Questo thread ha come obbiettivo le principali cose che deve fare un buon amministratore di sistema per garantire la sicurezza dei propri computer.
Le principali regole sono:

usare password sufficientemente robuste
tenere aperti soltanto i servizi strettamente necessari
applicare delle regole di firewalling


Password Robuste
Le mie password importanti le faccio parecchio lunghe, sicuramente più di 8 caratteri.
Formate da caratteri alfanumerici, numerici e caratteri speciali.

Servizi
Seplicemente se il vostro server deve fare da web server teniamo aaperto soltanto apache, mysql se ci serve un database ecc..

Firewalling
Applicare regole di firewalling ci permette di accettare, droppare e forwardare le connessioni verso le varie porte del server e/o verso i vari computer della rete.

Messa in sicurezza di SSH
Per prima cosa disabilitare l'accesso di root e limitare l'accesso ad i soli utenti ammessi.
Per rafforzare ulteriormente non usare come autentificazione le password ma crittografia assimetrica.

Port Knocking
Stiamo aspettando un tutorial da PiloZ cmq detto in due parole.
Si tratta di usare un programma che quando arriva una certa sequenza di pacchetti su delle certe porte fa eseguire delle operazioni, tipo aprire la porta dell'ssh.
Ovviamente se ci sono dei rallentamenti sulla rete i pacchetti potrebbero arrivare in un
ordine diverso da quello di invio e quindi non portare a buon fine l'operazione

Consigli
I servizi di amministrazione o che comunque non importa siano su porte standard, è
bene spostarli.
Es SSH è bene spostarlo dalla porta di default cosi da risparmiarci numerosi attacchi brute -force.
Ovviamente se vogliamo che ssh sia disponibile a tutte le persone ci conviene tenerlo sulla porta di default ed usare altri metodi.
Attenti all'umask che si occupa di applicare i permessi ai nuovi file creati.
Altra cosa interessante è bloccare i file come /etc/shadow ecc... con chattrib -i
Ma appena qualcuno riesce ad avere un accesso root può rimuovere questo flag.
Bisogna stare molto attenti a far entrare soltanto utenti fidati nel nostro sistema.
Sopratutto in ssh, altrimenti un hacker(cracker o quel che sia) potrebbe fare una escalation dei privilegi e a quel punto installare backdoor ecc


Espanzioni, correzzioni e ulteriori aggiunte su come rafforzare altri servizi sono ben
accette, anzi sperate ;)

Aggiungerei anche la password al bios ed al boot loader, anche se non sono strettamente connesse a linux ma alla macchina stessa.

Inoltre occhio alla umask per i permessi dei nuovi files creati e a non abilitare il flag NOPASSWD nel file sudoers per utenti che sono connessi spesso.

Se mi viene in mente altro lo posto.

io consiglio questo sito http://www.linux-sec.net/

aggiungerei l'uso del port knocking, specie per ssh :)

Ciao ;)

se desiderate uno di questi giorni tiro già un piccolo howto sul port knocking :)
fatemi sapere, ciao!

Le mie password importanti le faccio parecchio lunghe, sicuramente più di 8 caratteri.
Formate da caratteri alfanumerici, numerici e caratteri speciali.

e come le ricordi? :D :D :D

e come le ricordi? :D :D :D



... nn ci vuole una grande mente... la mia è di + di 15 lettere numeri e caratteri speciali ....

se desiderate uno di questi giorni tiro già un piccolo howto sul port knocking :)
fatemi sapere, ciao!

grazie PiloZ a me interesserebbe ... :)

... nn ci vuole una grande mente... la mia è di + di 15 lettere numeri e caratteri speciali ....

azz! :eek:
io ne ho due... una di 6 cifre e l'altra di 7... figurati che fatico a ricordarle tutt'e due! :D
dovrò allenarmi...

grazie PiloZ a me interesserebbe ... :)
ok, dammi qualche giorno :)

Ciao!

Il manuale di Red Hat riguardo le password dice:
ricordatevi una frase alfanumerica e usatene le iniziali e i numeri.

Esempio

Io vivo in via dei matti n0 00100 Roma

e otterrete

ivivdmn000100R :D :D :D

Ciao belli

H2K

Il manuale di Red Hat riguardo le password dice:
ricordatevi una frase alfanumerica e usatene le iniziali e i numeri.

