Aumentare la sicurezza

PiloZ · 27-01-2005, 16:25

ciauz in riferimento a questo link:
http://forum.noamweb.com/viewthread....1&page=1#pid21

secondo voi è corretto fare quelle modifiche:
Creare /tmp su una partizione separata cosa cambierebbe?
Disabilitare l'accesso Root "diretto" in che senso?

RENDERE I PERMESSI PIU' RESTRITTIVI
IMPEDIRE AGLI UTENTI L'ACCESSO AI COMPILATORI con chmod

mettere host.conf così:
order bind,hosts
multi on
nospoof on
spoofalert on

che cosa può migliorare in termini di sicurezza?
edit: gli aggiornamenti sulla sicurezza in debian come si fanno? usate un repository particolare o cosa?
grazie byez

NA01 · 27-01-2005, 16:45

cambia che un utente non ti può saturare l'hd creadno file temporanei a schifo.
però ci sono modi più fini, eleganti intelligenti e efficaci

per disabilitare l'accesso a root suppongo si volgia cancellare la possibilità di loggarsi a root. per modificare qualcosa sei costretto a usare su.

se togli la possibilità agli utenti di compilare tanto vale puoi anche togliere i compilatori

man host.conf

ciao

NA01 · 27-01-2005, 16:48

ah, se non hai server attivi, se accetti solo le connessioni che stabilisci tu sei già a buon punto per la sicurezza in ambito desktop.
se devi usare dei server per la tua rete sistema il firewall e magari contreolla anche tcp wrapper.

se vuoi fare lo sborone puoi anche mettere grsecurity e prenderti qualche accorgimento in più, ma stai attento che non più rendi sicuro il sistema più funzionalità perdi (pax ti distrugge anche x

).

ciao

PiloZ · 27-01-2005, 17:00

Quote:

Originariamente inviato da NA01
però ci sono modi più fini, eleganti intelligenti e efficaci

per disabilitare l'accesso a root suppongo si volgia cancellare la possibilità di loggarsi a root. per modificare qualcosa sei costretto a usare su.
ciao

quali sono i tuoi modi fini

?

come disabilito l'accesso a root?...in pratica login: "user"
non andrebbe più con user=root ma potrò accederci sempre con "su", questo può anche starmi bene, sai dirmi come fare?...occhio che se non mi funge neanche su vengo li e ti prendo a colpi di crick in testa

scherzo...

quanto allo sborone con grsecurity no meglio di no va

per i reposotory su debian per la sicurezza sai dirmi qualcosa?

ciauz e grazie...per ora

NA01 · 27-01-2005, 17:16

per lo spazio usa disk-quota, ma io non lo farei se sei solo te a avere l'accesso alla macchina. al massimo metti /var/log in una partizione diversa. è l'unica dove si può scrivere senza avere alcun privilegio (anche se indirettamente).

per root non mi ricordo cosa si deve toccare... cmq c'è sempre il tuo migliore amico

sai chi è, vero ?

gli aggiornamenti di debby essitono solo per woody, il server che ti chiede di inserire in fase installazione va bene (a meno che tu non lo abbia cancellato)

ciao!

PiloZ · 27-01-2005, 17:46

Quote:

Originariamente inviato da NA01
per root non mi ricordo cosa si deve toccare... cmq c'è sempre il tuo migliore amico

sai chi è, vero ?

chi la capra intendi ?

Quote:

Originariamente inviato da NA01
gli aggiornamenti di debby essitono solo per woody, il server che ti chiede di inserire in fase installazione va bene (a meno che tu non lo abbia cancellato)

cancellato tanti mesi fa

ma avendo sid non credo mi possano servire ora come ora

grazie ancora... ciauz

ora mi sento un casino più sicuro

NA01 · 27-01-2005, 18:01

Quote:

Originariamente inviato da PiloZ
chi la capra intendi ?

naaaa la capra noooooooooooooooooooooooooooooooooooooooooooo!

www.....

ciao

PiloZ · 27-01-2005, 18:22

Quote:

Originariamente inviato da NA01
naaaa la capra noooooooooooooooooooooooooooooooooooooooooooo!

www.....

ciao

LOLLLLL hai ragione...più precisamente :

