L'installazione standard (o ancor peggio completa) di una
qualunque distribuzione di Linux ed il successivo "abbandono" al suo destino
crea generalmente gravi problemi di security per la LAN
Una installazione ragionevolmente sicura richiede l'eliminazione
di servizi non necessari e/o pericolosi dal punto di vista della security
(nfs-server, imap, pop3, etc.) ed una serie di configurazioni (tcp-wrappers,
disabilitazione di vari servizi tcp, installazione di programmi appositi
per la security, etc.)
E` poi necessario tenere sotto controllo i logs e aggiornare
il sistema man mano che vengono approntate le nuove patches di security.
Infine molti utenti richiedono di aggiungere al sistema applicativi
non presenti nella distribuzione (Acrobat, KDE, StarOffice, Applixware,
Corel Word Perfect, etc.)
Situazione attuale a Padova
oltre 60 sistemi linux installati
attualmente utilizziamo la distribuzione di RedHat-5.2 del
CASPUR disponibile su afs
l'installazione, effettuata via rete tramite un dischetto,
produce un sistema molto ricco, ma senza attivare inutilmente molti servizi
server (news, http, NIS, ...)
dopo l'installazione eseguiamo uno script di configurazione
della macchina
periodicamente applichiamo le patches tramite un altro script
distribuiamo un certo numero di applicazioni tramite un server
linux (KDE, StarOffice, Applixware, Acrobat Reader, Mathematica, LaTeX)
non tutte le macchine sono ancora state aggiornate all'ultima
versione del sistema, i logs di sistema sono locali su ogni macchina, gli
eventi rilevanti per la sicurezza vengono segnalati via mail.
Prospettive
preparazione di una o piu` distribuzioni locali adatte a
diverse esigenze
integrazione dello script di configurazione nella fase di
installazione
installazione di ulteriori applicativi sull'application server
centralizzazione dei logs di sistema su una macchina di servizio
segnalazione di eventi critici tramite analisi automatica
dei logs (swatch, logwatch)
upgrade automatico via rete dei sistemi mediante uno script
eseguito giornalmente
modifiche alla configurazione dei sistemi comandate centralmente
verifica automatica periodica dell'integrita` del sistema
(tripwire)