policy for hellug's systems

Nikos Mavroyanopoulos nmav at gnutls.org
Tue Aug 20 19:31:01 EEST 2002 

 Επισυνάπτω ενα draft για την πολιτική που θα ακολουθείται στα
συστήματα του hellug. Προς το παρόν αυτό αντικατοπτρίζει εν μερη
την υπάρχουσα πολιτική στο igloo.linux.gr.
 Το στελνω στην δημόσια λίστα του hellug για να συμμετάσχουν, στη
συγγραφή της τελικής μορφής του κειμένου, τα μέλη του συλλόγου.
Ολα τα comments είναι ευπρόσδεκτα.


ΥΓ. Το κείμενο αυτό έχει σκοπό να βοηθήσει στην καλύτερη οργάνωση των
συστημάτων, ωστε οι νέοι διαχειριστές να αποκτούν μια γενική ιδέα
του σύστηματος, διαβαζοντας το.

-- 
Nikos Mavroyanopoulos
mailto:nmav at gnutls.org
-------------- next part --------------

              IGLOO.LINUX.GR POLICY

*******************
Αντίγραφο της πολιτικής του συστήματος υπάρχει στο /etc/hellug/POLICY
στα συστήματα του συλλόγου.


*******************
  Ι. Πολιτική για τη χρήση του σύστηματος

1.1. Καθε μη τετριμένη αλλαγή στο σύστημα σημειώνεται στο
   /etc/hellug/CHANGELOG, μαζί με το ονομα του υπευθυνου των αλλαγών.

1.2. Το σύστημα τακτικά (αναλογα με τις υπάρχουσες δυνατότητες), και
   πριν απο μεγάλες αλλαγές, αντιγράφεται στο υπάρχον μέσο για backup

1.2.1. Αν το μηχανημα διαθέτει δευτερο δίσκο για backup, τότε αυτός είναι
   unmounted, και με επιλογή να κλείνει (spin down), αν δεν χρησιμοποιείται.
   Γίνεται mount μόνο κατα τη διάρκεια του backup.

1.2.2. Τα αντιγραφα ασφαλείας πρεπει να γίνονται τουλάχιστον μια φορα
   ανα εξαμηνο.

1.2.3. Προσοχή πρέπει να δωθεί έτσι ώστε τα αντίγραφα ασφαλείας να μην
   είναι προσβάσιμα απο αλλους, εκτός απο τους εκάστοτε διαχειριστές.

1.3. Κρατείται αρχείο με το HMAC-MD5 digest των αρχείων των καταλόγων */bin /etc 
   και όποιων αλλων θεωρησει ο διαχειρηστής συμαντικά, για τον εντοπισμό των
   τροποποιημένων αρχείων. To αρχείο αυτό υπάρχει στο /etc/hellug/CHECKSUMS,
   ενω το πρόγραμμα που χρησιμοποιείται γι'αυτό το σκοπό είναι το 'shash'

1.3.1. Το digest πρεπει να ελεγχεται και να ανανεώνεται πριν και μετά απο 
   κάθε προσθήκη νεων προγραμμάτων στο σύστημα.

1.3.2. Τα scripts γι'αυτό το σκοπό βρίσκονται στο /usr/src/scripts/hmac-*

1.4. Ολα τα set-uid 0 αρχεία είναι εκτελέσιμα μόνο απο ορισμένους που είναι
   μέλη της ομάδας των διαχειριστών. Αρχεία που δεν χρειάζονται να είναι
   set-uid, ή είναι περιττά απεγκαθιστούνται.

1.5. Η εγκατάσταση των προγραμμάτων γίνεται μονο απο το σύστημα που παρέχει
   η διανομή γι'αυτό το σκοπό, ενω οι αλλαγές, αν είναι σημαντικές, πρεπει
   να σημειώνονται στο /etc/hellug/CHANGELOG. Η διανομή που επιλέχθηκε είναι
   η Debian, και η εγκατάσταση γίνεται μέσω του APT.

   Για παράδειγμα η εγκατάσταση του προγράμματος apache:
   # apt-get update
   [...]
   # apt-get install apache

1.5.1. Σε περιπτώσεις που είναι αναγκαια η διορθωση κάποιου προγράμματος
   που δεν παρεχεται απο τη διανομή, αυτό γίνεται παλι μεσω των μηχανισμών
   της διανομής. Στο Debian χρησιμοποιείται το APT-SOURCE.

   Για παράδειγμα το patch στο πρόγραμμα apache γίνεται:
   # apt-get update
   [...]
   # apt-get source apache
   # cd apache 
   [apply any patches]
   # make
   [...]
   # dpkg-buildpackage
   [...]
   # dpkg --install xxx.deb

1.6. Οι διαχειριστές του συστήματος χρησιμοποιούν την υπηρεσία ssh
   για είσοδο στο σύστημα. Η χρήση αυτής γίνεται με δήμόσιο κλειδί και
   όχι με συνθηματικό. 

1.6.1. Η υπηρεσία telnet είναι απενεργοποιημένη και δε χρησιμοποιείται
   για είσοδο στο σύστημα.

1.7. Οι διαχειριστές πρέπει να έχουν OpenPGP κλειδιά, διαθέσιμα στο
   .pgpkeys αρχειο, στον κατάλογό τους, ωστε να είναι διαθέσιμα με
   την υπηρεσία finger.

