Security FAQ

Все хорошо, но есть одно пожелание - проверить ссылки на работоспособность. Одну нерабочую уже нашел:
http://www.openna.com/products/books/sol/solus.php

Castle к сожалению уже не существует :(

Замени в этом абзаце ссылку на Adamantix - это живой, развивающийся RSBAC дистрибутив. Точнее RSBAC+PaX :) Дистрибутив Debian based. http://www.adamantix.org/

> Примером такого дистрибутива может служить AltLinux Castle, собранный на основе проекта Linux RSBAC ( http://www.rbac.org/, документация по-русски: http://linux.ru.net/~inger/RSBAC-DOC-ru.html). Такой дистрибутив может служить фундаментом для построения высоко защищенной системы, однако требует некоторого дополнительного времени для настройки. Отметим так же существование ОС МСВС, основанной на дистрибутиве Mandrake Linux и включающей в себя RSBAC.

Теперь по шифрованию. cryptoloop конечно хорошая вещь, но очень часто не применима. Было бы неплохо опписать там еще encfs. У нее положительных моментов много - не требует root, не зависит от версии ядра, свободно можно менять пароль. Недостатки тоже есть - с inode хитро работатет. И некоторые программы глючат если данные на encfs.

P.S. И вообще кому и как лучше писать чтоб faq поправили?

> Технология, которая вам нужна называется VPN (Virtual Private Network). Самым развитым на текущий момент средством для создания VPN является набор протоколов IPSec. Реализация IPSec в linux называется FreeSwan (домашняя страница проекта http://www.freeswan.org/).

FreeSwan переродился. Теперь он Openswan - http://www.openswan.org/

Есть еще strongSwan от автора x509 патча для FreeSwan - http://strongswan.org/

> 4.3. Забыл пароль root! Что делать?

> Загрузиться с компакт-диска с linux, подмонтировать корневой раздел, отредактировать /etc/shadow.

Если дистрибутив с tcb нужно править /etc/tcb/root/swadow.

/etc/shadow будет пустым.

> P.S. И вообще кому и как лучше писать чтоб faq поправили?

Мне. ivlad собака unixgods точка net

> Если дистрибутив с tcb нужно править /etc/tcb/root/swadow.

Да, надо б, конечно, изложить более верный подход - посмотреть в конфигурацию PAM, как производится аутентификация, и затем править соответствующую базу.

> FreeSwan переродился. Теперь он Openswan - http://www.openswan.org/

знаю. исправлю.

Так и не появились вопросы про детектирование NAT (http://www.linux.org.ru/jump-message.jsp?msgid=724383) и о противодействии произволу пользователей с IP-адресами (кажись тоже планировалось, если я ничего не перепутал).

%(

во.

давайте свалите сюда ссылки на треды, которые нужно включить. мне станет стыдно, и я это сделаю.

Про детектирование NAT внес в TODO на выходные. Правда-правда. ;)

ну, например

http://www.linux.org.ru/jump-message.jsp?msgid=682360

http://www.linux.org.ru/jump-message.jsp?msgid=713140

http://www.linux.org.ru/jump-message.jsp?msgid=723602

http://www.linux.org.ru/jump-message.jsp?msgid=724383

http://www.linux.org.ru/jump-message.jsp?msgid=815128

про IP

http://www.linux.org.ru/jump-message.jsp?msgid=694382

http://www.linux.org.ru/jump-message.jsp?msgid=767472

>> Если дистрибутив с tcb нужно править /etc/tcb/root/swadow.

> Да, надо б, конечно, изложить более верный подход - посмотреть в конфигурацию PAM, как производится аутентификация, и затем править соответствующую базу.

Тогда более правильно:

Если команда

grep tcb /etc/pam.d/system-auth

выдает что-то вроде

auth required pam_tcb.so shadow fork prefix=$2a$ count=8 nullok account required pam_tcb.so shadow fork password required pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb session required pam_tcb.s

значит используется tcb и нужно править /etc/tcb/root/swadow

В остальных случаях (не используется tcb или вообще не используется pam) нужно править /etc/shadow

> grep tcb /etc/pam.d/system-auth

Это неверно, поскольку вызов tcb может быть не первым в цепочке авторизации.

>> grep tcb /etc/pam.d/system-auth

> Это неверно, поскольку вызов tcb может быть не первым в цепочке авторизации.

И где используется tcb и он не упоминается в system-auth?

Я себе такой изврат с трудом представляю если честно.

> И где используется tcb и он не упоминается в system-auth?

он используется. но, например, для всех пользователей, кроме root. а root аутентифицируется через pam_unix. тогда можно в цепочке поставить pam_unix с опцией sufficient, а за ним - pam_tcb с required.

гхмм...

Локальная копия статьи в новостную группу доступна тут[1], так же доступна локальная копия logall.c[2].

[1]file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/sendmail-m
ail-copy.txt
[2]file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/logall.c

1 -> http://ivlad.unixgods.net/lor-faq/sendmail-mail-copy.txt
2 -> http://ivlad.unixgods.net/lor-faq/logall.c

> file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/sendmail-m ail-copy.txt

б#$ть! fixed.

> file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/
                                        ^^^^^^^^^^^^^

И эти люди запрещают нам ковыряться в носу...