[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:52429] Re: integritのデータベース更新について



武藤@Debianぷろじぇくとです。

At Wed, 6 May 2009 11:36:50 +0900,
canon wrote:
> > なお、セキュリティに綿密に注意を払っているなら容易に想像がつくように、
> > 書き込み可能な同じ領域にスナップショットデータベースファイルがあることは
> > 望ましい状態ではありません(チェックが動く前にスナップショットファイルを
> > 書き換えてしまえば変更の痕跡を消すことができます)。
> > スナップショットデータベースファイルは、読み取り専用しかできないような
> > メディアやファイルシステムに置くのが本来は適切です。
> 
> 了解です。読み取り専用、つまりリードオンリーの場所に配置するのが適切なの
> ですね。例えばCDやDVDといった場所のことでよろしいのでしょうか。当方では
> ディレクトリとファイルを読み取り専用にした専用のものを作成し、そこに置く
> ことにしました。

> 1 「su -」でルートになり、「/var/lib/integrit-db」というディレクトリを
> 作成。
> 
> 2 「/var/lib/integrit」のスナップショットデータベースを
> 「/var/lib/integrit-db」に移動させる。
> 
> 3 chmodコマンドで、移動したディレクトリのパーミッションを読み取り専用
> に変更。データベースファイルも読み取り専用に変更。

> こんな感じでやりましたが、なにか問題はないでしょうか?

問題はないんですが、root権限で作ることができてパーミッションを変更できる
ことからもわかるように、/var/lib/integritに置くことと実質的に何も変わって
はいないです。

厳密にやりたいならCD/DVD-R(RWではなく)に焼くか、十分にセキュリティ設定
された別マシンからNFSかCIFSでread onlyディレクトリを提供して
/var/lib/integrit-dbにマウントさせる、といったかんじでしょうか。
でもマウントを解除されたら…と考えると、この手のはきりがないですな。
-- 
武藤 健志@ kmuto @ kmuto.jp
           Debian/JPプロジェクト   (kmuto@debian.org, kmuto@debian.or.jp)
           株式会社トップスタジオ  (kmuto@xxxxxxxxxxxxxxx)
URI: http://kmuto.jp/ (Debianな話題など)