1.8. Οτιδήποτε έχει εγκατασταθεί χωρίς την συνήθη διαδικασία που
   οριζεται παραπάνω, ο πηγαίος κώδικας της εφαρμογής πρέπει να
   βρίσκεται σε κατάλογο στο /usr/src. Αυτό συμβαίνει ΜΟΝΟ όταν
   η επιλεγμένη διανομή δε διαθέτει κάποια απαραίτητη εφαρμογή.

1.9. Τα καταγεγραμένα μηνυματα του συστήματος, στέλνονται ανα τακτικα
   χρονικά διαστήματα στους διαχειριστές. Αυτό γίνεται μεσω του logrotate
   προγράμματος. Αλλα προγράμματα που εκτελούνται περιοδικα γι'αυτό 
   το σκοπό βρίσκονται στο /usr/src/system-check

1.10. Για να καλυφθουν οι αναγκες ορισμένων υπηρεσιων στο σύστημα υπάρχουν
   δημόσια και μυστικα κλειδιά μιας Certificate Authority που χρησιμοποιείται
   για να υπογράφει Certificates για τις διαφορες υπηρεσίες. 
   Για παράδειγμα το https://mail.hellug.gr κάνει χρήση αυτού.
    
   Τα παραπάνω κλειδιά βρίσκονται στον κατάλογο /etc/hellug/CA και είναι 
   διαθέσιμα μόνο στους διαχειριστές του συστήματος.

1.11. O λογαριασμός του superuser (root), δεν είναι διαθεσιμος για 
   απ'ευθειας σύνδεση (πχ μέσω ssh). Για τη διαχείριση του συστήματος, οι 
   εκαστοτε διαχειριστές συνδέονται χρησιμοποιώντας τον προσωπικό λογαριασμό 
   τους, και χρησιμοποιούν την υπηρεσία su ή sudo για τις ανάγκες της
   διαχείρησης.

1.11.1. Το συνθηματικό του superuser (root), είναι γνωστό μόνο στους
   διαχειριστές του συστήματος και δεν είναι αποθηκευμένο πουθενά στο
   σύστημα.

1.12. Τα συνθηματικά για δευτερευοντες υπηρεσίες - όπως πχ για τη διαχείρηση
   της βάσης δεδομένων mysql - βρίσκονται στο /etc/hellug/PASSWORDS.
   Είναι διαθέσιμα μόνο στους διαχειριστές του συστήματος.

1.13. Οι καταχωρησεις στα αρχεία του /etc/hellug γίνονται απο τους διαχειριστές
   του συστήματος.


*******************
  II. Πολιτική για τις υπηρεσίες του συλλόγου και για τα φιλοξενούμενα project

2.1. Η κάθε υπηρεσία του συλλόγου στο σύστημα έχει έναν υπέυθυνο που ορίζεται
   απο το ΔΣ ή τη ΓΣ του συλλόγου. Οι υπέυθυνοι των υπηρεσίων σημειώνονται 
   στο /etc/hellug/SERVICES αρχείο.

2.1.1. Τα φιλοξενούμενα project καταχωρούνται μαζί με τον υπευθυνο στο 
   αρχείο /etc/hellug/PROJECTS.

2.3. Τα φιλοξενούμενα project καθώς και οι υπηρεσίες του συλλόγου μπορούν
   να έχουν περισσότερα απο ένα μέλη, αρα και λογαριασμούς στο σύστημα.
   Αυτα τα μέλη πρέπει να αναφέρονται στο /etc/hellug/PROJECTS ή
   στο /etc/hellug/SERVICES κατα περίπτωση.

2.4. Οι υπηρεσίες είναι όσο το δυνατόν κατανεμημένες και οι υπευθυνοι έχουν
   τα μικρότερα δυνατά δικαίωματα στο μηχάνημα, χωρίς να περιορίζεται
   η λειτουργικότητα της υπηρεσίας.

2.4. Τα φιλοξενούμενα project διαθέτουν cvs (over ssh), anonymous cvs,
   ssh, ftp, mail, και http υπηρεσίες τουλάχιστον.

2.4.1. H υπηρεσία anonymous cvs (pserver), εκτελείται σε περιβάλλον chroot. 
   Ο πηγαίος κώδικας αυτού του προγράμματος (run-cvs) βρίσκεται στον καταλογο
   /usr/src/run-cvs.

2.4.2. Οπου είναι δυνατόν οι υπηρεσίες του συλλόγου χρησιμοποιούν cvs για
   τον καλύτερο συντονισμό τους.


*******************
  III. Πολιτική για τα μέλη

3.1. Τα μέλη έχουν πρόσβαση στις υπηρεσίες ftp, imap και pop3 του σύστηματος,
   ενώ υπάρχουν φορμες αλλαγής συνθηματικού και ορισμένων ρυθμίσεων, απο
   το http://members.hellug.gr

3.2. Οι λογαριασμοί των μελών δημιουργούνται απο τους εκάστοτε υπευθυνους
   του ΔΣ του συλλόγου, και πρέπει να εισαγονται παράλληλα το όνομα του
   χρήστη, καθώς και κάποιο e-mail επικοινωνίας, ή και τηλέφωνο.

3.3. Σε περιπτωση οποιουδήποτε σοβαρού προβλήματος λόγω κάποιου λογαριασμού 
   μέλους, αυτός απενεργοποιείται, και προωθείται στο εκάστοτε ΔΣ κοινοποίηση
   της πράξης αυτής. Το ΔΣ έχει την ευθυνη της επανενεργοποίησης του λογαριασμού
   ή του οριστικού τερματισμού της.

More information about the Hellug mailing list