policy for hellug's systems

Spiros Bolis sbolis at freemail.gr
Fri Aug 23 12:15:02 EEST 2002


> > 
> > 1.2.3. Προσοχή πρέπει να δωθεί έτσι ώστε τα αντίγραφα ασφαλείας να μην
> >    είναι προσβάσιμα απο αλλους, εκτός απο τους εκάστοτε διαχειριστές.
> > 
Me dedomeno oti de dinoyme shell access, oloi oi exontes prosbash einai me
kapoio tropo diaxeiristes. Ara einai toylaxiston anwfelo na krybomaste
apo anthrwpoys poy einai epifortismenoi me th leitoyrgia toy mhxanhmatos
kai dinei thn aisthsh oti ebisteyomaste kapoioys perissotero apo kapoioys 
alloys (ektos ki an to "prosbasima apo alloys" ennoei oti den bazoyme ta
antigrafa sto /home/httpd/html/romba ;-) )
BL. kai sxolia moy gia thn paragrafo 2.4 


> > 1.6. Οι διαχειριστές του συστήματος χρησιμοποιούν την υπηρεσία ssh
> >    για είσοδο στο σύστημα. Η χρήση αυτής γίνεται με δήμόσιο κλειδί και
> >    όχι με συνθηματικό. 
?????
einai pio asfales etsi?
Ypotithetai pws me kapoio asfales kanali antalaxthike to kleidi nwritera
Ektos kai an exoyme mia ypotypwdh yphresia paragwghs kleidiwn poy 
pistopoioyn me kapoio tropo oti aytos poy ta exei, einai ayto poy leei.
Poy shmainei pws dinei ligotera perithwria eyeli3ias se osoys diaxeirizontai
ta mhxanhma apo to bainoyn opoy broyne.

> > 1.6.1. Η υπηρεσία telnet είναι απενεργοποιημένη και δε χρησιμοποιείται
> >    για είσοδο στο σύστημα.
DIAFWNW katheta. parapempw sth istoria poy eixe o tux prin 3 mhnes otan 
metaferthike se allo xwro kai ypesth programmatismeno kleisimo. Kapoios
poy eixe alla3ei to daimona toy ssh 3exase na balei to antistoixo init
script me apotelesma na meinoyme e3w apo to mhxanhma. Moy phre proswpika
3-4 wres na "xakepsw" to mhxanhma me syndyasmo php/expect/bash kai eftyxws
poy eixa kai sudo access. 

Proteinw thn allagh toy 1.6.1 se:
Η υπηρεσία telnet δε χρησιμοποιείται γενικά για είσοδο στο σύστημα παρά
μόνο όταν η υπηρεσία ssh δε λειτουργεί. Για το λόγο αυτό υπάρχει ένας
πολύ συγκεκριμμένος αριθμός hosts (πχ. tux, igloo, "tux2"),από τους 
οποίους επιτρέπεται η πρόσβαση. Μετά από κάθε χρήση της υπηρεσίας αυτής
είναι υποχρεωτική η αλλαγή όλων των passwords που χρησιμοποιήθηκαν μέσα
από το μη ασφαλές κανάλι με χρήση αυτή τη φορά ενός κρυπτογραφημένου.


> > 1.11.1. Το συνθηματικό του superuser (root), είναι γνωστό μόνο στους
> >    διαχειριστές του συστήματος και δεν είναι αποθηκευμένο πουθενά στο
> >    σύστημα.
kai endexomenws kai stoys administrators toy ekastote ISP poy mas filo3enei
(opws symbainei me to root password toy tux), ante kai sto xartaki me ta 
ypoloipa r00t accounts poy exoyn ;-)

> > 1.12. Τα συνθηματικά για δευτερευοντες υπηρεσίες - όπως πχ για τη διαχείρηση
> >    της βάσης δεδομένων mysql - βρίσκονται στο /etc/hellug/PASSWORDS.
> >    Είναι διαθέσιμα μόνο στους διαχειριστές του συστήματος.
> 
> Εδώ θα πρότεινα *μόνο* offline αποθήκευση, και μάλιστα encrypted. Κανένα 
> password σε plain text online.
> 
Giati re paidia, to shadow den einai arketa kryptografhmeno gia ta goysta sas?
To sudo ayto akribws kanei me to password toy ekastote xrhsth..


> > 2.4. Οι υπηρεσίες είναι όσο το δυνατόν κατανεμημένες και οι υπευθυνοι έχουν
> >    τα μικρότερα δυνατά δικαίωματα στο μηχάνημα, χωρίς να περιορίζεται
> >    η λειτουργικότητα της υπηρεσίας.

