password management [WAS: Peri asfaleias [was: ...]]

[Pavlos Parissis]

Καλημέρα,

Αρχικό μήνυμα από  "Nick Demou (enLogic)" <ndemou at enlogic.gr>:

> Pavlos Parissis wrote:
> 
> > Καλησπέρα,
> >
> > Μιας και ανέφερες για passowrd server και να είναι όσο ασφαλής γίνεται,
> > έχω να προτείνω τα παρακάτω:
> > 1) Minimal install , για αυτό που θες να κάνεις, ο χώρος που θα 
> > χρειαστεί δεν μπορεί
> > να είναι πάνω από 512ΜΒ
> > 2) filesystem layout
> > /boot mounted readonly
> > /usr mounted readonly
> > /
> > /tmp
> > 3) ελάχιστα setuid binaries
> > 4) daily system update(το script θα πρέπει να κάνει remount το /usr rw 
> > πριν και μετά ro)
> >  
> >
> μπορεί να γίνει αυτόματα?
Φυσικά, με ένα απλό script και αν έχεις debian υπάρχει το apt-cron(αν θυμάμαι
καλά) πακέτο που κάνει αυτές τις δουλειές.

Αλλά υπάρχει το πρόβλημα πως αν γίνετε αυτόματα update ένα software που τρέχει
debconf, τότε θα περιμένει Input απο τον admin και μέχρι να δώσει κάποιος input
το update θα είναι hang!
Για αυτό καλό είναι να διαβάζεις την security λιστά της διανομής σου και 
αν δεις update για μια εφαρμογή που έχεις τότε κάνεις update.

...snip...
> > 14) password policy και user limits
> > http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html
> > 15) custom kernel
> >   OXI module support
> >   μόνο τα βασικά(ΟΧΙ USB-SOUND....)
> >
> > πολλά ε?
> >  
> >
> πολά όντως πάντως μέχρι και το 13 καλά τα πήγαινα... στο 14 με 
> δυσκολέυεις. Αυτό το PAM βρε παιδί μου λίγο χάος. Υπάρχει πιο ευληπτο 
> documentation? (οταν εψαχνα προχθες να δω πως θα βάλω όριο στα 
> ταυτόχρονα logins ενός χρήστη έπηξα πολύ... πολές λειψές πληροφορίες στο 
> Internet... περίεργα bugs... στο τέλος δουλεψε αλλά πρέπει να βάλω 
> maxlogins = 2 για να έχω ένα το πολύ login... περίεργα πράγματα)

Τα περισσότερα τα έχω εφαρμόσει και δεν είχα ιδιαίτερα προβλήματα.
Ναι, το pam είναι λίγο μπελάς αλλά σου παρέχει αρκετό έλεγχο,προσοχή διότι
ενα λάθος και δεν θα μπορείς να κάνεις login.

Πες ακριβώς τι δεν δουλεύει και μπορεί να βοηθήσουμε.

Παύλος