Navrh HW reseni intranetu a datovych serveru - verze 2.0 -------------------------------------------------------- Topologie --------- Topologii je mysleno fyzicke rozmisteni serveru, jejich propojeni a tak dale. Obecne vzato, data budou centralizovane zpravovana na jednom miste. Mohou v budoucnu existovat 'datove mirrory', nicmene, jejich existence neni v tuto chvili dulezita. Topologie jako takova ma zajistit i vhodnou ochranu dat. Umisteni jednotlivych 'bodu' neni z hlediska topologie dulezite. Do budoucna se nektere casti z hlediska zateze rozdeli (podle praxe). Ted je relativne tezke udelat smysluplny odhad. Dale nektere casti mohou byt separatne outsourcovane (napr. download produktu) - mam na mysli data jako takova. Data center - D? ---------------- Datove centrum je nejdulezitejsi cast cele topologie. Na bezpecnost je kladen nejvetsi duraz. Sestava (popis/sluzby) Dg (gate) - gate, firewall, DNS resolver pro farmu a Lucy, Intruder Detection System Dd (data) - uloziste dat (data storage - databaze) Da (apl) - aplikacni server (app server) Dp (public) - verejne sluzby (public) De (extend) - rozsirene verejne sluzby (public extended) Dt (trust) - trust (master instalation, auth, logovani) Ds (share) - share - zdilene storage pro data/..... Du (untrust) - neduveryhodne verejne luzby Dx (test) - test (testovaci stroj na blbosti) Dm (mail) - mail server (+ majl dedicated databaze) Db (build) - build server pro vytvareni dennich buildu Topologie +----+ | | Miracle Office +--> | Dd | <---> | | | +----+ | | | | V | +----+ | +----+ +--> | Da | <---> | <---> | Dg | <---> internet | +----+ | +----+ X1 | ^ | +----+ | | +--> | Dp | <---> | | +----+ | | | v +----+ | ------------X3 | De | <---> | ^ ^ +----+ | | | | | | +----+ | | | | Dt | <---> | v v +----+ | +----+ +----+ | | Du | | Dx | +----+ | +----+ +----+ | Dm | <---> | +----+ | | +----+ | | Ds | <---> | +----+ | | +----+ | | Db | <---> | +----+ | X2 X2 odeluje demilitarizovanou zonu on internetu. Vsechny stroje za 'X2' nemaji verejne IP adresy, jen lokalni. X3 neduveryhodna zona, kazdy stroj ma zde verejnou IP adresu. Hack stroje na X3 neohrozuje primo stroje na X2. Nicmene, v idlenaim pripade by X3 mel byt zajisteno na urovni ISP a L3 switche na urovni HW MAC adres (bez moznosti ARP spofingu). Aktualne vynechavame: Dp - do budoucna dle potreby Dx - do budoucna dle potreby Ds - do budoucna dle potreby Dm - do budoucna, dle potreby a vytizenosti mail serveru Aktualne je spojeno: Dd+Da+Dm+Dp - podle vytizenosti popripadne pozdeji rozdelit na jednotlive stroje V pripade potreb je demilitarizovana zona koncipovana tak, aby se dala rozsirit o dalsi specializovanejsi servery. Spolecne HW pozadavky --------------------- - rychle 100 MBIT sitove karty (casem upgrade na 1G pripadne vyttvoreni X1 gigoveho linku) - spolehlive zdroje a HW :) Detailni rozpis sluzeb, OS a HW ------------------------------- Veskere unix like - servery maji SSH pristup pro zpravu, ve sluzbach neuvadim, Db obsahuje windows system, tudiz ma zapnuty remote desktop nebo vnc. Trafic uvadim vzdy u toho serveru, jez traffic vytvari (ikdyz se trafic bude tvarit z jineho stroje). Na kazdy serveru bezi "cf-engine", ktery je ovladan, ze Dt a aktualizuje system a provadi zmenu aktualizace. Dale jiz neuvadim pro kazdy server. Viz pozdeji Dt. Systemy jako takove jsou uzavrene. Existuje jen jeden OS, automaticky upgradovany z Dt. Veskera zprava probiha z dt pomoci manazera na zpravu vice pocitacu viz. dale. IPv6 bych necla spise pro budoucnost, nema smysl ji podporovat drive, nez ISP. comp | jmeno | OS | zatizenost | traffic | Spec HW | Sluzby / soft / dalsi pozadavky ======+============+============+============+==================+===================+============================================= Dg | gate | Open BSD | mala | 0 | rychlejsi CPU | verejna IP | | | | +'gate' traffic | HW rnd generator | pro kazdy PPP bod verejna IP + DNS zaznam | | | | | | trafic odpovida poctu PPP bodu | | | | | | IpSec / IpFilter / IpNAT / IDS / Dns resolver ------+------------+------------+------------+------------------+-------------------+--------------------------------------------- Dd | data | Open BSD | extremni | 0 | velke disky | PostGre SQL | | | | | HW/SW mirror raid | Apache pro pristup k externim souborum (downloady, ...) | | | | | hodne pameti | | | | | | rychle CPU | | | | | | rychla sbernice | | | | | | S-ATA | ------+------------+------------+------------+------------------+-------------------+--------------------------------------------- Da | app | Open BSD | extremni | podle lidi | rychle CPU | HTTP/HTTPS - apache | | | | uzivajici | dostatek pameti | CBS (vsechny module, POP3, ...) | | | | intranet | rychla sbernice | CVS | | | | | S-ATA | | | | | | mobil Siemens C35 | | | | | | (nebo jinej) | | | | | | (ale s docem) | ------+------------+------------+------------+------------------+-------------------+--------------------------------------------- Dp | public | Open BSD | velka | podle pristupu | rychle CPU | HTTP/HTTPS - apache | | | az | na verejne | S-ATA | CBS (povolen pouze 'web' modul) | | | extremni | sluzby | | anonymni FTP (read only) ------+------------+------------+------------+------------------+-------------------+--------------------------------------------- De | public2 | Open BSD | mala | minimalni | - | DNS - primarni server pro domenu orcave/unreal ------+------------+------------+------------+------------------+-------------------+--------------------------------------------- Dt | trust | Open BSD | mala | 0 | | 'Master Distribuce' | | | | | | SAuth server, klice | | | | | HW/SW append only | (Logy) dobre konfigurovany APPEND ONLY filesystem | | | | | Velky S-ATA Disk | Backup ------+------------+------------+------------+------------------+-------------------+--------------------------------------------- Dm | mail | Open BSD | stredni | 0 | jako Dd | PostGres - pouze MAIL | | | | | | | | | | | | ------+------------+------------+------------+------------------+-------------------+--------------------------------------------- Ds | share | Open BSD | mala | ? | VELKY disk | HTTP - na pristup/vyheldani | | | | 100% trafiku do | raid (mirror) | sftp (read/write) data | | | | NIXu | | 'network filesystem' (zatim nedoreseno) ------+------------+------------+------------+------------------+-------------------+--------------------------------------------- Du | untrust | Open BSD | mala | maly | - | IRC, APACHE, POP3, SFTP, FTP, News | | | | | | pripadne Jabber ci dalsi podobne sluzby | | | | | | verejna IP ------+------------+------------+------------+------------------+-------------------+--------------------------------------------- Dx | test | Open BSD | nulova | 0 | | verejna IP | | | | | | ------+------------+------------+------------+------------------+-------------------+--------------------------------------------- Db | buid | Windows XP | nulova | 0 | | Vnc, Remote desktop | | | | | | Dd+Da+Dm+Dp - vystupuje dale jako Dapl, apl Umistneni v Racku Casablanca ke 1.3.2005 ---------------------------------------- +------+ +-------+ | gw | | apl | +------+ +-------+ +------+ +-------+ | ext | |untrust| +------+ +-------+ Konfigurace ----------- Vetsi pocet nezavislych serveru dost zvysuje bezpecnost a zaroven snizuje naroky na HW (a tedy i cenu). Toto je vykoupeno ponekud horsi spravou, kde upgrade systemu bude celkem 'narocny'. Na druhou stranu, sluzby jsou rozhozeny na vice pocitace a protoze pristup z netu neexistuje, tak neni treba byt vzdy 'up-to-date', takze bych to nevidel nejak moc tragicky. Nicmene, casem bude nekdo muset zacit delat admina a starat se o to a typuju, ze mu to primerne vystaci na 25% pracovni doby (narazove). DNS --- Jmena pocitacu (Dg/Du/Dt ...) jsou interni a nejsou exportovana prez DNS. Pristupy do externich siti mohou byt mapovany na separatni DNS (info.orcave.com a pod.) Osobne bych schovaval Dg/Du/Dt a podobne za 'unreal64' domenu (IP adresy budou jine nez orcave), nebo muzem pro tenhle ucel zaregistrovat (cokoliv). Pointa je takova, aby z DNS nebylo hned vsechno znat. Rozpis DNS adres. Mame k dispozici 4 IP adres v rozsahuj 217.11.237.11-14: 'unreal64.net' je domenu pro zpravu. Ip | Reverse | Koment | Aliasy --------------+-------------------------+-----------+--------------------------------------------------- 217.11.237.11 | base-gw.unreal64.net | zprava Dg | 217.11.237.10 | imagine.unreal64.net | muj PPP | 217.11.237.12 | pub.orcave.com | | www.orcave.com ftp.orcave.com www.unreal64.net ns1.orcave.com 217.11.237.13 | cbs.orcave.com | majl,.... | cbs.orcave.com - domena, ktera je videt, kdyz se z CBS poleze ven - to jest v hlavice majlu a tak dale. Zaroven Bezpecnost ---------- Zajistena tak, aby v pripade kompromitace jednoho serveru nebylo mozne jednoduse narusit funkcni ostatnich. Pokud bude kompromitovan. Nejkritictejsi bod je Dg, proto zde nebezi zadne dalsi (verejne) sluzby. Jedlotlive servery nemohou primo na sebe pristupovat, vse je nutno prez Dg, kde se da zjistit 'podezrela' aktivita. Proto je na urovni X1 pouzit SOHO (small office/home office switch), ktery cini sledovani konexe jednotlivych serveru relativne slozite. SOHO switche nemaji zadny management, je to jen 'chytrejsi hub' ale vhodny pro nase potreby. Pristup primo na sebe maji jen servery zneuzivajici DB. Idelani je samozrejmne L3 switch, ale zatim to vidim jako neoduvodnitelny vydaj. PPP --- Diky vztahum s CS bych CS vyuzival i jako PPP pristupovy bod. Protoze nekteri z nas (napr. ja :) vyuzivaji i propojeni odjinud nez z miraclovske site a do budoucna se da predpokladat, ze podobnych 'out of office' pristupu bude cela rada, je dobre tento pristup sjednotit. A to hlavne z bezpecnosttnich duvodu. Nejlevnejsi reseni je postavit PPP VPN sit a veskere pristupy budou kryptovane - tedy mimo dosah lokalniho ISP. V idealnim pripade, kazdy PPP klient muze mit svou pevnou IP adresu, ale muze byt i zdilena (napr. ppp.orcave.com). Zalezi jen na rozsahu IP adresu, ktery budeme mit k dispozici. Volba Operacniho systemu ------------------------ Preferovany operacni system je OpenBSD. pro prvni instalaci se pouzije cvs tag OPENBSD_x_y_BASE (x=3,y=7) coz je release verze bsd vydana na CD posledni stable vcetne patche je OPENBSD_x_y. Patche se budou aplikovat rucne na master distribuci. Viz nize. build cvs stromu vyzaduje 1,5 gb mista bez XF4 a PORTS (baliku) a trva cca 30 minut na XP1700+ "man release" a faq obsahuji informace jak postavit vlastni distribuci. Build muze probihat i pod systrace, aby neohrozil stavajici distribuci a behem kompilace se neprovedla nebezpecna akce v pripade podvrzeni zdrojovych kodu. Pouzivame bud originalni CD OpenBSD nebo vlastorucne zkompilovanou distribuci pod systrace, radeji verim stazenym zdrojakum z CVS (ssh) nez binarce na verejnych ftp i kdyz maji md5 obraz.. Rozdeleni disku na serverech (krome Dt) --------------------------------------- wd1a / ro,nodev,softdep 100 MB wd1b swap 2x fyzicka pamet (512 MB) wd1d /tmp rw,nodev,noexec,nosuid,softdep 1 GB wd1e /usr ro,nodev,softdep 2 GB wd1f /var rw,nodev,noexec,nosuid,softdep 100 MB wd1g /var/log rw,nodev,noexec,nosuid,softdep 2 GB (appendonly fs) wd1h /data rw,softdep zbytek na data Da+Dd+Dp+Dm - Dapl ------------------ OS na apl bych vratil OpenBSD, i pres detekovane problemy nam fungovalo celkem spolehlive, a vypadek serveru byl zapricenen hlavne, prerusenim dodavky energie ze strany casablanky (min. 3x), nebo HW problemem (sit. karty v GW, zdroj, deska, cpu v apl). Ostatni stroje farmy funguji bez problemu, a tudiz bych nemenil neco co spolehlive slouzi a nejsou s tim problemy. Z problemu se kterymi jsme se setkali, si vybavuji nasledujici (prosim o pripadne doplneni): 1) Problem s uvolnovanim semaforu, pro cache T-EXT. 2) Vycerpani sdilene pameti postgresql. 3) Nefunkcni zadny optimalizator pro php. Reseni problemu: 1) Podarilo se vyresit, pozdeji uz sem problem nedetekoval. 2) Reseni je zmena maximalni velikosti zdilene pameti. 3) eAccelerator, ktery momentalne pouzivame na Linuxu, nyni funguje i na openbsd 3.7, na apl jsme meli verzi OpenBSD 3.5. Tuto informaci kazdopadne nemam vyzkousenout a radeji bych ji overil. V apl se zmenila konfigurace HW na 64 bit procesor, s raid polem. OpenBSD ma nativni port pro 64 bitovou platformu, tudiz v pripade nutnosti muzeme vyuzit, veskery potencial 64 architektury. Nova deska ma nForce4 chipset, ktery je podporovan i OpenBSD ale bez podpory sata disku. Ze stavajiciho logu v linuxu nepoznam jestli tam jsou sata disky nebo ne. Dapl - obsahuje raid pole pro data partisnu, systemovy disk a zalozni disk. Kazdou noc pripravuje zalohu pgsql a cvs. Dt (trust) Master instalace --------------------------- Z pocitace (ten co mam pod stolem), na kterym bezela Apl pred prvnim padem, bych udelal pocitac na master distribuce. Zelezo prislo z reklamace uplne novy. (Amd 2200XP+ Semtrom, 120Gb Sata, 6Gb Ide) Tento pocitac by obsahoval duveryhodnou verzi distribuci spolecneho OS, se kterym by se ostatni pocitace (vcetne untrustu) synchronizovaly. Kazdy pocitac farmy by mel na lokalnim disku kompletni distribuci: /bin (obsahuje pouze staticky slinkovane binarky) /boot /etc /sbin (obsahuje pouze staticky slinkovane binarky) /var /tmp /data (ruzni se podle stroje, nekde je to soucasti napr var: untrust) /usr bsd (kernel) Dt: exportuje pres NFS pro kazdy pocitac: /home (s pravem rw) s aktualni konfigurace serveru nemame na teto partition zadna privatni nebo citliva data, ktera by v pripade prulomu rootem na nekterm pocitaci mela za nasledek vyznamejsi ztratu. tim ze budeme tuhle partisnu sdilet muzeme mit spolecny konfigurace, spolecnou historii pro vsechny pocitace (da se osetrit). Export teto partisny neni dulezity, v pripade muze byt i na /master_distr (s prave ro) posledni stable distribuce + patche. Je otestovana a lokalni servery si ji nakopiruji misto aktualni distribuce. Motivace pro Nfs: ----------------- Kdyz vyjde bezpecnosti aktualizace tak se upravuji pouze jedny zdrojove kody. Vsechny servery provozuji stejne aplikace a jsou k dispozici na kazdem stroji. Nfs v3 je bezestavovy sitovy filesystem, ktery muze bezet pres TCP nebo UDP. Ze zdroju na internetu jsem nalezl, ze je efektivnejsi nez SAMBA. V pripade vypadku, ma 2 volby nastaveni bud aplikaci oznami ze se nepodarilo data nacist (z duvodu sitovyho vypadku nebo pocitace), a ukonci ji nebo ji pozdrzi do pozdejsi doby nez bude zase pristupna. Nebezpeci NFS: -------------- Nfs nepodleha autentifikaci, da se pouze omezit na pocitace, ktere maji pravo si sdilene cesty pripojit. Pripade zisku roota napriklad na untrustu, muze utocnik se dostat na vsechny adresare v /home s write pravem tim ze provede "su user". Samotny zisk roota mu neumozni vyuzit toho ze "/master_distr" je sdileny a nahrat na nej podvrzeny soubor, protoze nfs pobezi se zapnutou "root_squit" tudiz pro server se root prava tvari jako user "nobody" a na serveru maji vsechny soubory v adresary "/master_distr" vlastnika "root" a skupinu "bin" a svazek je navic exportovani s pravy pouze pro cteni. V pripade havarie pocitace Dt, prestane fungovat pravdepodobne: - aktualizace systemu, ktera je ale vynucena z Dt, logovani, Sauth (zatim nebezi) + ostatni sluzby vsech serveru by meli zustat funkcni (www,postgresql,cbs,ftp,irc) Proc nekopirovat hned po bootu: ------------------------------- Po zkusenostech s vypadky elektriky nedoporucuju okamzite po bootovani prekopirovat /usr (vcetne local) distribuci na lokalni disk, protoze pokud nam najednou zacnou startovat vsechny pocitace a vsechny zacnou kopirovat v rozsahu 400 Mb muze start cele farmy trvat hodne dlouho. Aktualizace serveru ------------------- K centralni zprave budeme vyuzivat program "cf-engine" http://www.cfengine.org/, ktery umoznuje vzdalenou spravu pocitacu a dokaze vynutit aktualizaci softwaru na cilovem pocitaci. Trust obsahuje kompletni instalaci vsech programu, tudiz nehrozi, ze by sluzba na jednom pocitaci nebezela z duvodu, ze by ji chybely knihovny. Konfigurace jednotlivych pocitacu a sluzeb (na cilovem pocitaci v /etc) muze byt takze zde. Sluzba muze byt otestovana na tomto pocitaci, pred nasazenim na cilovy server a aktualizace konfiguracnich souboru, lze vynutit pomoci cf-engine primo z trust serveru. Konfigurace Cf-engine je jazyk, ktery umoznuje definovat tridy. Trida obsahuje posloupnost akci, kriteri, ktere na cilovem pocitaci budou provedeny, popripadne musi splnovat. Tridy lze prirazovat pocitacum/sitim. Na trust pocitaci bych provozoval 2 distribuce. Stable, se kterou jsou servery synchronizovany, a tato distribuce je exportovana pres nfs, kterou vyuziva cfengine k synchronizaci. (/master_distr, /etc pro kazdy pocitac) Druha distribuce je aktualni obsahuje posledni stable patche a build. Tato distribuce je ta, ze ktere je trust nabootovan (/usr /bin /sbin) a /usr/local obsahuje rebuild vsech aplikaci na aktualni verzi. Protoze tento pocitac je vyuzivan pouze pri synchronizaci, muzeme otestovat zda novy build bude stabilni, nez dojde k synchronizaci ostatnich serveru. V pripade ze nova aktualni distribuce je stabilni, dochazi k jejimu presunu na "/master_distr, nastaveni etc pro kazdy pocitac. " a je vynucena aktualizace ostatnich serveru s touto distribuci. "/master_distr" se kopiruje tedy pozdeji, ne pri bootu, ale kdyz uz vsechny sluzby bezi z "/usr" v momente, kdy je prekopirovano dochazi k rebootu stroje. Veskery software bude nainstalovan z ports, v pripade ze nebude posledni port pro (php/postgresql), tak ho vytvorim a submitnu. Pro sledovani bezpecnostnich problemu portsu budeme pouzivat (http://www.vuxml.org/) V pripade detekce, ze existuje update. Muze system automaticky provest update cvs /ports a rebuildovat nainstalovany software (/var/db/pkg). Na tohle je ale potreba napsat skript, popripadne se rozhlednout, zda existuje neco jako ma FreeBSD - cvspupit. Logovani -------- Trust obsahuje take otevreny sitovy socket pro syslog, pres ktery ostatni pocitace vzdalene loguji kopii logu. V pripade rebootu, padu zustava ale lokalni kopie logu na danem serveru. Povoleni syslogd je ve firewallu pouze pro interni interface a IP z rozsahu 192.168.x.x. Neduverihodne servery duplicitni logovani neprovadi. Trust provadi rotovani logu po tydnu a zalohuje je na zalozni disk. Spolecne nastaveni distribuci ----------------------------- Zakladni instalace OpenBSD ma defaultne nastavenou hladinu bezpecnosti hodne vysoko, napriklad soubory a adresare maji restriktvni pristupova prava v porovnani napriklad k linuxu. Standartni sluzby vetsinou bezi jako neprivilogavany uzivatele a chrootod. Viz Sendmail, Bind, Apache. Defaultni nastaveni sluzeb je vypnute. KERNEL ------ Kazdy server pouziva default kernel, popripadne plus spec zarizeni, jestli bude potreba. Rizeni je predano systemu, v momente kdy kernel uz bezi na Secure Level 1. PF -- Kazdy server (vyjma primych spojeni Dd, Da, Dp na x1 a konkrentnich sluzem napr. Dt pro cvs, Da/m - smtp) ma zakazany v pf jakykoliv pristup kamkoliv bez otevreneho prichoziho stavu. Tyto servery muzou komunikovat pouze s Dg (ktery pouzivaji jako defaultni router) a se servery v aktualni zone. Filtrovaci pravidlo je zarazeno do kernelu uz v insecure modu a po prepnuti do Secure Level 2 modu uz nejde pf pravidla menit jedine zpatky v single user modu (ktery ale neni sitovy, a po vstupu do tohoto modu je pf stale aktivni). Jediny zpusob jak lze vyradit tedy pf filter je fyzicky pristup. Tohle pravidlo zatim ignorujeme, kazdopadne se primlovam za jeho nasazeni. Rozhrani sitovych karet nepodporuje Promiscuitivni rezim, tudiz neni potreba kontrolovat, zda sitovka neodposlouchava ostatni, protoze ale pouzivame i SOHO switch tak nas promiscuitni rezim neohrozi. SSH --- SSH pristup je povolen pouze s Dg a to pouze protokolem ssh2 a drive ulozenymi RSA klici o velikosti alespon 1024 bitu. Tyto klice jsou chraneny pomoci imunizable flagu, tudiz nejdou v multiuser behu zmenit. Vzdalene se nelze prihlasit jako root, musi existovat admin konto ve wheel skupine (nejspis nase ray, sieglt). SSH doporucuji presunout na vyssi USER port oproti standartnimu aby utocnik musel provadet nmap a IDS mel sanci ho detekovat i kdyz. Na Dg je ssh povoleno pro konkretni IP na pf. ARP + KERBEROS or IPSEC ----------------------- Vsechny stroje ktere mezi sebou komunikuji maji nastaveny statickou ARP tabulku sitovych karet. arp -s MAC IP. V pripade velike paranoie muzeme rozbehnout Kerberos mezi stroji na lokalni siti, tim se vyradi moznost ze by doslo k podvrzeni serveru. Tuto vlastnost bych ale nezavadel. Stejne jako IPSEC. SYSLOGD ------- Vsechny servery loguji jak na lokalni disk do /var/log ktery je nastave pri bootu jako append only fs. Tak zaroven i pomoci syslog na Dt, kde jsou uchovavany kopie logu. Logy jsou rotovany s tydeni periodou, a pote zalohovany na apl. NTP ---- Synchronizace casu se provede pri bootu, nasleduje test zrychleni/spomaleni hodin (soucast ntpd), protoze po prechodu serveru do secure modu 2 nelze menit datum ani cas. Proto ntpd umi pracovat s relativnim zrychlenim/spomalenim a bude zarucena casova synchronizace. APACHE (httpd) -------------- Doporucuji pouzit apache server, ktery je v defaultni instalaci openbsd, nebot bezi v chrooted /var/www. A apache posloucha na nestandartnim portu na ktery vede redirekt z Dg. Default SENDMAIL ---------------- Nechal bych ho aby mohli jednotlive servery reportovat. Z venku je port 25 na serveru zakazany. Tudis sendmail se pouziva pouze pro odesilani ne prijmani. Zabezpecovaci Skripty --------------------- Kazda distribuce obsahuje skript ktery se provede pri boot a provede nastaveni chflags predtim nez kernel projde do secure modu. Tento skript se pozdeji ze serveru odstrani aby se utocnikovi ztizil. Zabezpecovaci skript udela minimalne nasledujici: chflags -R schg /etc/* chflags -R schg /var/cron/* chflags -R schg /var/www/conf/* chflags -R schg /var/ssl/* chflags -R sappnd /var/log/* chflags -R schg /home/*/.ssh/* chflags -R schg /root/.ssh/* Zalohovani ---------- Zalohovani provadi Dt - ktery zna klice ssh tak si muze stahnout z kterehokoli pocitace prakticky cokoli, tudiz si z apl taha z toho 200giga disku kazdou noc pripravenou zalohu pro databazi a cvs z raid pole. Zalohujeme nejdulezitejsi data (databazi, cvs) tudiz na 2 mistech ve dvou pocitacich. Dg - gate, firewall -------------------- Nejdulezitejsi pocitac webove farmy. Obsahuje pouze SSH, IDS, Bind jako resolver pro servery a Lucy zonu. Jako IDS bezi Snort (www.snort.org), ktery ma nastaveny senzor na trusted zonu, tudiz nedetekuje pokusi o utok na sluzby, ktere firewall zakazuje. Vytvari databazi, pokusu o prunik. Jedna se o open source produkt, ktery ale poskytuje pristup k aktualnim pravidlum za 1795$/rok, jinak zdarma, ale je pristup k 5 dni stary databazi. Myslim si ze tech 5 dni zpozdeni nam bude stacit a neni duvod byt vzdy aktualni. IDS bych nasadil, abysme meli alespon prehled o tom, jaky utoky se na nas zpousti. IDS bych nenasazoval v kombinaci (http://www.snortsam.net), ktery umoznuje pridavat pravidla do pf na zaklade vyhodnoceni jako utok. Mohlo by to byt zneuzito podvrzenim IP adres a server by byl takle odstaven od zbytku sveta. Kontrola integrity ------------------ Je provadena pomoci cf-engine, ktery si uklada md5 (sha1) obraz souboru a dokaze reportovat a aktualizovat v pripade neshody. Db (build) ---------- Je windows server, ktery provadi kazdodeni build snapshotu podle aktualniho CVS. Specifikaci doplni Lada.