Subpage under development, new version coming soon!
Subject: Experimentar Linux
Pregunta semi-urgente para todos los hippies:
¿Hay una forma de hacer que un archivo/directorio NO sea legible para el administrador?
Es decir, como administrador, ¿puedo auto-restringirme de tal forma que sólo el usuario pueda devolverme el acceso a su archivo?
¿Hay una forma de hacer que un archivo/directorio NO sea legible para el administrador?
Es decir, como administrador, ¿puedo auto-restringirme de tal forma que sólo el usuario pueda devolverme el acceso a su archivo?
No, es imposible. El usuario root siempre tiene acceso a todo.
Uh, gran bajón. Cero privacidad!
Es que un profe acá quiere pedir una base de datos que exige un compromiso de confidencialidad, y tiene que rellenar un formulario sobre las condiciones en que estarían los datos. Quedaría muy bien si pudiera decir que sólo él los va a poder mirar :P
Es que un profe acá quiere pedir una base de datos que exige un compromiso de confidencialidad, y tiene que rellenar un formulario sobre las condiciones en que estarían los datos. Quedaría muy bien si pudiera decir que sólo él los va a poder mirar :P
Estoy casi seguro que eso no se puede hacer en ningún sistema. Por motivos de seguridad el administrador del sistema debe tener acceso a todos los archivos y se supone que por una cuestión ética no debería mirar los contenidos de los archivos que no le pertenecen.
Lo que te recomiendo en un caso así es que el tipo meta el archivo en un rar o zip con password y listo!
Lo que te recomiendo en un caso así es que el tipo meta el archivo en un rar o zip con password y listo!
Si, para algo existe el admin.
Lo que podes hacer es zipearlo con password, eso es seguro, la otra es hacer algo mas complicado y encriptar los datos con una llave publica al meterlos en la BD y sacarlos con una llave privada. Pero creo que eso ya seria muy complicado.
Lo que podes hacer es zipearlo con password, eso es seguro, la otra es hacer algo mas complicado y encriptar los datos con una llave publica al meterlos en la BD y sacarlos con una llave privada. Pero creo que eso ya seria muy complicado.
Estuve consultando y quizás pruebe con "truecrypt" o algo así, o quizás tratemos de convencer a los proveedores de los datos de que "está tdo bien, fierita" así como está :P El problema con el rar es que los necesita descomprimidos para correr un programa de estadística y demás que use esos datos (durante horas), y en ese interim vendría yo y vendería el teléfono de Castor a la CIA :P
Como se nota que lso que hacen software son siempre admins de algún lado, más que users pelados :P
Gracias por las respuestas!
Como se nota que lso que hacen software son siempre admins de algún lado, más que users pelados :P
Gracias por las respuestas!
El "Truecrypt" es muy bueno y facil de usar, bajalo que es una boludes, no tardas nada en abrir los archivos y volverlos a cerrar... :P
Pd: 1ra vez que comento algo productivo aca creo... XD
Pd: 1ra vez que comento algo productivo aca creo... XD
Hoolaaa
Vengo de neuvo a que hagan mi trabajo por mí :P Encontré varias cosas parecidas a la que necesito, pero ninguna es realmente lo que necesito...
Básicamente (y ya que no puedo excluir al root :P), lo que busco es loggear todos los accesos a un determinado archivo (o directorio, o disco, lo qeu se pueda, después me encargo de que en el directorio/disco en cuestión sólo estén lso archivos que me interesan). Me alcanzaría con algo que escriba en un archivo de texto, cada vez que alguien accede a esos archivos, la fecha, el user y la IP (incluso me basta con el user y la fecha, porque la IP externa queda en el auth.log, y la interna no me interesa :P).
Lo más que encontré es el lsof (que no tengo :P), que, al parecer, te puede decir qué archivos están abiertos en una carpeta determinada, por qué proceso, qué usuario (no sé si el que los abrió o el dueño), etc. El problema es que lo hace a pedido, e incluso si lo automatizo para que lo tire cada X tiempo es un control imperfecto (porque lo tengo que agarrar justo mientras está abierto, si alguien hace una copia entre dos comrpobaciones me lo pierdo por completo). Lo que busco es más bien un residente que "salte" cuando accedan a esos archivos y lo registre en un log.
¿Esto existe?
Vengo de neuvo a que hagan mi trabajo por mí :P Encontré varias cosas parecidas a la que necesito, pero ninguna es realmente lo que necesito...
Básicamente (y ya que no puedo excluir al root :P), lo que busco es loggear todos los accesos a un determinado archivo (o directorio, o disco, lo qeu se pueda, después me encargo de que en el directorio/disco en cuestión sólo estén lso archivos que me interesan). Me alcanzaría con algo que escriba en un archivo de texto, cada vez que alguien accede a esos archivos, la fecha, el user y la IP (incluso me basta con el user y la fecha, porque la IP externa queda en el auth.log, y la interna no me interesa :P).
