWebサーバを動かすといったことならば、Webサーバのセキュリティホールがメールのプライバシーに影響を与える可能性を減じる意味があるのだが、運用ポリシーや存在するデータの取り扱いポリシーもあまり変わらないとなると、そもそもWebサーバ全体もjailに入れるのが良いのかどうか分からなくなってくる。Webサーバが入っているjail空間に侵入された時点で、失うものは失っているからだ。
jailの中を楽に管理するために、nullマウントというアイデアも教えてもらった。私の考えでは、たとえjailの中のバイナリを切りつめたとしても、外からバイナリを送り込むことはできるのだから、少々安全になるだけだと思っている。
それよりも、管理の手間を減らして、常にup-to-dateな状態を保つ方が重要だと考える。 あなたの環境ではこの結論は違うかも知れないが。
■ 関連記事
- jail/chroot mini tree 構築用 Makefile2002-01-09
- 共用サーバのPHPスクリプトからデータベースに安全に接続する方法2005-06-14
- ぐる2002-01-24
- RealSystem Server Basic 8.02002-08-02
- 世界初の機能分離型パソコン2005-07-06
- アドレス空間総当たり1998-11-14
- Varyヘッダ2001-04-04
- メールのリターンアドレス2001-02-23
- 続・共用サーバのPHPスクリプトからデータベースに安全に接続する方法2005-06-17
- フィッシング詐欺用サイトとサイト改竄の違い2005-02-22
- ぐる2005-02-21
- Yahoo! BBにまたセキュリティ上の問題が2002-02-06
- 日本のインターネットがイソターネットになる日2010-05-27
- jailサーバの構築2002-01-23
- PHPでNPHな処理2003-09-27
■2おやすみ前の読書[book]<< 前の記事 | 次の記事 >>
Tweet
寝る前に本を読むのは、悪癖という人もいるけれども、私にとっては大切な楽しみの一つだ。
このところ、お仕事関係の本ばっかり読んでいたのだけど、ようやくノルマの山が減ってきたので、読めないでいた趣味のストックから。
完全に仕事と切れているかというとあやしいけれども。
このところ、お仕事関係の本ばっかり読んでいたのだけど、ようやくノルマの山が減ってきたので、読めないでいた趣味のストックから。

[和書]
FBIが恐れた伝説のハッカー〈上〉[http://www.amazon.co.jp/exec/obidos/ASIN/4794207263/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]
著者:ジョナサン リットマン, Jonathan Littman, 東江 一紀
出版社:草思社
定価:¥ 1,995
発売日:1996/10
ASINコード:4794207263
出版社:草思社
定価:¥ 1,995
発売日:1996/10
ASINコード:4794207263

[和書]
FBIが恐れた伝説のハッカー〈下〉[http://www.amazon.co.jp/exec/obidos/ASIN/4794207271/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]
著者:ジョナサン リットマン, Jonathan Littman, 東江 一紀
出版社:草思社
定価:¥ 1,995
発売日:1996/10
ASINコード:4794207271
出版社:草思社
定価:¥ 1,995
発売日:1996/10
ASINコード:4794207271
■ 関連記事
- 読んだ本2010-11-23
- [和書]4.4BSDの設計と実装2003-10-24
- 借りてきた本2005-07-26
- 出張2日目2005-09-20
- おやすみ2005-07-31
- 借りてきた本2005-04-09
- ぐる2005-01-26
- 買ってきた本2004-01-22
- 読んだ本2005-07-03
- 買ってきた本2004-04-14
- それいけ!アンパンマン カーニバルランド2006-01-04
- HiMD2005-04-06
- 最近読んだ本2003-08-12
- 住基カード関係で読んだ本2005-03-05
- 読書2010-04-23
■3読んだ本[book]<< 前の記事
Tweet
お仕事とそうでないのと。諫早市立図書館から。
□ [和書]Code Reading―オープンソースから学ぶプログラミングテクニック[http://www.amazon.co.jp/exec/obidos/ASIN/4839912653/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]
Code Reading―オープンソースから学ぶプログラミングテクニック[http://www.amazon.co.jp/exec/obidos/ASIN/4839912653/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]
著者:トップスタジオ, まつもと ゆきひろ, 平林 俊一, 鵜飼 文敏
出版社:毎日コミュニケーションズ
定価:¥ 5,460
発売日:2004/06/01
ASINコード:4839912653
出版社:毎日コミュニケーションズ
定価:¥ 5,460
発売日:2004/06/01
ASINコード:4839912653
