[LUGOS] namestitev streznika
Igor Kolar
Igor.Kolar at s-gms.ms.edus.si
Wed Nov 6 14:40:08 CET 2002
Hi .
> > Bi bilo bolje namestiti Slackware ali kaksno drugo distribucijo?
>>
Jaz ne vidim posebno velike razlike med temi distroji, raje bi vrgel svojo
energijo v ustrezno konfiguracijo sistema, zavarovanje pred vdori in tudi
mislenje, kako naj lopovu otezim zivot, ce je ze not.
Smiselno je zato najprej particionirati disk(e) in namestiti /var in /home
pod svojo particijo, v fstab dati parameter "noexec" in urediti kvote.
/usr tudi sodi na svojo particijo, s tem da jem ga jaz mountal "ro", in
šele ob kakem upgrade-u začasno odstanim ta flag. /boot je lahko na isti
particiji kot /, ni blema. Razmisli še o ext2/ext3 ali reiserju, mogoče
tudi RAID-u.
Odlična distribucija za tiste, ki imajo čas, je LFS (linux from scratch,
http://www.tldp.org/LDP/lfs/html/index.html). Vse najnujnejše utile si
prevedeš sam, tako da veš, da je sistem res to. Po uspešnem boot-u narediš
custom kernel, in ko je to končano, narediš snapshot celotnega sistema na
CD-R za backup. Vse skupaj po načelu, da namestiš _EDINO_ tisto, kar res
rabiš. Vse dodatno programje je potencialen vdor.
Po mojem mnenju nimajo X-i na strežniku kaj iskati, no mogoče SVGA server
in fmwm.
Za kernel je smislelno, da je čim manjši (glej zgoraj) in monoliten, to je
brez podpore za LKM. Hekerji po uspešnem vdoru namreč zelo radi naloadajo
lastne module in se na ta način skrivajo. Ustavi tudi ustrezne limite
procesov in zretje rama, da ne bos ostal brez resursov.
Za tripwire oz. podobni sistem boz ze znal poskrbeti, jaz pa priporočam še
redno backupiranje podatkov, redno spremljanje sec. advisorijev na
securityfocus.com za vse odprte porte (openssh, web, proxy, etc.) ter vsaj
na vsako leto ponovno čisto namestitev.
Npr :)
-i
More information about the lugos-list
mailing list