Non e' un sistema poco sicuro, e' una modalita' di installazione (piu' o meno discutibile) ereditata dalla versione desktop, dove ha un senso che ci sia.
Sta al sistemista configurare il server per renderlo sicuro in base al suo utilizzo.
Non e' un sistema poco sicuro, e' una modalita' di installazione (piu' o meno discutibile) ereditata dalla versione desktop, dove ha un senso che ci sia.
Sta al sistemista configurare il server per renderlo sicuro in base al suo utilizzo.
Progettista elettronico, appassionato di informatica dal 1982, sistemista Linux dal 2002, sono consulente tecnico del Giudice per le indagini preliminari, valuto richieste di consulenza, in ambito Voip/Telefonia anche con grado di sicurezza militare.
io avevo letto che era piu' facile bucare root che un utente
al root basta indovinare la password
all'utente devi scovare utente e passwd
Se fai come faccio io che blocco l'accesso in SSH di root, per bucare il server devi conoscere il nome utente, la sua password e la password di rootOriginariamente inviata da sacarde
"root" di default non puo' autenticarsi su samba, posta e ftp, per cui, con SSH bloccato, se non accedono fisicamente alla macchina, anche ammesso e non concesso che conoscano la password di root, non fanno nulla.
Se poi metti SSH su una porta non standard, allora puoi dormire sonni tranquillissimi
Ultima modifica di pilovis; 10-03-2014 a 22:37
Progettista elettronico, appassionato di informatica dal 1982, sistemista Linux dal 2002, sono consulente tecnico del Giudice per le indagini preliminari, valuto richieste di consulenza, in ambito Voip/Telefonia anche con grado di sicurezza militare.
Il sistema non è insicuro. basta sapere quello che si fa, ed eventualmente cambiare i permessi di default.
Comunque le 20 regole di Pilovis
1) usare password complicate e cambiarle ogni tanto
2) i servizi che non servono vanno disabilitati o meglio ancora "non installati"
3) usare porte non standard per quanto possibile (esempio SSH su porta 27)
4) usare iptables per bloccare tutto quello che potenzialmente puo' essere pericoloso, o meglio ancora, permettere solo quello che serve.
5) usare fail2ban per bannare tutti i tentativi di accesso fraudolenti (con mail di avviso)
6) rimuovere il comando sudo e il gruppo dei sudoers
7) controllare frequentemente i logs di sistema
8) bloccare l'accesso dell'utente root al SSH e permettere l'accesso SSH ad un solo utente (il nostro) che poi dovra' ancora autenticarsi con su - root se vuole amministrare il server.
9) bloccare il FTP anonimo (se presente)
10) CHROOT per gli utenti FTP (se presente) in modo che non possano curiosare per le directory e files del server al di fuori della loro Home
11) piallare l'utente anonimo di samba (viene creato in automatico)
12) mai usare telnet per accedere al server
13) svuotare ad ogni riavvio (con uno script) le directory /tmp e /var/tmp
14) installare "iwatch" per controllare le modifiche che vengono effettuate nei files della cartella /etc (con mail di avviso), anche solo quando un utente si cambia la password.
15) inserire una password nel bios del server per le configurazioni di setup (per accessi fisici)
16) disabiliare da bios l'avvio da CD ROM, Floppy, USB (per accessi fisici)
17) se c'e' un webserver non permettere l'utilizzo dei "cgi" agli utenti (con un chmod 777 possono diventare una minaccia incredibile), se possibile non permettere l'installazione di forums, Joomla e cose simili in PHP dato che sono dei veri colabrodo in fatto di sicurezza.
18) se c'e' un server di posta usare possibilmente protocolli sicuri: POP3S e IMAPS, permettere il SMTP solo con autenticazione.
19) se il server fa da gateway/firewall, usare un proxy trasparente per la navigazione degli utenti LAN
20) installare gli aggiornamenti di sicurezza
Ultima modifica di pilovis; 10-03-2014 a 23:50
Progettista elettronico, appassionato di informatica dal 1982, sistemista Linux dal 2002, sono consulente tecnico del Giudice per le indagini preliminari, valuto richieste di consulenza, in ambito Voip/Telefonia anche con grado di sicurezza militare.
Comunque il maggior pericolo per un server sono gli utenti "babbei":
Utente Babbeo di primo tipo:
clicca su qualsiasi link che gli capiti a tiro, indifferentemente che arrivi tramite email o da una pubblicita' web che ad esempio garantisce un miliardo di guadagno al giorno senza fare nulla.
Ha sempre il pc pieno di trojan che in breve gli carpiscono le credenziali di accesso al tuo server (Samba, FTP o posta) e di li iniziano i problemi.
Utente Babbeo di secondo tipo:
manda continue mail "catene di Sant'antonio" con caxxate, presentazioni insulse di Power Point, immagini carine e quant'altro, mette un centinaio di indirizzi email visibili in "a:" o "cc:" incluso il tuo, il tutto finisce sempre nelle liste degli spammers, o peggio ancora, in quelle dei venditori professionisti (io li chiamo spacciatori) di indirizzi emails, e il tuo server inizia ad essere bombardato di SPAM.
Utente Babbeo di terzo tipo:
Crede di essere un super esperto di computer, ma non capisce nulla.
Pasticcia, modifica e installa qualsiasi cosa gli capiti a tiro, non solo nel suo pc ma in tutti quelli del suo ufficio e degli uffici vicini.
Finisce come il babbeo di primo tipo.
Ultima modifica di pilovis; 11-03-2014 a 09:20
Progettista elettronico, appassionato di informatica dal 1982, sistemista Linux dal 2002, sono consulente tecnico del Giudice per le indagini preliminari, valuto richieste di consulenza, in ambito Voip/Telefonia anche con grado di sicurezza militare.
Io consiglio comunque di utilizzare sempre "fail2ban" che dopo un numero preimpostato di tentativi errati di accesso ad un servizio (FTP, SAMBA, SSH, POP3, IMAP, HTTP, Asterisk, ecc.) blocca quell'indirizzo IP con Iptables per un tempo impostabile a piacere e ti manda anche una mail di avviso.
http://www.fail2ban.org/wiki/index.php/Main_Page
Ultima modifica di pilovis; 10-03-2014 a 22:49
Progettista elettronico, appassionato di informatica dal 1982, sistemista Linux dal 2002, sono consulente tecnico del Giudice per le indagini preliminari, valuto richieste di consulenza, in ambito Voip/Telefonia anche con grado di sicurezza militare.
Permessi di invio
Rispondi quotando