[ precedente ]
[ Contenuti ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ D ]
[ E ]
[ F ]
[ G ]
[ H ]
[ I ]
[ successivo ]
Securing Debian Manual
Appendice B - Verifica della configurazione
Quest'appendice riporta brevemente estratti dalle altre sezioni di questo
manuale, condensati in un elenco (in seguito "checklist" N.d.T. ).
La funzione di questa checklist è di fornire un rapido sommario per chi ha già
letto il manuale. Ci sono altre buone checklist disponibili, incluso il Kurt
Seifried's Securing
Linux Step by Step
e il CERT's Unix Security
Checklist
.
FIXME: Questa checklist è basata sulla versione 1.4 del manuale e potrebbe aver
bisogno di essere aggiornata.
-
Limitate le capacità di avvio e di accesso fisico
-
Abilitate la password del BIOS
-
Disabilitate l'avvio da floppy/cdrom/ ...
-
Impostate una password per GRUB o LILO (
/etc/lilo.conf
o
/boot/grub/menu.lst
, rispettivamente); verificate che i file di
configurazione di LILO o GRUB siano protetti da scrittura.
-
Disabilitate l'avvio del MBR da floppy, sovrascrivendo l'MBR. (o forse no?)
-
Partizionamento
-
Separate i dati scrivibili dagli utenti, i dati non di sistema e i dati
run-time che cambiano velocemente, in partizioni distinte.
-
Impostate le opzioni di mount nosuid,noexec,nodev in
/etc/fstab
per le partizioni ext2 come /tmp
.
-
Accuratezza delle password e sicurezza in login
-
Impostate una buona password di root
-
Abilitate il password shadowing e l'MD5
-
Installate ed utilizzare PAM
-
Aggiungete il supporto per MD5 a PAM e assicuratevi che (in generale) le voci
nel file
/etc/pam.d/
, che garantiscono l'accesso alla macchina,
abbiano il secondo campo nel file pam.d impostato a requisite or
required.
-
Modificate
/etc/pam.d/login
in modo che permetta solamente login
root locali.
-
Inoltre segnate le tty:s autorizzate nel file
/etc/security/access.conf
e configurate in modo generale il file
affinché le login da root siano limitate il più possibile.
-
Aggiungete pam_limits.so se volete impostare un limite per ciascun utente
-
Modificate
/etc/pam.d/passwd
: aumentate la lunghezza minima delle
passwords (6 caratteri probabilmente) e abilitate l'MD5
-
Aggiungete il gruppo wheel a
/etc/group
se lo desiderate;
aggiungete la voce pam_wheel.so group=wheel in /etc/pam.d/su
-
Per personalizzare i controlli relativi a ciascun utente, usate un'apposita
voce pam_listfile.so dove appropriato
-
Create un file
/etc/pam.d/other
e configuratelo con un'alta
sicurezza (N.d.r. tight security)
-
Impostate i limiti
/etc/security/limits.conf
(notate che
/etc/limits
non viene utilizzato se si usa PAM)
-
Limitate i permessi al file
/etc/login.defs
; inoltre, se avete
abilitato MD5 e/o PAM, assicuratevi di fare i cambiamenti corrispondenti
-
Disabilitate l'accesso root via ftp in
/etc/ftpusers
-
Disabilitate l'accesso root alla rete; usate
su(1)
oppure
sudo(1)
. Considerate l'opportunità di installare
sudo
-
Usate PAM per rendere più sicuri gli accessi con login?
-
Altri suggerimenti sulla sicurezza locale
-
Rendete più restrittivi i permessi ai file di log
(
/var/log/{last,fail}log
, i log di Apache)
-
Verificate che il controllo SETUID sia abilitato in
/etc/checksecurity.conf
-
Considerate la possibilità di rendere alcuni file di log append-only e alcuni
file di configurazione immutabili con il comando chattr (solo per il file
system ext2)
-
Considerate la possibilità di sostituire locate con slocate
-
Loggare tutto su una stampante locale?
