検索
連載

Solarisコンテナでセキュリティを強化OpenSolarisで始めるブログサーバ構築(3)(4/4 ページ)

この連載では、サーバOSとして十数年発展してきた「Solaris」をオープンソース化した「OpenSolaris」を紹介し、ブログサーバ「Roller」と組み合わせて運用していくうえで有用なさまざまな知識を紹介していきます。(編集部)

[増月孝信,サン・マイクロシステムズ株式会社] PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

Solarisコンテナの設定手順(2)

17 アプリケーションのインストールと設定

 アプリケーションのインストールと設定は、zloginコマンドにて各ゾーンにログインして作業を行います。

  • 17-1 BlogゾーンにTomcatをインストール
  • 17-2 DBゾーンにMySQLをインストール
  • 17-3 BlogゾーンのTomcat環境にApache Rollerを配備

 アプリケーションのインストールと設定の基本的な流れは、前回の記事を参照してください。ただし今回は、blog_zoneにはTomcatとApache Rollerを、db_zoneにはMySQLを分けてインストールします。インストール方法は以下のURLを参照してください。

関連記事
http://sdc.sun.co.jp/solaris/articles/roller_setup.html

 また設定時の注意点として、以下の2つのApache Roller設定ファイルを、db_zoneのMySQLにアクセスするように記述する必要があります。

a. roller-custom.properties ファイルを記述します。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

 このディレクトリに以下の内容のroller-custom.propertiesというファイルを作成します。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

b. context.xmlの作成

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

18 ネットワークサービスの利用制限

 起動するネットワークサービスを限定してセキュリティのリスクを軽減させたいのであれば、以下の作業を各ゾーンにログインして行います。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

 必要に応じて、特定のネットワークサービスについて、svcadmコマンドを使用して利用可能にさせることができます。

19 動作の確認

 動作の確認は前回と同様です。今回の事例では入力するホスト名は、blog_zoneのホスト名「dog」になります。詳しくは以下のURLを参照してください。

関連記事
http://sdc.sun.co.jp/solaris/articles/roller_setup_2.html

さらなるセキュリティ強化も

 無事に、Solarisコンテナを用いてブログサイトが構築できたでしょうか? ゾーンを用いると、実験ラボなどでマシンをほかの人と共有しなければいけない状況でも、自分の独立した環境を作れるので大変便利です。

 また今回は、Solarisコンテナを用いてセキュリティを強化することを考慮しましたが、OpenSolarisにはほかにもさまざまなセキュリティ機能がビルトインされているので、さらなるステップアップが可能です。以下に今回紹介できなかった項目の一部を挙げました。

  • 管理ユーザーとアプリケーションプロセスの権限を最小化する
  • ネットワークの暗号化
  • IPフィルタの設定
  • BART(Basic Audit and Reporting Tool)によるデータ一貫性の診断によるデータ一貫性の診断

 OpenSolarisではrootの権限を分散して、ほかのユーザーやプロセスに割り当てることができるので、セキュリティリスクを軽減させることが可能です。例えばCool Stackで提供されるApache 2の起動・停止などは、root権限ではなく、Apacheプロセスの実行に必要な最小限の権限が与えられたwebservd/webservdユーザー/グループがあらかじめ設定されています。

 また、ネットワークの盗聴や侵入を防ぐために暗号化したり、IPフィルタによるファイアウォールの設定もセキュリティ向上に効果的です。さらに、データファイルや重要な構成ファイルに対して、データ改ざんなどが行われていないかどうかを定期的にチェックするのに、OpenSolarisで提供されるBARTを利用することもできます。BARTは更新のあったファイルを検出する機能を持っています。

 次回は、OpenSolarisの新しいファイルシステム「ZFS」や今回紹介したSolarisコンテナとの組み合わせについて取り上げます。どうぞお楽しみに。

OpenSolarisに関する技術情報の多くは、Sunのブログサイト(http://blogs.sun.com)に提供されています。このサイトには、OpenSolarisに関する技術者・開発者たちによるダイレクトな情報が提供されています。また、SDC(http://sdc.sun.co.jp/portal/index.html)Sun Product用のドキュメントサイト(http://docs.sun.com)には、OpenSolarisやSolaris 10のインストール方法をはじめとするドキュメントや技術情報が掲載されています。これらの情報もぜひ活用してください。


「次回」へ


「OpenSolarisで始めるブログサーバ構築」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る