Sicurezza sistemi Linux

[scorpion89]

Questo thread ha come obbiettivo le principali cose che deve fare un buon amministratore di sistema per garantire la sicurezza dei propri computer.
Le principali regole sono:

1. usare password sufficientemente robuste
2. tenere aperti soltanto i servizi strettamente necessari
3. applicare delle regole di firewalling

Password Robuste
Le mie password importanti le faccio parecchio lunghe, sicuramente più di 8 caratteri.
Formate da caratteri alfanumerici, numerici e caratteri speciali.

Servizi
Seplicemente se il vostro server deve fare da web server teniamo aaperto soltanto apache, mysql se ci serve un database ecc..

Firewalling
Applicare regole di firewalling ci permette di accettare, droppare e forwardare le connessioni verso le varie porte del server e/o verso i vari computer della rete.

Messa in sicurezza di SSH
Per prima cosa disabilitare l'accesso di root e limitare l'accesso ad i soli utenti ammessi.
Per rafforzare ulteriormente non usare come autentificazione le password ma crittografia assimetrica.

Port Knocking
Stiamo aspettando un tutorial da PiloZ cmq detto in due parole.
Si tratta di usare un programma che quando arriva una certa sequenza di pacchetti su delle certe porte fa eseguire delle operazioni, tipo aprire la porta dell'ssh.
Ovviamente se ci sono dei rallentamenti sulla rete i pacchetti potrebbero arrivare in un
ordine diverso da quello di invio e quindi non portare a buon fine l'operazione

Consigli
I servizi di amministrazione o che comunque non importa siano su porte standard, è
bene spostarli.
Es SSH è bene spostarlo dalla porta di default cosi da risparmiarci numerosi attacchi brute -force.
Ovviamente se vogliamo che ssh sia disponibile a tutte le persone ci conviene tenerlo sulla porta di default ed usare altri metodi.
Attenti all'umask che si occupa di applicare i permessi ai nuovi file creati.
Altra cosa interessante è bloccare i file come /etc/shadow ecc... con chattrib -i
Ma appena qualcuno riesce ad avere un accesso root può rimuovere questo flag.
Bisogna stare molto attenti a far entrare soltanto utenti fidati nel nostro sistema.
Sopratutto in ssh, altrimenti un hacker(cracker o quel che sia) potrebbe fare una escalation dei privilegi e a quel punto installare backdoor ecc


Espanzioni, correzzioni e ulteriori aggiunte su come rafforzare altri servizi sono ben
accette, anzi sperate

[trogo]

Aggiungerei anche la password al bios ed al boot loader, anche se non sono strettamente connesse a linux ma alla macchina stessa.

Inoltre occhio alla umask per i permessi dei nuovi files creati e a non abilitare il flag NOPASSWD nel file sudoers per utenti che sono connessi spesso.

Se mi viene in mente altro lo posto.

[Devil!]

io consiglio questo sito http://www.linux-sec.net/

[PiloZ]

aggiungerei l'uso del port knocking, specie per ssh

Ciao

[PiloZ]

se desiderate uno di questi giorni tiro già un piccolo howto sul port knocking
fatemi sapere, ciao!

[Gandalf_BD]

Quote:

Originariamente inviato da scorpion89

Le mie password importanti le faccio parecchio lunghe, sicuramente più di 8 caratteri.
Formate da caratteri alfanumerici, numerici e caratteri speciali.

e come le ricordi?

[evil_stefano]

Quote:

Originariamente inviato da Gandalf_BD

e come le ricordi?

... nn ci vuole una grande mente... la mia è di + di 15 lettere numeri e caratteri speciali ....

[dobro]

Quote:

Originariamente inviato da PiloZ

se desiderate uno di questi giorni tiro già un piccolo howto sul port knocking
fatemi sapere, ciao!

grazie PiloZ a me interesserebbe ...

[Gandalf_BD]

Quote:

Originariamente inviato da evil_stefano

... nn ci vuole una grande mente... la mia è di + di 15 lettere numeri e caratteri speciali ....

azz!
io ne ho due... una di 6 cifre e l'altra di 7... figurati che fatico a ricordarle tutt'e due!
dovrò allenarmi...

[PiloZ]

Quote:

Originariamente inviato da dobro

grazie PiloZ a me interesserebbe ...

ok, dammi qualche giorno

Ciao!

[Herod2k]

Il manuale di Red Hat riguardo le password dice:
ricordatevi una frase alfanumerica e usatene le iniziali e i numeri.

Esempio

Io vivo in via dei matti n0 00100 Roma

e otterrete

ivivdmn000100R

Ciao belli

H2K

[PiloZ]

Quote:

Originariamente inviato da Herod2k

Il manuale di Red Hat riguardo le password dice:
ricordatevi una frase alfanumerica e usatene le iniziali e i numeri.

