policy updated
Nikos Mavroyanopoulos
nmav at gnutls.org
Sun Sep 8 18:46:01 EEST 2002
Το τελευταίο policy.
--
Nikos Mavroyanopoulos
mailto:nmav at gnutls.org
-------------- next part --------------
IGLOO.LINUX.GR POLICY
Τελευταία ανανέωση: 8 Σεπτεμβριου 2002
*******************
Αντίγραφο της πολιτικής του συστήματος υπάρχει στο /etc/hellug/POLICY
στα συστήματα του συλλόγου.
*******************
Ι. Πολιτική για τη χρήση του σύστηματος
1.1. Καθε μη τετριμένη αλλαγή στο σύστημα σημειώνεται στο
/etc/hellug/CHANGELOG, μαζί με το ονομα του υπευθυνου των αλλαγών.
1.2. Το σύστημα τακτικά (αναλογα με τις υπάρχουσες δυνατότητες), και
πριν απο μεγάλες αλλαγές, αντιγράφεται στο υπάρχον μέσο για backup
1.2.1. Αν το μηχανημα διαθέτει δευτερο δίσκο για backup, τότε αυτός είναι
unmounted, και με επιλογή να κλείνει (spin down), αν δεν χρησιμοποιείται.
Γίνεται mount μόνο κατα τη διάρκεια του backup.
1.2.2. Τα αντιγραφα ασφαλείας πρεπει να γίνονται τουλάχιστον μια φορα
ανα εξαμηνο.
1.2.3. Ειδικοί καταλογοι, όπως της υπηρεσία ταχυδρομιου, και οι κατάλογοι
των χρηστών, αντιγράφονται μια φορά την εβδομάδα (απο το crontab).
1.2.4. Προσοχή πρέπει να δωθεί έτσι ώστε τα αντίγραφα ασφαλείας να μην
είναι προσβάσιμα απο αλλους, εκτός απο τους εκάστοτε διαχειριστές.
1.3. Κρατείται αρχείο με το HMAC-MD5 digest των αρχείων των καταλόγων */bin /etc
και όποιων αλλων θεωρησει ο διαχειρηστής συμαντικά, για τον εντοπισμό των
τροποποιημένων αρχείων. To αρχείο αυτό υπάρχει στο /etc/hellug/CHECKSUMS,
ενω το πρόγραμμα που χρησιμοποιείται γι'αυτό το σκοπό είναι το 'shash'
1.3.1. Το digest πρεπει να ελεγχεται και να ανανεώνεται πριν και μετά απο
κάθε προσθήκη νεων προγραμμάτων στο σύστημα.
1.3.2. Τα scripts γι'αυτό το σκοπό βρίσκονται στο /usr/src/scripts/hmac-*
1.3.3. Επειδή το HMAC-MD5 είναι keyed-mac, το κλειδί γι'αυτό καθορίζεται
απο τους διαχειριστές και είναι διαθέσιμο μόνο στους ιδιους.
1.3.4. Μια επίθεση κατά αυτού του συστήματος είναι η διαγραφή των αρχείων
στο CHECKSUMS, γι'αυτό καλό είναι να τηρείται τακτική αντιγραφή του συγκεκριμένου
αρχείου σε κάποιο υπολογιστή μη συνδεδεμένο στο δίκτυο.
1.4. Ολα τα set-uid 0 αρχεία είναι εκτελέσιμα μόνο απο ορισμένους που είναι
μέλη της ομάδας των διαχειριστών. Αρχεία που δεν χρειάζονται να είναι
set-uid, ή είναι περιττά απεγκαθιστούνται.
1.5. Η εγκατάσταση των προγραμμάτων γίνεται μονο απο το σύστημα που παρέχει
η διανομή γι'αυτό το σκοπό, ενω οι αλλαγές, αν είναι σημαντικές, πρεπει
να σημειώνονται στο /etc/hellug/CHANGELOG. Η διανομή που επιλέχθηκε είναι
η Debian, και η εγκατάσταση γίνεται μέσω του APT.
Για παράδειγμα η εγκατάσταση του προγράμματος apache:
# apt-get update
[...]
