das Böse aus dem Erdgeschoss

Die Leiden des kleinen Admins

Geschützt: Spicker2.0[2]

Dieser Inhalt ist passwortgeschützt. Um ihn anzuschauen, gib dein Passwort bitte unten ein:

Advertisements

Donnerstag, 2.04.2009 21:41 Posted by | Linux, RHEL, SELinux, Sicherheit | , , , , | Um die Kommentare zu sehen, musst du dein Passwort eingeben.

hat die Paranoia erst mal Pause?

Ich hatte ja bereits vor laaaanger Zeit erwähnt, dass ich  dabei wäre ein RHEL 5.1 nach NSA Vorgaben etwas abzudichten. Ich bin mir nicht ganz sicher ob diese Paranoia erst dadurch entstanden oder schon vorher da war und nur angesammelt wurde, um diese Projekt auch hin zu bekommen.

Wenn man ein Linux sicher machen will, muss man schlecht von allen denken, grundsätzlich ist jeder (selbst ich?) dem System, dass du gerade in den Händen hast, feindlich gesonnen. Alle wollen es kaputt machen, zerstören oder gar missbrauchen. Aber es gibt eine winzige Gruppe, die müssen auch Rechte bekommen die sonst keiner hat. Weil irgendwas muss dieses Linux letztlich tun und dazu gibt es Benutzer und Admins die die Aufgaben zuweisen und überwachen. Damit die aber auch wirklich auf jeden Fall genau nur das tun, dafür mache ich die ganze Sch… hier.

Okay ein gewisser Teil Herausforderung ist dabei und Fehlschläge gab es genug:

  • 3 mal so ausgesperrt, dass die DVD samst „linux rescue“ nur noch helfen konnte
  • Die Filesysteme so verbogen, dass SELinux mal wieder gar keinen ran lassen wollte
  • Die Passwortpolicy so hart gemacht, dass selbst mir kein Passwort mehr einfiel das noch unter „merkbar“ lief.
  • Die bash bekam immer genau dann einen timeout, wenn ich weiter machen wollte, 3 mal habe ich ihr sogar beim schliessen zusehen müssen.
  • Und weitere Nicklichkeiten mit dem Kernel/SELinux und Co, die mich zwar nervten, aber die ich mit den Betroffenen letztlich kompromisslos regelte.
  • Das die Wiki Seite dazu schon ein Inhaltsverzeichnis hat, dass schon gescrollt werden muss. Dabei habe ich sehr viel noch auf Zusatzseiten (oder rote wikiwörter ^^) ausgelagert.

Letztlich muss ich aber sagen, wer böse von anderen denkt oder denken will und eine zwanghafte Leidenschaft zum friggeln mitbringt, finden hier in so einer Aufgabe gerade zu ein Paradies.

Und die Freude ist dann richtig groß, wenn das Baby dann ca. 2 Monate später fertig ist, okay ich konnte nicht Vollzeit daran arbeiten und habe live im Wiki mit dokumentiert, aber 3 Wochen sollte man rechnen. Auch wenn ich mit dem Wiki eine Leidenschaft zum Dokumentieren entwickle, wer sowas wie das hier anfängt, sollte sich echt Notizen machen. Denn wenn auf halber Strecke plötzlich ein lebenswichtiger Dienst versagt, benötigt man sehr schnell ein:

was habe ich eigentlich zuletzt gemacht, nach dem sichergestellten Zeitpunkt an dem der Dienst noch lief.

Mal sehen was der Herr, der offiziel noch Hackertools benutzen darf, dazu sagt.

Freitag, 13.06.2008 03:57 Posted by | Linux, RHEL | , , , , , | 1 Kommentar

N8

Nein ich meine nicht die Abkürzung für „Gute Nacht“ sondern Lotus Notes Version 8.

Wir haben schon mehrere Server (Lotus Domino 8 ) unter Linux am laufen. Auf dem Client scheiterte bei mir der erste Antestversuch, aber ein ruhig geplanter Versuch meines Kollegen, hat die Client doch schon vor Wochen zum laufen bekommen. Ich arbeite in letzter sehr intensiv damit.

Letzte Woche schneit dann eine Mail aus der RedHat Zentrale in meinen/unseren Spamfilter. Diese kündigte eine Interessengemeinschaft zwischen RH und IBM aka Lotus an, wo man per LiveDVD (~1GB) mal den Client austesten kann.

Ja die Schattenseiten sollte man nicht verschweigen. Der Administratorclient und der Designer sind nicht verfügbar, auch wenn man vermuten könnte, dass der IBM® Lotus® Expeditor den Designer mal ersetzen soll.

Ich finde nach so einer langen Zeit, in der der Notes Client als größter Hemmschuh bei der Migration auf einen Enterprise Linux Desktop feststand, sollte man den Schritt seitens IBM/Lotus aktiv unterstützen und wenn es nur ein Test mit der LiveDVD ist. Aber das müsst Ihr selbst wissen allerdings solltet Ihr mit mindestens 2GB RAM starten. Aber das liegt am eclipse RichClient, der frisst auch Windoof genauso viel.

Samstag, 19.04.2008 20:54 Posted by | RHEL | , , , | 1 Kommentar

Sicherheit

Es ist mal wieder so weit. Wir haben bislang nur RHEL3 und 4 in aller (Updates) Farben in unseren „sichereren“ Bereichen. Nun haben wir RHEL 5.1 (außer Cluster) erfolgreich auf unseren Systemen evaluiert und nun geht es ans Härten.
Also SELinux war mit RHEL4 gekommen. Mit RHEL 5 ist es so schon ganz nutzbar. Da erinnert mich mein Kollege, dass da doch ein Weihnachtsgeschenk der NSA war. Also beginnen wir doch mal mit den Studien…
Okay das Template wird wirklich hart. Hoffen wir mal das danach noch das geht, was die Maschinen eingentlich aus macht.
Ich bin aber guter Hoffnung, schlieslich ist RHEL ja nach CC EAL 4.0+ zertifiziert. Somit sollte es so was von härtbar sein. Im August mache ich dann den RHCSS also den Sicherheitskurs zu RHEL, somit kann ich jetzt schon mal üben.

Dienstag, 8.04.2008 18:57 Posted by | Linux, RHEL | , , , , , | 1 Kommentar

Cluster gegen Admin

Ein ungleicher und zutiefst unfairer Kampf.

Aber das fiese ist die Doku, also der Autor,….

nein, ich lasse mich auf dieses Niveau herab, aber lest selbst wie man RedHat Cluster debugged:

6.6. Diagnosing and Correcting Problems in a Cluster

Montag, 10.03.2008 15:06 Posted by | IT, Linux, RHEL | , , , , | Hinterlasse einen Kommentar

Schütze den Admin

Ja wenn man glaubt, die RHEL Version einer Software wäre zu alt. Gibt es hier <klick mich> eine kurze Einweisung, wie man die rollback Funktion von rpm nutzen kann um mal die aktuelle Version zu testen.

Donnerstag, 6.03.2008 17:14 Posted by | Fedora, RHEL | , , , , , | Hinterlasse einen Kommentar