Blandade säkerhetsfunderingar

Satt större delen av gårdagen och fipplade med GRSEC i allmänhet och RBAC’en i synnerhet på servern. Den automatgenererade policyn verkade funka fint utan några större ingrepp så jag körde igång systemet. Testade om jag kunde logga in via SSH, vilket jag kunde.

Det var dock det enda jag kunde göra från fjärrhåll, varken SFTP, rsync eller Samba funkade. Det intressanta var att rsync inte funkade åt något håll, så mitt backup-script blev obrukbart (verkar som att jag missade att den användaren skulle ha nätacess eller nåt).

Hursomhelst så satte jag systemet i inlärningsläge igen, och ikväll tänkte jag kika i konfigfilen och fippla med den tills det funkar som jag vill.

En annan sak jag gjorde igår var att installera Aide på nyss nämnda server och härjade med att få databasen och konfigen skrivskyddad, nu ligger båda på ett skrivskyddat usb-minne. Dock så kom jag på i duschen idag att egentligen är det ganska meningslöst att skapa databasen innan Grsec-rbac är i full drift eftersom denna döljer vissa filer och kataloger vilket kommer få den databasen jag kör nu att vara felaktig. Om jag då inte luskar hur man skapar en ”användare” som kan se och läsa allt som Aide kan köras under.
Förresten vore nog det rätt bra eftersom jag då kan gömma Aide’s konfigurationsfil och databas.

Säkerhet är inte lätt…

När jag ändå är inne på spåret så funderade jag över varför man inte kör virtuella maskiner eller union-fs på tillexempel skolor och bibliotek. För hur bra skriven policy man än har så är det alltid så att någon skiter i den, och förr eller senare så fylls de publika datorerna med skräp av ett eller annat slag.

Om man då kör med t.ex. Union-fs så kan hela filsystemet, utom användarens hemkatalog, vara virtuellt och när användaren loggar ut så återställs systemet till original-inställningarna. Visst finns det problem med detta system, men det kan ändå vara en del av en lösning.

Virtuella maskiner å sin sida kan köras som vanligt, men då man startar om dem så återställs systemet till originalskicket, denna lösningen är antagligen enklare att genomföra och enklare att administrera.

Något att fundera över.

(Intressant)

Annonser

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s


%d bloggare gillar detta: