Author: qwiat Date: Sun Dec 23 03:14:34 2007 New Revision: 9157 Added: PLD-doc/book/pl_book__administracja/pl_administracja__bezpieczenstwo.sec Modified: PLD-doc/book/pl_book__administracja/pl_administracja.chp PLD-doc/book/pl_book__master.docb Log: - new chapter
Modified: PLD-doc/book/pl_book__administracja/pl_administracja.chp ============================================================================== --- PLD-doc/book/pl_book__administracja/pl_administracja.chp (original) +++ PLD-doc/book/pl_book__administracja/pl_administracja.chp Sun Dec 23 03:14:34 2007 @@ -8,4 +8,5 @@ &administracja_konta; &administracja_grupy; &administracja_grupy_uprawnienia; +&administracja_bezpieczenstwo; </chapter> Added: PLD-doc/book/pl_book__administracja/pl_administracja__bezpieczenstwo.sec ============================================================================== --- (empty file) +++ PLD-doc/book/pl_book__administracja/pl_administracja__bezpieczenstwo.sec Sun Dec 23 03:14:34 2007 @@ -0,0 +1,90 @@ +<?xml version="1.0" encoding="iso-8859-2"?> +<section id="administracja_bezpieczenstwo"> + <title>Bezpieczenstwo</title> + <para> + Bezpiecze�stwo system�w i danych to rozleg�y temat + dlatego g��wnie skupimy si� na aspektach + dotycz�cych PLD. + </para> + <section id="administracja_bezpieczenstwo_narzedzia"> + <title>Dost�pne narz�dzia</title> + <para> + PLD jako dystrybucja "robiona przez administrator�w dla administrator�w" + ma du�e zasoby program�w u�ytecznych w zakresie + bezpiecze�stwa, poczynaj�c od <productname>NetCata</productname> (nc), a na <productname>wiresharku</productname> i + <productname>nessusie</productname> ko�cz�c. + </para> + </section> + <section id="administracja_bezpieczenstwo_root"> + <title>Dost�p do konta root</title> + <para> + Nasza polityka bezpiecze�stwa wymaga, aby u�ytkownik nale�a� + do grupy wheel, je�li chce zwi�kszy� swoje uprawnienia za + pomoc� su i sudo. W ten spos�b atakuj�cy musi zgadn�� trzy + parametry zamiast jednego (nazwa u�ytkownika, has�o i has�o + administratora zamiast samego has�a administratora). + + Nie ma te� mo�liwo�ci zdalnego zalogowania si� bezpo�rednio na + konto roota (z tych samych powod�w). Dodatkowo root nie mo�e + zdalnie u�ywa� innych us�ug (ftp, imap, pop3, smtp) m.in z powodu + niedostatecznie silnego szyfrowania transmisji. + </para> + </section> + <section id="administracja_bezpieczenstwo_suid"> + <title>SUID</title> + <para> + Domy�lnie zwykli u�ytkownicy nie maj� prawa wykonania + program�w z ustawionym bitem SUID. Aby takie prawo uzyska� + musz� by� zapisani do odpowiedniej grupy. Przyk�adowo program + <command>ping</command> wymaga zapisania do grupy <literal>adm</literal>. Pogl�dowe + zestawienie grup zamie�cili�my w <xref linkend="administracja_grupy_uprawnienia" />. + </para> + </section> + <section id="administracja_bezpieczenstwo_proc"> + <title>/proc</title> + <para> + Domy�lnie u�ytkownicy nie widz� �adnych proces�w poza swoimi. + Jest to nie tylko krok w stron� bezpiecze�stwa, ale i w + wygody, u�ytkownik nie g�owi si� nad d�ugimi listami proces�w + generowanych przez program <command>top</command> czy + <command>ps</command>. + Podobnie jak z programami z bitem SUID jest to oparte o grupy, + aby u�ytkownik widzia� wszystkie procesy nale�y go zapisa� do + grupy <filename>/proc</filename>. + </para> + </section> + <section id="administracja_bezpieczenstwo_chroot_vserver"> + <title>chroot i vserver</title> + <para> + PLD oferuje system sys-chroot, wbudowany w rc-skrypty, + s�u��cy do wygodnego zarz�dzania �rodowiskami typu chroot. + Us�ugi, kt�re wspieraj� natywnie chrooty (np. + <productname>Bind</productname>) + dzia�aj� w izolowanym �rodowisku od razu po instalacji. + </para> + <para> + PLD wspiera tak�e mechanizm + <ulink url="http://pld-linux.org/Vserver";>Linux VServers</ulink>, + zwany potocznie "chrootem na sterydach". Wymaga on zainstalowania + odpowiedniej wersji kernela i odpowiedniego zestawu narz�dzi. + </para> + </section> + <section id="administracja_bezpieczenstwo_static_vim"> + <title>Statyczny VIM</title> + <para> + Najwa�niejszym narz�dziem administracyjnym jest edytor tekstu, + dlatego nie powinni�my pozosta� bez takiego programu, co mo�e + mie� miejsce np. przy uszkodzeniu systemu plik�w. Tu z pomoc� + przychodzi nam statycznie zlinkowany VIM z pakietu vim-static. + Aby nie kolidowa� ze "zwyk�ym" vimem, plik wykonywalny jest + umieszczany w <filename>/bin/vim</filename>. + </para> + </section> + <section id="administracja_bezpieczenstwo_pakiety"> + <title>Pakiety</title> + <para> + Zagadnienia zwi�zane z bezpiecze�stwem zosta�y + om�wione w <xref linkend="pakiety_bezpieczenstwo" />. + </para> + </section> +</section> Modified: PLD-doc/book/pl_book__master.docb ============================================================================== --- PLD-doc/book/pl_book__master.docb (original) +++ PLD-doc/book/pl_book__master.docb Sun Dec 23 03:14:34 2007 @@ -76,6 +76,7 @@ <!ENTITY administracja_konta SYSTEM "pl_book__administracja/pl_administracja__konta.sec"> <!ENTITY administracja_grupy SYSTEM "pl_book__administracja/pl_administracja__grupy.sec"> <!ENTITY administracja_grupy_uprawnienia SYSTEM "pl_book__administracja/pl_administracja__grupy_uprawnienia.sec"> +<!ENTITY administracja_bezpieczenstwo SYSTEM "pl_book__administracja/pl_administracja__bezpieczenstwo.sec"> <!ENTITY siec_interfejsy SYSTEM "pl_book__siec/pl_siec_inerfejsy.chp"> <!ENTITY siec_zastsowania SYSTEM "pl_book__siec/pl_siec_zastosowania.chp"> <!ENTITY siec_basic SYSTEM "pl_book__siec/pl_siec__basic.sec">
_______________________________________________ pld-cvs-commit mailing list pld-cvs-commit@lists.pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-cvs-commit