NA01 · 27-01-2005, 18:32

è che non mi ricordo come diavolo si faceva (eppure sul mio sistema non ci si può loggare, quindi lo ho fatto

)

ciao

PiloZ · 27-01-2005, 18:35

Quote:

Originariamente inviato da NA01

è che non mi ricordo come diavolo si faceva (eppure sul mio sistema non ci si può loggare, quindi lo ho fatto

)

ciao

...starto

io sto cercando

appena trovo qualcosa te faccio sapè

PiloZ · 27-01-2005, 18:42

AYO

HexDEF6 · 27-01-2005, 18:45

beh oltre a quello, meglio se setti anche ulimit (non vorrai che qualche tuo utente ti inchiodi la macchina usando tutta la ram e lo swap?!?!)

occhio che la quota non funziona con reiser (almeno non dovrebbe funzionare con reiser 3.X) quindi meglio mettere tmp su una partizione separata

altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli

togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)

Fai partire tutti i tuoi server in chroot

Metti sotto chiave la stanza del server (questo te lo dico perche' il 23 dicembre mi hanno rubato il server

in una scuola dove lavoro)

Ciao!

NA01 · 27-01-2005, 18:52

a quanto ho capito è il suo pc, quidni non so se ne ha bisogno dei limiti sulle risorse (quota compreso)

ciao

HexDEF6 · 27-01-2005, 18:55

Quote:

Originariamente inviato da NA01
a quanto ho capito è il suo pc, quidni non so se ne ha bisogno dei limiti sulle risorse (quota compreso)

ciao

beh se e' proprio il suo computer, e non vuole che succedano danni di nessun tipo la cosa da fare e' una sola:

lasciarlo spento

PiloZ · 27-01-2005, 19:01

Quote:

Originariamente inviato da HexDEF6
beh oltre a quello, meglio se setti anche ulimit (non vorrai che qualche tuo utente ti inchiodi la macchina usando tutta la ram e lo swap?!?!)

occhio che la quota non funziona con reiser (almeno non dovrebbe funzionare con reiser 3.X) quindi meglio mettere tmp su una partizione separata

altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli

togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)

Fai partire tutti i tuoi server in chroot

Ciao!

wow...trovo cose molto interessanti:
ma vediamo insieme:
- beh oltre a quello, meglio se setti anche ulimit (non vorrai che qualche tuo utente ti inchiodi la macchina usando tutta la ram e lo swap?!?!)
Metti sotto chiave la stanza del server (questo te lo dico perche' il 23 dicembre mi hanno rubato il server in una scuola dove lavoro)

per questo non c'è problema visto che è un pc che uso quotidianamente... ha i suoi servizi come ssh, apache, samba proftpd, mysql...ma sono tutti disabilitati all'avvio e mi prendo la briga io quando mi servono di startarli.
se proprio volessi mettere la quota credo di non avere problemi visto che continuo ad usare l'ext3.
sapresti indicarmi come fare la quota? te ne sarei grato.

altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli
beh..in /etc/modules c'è poco e niente...o quasi tutto stitico

togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)
appena arrivo a casa corro a farlo

questo è molto interessante.

Fai partire tutti i tuoi server in chroot
o cazzarola.... questo molto importante per la salvaguardia del pc...
so cosa sia un ambiente chroot ma come farei a crearlo?...il pc lo uso tutti i giorni, non ho mica un azienda con serverozzi a dx e a manca...si fa lo stesso?

grazie tante ^_^

PiloZ · 27-01-2005, 19:02

Quote:

Originariamente inviato da HexDEF6
beh se e' proprio il suo computer, e non vuole che succedano danni di nessun tipo la cosa da fare e' una sola:

lasciarlo spento

ma noooooo

e cosa uso poi ? ...

è il mio unico e poderoso PiloZpC.

PiloZ · 27-01-2005, 19:07

ma per far partire tutti i server in chroot intendi tutti i servizi che fanno server....apache...cazzi e lazzi o intendi tutte le macchine in gabbia ...

HexDEF6 · 27-01-2005, 19:18

Quote:

Originariamente inviato da PiloZ
se proprio volessi mettere la quota credo di non avere problemi visto che continuo ad usare l'ext3.
sapresti indicarmi come fare la quota? te ne sarei grato.

