propozycje
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Czw, 4 Mar 1999, 10:22:02 CET
On Wed, 3 Mar 1999, Ziemek Borowski wrote:
> [środa, 03 marzec 1999], Arkadiusz Miśkiewicz napisał(a):
>
> > 2) są sobie pliczki:
> > /etc/permissions /etc/permissions.paranoid
> > /etc/permissions.easy /etc/permissions.secure
> > /etc/permissions.local
> > które zawierają odpowidnie ustawienia o uprawnieniach na plikach np.
> > /root root.root 711
> > /tmp root.root 1777
> > /tmp/.X11-unix root.root 1777
> > /bin/mount root.root 4755
> > /bin/ping root.root 4755
> > itd...
> > mamy też konfigurację:
> > CHECK_PERMISSIONS=USTAWIENIE
> > gdzie USTAWIENIE to albo "no", "set" albo "warn".
> > no - wyłącza sprawdzanie, set - nakazuje skryptowi skorygowanie
> > uprawnien, warn - ostrzeżonko (prawdopodobnie mailem do dr00ta)
> > Mamy też zmienną:
> > PERMISSION_SECURITY="easy local"
> > w której "easy" i "local" to rozszerzenia lokalnych plików konfiguracyjnych
> > z permissions'ami czyli permissions.easy, permissions.local.
>
> A jak to sobie wyobrażasz? (przy założeniach PLD: wszystkie istotne pliki
> i katalogi generowane z RPMów, weryfikacja RPMowa?).
Nie ten pomysł jest raczej do odrzucenia. Zakładając, że mamy poprawne
pakiety wystarczy, że weryfikujemy względem bazy rmpma i co najwyżej
przypadki odstęps powinny być z crona raportowane.
Dla bardziej bojaźliwych można zaoferować tripwire.
Do korekcji perm/uid/gid są też odpowiednie parametry w rpm-ie i wszelkie
dodatki to będzie już redundancja. To, że w SuSe dodali coś takiego wynika
zapewne z niezrozumienia czym jest rpm co zresztą widać jak się przegląda
ich spece.
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl