Rendere sicuro il proprio sistema Linux Debian Like. Parte 6: Ultimi consigli generali

1917721242.jpgSiamo giunti alla fine della mia guida su come rendere sicuro il proprio sistema linux debian like. 
In questa parte vi mostrerò alcune regole generali  ( Più che altro consigli ) da impostare per la sicurezza del nostro desktop.

6.1 I permessi 

Cosa c’è di più importante dei permessi su di un file in ambiente linux per quanto riguarda la sicurezza ? 

In una workstation desktop ben configurata ogni utente ha i permessi sui propri file e le proprie cartelle mentre il root può avere permessi su tutti. 
Di default ogni utente, se pur non avendo permessi di scrittura od esecuzione, può leggere il contenuto di determinati file o cartelle di altri utenti dello stesso gruppo o di grado inferiore. 

Per tanto, credo sia molto utile proteggere i propri dati con dei permessi che tengano “fouri” dalle proprie cartelle altri utenti. 
Per fare ciò, semplicemente apriamo un terminale e digitiamo il seguente comando ( Non necessita di root ):

chmod o-rwx $HOME 

In tal modo la propria home verrà preservata da qualsiasi altro utente malintenzionato.
Il comando esclude tutti gli utenti dalla directory home dell’utente che ha eseguito il comando togliendo i permessi di lettura (r), scrittura (w) ed esecuzione (x). 

ATTENZIONE:
La protezione dei file di sistema è invece un discorso molto più complicato ed è fortemente sconsigliato usare lo stesso comando per impostare i permessi su cartelle come /etc. 
Non sono infatti solo gli utenti del gruppo root a possedere le directory di sistema.
Ne è un esempio il gruppo “daemon” al quale appartengono diversi servizi di sistema.
Pensate cosa succederebbe se tale gruppo non avesse più i permessi di operare in /bin o /etc.  

Ovviamente, la stessa operazione può essere effettuata su di uno o più file singoli.

6.2 Criptare i file

Certo, la nostra cartella home è al sicuro dagli utenti comuni, ma se qualcuno dovesse scoprire la nostra password o la password di root ? Gli sarebbe facile bypassare i permessi che abbiamo impostato e farsi gli affaracci nostri.
Per questo è consigliato criptare i file che non vogliamo vengano scoperti tramite il comando ccrypt.
Ne ho parlato in un mio precedente post: http://onlypc.myblog.it/archive/2011/05/16/impostare-una-password-a-file-e-cartelle-su-linux.html

6.3 Limitiamo il numero ti tentativi di login falliti 

Adesso veniamo ad alcune impostazioni di sistema che potrebbero risultarci utili ai fini di migliorare la nostra sicurezza.

Se siete appassionati di film di cracker e pirati informatici, non vi sarà sfuggito il nervosismo del Kevin di turno che non può permettersi di sbagliare password più di tre volte.
Se volessimo mettere anche noi un limite simile sul nostro sistema, superato il quale l’account preso di mira si blocchi per un tot di tempo ?
Esiste il comando da terminale ( Come root ) “faillog” che ci permette di impostare un numero massimo di tentativi oltrepassato il quale l’account rimarrà bloccato per un certo lasso di tempo.

Per impostare un limite generale usiamo il comando: faillog -a -m numero_massimo -l tempo_di_blocco
Per impostare un limite ad un singolo utente: faillog -u utente -m numero_massimo -l tempo_di_blocco
Naturalmente il root non deve avere limiti per evitare denial of service. faillog -u root -m 0 -l 0

Questo comando funziona con il login da console e con il login manager GDM, mentre per KDM, stranamente, il limite sembra non aver effetto. 
L’importante è evitare brute force remoti, e questa impostazione ci protegge.

6.4 Il problema di setuid 

Uno dei problemi maggiori sulle distro linux è setuid.
Quando viene impostato il flag SUID ad un eseguibile il suddetto può essere utilizzato per effettuare operazioni di root senza che se ne abbiano realmente i permessi, con tutti i problemi che esso comporta.

Si potrebbe setuiddare ( Verbo coniato per l’occasione ) il comando CP ed ottenere un eseguibile in grado di copiare file nelle cartelle di root, tanto per fare un esempio.

Ma non preoccupatevi, per impostare il flag SUID bisogna comunque loggarsi come root almeno una volta, anche se ciò non sminuisce il pericolo.
Per verificare quali eseguibili siano inficiati da questo flag, nella precedente parte della guida ho citato un tale “Tiger”, un programma per effettuare scansioni di sicurezza.
Nel suo Log lista anche gli eseguibili con SUID, ma ricordatevi di chiudere un occhio per gli eseguibili “su” e “sudo”.

6.5 Limitare le risorse di un utente

Il file /etc/security/limits.conf gestisce i limiti in termini di risorse o permessi di un utente nella forma <domain>   <type>  <item>  <value>

Domain può indicare un gruppo o un utente, mentre item indica la risorsa da limitare e value il limite da non superare. 
Nello stesso file possono essere trovati alcuni esempi ed un piccolo manuale su come usare il file.

E’ possibile limitare:

  • Il numero di login a sessione
  • La memoria RAM usata
  • Lo sfruttamento del processore
  • Il numero di lock file 
  • La memoria sull’HDD in KB
E’ anche possibile settare la cartella di root con chroot. 

Bisogna infine ricordare che ogni utente va preceduto da una @ per permettere al sistema di distinguere fra utente e gruppo.

6.6 Cancellare file definitivamente

Anche se mi sembra di avervi parlato in passato di un’utility simile, mi sembra d’obbligo esporvi un programma che solo recentemente ho scoperto dei repository debian, Wipe. 

Permette di rimuovere definitivamente un file sovrascrivendolo più volte in modo da impedirne il recupero. 
Una volta installato da terminale / synaptic, può esserne esaminato il funzionamento con l’opzione “wipe –help”.

Per cancellare un file il comando è questo “wipe -ef file”.
Con l’opzione “e” si utilizzano dati della stessa dimensione del file per la sovrascrittura e con “f” si forza la cancellazione.
Opzionalmente, si può utilizzare l’opzione -k per non cancellare ma unicamente sovrascrivere il/i file.
In tal modo un eventuale attaccante lo confonderà  con quello originale.

Alla prossima !

Rendere sicuro il proprio sistema Linux Debian Like. Parte 6: Ultimi consigli generaliultima modifica: 2011-07-27T18:16:52+00:00da onlypc
Reposta per primo quest’articolo

Lascia un commento