← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #21027

Re: automatisk installation / Image system

  Thread PreviousDate PreviousThread Next 

Hej Christoffer,

så vidt jeg kunne se, krævede cfengine at man installerer en klient på
host-maskinerne ? Sagen er imidlertidig den, at
jeg havde i sinde at benytte dette/disse værktøjer på en bunke af webservere og
Database servere.. Og da tanken var at hvis jeg vha. f.ex. Tripwire fandt ud af
at et eller andet root-kit var blevet installeret - så havde jeg mit maskine-cvs
system - så jeg bare kunne rulle den tilbage til inden hackeren kom ind, og
lukke det hul han brugte og opdatere de andre vha. maskine-cvs systemet. Pointen
er (endelig :-) at hvis der ligger en cfengine daemon og kører på maskinen så
vil hackeren måske opdage dette, og bare for sjovs skyld (nu han er igang) prøve
at ligge den ned ?
helst ville jeg have at den var så usynlig som muligt (altså maskine-cvs
maskinen :-). Dette er såvidt jeg kunne se muligt med det HostFactory (inkl.
WVfs) jeg fandt..

Jeg tænkte at nu du har erfaringer med cfengine - så kunne du måske nemt
evaluere ideen i deres HostFactory og sige om den ser ud til at være noget værd
?

Er der nogen der har lavet en linux-bootdisk som f.ex. henter et dump-via
netværket ? (altså til image installation?)

p.s. Jeg tror det møde du snakkede om, kunne være en god ide.. jeg er ikke lige
tilmeldt sslug-moede.. så jeg ved ikke hvad i har talt om.. men jeg ville da
gerne deltage.

/Klavs

Christoffer Hall-Frederiksen <hall@xxxxxxx> on 31-03-2000 18:17:05
Please respond to sslug-teknik@xxxxxxxx



To:  sslug-teknik@xxxxxxxx
cc:  (bcc: klavs Klavsen/Berlingske-Online)

Subject:  Re: [TEKNIK] automatisk installation / Image system




On Fri, Mar 31, 2000 at 04:35:14PM +0100, Klavs Klavsen wrote:
> såvidt jeg kan se, så kan kickstart ikke installere et image.. den kan tage en
> liste af pakker og installere dem...

Jeps.

> Nu er det imidlertidigt sådan at jeg gerne ville have en "sikker" standard
> installation - uden alle
> de standard sikkerheds huller (i form af manglende restriktioner på filer,
> inetd.conf etc.) som Redhat

[snip]

Tja, du har ret mht. at den installerer pakker. Men du har et par
muligheder her. Hver gang der kommer en security-update kan du
erstatte den originale pakke i distributionen med den nye. Det lukker
de fleste af de problemer der er. Men ... for at kunne administrere
systemet nemt skal du alligevel have et opgraderingssystem til
pakkerne, så du kan du jo placere updates et passende sted og soerge
for at maskinen checker disse når den kommer op (og ud over det hver
nat eller hver time - alt efter hvor paranoid du er ;).

Ud over det kommer der så rettelserne i f.eks. inetd osv. Henv. til
nedenstående ;)

> Måske med cfengine.. jeg skal lige kigge på det.. jeg skal nemlig bruge et
> værktøj som laver en exact kopi af filer.. inkl. fil-rettigheder.. så jeg kan
> bruge et program som Tripwire og lave  en check af filer.. og de 2 maskiner
bør
> så være ens.

Der ligger en tripwire i cfengine!

Problemet med eksakte kopier er at efter et stykke tid bliver det
forba*nd*t besværligt at admistrere. Hvis der kommer en periode hvor
der jævnligt skal opdateres noget på maskinerne skal du enten

1) Lave et nyt image _HVER_ gang (eller med passende mellemrum) og
   geninstallere alle maskinerne (evt. blot rdist'e dine rettelser).

2) Have et system der løbende kan lave opdateringer af pakker og
   konfigurationsfiler (evt. filrettigheder til hotfixes). Hvis du
   alligevel skal have et system til at distribuere opdateringer ud og
   vedlige holde konfigurationsfiler, så kan du med fordel lave et
   sådan system og så også basere den initielle installation på
   det. Jeg mener, du skal alligevel have det .... ikke?

Med oversående for øje, kan du med fordel benytte cfengine.  Det med
filrettigheder og vedligeholdelse af konfigurationsfiler(plus en masse
andre administrative opgaver, hvis man vil det alså) klarer cfengine
meget nydeligt for dig. Fordelen ved at benytte cfengine til at
vedligeholde dine konfigurationfiler og oversigten over hvilke
rettigheder dine filer har er følgende:

1) Det hele er samlet et sted (hvor der kan tages backup ;)

2) Du glemmer ikke nogen rettelser i forhold til den originale
   distribution, da de alle dine modifikationerne ligger samlet (dine
   cfengine konfiguraionsfiler). Det gør det _MEGET_ nemmere den dag
   du beslutter sig for at opgradere til en ny udgave af
   operativsystmet.

3) Du har et centralt sted hvor ændringer af systemerne foretages. Man
   "glemmer" ikke lige noget på en af maskinerne.


PS: Jeg sidder selv med en masse UNI*X-kasser der er installeret via
    dump-restore (den klassiske måde at bygge eksakte kopier på -
    typisk brugt til backup) og det er bestemt ikke fedt på nogen som
    helst måde ;( Der er ingen af os der 100% huske hvilke rettelser
    der er lavet til hhv. solaris, hpux og operativsystemet tidligere
    kendt under navnet digital unix. Det er en af grunden til at vi
    bestemt ikke vil opgradere f.eks. vores HP'ere.

PPS:  Hvis du læser denne pps er du enten meget tålmodig eller også
      har du for meget fritid ;)

--
 Christoffer

Follow ups

  Thread PreviousDate PreviousThread Next