Esempio

Io vivo in via dei matti n0 00100 Roma

e otterrete

ivivdmn000100R

Ciao belli

H2K

il casino nasce se poi traslochi

alla mia ragazza ho pensato di usare la targa della sua macchina

[VICIUS]

Quote:

Originariamente inviato da PiloZ

il casino nasce se poi traslochi

alla mia ragazza ho pensato di usare la targa della sua macchina

Una buona password non deve essere in alcun modo legata a chi la usa. Quindi niente data di nascita, numero di telefono/targa o nome del cane/pesce rosso ecc. ecc.
Vai immediatamente a casa di imma e cambiagli password

Personalmente uso apg per creare password completamente random. Con i parametri -m8 -a0 si hanno ottime password anche facili da ricordare. Se sei paranoico come me usa -m13 -a1.

Ovviamente le password non devono essere tutte uguali. Altra ottima pratica è cambiare ogni n giorni tutte le password importanti.

Se poi non hai voglia di ricordarle tutte o non ci riesci puoi usare un portachiavi virutale come kwalletmanager.

ciao

[Zorcan]

Mio personale metodo: scelgo una frase lunga, lunghissima, di senso compiuto, slegata dalla mia persona, che mi faccia magari sorridere. Esempio: "Il diavolo veste Prada, e pure il Papa". Poi la stravolgo: tra spazi, maiuscole, minuscole, numeri e simboli, un attacco brute force chiederebbe circa milleduecento anni di computazioni. L'unica difficoltà sta nel ricordare come la si è stravolta, ma basta applicarle sempre lo stesso metodo.

[PiloZ]

al suo paese neanche sanno cos'è linux talmente sono terremotati, sono io che porto la tecnologia e l'informatica da loro
nel mio pc invece dove c'è veramente poco da salvaguardare arrivare a usare sw per generare password mi pare un po eccessivo!
sicuramente per via del fatto che tra router e iptables e pochi servizi attivi ho poco da preoccuparmi.
se proprio devo essere così paranoico dovrei mettermi i dischi in raid, tenere la stanza a 25 gradi e quant'altro così nulla si crepa e il sistema vivrà in eterno
con questo non voglio dire che la mia password è piccola, ma anzi supera i 12 caratteri, ma _nel mio caso_ dove non gestisco nessuna webfarm almeno la password non sto a cambiarla ogni mese

i servizi che non sono di mia prima necessità come apache-ssl, mysql, vsftpd li starto manualmente e se devo far conenttere qualcuno dall'esterno non c'è subito il via libera ma di default devo anche togliere il commento dalla rule di iptables e forwardare la porta sul router

Ciao

[trogo]

Infatti anche io utilizzo un metodo simile a quello di zorcan, solo che anzichè chiamarlo "stravolgimento" lo chiamo "algoritmo di creazione password".
Proprio in questi giorni me ne è venuto in mente uno girando su wikipedia!

[jappilas]

Quote:

Originariamente inviato da trogo

Infatti anche io utilizzo un metodo simile a quello di zorcan,....

idem, solamente però usando il catalogo IKEA ...
quindi oltre all' algoritmo di "stravolgimento" basterà ricordare, invece di una frase, il numero di pagina a cui si trovava il o i nomi svedesi usati come punto di partenza...

[Zorcan]

Quote:

Originariamente inviato da jappilas

idem, solamente però usando il catalogo IKEA [...] basterà ricordare [...] i nomi svedesi

Ah, il mitico MINNEN RATTA (il topo di pezza).

[HexDEF6]

Quote:

Originariamente inviato da PiloZ

se desiderate uno di questi giorni tiro già un piccolo howto sul port knocking
fatemi sapere, ciao!

qualcosa ho scritto nel mio howto su ssh (vedi firma)... se scrivi qualcosa di meglio lo integro nel mio howto... (che dovrei aggiornare visto le nuove funzionalita' di openssh 4)

[HexDEF6]

Quote:

Originariamente inviato da Zorcan

Mio personale metodo: scelgo una frase lunga, lunghissima, di senso compiuto, slegata dalla mia persona, che mi faccia magari sorridere. Esempio: "Il diavolo veste Prada, e pure il Papa". Poi la stravolgo: tra spazi, maiuscole, minuscole, numeri e simboli, un attacco brute force chiederebbe circa milleduecento anni di computazioni. L'unica difficoltà sta nel ricordare come la si è stravolta, ma basta applicarle sempre lo stesso metodo.

anch'io faccio qualcosa di simile...
prendo una frase lunghetta, al posto degli spazi ci metto vari simboli, e infine la scrivo "spostando" a destra o a sinistra (o in maniera alternata) le dita sulla tastiera...
esempio:
"password" di partenza: ciao a tutti
inserimento simboli: !ciao@a#tutti*
spostamento di una parola a destra e una a sinistra: !xuai@s#ryrru*
ovviamente bisogna tener conto che se a destra o a sinistra non ci sono piu' lettere si usa la stessa... e siccome in questa maniera nemmeno io mi ricordo la password (la so solo ricavare) se mi danno una tastiera stramba (una qzerty o altro) sono fottuto!

Ciao