Ubuntu:Edgy it/Security

From

(Difference between revisions)
Jump to: navigation, search

Current revision as of 08:18, 31 January 2007

Contents

Sicurezza

Cosa bisogna assolutamente sapere per la sicurezza di Ubuntu

  • Leggi le Note Generali
  • Assicurati che il disco fisso sia il primo nella sequenza di avvio del BIOS
    • Per prevenire intrusioni causate dall'uso del CD di Installazione di Linux che consentirebbe l'accesso come root
    • Per prevenire intrusioni causate dall'uso da Live CD di Linux (come UBUNTU/KNOPPIX/MEPIS) che consentirebbe la distruzione/navigazione/condivisione dell'intero disco fisso
    • Per prevenire intrusioni causate dall'installazione di un altro Sistema Operativo
  • Assicurati che sia impostata una password per il BIOS
    • Per prevenire intrusioni causate dalla modifica della sequenza di avvio del BIOS
  • Assicurati che il computer sia in un posto sicuro
    • Per prevenire intrusioni causate dalla rimozione del disco fisso, che consentirebbe la sua distruzione/navigazione/condivisione da un altro pc
    • Per prevenire intrusioni causate dalla rimozione della batteria della scheda madre, che eliminerebbe la password del BIOS
  • Assicurati che le password del sistema non siano facilmente indovinate
    • Per prevenire intrusioni causate da attacchi di forza bruta (brute-force) ai tuoi file delle password (come John the Ripper)
    • Crea password di almeno 8 caratteri
    • Crea password che siano una combinazione di lettere/numeri, e caratteri maiuscoli/minuscoli
    • Non creare una password parole del dizionario di una lingua o anche di una unione di molte lingue (inglese, tedesco, francese, spagnolo...)
  • Assicurati che i controlli di modifica di GRUB siano disabilitati
  • Assicurati che la cronologia dei comandi della Console sia disabilitata
  • Assicurati che la sequenza Ctrl+Alt+Canc sia disabilitata nella modalità di Console
  • Assicurati che siano impostate le opzioni di interazione per la rimozione, la copia e lo spostamento di files nella Console
  • Per l'uso di tutti i giorni, autenticati come utente normale
  • Disabilita l'account di root, piuttosto usa "sudo"
    • Per diminuire il tempo passato con i privilegi di root, ed al contempo il rischio inavvertito di eseguire un comando come root
    • "sudo" ha una traccia di verifica più semplice (/var/log/auth.log)
    • Leggi Come disabilitare l'account dell'utente root
  • Installa un Firewall
  • Esegui test di vulnerabilità
    • Nessus è un grande strumento disegnato per automatizzare i test e la scoperta di problemi noti di sicurezza
  • Leggi Come installare un analizzatore di vulnerabilità (Nessus)

Come disabilitare tutti i comandi interattivi di modifica del menù di GRUB

  • Avvia questo:
grub-md5-crypt 
Password: 
Retype password: (Digita nuovamente la password)
$1$tumnZ1$xB/shuXs7MlawZXkLiBDV/
  • Fai il backup del tuo attuale file di configurazione
sudo cp /boot/grub/menu.lst /boot/grub/menu.lst_backup
gksudo gedit /boot/grub/menu.lst
  • Trova questa sezione
...
## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line) and entries protected by the
# command 'lock'
# e.g. password topsecret
#   password --md5 $1$tumnZ1$xB/shuXs7MlawZXkLiBDV/
# password topsecret
...
  • Aggiungi in fondo la riga seguente
password --md5 $1$tumnZ1$xB/shuXs7MlawZXkLiBDV/ (encrypted password above)
  • Trova questa sezione
...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
root		(hd0,1)
kernel		/boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single
initrd		/boot/initrd.img-2.6.10-5-386
savedefault
boot
...
  • Aggiungi lock tra il titlo e le righe di root:
...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
lock
root		(hd0,1)
...
  • Salva il file modificato

Questo farà sì che la console di grup richieda una password per modificare le righe, e la modalità recovery (di recuperò) non funzionerà fin quando non verrà digitata la password. Per accedere alle altre opzioni di grub del menu, segui le istruzioni in fondo allo schermo. Ci sarà qualcosa tipo primi p e digita la tua password.


