|
In questa e nella prossima pagina vengono fornite ulteriori informazioni
su cosa è raccomandabile fare su un sistema destinato ad
essere messo su Internet in produzione.
L'installazione di un server Linux con il CD-ROM della distribuzione
scelta, infatti, è solo la prima fase.
A questa vanno fatte seguire:
- Aggiornamento dei pacchetti (Pag. 15-1)
- Rimozione dei servizi non utilizzati (Pag. 15-2)
- Ricompilazione del kernel (raccomandabile) (Pag. 15-3)
- Customizzazione del sistema secondo policy congruenti e generali
(Questa pagina)
- Intervento su alcune configurazioni riguardanti la sicurezza del
sistema (Pag. 15-4)
|
| POST-INSTALL SYSTEM
CUSTOMIZATION CHECK-LIST |
|
Sincronizzare l'ora con un time server
- RECCOMENDED
E' sempre buona cosa avere l'ora sincronizzata
su tutti i server che si gestiscono.
Il modo migliore di farlo è utilizzare un NTP server
centrale per la propria rete (può essere un router
Cisco, particolarmente semplice da configurare) e usarlo come
time server da parte di tutti gli host. Su Linux il comando
ntpdate time.server.com
(presente nel pacchetto ntp-*.rpm ) esegue l'aggiornamento
dell'ora locale a quella di time.server.com.
Si consiglia di crontabbare questo comando e di eseguirlo
ad ogni boot.
|
|
|
Redirezionare le mail per root -
RECCOMENDED
La maggior parte delle mail che invia
il sistema o i singoli programmi vengono redirezionate alla
mailbox dell'utente root.
Se si hanno diverse macchine da amministrare risulta scomodo
dover controllare la mail di root su ogni sistema.
Una possibilità è forwardare tutte tutte le
mail destinate all'utente root ad un account di posta che
si controlla regolarmente con il proprio client favorito.
Per farlo basta creare il file /root/.forward
e inserire nella prima riga l'indirizzo e-mail a cui si vuole
forwardare la mail destinata a root.
|
Invio periodico di mail di stato
Può capitare che un sistema venga
"dimenticato" dopo essere stato messo in produzione.
L'amministratore non lo controlla e eventuali problemi vengono
a galla solo troppo tardi, quando sono già avvenuti.
Il miglior modo per gestire diversi server sarebbe quello di
avere un sistema centralizzato di management e monitoring. In
mancanza di una soluzione simile un metodo manuale che invia
periodicamente delle mail di status sul sistema può aiutare
a tenere sotto osservazione diversi sistemi (anche se poi, spesso,
ci si ritroverà a non controllare nemmeno le mail).
Un esempio di cosa può essere contenuto nello script
che raccoglie info sullo stato del sistema (in questo caso crea
un file, con il nome uguale alla data corrente, nella directory
/home/getdata, questo file può poi essere inviato via
mail tramite cron):
#!/bin/sh
home=/home/getdata
file=$(date '+%Y-%m-%d')
touch $home/$file
/bin/uname -a >> $home/$file
/bin/df -k >> $home/$file
/bin/netstat -rn >> $home/$file
/sbin/ifconfig >> $home/$file
/bin/netstat -l >> $home/$file
/bin/netstat -s >> $home/$file
cat /etc/resolv.conf >> $home/$file
cat /etc/hosts >> $home/$file
ps -adef >> $home/$file
/sbin/iptables -L >> $home/$file
/usr/bin/who -l >> $home/$file
/bin/cat /root/.bash_history >> $home/$file |
|
|
