BitVisor1.0リリース

[SEC][Lab][Virtualization]正式版・・・?
http://www.bitvisor.org/
BitVisorの1.0がリリースされました.
ドキュメントとかありませんが,頑張ってソースを読むといろいろ楽しいかと思います.
何故か正式リリースには書いていませんが,VMMで起動時に認証を行うためのミニOSが動作するようです.
ICカードも使えますけど,タイプB対応のカードリーダー/ライターを持っている方は余りいないと思われ・・・

セキュアVMプロジェクトは3年の期間を終え,今日で一段落という感じらしいです.
開発者,関係者の方々お疲れさまでした.

ここまでやってみて

管理の酷さと,マニュアルのなさ(担当が1,2年で変わるんだよ!)による作業量の増分がひどい!
「動いているから手を出すな」はいいけど,せめてドキュメントを書くべき<自戒を込めて

とまぁ,研究室のシステムって案外,やっつけ仕事が延々と使われる可能性があるんですよ,というお話でした.

研究室ネットワーク再構築の覚え書き

Life Lab SEC tech

今動いているサーバ&ネットワークは「動いているから手を出すな」ポリシーに沿って稼働しているため,誰も全貌を把握していないステキなシステムとなっていた.
これをゴリゴリとリプレースしていくのがここ1ヶ月の作業.研究会の原稿やなんやらと並行してぼちぼちと.

なかなか手順が面倒なので,覚え書きとしてここにも書いてみる.

まず現状把握

  1. 動いている機能の把握
  2. サービスの依存関係の整理
  3. セキュリティ的にヤバいところの洗い出し
  4. クリティカルサービスの洗い出し

次に代替システムの準備等

  1. 新サーバのセットアップ
  2. 代替サービスのセットアップ
  3. ネットワーク(DMZ等)の構築などなど
  4. バックアップに関する調整,バックアップの運用テスト

上の人に相談すべきところ

  1. 研究室のネットワーク環境

調べるより聞いた方が早い.足りないところを調査

  1. 外部への申請がありそうな,DNSなどの変更について
  2. サーバ&サービスのセキュリティの落としどころ

落としどころは,上の人にOKをもらうことで責任回避とリスクについての報告とする.
ただ働きで責任追わされるのは勘弁ですよね.想定されるリスクについては,考えられる範囲でいいので報告をちゃんとする.

  1. 設定の作業量と,それによる利点が分かりづらいときには相談

直感的に分かりやすくなる,を実現するために大幅の設定変更が必要な場合もある


今回だと,DMZの導入(存在しなかった)だとか,機能別にVMに分けて管理など(メインサーバで何が動いているか誰も把握していなかった)結構めんどうだけどやりがいのある内容となっている.


この次は,

  • 重要度の低く,独立性が高いサービスから順次移行

というフェーズに入るのだが,こちらは未了のためまた今度書く,
予想している問題としては

  • ここで,バージョンの違い等の問題が出てくる感じ
  • DMZ<->Trustedの通信ポリシーに起因する問題

LDAPとかはTrustedにおくので,その辺ちゃんと設定しないと・・・

今日やったこと

研究室のサーバをVM上で動かすことになっているので、それの準備を。
面倒がないように、VMのマスターイメージを作って、それをvirt-cloneでコピーするという方法を取った。

流れ

  1. virt-install でCentOS5をmasterとしてインストールする。メモリやハードディスクは最小限にしておく。
  2. masterの設定
  • 何も考えずにやっていいもの
  • 考えてやる必要があるもの
    • ネットワーク(例えばNICを増やすなど)
  1. virt-cloneを用いてコピー

virt-install はこんな感じ

virt-install -n master -r 512 -f /var/xen/master/master.img -s 30
\  --nographics --paravirt -nonsparse -l http://ftp.riken.jp/Linux/centos/5/os/x86_64/

--nonsparseはイメージファイルをsparseじゃなく通常のファイルにするために必要。これをしないと書き込みのときに妙に性能が落ちたりする。(ディスクのWriteCacheによるらしい)
virt-cloneは元イメージと作成したいドメインの情報だけで、uuidやらmacアドレスやらを自動で付け替えてドメインを生成してくれる。cpして自分で書き換えていた時期が私にもありました・・・

virt-clone -o master -n hoge_domain -f /var/xen/hoge_domain/hoge_domain.img --nonsparse

これで、hoge_domain.imgというイメージが作成され、/etc/xen以下にhoge_domainという設定ファイルが生成されている。
もし、既存のイメージや、あらかじめLVM等で確保しておいたヴォリュームにコピーしたいときは、--preserve-dataというオプションをつけるといいらしい。

複数の仮想NICを使いたい場合はここを参照
http://itpro.nikkeibp.co.jp/article/COLUMN/20061010/250215/

ここまで。mail用VMのHDD容量を足そうと思ったら詰まった。これは明日やる。