[knoppix:1916] Re: Server 用途にて

日原です。

>> 実運用自体は hdinstall したもので行うとして、その初期状態を保
>> 存しておくのに KNOPPIX は有効ではないかと目をつけた次第です。
>
>とすると、初期状態を自分で組み上げて、それを CD-RW なり DVD±RW/RAM なりに
>保存しておく（R でなくて RW/RAM を選ぶのは、セキュリティホールが見つかった
>ときに即座に書き換えるため）のがいいでしょうね。

はい、こちらを採用する場合、バックアップの一環としてオリジナルKNOPPIX
の形式にしておくという意味合いになっていくかと思います。

>> また、もし CD のみの環境でサーバーが出来れば、クラッキングの
>> 対策にもなるのではないかと。。。
>
>逆です。クラックする側から見れば、CD だろうが HD だろうが、セキュリティ
>ホールがあればすぐに好きなことができます。CD の利点は、リブートすればク
>ラッカーの開けたバックドアが消えるという点ですが、そもそもリブートしない
>と意味がないし、さらに、ログをきちんと HD に残さないとまたやられます。

ご察知の通り、バックドアが消えて欲しいという気持ちが大です。
以前、バックドアを作られて、結局クリーンインストールし直したという事
もありまして。。。
ログに関しては、別マシンにて保存する構成にしています。
ログやtripwireやSNMPで監視はしてますが、それよりはやられた後でしか検
知出来ないというのを何とかしなければとは思っていますが。

>さらに、サーバーソフトが CD に置いてあると、セキュリティパッチが出ても
>それを当てられないという致命的な弱点があります。

そうですね。
これは上のほうと絡むのですが、セキュリティアラートが出るたびにオリジ
ナルKNOPPIXを作るという事になるかと思います。

現在は、dmz に置くリバースプロクシ等を CD ブートのオリジナルKNOPPIXで、
それ以外のアプリケーションサーバーのバックアップ手法にやはりオリジナ
ルKNOPPIXの書き戻しというのが使えないかと検討をしています。

----
Naohiro Hihara  hihara-n@xxxxxxxxxxxxxxxxx