[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02343] Re: 定期チェックを容易にする構成 (Re: 第2回 ログファイルの改ざん)
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02343] Re: 定期チェックを容易にする構成 (Re: 第2回 ログファイルの改ざん)
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Thu, 20 Feb 2003 10:12:16 +0900
Port139 伊原です。
On Thu, 20 Feb 2003 04:12:52 +0900
Akira Ryowa <ryowa@xxxxxxxxxx> wrote:
>・異常が認められない場合は、前回交換時に取り出したディスクは、次
> 回交換時に運用用にまわす。異常な差分が確認されたら、比較検証に
> 用いたディスクはそのまま証拠メディアとして保全。
かな〜りお金がかかりそうな仕組みですが、止めないで運用できる方向
としては“あり”だと思うのですが、たぶん指摘されているように、
>ただし、通常、耐障害性向上を主目的として作られているであろうこの手の製品
>で、定期的なディスク交換、ミラー再構築を繰り返すと、逆に障害を起こしやす
>くなってしまうのではないかという懸念はありますが。
この辺り(+コスト)が実運用ではネックになりそうですね。
13台だとすると、52本必要?
すご〜く割り切ってコストを押さえる方向で考えると....
・大容量の HDD を用意し調査用のシステムへ付ける
・システム領域はなるべく小さくしておく(10G 〜20G)
・システム領域を dd で調査用システムの HDD へコピーする
(証拠能力に疑問はあるが、稼働中のままでも取得可能)
・ディスクイメージを解析する
・異常を発見したら対処する、ディスクイメージは証拠。
かなぁ〜と個人的には感じてます。
調査のポイントを以下の二つに絞ると、「OS が信用できるか」の判断
を早めに処理できますかね。
<オンラインとオフラインでの状態比較>
1.オンラインでは見えていなかったファイルがないか
2.オンラインとではハッシュ値の異なるファイルがないか
システム領域外に rootkit とか入れられたら?という辺り突っ込み
どころがありますが、データ領域に .exe とか .sys は極力入れない、
仮に入れても“オンラインでは見えてない”かどうかを確認する作業
であればそれほど時間かからないかなぁと。。。
--
Port139 セミナー 大阪会場(3月14日)参加者募集中!
http://www.port139.co.jp/seminar/seminar_030314.htm
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/