2005年06月15日(水) << 前の日記 | 次の日記 >>
これまでの06月15日 編集

■1 続・SC420[http://www.nantoka.com/~kei/diary/?200506a&to=200506071#T200506071]次の記事 >> このエントリーをはてなブックマークに追加

趣味のサーバになるのだから、実験的な運用スタイルを試してみたいと思った。
以前から、もっとうまくバーチャルサーバ毎の分離をできないかと思って色々考えていたのだけれども、CGIはsuExec系の技術でユーザ分離しても、PHPのユーザ分離ができないことや、jailの運用をどうするか等、実験的にやってみたいことがいくつかあったのだ。
PHPのユーザ分離と言えば、CLI版を使えば良いのだけど、ネームバーチャルであっても各々のプロセスを違うユーザで起動するのは不可能では無さそうに思える。これについては、「perchildというものがあるよ」という声を頂いた。ちょっと調べてみたい。
もう一歩進めて、各々のバーチャルホストを別のディレクトリ空間にchrootすることもできないかと考えたけれども、これはまだ見つけていない。「mod_chrootというものがあるよ」という声は頂いたけれども、残念ながらこれではバーチャルホスト毎のディレクトリ空間は実現できない様だ。
jailの運用についても難しい問題があって、jailの中の管理が面倒になるということを気にしている。
異なる組織あるいはユーザが各jailを使っていて、他人の環境にちょっかいを出せない様にすることを目的にしているのであれば、jailに入れる意味がある。
今回の場合、ユーザは自分一人なので、いずれかのjailにあったセキュリティホールが全体に影響を与えない様にすることを目的とするのだけれども、各jailを管理する手間に見合っただけ予防効果があるのかどうかの判断が難しい。
これが、メールサーバをやっているマシンでCGI派手に使うWebサーバを動かすといったことならば、Webサーバのセキュリティホールがメールのプライバシーに影響を与える可能性を減じる意味があるのだが、運用ポリシーや存在するデータの取り扱いポリシーもあまり変わらないとなると、そもそもWebサーバ全体もjailに入れるのが良いのかどうか分からなくなってくる。Webサーバが入っているjail空間に侵入された時点で、失うものは失っているからだ。
jailの中を楽に管理するために、nullマウントというアイデアも教えてもらった。私の考えでは、たとえjailの中のバイナリを切りつめたとしても、外からバイナリを送り込むことはできるのだから、少々安全になるだけだと思っている。
それよりも、管理の手間を減らして、常にup-to-dateな状態を保つ方が重要だと考える。 あなたの環境ではこの結論は違うかも知れないが。

■ 関連記事

■2おやすみ前の読書[book]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

寝る前に本を読むのは、悪癖という人もいるけれども、私にとっては大切な楽しみの一つだ。
このところ、お仕事関係の本ばっかり読んでいたのだけど、ようやくノルマの山が減ってきたので、読めないでいた趣味のストックから。 完全に仕事と切れているかというとあやしいけれども。

■ 関連記事

■3読んだ本[book]<< 前の記事 このエントリーをはてなブックマークに追加

お仕事とそうでないのと。諫早市立図書館から。

[和書]Code Reading―オープンソースから学ぶプログラミングテクニック[http://www.amazon.co.jp/exec/obidos/ASIN/4839912653/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]仕事をしなければ、自分はみつからない。―フリーター世代の生きる道[http://www.amazon.co.jp/exec/obidos/ASIN/4794966555/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]最速プライバシーマーク取得実務がよ~くわかる本―個人情報対策は、いまからでも大丈夫![http://www.amazon.co.jp/exec/obidos/ASIN/4798009520/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]徹底追及 個人情報流出事件―狙われる個人情報、「プライバシー」が消滅するネット社会の恐怖[http://www.amazon.co.jp/exec/obidos/ASIN/4798008486/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]超完全詐欺マニュアル:

[和書]超完全詐欺マニュアル
著者:吉田 雄亮
出版社:勁文社
定価:¥ 1,200
ISBNコード:4-7669-2093-7

[和書]図解 裏社会実態マニュアル―自己破産、マルチ商法からドラッグ、密輸拳銃流出まで[http://www.amazon.co.jp/exec/obidos/ASIN/4810375153/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]地中海手作りパンの旅[http://www.amazon.co.jp/exec/obidos/ASIN/4062084929/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年06月 翌月
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project