password management [WAS: Peri asfaleias [was: ...]]

[Panagiotis Atmatzidis]

Από την μικρή εμπειρία με τον server μου, μπορώ να πω ότι το PAM μόνο
προβλήματα μου έφερε, ποτέ δεν δούλεψε όπως έπρεπε, είναι αντίθετο σε
πολιτική με τα συχνά upgrades.. όπως κι οποιοδήποτε σύστημα είναι
στημένο με συγκεκριμένη πολιτική.
Γνώμη μου είναι πως updates πρέπει να κάνεις σε τέτοιο μηχάνημα:

α) Όταν υπάρχει κάποια τρύπα
β) Όταν υπάρχουν σημαντικές βελτιώσεις σε ένα πρόγραμμα οι οποίες σου
είναι χρήσιμες φυσικά
γ) Κάθε Χ χρονικό διάστημα έτσι ώστε σε περίπτωση που μιλάμε για
διανομή με αυτόματες ενημερώσεις (source etc) για να μην έχεις
προβλήματα όταν αποφασίσεις να κάνεις upgrade το σύστημα. Αλλιώς
κινδυνεύεις να *σπάσει* κάτι.

Αν θέλεις να αυξήσεις την ασφάλεια του διακομιστή τόσο πολύ μπορείς να
παίξεις με Grsecurity[1] και Role Based Access Controls. Αλλά να
ξέρεις ότι ένα τέτοιο μηχάνημα μόνο ελαστικό ΔΕΝ είναι. Αν τρέχει
πολλούς δαίμονες θα σου δημιουργήσει πρόβλημα. Το σίγουρο είναι ότι
για κάνει κάποιος bypass τέτοιο επίπεδο προστασίας πρέπει να είναι από
άλλο πλανήτη..
Ένα καλό guide[2] για Gentoo[3] αλλά μπορείς να το στήσεις παντού..
απλώς για να πάρεις μια γενικότερη ιδέα.

Με Gentoo αλλά και FreeBSD υπάρχουν τρόποι (cron scripts) για να
γίνουν ενημερώσεις. Στα Gentoo forums υπάρχουν έτοιμα scripts που
διαχειρίζονται αυτόματα τις ενημερώσεις.. στέλνουν mail στον admin
όταν κάποιο compile αποτύχει .. κάνουν --resume --skipfirst ... δηλαδή
το compile συνεχίζεται με το επόμενο πακέτο.. κτλ.

Όπως είπε ο Γιώργος σε άλλο post όμως είναι overkill και όπως ανέφερα
και πριν, δεν συμβαδίζει απόλυτα με την λογική ενός τέτοιο διακομιστή.
Αυτό θα το καταλάβεις αν τελικά στήσεις grsecurity & RBAC και
καταλάβεις πόσες ώρες θέλεις για ένα σωστό configuration.

Καλή τύχη!!

[1] http://pax.grsecurity.net/
[2] http://www.gentoo.org/proj/en/hardened/grsecurity.xml
[3] http://www.gentoo.org

On 12/20/05, Nick Demou (enLogic) <ndemou at enlogic.gr> wrote:
> Pavlos Parissis wrote:
>
> > Καλησπέρα,
> >
> > Μιας και ανέφερες για passowrd server και να είναι όσο ασφαλής γίνεται,
> > έχω να προτείνω τα παρακάτω:
> > 1) Minimal install , για αυτό που θες να κάνεις, ο χώρος που θα
> > χρειαστεί δεν μπορεί
> > να είναι πάνω από 512ΜΒ
> > 2) filesystem layout
> > /boot mounted readonly
> > /usr mounted readonly
> > /
> > /tmp
> > 3) ελάχιστα setuid binaries
> > 4) daily system update(το script θα πρέπει να κάνει remount το /usr rw
> > πριν και μετά ro)
> >
> >
> μπορεί να γίνει αυτόματα?
>
> > 5) bios password
> > 6) grub/lilo password και για να αλλάξει κάποιος τα boot options θα
> > πρέπει να δώσει password
> > 7) netstat -na|grep ESTABLISHED θα πρέπει να επιστρέψει μόνο 22 και
> > nmap -sS από
> > άλλο Υ/Η 8) install  Aide(aka gnu tripwire)
> > 9) remote logging με syslog-ng +stunnel
> > 10) firewall
> > 11) NO FUCKING WAY REMOTE ROOT LOGIN
> > 12) su group(μόνο ένας θα μπορεί να κάνει su) 13) sshd_config listen
> > μόνο στην IP μου έχει το σύστημα και όχι σε *
> > 14) password policy και user limits
> > http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html
> > 15) custom kernel
> >   OXI module support
> >   μόνο τα βασικά(ΟΧΙ USB-SOUND....)
> >
> > πολλά ε?
> >
> >
> πολά όντως πάντως μέχρι και το 13 καλά τα πήγαινα... στο 14 με
> δυσκολέυεις. Αυτό το PAM βρε παιδί μου λίγο χάος. Υπάρχει πιο ευληπτο
> documentation? (οταν εψαχνα προχθες να δω πως θα βάλω όριο στα
> ταυτόχρονα logins ενός χρήστη έπηξα πολύ... πολές λειψές πληροφορίες στο
> Internet... περίεργα bugs... στο τέλος δουλεψε αλλά πρέπει να βάλω
> maxlogins = 2 για να έχω ένα το πολύ login... περίεργα πράγματα)
>
>
>
> --
> linux-greek-users mailing list -- http://lists.hellug.gr
>