Egy kis gyors feladatot kaptam, miszerint be kell állítanom Linux szervereket egy biztonságos konfigurációs sablon alapján. (Angolul kedvelőknek secure baseline config template :-)). És ha már beállítom, akkor előtte dolgozzam is ki ezt a bizonyos template-et. :-D

Jó, hogy meg sem lepődtem a feladaton, mert IT berkekben ez a találj-ki-jobb-megoldást-és-rögtön-meg-is-valósíthatod módszer a főnökök kedvence. A vicc, hogy a jó munkavégzők nem csak hogy mindig beszívják, de úgy vettem észre, egyenesen igénylik ezt a fajta bánásmódot. :-) Node a Bagoj türelmes állat, mint tudjuk.

Arra gondoltam viszont, hogy miért ne adnám közre az elvégzett munkát, hiszen más is kerülhet olyan helyzetbe, hogy hirtelen ki kell dolgoznia egy szerver jelszópolitikát. Naszóval.

Jelszó politika

Ezt a jelszó politikát érvényesíteni kell minden <X> szerveren. Amennyiben ez nem lehetséges, a jelszó generálás, -csere, -visszavonás folyamatát kell kidolgozni olyan módon, hogy megfeleljen jelen jelszópolitikának.

Az adminisztrátor és technikai felhasználókat szükséges megkülönböztetni. Az előbbiek személyhez / névhez kötöttek, napi munkavégzéshez, a rendszerek konfigurálásához interaktívan használtak. Minden ilyen tevékenységet végző számára saját, megszemélyesített felhasználó szükséges, hogy a tevékenysége nyomon követhető legyen. A technikai felhasználókat rendszerek pl. egymás közötti adatcsere miatt, azonosításhoz illetve titkosításhoz használják. A két felhasználó típust jelszóhossz, komplexitás, jelszócsere, korábban használt jelszavak ellenőrzése szempontjából ajánlatos megkülönböztetni.

Központi jelszókezelés
A központosított jelszókezelő rendszerek (Microsoft AD/Radius/Tacacs) preferáltak, a helyi (lokális) felhasználók létrehozása csak akkor indokolt, ha nincsen egyéb megoldás. Ez alól kivételt képeznek az ún. "last resort" felhasználók, amelyeket a központi jelszókezelő rendszer elérhetetlensége esetén lehet használni. Ezek a felhasználók technikai felhasználónak minősülnek, a jelszavukat borítékos, vagy ezzel egyező módszerrel kell tárolni.

Jelszó történet
Adminisztartív és technikai felhasználó nem használhatja a legutóbbi 10 beállított jelszavát.

Jelszó öregbítés
Adminisztratív felhasználók legalább 60 naponként kötelesek jelszót cserélni, ezt a rendszer vagy a folyamat lehetőség szerint kikényszeríti. Technikai felhasználókra nincs ilyen megkötés.

Minimális jelszóhossz
Adminisztratív felhasználók legalább 8 karakteres, technikai felhasználók legalább 15 karakteres jelszót kell használjanak, ahol erre mód van.

Jelszó komplexitás
Adminisztratív felhasználók legalább egy nagybetűt, legalább két kisbetűt és egy számot kötelesek használni. Technikai felhasználók legalább két nagybetűt, legalább 3 számot és különleges karaktert kötelesek használni.

Egyéb
- Nem titkosított menedzsment protokoll (Telnet, HTTP) nem támogatott
- SSH esetén csak az SSHv2 támogatott
- Szükséges a rendszerekben időtúllépés (timeout) beállítása, a szabadon hagyott konzolok automatikus kiléptetése miatt
- Figyelmeztető üzenet (login banner) beállítása szükséges, ahol lehtséges

Szerintem elég logikusak a fentiek, de hogyan lehet ezeket elérni?

Megpróbálok még egy kicsi tartalékot kisajtolni a Debianból, hogy felgyorsítsam a boot időt. A kernel fordítás sokak szemében nagyon bonyolult és "túl kocka" (értsd: túl kockázatos) megoldás, sokkal jobb a stock kernel stb. mások szerint a kernel fordítás kellemes szórakozás (sic!). Az én álláspontom az, hogy akinek elég a felhasználói térben mozogni, használjon stock kernelt, akit érdekel a kernel működése is, az nem tud úgysem meglenni fordítás nélkül. Én is öregszem egyébként, a 2.0-s és 2.2-es kernelhez még nagyon egyszerű modulokat is írtam, a 2.[4|6]-osat lefordítottam párszor, a 3-as szériához még nem nyúltam. Nade majd most.

Fontos megjegyzés, hogy olyan gépen nem érdemes játszani, amelyet bármely pillanatban használni kell. Fel kell készülni arra, hogy ilyen mély konfigurációs változások eredménye lehet az is, hogy nem tudunk bebootolni egy rövid ideig és boot médiáról kell helyreállítanunk a dolgokat. De az esetek 99,9%-ban nem lehet különösebb probléma, hiszen nem töröljük a régi, stabil kernelünket és azzal bármikor vissza lehet bootolni.

Másik fontos dolog, hogy mivel a jelenlegi célom a kernel fordítással az initrd kiküszöbölése, ezért ha USB médiáról bootolunk, nem érdemes nekiállni az egésznek, lent részletezem, hogy miért. Ez nem jelenti azt, hogy egy optimalizált kernel initrd-vel ne lenne hasznos, azonban ennek konfigurálása néhány apróságban eltér, ezeket lásd a végén.

1. Tegyük fel a fordításhoz szükséges csomagokat:

sudo apt-get install linux-source kernel-package fakeroot libncurses5-dev


Ez még egy nagy rakás csomagot fel fog rakni, ne ijedjünk meg tőle, de jegyezzük fel, a fordítás után el lehet távolítani őket és akkor nem foglalják a helyet. Azért kell ennyi minden, mert a Debian-féle megközelítést használjuk, tehát a végén lesz egy saját kernel .deb csomagunk, amelyet simán fel lehet telepíteni akár több gépre. Így nem kell vadászni a fájlokra, ha esetleg majd később törölni akarjuk ezt a kernelt vagy fordítunk újat, tehát mindenképpen praktikus megoldás.

Elérkeztünk a fájdalmasabb dolgokhoz, amikor fel kell áldozni pár dolgot a boot idő felgyorsítása érdekében. Nézzük meg, milyen szolgáltatások indulnak el, vagy melyek maradtak meg a /etc/init.d alatt?

Rövid átnézés után az alábbiakat találtam feleslegesnek:

Folytatom a boot gyorsításos dolgot, amit majd meg fogok szakítani ilyen-olyan mellékszálakkal, de kitartóan török a "leggyorsabb Debian HDD-n" címre. Ez a következő, még eléggé látványos eredményt hozó fázis.

Az e4rat (ext4 reducing access time) egy olyan toolkészlet, amely a boot idő redukálását az alábbiakkal végzi:

1. Felméri, hogy milyen fájlokat olvas fel a rendszer az indulás első 120 másodpercében
2. A fájlokat fizikailag át- (sorba)rendezi a merevlemezen, így az elérési idő csökken
3. A sorbarendezett blokkokat a boot elején előre beolvassa a memóriába, ezzel az elérési idő egy nagyságrendet javul

Mint a névből is látszik, ez a módszer csak ext4-en működik, mivel a fájlok átrendezéséhez egy ext4-es feature-t használ (ez a 2.6.31-es kernel óta érhető el). Állítólag nem elérhetetlen az 50%-os javulás is, én nem ennyire vérmes reményekkel indultam neki, de tény, hogy jelentősek az eredmények.

Hogyan?

Mit kell tennünk? Mindössze három lépést:

Az előző bejegyzésemben gyorsan elintéztem azt a kérdést, hogy hogyan tudjuk a Network Manager appletet működésre bírni (a probléma az volt, hogy a wifi hálózatokhoz nem engedett csatlakozni).

Ezzel kapcsolatosan jutott eszembe, hogy talán a policykitről is írhatnék, ugyanis elrettentő neve ellenére egy agyhalottan egyszerű dologról van szó, de amíg anno utána nem olvastam, én is azt hittem, hogy ez valami grsecurity-vel felérő dolog.

MI az a Policykit és hogyan működik?