On Sun, Nov 10, 2002 at 03:22:16PM +0100, Francesco Bochicchio wrote: > On Sun, Nov 10, 2002 at 12:25:55PM +0100, Francesco Paolo Lovergine > wrote: > > > On Sat, Nov 09, 2002 at 07:04:40PM +0100, Roberto Rotta wrote: > > > > > Questi file, ad esempio, li hai nella jail? Anche i device... > > > > > > Io aggiungerei che sarebbe opportuno non copiare le cosine a mano ma > > usare debootstrap per creare un sistema woody di base per ciascun > > utente. E cosi' sei sicuro che funziona tutto. Se poi ti servisse ad > > un certo punto aggiungere una feature ti basterebbe fare un chroot e > > lavorare di apt-get. > > Questa e' una buona idea. Comunque a me serve solo un'account > fittizio, in cui l'utente non deve fare nulla, l'account mi serve solo > per permettere un tunneling via SSH di una porta TCP/IP ( e no, non > posso usare stunnel che mi sembra per questo molto piu' appropriato). > Comunque ho visto sul securing-debian-howto che esiste una patch per > OpenSSH che permette di usare account chrootati. Provero quello, > quando ne avro' l'occasione, oltre ad usare tools tipo makejail per > crearmi la jail. >
Gia' e con le patch di security.d.o come fai? No, guarda l'unico modo per rendere il sistema sicuro e facilmente upgradabile senza problemi e' usare debootstrap. Tra l'altro installa solo la base, per cui l'ingombro h assolutamente ragionevole. Puoi anche attivare automatismi via cron per gli apt-get automatici da security. Inoltre non mi starei a preoccupare per qualche decina di mega occupati se la sicurezza h il tuo obiettivo. In alternativa a questo ci sono delle versioni customizzate di kernel tipo LDS, ad esempio, che consentono un tuning molto piu' fine di tutto. Vedi ad esempio gli shell account di SF. Qualsiasi altro sistema rischia di rappresentare un massacro per metterlo in piedi e aggiornarlo. -- Francesco P. Lovergine
