SVN: PLD-doc/book: pl_book__administracja/pl_administracja.chp pl_book__administracja/pl_administrac...

[qwiat]

Author: qwiat
Date: Sun Dec 23 03:14:34 2007
New Revision: 9157

Added:
   PLD-doc/book/pl_book__administracja/pl_administracja__bezpieczenstwo.sec
Modified:
   PLD-doc/book/pl_book__administracja/pl_administracja.chp
   PLD-doc/book/pl_book__master.docb
Log:
- new chapter


Modified: PLD-doc/book/pl_book__administracja/pl_administracja.chp
==============================================================================
--- PLD-doc/book/pl_book__administracja/pl_administracja.chp	(original)
+++ PLD-doc/book/pl_book__administracja/pl_administracja.chp	Sun Dec 23 03:14:34 2007
@@ -8,4 +8,5 @@
 &administracja_konta;
 &administracja_grupy;
 &administracja_grupy_uprawnienia;
+&administracja_bezpieczenstwo;
 </chapter>

Added: PLD-doc/book/pl_book__administracja/pl_administracja__bezpieczenstwo.sec
==============================================================================
--- (empty file)
+++ PLD-doc/book/pl_book__administracja/pl_administracja__bezpieczenstwo.sec	Sun Dec 23 03:14:34 2007
@@ -0,0 +1,90 @@
+<?xml version="1.0" encoding="iso-8859-2"?>
+<section id="administracja_bezpieczenstwo">
+	<title>Bezpieczenstwo</title>
+	<para>
+		Bezpieczeństwo systemów i danych to rozległy temat
+		dlatego głównie skupimy się na aspektach
+		dotyczących PLD.
+	</para>
+	<section id="administracja_bezpieczenstwo_narzedzia">
+		<title>Dostępne narzędzia</title>
+		<para>
+			PLD jako dystrybucja "robiona przez administratorów dla administratorów"
+			ma duże zasoby programów użytecznych w zakresie 	
+			bezpieczeństwa, poczynając od <productname>NetCata</productname> (nc), 				a na <productname>wiresharku</productname> i
+			 <productname>nessusie</productname> kończąc.
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_root">
+		<title>Dostęp do konta root</title>
+		<para>
+			Nasza polityka bezpieczeństwa wymaga, aby użytkownik należał
+			do grupy wheel, jeśli chce zwiększyć swoje uprawnienia za
+			pomocą su i sudo. W ten sposób atakujący musi zgadnąć trzy
+			parametry zamiast jednego (nazwa użytkownika, hasło i hasło
+			administratora zamiast samego hasła administratora).
+
+			Nie ma też możliwości zdalnego zalogowania się bezpośrednio na
+			konto roota (z tych samych powodów). Dodatkowo root nie może
+			zdalnie używać innych usług (ftp, imap, pop3, smtp) m.in z powodu
+			niedostatecznie silnego szyfrowania transmisji. 
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_suid">
+		<title>SUID</title>
+		<para>
+			Domyślnie zwykli użytkownicy nie mają prawa wykonania
+			programów z ustawionym bitem SUID. Aby takie prawo uzyskać
+			muszą być zapisani do odpowiedniej grupy. Przykładowo program
+			<command>ping</command> wymaga zapisania do grupy <literal>adm</literal>. Poglądowe
+			zestawienie grup zamieściliśmy w <xref linkend="administracja_grupy_uprawnienia" />.
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_proc">
+		<title>/proc</title>
+		<para>
+			Domyślnie użytkownicy nie widzą żadnych procesów poza swoimi.
+			Jest to nie tylko krok w stronę bezpieczeństwa, ale i w
+			wygody, użytkownik nie głowi się nad długimi listami procesów 		
+			generowanych przez program <command>top</command> czy
+			<command>ps</command>.
+			Podobnie jak z programami z bitem SUID jest to oparte o grupy,
+			aby użytkownik widział wszystkie procesy należy go zapisać do
+			grupy <filename>/proc</filename>.			
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_chroot_vserver">
+		<title>chroot i vserver</title>
+		<para>
+			PLD oferuje system sys-chroot, wbudowany w rc-skrypty,
+			służący do wygodnego zarządzania środowiskami typu chroot.
+			Usługi, które wspierają natywnie chrooty (np.
+			<productname>Bind</productname>)
+			działają w izolowanym środowisku od razu po instalacji.
+		</para>
+		<para>
+			PLD wspiera także mechanizm
+			<ulink url="http://pld-linux.org/Vserver">Linux VServers</ulink>, 
+			zwany potocznie "chrootem na sterydach". Wymaga on zainstalowania
+			odpowiedniej wersji kernela i odpowiedniego zestawu narzędzi.
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_static_vim">
+		<title>Statyczny VIM</title>
+		<para>
+			Najważniejszym narzędziem administracyjnym jest edytor tekstu,
+			dlatego nie powinniśmy pozostać bez takiego programu, co może
+			mieć miejsce np. przy uszkodzeniu systemu plików. Tu z pomocą 	
+			przychodzi nam statycznie zlinkowany VIM z pakietu vim-static.
+			Aby nie kolidował ze "zwykłym" vimem, plik wykonywalny jest
+			umieszczany w <filename>/bin/vim</filename>. 
+		</para>
+	</section>
+	<section id="administracja_bezpieczenstwo_pakiety">
+		<title>Pakiety</title>
+		<para>
+			Zagadnienia związane z bezpieczeństwem zostały
+			omówione w <xref linkend="pakiety_bezpieczenstwo" />.
+		</para>
+	</section>
+</section>

Modified: PLD-doc/book/pl_book__master.docb
==============================================================================
--- PLD-doc/book/pl_book__master.docb	(original)
+++ PLD-doc/book/pl_book__master.docb	Sun Dec 23 03:14:34 2007
@@ -76,6 +76,7 @@
 <!ENTITY administracja_konta SYSTEM "pl_book__administracja/pl_administracja__konta.sec">
 <!ENTITY administracja_grupy SYSTEM "pl_book__administracja/pl_administracja__grupy.sec">
 <!ENTITY administracja_grupy_uprawnienia SYSTEM "pl_book__administracja/pl_administracja__grupy_uprawnienia.sec">
+<!ENTITY administracja_bezpieczenstwo SYSTEM "pl_book__administracja/pl_administracja__bezpieczenstwo.sec">
 <!ENTITY siec_interfejsy SYSTEM "pl_book__siec/pl_siec_inerfejsy.chp">
 <!ENTITY siec_zastsowania SYSTEM "pl_book__siec/pl_siec_zastosowania.chp">
 <!ENTITY siec_basic SYSTEM "pl_book__siec/pl_siec__basic.sec">