From

---

Current revision as of 08:18, 31 January 2007

Contents 1 Sicurezza 1.1 Cosa bisogna assolutamente sapere per la sicurezza di Ubuntu 1.2 Come disabilitare tutti i comandi interattivi di modifica del menù di GRUB 1.3 Come disabilitare la cronologia dei comandi della Console 1.4 Come disabilitare il riavvio del computer con Ctrl+Alt+Canc dalla Console 1.5 Come abilitare la richiesta di conferma prima della cancellazione/modifica di file/cartelle da Console 1.6 Come configurare un sistema LoJack per il tuo portatile

Sicurezza

Cosa bisogna assolutamente sapere per la sicurezza di Ubuntu

• Leggi le Note Generali
• Assicurati che il disco fisso sia il primo nella sequenza di avvio del BIOS
  • Per prevenire intrusioni causate dall'uso del CD di Installazione di Linux che consentirebbe l'accesso come root
  • Per prevenire intrusioni causate dall'uso da Live CD di Linux (come UBUNTU/KNOPPIX/MEPIS) che consentirebbe la distruzione/navigazione/condivisione dell'intero disco fisso
  • Per prevenire intrusioni causate dall'installazione di un altro Sistema Operativo
• Assicurati che sia impostata una password per il BIOS
  • Per prevenire intrusioni causate dalla modifica della sequenza di avvio del BIOS
• Assicurati che il computer sia in un posto sicuro
  • Per prevenire intrusioni causate dalla rimozione del disco fisso, che consentirebbe la sua distruzione/navigazione/condivisione da un altro pc
  • Per prevenire intrusioni causate dalla rimozione della batteria della scheda madre, che eliminerebbe la password del BIOS
• Assicurati che le password del sistema non siano facilmente indovinate
  • Per prevenire intrusioni causate da attacchi di forza bruta (brute-force) ai tuoi file delle password (come John the Ripper)
  • Crea password di almeno 8 caratteri
  • Crea password che siano una combinazione di lettere/numeri, e caratteri maiuscoli/minuscoli
  • Non creare una password parole del dizionario di una lingua o anche di una unione di molte lingue (inglese, tedesco, francese, spagnolo...)
• Assicurati che i controlli di modifica di GRUB siano disabilitati
  • Per prevenire intrusioni causate dalla modifica degli argomenti di avvio del kernel, che consentano il guadagno dei permessi di root
  • Leggi Come disabilitare tutti i comandi interattivi di modifica del menù di GRUB
• Assicurati che la cronologia dei comandi della Console sia disabilitata
  • Per prevenire intrusioni causate dalla visione di comandi eseguiti precedentemente
  • Leggi Come disabilitare la cronologia dei comandi della Console
• Assicurati che la sequenza Ctrl+Alt+Canc sia disabilitata nella modalità di Console
  • Per prevenire intrusioni causate dal riavvio del sistema senza permesso nella modalità di Console
  • Leggi Come disabilitare il riavvio del computer con Ctrl+Alt+Canc dalla Console
• Assicurati che siano impostate le opzioni di interazione per la rimozione, la copia e lo spostamento di files nella Console
  • Per prevenire la rimozione/sovrascrittura accidentale di file/cartelle
  • Leggi Come abilitare la richiesta di conferma prima della cancellazione/modifica di file/cartelle da Console
• Per l'uso di tutti i giorni, autenticati come utente normale
  • Per prevenire la cancellazione e la modifica accidentale di file di sistema
  • Leggi Come aggiungere/modificare/eliminare utenti di sistema
• Disabilita l'account di root, piuttosto usa "sudo"
  • Per diminuire il tempo passato con i privilegi di root, ed al contempo il rischio inavvertito di eseguire un comando come root
  • "sudo" ha una traccia di verifica più semplice (/var/log/auth.log)
  • Leggi Come disabilitare l'account dell'utente root
• Installa un Firewall
  • Un firewall non garantisce la sicurezza, ma nella maggior parte degli ambienti è la prima linea della difesa contro attacchi provenienti dalla rete
  • Leggi Come installare un Firewall (Firestarter)
• Esegui test di vulnerabilità
  • Nessus è un grande strumento disegnato per automatizzare i test e la scoperta di problemi noti di sicurezza
• Leggi Come installare un analizzatore di vulnerabilità (Nessus)

Come disabilitare tutti i comandi interattivi di modifica del menù di GRUB

• Leggi le Note Generali

• Avvia questo:

grub-md5-crypt 

Password: 
Retype password: (Digita nuovamente la password)
$1$tumnZ1$xB/shuXs7MlawZXkLiBDV/

• Fai il backup del tuo attuale file di configurazione

sudo cp /boot/grub/menu.lst /boot/grub/menu.lst_backup
gksudo gedit /boot/grub/menu.lst

• Trova questa sezione

...
## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line) and entries protected by the
# command 'lock'
# e.g. password topsecret
#   password --md5 $1$tumnZ1$xB/shuXs7MlawZXkLiBDV/
# password topsecret
...

