giovedì 3 settembre 2009

Linux : aumentare la sicurezza di base


La sicurezza su Linux è un argomento importante anche per l'utente domestico,con questa guida voglio dare delle indicazioni di base per aumentare la sicurezza della propria LinuxBox ed è rivolta a chi ,pur essendo utente desktop ,vuole aumentare la sicurezza del proprio sistema. Avanziamo per gradi.

LA PRIMA REGOLA E' AGGIORNARE SPESSO


1:Il FIREWALL:

Ogni sistema GNU/Linux ha in se iptables. Se lanciamo dalla shell

iptables -h

vediamo come questo strumento sia complesso, infatti ci sono tantissime opzioni che possono ,a loro volta ,essere combinate fra loro in maniera tale da poter creare un profilo ad hoc per quello che vogliamo fare. Un simile approccio è potente e completo tuttavia complesso per chi si avvicini per la prima volta .Per configurare un firewall di base possiamo usare dei programmi grafici come guarddog per chi usa kde o Firestarter per gnome, valutando il miglior profilo in base alle vostre esigenze .Suse e fedora forniscono dei tool grafici per la configurazione del firewall su ubunto c'è preinstallato ufw che si può avviare da linea di comando,è più semplice di iptables ma per chi fosse alle prime armi consiglio guarddog o firestarter. Ad ogni modo almeno per quanto riguarda ubuntu non è abilitata di base nessuna regola al firewall cosa che non crea problemi dato che le porte aperte dall'esterno sono zero. Quindi se avete una configurazione di base il sistema è ugualmente ben protetto.


2:SERVIZI E VULNERABILITA'
Se non siamo sicuri dei servizi che girano sulla nostra macchina installiamo nmap dal gestore di pacchetti ,e lanciamo dalla shell
nmap -f -v 127.0.0.1
in questo modo possiamo vedere le porte aperte sul sistema(le porte corrispondono a servizi,ad ogni servizio è associato un numero ).Ora per vedere se ci sono delle possibili falle è utile usare un vulnerability scanner ne esistono molti,vediamone uno popolare Nessus.
Andiamo sul sito di nessus www.nessus.org registriamoci ,scarichiamo la versione più recente al momento la 4.0.1 per la nostra distribuzione,quindi scarichiamo nessus-client per l'interfaccia grafica dalla pagina www.nessus.org/download .Ora controlliamo il codice che ci è stato inviato via mail e lanciamo il comando come indicato nella mail
/opt/nessus/bin/nessus-fetch --register XXXX-XXXX-XXXX-XXXX-XXXX
ora spostiamoci in /opt/nessus/sbin/ e dalla shell lanciamo

sudo ./nessus-adduser

scegliete login ad authentication (pass/cert) premete invio,scegliete la vostra password e infine date yes alla domanda .
Ora lanciate sudo ./nessusd
lasciate che scarichi i plugin quando dirà all plugin downloaded possiamo anche chiudere .
Ora andiamo in /opt/nessus/bin/
clicchiamo su NessusClient ora andiamo su connect quindi edit e usiamo il login e la password scelti in precedenza quindi una volta creatala nuova conessione colleghiamoci con connect.su network to scan lasciamo single host e inseriamo 127.0.0.1 come in figura in questo modo analizzeremo la nostra macchina. Quindi premiamo il tastino + di Policy e scegliamo le regole per lo scanning COME IN FIGURA quindi salviamo e premiamo sul pulsante scan now.
Nessus 4.0.1 ci avviserà delle vulnerabilità presenti sulla macchina ed utilizzabili da un aggressore attenzione perchè possono anche essere generati dei falsi positivi . Questo strumento è estremamente utile per rilevare vulnerabilità sul proprio sistema .



3:VIRUS?!?
I Virus su linux sono più unici che rari pochi all'anno e aggiornando il sistema stiamo tranquilli vi consiglio la lettura di questo articolo(link).
Antivirus per linux esistono ma conviene usarli solo se si ha una lan o un server con macchine windows per grantirene la sicurezza .
Un problema reale sono i rootkit .Per salvaguardare il sistema dai rootkit installiamo dal gestore di pacchetti rootkit hunter.
Quindi dalla shell lanciamo
rkhunetr –update e infine rkhunter -c
La macchina verrà scansionata per ricercare rootkit noti .

4:SICUREZZA ELEVATA
se volete una sicurezza elevata allora potete installare Snort un intrusion detection system molto popolare,se invece utilizzate chat e volete nascondere il vostro indirizzo IP (anche su msn è facile arrivare all'ip) allora si può utilizzare Tor , oppure un Tunnel Ipv6.Questi approcci consentono un elevato anonimato nella navigazione ma sono consigliabili a chi ha particolari esigenze. In ultima analisi vediamo SElinux creato dalla NSA (national securety agency) statunitense è un 'architettura che si intrega nel kernel e impedisce l'esecuzione di codice malevolo,è in grado di impedire l'esecuzione di exploit ,il suo uso è altamente consigliato su un server ma a livello desktop io preferisco non usarlo in quanto riduce le prestazioni sui benchmark che coinvolgono l'I/O almeno stando a phornix (vedi questo articolo)la decisione spetta a voi.

Ho fatto delle prove,non aggiornando il sistema da una settimana ho deciso di scaricare alcuni exploit molto recenti e provarli sul mio computer ebbene ,funzionano e si ottiene facilmente l'account di Root,questo sottolinea quanto sia importante l'aggiornamento magari quotidiano del sistema.

Concludendo Linux è di base un sistema ben difeso a patto che si aggiorni il sistema e i suoi programmi , se usate un ambiente desktop e non siete nel mirino di un cracker allora l'aggiornamento è la miglior tattica ed è il più delle volte sufficiente ,ci sono moltissimi modi per difendere il proprio sistema io ne ho elencati alcuni se ne avete altri da consigliare ogni consiglio è ben accetto.

libri consigliati

1 commento:

Remy ha detto...

Consiglio la criptazione del disco o di file e cartelle in esso contenuti.Io uso True Crypt http://www.truecrypt.org/