Aumentare la sicurezza

[PiloZ]

ciauz in riferimento a questo link:
http://forum.noamweb.com/viewthread....1&page=1#pid21

secondo voi è corretto fare quelle modifiche:
Creare /tmp su una partizione separata cosa cambierebbe?
Disabilitare l'accesso Root "diretto" in che senso?

RENDERE I PERMESSI PIU' RESTRITTIVI
IMPEDIRE AGLI UTENTI L'ACCESSO AI COMPILATORI con chmod

mettere host.conf così:
order bind,hosts
multi on
nospoof on
spoofalert on

che cosa può migliorare in termini di sicurezza?
edit: gli aggiornamenti sulla sicurezza in debian come si fanno? usate un repository particolare o cosa?
grazie byez

[NA01]

cambia che un utente non ti può saturare l'hd creadno file temporanei a schifo.
però ci sono modi più fini, eleganti intelligenti e efficaci

per disabilitare l'accesso a root suppongo si volgia cancellare la possibilità di loggarsi a root. per modificare qualcosa sei costretto a usare su.

se togli la possibilità agli utenti di compilare tanto vale puoi anche togliere i compilatori

man host.conf

ciao

[NA01]

ah, se non hai server attivi, se accetti solo le connessioni che stabilisci tu sei già a buon punto per la sicurezza in ambito desktop.
se devi usare dei server per la tua rete sistema il firewall e magari contreolla anche tcp wrapper.

se vuoi fare lo sborone puoi anche mettere grsecurity e prenderti qualche accorgimento in più, ma stai attento che non più rendi sicuro il sistema più funzionalità perdi (pax ti distrugge anche x ).

ciao

[PiloZ]

Quote:

Originariamente inviato da NA01
però ci sono modi più fini, eleganti intelligenti e efficaci

per disabilitare l'accesso a root suppongo si volgia cancellare la possibilità di loggarsi a root. per modificare qualcosa sei costretto a usare su.
ciao

quali sono i tuoi modi fini ?

come disabilito l'accesso a root?...in pratica login: "user"
non andrebbe più con user=root ma potrò accederci sempre con "su", questo può anche starmi bene, sai dirmi come fare?...occhio che se non mi funge neanche su vengo li e ti prendo a colpi di crick in testa scherzo...

quanto allo sborone con grsecurity no meglio di no va

per i reposotory su debian per la sicurezza sai dirmi qualcosa?

ciauz e grazie...per ora

[NA01]

per lo spazio usa disk-quota, ma io non lo farei se sei solo te a avere l'accesso alla macchina. al massimo metti /var/log in una partizione diversa. è l'unica dove si può scrivere senza avere alcun privilegio (anche se indirettamente).

per root non mi ricordo cosa si deve toccare... cmq c'è sempre il tuo migliore amico sai chi è, vero ?

gli aggiornamenti di debby essitono solo per woody, il server che ti chiede di inserire in fase installazione va bene (a meno che tu non lo abbia cancellato)


ciao!

[PiloZ]

Quote:

Originariamente inviato da NA01
per root non mi ricordo cosa si deve toccare... cmq c'è sempre il tuo migliore amico sai chi è, vero ?

chi la capra intendi ?

Quote:

Originariamente inviato da NA01
gli aggiornamenti di debby essitono solo per woody, il server che ti chiede di inserire in fase installazione va bene (a meno che tu non lo abbia cancellato)

cancellato tanti mesi fa ma avendo sid non credo mi possano servire ora come ora

grazie ancora... ciauz


ora mi sento un casino più sicuro

[NA01]

Quote:

Originariamente inviato da PiloZ
chi la capra intendi ?

naaaa la capra noooooooooooooooooooooooooooooooooooooooooooo!

www.....

ciao

[PiloZ]

Quote:

Originariamente inviato da NA01
naaaa la capra noooooooooooooooooooooooooooooooooooooooooooo!

www.....

ciao

LOLLLLL hai ragione...più precisamente :

[NA01]

è che non mi ricordo come diavolo si faceva (eppure sul mio sistema non ci si può loggare, quindi lo ho fatto )

ciao

[PiloZ]

Quote:

Originariamente inviato da NA01

è che non mi ricordo come diavolo si faceva (eppure sul mio sistema non ci si può loggare, quindi lo ho fatto )

ciao

...starto
io sto cercando appena trovo qualcosa te faccio sapè

[PiloZ]

AYO

[HexDEF6]

beh oltre a quello, meglio se setti anche ulimit (non vorrai che qualche tuo utente ti inchiodi la macchina usando tutta la ram e lo swap?!?!)

occhio che la quota non funziona con reiser (almeno non dovrebbe funzionare con reiser 3.X) quindi meglio mettere tmp su una partizione separata

altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli

togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)

Fai partire tutti i tuoi server in chroot

Metti sotto chiave la stanza del server (questo te lo dico perche' il 23 dicembre mi hanno rubato il server in una scuola dove lavoro)

Ciao!

