SVN: PLD-doc/book: pl_book__administracja/pl_administracja.chp pl_book__administracja/pl_administrac...

[qwiat]

Author: qwiat
Date: Sun Dec 23 03:14:34 2007
New Revision: 9157

Added:
   PLD-doc/book/pl_book__administracja/pl_administracja__bezpieczenstwo.sec
Modified:
   PLD-doc/book/pl_book__administracja/pl_administracja.chp
   PLD-doc/book/pl_book__master.docb
Log:
- new chapter


Modified: PLD-doc/book/pl_book__administracja/pl_administracja.chp
==============================================================================
--- PLD-doc/book/pl_book__administracja/pl_administracja.chp	(original)
+++ PLD-doc/book/pl_book__administracja/pl_administracja.chp	Sun Dec 23 03:14:34 2007
@@ -8,4 +8,5 @@
 &administracja_konta;
 &administracja_grupy;
 &administracja_grupy_uprawnienia;
+&administracja_bezpieczenstwo;
 </chapter>

Added: PLD-doc/book/pl_book__administracja/pl_administracja__bezpieczenstwo.sec
==============================================================================
--- (empty file)
+++ PLD-doc/book/pl_book__administracja/pl_administracja__bezpieczenstwo.sec	Sun Dec 23 03:14:34 2007
@@ -0,0 +1,90 @@
+<?xml version="1.0" encoding="iso-8859-2"?>
+<section id="administracja_bezpieczenstwo">
+	<title>Bezpieczenstwo</title>
+	<para>
+		Bezpieczeñstwo systemów i danych to rozleg³y temat
+		dlatego g³ównie skupimy siê na aspektach
+		dotycz±cych PLD.
+	</para>
+	<section id="administracja_bezpieczenstwo_narzedzia">
+		<title>Dostêpne narzêdzia</title>
+		<para>
+			PLD jako dystrybucja "robiona przez administratorów dla administratorów"
+			ma du¿e zasoby programów u¿ytecznych w zakresie 	
+			bezpieczeñstwa, poczynaj±c od <productname>NetCata</productname> (nc), 				a na <productname>wiresharku</productname> i
+			 <productname>nessusie</productname> koñcz±c.
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_root">
+		<title>Dostêp do konta root</title>
+		<para>
+			Nasza polityka bezpieczeñstwa wymaga, aby u¿ytkownik nale¿a³
+			do grupy wheel, je¶li chce zwiêkszyæ swoje uprawnienia za
+			pomoc± su i sudo. W ten sposób atakuj±cy musi zgadn±æ trzy
+			parametry zamiast jednego (nazwa u¿ytkownika, has³o i has³o
+			administratora zamiast samego has³a administratora).
+
+			Nie ma te¿ mo¿liwo¶ci zdalnego zalogowania siê bezpo¶rednio na
+			konto roota (z tych samych powodów). Dodatkowo root nie mo¿e
+			zdalnie u¿ywaæ innych us³ug (ftp, imap, pop3, smtp) m.in z powodu
+			niedostatecznie silnego szyfrowania transmisji. 
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_suid">
+		<title>SUID</title>
+		<para>
+			Domy¶lnie zwykli u¿ytkownicy nie maj± prawa wykonania
+			programów z ustawionym bitem SUID. Aby takie prawo uzyskaæ
+			musz± byæ zapisani do odpowiedniej grupy. Przyk³adowo program
+			<command>ping</command> wymaga zapisania do grupy <literal>adm</literal>. Pogl±dowe
+			zestawienie grup zamie¶cili¶my w <xref linkend="administracja_grupy_uprawnienia" />.
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_proc">
+		<title>/proc</title>
+		<para>
+			Domy¶lnie u¿ytkownicy nie widz± ¿adnych procesów poza swoimi.
+			Jest to nie tylko krok w stronê bezpieczeñstwa, ale i w
+			wygody, u¿ytkownik nie g³owi siê nad d³ugimi listami procesów 		
+			generowanych przez program <command>top</command> czy
+			<command>ps</command>.
+			Podobnie jak z programami z bitem SUID jest to oparte o grupy,
+			aby u¿ytkownik widzia³ wszystkie procesy nale¿y go zapisaæ do
+			grupy <filename>/proc</filename>.			
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_chroot_vserver">
+		<title>chroot i vserver</title>
+		<para>
+			PLD oferuje system sys-chroot, wbudowany w rc-skrypty,
+			s³u¿±cy do wygodnego zarz±dzania ¶rodowiskami typu chroot.
+			Us³ugi, które wspieraj± natywnie chrooty (np.
+			<productname>Bind</productname>)
+			dzia³aj± w izolowanym ¶rodowisku od razu po instalacji.
+		</para>
+		<para>
+			PLD wspiera tak¿e mechanizm
+			<ulink url="http://pld-linux.org/Vserver">Linux VServers</ulink>, 
+			zwany potocznie "chrootem na sterydach". Wymaga on zainstalowania
+			odpowiedniej wersji kernela i odpowiedniego zestawu narzêdzi.
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_static_vim">
+		<title>Statyczny VIM</title>
+		<para>
+			Najwa¿niejszym narzêdziem administracyjnym jest edytor tekstu,
+			dlatego nie powinni¶my pozostaæ bez takiego programu, co mo¿e
+			mieæ miejsce np. przy uszkodzeniu systemu plików. Tu z pomoc± 	
+			przychodzi nam statycznie zlinkowany VIM z pakietu vim-static.
+			Aby nie kolidowa³ ze "zwyk³ym" vimem, plik wykonywalny jest
+			umieszczany w <filename>/bin/vim</filename>. 
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_pakiety">
+		<title>Pakiety</title>
+		<para>
+			Zagadnienia zwi±zane z bezpieczeñstwem zosta³y
+			omówione w <xref linkend="pakiety_bezpieczenstwo" />.
+		</para>
+	</section>
+</section>

Modified: PLD-doc/book/pl_book__master.docb
==============================================================================
--- PLD-doc/book/pl_book__master.docb	(original)
+++ PLD-doc/book/pl_book__master.docb	Sun Dec 23 03:14:34 2007
@@ -76,6 +76,7 @@
 <!ENTITY administracja_konta SYSTEM "pl_book__administracja/pl_administracja__konta.sec">
 <!ENTITY administracja_grupy SYSTEM "pl_book__administracja/pl_administracja__grupy.sec">
 <!ENTITY administracja_grupy_uprawnienia SYSTEM "pl_book__administracja/pl_administracja__grupy_uprawnienia.sec">
+<!ENTITY administracja_bezpieczenstwo SYSTEM "pl_book__administracja/pl_administracja__bezpieczenstwo.sec">
 <!ENTITY siec_interfejsy SYSTEM "pl_book__siec/pl_siec_inerfejsy.chp">
 <!ENTITY siec_zastsowania SYSTEM "pl_book__siec/pl_siec_zastosowania.chp">
 <!ENTITY siec_basic SYSTEM "pl_book__siec/pl_siec__basic.sec">