"Alex" == Alex Holst <a@mongers.org> writes:
> Anders Wegge Jakobsen wrote:
>> Vigtige data:
>> - Passwordløs RSA-nøgle til automatisk backup
> Hvor til/fra? Du kan benytte command= og from= i authorized_keys til
> at begraense hvorfra og hvad skade man kan udrette hvis man skulle
> faa fat i den noegle.
Fra min maskine til en af mine venners. Jeg benytter allerede
validering med command=, men jeg havde ikke tænkt over yderligere
restriktioner med from. Jeg kan bare ikke få det stads til at virke,
for uanset hvad jeg putter i from="...", bliver jeg afkrævet et
password. Der skal vist kloges lidt i mansiden til sshd.
>> Alt sammen residerende på min linuxmaskine som jeg stik imod alle
>> anbefalinger bruger som http/ftp/dns server, samtidig med at den er
>> min personlige maskine.
> Er det noget du kan/vil aendre paa? Du kan outsource driften af DNS
> til f.eks. gratisdns.dk og koebe et billigt webhotel ude i
Jeg ville gerne have en seperat maskine stående som server, men
som nyskilt er økonomien er ikke helt til det. Jeg bruger allerede
gratisdns, men det interface der er der tillader desværre ikke
tilføjelse af arbitrære TXT records (eller gjorde ikke sidst jeg
checkede), så jeg er endt med et hidden primary setup.
> byen. Mange af dem giver mulighed for at uploade data via ftp som
> ikke noedvendigvis placeres i roden af et webdir. Handy metode til
> backup af mindre klumper af data. Du kan evt. kryptere dem foerst og
> opbevare krypteringsnoeglen derhjemme.
Jeg har som sagt al den plads jeg har brug for til remote backup, så
det er heldigvis ikke det der er problemet.
> Selv en anstaendig udbyder som f.eks. pil.dk tager kun smaapenge for
> et webhotel, deres selfcare er laekker og den metode de benytter til
> at patche alle deres maskiner paa faa sekunder er implementeret
> efter en af mine ideer. (Jeg har ingen oekonomiske interesser hos
> pil).
Det ville helt klart være nummer et, men hvis jeg havde de 300,- om
måneden som pil.dk skal have, ville jeg hurtigt kunne anskaffe mig en
maskine mere.
> Selv i situationer hvor der er data som du gerne vil beholde paa din
> maskine og tilbyde adgang til via ftp/http kan du filtre saa kun
> godkendte IP addresser eller ranges kan tilgaa disse services.
Ok.
>> Apache kører med en upriviligeret konto, og bind er chrooted(), men
>> ellers har jeg ikke gjort andet end at holde mig ajour med de
>> sikkerhedsrettelser der kommer til Fedora.
>> Spørgsmålet er nu blot hvad jeg kan stille op, hvis jeg gerne vil
>> ende med følgende "sikkerhed":
> Jeg ville helt klart definere reglen "ingen unoedvendige services"
> og derefter soege at goere saa mange af ovenstaaende services
> unoedvendige (eller svaert tilgaengelige) paa din lokale maskine som
> beskrevet i afsnittet med webhotel.
Det lyder fornuftigt. Det må så som udgangspunkt gå ud på at begrænse
adgangen til min DNS til kun at omfatte maskinerne hos gratisdns.
>> For så vidt muligt undgå at kompromittere mine homebank og OCES
>> adgang, og som minimum finde ud af det med det samme de *er*
>> kompromitterede. Og derudover undgå bøvlet med at lave en
>> reinstallation med tilhørende konfiguration.
> Det behoever ikke vaere boevlet. Jeg kender ikke Fedora, men antager
> at den har support for en slags unattended install, saa du relativt
> let kan genetablere maskinen praecist som den saa ud.
Det kan den, men eftersom rpm ikke er det mest geniale format, ender
man med risikoen for linux-udgaven af Windows' dll hell. Men ellers
har du ret. Med en fungerende backup af /etc og dele af /var, samt en
liste over de installerede rpm'er, er det ikke så slemt.
>> Det eneste jeg kan komme på er at sikre de kritiske filer på en
>> USB-dims, men hvordan sikrer jeg mig så imod en keyboardlogger
>> og/eller en resident process der bare venter på at jeg mounter
>> dimsen?
> Du kan kigge paa en smart card loesning, hvis du vil, men jeg ville
> bruge energien paa at goere det meget usandsynligt at din
> arbejdsmaskine kunne rammes over netvaerket.
> Arbejdet med at koere integrity checkers virker i dette tilfaelde mere
> omfattende end at reducere angrebsfladen.
> Hvad goer du for at forhindre din email klient, browser og
> softwarepakkerne du installerer paa maskinen bliver den letteste
> indbrudsmetode?
Ikke specielt meget. Jeg bruger en tekstbaseret MUA/NUA, og jeg har
aldrig hørt om sikkerhedsproblemer i Gnus. Min browser bliver løbende
opdateret, når der kommer et sikkerheds-release. Desuden får den ikke
lov til at køre java medmindre det virkeligt er nødvendigt. Softwaren
er nok et ømt punkt. Har regner jeg implicit med at hvis pakken er
downloadet det rigtige sted fra, og den er signeret med den rigtige
PGP nøgle, er den uskadelig. Så hvis der er nogen der kompromitterer
Redhat, er jeg nok på spanden.
--
/Wegge <
http://wiki.wegge.dk>
echo mail: !#^."<>"|tr "<> mail:" dk@wegge
mailto:awegge@gmail.com - Invitationer på FCFS basis