A hun.* csoportokat karbantartó üzenetek hiteles aláírásáról

Kiss Gábor, 1999. április

Haladva a korral, 1999. májusától a hun.* csoportok létrehozását és törlését irányító ún. control üzeneteket PGP aláírással látom el. Ez leginkább azért szükséges, mert a hamis üzenetek ellen védekező news adminisztrátorok erre tartanak igényt. Az aláírás nélküli üzeneteket nem automatikusan dolgozzák fel, hanem kézzel, de csak amikor éppen ráérnek.

Ezzel egy időben a cikkeket kibocsátó feladó is változik. Ezentúl <hun-mnt@news.sztaki.hu> lesz. Ennek pedig az az előnye, hogy ha személyi változás állna be a csoportadminisztrációban, nem kell a világ összes news szerverét átkonfigurálni, hanem elég csak a news.sztaki.hu gépen egy alias-t megváltoztatni, hogy az új csoportadminisztrátorhoz menjenek az esetleges levelek. (Nem szoktak. ;-)

Persze most egy alkalommal át kell írni a control.ctl file-t (ahol INN fut), de ezt amúgy is meg kellene tenni a PGP miatt is.


A konfiguráláshoz szükséges adatok

HUN

Control message sender: hun-mnt@news.sztaki.hu
Key User ID:            hun.admin.news
Administrative group:   hun.admin.news
Check also:

	http://www.sztaki.hu/~kissg/news/hun.admin.news.asc

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.3ia

mQBNAzcSE9QAAAECALjFP6VEfJeH1sig+bM0cBmT6YhqtvWpIqLuwYeTgbSXdvVl
33slOyG0z8SSyuNuDwNmBJqeMf0bDAFWxF0UQpkABRG0Dmh1bi5hZG1pbi5uZXdz
iQBVAwUQNxIT1AwBVsRdFEKZAQFnkQH7B817uxxX1aDXsw87ZjcTEnM4n7ErcO1t
/gfL+tpk9n8w2lc9QUIj1SyPY2gzcHxtcR+v03HUxKYgrNUMSWsuDg==
=hr0o
-----END PGP PUBLIC KEY BLOCK-----

Teendők

Te, mint egy news szerver üzemeltetője mit tehetsz, illetve mit kellene megtenned?

a) Már most is ellenőrzöd a control üzenetek hitelességét

Sima ügy. A megfelelő helyre írd be a hun.* adatait is.

b) Ezt a technikát eddig nem alkalmaztad, de a szoftvered lehetővé tenné

Ajánlatos beüzemelni az ellenőrzést végző scriptet!
Tavaly egy átkozott szabotőr elárasztotta a világot hamis üzenetekkel David C. Lawrence nevében, és hetente átszabta a Usenet csoportokat. Ezzel egyrészt kifektette a news szervereket, másrészt emberek hatalmas tömegeivel szórakozott. Nem tudom, hogy folyik-e még ez a szemétség, de azóta nem nagyon élnek meg a news szerverek a control üzenetek tüzetes ellenőrzése nélkül.

c) A news szervered nem képes ellenőrizni a PGP aláirásokat

Javasolt a cseréje, vagy a felokosítása. Patchek és jótanácsok lelőhelye alant található.


Átmeneti időszak

A hun.* csoportok szempontjából nem sürgős a dolog. Jelenleg ugyanis gyakorlatilag elenyésző számú control üzenetet küldök ki. Mivel nem változik a hierarchia, csak a havi egy checkgroups üzenetet érinti a dolog. Azt pedig egy jó darabig két változatban fogom kiküldeni. Hasonlóképpen a régi és az új formábaban küldöm majd az esetleges új csoportokat létrehozó üzeneteket is. Ez a kettősség tarthatna mondjuk 1999. szeptember 1-ig. Addigra aki át akar állni a hitelesített üzenetekre, könnyedén megteheti.

Tekintettel a fentebb említett "tréfás" gyerekekre, én azért csak melegen ajánlom, hogy mihamarabb üzemeld be a news szervereden a szigorú ellenőrzést.


Mi lesz azokkal, akik nem tudnak/akarnak váltani

Mivel a világ ebbe az irányba mozdul, egyre nagyobb nyomás nehezedik rájuk: egyre több és több control üzenetet kell majd kézzel feldolgozniuk, ha nem akarják, hogy a szerverük fejreálljon. Nehéz feladat, de nem megoldhatatlan. Másfelől úgy is lehet élni, hogy egyáltalán nem fogad az ember control üzeneteket, és nyugodtan hajtja álomra a fejét. Azok a szerverek, melyek csak kis számú, meghatározott csoportokat tartottak néhány felhasználó speciális igényeit kielégítendő, eddig is így működtek, és igazából nincs is okuk változtatni ezen a gyakorlaton. A felhasználó szól, ha kell neki egy új csoport, és az adminisztrátor pedig kézzel létrehozza.


Linkek

Magáról az eljárásról:
ftp://ftp.isc.org/pub/pgpcontrol/README.html és környéke. (Programok, patchek, stb.)

A PGP-vel aláírt csoportok adatai:
ftp://ftp.isc.org/pub/pgpcontrol/PGPKEYS.
(Ezt a file-t kell csak időről-időre letöltened, ha már működik nálad a hitelesítés.)

Más, news-zal kapcsolatos cikkek ezen a szerveren:
http://www.sztaki.hu/~kissg/news/index.html
(c) Kiss Gábor, 1999
Ez a dokumentum szabadidőmben, saját ötletem alapján, saját szellemi erőforrásaimon alapulva készült. Megszületése nincs kapcsolatban a munkakörömmel. Rajtam kívül sem természetes, sem jogi személy nem formálhat rá igényt. (Bocs! Tudom, hogy nevetséges, de sajnos a tapasztalat szerint szükség van erre a passzusra.)
Mindamellett (a megfelelő hivatkozásokkal) lehet bátran idézni, valamit linkekkel mutatni rá. (A hivatalos URL http://gatling.ikk.sztaki.hu/~kissg/news/hiteles.html)
Köszönet az MTA SZTAKI Infokommunikációs Központjának, amiért helyet ad neki a gépén.
Külön köszönöm Pásztor Miklósnak a beüzemeléshez nyújtott segítséget.