Názory k článku
Balíčkovací systém achilovou patou
-
Miroslav SuchýStříbrný podporovatelNemluvite pravdu. Od toho ssl certifikaty (a GPG klice) jsou. Podepsany balicek si stahnu a overim si ho verejnym klicem, ktery uz mam od instalace (z DVD, ci jineho duveryhodneho media) na disku. Pokud ten balicek nekdo po ceste zmenil, tak nesedi klic na tento balik a nejde nainstalovat. Aby mem MIM donutil verit ve spravnost, tak by se musel zmocnit soukromeho klice, ale to je jina pohadka. -
No tusim ze se pouziva chkrootkit (http://www.chkrootkit.org/), ktery vyhledava na systemu zname rootkity.
Jinak se da taky pouzivat tripwire (http://www.tripwire.org/), coz je program ktery kontroluje kontrolni soucty oproti referencni databazi.
1.Nainstalujete stroj
2.pustite tripwire, udelate si referencni databazi
3.date ji treba na sit, nebo vypalite na CDRom (to aby se to nedalo modifikovat)
4.denne poustite tripwire a pres mail se daji kontrolovat vysledky
Nicmene tripwire bych doporucil na stroje kde se toho moc nemeni, protoze kdo to ma porad vypalovat ze?
Lepsi je ovsem proaktivni pristup. Hned po nainstalovani serveru si zkusit uvedomit, kudy se na ten system da dostat a dle toho se zaopatrit.
1.nainstalovat vhodny firewall (napr. http://www.shorewall.net/) a povolit jen to co potrebujete (ssh, 80, 443, 8080, dle potreby), zbytek jen jak bude treba a to jeste opatrne.
2.pouzivate vhodny sw a sledovat jeho releasy
3.pripadne se seznamit s moznostma systemu (red hat errata, GLSA na gentoo,...., ci se zapsat pro odber nalezenych chyb treba na http://secunia.com ).
4.nepouzivat php :) /joke
Take je dobre se podivat na nejake backup reseni a jeste se muze hodit take vzdaleny syslog na centralni masinu.
Ostatni jiste pridaji sve zkusenosti.
s pozdravem -
Izak (neregistrovaný)A ta kontrola pres PGP podpis je jako co ?
ono samozrejme zalezi, kdo vse ma k tomu klici pristup, idelani by bylo, kdyby nemel nikdo krom par lidi k tomu klici pristup a pouzival by se nejaky daemon, ke kteremu by se jendnoznacne autentifikovali jednotlivi vyvojari, takze by sloz zjistit, kdo fake balik udelal, pokud by byl spravne podepsany.
pokud by balik podepsan nebyl, tak RPM bez specialnich voleb nedovoli instalaci, natoz YUM -
Ahmul (neregistrovaný)Pokud tomu dobře rozumím, pak stačí, abych měl důvěru v první klíče, které se mi dostanou do ruky. Tedy hned po instalaci zná systém nějaké základní oficiální podpisové klíče, které pokud jsem paranoidní, si mohu ověřit a pakliže se v budoucnu budou updatovat přes balíčkovací systém, tak se stejně musí starými klíči ověřit příchozí balíček. Takže kde je problém?