# apt-get install apache
1.5.1. Σε περιπτώσεις που είναι αναγκαια η διορθωση κάποιου προγράμματος
που δεν παρεχεται απο τη διανομή, αυτό γίνεται παλι μεσω των μηχανισμών
της διανομής. Στο Debian χρησιμοποιείται το APT-SOURCE.
Για παράδειγμα το patch στο πρόγραμμα apache γίνεται:
# apt-get update
[...]
# apt-get source apache
# cd apache
[apply any patches]
# make
[...]
# dpkg-buildpackage
[...]
# dpkg --install xxx.deb
1.6. Οι διαχειριστές του συστήματος χρησιμοποιούν την υπηρεσία ssh
για είσοδο στο σύστημα. Η χρήση αυτής γίνεται με δήμόσιο κλειδί και
όχι με συνθηματικό.
1.6.1. Η υπηρεσία telnet είναι απενεργοποιημένη και δε χρησιμοποιείται
για είσοδο στο σύστημα.
1.7. Οι διαχειριστές πρέπει να έχουν OpenPGP κλειδιά, διαθέσιμα στο
.pgpkeys αρχειο, στον κατάλογό τους, ωστε να είναι διαθέσιμα με
την υπηρεσία finger.
1.8. Οτιδήποτε έχει εγκατασταθεί χωρίς την συνήθη διαδικασία που
οριζεται παραπάνω, ο πηγαίος κώδικας της εφαρμογής πρέπει να
βρίσκεται σε κατάλογο στο /usr/src. Αυτό συμβαίνει ΜΟΝΟ όταν
η επιλεγμένη διανομή δε διαθέτει κάποια απαραίτητη εφαρμογή.
1.8.1. Αυτή η εγκατάσταση γίνεται σε ξεχωριστό κατάλογο, κάτω από versioned
κατάλογο π.χ. /usr/local/{software-with-version}/{bin,lib,man}. Link στο
/usr/local/{software} και από εκεί links στο /usr/local/{bin,lib,man}.
Λίγο περίπλοκο, αλλά βοηθάει στις δοκιμές πριν την αναβάθμιση.
1.9. Τα καταγεγραμένα μηνυματα του συστήματος, στέλνονται ανα τακτικα
χρονικά διαστήματα στους διαχειριστές. Αυτό γίνεται μεσω του logrotate
προγράμματος. Αλλα προγράμματα που εκτελούνται περιοδικα γι'αυτό
το σκοπό βρίσκονται στο /usr/src/system-check
1.10. Για να καλυφθουν οι αναγκες ορισμένων υπηρεσιων στο σύστημα υπάρχουν
δημόσια και μυστικα κλειδιά μιας Certificate Authority που χρησιμοποιείται
για να υπογράφει Certificates για τις διαφορες υπηρεσίες.
Για παράδειγμα το https://mail.hellug.gr κάνει χρήση αυτού.
Τα παραπάνω κλειδιά βρίσκονται στον κατάλογο /etc/hellug/CA και είναι
διαθέσιμα μόνο στους διαχειριστές του συστήματος.
1.10.1. Το μυστικό κλειδί της CA είναι κρυπτογραφημένο, ενώ καλό είναι
να τηρούνται off-line αντίγραφα.
1.11. O λογαριασμός του superuser (root), δεν είναι διαθεσιμος για
απ'ευθειας σύνδεση (πχ μέσω ssh). Για τη διαχείριση του συστήματος, οι
εκαστοτε διαχειριστές συνδέονται χρησιμοποιώντας τον προσωπικό λογαριασμό
τους, και χρησιμοποιούν την υπηρεσία su ή sudo για τις ανάγκες της
διαχείρησης.
1.11.1. Το συνθηματικό του superuser (root), είναι γνωστό μόνο στους
διαχειριστές του συστήματος και δεν είναι αποθηκευμένο πουθενά στο
σύστημα.
1.12. Τα συνθηματικά για δευτερευοντες υπηρεσίες - όπως πχ για τη διαχείρηση
της βάσης δεδομένων mysql - βρίσκονται στο /etc/hellug/PASSWORDS.
