連載
» 2008年03月11日 00時00分 公開

OpenSolarisで始めるブログサーバ構築(3):Solarisコンテナでセキュリティを強化 (4/4)

[増月孝信,サン・マイクロシステムズ株式会社]
前のページへ 1|2|3|4       

Solarisコンテナの設定手順(2)

17 アプリケーションのインストールと設定

 アプリケーションのインストールと設定は、zloginコマンドにて各ゾーンにログインして作業を行います。

  • 17-1 BlogゾーンにTomcatをインストール
  • 17-2 DBゾーンにMySQLをインストール
  • 17-3 BlogゾーンのTomcat環境にApache Rollerを配備

 アプリケーションのインストールと設定の基本的な流れは、前回の記事を参照してください。ただし今回は、blog_zoneにはTomcatとApache Rollerを、db_zoneにはMySQLを分けてインストールします。インストール方法は以下のURLを参照してください。

 また設定時の注意点として、以下の2つのApache Roller設定ファイルを、db_zoneのMySQLにアクセスするように記述する必要があります。

a. roller-custom.properties ファイルを記述します。

# cd /opt/coolstack/tomcat/common/classes

 このディレクトリに以下の内容のroller-custom.propertiesというファイルを作成します。

installation.type=auto
database.configurationType=jdbc
database.jdbc.driverClass=com.mysql.jdbc.Driver
database.jdbc.connectionURL=jdbc:mysql://cat:3306/rollerdb
      ←db_zone のホスト名「cat」を指定
database.jdbc.username=scott
database.jdbc.password=tiger
mail.configurationType=properties
mail.hostname=brogserv
mail.username=scott
mail.password=tiger

b. context.xmlの作成

# cd /opt/coolstack/tomcat/webapps/roller/META-INF

<Context path="/roller"
docBase="/opt/coolstack/tomcat/webapps/roller" debug="0">

<Resource name="jdbc/rollerdb" auth="Container" type="javax.sql.DataSource"
driverClassName="com.mysql.jdbc.Driver"
url="jdbc:mysql://cat:3306/rollerdb?autoReconnect=true&
useUnicode=true&
 ←db_zone のホスト名「cat」を指定
characterEncoding=utf-8&mysqlEncoding=utf8"
username="scott"
password="tiger"
maxActive="20" maxIdle="3" removeAbandoned="true" maxWait="3000" />


<Resource name="mail/Session" auth="Container" type="javax.mail.Session"
mail.smtp.host="smtp-server.example.com" />

</Context>

18 ネットワークサービスの利用制限

 起動するネットワークサービスを限定してセキュリティのリスクを軽減させたいのであれば、以下の作業を各ゾーンにログインして行います。

# cd /var/svc/profile
# mv generic.xml generic.xml.orig
# ln -s generic_limited_net.xml generic.xml
# svccfg apply /var/svc/profile/generic_limited_net.xml

 必要に応じて、特定のネットワークサービスについて、svcadmコマンドを使用して利用可能にさせることができます。

19 動作の確認

 動作の確認は前回と同様です。今回の事例では入力するホスト名は、blog_zoneのホスト名「dog」になります。詳しくは以下のURLを参照してください。

さらなるセキュリティ強化も

 無事に、Solarisコンテナを用いてブログサイトが構築できたでしょうか? ゾーンを用いると、実験ラボなどでマシンをほかの人と共有しなければいけない状況でも、自分の独立した環境を作れるので大変便利です。

 また今回は、Solarisコンテナを用いてセキュリティを強化することを考慮しましたが、OpenSolarisにはほかにもさまざまなセキュリティ機能がビルトインされているので、さらなるステップアップが可能です。以下に今回紹介できなかった項目の一部を挙げました。

  • 管理ユーザーとアプリケーションプロセスの権限を最小化する
  • ネットワークの暗号化
  • IPフィルタの設定
  • BART(Basic Audit and Reporting Tool)によるデータ一貫性の診断によるデータ一貫性の診断

 OpenSolarisではrootの権限を分散して、ほかのユーザーやプロセスに割り当てることができるので、セキュリティリスクを軽減させることが可能です。例えばCool Stackで提供されるApache 2の起動・停止などは、root権限ではなく、Apacheプロセスの実行に必要な最小限の権限が与えられたwebservd/webservdユーザー/グループがあらかじめ設定されています。

 また、ネットワークの盗聴や侵入を防ぐために暗号化したり、IPフィルタによるファイアウォールの設定もセキュリティ向上に効果的です。さらに、データファイルや重要な構成ファイルに対して、データ改ざんなどが行われていないかどうかを定期的にチェックするのに、OpenSolarisで提供されるBARTを利用することもできます。BARTは更新のあったファイルを検出する機能を持っています。

 次回は、OpenSolarisの新しいファイルシステム「ZFS」や今回紹介したSolarisコンテナとの組み合わせについて取り上げます。どうぞお楽しみに。

OpenSolarisに関する技術情報の多くは、Sunのブログサイト(http://blogs.sun.com)に提供されています。このサイトには、OpenSolarisに関する技術者・開発者たちによるダイレクトな情報が提供されています。また、SDC(http://sdc.sun.co.jp/portal/index.html)Sun Product用のドキュメントサイト(http://docs.sun.com)には、OpenSolarisやSolaris 10のインストール方法をはじめとするドキュメントや技術情報が掲載されています。これらの情報もぜひ活用してください。



前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。