サーバ管理者日誌

趣味のサーバになるのだから、実験的な運用スタイルを試してみたいと思った。
以前から、もっとうまくバーチャルサーバ毎の分離をできないかと思って色々考えていたのだけれども、CGIはsuExec系の技術でユーザ分離しても、PHPのユーザ分離ができないことや、jailの運用をどうするか等、実験的にやってみたいことがいくつかあったのだ。
PHPのユーザ分離と言えば、CLI版を使えば良いのだけど、ネームバーチャルであっても各々のプロセスを違うユーザで起動するのは不可能では無さそうに思える。これについては、「perchildというものがあるよ」という声を頂いた。ちょっと調べてみたい。
もう一歩進めて、各々のバーチャルホストを別のディレクトリ空間にchrootすることもできないかと考えたけれども、これはまだ見つけていない。「mod_chrootというものがあるよ」という声は頂いたけれども、残念ながらこれではバーチャルホスト毎のディレクトリ空間は実現できない様だ。
jailの運用についても難しい問題があって、jailの中の管理が面倒になるということを気にしている。
異なる組織あるいはユーザが各jailを使っていて、他人の環境にちょっかいを出せない様にすることを目的にしているのであれば、jailに入れる意味がある。
今回の場合、ユーザは自分一人なので、いずれかのjailにあったセキュリティホールが全体に影響を与えない様にすることを目的とするのだけれども、各jailを管理する手間に見合っただけ予防効果があるのかどうかの判断が難しい。
これが、メールサーバをやっているマシンでCGI派手に使うWebサーバを動かすといったことならば、Webサーバのセキュリティホールがメールのプライバシーに影響を与える可能性を減じる意味があるのだが、運用ポリシーや存在するデータの取り扱いポリシーもあまり変わらないとなると、そもそもWebサーバ全体もjailに入れるのが良いのかどうか分からなくなってくる。Webサーバが入っているjail空間に侵入された時点で、失うものは失っているからだ。
jailの中を楽に管理するために、nullマウントというアイデアも教えてもらった。私の考えでは、たとえjailの中のバイナリを切りつめたとしても、外からバイナリを送り込むことはできるのだから、少々安全になるだけだと思っている。
それよりも、管理の手間を減らして、常にup-to-dateな状態を保つ方が重要だと考える。 あなたの環境ではこの結論は違うかも知れないが。

• jail/chroot mini tree 構築用 Makefile2002-01-09
• 共用サーバのPHPスクリプトからデータベースに安全に接続する方法2005-06-14
• ぐる2002-01-24
• RealSystem Server Basic 8.02002-08-02
• 世界初の機能分離型パソコン2005-07-06
• アドレス空間総当たり1998-11-14
• Varyヘッダ2001-04-04
• メールのリターンアドレス2001-02-23
• 続・共用サーバのPHPスクリプトからデータベースに安全に接続する方法2005-06-17
• フィッシング詐欺用サイトとサイト改竄の違い2005-02-22
• ぐる2005-02-21
• Yahoo! BBにまたセキュリティ上の問題が2002-02-06
• 日本のインターネットがイソターネットになる日2010-05-27
• jailサーバの構築2002-01-23
• PHPでNPHな処理2003-09-27

寝る前に本を読むのは、悪癖という人もいるけれども、私にとっては大切な楽しみの一つだ。
このところ、お仕事関係の本ばっかり読んでいたのだけど、ようやくノルマの山が減ってきたので、読めないでいた趣味のストックから。 完全に仕事と切れているかというとあやしいけれども。

• 読んだ本2010-11-23
• [和書]4.4BSDの設計と実装2003-10-24
• 借りてきた本2005-07-26
• 出張2日目2005-09-20
• おやすみ2005-07-31
• 借りてきた本2005-04-09
• ぐる2005-01-26
• 買ってきた本2004-01-22
• 読んだ本2005-07-03
• 買ってきた本2004-04-14
• それいけ！アンパンマン　カーニバルランド2006-01-04
• HiMD2005-04-06
• 最近読んだ本2003-08-12
• 住基カード関係で読んだ本2005-03-05
• 読書2010-04-23

お仕事とそうでないのと。諫早市立図書館から。

□ [和書]Code Reading―オープンソースから学ぶプログラミングテクニック[http://www.amazon.co.jp/exec/obidos/ASIN/4839912653/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ [和書]仕事をしなければ、自分はみつからない。―フリーター世代の生きる道[http://www.amazon.co.jp/exec/obidos/ASIN/4794966555/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ [和書]最速プライバシーマーク取得実務がよ~くわかる本―個人情報対策は、いまからでも大丈夫![http://www.amazon.co.jp/exec/obidos/ASIN/4798009520/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ [和書]徹底追及 個人情報流出事件―狙われる個人情報、「プライバシー」が消滅するネット社会の恐怖[http://www.amazon.co.jp/exec/obidos/ASIN/4798008486/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ [和書]超完全詐欺マニュアル:

□ [和書]図解 裏社会実態マニュアル―自己破産、マルチ商法からドラッグ、密輸拳銃流出まで[http://www.amazon.co.jp/exec/obidos/ASIN/4810375153/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

□ [和書]地中海手作りパンの旅[http://www.amazon.co.jp/exec/obidos/ASIN/4062084929/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

• 買ってきた本2003-11-05
• SYA!nikki2004-06-08
• なつかしの学校給食2002-02-26
• 危険なチャリンカー商法とは2005-04-06
• IT版ストックホルムシンドローム2010-08-19
• 読んだ本2010-05-14
• 世界最速３６０キロ…ＪＲ東、次世代新幹線お披露目2005-06-24
• ぐるぐる2001-12-27
• パイプラインでウオツカ密輸2004-12-11
• g-chef.com2002-05-17
• 東証ショック2006-01-18
• ezjail - Jail administration framework2005-10-19
• 作品をよく見せるためのお手軽なテクニック集2001-11-08
• 買ってきた本2003-09-24
• 米リーダーズ・ダイジェスト、破産法申請へ2009-08-18