新城@筑波大学情報です。こんにちは。

In article <bv5v2t$jml$1@news511.nifty.com>
        名称不定 <dev_null@anet.ne.jp> writes:
> 横道に逸れますが、現在、システムやWebコンテンツ等の
> 改竄を防ぐことを目的として CD-ROM で動作する Linux を開発しています

そんなあなたに世界OS。SFのパラレルワールドを実現したよう
なOSです。コピー・オン・ライト的に子世界を作って、ファイル
が書き換えられたも、その世界を消してしまえば、一発で元にもど
ります。

http://www.ipsj.or.jp/members/Journal/Jpn/4306/article014.html

> (そのデモ内容として Apache + SSL を使っているわけです)が、
> root 権限を奪われてもバックドアとかの設置は不可能だと考えています

「バックドアの設置が不可能」というよりは、「リブートすれば、
仕掛けられていても回復できる」ということでしょう。

root 権限でリブートできないよううに意地悪したりして。あと、
昔ながらの NVRAM に潜り込んだり。

> はい。でも、ソースコードが複雑すぎて、どこが main() かさえ
> 見つけられませんでした。 (^^;;
> 最初のプロセスが特権ポートに bind() + listen() + accept() をして、
> そのファイルディスクリプタを子プロセスに渡すようにすることで
> 最初のプロセスは read() をしないようになっているのかなぁ。

root 権限がいるのは、bind() だけです。listen() は一発やって
終り。accept() は、root でない方のプロセスでやっているんじゃ
ないかな。

Apache だと Pthread を使うものあるのですが、この辺りどうなん
でしょうね。

> > サーバのメモリ中には証明書があるんですよね。ファイルだけ守っ
> > てもしょうがないということはないですか。
> 
> そうですね。確かに、コアダンプを作られてそれを読まれてしまえば
> それまでですよねぇ。

直接メモリを見に行ってもいいんじゃないですか。

> ちゃんとログを残して、クラックされたことが判明したら即刻
> 証明書ファイルを更新するというのが必要なのかも。

証明書再発行でもお金かかるので、負けかも。
GeoTrust でも3万4800円。VeriSigh やめたのはすっきりしました。
DNS のあの使い方は、許せない。

> (ちなみに、 Apache のログファイルを FIFO にしても動きます。
> クラックされてログを削除しようとしても、既にそこにはログが
> 残っていないという妙な裏技です。)

なるほど。問題は、ログに残るかどうかと、クラックされたことを
判定すことかな。

dependable で最後に問題になるのは、壊れたかどうかの判定なん
ですよね。世界OSでも、それは分からないです。

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報       \\