Te lo avevano detto anche prima!! chiedilo al tuo amico!

http://www.tldp.org/HOWTO/Quota.html

occhio che se usi un 2.6.x dovresti avere il supporto della quota gia nel kernel

Quote:

Originariamente inviato da PiloZ
altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli
beh..in /etc/modules c'è poco e niente...o quasi tutto stitico

il compilarlo in maniera monolitica SENZA il supporto ai moduli, serve per far si che qualche simpaticone non riesca a caricarti un modulo compilato da lui e che fa chissacosa... ma ovviamente se e' una macchina desktop lascia stare (non riuscire a caricare i moduli nvidia o ati o altro potrebbe essere poco piacevole!)

Quote:

Originariamente inviato da PiloZ
togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers)
appena arrivo a casa corro a farlo

questo è molto interessante.

questa e' la prima cosa che faccio ad un computer con server ssh....

Quote:

Originariamente inviato da PiloZ
Fai partire tutti i tuoi server in chroot
o cazzarola.... questo molto importante per la salvaguardia del pc...
so cosa sia un ambiente chroot ma come farei a crearlo?...il pc lo uso tutti i giorni, non ho mica un azienda con serverozzi a dx e a manca...si fa lo stesso?

no non ti serve, chroot lo implementerei dove ne vale la pena o se hai una linea 10Mbit (di sicuro uno non viene a zombizzarti un pc quando sei attaccato con un 56K)... comunque segherei tutti i servizi inutili e metterei tutto dietro firewall (ma questo presumo tu lo abbia gia fatto)

Quote:

Originariamente inviato da PiloZ
ma per far partire tutti i server in chroot intendi tutti i servizi che fanno server....apache...cazzi e lazzi o intendi tutte le macchine in gabbia ...

tutti i servizi!

Ciao!

NA01 · 27-01-2005, 19:26

Quote:

Originariamente inviato da PiloZ

beh..in /etc/modules c'è poco e niente...o quasi tutto stitico

non cambia nullla.
anche se hai 0 moduli e la possibilità di caricarli attiva non ti cambia nulla dal punto di vista della sicurezza.

ciao!

PS: mettere in chroot delle applicazioni che devono avere i privilegi di root (ad esempio aprire e chiusdere porte) ha un senso relativo. una gabbia sicura non dovrebbe contenere NULLA che sia riconducibile all'amministratore

PiloZ · 27-01-2005, 19:29

Quote:

Originariamente inviato da HexDEF6
Te lo avevano detto anche prima!! chiedilo al tuo amico!

http://www.tldp.org/HOWTO/Quota.html

occhio che se usi un 2.6.x dovresti avere il supporto della quota gia nel kernel

a si mi dimentico sempre

ma cavoli ITA no??? io so na pera di EN

Quote:

Originariamente inviato da HexDEF6
questa e' la prima cosa che faccio ad un computer con server ssh....

... io no :P ma da ora in poi sarà anche per me la prima cosa

Quote:

Originariamente inviato da HexDEF6
no non ti serve, chroot lo implementerei dove ne vale la pena o se hai una linea 10Mbit (di sicuro uno non viene a zombizzarti un pc quando sei attaccato con un 56K)... comunque segherei tutti i servizi inutili e metterei tutto dietro firewall (ma questo presumo tu lo abbia gia fatto)

sto dietro un router che già fa da muro di berlino...poi c'è il mio firewall che manganella malintenzionati qualora dovesse servire, ma mai dire mai

ora mi leggo comunque qualcosa per chorootare per lo meno apache

grazie tante...

27-01-2005, 16:25	#1
PiloZ Senior Member Iscritto dal: Dec 2001 Città: /dev/rotfl Messaggi: 7276	Aumentare la sicurezza ciauz in riferimento a questo link: http://forum.noamweb.com/viewthread....1&page=1#pid21 secondo voi è corretto fare quelle modifiche: Creare /tmp su una partizione separata cosa cambierebbe? Disabilitare l'accesso Root "diretto" in che senso? RENDERE I PERMESSI PIU' RESTRITTIVI IMPEDIRE AGLI UTENTI L'ACCESSO AI COMPILATORI con chmod mettere host.conf così: order bind,hosts multi on nospoof on spoofalert on che cosa può migliorare in termini di sicurezza? edit: gli aggiornamenti sulla sicurezza in debian come si fanno? usate un repository particolare o cosa? grazie byez __________________ ....::::fluxbox è talmente veloce che quando digito startx, il WM aspetta che il server Xorg lo raggiunga - PiloZ::::...

