policy for hellug's systems

Theodore J. Soldatos theodore at eexi.gr
Fri Aug 23 11:08:01 EEST 2002


Nikos Mavroyanopoulos wrote:
>  Επισυνάπτω ενα draft για την πολιτική που θα ακολουθείται στα
> συστήματα του hellug. Προς το παρόν αυτό αντικατοπτρίζει εν μερη
> την υπάρχουσα πολιτική στο igloo.linux.gr.

Εν μέρει; Τι διαφορές υπάρχουν;

<snip>
> ------------------------------------------------------------------------
> 
> 
>               IGLOO.LINUX.GR POLICY
> 
> *******************
> Αντίγραφο της πολιτικής του συστήματος υπάρχει στο /etc/hellug/POLICY
> στα συστήματα του συλλόγου.
> 
> 
> *******************
>   Ι. Πολιτική για τη χρήση του σύστηματος
> 
> 1.1. Καθε μη τετριμένη αλλαγή στο σύστημα σημειώνεται στο
>    /etc/hellug/CHANGELOG, μαζί με το ονομα του υπευθυνου των αλλαγών.

Να προσδιορίσουμε όμως τι ακριβώς σημαίνει τετριμένη, ο καθένας έχει 
διαφορετικό κριτήριο για αυτό.

> 
> 1.2. Το σύστημα τακτικά (αναλογα με τις υπάρχουσες δυνατότητες), και
>    πριν απο μεγάλες αλλαγές, αντιγράφεται στο υπάρχον μέσο για backup
> 
> 1.2.1. Αν το μηχανημα διαθέτει δευτερο δίσκο για backup, τότε αυτός είναι
>    unmounted, και με επιλογή να κλείνει (spin down), αν δεν χρησιμοποιείται.
>    Γίνεται mount μόνο κατα τη διάρκεια του backup.
> 
> 1.2.2. Τα αντιγραφα ασφαλείας πρεπει να γίνονται τουλάχιστον μια φορα
>    ανα εξαμηνο.

Μήπως εδώ θα έπρεπε να προσδιορίσουμε κάποια αρχεία που αλλάζουν τακτικά (π.χ. 
mail) και να γίνονται backup πιο συχνά μέσω cron ?

> 
> 1.2.3. Προσοχή πρέπει να δωθεί έτσι ώστε τα αντίγραφα ασφαλείας να μην
>    είναι προσβάσιμα απο αλλους, εκτός απο τους εκάστοτε διαχειριστές.
> 
> 1.3. Κρατείται αρχείο με το HMAC-MD5 digest των αρχείων των καταλόγων */bin /etc 
>    και όποιων αλλων θεωρησει ο διαχειρηστής συμαντικά, για τον εντοπισμό των
>    τροποποιημένων αρχείων. To αρχείο αυτό υπάρχει στο /etc/hellug/CHECKSUMS,
>    ενω το πρόγραμμα που χρησιμοποιείται γι'αυτό το σκοπό είναι το 'shash'

Αυτό καλό θα ήταν να κρατιέται και σε removable μέσον που θα βρίσκεται στην 
κατοχή του root και αν χρειαστεί να χρησιμοποιείται το offline αντίγραφο.

