[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02341] 定期チェックを容易にする構成 (Re: 第2回 ログファイルの改ざん)
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02341] 定期チェックを容易にする構成 (Re: 第2回 ログファイルの改ざん)
- From: Akira Ryowa <ryowa@xxxxxxxxxx>
- Date: Thu, 20 Feb 2003 04:12:52 +0900
りょうわ です。おはようございます。
On Wed, 19 Feb 2003 17:04:41 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:
> とすると、「OS は信用できる」と確認するのに何分必要か?
> ということになるわけですが....作業項目としては、
>
> ・データの取得
> ・データの解析
> ・解析データの保存
>
> とすれば、うーん、20G の取得に約 30分かかるから、それを
> 解析したとして 30分〜1時間、1台に約 2時間とすると、13台
> では 26時間かかりますね。
>
> データ取得時間を短くするのは難しそうですから、解析の時間
> をどれくらい短くできるかが鍵でしょうか。
ホットスワップ可能なハードウェア RAID1 でミラーされているディスクがシス
テム領域になっている構成で、定期的なディスク交換とミラー再構築が許容され
る場合であれば、次のような運用はありでしょか?
・1ミラーあたり最低4本のディスクを用意しておく。2本は運用用、
もう2本は監査用
・運用システムから片側のディスクを取り出し、新しいディスクに交換
→ミラー再構築。
・運用システムから取り出したディスクの内容を前回交換時に取り出し
たディスクと比較検証する。検出された差分情報は監査ログとして保
存。
・異常が認められない場合は、前回交換時に取り出したディスクは、次
回交換時に運用用にまわす。異常な差分が確認されたら、比較検証に
用いたディスクはそのまま証拠メディアとして保全。
比較検証 ---------> 監査ログ
+-----+ +-----+
| HDD | <-> | HDD |
+-----+ +-----+
↓ ↑ ローテーション
+-----------------+
| +-----+ +-----+ |
| | HDD | | HDD | |
| +-----+ +-----+ |
+-----------------+
HW RAID1
ただし、通常、耐障害性向上を主目的として作られているであろうこの手の製品
で、定期的なディスク交換、ミラー再構築を繰り返すと、逆に障害を起こしやす
くなってしまうのではないかという懸念はありますが。
ここまでやらないにしても、侵入者に気づかれる可能性を最小限に現状保全した
いという局面では、ホットスワップ可能なハードウェア RAID1 で構成しておく
システムというのはありかな、とか思ったのですがどうでしょうか。
--
Akira Ryowa <ryowa@xxxxxxxxxx>