sslug-teknik team mailing list archive

[Christoffer Hall-Frederiksen <hall@xxxxxxx>]

On Fri, Mar 31, 2000 at 04:35:14PM +0100, Klavs Klavsen wrote:
> såvidt jeg kan se, så kan kickstart ikke installere et image.. den kan tage en
> liste af pakker og installere dem...

Jeps.

> Nu er det imidlertidigt sådan at jeg gerne ville have en "sikker" standard
> installation - uden alle
> de standard sikkerheds huller (i form af manglende restriktioner på filer,
> inetd.conf etc.) som Redhat

[snip] 

Tja, du har ret mht. at den installerer pakker. Men du har et par
muligheder her. Hver gang der kommer en security-update kan du
erstatte den originale pakke i distributionen med den nye. Det lukker
de fleste af de problemer der er. Men ... for at kunne administrere
systemet nemt skal du alligevel have et opgraderingssystem til
pakkerne, så du kan du jo placere updates et passende sted og soerge
for at maskinen checker disse når den kommer op (og ud over det hver
nat eller hver time - alt efter hvor paranoid du er ;).

Ud over det kommer der så rettelserne i f.eks. inetd osv. Henv. til
nedenstående ;)

> Måske med cfengine.. jeg skal lige kigge på det.. jeg skal nemlig bruge et
> værktøj som laver en exact kopi af filer.. inkl. fil-rettigheder.. så jeg kan
> bruge et program som Tripwire og lave  en check af filer.. og de 2 maskiner bør
> så være ens.

Der ligger en tripwire i cfengine!

Problemet med eksakte kopier er at efter et stykke tid bliver det
forba*nd*t besværligt at admistrere. Hvis der kommer en periode hvor
der jævnligt skal opdateres noget på maskinerne skal du enten

1) Lave et nyt image _HVER_ gang (eller med passende mellemrum) og
   geninstallere alle maskinerne (evt. blot rdist'e dine rettelser).

2) Have et system der løbende kan lave opdateringer af pakker og
   konfigurationsfiler (evt. filrettigheder til hotfixes). Hvis du
   alligevel skal have et system til at distribuere opdateringer ud og
   vedlige holde konfigurationsfiler, så kan du med fordel lave et
   sådan system og så også basere den initielle installation på
   det. Jeg mener, du skal alligevel have det .... ikke? 

Med oversående for øje, kan du med fordel benytte cfengine.  Det med
filrettigheder og vedligeholdelse af konfigurationsfiler(plus en masse
andre administrative opgaver, hvis man vil det alså) klarer cfengine
meget nydeligt for dig. Fordelen ved at benytte cfengine til at
vedligeholde dine konfigurationfiler og oversigten over hvilke
rettigheder dine filer har er følgende:

1) Det hele er samlet et sted (hvor der kan tages backup ;)

2) Du glemmer ikke nogen rettelser i forhold til den originale
   distribution, da de alle dine modifikationerne ligger samlet (dine
   cfengine konfiguraionsfiler). Det gør det _MEGET_ nemmere den dag
   du beslutter sig for at opgradere til en ny udgave af
   operativsystmet.

3) Du har et centralt sted hvor ændringer af systemerne foretages. Man
   "glemmer" ikke lige noget på en af maskinerne.


PS: Jeg sidder selv med en masse UNI*X-kasser der er installeret via
    dump-restore (den klassiske måde at bygge eksakte kopier på -
    typisk brugt til backup) og det er bestemt ikke fedt på nogen som
    helst måde ;( Der er ingen af os der 100% huske hvilke rettelser
    der er lavet til hhv. solaris, hpux og operativsystemet tidligere
    kendt under navnet digital unix. Det er en af grunden til at vi
    bestemt ikke vil opgradere f.eks. vores HP'ere.

PPS:  Hvis du læser denne pps er du enten meget tålmodig eller også
      har du for meget fritid ;)

--  
	Christoffer