sslug-teknik team mailing list archive

[Christoffer Hall-Frederiksen <hall@xxxxxxx>]

On Sat, Apr 01, 2000 at 01:24:07PM +0100, klavs Klavsen wrote:
> så vidt jeg kunne se, krævede cfengine at man installerer en klient på
> host-maskinerne ? Sagen er imidlertidig den, at
> jeg havde i sinde at benytte dette/disse værktøjer på en bunke af 
> webservere og Database servere.. Og da tanken var at hvis jeg vha. f.ex. 
> Tripwire fandt ud af at et eller andet root-kit var blevet installeret - 
> så havde jeg mit maskine-cvs system - så jeg bare kunne rulle den tilbage 
> til inden hackeren kom ind, og lukke det hul han brugte og opdatere de 
> andre vha. maskine-cvs systemet. 
> Pointen er (endelig :-) at hvis der ligger 
> en cfengine daemon og kører på maskinen så vil hackeren måske opdage dette, 
> og bare for sjovs skyld (nu han er igang) prøve at ligge den ned ?

Ja, man skal have cfengine installeret på maskinen og ja en cracker
kan naturligvis pille ved denne opsætning. Men du siger at hvis
tripwire opdager noget fishy (eg. ekstra suid-root ting) ... men hvis
du har tripwire kørende lokalt for at checke har du principielt samme
problem. Den eneste 100% sikre måde at verificere et system på er ved
manuelt at check integriteten af systemet mod en base der ligger på et
fysisk skrivebeskyttet medie. Om du bruger tripwire eller cfengines
md5sum-base er vel stort set ligegyldigt. 

Der findes to måder at lukke huller på. 

1) Hotfix

Hvis man vil lave et hotfix er det _IMPONERENDE_ nemt at bruge files,
disable og editfiles sektionerne i cfengine. Det tager mindre end 1
minut at finde det rigtige sted i din cfengine opsætning. Derefter er
det et spørgsmål om belastning og netværkskapacitet før ændringerne
propagerer ud. Men det vigtige er at det er _HURTIGT_ at rette og det
er ukompliceret at rette. Med en cvs-løsning kan du løbe ind i at lige
pludselig skal forskellige maskiner have forskellige opsætningsfiler
eller forskellige rettigheder. Det kræver vel som minimum at du
checker systemet ud og laver ædnringerne og checker det ind igen.


2) Opgradering

Opgradering i HostFactory sker ved du patcher et system og genbygger
et imager, hvor du så kan rulle ændringerne ud på maskinerne. Det er
igen en meget mere besværlig (og psykologisk uacceptabel)
løsning. Hvis du tager den indgangsvinkel at du bruger et
pakke-system, da bliver tingene noget nemmere. Du lægger bare
opdateringen til maskinen i det rigtige directory og så propagerer det
ud i systemet. At starte maskinernes pull af pakkerne kan du køre ved
at pushe det fra cfengine og derefter kan du i cfengine sørge for at
konfigurationsfilerne er i en passende tilstand.


> helst ville jeg have at den var så usynlig som muligt (altså maskine-cvs
> maskinen :-). Dette er såvidt jeg kunne se muligt med det HostFactory (inkl.
> WVfs) jeg fandt..

Hvordan? (Jeg har kun læst deres whitepaper)

> Jeg tænkte at nu du har erfaringer med cfengine - så kunne du måske nemt
> evaluere ideen i deres HostFactory og sige om den ser ud til at være noget værd
> ?

Alt i alt kan det formentlig løse dit problem (hvis du ikke har noget
imod de ting jeg udpegede i ovenstående tekst). Jeg har dog et par
kritikpunkter af HostFactory. De er:

1) Du skal bruge et sikkert system! Det er ikke fedt at ændringer til
sikre systemer sendes via nfs. Sikkerheden i nfs er latterlig i de
fleste miljøer. Specielt når du vil kører servere der er forbundet til
internet. 

2) Vedligeholdelsen af lokale ændringer er besværlig. F.eks. skal dine
maskiner formentlig bruge forskellige initrd-images. Det skal du selv
holde styr på. Hvis du ikke bruger initrd-images skal du selv holde
styr på kernekonfiguraionen på alle maskinerne. (dette er et generelt
problemer med dunp-systemer). Det er helt generelt besværligt at
vedligeholde lokale egenskaber. Det gælder også for alle
konfigurationsfiler. Det er derfor jeg er gået hen og blevet tilhænger
af pakkebaserede systemer, specielt når man kan lave auto-install der
løser de "lokale" problemer. 

> Er der nogen der har lavet en linux-bootdisk som f.ex. henter et dump-via
> netværket ? (altså til image installation?)

Det er ganske simpelt. Det kan du på kort tid volde en af de mange
floppy-distribution om til ;)


-- 
	Christoffer