Είναι διαθέσιμα μόνο στους διαχειριστές του συστήματος.
1.12.1. Τα συνθηματικα πρεπει να αποθηκευονται σε κρυπτογραφημένη μορφή.
Αυτό πρέπει να γίνεται με τα προγραμματα gnupg (gpg -c) ή mcrypt
(mcrypt --openpgp). To συνθηματικο που χρησιμοποιήθηκε για την
κρυπτογράφηση είναι γνωστό μονο στους διαχειριστές.
1.13. Οι καταχωρησεις στα αρχεία του /etc/hellug γίνονται απο τους διαχειριστές
του συστήματος.
1.13.1. Τα αρχεία στο /etc/hellug ανανεώνονται μέσω CVS.
*******************
II. Πολιτική για τις υπηρεσίες του συλλόγου και για τα φιλοξενούμενα project
2.1. Η κάθε υπηρεσία του συλλόγου στο σύστημα έχει έναν υπέυθυνο που ορίζεται
απο το ΔΣ ή τη ΓΣ του συλλόγου. Οι υπέυθυνοι των υπηρεσίων σημειώνονται
στο /etc/hellug/SERVICES αρχείο.
2.1.1. Τα φιλοξενούμενα project καταχωρούνται μαζί με τους υπευθυνους στο
αρχείο /etc/hellug/PROJECTS.
2.3. Τα φιλοξενούμενα project καθώς και οι υπηρεσίες του συλλόγου μπορούν
να έχουν περισσότερα απο ένα μέλη, αρα και λογαριασμούς στο σύστημα.
Αυτα τα μέλη πρέπει να αναφέρονται στο /etc/hellug/PROJECTS ή
στο /etc/hellug/SERVICES κατα περίπτωση.
2.4. Οι υπηρεσίες είναι όσο το δυνατόν κατανεμημένες και οι υπευθυνοι έχουν
τα μικρότερα δυνατά δικαίωματα στο μηχάνημα, χωρίς να περιορίζεται
η λειτουργικότητα της υπηρεσίας.
2.4. Τα φιλοξενούμενα project διαθέτουν cvs (over ssh), anonymous cvs,
ssh, ftp, mail, dns, και http υπηρεσίες τουλάχιστον.
2.4.1. H υπηρεσία anonymous cvs (pserver), εκτελείται σε περιβάλλον chroot.
Ο πηγαίος κώδικας αυτού του προγράμματος (run-cvs) βρίσκεται στον καταλογο
/usr/src/run-cvs.
2.4.2. Οπου είναι δυνατόν οι υπηρεσίες του συλλόγου χρησιμοποιούν cvs για
τον καλύτερο συντονισμό τους.
*******************
III. Πολιτική για τα μέλη
3.1. Τα μέλη έχουν λογαριασμούς με πρόσβαση στις υπηρεσίες ftp, imap και
pop3 του σύστηματος, ενώ υπάρχουν φορμες αλλαγής συνθηματικού και ορισμένων
ρυθμίσεων, απο το http://members.hellug.gr
3.2. Οι λογαριασμοί των μελών δημιουργούνται απο τους εκάστοτε υπευθυνους
του ΔΣ του συλλόγου, και πρέπει να εισαγονται παράλληλα το όνομα του
χρήστη, καθώς και κάποιο e-mail επικοινωνίας, ή και τηλέφωνο.
3.3. Σε περιπτωση οποιουδήποτε σοβαρού προβλήματος λόγω κάποιου λογαριασμού
μέλους, αυτός απενεργοποιείται, και προωθείται στο εκάστοτε ΔΣ κοινοποίηση
της πράξης αυτής. Το ΔΣ έχει την ευθυνη της επανενεργοποίησης του λογαριασμού
ή του οριστικού τερματισμού της.
3.4. Οι λογαριασμοί των μελών έχουν περιορισμένη αποθηκευτική δυνατότητα (quota),
ανάλογη με τις δυνατότητες του συστήματος. Στις 20 Αυγούστου 2002, ο
παρεχόμενος χώρος ήταν 10 MB ανα χρήστη.
More information about the Hellug
mailing list