CERT/Politikk

From Programvareverkstedet
Jump to navigation Jump to search

Mail

PVV tillater i dag ikke relaying av mail utenfra NTNU. Dette hindrer at PVV blir brukt som mellomstasjon for masseutsending av mail (spam). Vi benytter også Realtime Blackholing som medfører at mail fra kjente spam-domener samt domener som er vennligsinnede/nøytrale mot slike blir stoppet. Også norske ISPer har vært svartelistet her, noe som bør medføre klage direkte til disse for at de ikke gjør nok for å stoppe spamming.

Dersom du mottar spam og ønsker gjøre noe med det, kan du ta en titt på procmail som er et godt verktøy for å filtere mail. man procmail, man procmailex og man procmailrc burde hjelpe deg et stykke på veg. Du kan også ta en titt på Nettverksgruppas side om spam og procmail.

Innlogging

Alle maskiner, også private, ved PVV skal ha tcpwrapper, eit program, som kan filtrere innkomande forbindelser ut fra et sett regler som finnes i filene /etc/hosts.deny og /etc/hosts.allow på alle maskiner. Dette regelsettet ser pr. idag (23.8.1998) slik ut:

/etc/hosts.deny:
ALL : ALL

/etc/hosts.allow:
talkd : .pvv.ntnu.no
ALL : .newcastle.edu.au, .demon.co.uk, .falmouth.ac.uk, 193.61.64. , 195.194.77. , 129.241.56.25 , .no 

Dette betyr at alt pr. default er stengt ute fra alle tjenester, men at vi har sluppet inn alt som kommer til talkd fra resten av PVV. Alle andre tjenester er begrenset til noen domener og IP-adresse-serier (. før eller etter en serie betyr h.h.v. alle maskiner på domenet eller alle IP-adresser på dette subnettet) i tillegg til alt som ender på .no.

Generelt ønsker vi bare slippe inn norske maskiner på alle tjenester. I tillegg kan vi slippe inn enkelte domener og IP-adresser på forespørsel. Husk derfor å si fra dersom du reiser utenlands for lengre eller kortere perioder og ønsker å kunne logge inn underveis.

Merk at du kan bli nektet adgang til PVVs maskiner selv om du sitter i Norge. Dette skyldes som regel to ting:

  • Maskina du er logget inn på er ikke registert i DNS (navneserver) og vil derfor ikke bli regnet som .no. Dette gjelder bla. en del oppringtnoder hos flere ISPer.
  • Maskina du sitter på er ikke registert som en .no-maskin. Dette gjelder feks. en del multinasjonale selskaper under .com. Spesielt gjelder dette ISPen Telia, som bruker domenet telia.com.

Dersom du er rammet av et av disse to punktene, kan du ta kontakt med cert@pvv.ntnu.no. Vi vil forsøke å hjelpe deg - men:

  • Vi åpner ikke for alle maskiner som ikke er registerte i DNS eller for alle maskiner hvor som helst i verden, altså må du vite minimum hvilket subdomene (feks. 129.241.210 eller cs.mit.edu) maskinen(e) du bruker står på, helst hele adressen (feks. 129.241.210.221 eller blubb.cs.mit.edu).
  • Vi åpner ikke for innlogging fra telia.com. Dette skyldes bla. at vi har svært negative erfaringer med denne ISPen fra tidligere hendelser, og at de ikke vil fortelle hvilke noder som befinner seg hvor (Telia er multinordisk, men vi kunne feks. tillatt innlogging for norske Telia-brukere).

Logging

PVV logger en del. Alle dine innlogginger vil bli registert, og du kan bli kontaktet av oss dersom du har innlogginger fra flere domener eller dersom det er andre ting som ser merkelig ut. Dersom vi har mistanke om at kontoen din er brukt til innbrudd eller andre ulovligheter, kan vi sjekke feks. history-filer eller andre filer, også om de er lesebeskyttet. Vi vil under ingen omstendigheter lese mail. Du vil selvfølgelig bli orientert dersom noe mistenkelig blir funnet.

Dersom du har mistanke om innbrudd på din egen eller andres konto, må du straks ta kontakt med oss slik at vi kan finne ut om noe galt har skjedd. En henvendelse for mye er bedre enn en for lite. Rask reaksjon fra oss og brukere kan spare oss for mye arbeid senere.

Programvare

Vi ønsker at våre brukere benytter ssh (secure shell) i stedet for telnet/rsh for innlogging. ssh krypterer forbindelsen totalt, og forhindrer bla. at passordet ditt bli overført i klartekst over nettet.

For kryptering av mail og andre filer, kan vi anbefale PGP - Pretty Good Privacy.