Uprawnienia Na Serwer

[borzole]

Od jakiegoś czasu chce zrobić sobie hybrydę serwerowo-desktopową i szukam co mam "pozamykać"

 

1. tworzenie grupy wheel dla su - , czy to się tak robi?

tylko wymienione konta mogą się zalogować na konto super użytkownika

plik /etc/group

wheel:x:10:root,borzole

uprawnienia pliku

chgrp wheel /bin/su
chmod 4330 /bin/su

...działa, czy coś jeszcze ustawić w tej kwestii?

2. A co by było jakby cały (prawie cały) system tak potraktować:

grupa: admi = rootowe programy, pliki, /etc, /sbin itd

grupa: apps = biurkowe aplikacje z /usr

grupa: www = zezwala na odczyt wszystkim (tyle ile apache potrzebuje)

* czy to ma sens (ile to dłubania)?

* zaboli jak zrobię: chmod o-sxrw /

(potem exlude www)

 

3. widziałem jeszcze ustawianie "noexec" na /home, /tmp itp., ale tu jest pewien kłopot, bo gdzie wówczas uruchamiać programy samodzielnie skompilowane?

 

4. firewall, ssh ...się robi, nie będę dręczył

 

5. autobuckup jest, autosprzątanie dorobię

 

6. osobnej partycji na /var nie ma (bo ciasno), można założyć na to coś takiego jak quota dla konta, żeby się nie rozrosło?

 

7. wskazówki? polecane www z przepisami?

[ysio]

Od jakiegoś czasu chce zrobić sobie hybrydę serwerowo-desktopową i szukam co mam "pozamykać"

jak coś jest do wszystkiego to jest do niczego, posłużę się pewną analogią: z samochodu ciężarowego nie zrobisz wyścigówki

 

albo serwer i stawiasz na bezpieczeństwo, stabilność i wydajność

albo desktop i stawiasz na obsługę syfu jak: java, firefox, komunikatory itp

 

[Arabski]

Generalnie zgadzam się z przedmówcą. Jednakże.... Co ma zrobić ktoś (np. autor) jeżeli potrzebuje i tego i tego, a nie chce mieć dwóch komputerów?

 

Może wirtualizacja? Maszyna tylko w trybie tekstowym dobrze działa nawet na moim zabytku (robiłem np. instalacje sieciowe IRIXa ze specjalnie spreparowanego NetBSD - wydajność bez zarzutu).

 

@borzole - czy (_na prawdę_ → naprawdę) ORT potrzebujesz takiego poziomu zabezpieczeń, czy to raczej sztuka dla sztuki?

 

chmod o-sxrw /

 

Uuuu delikatnie waść, delikatnie. Wszystkie operacje na / należy traktować jak potencjalną minę

[borzole]

czy (_na prawdę_ → naprawdę) ORT potrzebujesz takiego poziomu zabezpieczeń, czy to raczej sztuka dla sztuki?

tego to ja nie wiem, po prostu im dłużej czytam o serwerach tym częściej napotykam stwierdzenie "potencjalna luka" no i mi ręce zaczęły opadać bo wygląda na to że bezpieczny serwer to wyłączony serwer.

 

To ma być przede wszystkim desktop, a serwer dla mnie "do testów do zabawy" więc jak coś padnie na serwerze to nic się nie stanie. Myślałem nad wirtualizacją, albo jakimś chroot'em ale zabieram się do tego od d*** strony. Bo tak, chciałbym mieć VirtualBox dla XP i teraz nie wiem, czy zwirtualizować na VB też CentOS. No bo czy to nie będzie pozorne bezpieczeństwo: żeby wejść na "bezpieczny" virtualny serwer-cent, połączenie przechodzi przez "luzacki" desktop-f10, więc nawet jeśli serwer przetrwa to desktop nie. To się przeciez robi odwrotnie. A stawianie desktopu na CentOS i wirtualizowanie F10 odpada: za stare paczki tam są jak dla mnie, a chciałbym jednak często korzystać z pełnej mocy komputera (openmp). Poza tym czy można mieć dwojaką wirtualizację: VB+XEN/KVM (chyba nic nie pomyliłem :lammer: ), bo jak wieki temu na XP (tak można już się śmiać) próbowałem jednocześnie używać dwóch narzędzi do wirtualizacji to była kiszka.

[qmic]

tego to ja nie wiem, po prostu im dłużej czytam o serwerach tym częściej napotykam stwierdzenie "potencjalna luka" no i mi ręce zaczęły opadać bo wygląda na to że bezpieczny serwer to wyłączony serwer.

