View Full Version : Aumentare la sicurezza
ciauz in riferimento a questo link:
http://forum.noamweb.com/viewthread.php?tid=11&page=1#pid21
secondo voi è corretto fare quelle modifiche:
Creare /tmp su una partizione separata cosa cambierebbe?
Disabilitare l'accesso Root "diretto" in che senso?
RENDERE I PERMESSI PIU' RESTRITTIVI
IMPEDIRE AGLI UTENTI L'ACCESSO AI COMPILATORI con chmod
mettere host.conf così:
order bind,hosts
multi on
nospoof on
spoofalert on
che cosa può migliorare in termini di sicurezza?
edit: gli aggiornamenti sulla sicurezza in debian come si fanno? usate un repository particolare o cosa?
grazie byez :)
cambia che un utente non ti può saturare l'hd creadno file temporanei a schifo.
però ci sono modi più fini, eleganti intelligenti e efficaci :)
per disabilitare l'accesso a root suppongo si volgia cancellare la possibilità di loggarsi a root. per modificare qualcosa sei costretto a usare su.
se togli la possibilità agli utenti di compilare tanto vale puoi anche togliere i compilatori ;)
man host.conf ;)
ciao
ah, se non hai server attivi, se accetti solo le connessioni che stabilisci tu sei già a buon punto per la sicurezza in ambito desktop.
se devi usare dei server per la tua rete sistema il firewall e magari contreolla anche tcp wrapper.
se vuoi fare lo sborone puoi anche mettere grsecurity e prenderti qualche accorgimento in più, ma stai attento che non più rendi sicuro il sistema più funzionalità perdi (pax ti distrugge anche x :sofico: ).
ciao
Originariamente inviato da NA01
però ci sono modi più fini, eleganti intelligenti e efficaci :)
per disabilitare l'accesso a root suppongo si volgia cancellare la possibilità di loggarsi a root. per modificare qualcosa sei costretto a usare su.
ciao
quali sono i tuoi modi fini :D ?
come disabilito l'accesso a root?...in pratica login: "user"
non andrebbe più con user=root ma potrò accederci sempre con "su", questo può anche starmi bene, sai dirmi come fare?...occhio che se non mi funge neanche su vengo li e ti prendo a colpi di crick in testa :asd: :sofico: :D scherzo...
quanto allo sborone con grsecurity no meglio di no va :uh:
per i reposotory su debian per la sicurezza sai dirmi qualcosa?
ciauz e grazie...per ora :asd:
per lo spazio usa disk-quota, ma io non lo farei se sei solo te a avere l'accesso alla macchina. al massimo metti /var/log in una partizione diversa. è l'unica dove si può scrivere senza avere alcun privilegio (anche se indirettamente).
per root non mi ricordo cosa si deve toccare... cmq c'è sempre il tuo migliore amico :) sai chi è, vero ?:sofico:
gli aggiornamenti di debby essitono solo per woody, il server che ti chiede di inserire in fase installazione va bene (a meno che tu non lo abbia cancellato)
ciao!
Originariamente inviato da NA01
per root non mi ricordo cosa si deve toccare... cmq c'è sempre il tuo migliore amico :) sai chi è, vero ?:sofico:
chi la capra intendi ? :D :fiufiu: :asd:
Originariamente inviato da NA01
gli aggiornamenti di debby essitono solo per woody, il server che ti chiede di inserire in fase installazione va bene (a meno che tu non lo abbia cancellato)
:muro: :muro: :muro: cancellato tanti mesi fa :D ma avendo sid non credo mi possano servire ora come ora :oink:
grazie ancora... ciauz
ora mi sento un casino più sicuro :cool: :sofico: :cool:
Originariamente inviato da PiloZ
chi la capra intendi ? :D :fiufiu: :asd:
naaaa la capra noooooooooooooooooooooooooooooooooooooooooooo!
www..... :sofico:
ciao
Originariamente inviato da NA01
naaaa la capra noooooooooooooooooooooooooooooooooooooooooooo!
www..... :sofico:
ciao
LOLLLLL hai ragione...più precisamente : http://utenti.lycos.it/hammo/emotions/google.gif
:D
:winner:
è che non mi ricordo come diavolo si faceva (eppure sul mio sistema non ci si può loggare, quindi lo ho fatto :cool: )
ciao
Originariamente inviato da NA01
:winner:
è che non mi ricordo come diavolo si faceva (eppure sul mio sistema non ci si può loggare, quindi lo ho fatto :cool: )
ciao
...starto :mc:
io sto cercando :) appena trovo qualcosa te faccio sapè ;)
:read: AYO (http://www.to.infn.it/groups/group4/mirror/linux/AppuntiLinux/AL-12.42.185.html) :read: :cool:
beh oltre a quello, meglio se setti anche ulimit (non vorrai che qualche tuo utente ti inchiodi la macchina usando tutta la ram e lo swap?!?!)
occhio che la quota non funziona con reiser (almeno non dovrebbe funzionare con reiser 3.X) quindi meglio mettere tmp su una partizione separata
altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli
togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)
Fai partire tutti i tuoi server in chroot
Metti sotto chiave la stanza del server (questo te lo dico perche' il 23 dicembre mi hanno rubato il server :mad: :mad: in una scuola dove lavoro)
Ciao!
a quanto ho capito è il suo pc, quidni non so se ne ha bisogno dei limiti sulle risorse (quota compreso)
ciao
Originariamente inviato da NA01
a quanto ho capito è il suo pc, quidni non so se ne ha bisogno dei limiti sulle risorse (quota compreso)
ciao
beh se e' proprio il suo computer, e non vuole che succedano danni di nessun tipo la cosa da fare e' una sola:
lasciarlo spento :D :D :D :D
Originariamente inviato da HexDEF6
beh oltre a quello, meglio se setti anche ulimit (non vorrai che qualche tuo utente ti inchiodi la macchina usando tutta la ram e lo swap?!?!)
occhio che la quota non funziona con reiser (almeno non dovrebbe funzionare con reiser 3.X) quindi meglio mettere tmp su una partizione separata
altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli
togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)
Fai partire tutti i tuoi server in chroot
Ciao!
wow...trovo cose molto interessanti:
ma vediamo insieme:
- beh oltre a quello, meglio se setti anche ulimit (non vorrai che qualche tuo utente ti inchiodi la macchina usando tutta la ram e lo swap?!?!)
Metti sotto chiave la stanza del server (questo te lo dico perche' il 23 dicembre mi hanno rubato il server :mad: :mad: in una scuola dove lavoro)
per questo non c'è problema visto che è un pc che uso quotidianamente... ha i suoi servizi come ssh, apache, samba proftpd, mysql...ma sono tutti disabilitati all'avvio e mi prendo la briga io quando mi servono di startarli.
se proprio volessi mettere la quota credo di non avere problemi visto che continuo ad usare l'ext3.
sapresti indicarmi come fare la quota? te ne sarei grato.
altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli
beh..in /etc/modules c'è poco e niente...o quasi tutto stitico :D
togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)
appena arrivo a casa corro a farlo :cool: questo è molto interessante.
Fai partire tutti i tuoi server in chroot
o cazzarola.... questo molto importante per la salvaguardia del pc...
so cosa sia un ambiente chroot ma come farei a crearlo?...il pc lo uso tutti i giorni, non ho mica un azienda con serverozzi a dx e a manca...si fa lo stesso?
grazie tante ^_^
Originariamente inviato da HexDEF6
beh se e' proprio il suo computer, e non vuole che succedano danni di nessun tipo la cosa da fare e' una sola:
lasciarlo spento :D :D :D :D
ma noooooo :eek: e cosa uso poi ? ... :muro: :muro: è il mio unico e poderoso PiloZpC.
ma per far partire tutti i server in chroot intendi tutti i servizi che fanno server....apache...cazzi e lazzi o intendi tutte le macchine in gabbia ...:rolleyes:
Originariamente inviato da PiloZ
se proprio volessi mettere la quota credo di non avere problemi visto che continuo ad usare l'ext3.
sapresti indicarmi come fare la quota? te ne sarei grato.
Te lo avevano detto anche prima!! chiedilo al tuo amico!
http://www.tldp.org/HOWTO/Quota.html
occhio che se usi un 2.6.x dovresti avere il supporto della quota gia nel kernel
Originariamente inviato da PiloZ
altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli
beh..in /etc/modules c'è poco e niente...o quasi tutto stitico :D
il compilarlo in maniera monolitica SENZA il supporto ai moduli, serve per far si che qualche simpaticone non riesca a caricarti un modulo compilato da lui e che fa chissacosa... ma ovviamente se e' una macchina desktop lascia stare (non riuscire a caricare i moduli nvidia o ati o altro potrebbe essere poco piacevole!)
Originariamente inviato da PiloZ
togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)
appena arrivo a casa corro a farlo :cool: questo è molto interessante.
questa e' la prima cosa che faccio ad un computer con server ssh....
Originariamente inviato da PiloZ
Fai partire tutti i tuoi server in chroot
o cazzarola.... questo molto importante per la salvaguardia del pc...
so cosa sia un ambiente chroot ma come farei a crearlo?...il pc lo uso tutti i giorni, non ho mica un azienda con serverozzi a dx e a manca...si fa lo stesso?
no non ti serve, chroot lo implementerei dove ne vale la pena o se hai una linea 10Mbit (di sicuro uno non viene a zombizzarti un pc quando sei attaccato con un 56K)... comunque segherei tutti i servizi inutili e metterei tutto dietro firewall (ma questo presumo tu lo abbia gia fatto)
Originariamente inviato da PiloZ
ma per far partire tutti i server in chroot intendi tutti i servizi che fanno server....apache...cazzi e lazzi o intendi tutte le macchine in gabbia ...:rolleyes:
tutti i servizi!
Ciao!
Originariamente inviato da PiloZ
beh..in /etc/modules c'è poco e niente...o quasi tutto stitico :D
non cambia nullla.
anche se hai 0 moduli e la possibilità di caricarli attiva non ti cambia nulla dal punto di vista della sicurezza.
ciao!
PS: mettere in chroot delle applicazioni che devono avere i privilegi di root (ad esempio aprire e chiusdere porte) ha un senso relativo. una gabbia sicura non dovrebbe contenere NULLA che sia riconducibile all'amministratore
Originariamente inviato da HexDEF6
Te lo avevano detto anche prima!! chiedilo al tuo amico!
http://www.tldp.org/HOWTO/Quota.html
occhio che se usi un 2.6.x dovresti avere il supporto della quota gia nel kernel
a si mi dimentico sempre :boh: :fiufiu: ma cavoli ITA no??? io so na pera di EN :(
Originariamente inviato da HexDEF6
questa e' la prima cosa che faccio ad un computer con server ssh....
... io no :P ma da ora in poi sarà anche per me la prima cosa :)
Originariamente inviato da HexDEF6
no non ti serve, chroot lo implementerei dove ne vale la pena o se hai una linea 10Mbit (di sicuro uno non viene a zombizzarti un pc quando sei attaccato con un 56K)... comunque segherei tutti i servizi inutili e metterei tutto dietro firewall (ma questo presumo tu lo abbia gia fatto)
sto dietro un router che già fa da muro di berlino...poi c'è il mio firewall che manganella malintenzionati qualora dovesse servire, ma mai dire mai :D
ora mi leggo comunque qualcosa per chorootare per lo meno apache :)
grazie tante...
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.