setuの日記: セキュアLINUX
ユーザモードLinuxの様に、仮想モードでOS(ゲストOS)を走らせる。 ホストOSは、外部(ネットワーク)とは接触しない。 (ネットから受け付けるサービスは走らない。あくまで、ゲストへのルーティングまたはリピートのみ) ゲストOSは、ホストOSの資源に直接触れない。 ホストOSは、神として振舞うのみ。
デスクトップでも、サーバでも、お仕事はゲストOSの上で走らせる。
ホストOS側から、ゲストOSの資源の状態を監視する。
状況に応じて、ゲストOSの資源にちゃちゃを入れる。
まあ、プログラムがインストールしてあるパーティションは、当然、書き込み禁止状態にしておいたり、書き込み前に復帰可能な様にしておいたり。書き込みをすべてUNDO可能な形で記録する。
ちゃちゃの入れ方:
メモリや、ディスクを直接いじるのもあり。
仮想のCPUを停止させて、仮想の資源をいじって、CPUをスタート。
仮想側からは、瞬時にすごい事が起きているようにしか、みえない。
ホスト側から、ゲストのコンソールのキーボードを叩いているロボットプログラムから、ゲストをコントロールする。ゲストOSのコンソールが、シリアルラインに繋がっているモードで走らせたら、コンソールの出力も文字コードで、ロボットが読むことができる。
こうすると、ネットで繋がっているわけじゃないので、妙な事がしにくい。まあ、このチャンネル(コンソール)は、仮想OS側に取っては、神との通信をする場所に見える。お祈りの場所。
当然、小さな仮想OSを複数走らせて(立ち上げて)おいて、ハニーネットも構築しておく。ハニーネットは、CPUも、メモリも、ディスクもあまり使わないように配慮して構築。どっちにせよ、侵入がなかったら、ハニーネットを構成する仮想OSは、ほとんど眠っている状態。ハニーネットにデータが流れ始めたら、ハニーネットも目を覚まして、起きている振りをするとか?
Love and Fun
-- setu
セキュアLINUX More ログイン