Magazine Informatica
Come rendere più sicura la LinuxBox: idee e qualche piccolo accorgimento.
Creato il 17 agosto 2010 da LinuxlandiaChe Linux sia un sistema sicuro è fuori da ogni dubbio, ma non è il più sicuro e soprattutto non lo è se non si seguono alcuni accorgimenti.
Prima di passare ad una serie di spiegazioni, ricordate che :
Ogni cosa che si installa e non si usa potrebbe essere fonte di exploit.
Ogni servizio che si attiva, e non si usa può crearci problemi, infatti il mancato utilizzo ci porta ad un abbassameno della guardia.
Procedendo per gradi, tratterò un argomento troppo spesso lasciato al caso e alla poca fantasia, di cosa stò parlando? Delle password oviamente.
Molte volte mi sono trovato di fronte a Linux Box che avevano l'utente "pippo" con password "pluto" avente i permessi di root.
No non stò bestemmiando è la pura verità ed è grave.
Occhio! Questo utente è in italia il più usato, e quindi un mal'intenzionato, utilizzerà proprio questa combinazione utente/password nel primo tentativo.
E se avete creato questo utente con la password descritta? Beh siete fregati!
Il mal'intenzionato in questione accede alla vostra macchina e poi avendo i permessi di root, gioca quanto vuole e come gli pare all'interno del vostro sistema.
Quindi, per prima cosa, togliete l'utente "pippo" dal vostro sistema.
La scelta della password, non deve essere lasciata al caso, ma ragionata.
Una password composta da caratteri, numeri e punteggiatura può essere difficile da individuare no?
E allora diamoci da fare.
Una password di difficile individuazione è composta da almeno 8 caratteri alfanumerici posti a caso.
Ad esempio : "10Anguri3Xme"
Certo è che ricordarsi a memoria una cosa del genere può risultare difficile anche per chi l'ha scritta, e allroa che fare?
Semplice, usate le iniziali di una frase a voi nota e che vi ricordate facilmente, ad esempio :
"Nel mezzo del cammio di nostra vita "
la password risultante sara : nmdcdnv
a questo punto aggiungete un carattere di punteggiatura ed il gioco è fatto :
Con una semplice ricerca su Internet potrete anche trovare le password da non usare.
Importante:
tutte le modifiche riportate di seguito sono da effettuare con l'utente root
Chiarito questo primo, ma secondo me molto importante punto, passiamo alla rimozione di una serie di utenti che non servono a nulla, ma che drante l'isntallazione del sistema vengono creati in quanto legati ad un relativo servizio.
Questa la lista degli utenti da eliminare :
adm
lp
halt
operator
gopher
shutdown
news
guest
pippo
test
admin
e la lista dei gruppi da eliminare :
adm
lp
news
pppuser (se non si hanno utenti che usano ppp)
slipuser
popuser (se non si hanno utenti che utilizzano server pop)
Per eliminare un utente utilizzare il comando : userdel nome_utente
Per eliminare un gruppo utilizzare il comando : groupdel nome_gruppo
Andiamo avanti e modifichiamo alcuni file e permessi presenti nel nostro sistema.
/etc/host.conf
Contiene alcuni parametri relativi all'host.
Impostatelo in questa maniera :
order bind,hosts
multi on
nospoof on
Salviamo il tutto e andiamo avanti
/etc/login.defs
Questo file contiene il numero minimo di caratteri minimini che dovranno comporre una password ed altre informazioni, il default di solito è 5, quindi mettiamo un numero superiore (sempre consigliato 8 o maggiore)
Quindi identificate una linea simile o uguale alla seguente :
PASS_MIN_LEN 5
e sostituitela con :
PASS_MIN_LEN 8
vi consiglio di dare uno sguardo un po' più ampio al file in questione, in quanto contiene alcune impostazioni molto interessanti.
/etc/exports
Questo file contiene la lista di tutte le directory che vengono esportate verso altri computer tramite NFS.
Sarebbe sempre meglio evitare l'esportazione delle directory, ma se proprio non se ne può fare a meno allora esportiamole nel modo più restrittivo possibile, specificando quindi quale host deve vederle e soprattutto dando i permessi di sola lettura :
/dir_da_esportare host.dominio.com (ro,root_squash)
ro = sola letture
root_squash = neanche root ci può scrivere :-)
Una volta aggiunte tutte le directory da esportare dovremo scrivere :
/usr/sbin/exportfs -a per rendere effettive le modifiche
Volendo aumentare la sicurezza della nostra LinuxBox, potremmo aggiungere una password a LILO
/ect/lilo.conf
inserendo queste 2 righe :
restricted
password=la_password_che_abbiamo_pensato
Attenzione :
La password è scritta in chiaro, ed è quindi visibile ad ogni utente.....non mi sembra molto sicuro no?
