Sicurezza di un server

14 risposte [Ultimo contenuto]
Ritratto di jordan83
jordan83
(Monster)
Offline
Monster
Iscritto: 10/09/2004
Messaggi: 267

Ciao!

Che pacchetti mi consigliate per rendere più sicuro un server? :hammer:

Ne sto realizzando uno per un amico e l'argomento mi stuzzica non poco. :evil:

Ho dato una letta anche al Securing-howto, ma so che esistono molti pacchetti in Debian che danno una mano.

Grazie, a presto!

"Se avessimo tutti le stesse opinioni non ci sarebbero le corse dei cavalli." G.B.Shaw

Ritratto di PiloZ
PiloZ
(Geek)
Offline
Geek
Iscritto: 07/09/2004
Messaggi: 68

regole con iptables non bastano? :oops:

Debian Sid with Kernel 2.6.12.5 - Linux User #345928

Ritratto di kripsio
kripsio
(Collaboratore)
Offline
Collaboratore
Iscritto: 10/09/2004
Messaggi: 1511

Bhe, dipende dai servizi che installi...
Per il poco che ne so io:

Regola uno: cio' che non c'e' non si rompe, alias installa solo cio' che e' veramente essenziale.

Regola due: chiudi tutto ed apri solo l'essenziale.
Parti da una regola di firewalling restrittiva (tipicamente chiudo tutto dall'esterno mantegno solo attiva lan interna) e poi rendi pubblici solo i servizi che ti servono.

Regola tre: password SOLIDE soprattutto di root, sopratutto se hai l'ssh aperto con password.

Regola quattro: meglio non laciare alcuna risorsa accessibile dall'esterno anonima.

Se installi un server di posta interno per smistare pochi account probabilmente userai utenti di sistema e non complicati supporti a database. Elimina per questi utenti l'accesso shell (/bin/false) non serve ed e' una piccola breccia visto che solitamente lascerai la porta 22 aperta per amministrare la macchina da remoto e visto che gli utenti ti chiederanno pass facili da ricordare (mannaggia loro)

se puoi autentica root su ssh solo mezzo chiave e non password.

Fai un giro con nessus (da remoto) e vedi un po' che ti dice.

Ritratto di jordan83
jordan83
(Monster)
Offline
Monster
Iscritto: 10/09/2004
Messaggi: 267

Grazie dei consigli.

In effetti è un po' la politica che ho adottato pure io.

E i pacchetti tipo harden, snort che mi dite?

Qualcuno li ha mai provati?

Ciao!!

"Se avessimo tutti le stesse opinioni non ci sarebbero le corse dei cavalli." G.B.Shaw

Ritratto di giskard
giskard
(Newbie)
Offline
Newbie
Iscritto: 18/09/2004
Messaggi: 2

a) chiudere tutto
Cool elimanre gruppi/utenti inutli
c) se devi usare server tipo smtp,pop,imap usa dei database
d) logga la shell di root
e) root non accessibile da remoto
f) disabilita l'x forwarding di ssh
g) usa solo chiavi ssh rsa 2048bit
h) password di root di XX caratteri alfanumerici

tanto ti bucano lo stesso se vogliono, ma cosi gli rendi la vita difficile Smile

Ritratto di jordan83
jordan83
(Monster)
Offline
Monster
Iscritto: 10/09/2004
Messaggi: 267

Il mio è puramente un server casalingo.

Onestamente dubito possa innalzare grandissimo interesse in un hacker malintenzionato, quindi le precauzioni che mi vengono suggerite da debian forse sono un po' eccessive (credo darò un'occhiata a snort).

Risultano più alla mia portata quelle di giskard.

Se un giorno volessi approfondire di più l'argomento sicurezza, in che sito potrei trovare info? Quale mi suggerite?

Grazie a tutti Big Grin

"Se avessimo tutti le stesse opinioni non ci sarebbero le corse dei cavalli." G.B.Shaw

Ritratto di jordan83
jordan83
(Monster)
Offline
Monster
Iscritto: 10/09/2004
Messaggi: 267

Quote:

proporrei l'apertura di un 3d dedicato..che ne dite?

Secondo me è un'ottima idea.
In più la sicurezza è un argomento interessante e vitale.

Visto che in questo forum postano anche esperti del settore (vedi mastro "debian" Wink), perchè non condividere dubbi (i nostri) e certezze (loro)?

Sarebbe bello e utile.

Ciao! Big Grin

"Se avessimo tutti le stesse opinioni non ci sarebbero le corse dei cavalli." G.B.Shaw

Ritratto di jordan83
jordan83
(Monster)
Offline
Monster
Iscritto: 10/09/2004
Messaggi: 267

Ne lancio pure un'altra...

Se non è eccessivo, perchè non aprire pure una sezione apposita nel settore Guide?

Dopotutto Debian è la distribuzione sicura per eccellenza.
Si integrerebbe così quanto riportato negli howto e nei manuali di debian.org con le esperienze di ciascuno.

Ciao!

"Se avessimo tutti le stesse opinioni non ci sarebbero le corse dei cavalli." G.B.Shaw