datakollektivet/systemer
7
0
Fork 0
Code Issues 1 Pull requests 4 Projects Releases Packages Wiki Activity Actions

Dokumenterer sikkerhetsproblemer #14

Closed
gingermusketeer wants to merge 3 commits from document-security-problems into main
pull from: document-security-problems
merge into: datakollektivet:main
Conversation 13 Commits 3 Files changed 3 +84
gingermusketeer commented 2026-01-18 20:29:32 +00:00
Owner
Copy link

Slik at vi vet hvor vi står.

Slik at vi vet hvor vi står.
gingermusketeer reviewed 2026-01-18 20:30:25 +00:00
loomio/docs/avvik.md
@ -4,0 +8,4 @@
- Bør vi har kontoer per systemtekniker?
- Hvordan kan vi oppnåd "bruk er loggført"
- 3.1 Oppdatering og patching
- Vi bruker et veldig gammel versjon av redis
gingermusketeer commented 2026-01-18 20:30:25 +00:00
Author
Owner
Copy link

Jeg kan ta dette opp med utvikleren bak Loomio

Jeg kan ta dette opp med utvikleren bak Loomio
gingermusketeer commented 2026-01-20 19:58:34 +00:00
Author
Owner
Copy link

https://github.com/loomio/loomio-deploy/pull/127

https://github.com/loomio/loomio-deploy/pull/127
gingermusketeer commented 2026-01-23 15:32:40 +00:00
Author
Owner
Copy link

Bør dokumentere at dette er ikke tilgjengelig på nettet

Bør dokumentere at dette er ikke tilgjengelig på nettet
gingermusketeer commented 2026-02-02 11:21:50 +00:00
Author
Owner
Copy link

#16

https://forge.hornwitser.no/datakollektivet/systemer/pulls/16
gingermusketeer marked this conversation as resolved
gingermusketeer reviewed 2026-01-23 15:19:17 +00:00
loomio/docs/avvik.md
@ -3,1 +3,4 @@
- 2.3 Sterk authentisering.
- Loomio støtte ikke flere autentiseringsmekanismer. Vi kan løse dette med en SSO tjenester som håndterer innlogging.
- Tilgang til serveren er med SSH nøkkel på systemtekniker maskin som bør bruke FIDO2 nøkkeler. Se https://developers.yubico.com/SSH/Securing_SSH_with_FIDO2.html
gingermusketeer commented 2026-01-23 15:19:17 +00:00
Author
Owner
Copy link

Vi bør har en guide om hvordan man gjøre dette. @stigo

Vi bør har en guide om hvordan man gjøre dette. @stigo
gingermusketeer reviewed 2026-01-23 15:27:56 +00:00
loomio/docs/avvik.md
@ -4,0 +6,4 @@
- Tilgang til serveren er med SSH nøkkel på systemtekniker maskin som bør bruke FIDO2 nøkkeler. Se https://developers.yubico.com/SSH/Securing_SSH_with_FIDO2.html
- 2.5 Delte kontoer
- Bør vi har kontoer per systemtekniker?
- Hvordan kan vi oppnåd "bruk er loggført"
gingermusketeer commented 2026-01-23 15:27:56 +00:00
Author
Owner
Copy link

Dette er oppnådd med logging av SSH nøkkel som er brukt og at de er dokumentert.

Dette er oppnådd med logging av SSH nøkkel som er brukt og at de er dokumentert.
gingermusketeer reviewed 2026-01-23 15:40:49 +00:00
loomio/docs/avvik.md
@ -4,0 +9,4 @@
- Hvordan kan vi oppnåd "bruk er loggført"
- 3.1 Oppdatering og patching
- Vi bruker et veldig gammel versjon av redis
- Vi har ikke et system som hjelpe folk å ha oversikt over sårbarheter.
gingermusketeer commented 2026-01-23 15:40:49 +00:00
Author
Owner
Copy link

Det er nok med folger med på oppdateringer fra Loomio.

Det er nok med folger med på oppdateringer fra Loomio.
gingermusketeer commented 2026-01-23 15:43:13 +00:00
Author
Owner
Copy link

Vi bør har yearly audits på systemer for å sjekke ting som OS er oppdatert osv

Vi bør har yearly audits på systemer for å sjekke ting som OS er oppdatert osv
gingermusketeer reviewed 2026-01-23 15:48:40 +00:00
loomio/docs/avvik.md
@ -4,0 +11,4 @@
- Vi bruker et veldig gammel versjon av redis
- Vi har ikke et system som hjelpe folk å ha oversikt over sårbarheter.
- 3.3 Vurdering av standardoppsett
- Må gjennomføres
gingermusketeer commented 2026-01-23 15:48:40 +00:00
Author
Owner
Copy link

Vi kan skrive at vi stoler på Debian og må se mest på config til Loomio og hva som påvirker sikkerheten.