 

Potencjalna luka bardzo często wymaga interakcji użytkownika tak więc musiałby on jej pomóc. Czyli to bardziej od niego zależy

 

[ysio]

Potencjalna luka bardzo często wymaga interakcji użytkownika tak więc musiałby on jej pomóc. Czyli to bardziej od niego zależy

z wirtualizacja czy bz niej java wykrzaczy ci firefox-a doprowadzajac do crashu

 

z tego co mowisz wynika, ze bedzie to zwykla stacja robocza

wiec bez sensu sa zabezpieczenia o ktorych wdrozeniu piszesz

 

IMHO do ochrony wystarczy firewall - zwalszcza, ze to maszynka na ktorej za tydzien zreinstalujesz system albo ja wylaczysz :/

[borzole]

No dobra, to skupię się tylko na firewallu. Nadal mnie ciekawi, czy jest coś takiego jak quota na dowolny katalog.

 

Gdybym się jednak zdecydował na virtualizację, bo właściwie dla mnie trzymanie serwera jako jeden plik to genialne rozwiązanie = zmieniam desktop, a serwer ten sam.

Ale mam taką zagłostkę. Od dawna używam VirtualBox i zastanawia mnie co zyskam/stracę jak użyję KVM/XEN (wolę rozwiązania z repo). Właściwie nie do końca rozumiem (właściwie w ogóle) czym jest KVM a czym XEN i co jest dla mnie leprze. Czy ktoś może mi naświetlić tę kwestię? Bo wydaje mi się że XEN to coś lżejszego dobre na farmy VPS, a KVM to taki mój VirtualBox tylko że od społeczności.

Naprawdę mam :lammer:

ale mam toturiale dla ciekawskich:

http://www.howtoforge.com/kvm-virtualizati...edora-10-server

http://www.howtoforge.com/virtualization-w...ntos-5.2-server

 

zwalszcza, ze to maszynka na ktorej za tydzien zreinstalujesz system albo ja wylaczysz :/

Oj mam F10 od wersji RC i to chyba moja pierwsza fedorka, której nie sknociłem, a Leonidasa wrzucę sobie może na jesieni. Wyłączanie oczywiście, toż to desktop, ale czasem jednak pochodzi dłużej bez opieki. Nie wiem, może sieję panikę, ale nigdy wcześniej nie miałem serwera (a przynajmniej nie dostępnego publicznie) to się pytam

póki WalDo mnie na Oślą łączkę nie przeklei

 

[EDIT]

Jednak KVM

http://fedoraproject.org/wiki/Tools/Virtualization

http://fedoraproject.org/wiki/Getting_star..._virtualization

cholera, czemu ja zawsze dokumentację Fedory czytam na końcu

[ysio]

Nadal mnie ciekawi, czy jest coś takiego jak quota na dowolny katalog.

czemu by to miało służyć?

 

Właściwie nie do końca rozumiem (właściwie w ogóle) czym jest KVM a czym XEN i co jest dla mnie leprze.

lepsze zależy do czego:

KVM - http://pl.wikipedia.org/wiki/Kernel-based_Virtual_Machine

XEN - http://pl.wikipedia.org/wiki/Xen

 

wydaje mi się że XEN to coś lżejszego dobre na farmy VPS

nie rozumiem farma wirtualnych prywatnych serwerów? A po co takie cudo?

 

mam F10 od wersji RC i to chyba moja pierwsza fedorka, której nie sknociłem

nie mów tego głośno ekspercie

 

może sieję panikę, ale nigdy wcześniej nie miałem serwera

oOo nareszcie załapałeś

 

puki WalDo mnie na Oślą łączkę nie przeklei

ja bym Cię już za to 'przekleił', przynajmniej dopóki nie nauczysz się korzystać ze słownika ortograficznego

[borzole]

Nie "ekspert" tylko "gaduła" to nie ja reguły na forum ustalałem, a jak jej nie wysypałem od listopada to chyba "ekspert" słusznie ;P

 

Przez quota rozumiem ustalenie jakiej wielkość nie może przekroczyć katalog. Po to się robi m.in. osobny /var żeby nie można było rozepchać go i zapchać serwer (?)

 

Ortografię znam, sprawdzałem Waszą czujność ;P

 

[EDIT]

KVM będzie leprze, bo mam w procku co potrzeba i to daje mi "Xen fully virtualized are slower than KVM fully virtualized guests. ", bo na XEN tylko linuksa odpalę, bo Fedora stawia na rozwój KVM

żródło: mój poprzedni post