• Aggiungi in fondo la riga seguente

password --md5 $1$tumnZ1$xB/shuXs7MlawZXkLiBDV/ (encrypted password above)

• Trova questa sezione

...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
root		(hd0,1)
kernel		/boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single
initrd		/boot/initrd.img-2.6.10-5-386
savedefault
boot
...

• Aggiungi lock tra il titlo e le righe di root:

...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
lock
root		(hd0,1)
...

• Salva il file modificato

Questo farà sì che la console di grup richieda una password per modificare le righe, e la modalità recovery (di recuperò) non funzionerà fin quando non verrà digitata la password. Per accedere alle altre opzioni di grub del menu, segui le istruzioni in fondo allo schermo. Ci sarà qualcosa tipo primi p e digita la tua password.

Come disabilitare la cronologia dei comandi della Console

• Leggi le Note Generali
• Da Wiki di Gentoo:

rm -f .bash_history
gedit ~/.bash_profile

• Aggiungi quanto segue:

export HISTFILESIZE=4
unset HISTFILE=5

# Imposta qui un numero ragionevole di righe da salvare, io preferisco salvarne solo 100.
export HISTSIZE=1

# Ignora le righe duplicate di seguito
export HISTCONTROL=ignoredups

Questo disabiliterà la cronologia Bash per l'utente, mantenendo la cronologia dei tasti premuti e dei richiami (quest'ultima limitata a 100 righe). Inoltre non ci sono righe di record duplicati di seguito.

Come disabilitare il riavvio del computer con Ctrl+Alt+Canc dalla Console

• Leggi le Note Generali

sudo cp /etc/inittab /etc/inittab_backup
sudo gedit /etc/inittab

• Trova questa riga

...
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
...

• Sostituiscila con la riga seguente

#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

• Salva il file modificato

sudo telinit q

Come abilitare la richiesta di conferma prima della cancellazione/modifica di file/cartelle da Console

• Leggi le Note Generali

sudo cp /etc/bash.bashrc /etc/bash.bashrc_backup
sudo gedit /etc/bash.bashrc

• Aggiungi le seguenti righe alla fine del file

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

• Salva il file modificato

Come configurare un sistema LoJack per il tuo portatile

• Leggi le Note Generali
• Leggi Come aggiungere repository extra
• Leggi Come assegnare un nome di host ad una macchina locale con IP dinamico usando il servizio libero DynDNS

Cosa: Cito da Wikipedia: "LoJack è un sistema di tracciamento di veicoli commerciali che permette che le macchine siano tracciate dalla polizia dopo che sono state rubate. Il costruttore pubblicizza un tasso di recupero del 90%. Il nome "LoJack" è un gioco di parole con "hijack," che indica il furto di un veicolo con la forza."

Perché: Se il tuo portatile viene rubato e connesso a Internet, avrai la possibilità di trovare da quale IP si sta connettendo a Internet e contattare le autorità.

Come:

• Ottieni un account IP dinamico libero da uno dei vari provider. Qui puoi usare DynDNS.

• Installa ddclient. Nella sezione Come assegnare un nome di host ad una macchina locale con IP dinamico usando il servizio libero DynDNS abbiamo installato il pacchetto ipcheck, qui preferiamo usare ddclient perché può ricavare l'IP da una sorgente esterna su Internet invece che da un adattatore di rete.

sudo apt-get install ddclient 

• Modifica il file di configurazione /etc/ddclient.conf usando il tuo editor di testi preferito (emacs, gedit, kedit o anche vi)

sudo emacs /etc/ddclient.conf

• Fa sì che sia come questo:

# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf
pid=/var/run/ddclient.pid
protocol=dyndns2
use=web
server=members.dyndns.org
login=IlTuoNomeQui
password='LaTuaPasswordQui'
IlNomeDelTuoHost.gotmyip.com

NOTA:

* Assicurati che usi il metodo web di ricavo dell'IP.

* Specifica il tuo id utente dove c'è scritto IlTuoNomeQui.

* Specifica la tua password dove c'è scritto LaTuaPasswordQUI, assicurandoti che sitra tra tra apici.

* L'ultima riga dovrebbe specificare il nome dell'host che hai regsitrato nel servizio di IP dinamico.

• Adesso puoi avviare il demone ddclient, o aspettare fino al prossimo riavvio del computer.

sudo /etc/init.d/ddclient start

• Il nome dell'host che hai registrato con il tuo servizio di IP dinamico dovrebbe essere aggiornato. Puoi testarlo usando il comando ping:

ping IlNomeDelTuoHostQui.gotmyip.com

Anche se il tuo laptop ha un firewall che previene i ping, il nome dell'host dovrebbe ricavare l'IP del gateway del network a cui il tuo laptop si sta connettendo.

Adesso quello che rimane da fare è lasciare che qualcuno rubi il tuo portatile...

Riferimenti:

• http://ddclient.sourceforge.net/index.php