password management [WAS: Peri asfaleias [was: ...]]
Giorgos Keramidas
keramida at ceid.upatras.gr
Tue Dec 20 01:59:20 EET 2005
On 2005-12-20 00:12, "Nick Demou (enLogic)" <ndemou at enlogic.gr> wrote:
> Pavlos Parissis wrote:
>>Καλησπέρα,
>> Μιας και ανέφερες για passowrd server και να είναι όσο ασφαλής
>> γίνεται, έχω να προτείνω τα παρακάτω:
>> 1) Minimal install , για αυτό που θες να κάνεις, ο χώρος που θα
>> χρειαστεί δεν μπορεί να είναι πάνω από 512ΜΒ
165 ΜΒ, την τελευταία φορά που έστησα ένα πλήρες FreeBSD με όλο το
"βασικό σύστημα". Πολλά από αυτά που έχει αυτό δε χρειάζονται, οπότε με
λίγο προσοχή και κάμποσα build tests μπορείς να το ρίξεις σε 30-35 ΜΒ
για ένα πλήρες, λειτουργικό firewall & dhcp server.
>> 2) filesystem layout
>> /boot mounted readonly
>> /usr mounted readonly
>> /
>> /tmp
Δεν υπάρχει λόγος να έχεις read-only το /usr και να αφήσεις το / rw.
>> 3) ελάχιστα setuid binaries
Συνήθως, ελάχιστα είναι πλέον αυτά... Αν εξαιρέσεις τα X11, δεν είναι
πάνω από 50 binaries, τα οποία μπορείς να παρακολουθείς στενά με κάτι
σαν το tripwire(1) ή το mtree(1).
% root at flame:/root# find -x / -perm +u+ | wc -l
% 5
% root at flame:/root# find -x /usr -perm +u+s | wc -l
% 33
> >4) daily system update(το script θα πρέπει να κάνει remount το /usr rw
> >πριν και μετά ro)
>
> μπορεί να γίνει αυτόματα?
Δε χρειάζεται. Είναι overkill έτσι κι αλλιώς. Δεν έχει νόημα να κάνεις
κάθε μέρα update, εκτός κι αν τη βρίσκεις να κάθεσαι να κάνεις audit
κάθε μέρα τις αλλαγές (updates) της προηγούμενης νύχτας.
More information about the Linux-greek-users
mailing list