Sto shmeio ayto exw ekfrasei tis diafwnies moy alla as to kanw allh mia
fora. Osoi apo ta melh toy syllogoy exoyn analabei me kapoio tropo mia apo
tis yphresies, den einai peinasmena gia r00t access k*lopaida kai 3eroyn 
kai 5 pragmatakia. Apo th stigmh poy kapoios apo oloys borei na kanei kapoies
tetrimenes leitoyrgies (px. shkwma ths postres ston tux poy zalizetai kai
peftei kathe toso, allagh enos alias sto mail, prosthiki enos enoxlhtikoy
sth mayrh lista toy sendmail k.o.k) otan tyxainei na einai online 'h otan
aytos poy einai epifortismenos den exei prosbash 'h exei straboylh3ei ta
daxtyla toy, egw den thewrw oti bainei sta xwrafia toy alloy diaxeiristh.

Afhste poy den einai pleon dynatos o plhrhs diaxwrismos olwn twn yphresiwn
Paradeigmata: to webmail thelei ektos apo prosbash sto web server kai bash 
dedomenwn kai MTA kai imap/pop, ta hosted projects theloyn ektos apo to
virtual host kai DNS, ta paketa paragwghs statistikwn theloyn prosbash sta
logfiles k.o.k.

Se telikh analysh den borw na epibalw se oloys ayth th logikh alla deite to
toylaxiston san mia eykairia gia na dei3oyme oti de fobomaste na mas "thn kanei"
kapoios dikos mas (epithdes panta, giati ta lathi einai anthrwpina) poy
se telikh analysh na boithisei thelei kai oti ebisteyomaste toys anthrwpoys
poy theloyn na prosferoyn to xrono toys gia to syllogo.

Proteinw thn allagh ayths ths paragrafoy se:

2.4(.x?) Παρότι οι υπηρεσίες είναι κατανεμημένες ως επί τω πλείστω, δίνεται η 
δυνατότητα σε όλους τους διαχειριστές να επεμβαίνουν σε υπηρεσίες για
τις οποίες δεν είναι υπεύθυνοι, κατά το δυνατό μόνο για τετριμμένες
αλλαγές ή σε περίπτωση ανώτερης βίας. Μετά από κάθε τέτοια επέμβαση είναι
υποχρεωμένοι να ενημερώνουν άμεσα για τις αλλαγές τον εκάστοτε υπεύθυνο.

> > 3.2. Οι λογαριασμοί των μελών δημιουργούνται απο τους εκάστοτε υπευθυνους
> >    του ΔΣ του συλλόγου, και πρέπει να εισαγονται παράλληλα το όνομα του
> >    χρήστη, καθώς και κάποιο e-mail επικοινωνίας, ή και τηλέφωνο.

Dystyxws gia ta mexri twra melh den isxyei ayto me apotelesma ta perifhma "melh
fantasmata" (gia enan malista exoyme mono to epwnymo toy kai tipote allo!)
Ayto poy boroyme na kanoyme san prwto bhma einai na mhn prostithetai melos
sthn kainoyrgia efarmogh xwris ola ta pedia symplhrwmena

Kai bebaia tha prepei na apokthsoyme mia aytomatopoihmenh diadikasia prosthikhs 
melwn wste na mh xreiazetai texniko ypobathro (estw kai stoixeiwdes) para mono
to pathma enos koybioy sto browser.


> > 3.3. Σε περιπτωση οποιουδήποτε σοβαρού προβλήματος λόγω κάποιου λογαριασμού 
> >    μέλους, αυτός απενεργοποιείται, και προωθείται στο εκάστοτε ΔΣ κοινοποίηση
> >    της πράξης αυτής. Το ΔΣ έχει την ευθυνη της επανενεργοποίησης του λογαριασμού
> >    ή του οριστικού τερματισμού της.
meta to sobaro problhma bazoyme mia parenthesh kai symplhrwnoyme 2-3 pragmatakia
gia na baloyme sto pneyma opoion to diabazei
(όπως εμφάνιση προσβλητικών/άσεμνων περιεχομένων σε σελίδες μελών, προσπάθεια
παρενόχλησης ή εισβολής σε άλλα συστήματα κ.α)


TO syberasma poy bgainei apo ta parapanw einai pws xreiazomaste katepeigontws
seminaria panw sto CVS ;-)

Kalhmera se oloys,


-- 
Spiros D. Bolis




More information about the Hellug mailing list