Nessun sistema è sicuro al 100%. E’ possibile però utilizzare alcuni accorgimenti per aumentare il livello di sicurezza e rendere più difficoltosi i tentativi di intrusione.
Tra le varie soluzioni possibili, il limitare i diritti di accesso alle varie componenti del sistema rende il fattore sicurezza più elevato:
1. PARTIZIONI
Quando viene effettuata l’installazione di un sistema Linux, per rafforzare la sicurezza e stabilità del sistema è utile stabilire uno schema di partizionamento adeguato.
Alcuni suggerimenti da tenere presente riguardano le principali directory che caratterizzano il “core system” del sistema:
- Tenere le partizioni scrivibili dagli utenti separate dal resto, cioè le directories /home e /var. Queste sono generalmente riempite con i dati degli utenti e dovrebbero essere soggette a “quota” per evitare di mandare in crash il server se il file system venisse saturato.
- Tenere la partizione /boot separata. In caso venisse corrotta è sempre possibile effettuare un fall back per fare almeno il boot del kernel. 100 MB sono OK per questa partizione.
- La partizione /tmp è la più delicata in quanto è scrivibile e accessibile da tutti. Meglio evitare che sia riempita fino a causare il crash del server. 1 GB dovrebbe essere più che sufficiente per /tmp.
2) L’UTENTE DI “ROOT“
Disabilitare il login remoto dell’account root via SSH rende complicati i tentativi di prendere il controllo del sistema operando in remoto.
- editare il file:
# vi /etc/ssh/sshd.conf
- abilitare e modificare le proprietà elencate con questi parametri:
- Protocol 2
- PermitRootLogin no
- PermitEmptyPasswords no
In questo modo l’account root non può effettuare il login tramite una sessione ssh.
3) IL COMANDO “SU”
Limitare l’accesso al comando su solo ad alcuni utenti.
- creare il gruppo admins:
# groupadd admins
- modificare l’ownership:
# chown root.admins /bin/su
- modificare i permessi di accesso:
# chmod 4750 /bin/su
In questo modo solo l’utente root e gli utenti membri del gruppo admins posso accedere al comando su.
4) LA PARTIZIONE “TMP”
Limitare i permessi sulla partizione /tmp.
E’ meglio evitare che degli utenti o potenziali intrusi possano eseguire degli scripts dalla partizione/directory /tmp. Procediamo come segue:
- editare il file /etc/fstab individuando l’entry /tmp che dovrebbe essere configurata come default:
LABEL=/tmp /tmp ext3 defaults 1 2
- modificare la riga come segue:
LABEL=/tmp /tmp ext3 rw,noexec,nosuid 1 2
Sebbene sia ancora possibile accedere sia in lettura che in scrittura, non è più possibile eseguire applicazioni o scripts ed effettuare il suid bits sui file.
5) FIREWALL
Con gli accorgimenti fino ad ora adottati, il sistema è un po’ più sicuro e più stabile. Naturalmente se il computer è in rete ed è accessibile anche dall’esterno, un buon firewall è fortemente consigliato!
ciao, so che sono fuori tema, ma hai pensato di iscrivere il tuo blog al bloggatore?
il sito non è il mio, io ne sono una semplice ma appassionata lettrice, ma si tratta di un aggregatore di oltre 200 blog di informatica che sta andando alla grande e questo blog deve esserci!
Il link è: http://www.ilbloggatore.com, l’email l’ho indicata nel commento.
Aggiungo il blog ai miei preferiti di Firefox.
Ciao!
Manuela