Per ovviare a questo inconveniente, permetteremo soltanto a root di poter accedere al file utilizzando il comando chmod :
chmod 600 /etc/lilo.conf
per verificare che la configurazione sia corretta ed attuare le modifiche lanceremo :
lilo -v
E' inoltre buona norma rendere illegibile a tutti gli utenti, ad esclusione di root, del file services presente sempre nella cartella /etc
chmod 600 /etc/services
e dulcis in fundo rendere l'accesso agli script presenti in /etc/rc.d/init.d soltanto a root
chmod -R 700 /etc/rc.d/init.d*
Questo piccolo tutorial, non rende inespugnabile la vostra linuxBox, ma può aiutarvi a renderla più sicura.
La sicurezza di un sistema, richiede molto studio quindi documentatevi il più possibile.
Quello che oggi è sicuro potrebbe non esserlo tra qualche giorno, quindi vi consigilio di iscrivervi alle mailing list della vostra distro.
Aggiornare i pacchetti della vostra distribuzione, prestando particolare attenzione a quelli contrassegnati come Urgente/Importante/Sicurezza.
Ultima cosa, se volete, provate a crakkarvi le password.
Esistono in rete molti programmi per effettuare il crack delle password, scaricateli e testate.
Se il vostro PC naviga molto su intenet, utilizzate un firewall.Linux ha già un suo sistema firewall chiamato iptables che non tratterò in questo tutorial, ma in uno dedicato.
Per configurarlo in modo semplice e visuale,scaricatevi dalla rete il programma "guarddog".
fonte: TopoLinux
Se ti è piaciuto l'articolo , iscriviti al feed cliccando sull'immagine sottostante per tenerti sempre aggiornato sui nuovi contenuti del blog:
Possono interessarti anche questi articoli :
-
TWRP si aggiorna alla versione 2.8.7.0 | Changelog ufficiale
Coloro che sono appassionati di modding Android sicuramente saranno molto contenti nel leggere che la TWRP, ovvero la custom recovery più diffusa tra la... Leggere il seguito
Da Paolo Dolci
INFORMATICA, TECNOLOGIA -
Benvenuti a Jurassic World - Recensione - PS4
Lego e dinosauri: una passione che non ha età! Avviato il gioco, sarete avvolti dagli archi delle note di John Williams che vi traghetteranno fino alle isole... Leggere il seguito
Da Intrattenimento
TECNOLOGIA, VIDEOGIOCHI -
Ant-Man: tanti dettagli interessanti dal film, un nuovo spot tv
di Fabio Mucci Vi abbiamo confermato la presenza di Janet Van Dyne/Wasp e poi vi abbiamo fornito anche dei dettagli, ora arrivano online nuovi interessanti... Leggere il seguito
Da Lightman
TECNOLOGIA, DA CLASSIFICARE -
Link2SD: spostare tutte le app su memoria esterna
Vi sarà senz’altro capitato di aver bisogno di liberare memoria ROM sul vostro cellulare, alla ricerca di spazio per gli aggiornamenti o per applicazioni nuove. Leggere il seguito
Da Enjoyphone
INFORMATICA, TECNOLOGIA -
Newsletter Istituto Majorana Giugno 2015
Su richiesta di numerosi affezionati lettori, pubblico la NewsLetter che il Majorana invia, ogni mese, agli utenti registrati al portale. Ritengo che sia utile... Leggere il seguito
Da Antonio_cantaro
INFORMATICA, TECNOLOGIA -
Come acquistare un prodotto su Amazon al minor prezzo! [Guida]
Amazon, come ben saprete, è ormai leader nel settore del commercio elettronico, eppure benché i concorrenti siano sempre più agguerriti (si veda per esempio... Leggere il seguito
Da Enjoyphone
INFORMATICA, TECNOLOGIA
I suoi ultimi articoli
-
Nel Regno di Linux: la Top Ten degli articoli più letti nel mese di Gennaio 2016.
-
Nel Regno di Linux: la Top Ten degli articoli più letti nel mese di Dicembre 2015.
-
Nel Regno di Linux: la Top Ten degli articoli più letti nel mese di Novembre 2015.
-
Nel Regno di Linux: la Top Ten degli articoli più letti nel mese di Ottobre 2015.