[NA01]

a quanto ho capito è il suo pc, quidni non so se ne ha bisogno dei limiti sulle risorse (quota compreso)

ciao

[HexDEF6]

Quote:

Originariamente inviato da NA01
a quanto ho capito è il suo pc, quidni non so se ne ha bisogno dei limiti sulle risorse (quota compreso)

ciao

beh se e' proprio il suo computer, e non vuole che succedano danni di nessun tipo la cosa da fare e' una sola:

lasciarlo spento

[PiloZ]

Quote:

Originariamente inviato da HexDEF6
beh oltre a quello, meglio se setti anche ulimit (non vorrai che qualche tuo utente ti inchiodi la macchina usando tutta la ram e lo swap?!?!)

occhio che la quota non funziona con reiser (almeno non dovrebbe funzionare con reiser 3.X) quindi meglio mettere tmp su una partizione separata

altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli

togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)

Fai partire tutti i tuoi server in chroot


Ciao!

wow...trovo cose molto interessanti:
ma vediamo insieme:
- beh oltre a quello, meglio se setti anche ulimit (non vorrai che qualche tuo utente ti inchiodi la macchina usando tutta la ram e lo swap?!?!)
Metti sotto chiave la stanza del server (questo te lo dico perche' il 23 dicembre mi hanno rubato il server in una scuola dove lavoro)

per questo non c'è problema visto che è un pc che uso quotidianamente... ha i suoi servizi come ssh, apache, samba proftpd, mysql...ma sono tutti disabilitati all'avvio e mi prendo la briga io quando mi servono di startarli.
se proprio volessi mettere la quota credo di non avere problemi visto che continuo ad usare l'ext3.
sapresti indicarmi come fare la quota? te ne sarei grato.

altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli
beh..in /etc/modules c'è poco e niente...o quasi tutto stitico

togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)
appena arrivo a casa corro a farlo questo è molto interessante.

Fai partire tutti i tuoi server in chroot
o cazzarola.... questo molto importante per la salvaguardia del pc...
so cosa sia un ambiente chroot ma come farei a crearlo?...il pc lo uso tutti i giorni, non ho mica un azienda con serverozzi a dx e a manca...si fa lo stesso?

grazie tante ^_^

[PiloZ]

Quote:

Originariamente inviato da HexDEF6
beh se e' proprio il suo computer, e non vuole che succedano danni di nessun tipo la cosa da fare e' una sola:

lasciarlo spento

ma noooooo e cosa uso poi ? ... è il mio unico e poderoso PiloZpC.

[PiloZ]

ma per far partire tutti i server in chroot intendi tutti i servizi che fanno server....apache...cazzi e lazzi o intendi tutte le macchine in gabbia ...

[HexDEF6]

Quote:

Originariamente inviato da PiloZ
se proprio volessi mettere la quota credo di non avere problemi visto che continuo ad usare l'ext3.
sapresti indicarmi come fare la quota? te ne sarei grato.

Te lo avevano detto anche prima!! chiedilo al tuo amico!

http://www.tldp.org/HOWTO/Quota.html

occhio che se usi un 2.6.x dovresti avere il supporto della quota gia nel kernel

Quote:

Originariamente inviato da PiloZ
altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli
beh..in /etc/modules c'è poco e niente...o quasi tutto stitico

il compilarlo in maniera monolitica SENZA il supporto ai moduli, serve per far si che qualche simpaticone non riesca a caricarti un modulo compilato da lui e che fa chissacosa... ma ovviamente se e' una macchina desktop lascia stare (non riuscire a caricare i moduli nvidia o ati o altro potrebbe essere poco piacevole!)

Quote:

Originariamente inviato da PiloZ
togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)
appena arrivo a casa corro a farlo questo è molto interessante.

questa e' la prima cosa che faccio ad un computer con server ssh....

Quote:

Originariamente inviato da PiloZ
Fai partire tutti i tuoi server in chroot
o cazzarola.... questo molto importante per la salvaguardia del pc...
so cosa sia un ambiente chroot ma come farei a crearlo?...il pc lo uso tutti i giorni, non ho mica un azienda con serverozzi a dx e a manca...si fa lo stesso?

no non ti serve, chroot lo implementerei dove ne vale la pena o se hai una linea 10Mbit (di sicuro uno non viene a zombizzarti un pc quando sei attaccato con un 56K)... comunque segherei tutti i servizi inutili e metterei tutto dietro firewall (ma questo presumo tu lo abbia gia fatto)

Quote:

Originariamente inviato da PiloZ
ma per far partire tutti i server in chroot intendi tutti i servizi che fanno server....apache...cazzi e lazzi o intendi tutte le macchine in gabbia ...

tutti i servizi!

Ciao!

[NA01]

Quote:

Originariamente inviato da PiloZ

beh..in /etc/modules c'è poco e niente...o quasi tutto stitico

non cambia nullla.
anche se hai 0 moduli e la possibilità di caricarli attiva non ti cambia nulla dal punto di vista della sicurezza.

ciao!

PS: mettere in chroot delle applicazioni che devono avere i privilegi di root (ad esempio aprire e chiusdere porte) ha un senso relativo. una gabbia sicura non dovrebbe contenere NULLA che sia riconducibile all'amministratore

[PiloZ]

Quote:

Originariamente inviato da HexDEF6
Te lo avevano detto anche prima!! chiedilo al tuo amico!

http://www.tldp.org/HOWTO/Quota.html

occhio che se usi un 2.6.x dovresti avere il supporto della quota gia nel kernel

a si mi dimentico sempre ma cavoli ITA no??? io so na pera di EN

Quote:

Originariamente inviato da HexDEF6
questa e' la prima cosa che faccio ad un computer con server ssh....

... io no :P ma da ora in poi sarà anche per me la prima cosa

Quote:

Originariamente inviato da HexDEF6
no non ti serve, chroot lo implementerei dove ne vale la pena o se hai una linea 10Mbit (di sicuro uno non viene a zombizzarti un pc quando sei attaccato con un 56K)... comunque segherei tutti i servizi inutili e metterei tutto dietro firewall (ma questo presumo tu lo abbia gia fatto)

sto dietro un router che già fa da muro di berlino...poi c'è il mio firewall che manganella malintenzionati qualora dovesse servire, ma mai dire mai

ora mi leggo comunque qualcosa per chorootare per lo meno apache
grazie tante...