27-01-2005, 18:42	#11
PiloZ Senior Member Iscritto dal: Dec 2001 Città: /dev/rotfl Messaggi: 7276	AYO __________________ ....::::fluxbox è talmente veloce che quando digito startx, il WM aspetta che il server Xorg lo raggiunga - PiloZ::::...

27-01-2005, 18:45	#12
HexDEF6 Senior Member Iscritto dal: Dec 2000 Città: Trento Messaggi: 5917	beh oltre a quello, meglio se setti anche ulimit (non vorrai che qualche tuo utente ti inchiodi la macchina usando tutta la ram e lo swap?!?!) occhio che la quota non funziona con reiser (almeno non dovrebbe funzionare con reiser 3.X) quindi meglio mettere tmp su una partizione separata altra cosa, compila il kernel in maniera monolitica, senza la possibilita' di caricare moduli togli l'accesso da remoto a root e a tutti gli utenti a cui non serve (basta andare nel sshd_config e usi la direttiva AllowUsers) Fai partire tutti i tuoi server in chroot Metti sotto chiave la stanza del server (questo te lo dico perche' il 23 dicembre mi hanno rubato il server in una scuola dove lavoro) Ciao! __________________ Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ

27-01-2005, 19:07	#17
PiloZ Senior Member Iscritto dal: Dec 2001 Città: /dev/rotfl Messaggi: 7276	ma per far partire tutti i server in chroot intendi tutti i servizi che fanno server....apache...cazzi e lazzi o intendi tutte le macchine in gabbia ... __________________ ....::::fluxbox è talmente veloce che quando digito startx, il WM aspetta che il server Xorg lo raggiunga - PiloZ::::...

27-01-2005, 16:45	#2
NA01 Senior Member Iscritto dal: Jun 2003 Città: Genova Messaggi: 5676	cambia che un utente non ti può saturare l'hd creadno file temporanei a schifo. però ci sono modi più fini, eleganti intelligenti e efficaci per disabilitare l'accesso a root suppongo si volgia cancellare la possibilità di loggarsi a root. per modificare qualcosa sei costretto a usare su. se togli la possibilità agli utenti di compilare tanto vale puoi anche togliere i compilatori man host.conf ciao

27-01-2005, 16:48	#3
NA01 Senior Member Iscritto dal: Jun 2003 Città: Genova Messaggi: 5676	ah, se non hai server attivi, se accetti solo le connessioni che stabilisci tu sei già a buon punto per la sicurezza in ambito desktop. se devi usare dei server per la tua rete sistema il firewall e magari contreolla anche tcp wrapper. se vuoi fare lo sborone puoi anche mettere grsecurity e prenderti qualche accorgimento in più, ma stai attento che non più rendi sicuro il sistema più funzionalità perdi (pax ti distrugge anche x ). ciao

27-01-2005, 17:16	#5
NA01 Senior Member Iscritto dal: Jun 2003 Città: Genova Messaggi: 5676	per lo spazio usa disk-quota, ma io non lo farei se sei solo te a avere l'accesso alla macchina. al massimo metti /var/log in una partizione diversa. è l'unica dove si può scrivere senza avere alcun privilegio (anche se indirettamente). per root non mi ricordo cosa si deve toccare... cmq c'è sempre il tuo migliore amico sai chi è, vero ? gli aggiornamenti di debby essitono solo per woody, il server che ti chiede di inserire in fase installazione va bene (a meno che tu non lo abbia cancellato) ciao!

27-01-2005, 18:32	#9
NA01 Senior Member Iscritto dal: Jun 2003 Città: Genova Messaggi: 5676	è che non mi ricordo come diavolo si faceva (eppure sul mio sistema non ci si può loggare, quindi lo ho fatto ) ciao

27-01-2005, 18:52	#13
NA01 Senior Member Iscritto dal: Jun 2003 Città: Genova Messaggi: 5676	a quanto ho capito è il suo pc, quidni non so se ne ha bisogno dei limiti sulle risorse (quota compreso) ciao

Strumenti
Mostra una versione stampabile Invia questa pagina per email