人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

Xenによるサーバ仮想化を考えています。
CentOS5.0でパッケージ版のXenをインストールしたのですが、ホストOS(ドメイン0)とゲストOS(ドメインU)を1つ稼動させているのですが、ホストOSへのアプリケーションのインストールをどうしようかと考えています。

ホストOSからゲストOSへは容易にコンソール移動ができるので、ホストOS上でXen以外のサーバアプリケーションをインストール・起動することはセキュリティ上好ましくないように思うのですが、この解釈はあっているでしょうか?それとも、シェルログインさえブロックしておけば、xendと(たとえば)httpdが同じマシン上で動作していても問題はないものなのでしょうか?
ホストOSにも固定IPアドレスを割り当てている(メンテナンスにSSHを用いる、IP制限あり)ため、できればそこも有効に利用したいとも思っているのですが、一緒に稼動しているサーバアプリケーションに脆弱性が見つかってサーバをのっとられた場合、すべてのゲストOSをのっとられることになると思うので、不安です。
これに関して「こうするのが一般的」というものがあれば教えて下さい。

●質問者: a_suenami
●カテゴリ:コンピュータ インターネット
✍キーワード:httpd IP OS SSH xen
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● hoongt
●24ポイント

アップデートを定期的に当てる

◎質問者からの返答

脆弱性をつぶしておけば問題ないということでしょうか…?

基本的にサーバアプリはRPMでインストールしていますので、cronで定期的にアップデートはしておりますが…それでも万が一ということもありますし、XSSなどでコンフィグ情報を漏洩してしまうリスクも完全にゼロにはできないので気になって質問したのです。


2 ● futurefinder
●46ポイント

コメントの「(3) xendの設定を変更し簡単にコンソール移動できないようにする」については、

xenconsoledを動作させないようにすれば、大丈夫ではないでしょうか?あ、でもそもそもxmが使えるとdestroyされたりしそうですね。。。


>ホストOSからゲストOSへは容易にコンソール移動ができるので、ホストOS上でXen以外のサーバアプリケーションをインストール・起動することはセキュリティ上好ましくないように思うのですが、この解釈はあっているでしょうか?

その通りだと思います。


>ホストOSにも固定IPアドレスを割り当てている(メンテナンスにSSHを用いる、IP制限あり)ため、できればそこも有効に利用したいとも思っているのですが、一緒に稼動しているサーバアプリケーションに脆弱性が見つかってサーバをのっとられた場合、すべてのゲストOSをのっとられることになると思うので、不安です。

個人的には、Domain-0は何もしないことが鉄則じゃないかと思います。

Domain-0はアップデートを定期的に当てるのは必須でしょうね。

がんばってください!

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