-
Scrivere su un CD avviabile la propria configurazione e fare il boot da CD?
-
Disabilitare i moduli del kernel?
-
Limitate l'accesso alla rete
-
Installate e configurate
ssh
(si suggerisce di impostare a No le
voci PermitRootLogin e PermitEmptyPasswords nel file
/etc/ssh/sshd_config
; notate anche gli altri suggerimenti nel
testo)
-
Considerate la possibilità di disabilitare o rimuovere
in.telnetd
-
In linea di massima, disabilitate i servizi inutili in
/etc/inetd.conf
usando update-inetd --disable
(oppure
disabilitate inetd
completamente, o ancora usate un sostituto come
ad esempio xinetd
o rlinetd
)
-
Disabilitate altri servizi di rete inutili; mail, ftp, DNS, WWW ecc. non
dovrebbero essere eseguiti se non sono necessari e peraltro, tenuti
regolarmente sotto controllo
-
Per i servizi di cui avete bisogno, non vi limitate ad usare i programmi più
comuni ma cercatene versioni più sicure contenute all'interno di Debian (o di
altre fonti). Qualsiasi cosa finiate per eseguire, assicuratevi di capirne i
rischi
-
Impostate gabbie
chroot
per utenti e demoni esterni
-
Configurate firewall e tcpwrappers (per esempio
hosts_access(5)
);
notate il trucco per /etc/hosts.deny
nel testo
-
Se eseguite ftp, impostate il server ftpd per essere eseguito sempre in
chroot
alla home directory dell'utente
-
Se usate X, disabilitate l'autenticazione xhost ed usate
ssh
come
sostituto; ancora meglio, disabilitate, se possibile, la possibilità di
loggarsi in X da remoto (aggiungete -nolisten tcp alla riga di comando di X e
disabilitate XDMPC nel file /etc/X11/xdm/xdm-config
impostando a 0
la requestPort)
-
Disabilitate l'accesso dall'esterno alle stampanti
-
Effettuate il tunneling di qualsiasi sezione POP o IMAP attraverso SSL o
ssh
; installate stunnel se volete fornire questo servizio agli
utenti remoti del servizio e-mail
-
Impostate un log host e configurate tutti gli altri host a mandare i log a
questo host (
/etc/syslog.conf
)
-
Rendete sicuri BIND, Sendmail e altri demoni complessi (eseguiteli in una
gabbia
chroot
; eseguiteli come pseudo-utente non-root)
-
Installate snort o un simile strumento di logging
-
Se possibile, fate a meno di NIS ed RPC (disabilitate portmap)
-
Documenti sulle politiche adottate
-
Educate gli utenti a comprendere i perché ed i come delle vostre politiche.
Quando proibite qualcosa che è regolarmente disponibile su altri sistemi,
fornite documentazione che spieghi come raggiungere i risultati voluti
utilizzando altri mezzi più sicuri
-
Proibite l'uso di protocolli che usano password in chiaro (
telnet
,
rsh
e simili; ftp, imap, http, ...)
-
Proibite i programmi che usano SVGAlib
-
Usate la gestione delle quote disco
-
Tenetevi informati circa le notizie riguardanti la sicurezza
-
Iscrivetevi a mailing list di sicurezza
-
Configurate
apt
per gli aggiornamenti di sicurezza; aggiungete al
file /etc/apt/sources.list
una riga per
http://security.debian.org/debian-security
[ precedente ]
[ Contenuti ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ D ]
[ E ]
[ F ]
[ G ]
[ H ]
[ I ]
[ successivo ]
Securing Debian Manual
2.96 20 septiembre 2003Sabato, 30 Agosto 2003 18:27:45 +0200
Javier Fernández-Sanguino Peña jfs@computer.org
Per la traduzione si veda l'Appendice I