[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: RE: Setup: chiarimenti paranoici
Mittente: Michele Albrigo
Data: 11 Oct 2002 17:39:07 -0000
> /*
> Volevo porre la seguente questione. A breve faro' l'upgrade di un
> webserver da 3.1 a 3.2 (e fin qui mi sa che non sono l'unico). Visto
> com'e' andato il panorama dei webserver nell'ultimo periodo, avrei a cuore
> il poter gestire il server nel seguente modo:
> */
> La 3.2 prevede Apache in chroot()

Per ora il mio problema e' che non posso chrootare apache: devo (e
sottolineo DEVO, almeno fino a quando non salta fuori un tool di pari
funzionalita') usare mailman. Mailman basa la propria interfaccia web su
dei cgi che richiedono python. Ora, io posso anche includere python in una
chroot, ma mi puzza tanto da inutile, nel senso che fornisco uno strumento
con cui, giocando con le chiamate di sistema, qualcuno potrebbe saltar
fuori dalla chroot. Sto cercando di venire a capo del problema senza
inviare un sicario ai programmatori di mailman...
So anche che questo mal si sposa con la mia eliminazione dei compilatori e
degli interpreti...

> ... e come saprai sicuramente ci sono nuovi security check a runtime (se
> così li possiamo chiamare):
> - systrace
> - stack non eseguibile
> - heap non eseguibile (se non sbaglio questo non c'è su i386 per come è
> fatta l'arch)

Spezzo inoltre una lancia in favore di Stephanie per la TPE (con la quale
puoi bloccare l'esecuzione di qualsiasi cosa dentro la DocumentRoot del
webserver).

> Insomma la soluzione è la seguente:
>
> 1) Installa la 3.2 su un server selezionando solo i 2 tgz suddetti.
> 2) Rimuovi tutto ciò che non vuoi, compresi cron-jobs, bind, sendmail & c
> tenendo presente che Apache di default ha un setup migliore di quello che
> otterresti da un'installazione manuale.
> 3) Hai rimosso tutto ?
> 4) Vai in / e fai un bel tgz contenente tutto tranne /dev/*
> 5) Chiamalo base.tgz e salvalo da qualche parte
> 6) Inizia una nuova installazione della 3.2 e seleziona solo base.tgz che
> ovviamente deve essere il tuo file dovunque esso sia.
> 7) Salvati l'elenco dei file che compongono questo base.tgz
> 8) Prendi una box che servirà per compilare e distribuire gli aggiornamenti
> e i packages.
> 9) Segui il branch OPENBSD_3_2 (3.2-stable) con cvsup.
> 10) Fai il "make build" quando ci sono degli aggiornamenti (vedi i log di
> cvsup)
> 11) Usa uno script che crea un nuovo (e aggiornato) "base.tgz" prendendo la
> lista di file del punto 7.
> 12) Usa uno script che crea un nuovo "update.tgz" prendendo la lista di file
> del punto 7 escludendo /etc.
>
> 13A) Usa uno script che aggiorna via scp o sftp tutti i file del punto 7 (no
> /etc) su ogni server e poi lo reboota.
>  o
> 13B) Copia update.tgz su ogni server, scompattalo e reboota.

E fin qui direi che la procedura mi convince. Aggiungo che, nel mio caso,
l'architettura e' unica (PIII dappertutto) e potrei gestire le /etc con un
meccanismo tipo rsync (non mi addentro nella cosa perche' non ho ancora
studiato nulla al riguardo) tra il portatile ed il server.
Per ora grazie mille, testero' il sistema appena pronto per
l'installazione della 3.2.
Michele


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005