Molti utenti linux newbie, ma anche utenti che non sono più alle prime armi, spesso danno poca importanza alla sicurezza di una LinuxBox, ritenendo Linux un sistema sicuro per antonomasia.Che Linux sia un sistema sicuro è fuori da ogni dubbio, ma non è il più sicuro e soprattutto non lo è se non si seguono alcuni accorgimenti.
Prima di passare ad una serie di spiegazioni, ricordate che :
Ogni cosa che si installa e non si usa potrebbe essere fonte di exploit.
Ogni servizio che si attiva, e non si usa può crearci problemi, infatti il mancato utilizzo ci porta ad un abbassameno della guardia.
Procedendo per gradi, tratterò un argomento troppo spesso lasciato al caso e alla poca fantasia, di cosa stò parlando? Delle password oviamente.
Molte volte mi sono trovato di fronte a Linux Box che avevano l'utente "pippo" con password "pluto" avente i permessi di root.
No non stò bestemmiando è la pura verità ed è grave.
Occhio! Questo utente è in italia il più usato, e quindi un mal'intenzionato, utilizzerà proprio questa combinazione utente/password nel primo tentativo.
E se avete creato questo utente con la password descritta? Beh siete fregati!
Il mal'intenzionato in questione accede alla vostra macchina e poi avendo i permessi di root, gioca quanto vuole e come gli pare all'interno del vostro sistema.
Quindi, per prima cosa, togliete l'utente "pippo" dal vostro sistema.
La scelta della password, non deve essere lasciata al caso, ma ragionata.
Una password composta da caratteri, numeri e punteggiatura può essere difficile da individuare no?
E allora diamoci da fare.
Una password di difficile individuazione è composta da almeno 8 caratteri alfanumerici posti a caso.
Ad esempio : "10Anguri3Xme"
Certo è che ricordarsi a memoria una cosa del genere può risultare difficile anche per chi l'ha scritta, e allroa che fare?
Semplice, usate le iniziali di una frase a voi nota e che vi ricordate facilmente, ad esempio :
"Nel mezzo del cammio di nostra vita "
la password risultante sara : nmdcdnv
a questo punto aggiungete un carattere di punteggiatura ed il gioco è fatto :
Con una semplice ricerca su Internet potrete anche trovare le password da non usare.
Importante:
tutte le modifiche riportate di seguito sono da effettuare con l'utente root
tutte le modifiche riportate di seguito sono da effettuare con l'utente root
Chiarito questo primo, ma secondo me molto importante punto, passiamo alla rimozione di una serie di utenti che non servono a nulla, ma che drante l'isntallazione del sistema vengono creati in quanto legati ad un relativo servizio.
Questa la lista degli utenti da eliminare :
adm
lp
halt
operator
gopher
shutdown
news
guest
pippo
test
admin
e la lista dei gruppi da eliminare :
adm
lp
news
pppuser (se non si hanno utenti che usano ppp)
slipuser
popuser (se non si hanno utenti che utilizzano server pop)
Per eliminare un utente utilizzare il comando : userdel nome_utente
Per eliminare un gruppo utilizzare il comando : groupdel nome_gruppo
Andiamo avanti e modifichiamo alcuni file e permessi presenti nel nostro sistema.
/etc/host.conf
Contiene alcuni parametri relativi all'host.
Impostatelo in questa maniera :
order bind,hosts
multi on
nospoof on
Salviamo il tutto e andiamo avanti
/etc/login.defs
Questo file contiene il numero minimo di caratteri minimini che dovranno comporre una password ed altre informazioni, il default di solito è 5, quindi mettiamo un numero superiore (sempre consigliato 8 o maggiore)
Quindi identificate una linea simile o uguale alla seguente :
PASS_MIN_LEN 5
e sostituitela con :
PASS_MIN_LEN 8
vi consiglio di dare uno sguardo un po' più ampio al file in questione, in quanto contiene alcune impostazioni molto interessanti.
/etc/exports
Questo file contiene la lista di tutte le directory che vengono esportate verso altri computer tramite NFS.
Sarebbe sempre meglio evitare l'esportazione delle directory, ma se proprio non se ne può fare a meno allora esportiamole nel modo più restrittivo possibile, specificando quindi quale host deve vederle e soprattutto dando i permessi di sola lettura :
/dir_da_esportare host.dominio.com (ro,root_squash)
ro = sola letture
root_squash = neanche root ci può scrivere :-)
Una volta aggiunte tutte le directory da esportare dovremo scrivere :
/usr/sbin/exportfs -a per rendere effettive le modifiche
Volendo aumentare la sicurezza della nostra LinuxBox, potremmo aggiungere una password a LILO
/ect/lilo.conf
inserendo queste 2 righe :
restricted
password=la_password_che_abbiamo_pensato
Attenzione :
La password è scritta in chiaro, ed è quindi visibile ad ogni utente.....non mi sembra molto sicuro no?
Per ovviare a questo inconveniente, permetteremo soltanto a root di poter accedere al file utilizzando il comando chmod :
chmod 600 /etc/lilo.conf
per verificare che la configurazione sia corretta ed attuare le modifiche lanceremo :
lilo -v
E' inoltre buona norma rendere illegibile a tutti gli utenti, ad esclusione di root, del file services presente sempre nella cartella /etc
chmod 600 /etc/services
e dulcis in fundo rendere l'accesso agli script presenti in /etc/rc.d/init.d soltanto a root
chmod -R 700 /etc/rc.d/init.d*
Questo piccolo tutorial, non rende inespugnabile la vostra linuxBox, ma può aiutarvi a renderla più sicura.
La sicurezza di un sistema, richiede molto studio quindi documentatevi il più possibile.
Quello che oggi è sicuro potrebbe non esserlo tra qualche giorno, quindi vi consigilio di iscrivervi alle mailing list della vostra distro.
Aggiornare i pacchetti della vostra distribuzione, prestando particolare attenzione a quelli contrassegnati come Urgente/Importante/Sicurezza.
Ultima cosa, se volete, provate a crakkarvi le password.
Esistono in rete molti programmi per effettuare il crack delle password, scaricateli e testate.
Se il vostro PC naviga molto su intenet, utilizzate un firewall.Linux ha già un suo sistema firewall chiamato iptables che non tratterò in questo tutorial, ma in uno dedicato.
Per configurarlo in modo semplice e visuale,scaricatevi dalla rete il programma "guarddog".
Trovato questo articolo interessante? Condividilo sulla tua rete di contatti in Twitter, sulla tua bacheca su Facebook, in Linkedin, Instagram o Pinterest. Diffondere contenuti che trovi rilevanti aiuta questo blog a crescere. Grazie!
0 commenti:
Posta un commento