Lo más que encontré es el lsof (que no tengo :P), que, al parecer, te puede decir qué archivos están abiertos en una carpeta determinada, por qué proceso, qué usuario (no sé si el que los abrió o el dueño), etc. El problema es que lo hace a pedido, e incluso si lo automatizo para que lo tire cada X tiempo es un control imperfecto (porque lo tengo que agarrar justo mientras está abierto, si alguien hace una copia entre dos comrpobaciones me lo pierdo por completo). Lo que busco es más bien un residente que "salte" cuando accedan a esos archivos y lo registre en un log.
¿Esto existe?
Lo que necesitás creo que se puede hacer con SELinux. No te asustes. no es una distribución, sino una serie de programas que entre otras cosas permiten auditar la actividad en un sistema. Sinceramente, mi paranoia no llegó a tanto como para tener que usarlo. :-P De todas maneras, si buscás "selinux howto" o "selinux tutorial" te van a aparecer varios documentos que te van a ayudar con la configuración. Y acá hay alguien que quiere hacer algo parecido a lo que vos planteás, fijate si te sirve. ;-)
Buenísimo, Yogurtu, en efecto parece hacer lo qeu quiero hacer (también encotnré un link de Freelancer donde pedían que alguien les haga lo qeu yo busco :P).
La única duda qeu me queda es si esto interferirá en alguna medida con LDAP u otra cosa parecida (por lo qeu leí, va "después" de todo lo básico de Linux, lo que lo haría fácil de poner y sacar si no me gusta el resultado, pero me dan cierto temor esos otros programas qeu instalé "por encima" del linux, para manejar usuarios, trabajos, etc). Y si no rompo todo :P
La única duda qeu me queda es si esto interferirá en alguna medida con LDAP u otra cosa parecida (por lo qeu leí, va "después" de todo lo básico de Linux, lo que lo haría fácil de poner y sacar si no me gusta el resultado, pero me dan cierto temor esos otros programas qeu instalé "por encima" del linux, para manejar usuarios, trabajos, etc). Y si no rompo todo :P
Mirá, en teoría SELinux se instala por encima de todo y supervisa al sistema, pero no altera las configuraciones, aśi que si algo deja de funcionar, siempre tenés la opción de bootear con el SELinux deshabilitado o incluso desinstalarlo y volver todo a su estado original. Por las dudas fijate en la documentación de SELinux si tiene alguna incompatibilidad con LDAP.
Lo que yo te recomendaría hacer es clonar el servidor activo a otra PC y "jugar" con el clon, cosa de que si te mandás alguna cagada o el SELinux hace algo inesperado, no rompas lo que ya tenés andando. No es bueno experimentar sobre equipos de producción. ;-)
Lo que yo te recomendaría hacer es clonar el servidor activo a otra PC y "jugar" con el clon, cosa de que si te mandás alguna cagada o el SELinux hace algo inesperado, no rompas lo que ya tenés andando. No es bueno experimentar sobre equipos de producción. ;-)
Uuuuffff... pero lo qeu vos me recomendás es trabajar de verdad :P
Tengo hace como 6 meses una pila d emáquinas viejas en las qeu jamás pude instalar el mismo cluster soft que tenemos en el cluster posta. Más exactamente, nunca logramos que ande el NFS :P Realmente no hay mucho lugar donde montar clones... (digamos, incluso si tuviera las máquinas, peustos a instalar todo, lo reinstalo en el de verdad si hace falta :P).
La otra joda es que siempre hay algo corriendo, con lo cual tengo que coordinar a todos los usuarios (en tiempo record :P) para que no manden más nada, reiniciar el cluster las veces qeu haga falta (durante no más de un día, si es posible) y dejarlo andando otra vez. Y rogar que cualquier reparación futura no requiera un reinicio :P
Pero bueno, esto es lo que pasa cuando la infraestructura informática está a cargo de economistas (?).
Leí por ahí que peude surgir algun cconflicto tanto con LDAP como con Torque (el gestor de recursos), pero en principio nada de eso me afectaría si pongo SELinux en no sé qué modo que registra todo pero o bloquea nada, qeu es al final lo qeu necesito (tengo la sensación de que voiy a instalar todo un sistema elaboradísimo de seguridad y gestión para que se limite a guardar un log pedorro, pero no conseguí nadie más que lo haga!)
Tengo hace como 6 meses una pila d emáquinas viejas en las qeu jamás pude instalar el mismo cluster soft que tenemos en el cluster posta. Más exactamente, nunca logramos que ande el NFS :P Realmente no hay mucho lugar donde montar clones... (digamos, incluso si tuviera las máquinas, peustos a instalar todo, lo reinstalo en el de verdad si hace falta :P).