Esempio

Io vivo in via dei matti n0 00100 Roma

e otterrete

ivivdmn000100R :D :D :D

Ciao belli

H2K
il casino nasce se poi traslochi :asd::asd::asd:

alla mia ragazza ho pensato di usare la targa della sua macchina :)

il casino nasce se poi traslochi :asd::asd::asd:

alla mia ragazza ho pensato di usare la targa della sua macchina :)
:nono: Una buona password non deve essere in alcun modo legata a chi la usa. Quindi niente data di nascita, numero di telefono/targa o nome del cane/pesce rosso ecc. ecc.
Vai immediatamente a casa di imma e cambiagli password :D

Personalmente uso apg per creare password completamente random. Con i parametri -m8 -a0 si hanno ottime password anche facili da ricordare. Se sei paranoico come me usa -m13 -a1.

Ovviamente le password non devono essere tutte uguali. Altra ottima pratica è cambiare ogni n giorni tutte le password importanti.

Se poi non hai voglia di ricordarle tutte o non ci riesci puoi usare un portachiavi virutale come kwalletmanager.

ciao ;)

Mio personale metodo: scelgo una frase lunga, lunghissima, di senso compiuto, slegata dalla mia persona, che mi faccia magari sorridere. Esempio: "Il diavolo veste Prada, e pure il Papa". Poi la stravolgo: tra spazi, maiuscole, minuscole, numeri e simboli, un attacco brute force chiederebbe circa milleduecento anni di computazioni. :D L'unica difficoltà sta nel ricordare come la si è stravolta, ma basta applicarle sempre lo stesso metodo.

al suo paese neanche sanno cos'è linux talmente sono terremotati, sono io che porto la tecnologia e l'informatica da loro :sborone:
nel mio pc invece dove c'è veramente poco da salvaguardare arrivare a usare sw per generare password mi pare un po eccessivo!
sicuramente per via del fatto che tra router e iptables e pochi servizi attivi ho poco da preoccuparmi.
se proprio devo essere così paranoico dovrei mettermi i dischi in raid, tenere la stanza a 25 gradi e quant'altro così nulla si crepa e il sistema vivrà in eterno :p
con questo non voglio dire che la mia password è piccola, ma anzi supera i 12 caratteri, ma _nel mio caso_ dove non gestisco nessuna webfarm almeno la password non sto a cambiarla ogni mese :p

i servizi che non sono di mia prima necessità come apache-ssl, mysql, vsftpd li starto manualmente e se devo far conenttere qualcuno dall'esterno non c'è subito il via libera ma di default devo anche togliere il commento dalla rule di iptables e forwardare la porta sul router :)

Ciao :)

Infatti anche io utilizzo un metodo simile a quello di zorcan, solo che anzichè chiamarlo "stravolgimento" lo chiamo "algoritmo di creazione password".
Proprio in questi giorni me ne è venuto in mente uno girando su wikipedia!

Infatti anche io utilizzo un metodo simile a quello di zorcan,....
idem, solamente però usando il catalogo IKEA ... :asd:
quindi oltre all' algoritmo di "stravolgimento" basterà ricordare, invece di una frase, il numero di pagina a cui si trovava il o i nomi svedesi usati come punto di partenza... :D

idem, solamente però usando il catalogo IKEA [...] basterà ricordare [...] i nomi svedesi

Ah, il mitico MINNEN RATTA (il topo di pezza). :D

se desiderate uno di questi giorni tiro già un piccolo howto sul port knocking :)
fatemi sapere, ciao!

qualcosa ho scritto nel mio howto su ssh (vedi firma)... se scrivi qualcosa di meglio lo integro nel mio howto... (che dovrei aggiornare visto le nuove funzionalita' di openssh 4)

Mio personale metodo: scelgo una frase lunga, lunghissima, di senso compiuto, slegata dalla mia persona, che mi faccia magari sorridere. Esempio: "Il diavolo veste Prada, e pure il Papa". Poi la stravolgo: tra spazi, maiuscole, minuscole, numeri e simboli, un attacco brute force chiederebbe circa milleduecento anni di computazioni. :D L'unica difficoltà sta nel ricordare come la si è stravolta, ma basta applicarle sempre lo stesso metodo.

