Dopo un'installazione standard, la sicurezza di un sistema potrebbe avere ancora delle vulnerabilità. A meno che voi non scarichiate gli aggiornamenti da un altro sistema (o abbiate fatto il mirror di security.debian.org per un uso locale), il sistema dovrà essere collegato a Internet per i download.
Non appena vi collegate a Internet, però, esponete il sistema a dei rischi. Se
uno dei vostri servizi locali ha una vulnerabilità, potreste essere compromessi
ancor prima che l'aggiornamento termini! Può sembrare paranoico ma di fatto,
analisi dell'Honeynet
Project
, hanno mostrato che i sistemi possono essere compromessi in
meno di tre giorni, anche se non sono noti pubblicamente (cioè non siano
riportati nei registri DNS).
Quando si esegue un aggiornamento, su di un sistema non protetto da un altro sistema esterno, come un firewall, è possibile configurare adeguatamente il vostro firewall locale per limitare le connessioni alle sole riguardanti gli aggiornamenti di sicurezza. L'esempio qui di seguito, mostra come configurare un tale firewall, per autorizzare solo le connessioni da security.debian.org, e registrare tutte le altre.
FIXME: aggiungere l'indirizzo IP di security.debian.org (altrimenti dovreste avere il servizio DNS avviato per funzionare).
FIXME: provare questa configurazione per verificare che funzioni correttamente.
FIXME: ciò funzionerà solo con le URL HTTP poiché ftp potrebbe richiedere il modulo ip_conntrack_ftp module, oppure utilizzare la modalità passiva.
# iptables -F # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination # iptables -P INPUT DROP # iptables -P FORWARD DROP # iptables -P OUTPUT DROP # iptables -A OUTPUT -d security.debian.org -p 80 -j ACCEPT # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A INPUT -p icmp -j ACCEPT # iptables -A INPUT -j LOG # iptables -A OUTPUT -j LOG # iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 LOG all -- anywhere anywhere LOG level warning Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT 80 -- anywhere security.debian.org LOG all -- anywhere anywhere LOG level warning
Securing Debian Manual
2.97 31 mayo 2004Ven, 3 Ott 2003 22:23:28 +0200jfs@computer.org