Vi kan skrive at vi stoler på Debian og må se mest på config til Loomio og hva som påvirker sikkerheten.
gingermusketeer reviewed 2026-01-23 15:55:54 +00:00
loomio/docs/avvik.md
@ -4,0 +15,4 @@
- 3.4 Automatisering av sikkerhetstiltak
- Hva betyr "tekniske tilgangskontroller fremfor policy alene"? Er det greit med ssh.yaml og sops.yaml filer?
- 3.5 Endringshåndtering
- Dokumentasjon om hvordan man endre et system i prod trengs.
gingermusketeer commented 2026-01-23 15:55:54 +00:00
Author
Owner
Copy link

Dokumentere PR processen og bruk templates til PR for å dokumentere at det ikke påvirker sikkerhet. Bør ha to personer til å release.

Dokumentere PR processen og bruk templates til PR for å dokumentere at det ikke påvirker sikkerhet. Bør ha to personer til å release.
gingermusketeer reviewed 2026-01-23 16:09:30 +00:00
loomio/docs/avvik.md
@ -4,0 +17,4 @@
- 3.5 Endringshåndtering
- Dokumentasjon om hvordan man endre et system i prod trengs.
- 4.2 Beskyttelse av lagrede data
- Hvordan kan vi oppnå dette med e-post i en tjenester vi bygge ikke selv?
gingermusketeer commented 2026-01-23 16:09:30 +00:00
Author
Owner
Copy link

Fjerne dette.

Fjerne dette.
gingermusketeer reviewed 2026-01-23 16:13:07 +00:00
loomio/docs/avvik.md
@ -4,0 +21,4 @@
- 5.1 Sikkerhestrelevant logging
- Må dokumenteres
- 5.2 Tidsstempler
- Må dokumenteres
gingermusketeer commented 2026-01-23 16:13:07 +00:00
Author
Owner
Copy link

sudo timedatectl

sudo timedatectl
gingermusketeer reviewed 2026-01-23 16:20:08 +00:00
loomio/docs/avvik.md
@ -4,0 +23,4 @@
- 5.2 Tidsstempler
- Må dokumenteres
- 5.3 Beskyttelse av logger
- Er det nok at bare to folk har tilgang?
gingermusketeer commented 2026-01-23 16:20:08 +00:00
Author
Owner
Copy link

SSH/system logger bør beholdes for 90 dager. Loomio logger bør vurderes for seg selv.

SSH/system logger bør beholdes for 90 dager. Loomio logger bør vurderes for seg selv.
gingermusketeer reviewed 2026-01-23 16:22:42 +00:00
loomio/docs/avvik.md
@ -4,0 +25,4 @@
- 5.3 Beskyttelse av logger
- Er det nok at bare to folk har tilgang?
- 6.1 Deteksjon av avvik
- Vi har ikke dette på plass
gingermusketeer commented 2026-01-23 16:22:42 +00:00
Author
Owner
Copy link

Om vi har logger er vi good. Vi kan bygge på dette med andre systemer som har alerts.

Om vi har logger er vi good. Vi kan bygge på dette med andre systemer som har alerts.
gingermusketeer reviewed 2026-01-23 16:25:03 +00:00
loomio/docs/avvik.md
@ -4,0 +26,4 @@
- Er det nok at bare to folk har tilgang?
- 6.1 Deteksjon av avvik
- Vi har ikke dette på plass
- 6.2 Varsling og ansvar
gingermusketeer commented 2026-01-23 16:25:03 +00:00
Author
Owner
Copy link

Må handteres av styret. Ikke så relevant til Loomio.

Må handteres av styret. Ikke så relevant til Loomio.
gingermusketeer reviewed 2026-01-23 16:27:01 +00:00
loomio/docs/avvik.md
@ -4,0 +28,4 @@
- Vi har ikke dette på plass
- 6.2 Varsling og ansvar
- Må dokumenteres
- 7.1 Backup og gjenoppretting
gingermusketeer commented 2026-01-23 16:27:01 +00:00
Author
Owner
Copy link

Hvordan varsler vi når backups funker ikke.

Hvordan varsler vi når backups funker ikke.
gingermusketeer commented 2026-02-05 21:21:58 +00:00
Author
Owner
Copy link

#18 erstatter denne

#18 erstatter denne
gingermusketeer closed this pull request 2026-02-05 21:21:59 +00:00

Pull request closed

Please reopen this pull request to perform a merge.
Sign in to join this conversation.
Reviewers
No reviewers
Labels
Clear labels
No items
No labels
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
datakollektivet/systemer!14
No description provided.