Computer a norma in ufficio, mi date una mano?

[Herod2k]

Salve ragazzi,

devo mettere a norma un serverino GNU Linux Debian dentro un'ufficio esattamente devo fare le seguiti cose:
1. Devo cancellare in automatico gli utenti che non si loggano in un periodo di 6 mesi.
2. Il server fa da gateway, dovrei, tramite iptables, chiudere tutte le porte e lasciare aperte la 80 e quella che usa outlook per la posta, qualcuno mi passa qualche regola di iptables? grazie
3. Il server deve scansionare i virus, pensavo di mettere ClamAV, è a pagamento? ci sono delle alternative valide? Funziona? Posso dormire tranquillo? ClamAV filtra tutto ciò che passa tramite internet giusto? Non vorrei installare anitivirus sui clients Windows, sono dei mattoni.
4. Devo montare un Raid Hardware e due HD SCSI, qualcuno mi consiglia un modello decente di controller Raid, che sia hardware? Se usassi quello di linux, è affidabile?
5. C'è un modo per cambiare in modo casuale le password degli utenti ogni tot mesi e farle spedire via emails agli utenti??

Grazie mille.

H2K

[Pardo]

Quote:

1. Devo cancellare in automatico gli utenti che non si loggano in un periodo di 6 mesi.

dipende da non si loggano dove ...

se si tratta della shell basta finger
(nel senso che fai uno script bash che fingera gli user e legge la linea "last logged in" e decide se deletarli)

Quote:

2. Il server fa da gateway, dovrei, tramite iptables, chiudere tutte le porte e lasciare aperte la 80 e quella che usa outlook per la posta

per quanto riguarda la parte di gatewayaggio e` sostanzialmente tutto qua

Codice:

LOCALIF="eth0"
LOCALNET="10.0.0.0/24"
MYIP="10.0.0.1"

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P FORWARD DROP

#instrada qualunque connessione da tutta la LAN
##iptables -A FORWARD -i $LOCALIF -o ppp0 -s $LOCALNET -j ACCEPT

#instrada le seguenti da tutta la LAN
iptables -A FORWARD -i $LOCALIF -o ppp0 -s $LOCALNET -p udp --dport 53 -j ACCEPT #dns
iptables -A FORWARD -i $LOCALIF -o ppp0 -s $LOCALNET -p icmp -j ACCEPT #icmp tutti
iptables -A FORWARD -i $LOCALIF -o ppp0 -s $LOCALNET -p tcp -m multiport --dport 80,443,21,20 -j ACCEPT #web
iptables -A FORWARD -i $LOCALIF -o ppp0 -s $LOCALNET -p tcp -m multiport --dport 25,110,143,993,995 -j ACCEPT #mail

#maschera ip origine dalla LAN
iptables -t nat -A POSTROUTING -o ppp0 -s $LOCALNET -j MASQUERADE

#traffico da fuori alla LAN in risposta a connessioni mascherate
iptables -A FORWARD -i ppp0 -o $LOCALIF -d $LOCALNET -m state --state ESTABLISHED,RELATED -j ACCEPT

#logga il resto
iptables -A FORWARD -j LOG -m limit --limit 60/minute --log-level notice --log-prefix "==DROP== "

Quote:

3. Il server deve scansionare i virus, pensavo di mettere ClamAV, è a pagamento? ci sono delle alternative valide? Funziona? Posso dormire tranquillo? ClamAV filtra tutto ciò che passa tramite internet giusto? Non vorrei installare anitivirus sui clients Windows, sono dei mattoni.

mha nn so, almeno un www.free-av.com io lo metterei.
tanto i virus li beccano lo stesso se filtri dal server perche` gli utenti caricano cmq cazzate nei pc..
e` difficile garantire una sicurezza completa agendo solo lato server.

Quote:

5. C'è un modo per cambiare in modo casuale le password degli
utenti ogni tot mesi e farle spedire via emails agli utenti??

script che pesca (dd) 8 caratteri da /dev/urandom, li maila agli user con mail o mutt, e li cripta e scrive in /etc/shadow al posto della vecchia

(per criptare nel formato unix suppongo ci siano librerie C o anche il prog gia` fatto da qualche parte)

il tutto cronizzato ogni tot mesi

[Herod2k]

Quote:

Originariamente inviato da Pardo

dipende da non si loggano dove ...
se si tratta della shell basta finger
(nel senso che fai uno script bash che fingera gli user e legge la linea "last logged in" e decide se deletarli)

Grazie per tutte le risposte, gli utenti dei clients windows se non si loggano tramite samba entro 6 mesi devo cancellare il loro profilo (pare dche dica così la legge).