> 
> 1.3.1. Το digest πρεπει να ελεγχεται και να ανανεώνεται πριν και μετά απο 
>    κάθε προσθήκη νεων προγραμμάτων στο σύστημα.
> 
> 1.3.2. Τα scripts γι'αυτό το σκοπό βρίσκονται στο /usr/src/scripts/hmac-*
> 
> 1.4. Ολα τα set-uid 0 αρχεία είναι εκτελέσιμα μόνο απο ορισμένους που είναι
>    μέλη της ομάδας των διαχειριστών. Αρχεία που δεν χρειάζονται να είναι
>    set-uid, ή είναι περιττά απεγκαθιστούνται.
> 
> 1.5. Η εγκατάσταση των προγραμμάτων γίνεται μονο απο το σύστημα που παρέχει
>    η διανομή γι'αυτό το σκοπό, ενω οι αλλαγές, αν είναι σημαντικές, πρεπει
>    να σημειώνονται στο /etc/hellug/CHANGELOG. Η διανομή που επιλέχθηκε είναι
>    η Debian, και η εγκατάσταση γίνεται μέσω του APT.
> 
>    Για παράδειγμα η εγκατάσταση του προγράμματος apache:
>    # apt-get update
>    [...]
>    # apt-get install apache
> 
> 1.5.1. Σε περιπτώσεις που είναι αναγκαια η διορθωση κάποιου προγράμματος
>    που δεν παρεχεται απο τη διανομή, αυτό γίνεται παλι μεσω των μηχανισμών
>    της διανομής. Στο Debian χρησιμοποιείται το APT-SOURCE.
> 
>    Για παράδειγμα το patch στο πρόγραμμα apache γίνεται:
>    # apt-get update
>    [...]
>    # apt-get source apache
>    # cd apache 
>    [apply any patches]
>    # make
>    [...]
>    # dpkg-buildpackage
>    [...]
>    # dpkg --install xxx.deb
> 
> 1.6. Οι διαχειριστές του συστήματος χρησιμοποιούν την υπηρεσία ssh
>    για είσοδο στο σύστημα. Η χρήση αυτής γίνεται με δήμόσιο κλειδί και
>    όχι με συνθηματικό. 
> 
> 1.6.1. Η υπηρεσία telnet είναι απενεργοποιημένη και δε χρησιμοποιείται
>    για είσοδο στο σύστημα.
> 
> 1.7. Οι διαχειριστές πρέπει να έχουν OpenPGP κλειδιά, διαθέσιμα στο
>    .pgpkeys αρχειο, στον κατάλογό τους, ωστε να είναι διαθέσιμα με
>    την υπηρεσία finger.
> 
> 1.8. Οτιδήποτε έχει εγκατασταθεί χωρίς την συνήθη διαδικασία που
>    οριζεται παραπάνω, ο πηγαίος κώδικας της εφαρμογής πρέπει να
>    βρίσκεται σε κατάλογο στο /usr/src. Αυτό συμβαίνει ΜΟΝΟ όταν
>    η επιλεγμένη διανομή δε διαθέτει κάποια απαραίτητη εφαρμογή.

Και να εγκαθίσταται σε ξεχωριστό κατάλογο, κάτω από versioned directory, π.χ. 
/usr/local/{software-with-version}/{bin,lib,man}. Link στο 
/usr/local/{software} και από εκεί links στο /usr/local/{bin,lib,man}. Λίγο 
περίπλοκο, αλλά βοηθάει στις δοκιμές πριν την αναβάθμιση. Βάζεις καινούρια 
version και αλλάζεις απλά το /usr/local/{software} link. Έτσι και αλλιώς δεν 
θα χρησιμοποιηθεί πολύ...

> 
> 1.9. Τα καταγεγραμένα μηνυματα του συστήματος, στέλνονται ανα τακτικα
>    χρονικά διαστήματα στους διαχειριστές. Αυτό γίνεται μεσω του logrotate
>    προγράμματος. Αλλα προγράμματα που εκτελούνται περιοδικα γι'αυτό 
>    το σκοπό βρίσκονται στο /usr/src/system-check
> 
> 1.10. Για να καλυφθουν οι αναγκες ορισμένων υπηρεσιων στο σύστημα υπάρχουν
>    δημόσια και μυστικα κλειδιά μιας Certificate Authority που χρησιμοποιείται
>    για να υπογράφει Certificates για τις διαφορες υπηρεσίες. 
>    Για παράδειγμα το https://mail.hellug.gr κάνει χρήση αυτού.
>     
>    Τα παραπάνω κλειδιά βρίσκονται στον κατάλογο /etc/hellug/CA και είναι 
>    διαθέσιμα μόνο στους διαχειριστές του συστήματος.

Ομοίως εδώ, offline αντίγραφο.

> 
> 1.11. O λογαριασμός του superuser (root), δεν είναι διαθεσιμος για 
>    απ'ευθειας σύνδεση (πχ μέσω ssh). Για τη διαχείριση του συστήματος, οι 
>    εκαστοτε διαχειριστές συνδέονται χρησιμοποιώντας τον προσωπικό λογαριασμό 
>    τους, και χρησιμοποιούν την υπηρεσία su ή sudo για τις ανάγκες της
>    διαχείρησης.
> 
> 1.11.1. Το συνθηματικό του superuser (root), είναι γνωστό μόνο στους
>    διαχειριστές του συστήματος και δεν είναι αποθηκευμένο πουθενά στο
>    σύστημα.
> 
> 1.12. Τα συνθηματικά για δευτερευοντες υπηρεσίες - όπως πχ για τη διαχείρηση
>    της βάσης δεδομένων mysql - βρίσκονται στο /etc/hellug/PASSWORDS.
>    Είναι διαθέσιμα μόνο στους διαχειριστές του συστήματος.

