Salta l'introduzione Italia - Italiano
HP.com Italia Prodotti e Servizi Supporto e Drivers Soluzioni Come Acquistare
» Contatta HP
Altre opzioni
HP.com Italia
 Manuale dell'utente di Distributed Systems Administration Utilities > Capitolo 2 Sincronizzazione della configurazione

Note sulla sicurezza
» 

Documentazione tecnica

Libro completo in PDF
» Feedback
Inizio contenuto

 » Sommario

 » Indice

spacerspacerspacer
spacer
spacer
  		 
 

cfengine dispone di molte funzionalità di protezione, che vanno dai parametri per controllare gli attacchi negazione del servizio – DoS – fino alle liste di controllo dell’accesso, che impediscono ai client amministrati di accedere alle directory dei file di riferimento nel server. Per i dettagli sulle funzionalità di sicurezza di cfengine, consultare il suo manuale, situato in /opt/dsau/doc/cfengine/. I temi relativi alla sicurezza qui trattati comprendono:

  • Scambio delle chiavi

  • Uso delle porte di rete

  • Crittografia

  • Allarmi di tipo checksum

Scambio delle chiavi

In tutti gli esempi di scambio di chiavi mostrati finora, per il trasferimento protetto della chiave pubblica del server master nel client amministrato e di quella del client amministrato nel server master, è stato utilizzato scp. Questo schema offre il maggiore livello di protezione, ma in alcune situazioni può essere problematico. Altre possibilità di distribuzione delle chiavi comprendono:

  • Alla connessione con un nuovo client, cfrun dispone di una modalità interattiva simile a ssh, nella quale all’amministratore sarà chiesto di accettare la chiave del sistema remoto. Ad esempio:

    cfrun(0): .......... [ Hailing remote-host.abc.xyz.com ] .......... 
WARNING - You do not have a public key from host remote-host.abc.xyz.com =
192.10.25.12 
Do you want to accept one on trust? (yes/no)
→ yes
cfrun:nome_server_master: Trusting server identity and willing to accept key
from remote-host.abc.xyz.com=192.10.25.12

  • La modalità interattiva può rivelarsi inefficiente con un gran numero di client. cfrun supporta l’opzione -T, che indica a cfengine di dare fiducia a tutte le nuove chiavi degli host elencati in cfrun.hosts.

  • cfservd.conf supporta la clausola di controllo TrustKeysFrom. Ad esempio:

    control:
TrustKeysFrom = ( 128.39.89.76 ) # Un host fidato
TrustKeysFrom = ( 128.39.89.76/24 ) # Una sottorete fidata

    Gli host o gli indirizzi di sottorete elencati saranno implicitamente fidati e le loro chiavi saranno accettate automaticamente.

Tutte queste alternative di scambio delle chiavi devono essere utilizzate con estrema attenzione e solamente in ambienti sicuri, in cui la LAN è fidata, così come lo sono gli host remoti. Una volta che è stata accettata, la chiave pubblica non sarà aggiornata, a meno che sia eliminata manualmente dalla directory /var/opt/dsau/cfengine/ppkeys del server master, sostituita manualmente da una nuova chiave, o aggiornata eseguendo la procedura guidata csync.

Uso delle porte di rete con csync

Per impostazione predefinita, cfservd usa la porta TCP 5308. È possibile impostare cfagent in modo che si connetta a cfservd utilizzando un’altra porta, specificandola nel file cfrun.hosts. Ad esempio:

host1.abc.xyz.com # Usa la porta standard
host2.abc.xyz.com # Usa la porta standard
host3.abc.xyz.com:4444 	# Usa la porta 4444

Inoltre, cfengine utilizzerà una porta TCP che sia stata definita per cfengine in /etc/services. In /etc/services sono presenti le modifiche corrispondenti.

Crittografia

In generale, il traffico di trasferimento file tra il server master ed un client amministrato non è crittografato. Questo è accettabile per molti file di configurazione correlati all’amministrazione di sistema. Per alcuni file, è desiderabile il loro trasferimento crittografato. L’azione di copia in cfagent.conf contiene l’opzione "encrypt = true", per crittografare il file specificato. Per le ulteriori opzioni crittografiche, consultare il manuale di cfengine, in /opt/dsau/doc/cfengine.

Allarmi di tipo checksum

cfengine ha una funzionalità di allarme per il checksum. Per controllare le variazioni al checksum di un file, compiere le operazioni seguenti:

  • Aggiungere la seguente definizione a /var/opt/dsau/cfengine_master/inputs/cfagent.conf:

    ChecksumUpdates = ( “on” )

  • Nella sequenza di azioni "files" di cfagent.conf, aggiungere l'opzione checksum = md5, oppure quella checksum = sha, per i file da controllare. Ad esempio,

    files:
class::
/etc/example
mode = 644
checksum = md5

    Questa opzione per checksum è diversa da quella checksum = true utilizzata nella sequenza di azioni per la copia. Quell'opzione indica a cfengine di utilizzare il valore checksum al posto di quello di data ed ora per decidere se è necessario copiare il file.

Se non dovesse esistere già, cfagent creerà nel client il database dei valori checksum. Quando ChecksumUpdates è impostata come "on" o "true", il valore checksum corrente dei file controllati sarà aggiunto al database o aggiornato. Dopo l’esecuzione iniziale per compilare il database dei valori checksum, cambiare ChecksumUpdates a "off". A questo punto, qualsiasi variazione del valore checksum di un file controllato provocherà un avviso di protezione. Ad esempio:

host1: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
host1: SECURITY ALERT: Checksum for /etc/example changed!
host1: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


Configurazione di cfengine
  		 


Disattivazione dell’uso di cfengine  
Versione stampabile
Informativa sulla privacy Usando questo sito si accettano le sue condizioni
© Hewlett-Packard Development Company, L.P.