Nessun sistema è sicuro al 100%. E’ possibile però utilizzare alcuni accorgimenti per aumentare il livello di sicurezza. Vediamo alcune soluzioni.
1) Quando viene effettuata l’installazione di un sistema Linux, per rafforzare la sicurezza e stabilità del sistema è utile stabilire uno schema di partizionamento adeguato.
Uno schema tipo potrebbe essere il seguente:
-
Tenere le partizioni scrivibili dagli utenti separate dal resto, cioè le directories /home e /var. Queste sono generalmente riempite con i dati degli utenti e dovrebbero essere soggette a “quota” per evitare di mandare in crash il server se il filesystem venisse saturato.
- Tenere la partizione /boot separata. In caso venisse corrotta è sempre possibile effettuare un fall back per fare almeno il boot del kernel. 100 MB sono OK per questa partizione.
-
La partizione /tmp è la più delicata in quanto è scrivibile e accessibile da tutti. Meglio evitare che sia riempita fino a causare il crash del server. 1 GB dovrebbe essere più che sufficiente per /tmp.
2) Disabilitare il login dell’account root via SSH.
- editare il file:
vi /etc/ssh/sshd.conf
- abilitare e modificare le proprietà elencate con questi parametri:
- Protocol 2
- PermitRootLogin no
- PermitEmptyPasswords no
In questo modo l’account root non può effettuare il login tramite una sessione ssh.
3) Limitare l’accesso al comando su solo ad alcuni utenti.
- creare il gruppo admins:
groupadd admins
- modificare l’ownership:
chown root.admins /bin/su
- modificare i permessi di accesso:
chmod 4750 /bin/su
In questo modo solo l’utente root e gli utenti membri del gruppo admins posso accedere al comando su.
4) Limitare i permessi sulla partizione /tmp.
E’ meglio evitare che degli utenti o potenziali intrusi possano eseguire degli scripts dalla partizione/directory /tmp. Procediamo come segue:
- editare il file /etc/fstab individuando l’entry /tmp che dovrebbe essere configurata come default:
LABEL=/tmp /tmp ext3 defaults 1 2
- modificare la riga come segue:
LABEL=/tmp /tmp ext3 rw,noexec,nosuid 1 2
Sebbene sia ancora possibile accedere sia in lettura che in scrittura, non è più possibile eseguire applicazioni o scripts ed effettuare il suid bits sui files.
Con questi accorgimenti, il nostro sistema sarà un po’ più sicuro e più stabile. Naturalmente se il sistema o la rete è accessibile anche dall’esterno, un buon firewall è fortemente consigliato!
- p@olo
ciao, so che sono fuori tema, ma hai pensato di iscrivere il tuo blog al bloggatore?
il sito non è il mio, io ne sono una semplice ma appassionata lettrice, ma si tratta di un aggregatore di oltre 200 blog di informatica che sta andando alla grande e questo blog deve esserci!
Il link è: http://www.ilbloggatore.com, l’email l’ho indicata nel commento.
Aggiungo il blog ai miei preferiti di Firefox.
Ciao!
Manuela