Re: [ml] Politiche, accessi e gestione /etc ml@sikurezza.org

Andrea Ranaldi wrote:

> Come vi assicurate che aggiornando i programmi non ci si dimentichi di
> controllare gli accessi......

Per questo ti aiutano programmi tipo tripwire. Il problema è avere
inizialmente i diritti corretti per le migliaia di file che ormai si
trovano tipicamente in /etc :(

> 
> Stavo pensando di adottare una politica negativa per l'umask, ossia di
> dare l'accesso solamente a root e definire volta per volta i gruppi che
> possono leggerlo.
> 
> Voi come vi orientate?
> 

Devi distinguere il caso in cui ritieni di avere una gestione
"personalizzata" (manuale?) dei file dal caso in cui usi tool vari
di amministrazione.
Se vogliamo, avere root in scrittura non è una grande soluzione.
Vuole dire infatti che tutti gli accessi in scrittura devono essere
fatti da root. Al contrario, i diversi strumenti di amministrazione
dovrebbero poter scrivere nei file di configurazione con diritti più
limitati, ad esempio "admin", se non un utente specifico per ogni
servizio. Purtroppo una pratica frequente è invece ad avere tool di
amministrazione che fanno tutto come root, con il risultato che:
- l'utente deve essere più spesso root per svolgere attività di
amministrazione che non lo richiederebbero;
- difetti nei programmi utilizzati per l'amministrazione portano più
facilmente alla compromissione del sistema, anziché di un singolo
sottosistema.
Comunque sia, a volte i servizi devono poter scrivere nei propri
file di configurazione perché integrano l'interfaccia di
amministrazione nel servizio, e non sempre sono eseguiti (per
fortuna) come root.
Il problema è quindi capire, per quelle migliaia di file (o
centinaia di directory) quali sono i diritti minimi accettabili.
Naturalmente, poi strumenti come SELinux possono aiutare...


> Altra questione....
> La directory etc ha bisogno di un rapidissimo accesso in lettura, ma è
> scritta raramente, ed è improbabile che in caso di arresto del sistema
> si trovi in situazione di inconsistenza.... vale la pena di utilizzare
> un file system journaling? Voi quale utilizzate e con quali opzioni?

Anche qui, almeno alcuni sistemi Linux si stanno sempre più
"Windowsizzando". Ricordo di aver avuto almeno una distribuzione
(Mandrake?) che riscriveva l'fstab al volo durante il boot per
inserire i nuovi device che eventualmente trovava... piantandosi a
metà (riordinava i device scsi), mi lasciava l'fstab inconsistente.
Poi io 'sti cosi li fermo tutti, ma allora ci ho messo un po' a
capire il problema.

> 
> PS.
> Avete notato la somiglianza di prerogative tra la directoty /etc ed una
> directory LDAP? mumble mumble

Hai notato la somiglianza sempre maggiore fra i problemi di Linux e
quelli di Windows? mumble mumble ;)

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxxx
http://www.next-hop.it
http://www.telmon.org