Come disabilitare la cronologia dei comandi della Console

rm -f .bash_history
gedit ~/.bash_profile
  • Aggiungi quanto segue:
export HISTFILESIZE=4
unset HISTFILE=5

# Imposta qui un numero ragionevole di righe da salvare, io preferisco salvarne solo 100.
export HISTSIZE=1

# Ignora le righe duplicate di seguito
export HISTCONTROL=ignoredups

Questo disabiliterà la cronologia Bash per l'utente, mantenendo la cronologia dei tasti premuti e dei richiami (quest'ultima limitata a 100 righe). Inoltre non ci sono righe di record duplicati di seguito.

Come disabilitare il riavvio del computer con Ctrl+Alt+Canc dalla Console

sudo cp /etc/inittab /etc/inittab_backup
sudo gedit /etc/inittab
  • Trova questa riga
...
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
...
  • Sostituiscila con la riga seguente
#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
  • Salva il file modificato
sudo telinit q

Come abilitare la richiesta di conferma prima della cancellazione/modifica di file/cartelle da Console

sudo cp /etc/bash.bashrc /etc/bash.bashrc_backup
sudo gedit /etc/bash.bashrc
  • Aggiungi le seguenti righe alla fine del file
alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'
  • Salva il file modificato

Come configurare un sistema LoJack per il tuo portatile


Cosa: Cito da Wikipedia: "LoJack è un sistema di tracciamento di veicoli commerciali che permette che le macchine siano tracciate dalla polizia dopo che sono state rubate. Il costruttore pubblicizza un tasso di recupero del 90%. Il nome "LoJack" è un gioco di parole con "hijack," che indica il furto di un veicolo con la forza."

Perché: Se il tuo portatile viene rubato e connesso a Internet, avrai la possibilità di trovare da quale IP si sta connettendo a Internet e contattare le autorità.

Come:

  • Ottieni un account IP dinamico libero da uno dei vari provider. Qui puoi usare DynDNS.
sudo apt-get install ddclient 
  • Modifica il file di configurazione /etc/ddclient.conf usando il tuo editor di testi preferito (emacs, gedit, kedit o anche vi)
sudo emacs /etc/ddclient.conf
  • Fa sì che sia come questo:
# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf
pid=/var/run/ddclient.pid
protocol=dyndns2
use=web
server=members.dyndns.org
login=IlTuoNomeQui
password='LaTuaPasswordQui'
IlNomeDelTuoHost.gotmyip.com
NOTA:
* Assicurati che usi il metodo web di ricavo dell'IP.
* Specifica il tuo id utente dove c'è scritto IlTuoNomeQui.
* Specifica la tua password dove c'è scritto LaTuaPasswordQUI, assicurandoti che sitra tra tra apici.
* L'ultima riga dovrebbe specificare il nome dell'host che hai regsitrato nel servizio di IP dinamico.
  • Adesso puoi avviare il demone ddclient, o aspettare fino al prossimo riavvio del computer.
sudo /etc/init.d/ddclient start
  • Il nome dell'host che hai registrato con il tuo servizio di IP dinamico dovrebbe essere aggiornato. Puoi testarlo usando il comando ping:
ping IlNomeDelTuoHostQui.gotmyip.com
Anche se il tuo laptop ha un firewall che previene i ping, il nome dell'host dovrebbe ricavare l'IP del gateway del network a cui il tuo laptop si sta connettendo.
Adesso quello che rimane da fare è lasciare che qualcuno rubi il tuo portatile...

Riferimenti:

Personal tools
Sponsor