policy for hellug's systems

[Nikos Mavroyanopoulos]

On Fri, Aug 23, 2002 at 12:14:40PM +0300, Spiros Bolis wrote:

> > > 1.2.3. Προσοχή πρέπει να δωθεί έτσι ώστε τα αντίγραφα ασφαλείας να μην
> > >    είναι προσβάσιμα απο αλλους, εκτός απο τους εκάστοτε διαχειριστές.
> Me dedomeno oti de dinoyme shell access, oloi oi exontes prosbash einai me
> kapoio tropo diaxeiristes. 

Οχι. Οι έχοντες πρόσβαση είναι υπευθυνοι κάποιας υπηρεσίας. Οι
διαχειριστές στο σύστημα είναι ο Γιωργος ο Κεραμιδάς και εγώ.

> > > 1.6. Οι διαχειριστές του συστήματος χρησιμοποιούν την υπηρεσία ssh
> > >    για είσοδο στο σύστημα. Η χρήση αυτής γίνεται με δήμόσιο κλειδί και
> > >    όχι με συνθηματικό. 
> ?????
> einai pio asfales etsi?
> Ypotithetai pws me kapoio asfales kanali antalaxthike to kleidi nwritera
> Ektos kai an exoyme mia ypotypwdh yphresia paragwghs kleidiwn poy 
> pistopoioyn me kapoio tropo oti aytos poy ta exei, einai ayto poy leei.
> Poy shmainei pws dinei ligotera perithwria eyeli3ias se osoys diaxeirizontai
> ta mhxanhma apo to bainoyn opoy broyne.

Ναι είναι πιο ασφαλές. Οι επικοινωνία των διαχειριστών γίνεται μέσω
των OpenPGP κλειδιών (non hierarchical trust model, ή web of trust).

> > > 1.11.1. Το συνθηματικό του superuser (root), είναι γνωστό μόνο στους
> > >    διαχειριστές του συστήματος και δεν είναι αποθηκευμένο πουθενά στο
> > >    σύστημα.
> kai endexomenws kai stoys administrators toy ekastote ISP poy mas filo3enei
> (opws symbainei me to root password toy tux), ante kai sto xartaki me ta 
> ypoloipa r00t accounts poy exoyn ;-)

Αυτό δεν ισχύει για το igloo. Το password του root είναι γνωστό μόνο
σε μένα και τον Γιώργο.


> > > 1.12. Τα συνθηματικά για δευτερευοντες υπηρεσίες - όπως πχ για τη διαχείρηση
> > >    της βάσης δεδομένων mysql - βρίσκονται στο /etc/hellug/PASSWORDS.
> > >    Είναι διαθέσιμα μόνο στους διαχειριστές του συστήματος.
> > Εδώ θα πρότεινα *μόνο* offline αποθήκευση, και μάλιστα encrypted. Κανένα 
> > password σε plain text online.
> Giati re paidia, to shadow den einai arketa kryptografhmeno gia ta goysta sas?
> To sudo ayto akribws kanei me to password toy ekastote xrhsth..

Η αναφορά δεν είναι για τα passwords του συστήματος (login etc), αλλά
των δευτερευόντων συνθηματικων (CA, mysql etc).

> > > 2.4. Οι υπηρεσίες είναι όσο το δυνατόν κατανεμημένες και οι υπευθυνοι έχουν
> > >    τα μικρότερα δυνατά δικαίωματα στο μηχάνημα, χωρίς να περιορίζεται
> > >    η λειτουργικότητα της υπηρεσίας.

> Sto shmeio ayto exw ekfrasei tis diafwnies moy alla as to kanw allh mia
> fora. Osoi apo ta melh toy syllogoy exoyn analabei me kapoio tropo mia apo
> tis yphresies, den einai peinasmena gia r00t access k*lopaida kai 3eroyn 
> kai 5 pragmatakia. 

Αυτο δεν σημαίνει τίποτα. Ο λόγος που υπάρχει το 2.4 είναι για να
μειωθούν τα point of failures, και για να δημιουργηθούν "στεγανα",
που θα ελλατώσουν τη ζημιά αν κάτι παει στραβά.

> Kai bebaia tha prepei na apokthsoyme mia aytomatopoihmenh diadikasia prosthikhs 
> melwn wste na mh xreiazetai texniko ypobathro (estw kai stoixeiwdes) para mono
> to pathma enos koybioy sto browser.

Αυτό είναι θεμα του lugistics και όχι του συγκεκριμένου κειμένου.


> > > 3.3. Σε περιπτωση οποιουδήποτε σοβαρού προβλήματος λόγω κάποιου λογαριασμού 
> > >    μέλους, αυτός απενεργοποιείται, και προωθείται στο εκάστοτε ΔΣ κοινοποίηση
> > >    της πράξης αυτής. Το ΔΣ έχει την ευθυνη της επανενεργοποίησης του λογαριασμού
> > >    ή του οριστικού τερματισμού της.
> meta to sobaro problhma bazoyme mia parenthesh kai symplhrwnoyme 2-3 pragmatakia
> gia na baloyme sto pneyma opoion to diabazei
> (όπως εμφάνιση προσβλητικών/άσεμνων περιεχομένων σε σελίδες μελών, προσπάθεια
> παρενόχλησης ή εισβολής σε άλλα συστήματα κ.α)

Δεν έχει νόημα, αφού οτι και να αναφερθεί θα είναι περιοριστικό και μόνο.
Αφήνεται στην κρίση του διαχειριστή και τελικά του board.


> -- 
> Spiros D. Bolis
> 
> 
> --
> Hellug mailing list -- http://lists.hellug.gr
> 

-- 
Nikos Mavroyanopoulos