Xenによるサーバ仮想化を考えています。

CentOS5.0でパッケージ版のXenをインストールしたのですが、ホストOS(ドメイン0)とゲストOS(ドメインU)を1つ稼動させているのですが、ホストOSへのアプリケーションのインストールをどうしようかと考えています。

ホストOSからゲストOSへは容易にコンソール移動ができるので、ホストOS上でXen以外のサーバアプリケーションをインストール・起動することはセキュリティ上好ましくないように思うのですが、この解釈はあっているでしょうか?それとも、シェルログインさえブロックしておけば、xendと(たとえば)httpdが同じマシン上で動作していても問題はないものなのでしょうか?
ホストOSにも固定IPアドレスを割り当てている(メンテナンスにSSHを用いる、IP制限あり)ため、できればそこも有効に利用したいとも思っているのですが、一緒に稼動しているサーバアプリケーションに脆弱性が見つかってサーバをのっとられた場合、すべてのゲストOSをのっとられることになると思うので、不安です。
これに関して「こうするのが一般的」というものがあれば教えて下さい。

回答の条件
  • 1人1回まで
  • 登録:2008/10/13 18:57:49
  • 終了:2008/10/20 19:00:03

回答(2件)

id:hoongt No.1

hoongt回答回数173ベストアンサー獲得回数32008/10/15 23:06:34

ポイント24pt

アップデートを定期的に当てる

id:a_suenami

脆弱性をつぶしておけば問題ないということでしょうか…?

基本的にサーバアプリはRPMでインストールしていますので、cronで定期的にアップデートはしておりますが…それでも万が一ということもありますし、XSSなどでコンフィグ情報を漏洩してしまうリスクも完全にゼロにはできないので気になって質問したのです。

2008/10/15 23:34:41
id:futurefinder No.2

futurefinder回答回数4ベストアンサー獲得回数02008/10/18 21:55:38

ポイント46pt

コメントの「(3) xendの設定を変更し簡単にコンソール移動できないようにする」については、

xenconsoledを動作させないようにすれば、大丈夫ではないでしょうか?あ、でもそもそもxmが使えるとdestroyされたりしそうですね。。。


>ホストOSからゲストOSへは容易にコンソール移動ができるので、ホストOS上でXen以外のサーバアプリケーションをインストール・起動することはセキュリティ上好ましくないように思うのですが、この解釈はあっているでしょうか?

その通りだと思います。


>ホストOSにも固定IPアドレスを割り当てている(メンテナンスにSSHを用いる、IP制限あり)ため、できればそこも有効に利用したいとも思っているのですが、一緒に稼動しているサーバアプリケーションに脆弱性が見つかってサーバをのっとられた場合、すべてのゲストOSをのっとられることになると思うので、不安です。

個人的には、Domain-0は何もしないことが鉄則じゃないかと思います。

Domain-0はアップデートを定期的に当てるのは必須でしょうね。

がんばってください!

  • id:a_suenami
    ちなみに私が考えた限りでは
    (1) ホストOSにはIPアドレスを割り当てず、直接モニタとキーボードを接続してメンテナンスを行う → データセンターなど遠隔地にあるサーバでは不可能
    (2) ホストOS上ではSSHのみ稼動させ、そのIPアドレスで他サービスを利用するのをあきらめる → ルータより外から見ると、そのIPは利用していない(あるいはすべてのポートが閉じている)状態に見える
    (3) xendの設定を変更し簡単にコンソール移動できないようにする → そういう設定が可能なのかまだ調べておりません。すいません…
    (4) ルータでのパケットフィルタリングを信じて、xendと他サービスを同IP上で稼動させる
    程度しか思いつかないのですが、他に解決策はありますでしょうか?
  • id:zzz_1980
    本気でセキュリティーを気にするなら、まずopensshを乗せかえますが…
  • id:a_suenami
    id:zzz_1980さん、コメントありがとうございます。
    opensshを乗せかえる、というのは、パッケージ版をアンインストールして、ソースから入れるということでしょうか?
    一応、IP制限をかけて特定ホスト以外からのアクセスを拒否、パスワード認証を拒否、rootでのログインを拒否、ポート番号を22番以外へ変更などの処置はしているのですが、不十分でしょうか?
    もちろん、iptablesだけでなくゲートウェイでもsshのポートはデフォルト拒否しています。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません