Sicurezza server linux

[sonicomorto]

Ultimamente mi sto documentando riguardo la sicurezza del mio server (con debian etch), in quanto avendo amule attaccato 24/24 ho letto che sono a rischio. Ma il pericolo online arriva solo da amule? Ovvero: se staccassi amule sarei tranquillo?

In sostanza, quali sono gli accorgimento/programmi da mettere per avere un sistema sicuro?

Il server è collegato a un router ads switch wireless e nella rete ho altri 3-4 pc winxp. il firewall del router è disbilitato perchè non so se serve. sul server ho samba controllato via ssh, amule, futuro server cups, ecc.. nessun altro programma installato.

[W.S.]

Quote:

Originariamente inviato da sonicomorto

In sostanza, quali sono gli accorgimento/programmi da mettere per avere un sistema sicuro?

Il discorso sarebbe parecchio lungo e complesso... detta banale (molto banale):
ogni servizio raggiungibile dall'esterno rappresenta una minaccia, quindi vanno limitati. Non potendoli eliminare tutti (significherebbe avere una macchina che non comunica con l'esterno) bisogna adottare delle strategie per metterli in sicurezza il più possibile.
Gli interventi possibili son parecchi e a diversi livelli, puoi inserire dei firewall per controllare il traffico di rete, configurare al meglio la macchina in modo da limitare gli effetti di una intrusione, installare dei programmi in grado di rilevare comportamenti anomali ed agire di conseguenza...

Ricorda comunque che tutto è un compromesso tra quanto sei disposto a spendere (più che altro tempo) e quanto vuoi essere protetto. Tutto (o quasi) dipende da quanto potrebbe essere dannosa una compromissione, se ne dipende la tua vita allora fai di tutto per proteggere la macchina, se mal che vada perdi qualche mp3... non vale la pena di perdere tempo (ammenoche uno non sia curioso o appassionato).

P.S.: per la maggior parte dei casi significa "tieni il mulo e fregatene"

[sonicomorto]

Ciao, sul server ho un hdd da 500GB esclusivamente per i download del mulo (quindi cose poco utili) ma non vorrei che essendoci dei buchi nel server, poi l'intruso possa insinuarsi anche nei client dove lì ho dato importanti.

Poi avrei pensato pure di rendere raggiungibile l'hdd sul server da remoto tramite web

E poi ho amule sempre attaccato: questo non comporta problemi di sicurezza?

Avendo il server collegato a un router dove ho aperto solo alcune porte (ad es 4712 per amule e altre cosette), non dovrei essere al sicuro?

Come faccio a sapere quali sono i servizi raggiungibili dall'esterno?

Pensavo che ci fosse un qualche software in grado di assicurarmi una certa protezione senza dover smanettare e perdere tropo tempo. sai consigliarmi qualche nome? firewall, rilevatori di comportamenti anomali, ecc

Potrei ad esempio utilizzare il server stesso come firewall? mediante iptables (oppure è troppo complicato)?

Oppure se attivo il firewall del router è bene o male? è meglio un firewall in più o ne basta solo 1. se metto quello del router a monte vorrebbe dire che posso togliere i firewall software dalla macchine di rete?

Il tempo che ho da dedicarci è solo alla sera, non è molto ma vorrei avere un livello di protezione sufficiente (non dico eccellente)!

[sonicomorto]

Ciao
ho una debian netinstall + DE xfce (o meglio fluxbox?) collegato a internet. il pc è sicuro o necessita l'installazione di qualche antivirus/firewall?

[leuzr0x]

Quote:

Originariamente inviato da sonicomorto

Ciao
ho una debian netinstall + DE xfce (o meglio fluxbox?) collegato a internet. il pc è sicuro o necessita l'installazione di qualche antivirus/firewall?

Beh dell'antivirus su linux non te ne fai niente, a meno che non faccia da server di posta anche per client win. Se sei dietro ad un router il firewall sul server ha un'importanza relativa in entrata poiche' dovresti aver gia' configurato il firewall built-in del router. Magari potresti filtrare in uscita dalla tua macchina, di modo che se anche viene compromessa limiti i danni che possono essere fatti verso l'esterno... meglio ancora sarebbe abbinarlo a servizi in chroot o all'utilizzao di un kernel appositamente patchato per la sicurezza (grsecurity).
Paranoia is a virtue

[sonicomorto]

Ciao, l'antivirus infatti penso anche io sia inutile

il firewall invece.. devo dire che la macchina sta dietro router però il firewall del router è disabilitato!! quindi come posso fare? meglio attivare il firewall del router o c'è qualche sofwareconsigliato per linux?

[leuzr0x]

Si beh il firewall sul router, come detto, è strettamente consigliato.
Il "firewall" di linux si chiama iptables (kernel 2.6.x) ed è incluso direttamente nel framework netfilter del kernel; se utilizzi debian col kernel di default sarà sicuramente già abilitato. Qualsiasi altra soluzione tu trovi per linux (shorewall, guarddog...) sarà solamente un frontend per iptables.

[tutmosi3]

Quote:

Originariamente inviato da sonicomorto

Ciao, l'antivirus infatti penso anche io sia inutile

In linea di massima è inutile ma lo puoi aggiungere in evenienze future, nel senso che se il PC dove hai Linux venisse demandato a server mail, allora un antivirus diviene indispensabile per la protezione dei client Windows.

Quote:

Originariamente inviato da sonicomorto

il firewall invece.. devo dire che la macchina sta dietro router però il firewall del router è disabilitato!! quindi come posso fare? meglio attivare il firewall del router o c'è qualche sofwareconsigliato per linux?

Come ti hanno già detto, l'attivazione del firewall del router può essere già un passo in avanti.

Ciao

[sonicomorto]

Ma ha senso attivare il firewall del router, se iptables è già attivo nel kernel della debian?
Ho sempre saputo che più firewall messi assieme fanno peggio che meglio per questioni di conflitto

[leuzr0x]

Chi ha detto questa str.. ehm.. cosa?
Non e' vero, col firewall sul router proteggi la lan, con quello sul server proteggi il server stesso con regole piu' restrittive. Probabilmente i fautori di queste affermazioni non sanno configurare i firewall

[sonicomorto]

Quindi il consiglio sarebbe di attivare il firewall sul router per proteggere tutti i pc in rete e poi ULTERIORMENTE usare iptables sul server.
ma mettere anche iptables sul server sarebbe una cosa in più no?
di per se già col firewall del router ovrei stare a posto no?

ma i firewall che ci sono nei router sono software validi e colabrodo? come fa il router a darmi un popup su un pc per far accedere o meno una risorsa? Allow/Blocca intendo..

[leuzr0x]

Il consiglio è quello di attivare il firewall sul router. Poi eventualmente se ne hai voglia puoi anche pensare di attivare quello sul pc, ma per la rete casalinga non è strettamente necessario. I software dei router sono in generale abbastanza buoni, ma magari scrivici la marca e vediamo se qualcuno ha esperienza. Per quanto riguarda i "popup", se la pensi in termini di popup è perchè probabilmente hai sempre visto firewall tipo zonelab o quello di windows che sono application firewall... ovvero lavorano a livello di applicazione. I firewall sul router (o iptables...) lavorano a livello di rete, quindi devi sapere tu cosa far passare su che porta. Ad esempio i router netgear per default bloccano tutto in ingresso e permettono solo connessioni in uscita.

Spero di essere stato (abbastanza) chiaro...

[sonicomorto]

Molto molto chiaro. Il mio router è un Sitecom WL-527

I firewall sui router si chiamano 'firewall hardware' a differenza di quelli software (che ho sempre usato) ?

[arara]

Per quanto configuri bene il sistema, ci sono sempre bug ed exploit che possono mettere in ginocchio tutto. Questi due casi recenti sono esemplificativi:

Una patch mette in ginocchio Debian
Scoperta vulnerabilità locale in Linux 2.6

Se leggi nelle mailing list e negli advisory di sicurezza ci sono bug che vengono fuori a nastro.
Ci sono distribuzioni tenute insieme con lo sputo, che stanno in piedi solo perche adesso nessuno prende di mira Linux. Se venissero fuori dei bug come quelli su Windows si scatenerebbe il putiferio invece.
Questo per dire che è importante seguire il sistema e stargli dietro, non lasciarlo la a se stesso perche tanto "ha Linux quindi è sicuro".

[sonicomorto]

Si ma è incredibile sta cosa. Se ci sono rischi di questo tipo a portata di lamer e gente così, mi vien da dire che linux è un gran sistema dimm***a! poi proprio su debian che è conosciuta per essere la più sicura!
Non ci posso credere... spero ci sia una controparte positiva.

p.s. qualche dritta per ocnfigurare il firewall sul sitecom?

Quote:

Molto molto chiaro. Il mio router è un Sitecom WL-527

I firewall sui router si chiamano 'firewall hardware' a differenza di quelli software (che ho sempre usato) ?

[W.S.]

Quote:

Originariamente inviato da arara

Questo per dire che è importante seguire il sistema e stargli dietro, non lasciarlo la a se stesso perche tanto "ha Linux quindi è sicuro".

*

sonicomorto, inutile arrabbiarsi con il sistema. I bug ci sono e ci saranno sempre, l'importante è che chi gestisce il sistema abbia delle buone procedure per ridurli al minimo e per rispondere prontamente in caso di errore. Debian è considerata sicura anche per questo, capita raramente che abbia problemi gravi e quando ce li ha risponde in modo esemplare (vedi attaco ai repository subito tempo fa).

[arara]

Quote:

Originariamente inviato da sonicomorto

Si ma è incredibile sta cosa. Se ci sono rischi di questo tipo a portata di lamer e gente così, mi vien da dire che linux è un gran sistema dimm***a! poi proprio su debian che è conosciuta per essere la più sicura!
Non ci posso credere... spero ci sia una controparte positiva.

Rischi come quelli ci sono con tutti gli OS. Root exploit ci sono stati anche su Windows, *BSD, Solaris... bisogna sempre stare attenti.
La controparte positiva c'è, si chiama selinux, che è in grado di bloccare un elevato numero di exploit e di rendere il sistema molto piu sicuro, qua ci sono degli esempi:
SELinux: not just for servers anymore
Purtroppo è complesso da usare, ci sono poche distro che lo usano di default e viene usato nei sistemi piu grossi.
Insomma, sui sistemi importanti ci sono i mezzi per rendere il sistema molto sicuro, mentre per quelli piu piccoli basta mettere uan buona distro e stare attenti. Poi queste problemi raramente sono cosi grossi da fare danni seri, non è che capitano una volta al mese...

[sonicomorto]

Nel mio router ho queste schede relative al firewall
DMZ (tabella con campi Public IP Address-Client PC IP Address)
DoS (Ping of Death,Discard Ping From WAN, Port Scan, Sync Flood)
Control (MAC Filtering Table e IP Filtering Table con IP-protocollo-port range)
URL Block (URL Blocking Table)

L'ho abilitato ma devo dire che ci capisco poco. Quali sono i primi settaggi da fare che non possono mancare?

Non capisco bene cosa sia DMZ.
DoS permette di bloccare quelle cose scritte sopra, è bene bloccarle? le spunto tutte?
Control: credo che la questione sia qui in ip table giusto? lì devo inserire solo gli ip dei client che ho in rete e aprirli solo alle porte che usano. avrò problemi con amule?
URL Block: per impedire ai client di aprire determinati indirizzi

Aspetto una vostra conferma/aiuti

[leuzr0x]

Quote:

Originariamente inviato da sonicomorto

Nel mio router ho queste schede relative al firewall
DMZ (tabella con campi Public IP Address-Client PC IP Address)
DoS (Ping of Death,Discard Ping From WAN, Port Scan, Sync Flood)
Control (MAC Filtering Table e IP Filtering Table con IP-protocollo-port range)
URL Block (URL Blocking Table)

DMZ ti permette di creare una macchina a parte slegata dalla lan (per farla semplice), ma normalmente non ha molto senso se non hai un ip pubblico da assegnarle: non ti serve.
DoS: sono tipi di attacchi fatti per saturare la connessione al fine di crashare il sistema o isolarlo dalla rete: abilita tutto.
Control: 1) mac filtering, dovrebbe servire a permettere l'accesso ad internet solo a quegli host che rispecchiano l'indirizzo ethernet nella tabella. Se la lan la usi soltamente tu non ti serve. 2) IP filtering table, questo e' il vero e proprio firewall da configurare secondo necessita'.
URL Block: blocchi l'accesso ai siti definiti nella lista (una sorta di application firewall poiche' lavora a livello http): non ti serve.

[tutmosi3]

DMZ = Demilitarized zone.
Gli IP messi in DMZ non sono copeti dal firewall del router.

Ciao