[ precedente ] [ Contenuti ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ I ] [ successivo ]

Securing Debian Manual
Capitolo 6 - Irrobustimento automatico di un sistema Debian


Dopo aver letto tutte le informazioni dei capitoli precedenti potreste chiedervi "Devo fare molte cose per rendere sicuro il mio sistema, non potrebbero essere automatizzate?". La risposta è si, ma fate attenzione agli strumenti automatizzati. Alcune persone credono che uno strumento di irrobustimento non elimini il bisogno di una buona amministrazione. Perciò non pensate stupidamente che si possa automatizzare l'intero processo e risolvere i problemi correlati. La sicurezza è un processo continuo al quale l'amministratore deve partecipare e al quale non può solo assistere e lasciare che gli strumenti svolgano il loro lavoro. Non esiste un solo strumento che possa risolvere problemi per tutte le possibili implementazioni delle politiche di sicurezza, tutti i tipi di attacchi e tutti gli ambienti.

Dall'uscita di woody (Debian 3.0) esistono due pacchetti specifici che sono utili per aumentarne la sicurezza. Il pacchetto harden che utilizza un approccio basato sulle dipendenze dei pacchetti per installare rapidamente i pacchetti relativi alla sicurezza certa e rimuovere quelli con dei problemi, la configurazione dei pacchetti deve essere fatta dall'amministratore. Il pacchetto bastille che implementa una data politica di sicurezza su un sistema locale, basata su una precedente configurazione fatta dall'amministratore (la configurazione può essere effettuata rispondendo con sì od un no a delle semplici domande).


6.1 Harden

Il pacchetto harden tenta di rendere più semplice l'installazione e l'amministrazione degli host che necessitano di una buona sicurezza. Questo pacchetto dovrebbe essere usato da persone che desiderano un piccolo aiuto per aumentare la sicurezza del sistema. Per fare questo entra in conflitto con i pacchetti che hanno problemi, includendo (ma non limitandosi solamente a questo): buchi di sicurezza noti (come buffer overflow), uso di password in chiaro, mancanza di controllo d'accesso, etc. Installa anche automaticamente alcuni tool che possono fornire una sicurezza maggiore in qualche modo: strumenti per il rilevamento delle intrusioni, strumenti di analisi della sicurezza, etc. Harden installa i seguenti pacchetti virtuali (cioè non hanno contenuto, ma solo dipendenze su altri):

Fate attenzione perché se avete software di cui avete necessità (e che non volete disinstallare per qualche motivo) che entra in conflitto con qualcuno dei pacchetti qui sopra, potreste non essere in grado di usare pienamente harden. I pacchetti di harden non fanno nulla (direttamente). Ad ogni modo, hanno dei conflitti con dei pacchetti conosciuti per la non sicurezza. In questo modo, il sistema di packaging di Debian non approverà l'installazione di questi pacchetti. Per esempio, quando tenterete di installare un demone telnet con harden-servers, apt dirà:

     # apt-get install telnetd 
     The following packages will be REMOVED:
     	harden-servers
     The following NEW packages will be installed:
     telnetd 
     Do you want to continue (Y/n)

Questo dovrebbe far nascere qualche dubbio nella testa dell'amministratore che, a questo punto, dovrebbe riconsiderare questa azione.


6.2 Bastille Linux

Bastille Linux è uno strumento automatico per migliorare la sicurezza, originariamente pensato per le distribuzioni Red Hat e Mandrake; ciononostante, il pacchetto bastille è stato riveduto e corretto per offrire le identiche funzionalità anche al sistema Debian GNU/Linux (in cui è presente a partire dalla distribuzione woody).

Bastille può essere utilizzato con diversi frontend (sono tutti documentati nella rispettiva pagina man inclusa nel pacchetto Debian), ciò permette all'amministratore di:


[ precedente ] [ Contenuti ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ I ] [ successivo ]

Securing Debian Manual

2.96 14 febrero 2004Sabato, 30 Agosto 2003 18:27:45 +0200

Javier Fernández-Sanguino Peña jfs@computer.org
Per la traduzione si veda l'Appendice I