Mettere in sicurezza un sistema Linux

secure-linux1

Nessun sistema è sicuro al 100%. E’ possibile però utilizzare alcuni accorgimenti per aumentare il livello di sicurezza e rendere più difficoltosi i tentativi di intrusione.

Tra le varie soluzioni possibili, il limitare i diritti di accesso alle varie componenti del sistema rende il fattore sicurezza più elevato:

 

Partizioni

Quando viene effettuata l’installazione di un sistema Linux, per rafforzare la sicurezza e stabilità del sistema è utile stabilire uno schema di partizionamento adeguato.

Alcuni suggerimenti da tenere presente riguardano le principali directory che caratterizzano il “core system” del sistema:

  • Tenere le partizioni scrivibili dagli utenti separate dal resto, cioè le directories /home e /var. Queste sono generalmente riempite con i dati degli utenti e dovrebbero essere soggette a “quota” per evitare di mandare in crash il server se il file system venisse saturato.
  • Tenere la partizione /boot separata. In caso venisse corrotta è sempre possibile effettuare un fall back per fare almeno il boot del kernel. 100 MB sono OK per questa partizione.
  • La partizione /tmp è la più delicata in quanto è scrivibile e accessibile da tutti. Meglio evitare che sia riempita fino a causare il crash del server. 1 GB dovrebbe essere più che sufficiente per /tmp.

 

Utente root

Disabilitare il login remoto dell’account root via SSH rende complicati i tentativi di prendere il controllo del sistema operando in remoto.

Editare il file:

# vi /etc/ssh/sshd.conf

Abilitare e modificare le proprietà elencate con questi parametri:

  • Protocol 2
  • PermitRootLogin no
  • PermitEmptyPasswords no

In questo modo l’account root non può effettuare il login tramite una sessione ssh.

 

Comando SU

Limitare l’accesso al comando su solo ad alcuni utenti.

Creare il gruppo admins:

# groupadd admins

Modificare l’ownership:

# chown root.admins /bin/su

Modificare i permessi di accesso:

# chmod 4750 /bin/su

In questo modo solo l’utente root e gli utenti membri del gruppo admins posso accedere al comando su.

 

Partizione TMP

Limitare i permessi sulla partizione /tmp.

E’ meglio evitare che degli utenti o potenziali intrusi possano eseguire degli scripts dalla partizione/directory /tmp. Procediamo come segue:

Editare il file /etc/fstab individuando l’entry /tmp che dovrebbe essere configurata come default:

Modificare la riga come segue:

Sebbene sia ancora possibile accedere sia in lettura che in scrittura, non è più possibile eseguire applicazioni o scripts ed effettuare il suid bits sui file.

 

Firewall

Con gli accorgimenti fino ad ora adottati, il sistema è un po’ più sicuro e più stabile. Naturalmente se il computer è in rete ed è accessibile anche dall’esterno, un buon firewall è fortemente consigliato!

One Response

  1. Manuela 11/06/2008