La otra joda es que siempre hay algo corriendo, con lo cual tengo que coordinar a todos los usuarios (en tiempo record :P) para que no manden más nada, reiniciar el cluster las veces qeu haga falta (durante no más de un día, si es posible) y dejarlo andando otra vez. Y rogar que cualquier reparación futura no requiera un reinicio :P
Pero bueno, esto es lo que pasa cuando la infraestructura informática está a cargo de economistas (?).
Leí por ahí que peude surgir algun cconflicto tanto con LDAP como con Torque (el gestor de recursos), pero en principio nada de eso me afectaría si pongo SELinux en no sé qué modo que registra todo pero o bloquea nada, qeu es al final lo qeu necesito (tengo la sensación de que voiy a instalar todo un sistema elaboradísimo de seguridad y gestión para que se limite a guardar un log pedorro, pero no conseguí nadie más que lo haga!)
Uuuuffff... pero lo qeu vos me recomendás es trabajar de verdad :P
Tengo hace como 6 meses una pila d emáquinas viejas en las qeu jamás pude instalar el mismo cluster soft que tenemos en el cluster posta. Más exactamente, nunca logramos que ande el NFS :P Realmente no hay mucho lugar donde montar clones... (digamos, incluso si tuviera las máquinas, peustos a instalar todo, lo reinstalo en el de verdad si hace falta :P).
Una vez que tenés un sistema andando, clonarlo es bastante simple (con dd o tar), ni hablar si disponés del mismo hardware. ;-) Pero me surge una duda, que tipo de cluster estás usando?
La otra joda es que siempre hay algo corriendo, con lo cual tengo que coordinar a todos los usuarios (en tiempo record :P) para que no manden más nada, reiniciar el cluster las veces qeu haga falta (durante no más de un día, si es posible) y dejarlo andando otra vez. Y rogar que cualquier reparación futura no requiera un reinicio :P
Bueno, justamente por este motivo te recomendé uar un clon para experimentar, cosa de "molestar" a los usuarios lo menos posible. :-)
Leí por ahí que peude surgir algun cconflicto tanto con LDAP como con Torque (el gestor de recursos), pero en principio nada de eso me afectaría si pongo SELinux en no sé qué modo que registra todo pero o bloquea nada, qeu es al final lo qeu necesito (tengo la sensación de que voiy a instalar todo un sistema elaboradísimo de seguridad y gestión para que se limite a guardar un log pedorro, pero no conseguí nadie más que lo haga!)
Es cierto que SELinux es bastante elaborado y probablemente mucho más de lo que necesitás, pero no creo que encuentres una solución que funcione mejor para lo que vos estás tratando de hacer. ;-)
Tengo hace como 6 meses una pila d emáquinas viejas en las qeu jamás pude instalar el mismo cluster soft que tenemos en el cluster posta. Más exactamente, nunca logramos que ande el NFS :P Realmente no hay mucho lugar donde montar clones... (digamos, incluso si tuviera las máquinas, peustos a instalar todo, lo reinstalo en el de verdad si hace falta :P).
Una vez que tenés un sistema andando, clonarlo es bastante simple (con dd o tar), ni hablar si disponés del mismo hardware. ;-) Pero me surge una duda, que tipo de cluster estás usando?
La otra joda es que siempre hay algo corriendo, con lo cual tengo que coordinar a todos los usuarios (en tiempo record :P) para que no manden más nada, reiniciar el cluster las veces qeu haga falta (durante no más de un día, si es posible) y dejarlo andando otra vez. Y rogar que cualquier reparación futura no requiera un reinicio :P
Bueno, justamente por este motivo te recomendé uar un clon para experimentar, cosa de "molestar" a los usuarios lo menos posible. :-)
Leí por ahí que peude surgir algun cconflicto tanto con LDAP como con Torque (el gestor de recursos), pero en principio nada de eso me afectaría si pongo SELinux en no sé qué modo que registra todo pero o bloquea nada, qeu es al final lo qeu necesito (tengo la sensación de que voiy a instalar todo un sistema elaboradísimo de seguridad y gestión para que se limite a guardar un log pedorro, pero no conseguí nadie más que lo haga!)
Es cierto que SELinux es bastante elaborado y probablemente mucho más de lo que necesitás, pero no creo que encuentres una solución que funcione mejor para lo que vos estás tratando de hacer. ;-)
Jajaja! Te veo preocupado por el asunto :P
Pero yo para esas cosas soy de madera. Acá le pido el borrador al ministerio, ruego qeu me salga a devolver y firmo sin entrar en detalles :P
Pero yo para esas cosas soy de madera. Acá le pido el borrador al ministerio, ruego qeu me salga a devolver y firmo sin entrar en detalles :P