Εδώ θα πρότεινα *μόνο* offline αποθήκευση, και μάλιστα encrypted. Κανένα 
password σε plain text online.

> 
> 1.13. Οι καταχωρησεις στα αρχεία του /etc/hellug γίνονται απο τους διαχειριστές
>    του συστήματος.

Να προτείνω CVS γι αυτό το directory ή θα με δείρετε; :-)

> 
> 
> *******************
>   II. Πολιτική για τις υπηρεσίες του συλλόγου και για τα φιλοξενούμενα project
> 
> 2.1. Η κάθε υπηρεσία του συλλόγου στο σύστημα έχει έναν υπέυθυνο που ορίζεται
>    απο το ΔΣ ή τη ΓΣ του συλλόγου. Οι υπέυθυνοι των υπηρεσίων σημειώνονται 
>    στο /etc/hellug/SERVICES αρχείο.
> 
> 2.1.1. Τα φιλοξενούμενα project καταχωρούνται μαζί με τον υπευθυνο στο 
>    αρχείο /etc/hellug/PROJECTS.
> 
> 2.3. Τα φιλοξενούμενα project καθώς και οι υπηρεσίες του συλλόγου μπορούν
>    να έχουν περισσότερα απο ένα μέλη, αρα και λογαριασμούς στο σύστημα.
>    Αυτα τα μέλη πρέπει να αναφέρονται στο /etc/hellug/PROJECTS ή
>    στο /etc/hellug/SERVICES κατα περίπτωση.
> 
> 2.4. Οι υπηρεσίες είναι όσο το δυνατόν κατανεμημένες και οι υπευθυνοι έχουν
>    τα μικρότερα δυνατά δικαίωματα στο μηχάνημα, χωρίς να περιορίζεται
>    η λειτουργικότητα της υπηρεσίας.
> 
> 2.4. Τα φιλοξενούμενα project διαθέτουν cvs (over ssh), anonymous cvs,
>    ssh, ftp, mail, και http υπηρεσίες τουλάχιστον.
> 
> 2.4.1. H υπηρεσία anonymous cvs (pserver), εκτελείται σε περιβάλλον chroot. 
>    Ο πηγαίος κώδικας αυτού του προγράμματος (run-cvs) βρίσκεται στον καταλογο
>    /usr/src/run-cvs.
> 
> 2.4.2. Οπου είναι δυνατόν οι υπηρεσίες του συλλόγου χρησιμοποιούν cvs για
>    τον καλύτερο συντονισμό τους.

Καμιά πρόταση;

> 
> 
> *******************
>   III. Πολιτική για τα μέλη
> 
> 3.1. Τα μέλη έχουν πρόσβαση στις υπηρεσίες ftp, imap και pop3 του σύστηματος,
>    ενώ υπάρχουν φορμες αλλαγής συνθηματικού και ορισμένων ρυθμίσεων, απο
>    το http://members.hellug.gr
> 
> 3.2. Οι λογαριασμοί των μελών δημιουργούνται απο τους εκάστοτε υπευθυνους
>    του ΔΣ του συλλόγου, και πρέπει να εισαγονται παράλληλα το όνομα του
>    χρήστη, καθώς και κάποιο e-mail επικοινωνίας, ή και τηλέφωνο.
> 
> 3.3. Σε περιπτωση οποιουδήποτε σοβαρού προβλήματος λόγω κάποιου λογαριασμού 
>    μέλους, αυτός απενεργοποιείται, και προωθείται στο εκάστοτε ΔΣ κοινοποίηση
>    της πράξης αυτής. Το ΔΣ έχει την ευθυνη της επανενεργοποίησης του λογαριασμού
>    ή του οριστικού τερματισμού της.
> 

Θ.

-- 
Theodore=J.=Soldatos=_\_======================================================
=  theodore at eexi.gr =_/_====== "Greed is never good" - Linus Torvalds ========
=   bafh at hellug.gr  =_\_============ http://w4u.eexi.gr/~theodore ============
=   tsol at space.gr   =_/_==================== Space Hellas ====================




More information about the Hellug mailing list