password management [WAS: Peri asfaleias [was: ...]]

[Pavlos Parissis]

Καλημερα,
Αρχικό μήνυμα από  Giorgos Keramidas <keramida at ceid.upatras.gr>:

> On 2005-12-20 00:12, "Nick Demou (enLogic)" <ndemou at enlogic.gr> wrote:
> > Pavlos Parissis wrote:
> >>Καλησπέρα,
> >> Μιας και ανέφερες για passowrd server και να είναι όσο ασφαλής
> >> γίνεται, έχω να προτείνω τα παρακάτω:
> >> 1) Minimal install , για αυτό που θες να κάνεις, ο χώρος που θα
> >> χρειαστεί δεν μπορεί να είναι πάνω από 512ΜΒ
> 
> 165 ΜΒ, την τελευταία φορά που έστησα ένα πλήρες FreeBSD με όλο το
> "βασικό σύστημα".  Πολλά από αυτά που έχει αυτό δε χρειάζονται, οπότε με
> λίγο προσοχή και κάμποσα build tests μπορείς να το ρίξεις σε 30-35 ΜΒ
> για ένα πλήρες, λειτουργικό firewall & dhcp server.
> 
> >> 2) filesystem layout
> >> /boot mounted readonly
> >> /usr mounted readonly
> >> /
> >> /tmp
> 
> Δεν υπάρχει λόγος να έχεις read-only το /usr και να αφήσεις το / rw.

Έχεις δίκιο, βλακεία μου:(
> >> 3) ελάχιστα setuid binaries
> 
> Συνήθως, ελάχιστα είναι πλέον αυτά...  Αν εξαιρέσεις τα X11, δεν είναι
> πάνω από 50 binaries, τα οποία μπορείς να παρακολουθείς στενά με κάτι
> σαν το tripwire(1) ή το mtree(1).
> 
> % root at flame:/root# find -x / -perm +u+ | wc -l
> %        5
> % root at flame:/root# find -x /usr -perm +u+s | wc -l
> %       33

δεν διαφωνώ αλλά καλό είναι να δει τι έχει και αν μπορεί να τα αφαιρέσει απο το
σύστημα.

> > >4) daily system update(το script θα πρέπει να κάνει remount το /usr rw
> > >πριν και μετά ro)
> >
> > μπορεί να γίνει αυτόματα?
> 
> Δε χρειάζεται.  Είναι overkill έτσι κι αλλιώς.  Δεν έχει νόημα να κάνεις
> κάθε μέρα update, εκτός κι αν τη βρίσκεις να κάθεσαι να κάνεις audit
> κάθε μέρα τις αλλαγές (updates) της προηγούμενης νύχτας.

καλά το παράκανα και εγώ , άκου daily update.


Παύλος