On Tue, 2001-11-20 at 02:36, Mihai RUSU wrote: > > 8. care este cea mai nazista configuratie care ati facut-o / gandit-o > pentru un linux ? (openwall, lids, restrictive shell, login chroot, no > suid progs ... etc...)
O chestie foarte nazista este sa rulezi OS-ul de pe un mediu care este d.p.d.v. fizic read-only, cum ar fi un CD. Practic, iei la rind toate directoarele si decizi care este r/o si care este r/w. Alea r/o le arzi intr-un CD. Alelalte stau normal pe un HDD. Practic, in felul asta faci separare clara intre date si sistem. Sistemul e r/o, si asa ramine. Datele sint r/w. Pentru a le proteja, aplici in continuare toate metodele obisnuite (OTP, shell-uri restrictive, etc.). Trebuie sa-ti faci un generator automat de ISO-uri: ii dai pachetele, tarball-urile sau ce ii dai tu, si el face tot pina la distro.iso. Altfel o sa ai zile amare cu update-urile de securitate. O problema ar fi cu chestiile care trebuie modificate din cind in cind, dar ar fi bine sa fie r/o. :-) Spre exemplu, /etc/passwd Pentru astea se poate face o solutie de compromis, cu un mediu care poate fi comutat fizic din r/o in r/w si inapoi. Ceva gen discheta, Jazz, etc. Bine, ca sint multe probleme care apar daca vrei sa demontezi directorul respectiv ca sa-l comuti. Dar n-am zis ca e simplu. :-) Evident, va trebui sa folosesti o distributie care se preteaza la asa ceva. Parca exista distributii gata facute care ruleaza din CD. Sau pui o distributie clasica, dar orientata spre simplitate. Red Hat, SuSE, TurboLinux si altele "enterprise-oriented" clar nu sint potrivite aici. Ar merge un Slackware din cite imi dau eu seama. Sau iti faci singur distributia. :-P Oricum, e mult de sapat... -- Florin Andrei Ray's law of failsafe environments: "You cannot always rely on your backup servers. Especially when they are not configured to be used at all." --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
