[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: Setup: chiarimenti paranoici
Mittente: Daniele Petiti
Data: 10 Oct 2002 20:17:29 -0000
On Thu, 10 Oct 2002 12:51:44 +0200 (CEST), Michele Albrigo
<indigo@omega.sci.univr.it> wrote:

 > Intanto ciao.
 > Volevo porre la seguente questione. A breve faro' l'upgrade di un
 > webserver da 3.1 a 3.2 (e fin qui mi sa che non sono l'unico). Visto
 > com'e' andato il panorama dei webserver nell'ultimo periodo, avrei a
 > cuore
 > il poter gestire il server nel seguente modo:
 > 1) installazione SENZA roba inutile (niente bind, niente sendmail,
 > niente
 > apache): non intendo toglierli dopo l'installazione, intendo che non
 > si
 > devono installare proprio, penso io a mettere quello che mi serve
 > dopo. E
 > non voglio nemmeno le relative operazioni di manutenzione in cron.
 > 2) installazione SENZA compilatori, visto che posso compilare tutti
 > gli
 > update a parte su un'altra macchina. A questo punto c'e' un
 > problema: come
 > posso compilare un update di qualcosa di standard (tipo le glibc) e
 > portarlo sul server come se fosse un binary package? La roba in
 > /usr/src
 > non ha il "make package" come i ports. Dentro i ports c'e' tutto
 > quello
 > che c'e' dentro l'installazione base? Giro la domanda: dove trovo un
 > elenco esatto dei componenti dell'installazione di base di OpenBSD?
 > Creo inconsistenze e problemi se aggiorno con i ports il materiale
 > fornito
 > con l'installazione di base?
 > 
 > Sicuramente qualcuno potra' obiettare che sono pippe e che non serve
 > a
 > niente. Nel mio caso e' vero, ma se dovessi gestire qualche decina
 > di
 > server preferirei che non ci fosse nulla al di fuori del minimo
 > indispensabile, con tutti i pacchetti compilati esternamente. Il
 > tutto,
 > ovviamente, il piu' automatizzato possibile (quindi non e' che mi
 > vada a
 > genio la rimozione manuale di tutta la roba in piu'
 > sull'installazione
 > minima di OpenBSD, anche se, al massimo, potrei gestire tutto con un
 > po'
 > di bash scripting).
 > 
 > Qualche idea per gestire bene questo tipo di situazioni?
 > Ciao
 > Michele Albrigo
 > 
 > 
 > ________________________________________________________
 > http://www.sikurezza.org - Italian Security Mailing List
 > 
ciao,
dunque se guardi su http://www.openbsd.org/faq/faq4.html#Overview vedi
che almeno base.tgz e bsd.tgz devi installarli.
Questi ti dovrebbero appunto mettere in grado di utilizzare la macchina
"al minimo".
I contenuti dei file (in questo istante non ho disponibile una bsd
station e/o i
package), li puoi esaminare con tar ztvf...e fino a qui' non dovrei
esserti stato di molto aiuto, visto che ti ho detto cose ovvie.

Pero' scusa, non ho ben capito quale sarebbe il problema di fare
un'installazione minimale che gia' dovrebbe comprendere quello che
serve ed in maniera bella paranoica stile OpenBSD...
Mi spiego meglio, se metti solo basexx.tgz; etcxx.tgz; bsd.tgz che
problema c'e'??
comp non lo metti e compili su una macchina gemella e su una lan
"sicura", se poi rimani ancora in "para" utilizza "accrocchi" tipo /usr
filesystem ro.
Per gli eventuali package (che pero' a questo punto non credo tu abbia
la necessita' di installare) li porti via package sempre dalla macchina
gemella.
Ma poi, cosa deve fare questa/queste macchine da gestire in maniera
paranoica?
Firewall, macchine su DMZ? insomma vuoi fare un'installazione minima ma
poi aggiungere pacchetti?
Forse non ho ben capito cosa intendi allora.

Secondo me (mia opinione quindi...) se installi di base solo cio' che
ti serve e
partizioni bene il disco con i giusti filesystem (e qui' le idee si
sprecano ;-)) e quando sei stabile metti /usr in ro, quello che puoi
nosuid, utenza ridotta al minimo, porte tutte chiuse tranne ssh da rete
interna ed eventuali servizi per bigbadinternet, sei al 99% al sicuro
dai kiddies, io ho una macchina configurata in questo modo e
sinceramente non ho avuto mai grossi problemi (ok..adesso
skiantatemela....hihih ;-))
In sostanza in questo modo ti eviti scripting e salti mortali per
installare una
o n macchine in maniera standard "paranoica".

Chiudo qui', forse piu' che altro ti ho confuso le idee ma magari ne
viene fuori
un thread interessante e in italiano...che non guasta mai.


ciao.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005