Home » Tutorial Linux – Rendiamo sicura la nostra LinuxBox

Tutorial Linux – Rendiamo sicura la nostra LinuxBox

Molti utenti linux newbie, ma anche utenti che non sono più alle prime armi, spesso danno poca importanza alla sicurezza di una LinuxBox, ritenendo Linux un sistema sicuro per antonomasia. Che Linux sia un sistema sicuro è fuori da ogni dubbio, ma non è il più sicuro e soprattutto non lo è se non si seguono alcuni accorgimenti. Windowz anche se si seguono alcuni accorgimenti (ad esempio firewall, antivirus ecc. ecc.) diventa più sicuro. Ma noi non dobbiamo parlare di Windowz, quindi riprendiamo il nostro discorso sul pinguino.

Prima di passare ad una serie si piegazioni, ricordate che :

Ogni cosa che si installa e non si usa potrebbe essere fonte di exploit

Ogni servizio che si attiva, e non si usa può crearci problemi, infatti il mancato utilizzo ci porta ad un abbassameno della guardia.

Procedendo per gradi, tratterò un argomento troppo spesso lasciato al caso e alla poca fantasia, di cosa stò parlando? Delle password oviamente.

Molte volte mi sono trovato di fronte a Linux Box che avevano l’utente “pippo” con password “pluto” avente i permessi di root.

No non stò bestemmiando è la pura verità.

Okkio! Questo utente è in italia il più usato, e quindi un mal’intenzionato, utilizzerà proprio questa combinazione utente/password nel primo tentativo.

E se avete creato questo utente con la password descritta? Beh siete fregati!

Il malintenzionato in questione accede alla vostra macchina e poi avendo i permessi di root, gioca quanto vuole e come gli pare all’interno del vostro sistema.

Quindi, per prima cosa, togliete l’utente “pippo” dal vostro sistema.

La scelta della password, non deve essere lasciata al caso, ma ragionata.

Una password composta da caratteri, numeri e punteggiatura può essere difficile da individuare no?

E allora diamoci da fare.

Una password di difficile individuazione è composta da almeno 8 caratteri alfanumerici posti a caso.

Ad esempio : “<NmdcDnv”,”10Angur3Xme”

Certo è che ricordarsi a memoria una cosa del genere può risultare difficile anche per chi l’ha scritta, e allroa che fare?

Semplice, usate le iniziali di una frase a voi nota e che vi ricordate facilmente, ad esempio :

“Nel mezzo del cammin di nostra vita”

la password risultante sara : nmdcdnv

a questo punto aggiungete un carattere di punteggiatura ed il gioco è fatto : <nmdcdnv

Con una semplice ricerca su Internet potrete anche trovare le password da non usare.

IMPORTANTE:

TUTTE LE MODIFICHE RIPORTATE DI SEGUITO SONO DA EFFETTUARE CON L’UTENTE ROOT

Chiarito questo primo, ma secondo me molto importante punto, passiamo alla rimozione di una serie di utenti che non servono a nulla, ma che drante l’isntallazione del sistema vengono creati in quanto legati ad un relativo servizio.

Questa la lista degli utenti da eliminare :

adm

lp

halt

operator

gopher

shutdown

news

guest

pippo

test

admin

e la lista dei gruppi da eliminare :

adm

lp

news

pppuser (se non si hanno utenti che usano ppp)

slipuser

popuser (se non si hanno utenti che utilizzano server pop)

Per eliminare un utente utilizzare il comando : userdel nome_utente

Per eliminare un gruppo utilizzare il comando : groupdel nome_gruppo

Andiamo avanti e modifichiamo alcuni file e permessi presenti nel nostro sistema.

· /etc/host.conf

Contiene alcuni parametri relativi all’host.

Impostatelo in questa maniera:

order bind,hosts

multi on

nospoof on

Salviamo il tutto e andiamo avanti

· /etc/login.defs

Questo file contiene il numero minimo di caratteri minimini che dovranno comporre una password ed altre informazioni, il default di solito è 5, quindi mettiamo un numero superiore (sempre consigliato 8 o maggiore).

Quindi identificate una linea simile o uguale alla seguente :

PASS_MIN_LEN 5

e sostituitela con :

PASS_MIN_LEN 8

vi consiglio di dare uno sguardo un po’ più ampio al file in questione, in quanto contiene alcune impostazioni molto interessanti.

· /etc/exports

Questo file contiene la lista di tutte le directory che vengono esportate verso altri computer tramite NFS.

Sarebbe sempre meglio evitare l’esportazione delle directory, ma se proprio non se ne può fare a meno allora esportiamole nel modo più restrittivo possibile, specificando quindi quale host deve vederle e soprattutto dando i permessi di sola lettura :

/dir_da_esportare host.dominio.com (ro,root_squash)

ro=sola letture

root_squash= nenche root ci può scrivere 🙂

Una volta aggiunte tutte le directory da esportare dovremo scrivere :

/usr/sbin/exportfs -a per rendere effettive le modifiche.

Volendo aumentare la sicurezza della nostra LinuxBox, potremmo aggiungere una password a LILO

· /ect/lilo.conf

inserendo queste 2 righe :

restricted

password=la_password_che_abbiamo_pensato

Attenzione :

La password è scritta in chiaro, ed è quindi visibile ad ogni utente…..non mi sembra molto sicuro no?

Per ovviare a questo inconveniente, permetteremo soltanto a root di poter accedere al file utilizzando il comando chmod :

chmod 600 /etc/lilo.conf

per verificare che la configurazione sia corretta ed attuare le modifiche lanceremo :

lilo -v

E’ inoltre buona norma rendere illegibile a tutti gli utenti, ad esclusione di root, del file services presente sempre nella cartella /etc

chmod 600 /etc/services

e dulcis in fundo rendere l’accesso agli script presenti in /etc/rc.d/init.d soltanto a root

chmod -R 700 /etc/rc.d/init.d*

Questo piccolo tutorial, non rende inespugnabile la vostra linuxBox, ma può aiutarvi a renderla più sicura.

La sicurezza di un sistema, richiede molto studio quindi documentatevi il più possibile.

Quello che oggi è sicuro potrebbe non esserlo tra qualche giorno, quindi vi consigilio di iscrivervi alle mailing list della vostra distro.

Aggiornare i pacchetti della vostra distribuzione, prestando particolare attenzione a quelli contrassegnati cone Urgente/Importante/Sicurezza.

Ultima cosa, se volete, provate a crakkarvi le password.

Esistono in rete molti programmi per effettuare il crack delle pawword, scaricateli e testate.

Se il vostro PC naviga molto su intenet, utilizzate un firewall.Linux ha già un suo sistema firewall chiamato ipchain che non tratterò in questo tutorial, ma in uno dedicato.

Per configurarlo uin modo semplice e visuale,s cricatevi dalla rete il programma “guarddog”.

Cosa pensi di questo articolo?

0 0

Lascia un commento

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Lost Password

Please enter your username or email address. You will receive a link to create a new password via email.