[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: Setup: chiarimenti paranoici
Mittente: Michele Albrigo
Data: 11 Oct 2002 17:38:31 -0000
> Pero' scusa, non ho ben capito quale sarebbe il problema di fare
> un'installazione minimale che gia' dovrebbe comprendere quello che
> serve ed in maniera bella paranoica stile OpenBSD...
> Mi spiego meglio, se metti solo basexx.tgz; etcxx.tgz; bsd.tgz che
> problema c'e'??

httpd, sendmail e bind dove sono? Sul mio server e' installato qmail. In
seguito a questo ho eliminato le operazioni in cron di sendmail,
ovviamente. Allo stesso modo ho segato l'utente di bind. Avevo installato
base, bsd, comp, etc e man (misc non sono sicuro, mi pare di no, w la
documentazione delle operazioni eseguite :)) ed ho dovuto rimuovere i
pezzi a mano. Non che la cosa mi disturbi, fin che la macchina e' una...

> comp non lo metti e compili su una macchina gemella e su una lan
> "sicura", se poi rimani ancora in "para" utilizza "accrocchi" tipo /usr
> filesystem ro.

Infatti, pensavo di allestire una partizione del portatile a questo scopo.
Analizziamo un momento gli errata di openbsd: a parte il kernel, che posso
ricompilare e trasferire via rete sulla nuova macchina, su 15 patch uscite
finora, 11 riguardano codice non inserito nel kernel e non distribuito su
package. Per quel che mi riguarda, 7 di queste 11 patch avrei dovuto
applicarle (nella mia situazione isakmpd e pppd posso lasciarli stare,
ad esempio).
Come faccio a portarle da una macchina di build al server di produzione,
visto che molti di queste cose non sono un package? Una slackware e' fatta
solo di package (vedi aaa_base.tgz), quindi se devo aggiornare le glibc mi
scarico il sorgente, il sorgente del pacchetto, do una sistematina qua e
la', ricompilo, trasporto e installo. E su OpenBSD?

> Per gli eventuali package (che pero' a questo punto non credo tu abbia
> la necessita' di installare) li porti via package sempre dalla macchina
> gemella.

Questo mi e' chiaro, contavo di produrre qualche port (piu' che altro
qualche modifichina ai port esistenti per adattarli alle mie esigenze).

> Ma poi, cosa deve fare questa/queste macchine da gestire in maniera
> paranoica?

Lo stesso che me ne faccio adesso: sorrido quando in universita' iniziano
a girare i worm di mod_ssl che si pappano le redhat come se fossero
smarties ;)
A parte gli scherzi: investo il mio tempo in preparare una macchina sicura
per avere piu' tranquillita' in termini di sicurezza (per la serie che se
oggi non ho tempo e la aggiorno lunedi' non muore nessuno, tanto e' gia'
abbastanza difficile da schiantare di suo).

> Firewall, macchine su DMZ? insomma vuoi fare un'installazione minima ma
> poi aggiungere pacchetti?
> Forse non ho ben capito cosa intendi allora.

Intendo preparare una base per un server, su cui poter installare alcuni
package compilati su una stazione sicura (il mio portatile). Tali package
saranno: apache, php, mod_ssl, mysql, client ldap, client postgres, client
imap (librerie)... ...insomma quello che e' necessario alla funzionalita'
dei servizi che devo offrire.

Ribadisco che questo lavoro extra me lo sto cercando per fare esperienza,
per la quantita' di macchine che devo gestire (1) potrei benissimo
fregarmene e lavorare da amanuense...
Ciaociao
Michele Albrigo


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005