anch'io faccio qualcosa di simile...
prendo una frase lunghetta, al posto degli spazi ci metto vari simboli, e infine la scrivo "spostando" a destra o a sinistra (o in maniera alternata) le dita sulla tastiera...
esempio:
"password" di partenza: ciao a tutti
inserimento simboli: !ciao@a#tutti*
spostamento di una parola a destra e una a sinistra: !xuai@s#ryrru*
ovviamente bisogna tener conto che se a destra o a sinistra non ci sono piu' lettere si usa la stessa... e siccome in questa maniera nemmeno io mi ricordo la password (la so solo ricavare) se mi danno una tastiera stramba (una qzerty o altro) sono fottuto! :D

Ciao

se mi danno una tastiera stramba [...] sono fottuto!

Forse bisogna optare per la soluzione opposta: scegliere una password così idiota che nessuno proverebbe mai. Tipo: 'password'. :D :asd:

meglio ancora 'root' :asd:

Ah, il mitico MINNEN RATTA (il topo di pezza). :D
più che topo, 'na pantegana bella grossa... ci credi che ne ho uno che mi fissa da sopra il monitor? :D

più che topo, 'na pantegana bella grossa... ci credi che ne ho uno che mi fissa da sopra il monitor? :D

Pur non amando i prodotti Ikea, ammetto di invidiartelo. :eek: :D

Forse bisogna optare per la soluzione opposta: scegliere una password così idiota che nessuno proverebbe mai. Tipo: 'password'. :D :asd:

infatti io uso sempre l'intramontabile " 1234 " :stordita:

se desiderate uno di questi giorni tiro già un piccolo howto sul port knocking :)
fatemi sapere, ciao!

si ci interessa

Conoscete sistemistiindipendenti.org?
Ci sono ottime guide, tra cui una proprio sul port knocking (consigliatissimo per evitare fastidiosi brute force su ssh).
Link (http://www.sistemistiindipendenti.org/modules/news/article.php?storyid=171)

Un'altra guida molto interessante che vi consiglio di leggere è quella per trasformare iptables in un firewall layer 7 grazie alla patch l7-filter (http://l7-filter.sourceforge.net/).
Link (http://www.sistemistiindipendenti.org/modules/news/article.php?storyid=188)

E ce ne sono tante altre (dalla videosorveglianza a menate come gli honeypot) ;)

... nn ci vuole una grande mente... la mia è di + di 15 lettere numeri e caratteri speciali ....
ci metti più tu a fare il login che il pc a fare il boot... :asd:

Grazie per la guida PiloZ, domani aggiungo tutto nel primo post.
Il port knocking cmq non dovrebbe essere soltanto rose e fiori ;)
Certo i suoi vantaggi li da...
Non mi ricordo chi mi aveva detto che lui mandava una mail con un certo contenuto alla sua casella presente sul suo server e grazie a quella apriva la porta di ssh.
Originale come soluzione :cool:

Ciao

Magari anche cambiare le porte di default di alcuni servizi. Per esempio, io per il mio piccolo FTP e la mia connessione SSH ho eliminato rispettivamente la porta 21 e la 22 ed ho scelto porte superiori a 3000, per esempio, 3571 oppure 3289.

infatti io uso sempre l'intramontabile " 1234 "

:doh: NO! Non usate mai passwords "troppo stupide da trovare"! Un sistema bruteforce o con vocabolario ci metterebbe pochi minuti a crackarle!!!! Per aumentare i tempi di password cracking di tali programmi è necessario alternare caratteri alfanumerici, maiuscole e simboli! E la lunghezza minima decente è di 8 caratteri!

Magari anche cambiare le porte di default di alcuni servizi

Questo può ingannare uno script automatico, ma la prima cosa che un malintenzionato farebbe sarebbe di fare uno scan sulle porte e trovare immediatamente (o dopo un po', dipende dal firewall) le porte giuste!

:doh: NO! Non usate mai passwords "troppo stupide da trovare"! Un sistema bruteforce o con vocabolario ci metterebbe pochi minuti a crackarle!!!!

Direi che la sua risposta fosse ironica, come le altre. ;)

ooops... vabè non si sa mai :D