[port139:00448] Re: [port139:00441] オフラインでの整合性チェック

[Yasuyuki Horikoshi <holly@xxxxxxxxxxxxxxxxx>]

こんばんは、堀越です。

# OS非依存な話なので[stalk]の方が良かったかも

なんとか被チェックシステムを停止しないでできる方法はないものかと考えてい
たのですが、以下の方法で一応可能な場合があることを検証しました。
下の図のようなシステムを構築

図：
┌────┐            ┌────┐
│マシンA │┌────┐│マシンB │
│        ├┤SCSI HDD├┤        │
│        │└────┘│        │ 
└────┘            └────┘

1.マシンA,外付け SCSI HDD,マシンB を 1系統の SCSI でディジーチェーンにし
  ます。
2.マシンA は被チェックシステムが稼動しているシステムで、外付けのHDDから
  ブートします。ブートに必要なファイル・運用に必要なファイルは全て外付け 
  HDD に格納します(当然外付けの SCSI HDD から起動することになります)。
3.マシンB はチェック専用システムです。 外付け SCSI HDD に一切のファイル
  を格納しません。
4.上記のシステムで マシンA に Windows 2000, マシン B に Vine Linux を利
  用してマシンB に Tripwire をインストール,外付け SCSI をintegrity チェッ
  クの対象とする、マシンA に ntrootkit をインストール, マシンB の Tripwire 
  にて integrity チェック、で ntrootkit のインストールの検出が可能でした。

一応、可能ではあったもののハードウェアの構成自体に無理がないのか？
図のような構成でマシンA からマシンBのシステムの汚染は可能なのか？
という疑問点が残ります。

堀越<holly@xxxxxxxxxxxxxxxxx>