[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: RE: Setup: chiarimenti paranoici
Mittente: Ed3f
Data: 10 Oct 2002 20:15:21 -0000

Salgo in cattedra  :-O


/*
Volevo porre la seguente questione. A breve faro' l'upgrade di un
webserver da 3.1 a 3.2 (e fin qui mi sa che non sono l'unico). Visto
com'e' andato il panorama dei webserver nell'ultimo periodo, avrei a cuore
il poter gestire il server nel seguente modo:
*/


La 3.2 prevede Apache in chroot()

... e come saprai sicuramente ci sono nuovi security check a runtime (se
così li possiamo chiamare):
- systrace
- stack non eseguibile
- heap non eseguibile (se non sbaglio questo non c'è su i386 per come è
fatta l'arch)


/*
1) installazione SENZA roba inutile (niente bind, niente sendmail, niente
apache): non intendo toglierli dopo l'installazione, intendo che non si
devono installare proprio, penso io a mettere quello che mi serve dopo. E
non voglio nemmeno le relative operazioni di manutenzione in cron.
*/


FAQ YOU: http://www.openbsd.it/faq/faq4.html#FilesNeeded

base31.tgz - Contains the base OpenBSD system Required
etc31.tgz - Contains all the files in /etc Required
bsd - This is the Kernel. Required

Quando installi selezioni solo questi 2 tgz e poi ti tocca togliere a mano
il resto, ma volendo...


/*
2) installazione SENZA compilatori, visto che posso compilare tutti gli
update a parte su un'altra macchina. A questo punto c'e' un problema: come
posso compilare un update di qualcosa di standard (tipo le glibc) e
portarlo sul server come se fosse un binary package? La roba in /usr/src
non ha il "make package" come i ports. Dentro i ports c'e' tutto quello
che c'e' dentro l'installazione base? Giro la domanda: dove trovo un
elenco esatto dei componenti dell'installazione di base di OpenBSD?
Creo inconsistenze e problemi se aggiorno con i ports il materiale fornito
con l'installazione di base?
*/


Il bello di OpenBSD è che è tutto compilato senza ottimizzazioni quindi se
compili tutto su una box, per esempio seguendo la branch -stable e facendo
make build, poi puoi copiare tutti file che ti servono sulle altre box senza
problemi (ovviamente della stessa architettura!).


/*
Sicuramente qualcuno potra' obiettare che sono pippe e che non serve a
niente. Nel mio caso e' vero, ma se dovessi gestire qualche decina di
server preferirei che non ci fosse nulla al di fuori del minimo
indispensabile, con tutti i pacchetti compilati esternamente. Il tutto,
ovviamente, il piu' automatizzato possibile (quindi non e' che mi vada a
genio la rimozione manuale di tutta la roba in piu' sull'installazione
minima di OpenBSD, anche se, al massimo, potrei gestire tutto con un po'
di bash scripting).
*/


Insomma la soluzione è la seguente:

1) Installa la 3.2 su un server selezionando solo i 2 tgz suddetti.
2) Rimuovi tutto ciò che non vuoi, compresi cron-jobs, bind, sendmail & c
tenendo presente che Apache di default ha un setup migliore di quello che
otterresti da un'installazione manuale.
3) Hai rimosso tutto ?
4) Vai in / e fai un bel tgz contenente tutto tranne /dev/*
5) Chiamalo base.tgz e salvalo da qualche parte
6) Inizia una nuova installazione della 3.2 e seleziona solo base.tgz che
ovviamente deve essere il tuo file dovunque esso sia.
7) Salvati l'elenco dei file che compongono questo base.tgz
8) Prendi una box che servirà per compilare e distribuire gli aggiornamenti
e i packages.
9) Segui il branch OPENBSD_3_2 (3.2-stable) con cvsup.
10) Fai il "make build" quando ci sono degli aggiornamenti (vedi i log di
cvsup)
11) Usa uno script che crea un nuovo (e aggiornato) "base.tgz" prendendo la
lista di file del punto 7.
12) Usa uno script che crea un nuovo "update.tgz" prendendo la lista di file
del punto 7 escludendo /etc.

13A) Usa uno script che aggiorna via scp o sftp tutti i file del punto 7 (no
/etc) su ogni server e poi lo reboota.
 o
13B) Copia update.tgz su ogni server, scompattalo e reboota.

Poni attenzione a /etc


	Ed3f




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005