DMZ環境を考える
自宅サーバを外からアクセスできる環境を作るかどうか?
○常にwebサーバを?
○旅行中だけssh?
などなど。
すること
○DMZのサーバ自体はセキュアに作る :Unix系OSでは当たり前か
○DMZのサーバは不幸が起きるもの :乗っ取られたらの予防策を張る
でどうするか(検討中)
○zoneで作る
○Read-Only なファイルシステムをできるだけ使う(lofs)
○BARTでファイルチェックして、ダメなら zone ごと落とす
Tripwireな動きをOSの機能でGlobalZoneから BART(Basic Audit and Reporting Tool)レポートで確認しつつ、ダメなら zoneごと殺す。
以上、OpenSolaris セミナー in 静岡の資料を参考(パクリ)に考えてみました。
Solaris上では zoneってかなり手軽に作れるものという認識が広まれば面白そうな感じです。
以前はVMware、VirtualBoxってお手軽だな〜と思っていましたが、OSを気にしない(Apache, MySQL, 言語, etc...)ものって、サクサクzone作って環境構築、ダメならzone停止or削除 とか便利です。