policy for hellug's systems

Nikos Mavroyanopoulos nmav at gnutls.org
Fri Aug 23 12:33:01 EEST 2002 

On Fri, Aug 23, 2002 at 11:04:17AM +0300, Theodore J. Soldatos wrote:

> > Επισυνάπτω ενα draft για την πολιτική που θα ακολουθείται στα
> >συστήματα του hellug. Προς το παρόν αυτό αντικατοπτρίζει εν μερη
> >την υπάρχουσα πολιτική στο igloo.linux.gr.

> Εν μέρει; Τι διαφορές υπάρχουν;

Διαφορές υπάρχουν στο που βρίσκονται τα αρχεία - είναι σκορπισμένα.
Αυτό θα αλλάξει μόλις τακτοποιηθεί το policy. 

> >*******************
> >  Ι. Πολιτική για τη χρήση του σύστηματος
> >1.1. Καθε μη τετριμένη αλλαγή στο σύστημα σημειώνεται στο
> >   /etc/hellug/CHANGELOG, μαζί με το ονομα του υπευθυνου των αλλαγών.
> Να προσδιορίσουμε όμως τι ακριβώς σημαίνει τετριμένη, ο καθένας έχει 
> διαφορετικό κριτήριο για αυτό.

Να προστεθεί: τετριμένη - αλλαγή που δεν επιρεάζει βασικές λειτουργίες
του συστήματος; Αλλες ιδέες;

> >1.2.2. Τα αντιγραφα ασφαλείας πρεπει να γίνονται τουλάχιστον μια φορα
> >   ανα εξαμηνο.

> Μήπως εδώ θα έπρεπε να προσδιορίσουμε κάποια αρχεία που αλλάζουν τακτικά 
> (π.χ. mail) και να γίνονται backup πιο συχνά μέσω cron ?

Ok... home directories και mail, backup ανα εβδομάδα;


> >1.3. Κρατείται αρχείο με το HMAC-MD5 digest των αρχείων των καταλόγων 
> >*/bin /etc και όποιων αλλων θεωρησει ο διαχειρηστής συμαντικά, για τον 
> >   εντοπισμό των
> >   τροποποιημένων αρχείων. To αρχείο αυτό υπάρχει στο 
> >   /etc/hellug/CHECKSUMS,
> >   ενω το πρόγραμμα που χρησιμοποιείται γι'αυτό το σκοπό είναι το 'shash'

> Αυτό καλό θα ήταν να κρατιέται και σε removable μέσον που θα βρίσκεται στην 
> κατοχή του root και αν χρειαστεί να χρησιμοποιείται το offline αντίγραφο.

το HMAC είναι keyed-mac που σημαίνει ότι δεν μπορεί να τροποιηθεί
αν δεν είναι διαθέσιμο το κλειδί (δεν είναι md5sum). Ενα offline
copy θα βοηθούσε σε περίπτωσει που σβηστεί το αρχείο, οπότε θα
προσθέσω μια σχετική παράγραφο.


> >1.8. Οτιδήποτε έχει εγκατασταθεί χωρίς την συνήθη διαδικασία που
> >   οριζεται παραπάνω, ο πηγαίος κώδικας της εφαρμογής πρέπει να
> >   βρίσκεται σε κατάλογο στο /usr/src. Αυτό συμβαίνει ΜΟΝΟ όταν
> >   η επιλεγμένη διανομή δε διαθέτει κάποια απαραίτητη εφαρμογή.
> Και να εγκαθίσταται σε ξεχωριστό κατάλογο, κάτω από versioned directory, 
> π.χ. /usr/local/{software-with-version}/{bin,lib,man}. Link στο 
> /usr/local/{software} και από εκεί links στο /usr/local/{bin,lib,man}. Λίγο 
> περίπλοκο, αλλά βοηθάει στις δοκιμές πριν την αναβάθμιση. Βάζεις καινούρια 
> version και αλλάζεις απλά το /usr/local/{software} link. Έτσι και αλλιώς 
> δεν θα χρησιμοποιηθεί πολύ...

οκ.


> >1.10. Για να καλυφθουν οι αναγκες ορισμένων υπηρεσιων στο σύστημα υπάρχουν
> >   δημόσια και μυστικα κλειδιά μιας Certificate Authority που 
> >   χρησιμοποιείται
> >   για να υπογράφει Certificates για τις διαφορες υπηρεσίες. 
> >   Για παράδειγμα το https://mail.hellug.gr κάνει χρήση αυτού.
> >   Τα παραπάνω κλειδιά βρίσκονται στον κατάλογο /etc/hellug/CA και είναι 
> >   διαθέσιμα μόνο στους διαχειριστές του συστήματος.
> Ομοίως εδώ, offline αντίγραφο.

Eδώ το CA certificate είναι encrypted. Οπότε δεν υπάρχει μεγάλος κίνδυνος.
Θα προσθέσω μια παράγραφο για να ξεκαθαριστεί.

> >1.12. Τα συνθηματικά για δευτερευοντες υπηρεσίες - όπως πχ για τη 
> >διαχείρηση
> >   της βάσης δεδομένων mysql - βρίσκονται στο /etc/hellug/PASSWORDS.
> >   Είναι διαθέσιμα μόνο στους διαχειριστές του συστήματος.

> Εδώ θα πρότεινα *μόνο* offline αποθήκευση, και μάλιστα encrypted. Κανένα 
> password σε plain text online.

Το κακό είναι οτι τα passwords είναι πολλά και η offline αποθήκευση
εχει και αυτή τα προβλημματα της (offline σημαίνει αποθήκευση
σε όλα τα μηχανήματα των διαχειριστών, και γίνεται on-line με
το που συνδεθούν). Ισως ένα encrypted file, που να περιέχει όλα
τά συνθηματικά με ένα master password?

> >1.13. Οι καταχωρησεις στα αρχεία του /etc/hellug γίνονται απο τους 
> >διαχειριστές
> >   του συστήματος.
> Να προτείνω CVS γι αυτό το directory ή θα με δείρετε; :-)

καλή ιδέα.


> >2.4.2. Οπου είναι δυνατόν οι υπηρεσίες του συλλόγου χρησιμοποιούν cvs για
> >   τον καλύτερο συντονισμό τους.
> Καμιά πρόταση;

Αυτό εξαρτάται άμεσα άπο τους υπευθυνους των υπηρεσιών. Οσες υπηρεσίες
ζητήσαν cvs, το έχουν.



> Θ.
> 
> -- 
> Theodore=J.=Soldatos=_\_======================================================
> =  theodore at eexi.gr =_/_====== "Greed is never good" - Linus Torvalds 
> ========
> =   bafh at hellug.gr  =_\_============ http://w4u.eexi.gr/~theodore 
> ============
> =   tsol at space.gr   =_/_==================== Space Hellas 
> ====================
> 

-- 
Nikos Mavroyanopoulos

More information about the Hellug mailing list