password management [WAS: Peri asfaleias [was: ...]]

[Giorgos Keramidas]

On 2005-12-20 00:12, "Nick Demou (enLogic)" <ndemou at enlogic.gr> wrote:
> Pavlos Parissis wrote:
>>Καλησπέρα,
>> Μιας και ανέφερες για passowrd server και να είναι όσο ασφαλής
>> γίνεται, έχω να προτείνω τα παρακάτω:
>> 1) Minimal install , για αυτό που θες να κάνεις, ο χώρος που θα
>> χρειαστεί δεν μπορεί να είναι πάνω από 512ΜΒ

165 ΜΒ, την τελευταία φορά που έστησα ένα πλήρες FreeBSD με όλο το
"βασικό σύστημα".  Πολλά από αυτά που έχει αυτό δε χρειάζονται, οπότε με
λίγο προσοχή και κάμποσα build tests μπορείς να το ρίξεις σε 30-35 ΜΒ
για ένα πλήρες, λειτουργικό firewall & dhcp server.

>> 2) filesystem layout
>> /boot mounted readonly
>> /usr mounted readonly
>> /
>> /tmp

Δεν υπάρχει λόγος να έχεις read-only το /usr και να αφήσεις το / rw.

>> 3) ελάχιστα setuid binaries

Συνήθως, ελάχιστα είναι πλέον αυτά...  Αν εξαιρέσεις τα X11, δεν είναι
πάνω από 50 binaries, τα οποία μπορείς να παρακολουθείς στενά με κάτι
σαν το tripwire(1) ή το mtree(1).

% root at flame:/root# find -x / -perm +u+ | wc -l
%        5
% root at flame:/root# find -x /usr -perm +u+s | wc -l
%       33

> >4) daily system update(το script θα πρέπει να κάνει remount το /usr rw
> >πριν και μετά ro)
>
> μπορεί να γίνει αυτόματα?

Δε χρειάζεται.  Είναι overkill έτσι κι αλλιώς.  Δεν έχει νόημα να κάνεις
κάθε μέρα update, εκτός κι αν τη βρίσκεις να κάθεσαι να κάνεις audit
κάθε μέρα τις αλλαγές (updates) της προηγούμενης νύχτας.