Προηγούμενο Περιεχόμενα
Πολύ χρήσιμο κρίνεται το remote logging που παρέχει το
LIDS. Πρέπει να δοθεί προσοχή στις ρυθμίσεις (σε ποιο
server θα κάνει logging, με ποια μέθοδο κλπ) και να
σχεδιαστεί σωστά το δίκτυο ούτως ώστε να μην έχουμε
"κομμένες" γραμμές εκεί (π.χ. κάποιος αποφάσισε να βάλει
ένα firewall ανάμεσα στα συστήματά μας :-).
Θέλει σοβαρή μελέτη το ποια αρχεία/directories θα
κλειδώσουμε, πόσο θα τα κλειδώσουμε (όπως είπαμε μπορούμε
να τα κρύψουμε εντελώς, να τα κάνουμε μόνο ανάγνωσης, να
τα κάνουμε μόνο append ή να τα κάνουμε
εγγραφής/ανάγνωσης), σε ποια προγράμματα θα δώσουμε
δικαίωμα να προσπελαύνουν τα αρχεία/directories αυτά...
Το μόνο σίγουρο είναι ότι δεν υπάρχει συνταγή, και μάλλον
είναι δύσκολο να γραφτεί μία. Μην εμπιστευτείτε καμία
συνταγή, αν πρόκειται για production σύστημα.
Πρέπει επίσης να μελετηθεί σωστά το σε ποια
αρχεία/executables θα δοθούν τα capabilities που θα
επιτρέπουν να κάνουν unmount τα filesystems και να
τερματίζουν διεργασίες, για να μπορεί το σύστημα να
"κατεβαίνει" κανονικά, και να μην κάνει fsck σε κάθε
boot, ούτε να βρίσκει "ανοιχτά" processes.
Σε κάθε περίπτωση, πρέπει να επιτραπεί το
switching κατά το compile του πυρήνα, για να μπορείτε να
απενεργοποιήσετε το lids προσωρινά. Αλλιώς, το root
account, σε μία normal εγκατάσταση, θα είναι τόσο
περιορισμένο που θα είναι άχρηστο.
Τέλος, αν δείτε ότι το σύστημα δεν καλο-δουλεύει μετά
τις αλλαγές που κάνατε, ένα security=0 σαν command
parameter στο lilo θα σας δώσει τη δυνατότητα να
ξεκινήσετε το σύστημα με το LIDS απενεργοποιημένο.
Που το βρίσκετε; Μα που αλλού, εκτός από το http://www.lids.org. Εκεί θα
βρείτε, εκτός από τα patches για τους πυρήνες της σειράς
2.4 και της σειράς 2.2, και διάφορα links για
documentation. Το δικό τους FAQ, links για άρθρα που
έχουν γραφτεί για το LIDS, links για reviews, link για
εκείνο το POSIX draft....
Καλό θα ήταν βέβαια να υπήρχε ένα graphical
configuration utility (πεδίον δόξης λαμπρό για τους
απανταχού qt ή gtk programmers) αλλά δεν έχει γραφτεί
κάποιο τέτοιο ακόμα από ότι ξέρω. Ιδού η Ρόδος....
Δεν χρειάζεται βέβαια να πω ότι η χρήση του LIDS δεν
προτείνεται αν είστε αρχάριος. Σε κάθε περίπτωση, για ότι
κάνετε με το LIDS (ή και χωρίς αυτό :-) δεν φέρω καμία
ευθύνη. Διαβάστε το documentation, ξαναδιαβάστε το, κι αν
είστε έτοιμοι, πάρτε ένα backup τα αρχεία σας και
δοκιμάστε το...
Το LIDS δεν μου φάνηκε ακόμα έτοιμο για production
servers, κυρίως λόγω της έλλειψης documentation και ενός
εύκολου configuration utility. Όπως ξαναείπα, ιδού πεδίο
δόξης λαμπρό...
Η αλήθεια είναι πάντως, ότι παρέχει ένα επίπεδο ακόμα
ασφαλείας στο παλιό γνωστό και ταλαιπωρημένο
Unix-security scheme... Μόλις δοθεί η δυνατότητα
υποστήριξης capabilities και στο filesystem, όλα θα είναι
καλύτερα :-)
Προηγούμενο Περιεχόμενα
