パスワードを忘れた? アカウント作成
359485 journal

setuの日記: セキュアLINUX

日記 by setu
こんどもっと詳しく設計してみよう

ユーザモードLinuxの様に、仮想モードでOS(ゲストOS)を走らせる。 ホストOSは、外部(ネットワーク)とは接触しない。 (ネットから受け付けるサービスは走らない。あくまで、ゲストへのルーティングまたはリピートのみ) ゲストOSは、ホストOSの資源に直接触れない。 ホストOSは、神として振舞うのみ。

デスクトップでも、サーバでも、お仕事はゲストOSの上で走らせる。

ホストOS側から、ゲストOSの資源の状態を監視する。
状況に応じて、ゲストOSの資源にちゃちゃを入れる。

まあ、プログラムがインストールしてあるパーティションは、当然、書き込み禁止状態にしておいたり、書き込み前に復帰可能な様にしておいたり。書き込みをすべてUNDO可能な形で記録する。

ちゃちゃの入れ方:

メモリや、ディスクを直接いじるのもあり。
仮想のCPUを停止させて、仮想の資源をいじって、CPUをスタート。
仮想側からは、瞬時にすごい事が起きているようにしか、みえない。

ホスト側から、ゲストのコンソールのキーボードを叩いているロボットプログラムから、ゲストをコントロールする。ゲストOSのコンソールが、シリアルラインに繋がっているモードで走らせたら、コンソールの出力も文字コードで、ロボットが読むことができる。

こうすると、ネットで繋がっているわけじゃないので、妙な事がしにくい。まあ、このチャンネル(コンソール)は、仮想OS側に取っては、神との通信をする場所に見える。お祈りの場所。

当然、小さな仮想OSを複数走らせて(立ち上げて)おいて、ハニーネットも構築しておく。ハニーネットは、CPUも、メモリも、ディスクもあまり使わないように配慮して構築。どっちにせよ、侵入がなかったら、ハニーネットを構成する仮想OSは、ほとんど眠っている状態。ハニーネットにデータが流れ始めたら、ハニーネットも目を覚まして、起きている振りをするとか?

Love and Fun
-- setu

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...