□ [和書]仕事をしなければ、自分はみつからない。―フリーター世代の生きる道[http://www.amazon.co.jp/exec/obidos/ASIN/4794966555/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]
仕事をしなければ、自分はみつからない。―フリーター世代の生きる道[http://www.amazon.co.jp/exec/obidos/ASIN/4794966555/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]
著者:三浦 展
出版社:晶文社
定価:¥ 1,680
発売日:2005/02
ASINコード:4794966555
出版社:晶文社
定価:¥ 1,680
発売日:2005/02
ASINコード:4794966555
□ [和書]最速プライバシーマーク取得実務がよ~くわかる本―個人情報対策は、いまからでも大丈夫![http://www.amazon.co.jp/exec/obidos/ASIN/4798009520/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]
最速プライバシーマーク取得実務がよ~くわかる本―個人情報対策は、いまからでも大丈夫![http://www.amazon.co.jp/exec/obidos/ASIN/4798009520/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]
著者:打川 和男, ジェイエムシー
出版社:秀和システム
定価:¥ 1,890
発売日:2004/12
ASINコード:4798009520
出版社:秀和システム
定価:¥ 1,890
発売日:2004/12
ASINコード:4798009520
□ [和書]徹底追及 個人情報流出事件―狙われる個人情報、「プライバシー」が消滅するネット社会の恐怖[http://www.amazon.co.jp/exec/obidos/ASIN/4798008486/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]
徹底追及 個人情報流出事件―狙われる個人情報、「プライバシー」が消滅するネット社会の恐怖[http://www.amazon.co.jp/exec/obidos/ASIN/4798008486/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]
著者:佐々木 俊尚
出版社:秀和システム
定価:¥ 1,575
発売日:2004/07
ASINコード:4798008486
出版社:秀和システム
定価:¥ 1,575
発売日:2004/07
ASINコード:4798008486
□ [和書]超完全詐欺マニュアル:
[和書]超完全詐欺マニュアル
著者:吉田 雄亮
出版社:勁文社
定価:¥ 1,200
ISBNコード:4-7669-2093-7
出版社:勁文社
定価:¥ 1,200
ISBNコード:4-7669-2093-7
□ [和書]図解 裏社会実態マニュアル―自己破産、マルチ商法からドラッグ、密輸拳銃流出まで[http://www.amazon.co.jp/exec/obidos/ASIN/4810375153/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]
図解 裏社会実態マニュアル―自己破産、マルチ商法からドラッグ、密輸拳銃流出まで[http://www.amazon.co.jp/exec/obidos/ASIN/4810375153/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]
著者:加藤 亮介
出版社:同文書院
定価:¥ 1,365
発売日:1998/06
ASINコード:4810375153
出版社:同文書院
定価:¥ 1,365
発売日:1998/06
ASINコード:4810375153
□ [和書]地中海手作りパンの旅[http://www.amazon.co.jp/exec/obidos/ASIN/4062084929/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]
地中海手作りパンの旅[http://www.amazon.co.jp/exec/obidos/ASIN/4062084929/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]
著者:竹野 豊子
出版社:講談社
定価:¥ 1,470
発売日:1997/07
ASINコード:4062084929
出版社:講談社
定価:¥ 1,470
発売日:1997/07
ASINコード:4062084929
■ 関連記事
- 買ってきた本2003-11-05
- SYA!nikki2004-06-08
- なつかしの学校給食2002-02-26
- 危険なチャリンカー商法とは2005-04-06
- IT版ストックホルムシンドローム2010-08-19
- 読んだ本2010-05-14
- 世界最速360キロ…JR東、次世代新幹線お披露目2005-06-24
- ぐるぐる2001-12-27
- パイプラインでウオツカ密輸2004-12-11
- g-chef.com2002-05-17
- 東証ショック2006-01-18
- ezjail - Jail administration framework2005-10-19
- 作品をよく見せるためのお手軽なテクニック集2001-11-08
- 買ってきた本2003-09-24
- 米リーダーズ・ダイジェスト、破産法申請へ2009-08-18