Re: Linux capabilities si o no ???
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Roberto Leon Lopez wrote:
> El mar, 18-04-2006 a las 16:04 -0300, Ricardo Frydman Eureka! escribió:
>
> Roberto Leon Lopez wrote:
>
>>Para el caso de un servidor. Estoy leyendo unos manuales sobre lcap y
>>veo el listado completo de las capabilities.
>
>>En este caso de un servidor que pasa un monton de meses sin reiniciarse
>>y el administrador a lo largo de su vida trabaja a muchos km y no se
>>puede permitir reinicios salvo por actualizacion del kernel, etc... que
>>capabilities me recomendarian que usaran???
>
>>Porque hay determinadas capabilities que mas que hacernos bien nos puede
>>joder en el futuro de cara a un mantenimiento y verte obligado a
>>reiniciar el servidor.
>
>>Hasta ahora las capabilities 16 y 17.
>
>>Un saludo.
>
>
>
> Concretamente...que necesitas/deseas usar de las "capabilities"?
>
>
> --
> Ricardo A.Frydman
> Consultor en Tecnología Open Source - Administrador de Sistemas
> jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar
> SIP # 1-747-667-9534
> En realidad quiero buscar un procedimiento a seguir para poder asegurar
> cualquier servidor, imaginate:
"Asegurar un servidor" es un tema bastante amplio y nunca depende de un
solo factor.
Mas bien la seguridad que puedes brindarle depende del conjunto de
medidas que tomes para que eso suceda en el grado mas alto posible.
> - Compilar el kernel o no.
Esto no tiene que ver con la seguridad directamente.
Te doy 2 ejemplos para que te quede claro:
- - Compilas tu propio kernel a mano....pero usas un kernel 2.2.20 sin
parchar.
- - Usas un kernel precompilado, por ejemplo el ultimo de la serie 2.6 de
debian.
En este caso, estas mas asegurado con uno precompliado. Pero esto no es
regla general.
Si , al reves, usas un 2.2.20 precompilado de debian antiguo no estaras
menos vulnerable que si usas un 2.4.12 compilado por ti.
En definitiva: compilado por ti o precompilado, todo depende que tan
actualizado y parchado esté este.
> - Usar selinux,grsecurity,rsbac, apparmor?????????? y reducir el
> problema al servicio/s que tengamos instalados.
> - Permisos en determinados ficheros, modificar cualquier aspecto a tener
> en cuenta para asegurar el sistema que no viene integrado con la
> distribucion que use.
Estas 2 ultimas frases son inentendibles para mi lo siento.
> Concretando a las capabilities imaginate que uso 5 --> CAP_KILL
> Le permite matar cualquier proceso.
a quien?
> y que dentro de dos meses joderrrr
> necesito realmente matar un proceso y estas a 300 km como es mi caso, no
> puedo hacer un viaje asi como asi cuesta mucha pela la gasolina,,,,
> ¿reinicias el servidor?''
Esta pregunta concreta , suponiendo que entiendo lo que planteas te la
contestaria asi:
Yo no usaria esa capability y buscaria la mejor manera que conozco para
que nadie pueda usar procesos que no deseo que usen.
De todas maneras, reiniciar un servidor nunca es garantia de nada, y,
ademas, puedes hacerlo a 15millones de años luz si tienes conexion y
privilegios de acceso, sin gastar un solo penique en gasolina ;)
Te recomiendo acotar mas tu busqueda, o al menos plantear casos mas
concretos.
Muchisima gente alrededor del mundo tiene sus servidores muy lejos
fisicamente y no requiere de las capabilities para tenerlos lo mas
seguro que el conocimiento disponible les permite.
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFERkAjkw12RhFuGy4RAqFnAJ9T5zEeE7WaAxpgzG3tjsExZ/3rKQCfV1lZ
sPvIN/8j5gY8bU2U8w1atwc=
=UmiE
-----END PGP SIGNATURE-----
Reply to: