On Wed, 31 Jan 2007 10:39:14 +0100 Fritz Mundtart <f.mundtart@webof.de> wrote:
Als Serverkonfiguration würde ich von folgendem ausgehen: - SUSE 9.1 - Apache 2 - PHP - MySQL - vsftp - ssh - ssl - SUSEfirewall - Cron-Jobs Es befinden sich ca. 20 User im Home-Dir, die so ein bis zwei
Na, PHP und Suse9.1 im public Internet (?) - dann ist der Security-Level ja nicht allzu hoch. ;-) Suse 9.1 wird nicht mehr unterstützt, also kannst Du mal davon ausgehen, dass die Bugs der letzten 10 Monate noch auf Deinem System vorhanden sind und da war Apache mit PHP sowie SSL und SSH nicht nur einmal dabei, wenn ich die security-announce-Liste so auf die Schnelle durchblättere. FYI: http://en.opensuse.org/SUSE_Linux_Lifetime Beim 9.1 bin ich nicht sicher, ob das bereits per Default mit UTF-8 im Kernel arbeitet, ansonsten ist in dem Bereich der größte Ärger beim Upgrade zu erwarten, je nachdem, wie die User drauf zugreifen. Da 9.1 bereits mit Kernel 2.6 arbeitet, dürfte es hier weniger Ärger beim Upgrade geben. Vielleicht generell auf SLES wechseln, da werden Patches länger geliefert. Regelmäßigen Wartungsaufwand würde ich mit 1 h/d veranschlagen, um für umgehende Patches zu sorgen, die seccheck-Ergebnisse zu sichten und die Datensicherung zu kontrollieren. Typischerweise geht das per Fernwartung, wobei etwaige Backup-Datenträger halt wer anders wechseln muss. Am Anfang vielleicht eher 2 h/d. später eher weniger als 1 h/d. Kommt auf die Fähigkeiten an. Im Linux-Bereich gibt's halt auch viele "Bastler", die länger brauchen. Dazu kommt ein gewisses Budget für Unregelmäßigkeiten und Weiterentwicklung, usw.. Dafür kann man dann einen Rahmenvertrag mit Stundensätzen machen. Vielleicht auch alle 2..3 Monate eine Gerätereinigung, forced fsck (offline) und sowas einplanen und Recovery testen. Was Zugänge betrifft: Eine Form von Reporting solltet Ihr so oder so vereinbaren. Zugang per ssh nur für Normal-User und dann weitreichende sudo-Berechtigung für die Personen mit Administrationsbefugnis erteilen. Ist recht schnell eingerichtet - IIRC ist bei oS-10.2 jetzt sogar ein extra sudo-Tool im Yast drin. Dabei möglichst bash und andere Shells ausschließen. Hat den Vorteil, dass man schneller im Überblick hat, wer wo was zuletzt geändert hat, wenn anschließend was nicht mehr geht. Erweiterte Security bietet ein eigener Loghost, auf den jemand anders als der Admin Zugriff hat, der per syslog alles mitschreibt und auf dem auch Kopien von seccheck-Mails landen. Das root-PW gehört dann "natürlich" in den Tresor und nur für Systemupgrades ausgepackt. -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org