password management [WAS: Peri asfaleias [was: ...]]

[Nick Demou (enLogic)]

Pavlos Parissis wrote:

> Καλησπέρα,
>
> Μιας και ανέφερες για passowrd server και να είναι όσο ασφαλής γίνεται,
> έχω να προτείνω τα παρακάτω:
> 1) Minimal install , για αυτό που θες να κάνεις, ο χώρος που θα 
> χρειαστεί δεν μπορεί
> να είναι πάνω από 512ΜΒ
> 2) filesystem layout
> /boot mounted readonly
> /usr mounted readonly
> /
> /tmp
> 3) ελάχιστα setuid binaries
> 4) daily system update(το script θα πρέπει να κάνει remount το /usr rw 
> πριν και μετά ro)
>  
>
μπορεί να γίνει αυτόματα?

> 5) bios password
> 6) grub/lilo password και για να αλλάξει κάποιος τα boot options θα 
> πρέπει να δώσει password
> 7) netstat -na|grep ESTABLISHED θα πρέπει να επιστρέψει μόνο 22 και 
> nmap -sS από
> άλλο Υ/Η 8) install  Aide(aka gnu tripwire)
> 9) remote logging με syslog-ng +stunnel
> 10) firewall
> 11) NO FUCKING WAY REMOTE ROOT LOGIN
> 12) su group(μόνο ένας θα μπορεί να κάνει su) 13) sshd_config listen 
> μόνο στην IP μου έχει το σύστημα και όχι σε *
> 14) password policy και user limits
> http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html
> 15) custom kernel
>   OXI module support
>   μόνο τα βασικά(ΟΧΙ USB-SOUND....)
>
> πολλά ε?
>  
>
πολά όντως πάντως μέχρι και το 13 καλά τα πήγαινα... στο 14 με 
δυσκολέυεις. Αυτό το PAM βρε παιδί μου λίγο χάος. Υπάρχει πιο ευληπτο 
documentation? (οταν εψαχνα προχθες να δω πως θα βάλω όριο στα 
ταυτόχρονα logins ενός χρήστη έπηξα πολύ... πολές λειψές πληροφορίες στο 
Internet... περίεργα bugs... στο τέλος δουλεψε αλλά πρέπει να βάλω 
maxlogins = 2 για να έχω ένα το πολύ login... περίεργα πράγματα)